注:
この機能は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。
リモート ヘルプは、ロールベースのアクセス制御を使用してセキュリティで保護されたヘルプ デスク接続を実現するクラウドベースのソリューションです。 接続を使用すると、サポート スタッフはユーザーのデバイスにリモート接続できます。 詳細については、「リモート ヘルプの概要」を参照してください。 リモート ヘルプ機能の使用を開始するには、前提条件を満たしていることを確認します。
この記事では、ヘルプを提供するユーザーを ヘルパーと呼び、ヘルプを受け取るユーザーは、ヘルパーとセッションを共有する共有 者と呼ばれます。 ヘルパーと共有者の両方が、アプリを使用するために組織にサインインします。 リモート ヘルプ セッションに対して適切な信頼が確立されるのは、Microsoft Entra IDを通じて行われます。
リモート ヘルプでは、Intuneロールベースのアクセス制御 (RBAC) を使用して、ヘルパーが許可されるアクセス レベルを設定します。 RBAC を使用して、ヘルプを提供できるユーザーと、提供できるヘルプのレベルを決定します。
ヒント
環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターのIntune Suite アドオン ガイドにアクセスできます。
計画チェックリスト
このチェックリストに従って、計画プロセスを合理化します。
- プラットフォームとデバイスのサポート
- 言語サポート
- テナント構成
- 条件付きアクセス
- 役割ベースのアクセス制御 (RBAC)
- ネットワークの考慮事項
- 前提条件
- 制限事項
- 既知の問題
- 登録済みデバイスと登録解除済みデバイス
計画に関する考慮事項
これらの考慮事項を使用して、リモート ヘルプのorganizationを準備します。
最小特権を適用する: 各サポート ロールに必要な最小限のリモート ヘルプアクセス許可のみを付与します。 必要に応じてカスタム Intune ロールを使用して、完全に制御できるユーザーや無人セッションを実行できるユーザーを制限します。 たとえば、レベル 1 のサポートではビューのみの権限を取得し、レベル 2 はフル コントロール権限を取得します。 この原則は、ユーザーのプライバシーとデバイスの整合性を保護するのに役立ちます。
ヘルパーに条件付きアクセスを使用する: ヘルパーはユーザー デバイスへのアクセスを昇格させたので、セキュリティの追加レイヤーを追加します。 条件付きアクセスを使用してヘルパー アカウントに MFA または準拠デバイスの状態を要求することを強くお勧めします。 これらの対策により、侵害されたヘルパー アカウントを悪意を持ってデバイスにアクセスするために簡単に使用できなくなります。 リモート ヘルプのEntra ID 条件付きアクセス ポリシーは、Windows と macOS でのみサポートされます。
登録解除されたデバイスのサポートは、必要な場合にのみ有効にする: 登録されていないデバイス (Entra登録のみ) でリモート ヘルプを許可することは、個人のデバイスをサポートする場合に便利ですが、監視の削減 (デバイス コンプライアンス情報や限定された監査データなし) が付属します。 この機能を慎重に有効にし、登録解除されたデバイスをサポートできるサポート スタッフを制限することを検討します (場合によっては、別のロールを使用します)。
ネットワークとファイアウォール: 企業ネットワーク ポリシーがリモート ヘルプに干渉しないことを確認します。 アプリは、ポート 443 を介してクラウド エンドポイントAzure通信します。 ユーザーが企業ネットワーク上にある場合は、プロキシまたは SSL 検査によって接続が切断されていないことを確認します。 プロキシ サーバーが SSL 検査を使用している場合は、問題を回避するために、リモート ヘルプに一覧表示されているドメインを除外する必要があります。 詳細については、「リモート ヘルプのネットワーク エンドポイント」を参照してください。
Government Cloud のサポートが減ります。リモート ヘルプは、Azure Virtual Desktop (AVD) を除く Government Community Cloud (GCC) 環境でサポートされます。 リモート ヘルプは、GCC High または DoD (米国国防総省) テナントではサポートされていません。 詳細については、米国政府機関 GCC High および DoD サービスの説明のMicrosoft Intuneに関するページを参照してください。
リモート ヘルプ共有者、ヘルパー、デバイスは同じテナントに存在する必要があります。リモート ヘルプのコンプライアンス ポリシーとロールベースのアクセス制御 (RBAC) との統合では、すべての参加者が同じテナントに存在する必要があります。
注:
これは、ヘルプデスク管理者がテナント間で作業している外部委託されたヘルプデスク シナリオに影響を与える可能性があります。 ユーザー (sharers) デバイスがテナント A に属しているが、ヘルパーのデバイスがテナント B に属しているシナリオを考えてみましょう (アウトソーシング organizationによって発行されたデバイスを使用している場合)。 回避策として、テナント A に参加しているデバイスをヘルプデスクに提供するか、テナント A に参加しているWindows 365または AVD デバイスへのアクセスを提供することを検討してください。
Endpoint Analytics と組み合わせる: リモート ヘルプ セッションのデータを使用して、一般的な問題を特定します。 たとえば、多くのセッションでコンプライアンス警告が表示される場合は、デバイス コンプライアンス ポリシーを改善する可能性があります。 リモート ヘルプの監査ログとIntuneの Endpoint Analytics が組み合わされると、サポートの傾向 (頻繁に問題のあるアプリやポリシーなど) に関する分析情報が得られる場合があります。
リモート ヘルプアプリを最新の状態に保つ: Windows と Mac の新しいバージョンでは、改善と必要な修正が加えられます。 Microsoft では、古いバージョンのアップグレードを適用する場合があります。 両方のプラットフォーム (Windows Update、Microsoft AutoUpdate 経由の Mac) で自動更新を使用するか、テスト後にIntune経由で最新のパッケージを定期的にプッシュします。 Android の場合、アプリを承認した場合、更新プログラムは Play ストアを介して自動的に実行されます。通常のメンテナンス期間中にデバイスが最新バージョンを取得していることを監視します。
プライバシーとコンプライアンスを計画する: リモート ヘルププライバシーに関する質問を提起できます。 ユーザーの同意が必要なリモート ヘルプ、または Android 無人リモート ヘルプの場合は、リモート セッションがアクティブであることを明確に示す関係者を保証します。 すべてのセッションは合意に基づいて、ユーザーの画面に目に見えて示されます。 セッション記録はサービスに保存されません。 これらのポイントは、内部 IT ポリシーまたはユーザー ガイドに含め、懸念事項に対処できます。 Android での無人アクセスは控えめに使用する必要があります。
段階的なロールアウト: 可能な場合は、パイロット フェーズでリモート ヘルプをデプロイします。 IT 部門または小規模部門から始めて、問題を解決します。 ヘルパーとユーザーの両方からフィードバックを収集します。 自信を持ったら、organization全体に展開します。 段階的なアプローチにより、予期しない技術的な問題でヘルプデスクが圧倒されるのを防ぐことができます。
ヘルパー モードとクライアント モード
リモート ヘルプ クライアントは、ヘルパー アプリと共有アプリの組み合わせに基づいて、さまざまなモードをサポートします。 Windows、macOS、Android には、機能を強化するためにインストールできるリモート ヘルプ アプリがあります。 リモート ヘルプアプリは、ネイティブ アプリと呼ばれることもあります。 リモート ヘルプでは、Web アプリからの機能が低下したデバイスからの共有もサポートされています。
さまざまなモードを次に示します。
表示のみ: リモート画面のビューを要求します。 エンド ユーザーのプライバシーへの影響を最小限に抑えるには、完全な制御が必要でない限り、このオプションをお勧めします。
完全な制御を要求する: リモート デバイスの完全な制御を要求します。
昇格: 共有者のデバイスでプロンプトが表示されたときに、ヘルパーがユーザー アカウント制御 (UAC) 資格情報を入力できるようにします。 また、昇格を有効にすると、共有者がヘルパー アクセスを許可するときに、ヘルパーが共有者のデバイスを表示および制御することもできます。
無人: エンド ユーザーが存在しないデバイスのフル コントロール。
次の表は、ヘルパー アプリと sharer アプリによるモードのサポートを示しています。
| 支援元: Windows ネイティブ |
支援元: Windows Web |
支援元: macOS Web |
|
|---|---|---|---|
|
共有元: Windows ネイティブ |
✅ 表示のみ ✅ フル コントロール ✅ 立面図 |
サポート外 | サポート外 |
|
共有元: macOS ネイティブ |
サポート外 |
✅ 表示のみ ✅ フル コントロール |
✅ 表示のみ ✅ フル コントロール |
|
共有元: Android ネイティブ |
サポート外 |
✅ 表示のみ ✅ フル コントロール ✅ 無人 |
✅ 表示のみ ✅ フル コントロール ✅ 無人 |
|
共有元: macOS webapp |
サポート外 | ✅ 表示のみ |
✅ 表示のみ |
|
共有元: Windows Webapp |
サポート外 | ✅ 表示のみ |
✅ 表示のみ |
リモート ヘルプ アプリのデプロイの詳細については、「リモート ヘルプのデプロイ」を参照してください。
認証とアクセス許可
ヘルパーと共有者の両方がMicrosoft Entra IDを使用してorganizationにサインインします。これにより、リモート ヘルプ セッションに対して適切な信頼が確実に確立されます。
リモート ヘルプでは、Intuneロールベースのアクセス制御 (RBAC) を使用して、ヘルパーが許可されるアクセス レベルを設定します。 RBAC を使用して、テナント管理者は、ヘルプを提供できるユーザーと、提供できるヘルプのレベルを決定します。
ロールベースのアクセス制御 (RBAC)
リモート ヘルプを使用するには、ヘルパーに適切なロールベースのアクセス制御 (RBAC) アクセス許可がユーザー アカウントに割り当てられている必要があります。 次の表に、リモート ヘルプに使用できるアクセス許可とその説明を示します。
| アクセス許可 | 説明 |
|---|---|
| リモート ヘルプ - 表示画面 | ヘルパーがコントロールを取得せずに共有者の画面を表示できるようにします。 |
| リモート ヘルプ - フル コントロールを使用する | ヘルパーが共有子のデバイスを完全に制御できるようにします。 |
| リモート ヘルプ - 昇格 | ヘルパーが Windows のユーザー アカウント コントロール プロンプトと対話できるようにします。 |
| リモート ヘルプ - 無人 | ヘルパーが Android デバイスに接続できるようにします。そのたびに、共有者が接続を受け入れる必要はありません。 この機能を使用するには、Android デバイスをフル マネージド デバイスまたは専用デバイスとしてIntuneに登録する必要があります。 |
| リモート タスク - リモート アシスタンスを提供する | ヘルパーがユーザーにリモート アシスタンスを提供できるようにします。 |
| リモート アシスタンス コネクタ - 読み取り | ユーザーがセッションを開始するときにリモート ヘルプがテナント用に構成されているかどうかを確認できるようにするために必要です。 |
次のIntune組み込みロールには、リモート ヘルプアクセス許可が含まれます。
- ヘルプ デスク オペレーター (画面の表示、フル コントロールの取得、昇格、無人、リモート タスク - リモート アシスタンスの提供、リモート アシスタンス コネクタ - 読み取り)
- 学校管理者 (画面の表示、フル コントロールの取得、昇格、リモート タスク - リモート アシスタンスの提供、リモート アシスタンス コネクタ - 読み取り)
注:
ユーザーは、リモート タスク - リモート アシスタンスの提供アクセス許可、リモート アシスタンス コネクタ - 読み取りアクセス許可、およびヘルプを提供するために少なくとも 1 つのリモート ヘルプアクセス許可の組み合わせが必要です。 アクセス許可は、定義されたスコープ グループ内のユーザーまたはデバイスのロール割り当ての管理者グループ内のユーザーに付与されます。 ロールベースのアクセス制御Intune詳細については、「Microsoft Intuneのロールベースのアクセス制御 (RBAC) について」を参照してください。
重要
共有者または共有者のデバイスがヘルパーのスコープ内にない場合、そのヘルパーは支援を提供できません。 [すべてのデバイス] スコープ グループには、登録されていないデバイスは含まれません。 代わりに、割り当てプロセス中にユーザー スコープ グループを使用します。
ポリシーやアプリの割り当てなどの割り当てから除外するグループを選択する場合は、RBAC 割り当て スコープ グループのいずれかに入れ子になっているか、RBAC ロールの割り当てでスコープ グループとして個別に一覧表示する必要があります。
前提条件
リモート ヘルプには次の要件があります。
- サブスクリプションIntune。
- リモート ヘルプ、リモート ヘルプを使用してサービスの恩恵を受けるすべての IT サポート ワーカー (ヘルパー) とユーザー (sharers) のライセンスまたはIntune Suite ライセンスを追加します。
- サポートされているプラットフォームとデバイス。
- Intune登録されたデバイスは、Microsoft Entraに登録する必要があります。
制限事項
リモート ヘルプには、次の制限があります。
- 1 つのテナントから別のテナントにリモート ヘルプ セッションを確立することはできません。
- リモート ヘルプは、一部の市場やローカライズで利用できない場合があります。
- リモート ヘルプは、次のプラットフォームの Government Community Cloud (GCC) 環境でサポートされています。
- Windows
- ARM64 デバイス上の Windows
- Windows 365
- Android Enterprise 専用デバイスとして登録されている Samsung デバイスと Zebra デバイス
- macOS 13、14、および 15
- リモート ヘルプは、GCC High または DoD (米国国防総省) テナントではサポートされていません。 詳細については、米国政府機関 GCC High および DoD サービスの説明のMicrosoft Intuneに関するページを参照してください。
サポートされるプラットフォーム
各プラットフォームには、特定の前提条件と機能があります。
Windows
macOS
Android
Web アプリ- Windows x86、x64、ARM64
- Windows 365
- Azure Virtual Desktop
通知の信頼性を高めるオプションの Windows 更新プログラムがあります。
- Windows 11: 2023 年 7 月 25 日 — KB5028245 (OS ビルド 22000.2245) プレビュー - Microsoft サポート
- Windows 10: 2023 年 8 月 22 日 — KB5029331 (OS ビルド 19045.3393) プレビュー - Microsoft サポート
重要
2025 年 10 月 14 日、Windows 10サポート終了に達し、品質と機能の更新プログラムを受け取りません。 Windows 10は、Intuneで許可されているバージョンです。 このバージョンを実行しているデバイスは引き続きIntuneに登録し、適格な機能を使用できますが、機能は保証されないため、異なる場合があります。
Intune管理拡張機能は、リモート起動機能のために共有者のデバイスで必要です。 具体的には、OS ビルドWindows 10バージョン 19042 以上で、KB5018410パッチがインストールされている必要があります。 OS バージョンは、10.0.19042.2075 または 10.0.19043.2075 または 10.0.19044.2075 以上である必要があります。 Intune管理拡張機能の詳細については、「Intune管理拡張機能」を参照してください。
Azure仮想デスクトップ上のユーザーへのセッションをリモートで開始することはお勧めしません。 詳細については、「 AVD のヘルプを提供する方法」を参照してください。
ネットワークの考慮事項
ヘルパーと共有子の両方が、ポート 443 経由で特定のエンドポイントに到達できる必要があります。 詳細については、「リモート ヘルプのネットワーク エンドポイント」を参照してください。
リモート ヘルプはポート 443 (https) 経由で通信し、リモート デスクトップ プロトコル (RDP) を使用してhttps://remotehelp.microsoft.comのリモート アシスタンス サービスに接続します。 トラフィックは TLS 1.2 で暗号化されます。
リモート ヘルプが登録済みデバイスに制限されている場合の要件
organizationが登録済みデバイスのみにリモート ヘルプを制限している場合は、追加の要件があります。
チャットでサポートされている言語
チャットをオンにしたリモート ヘルプは、次の言語でサポートされています。
- アラビア語
- ブルガリア語
- 簡体字中国語
- 繁体字中国語
- クロアチア語
- チェコ語
- デンマーク語
- オランダ語
- 英語
- エストニア語
- フィンランド語
- フランス語
- ドイツ語
- ギリシャ語
- ヘブライ語
- ハンガリー語
- イタリア語
- 日本語
- 韓国語
- ラトビア語
- リトアニア語
- ノルウェー語
- ポーランド語
- ポルトガル語
- ルーマニア語
- ロシア語
- セルビア語
- スロバキア語
- スロベニア語
- スペイン語
- スウェーデン語
- タイ語
- トルコ語
- ウクライナ語
データとプライバシー
Microsoft は、リモート ヘルプ システムの正常性を監視するために少量のセッション データをログに記録します。 このデータには、次の情報が含まれます。
- セッションの開始時刻と終了時刻。 この情報は、Microsoft サーバーに 30 日間保存されます。
- 誰がどのデバイスで誰を助けたかについて。 この情報は、Microsoft サーバーに 30 日間保存されます。
- 予期しない切断など、リモート ヘルプ自体から発生するエラー。 この情報は、イベント ビューアーの共有者のデバイスに保存されます。
- ビューのみ、昇格など、アプリ内で使用される機能。 この情報は、Microsoft サーバーに 30 日間保存されます。
リモート ヘルプは、ヘルパーと共有子の両方のデバイス上の Windows イベント ログにセッションの詳細を記録します。 Microsoft は、セッションにアクセスしたり、セッションで発生したアクションやキーボード操作を表示したりすることはできません。
ヘルパーと共有者には、組織のプロファイルから取得された他の個人に関する次の情報が表示されます。
- 組織プロファイルの画像 (存在する場合)
- 会社名
- ドメインの検証
- 名、姓
- 役職
Microsoft は、共有元またはヘルパーに関するデータを 30 日以上保存しません。