• Cloud, Guide, Microsoft 365
• 14 Febbraio 2022

Ovunque si trovino nel mondo, gli utenti avranno sempre bisogno di assistenza da parte del Help Desk. L’avvento del Hybrid Working (l’alternanza di lavoro in sede e lavoro remoto) ha aggiunto nuove complessità a questa tematica.

Negli ultimi anni, nonostante il cambiamento drastico e repentino delle esigenze di lavoro, molte realtà non erano pronte ad offrire i loro servizi ad una forza lavoro distribuita ed esterna alla LAN aziendale. Questo ha portato, tra le altre cose, all’adozione di soluzioni di assistenza remota consumer / gratuite che presentano moltissimi rischi quando vengono implementate in una realtà aziendale.

Per citare alcuni di questi rischi:

• Non conformità del servizio alle clausole del GDPR
• Utilizzo del software di accesso remoto in violazione delle policy aziendali
  
• Mancato auditing degli accessi
• Mancato aggiornamento del client, le cui vulnerabilità possono farlo diventare un Remote Access Tool in mano ad un attore malevolo

Le soluzioni di assistenza remota di Microsoft includono già il Quick Assist, più orientato verso una clientela consumer e, per le aziende che utilizzano System Center Configuration Manager, il Remote Control. Per le organizzazioni cloud-native viene offerta la possibilità di integrare TeamViewer con Intune, ma fino ad ora mancava una soluzione nativa.

L’offerta delle soluzioni disponibili per il controllo remoto sicuro, integrato e disponibile ovunque si è recentemente ampliata con l’annuncio del Remote Help di Microsoft Intune.

Figura 1 – Funzionalità di Remote Help

Al momento Remote Help si trova in Public Preview, pertanto le sue funzionalità possono cambiare e il prodotto può differire da quello che sarà reso disponibile una volta rilasciato. In questa fase il prodotto è gratuito ma al momento del rilascio potrebbe essere necessaria una licenza aggiuntiva.

Prerequsiti di Remote Help

• I computer devono utilizzare Windows 10/11
  
• L’organizzazione deve possedere una sottoscrizione a Microsoft Intune (come ad esempio la Business Premium, Enterprise Mobility + Security E3/E5 oppure Microsoft 365 E3/E5)
• I computers devono installare il client di Remote Help (distribuibile tramite Microsoft Intune)

Distribuzione di Remote Help

Nei prossimi passi distribuiremo il client di Remote Help tramite Microsoft Intune. La modalità suggerita da Microsoft è quella di utilizzare una Win32 App.

Come prima cosa, scaricare il client di Remote Help da questo link https://aka.ms/downloadremotehelp e prepararlo all’upload in Microsoft Intune tramite il Win32 Content Prep tool, come abbiamo fatto in Figura 2.

Figura 2 – Preparare client per upload

Creare una nuova App Win32 in Intune andando su Apps -> + Add e selezionare Windows app (Win32)

Figura 3 – Nuova app Win32

Caricare il package appena creato e popolare i dettagli dell’app

Figura 4 – Caricamento dell’App

Proseguire popolando le stringhe di installazione e rimozione come segue, fare attenzione perché il parametro acceptTerms è case sensitive.

• Installazione:
  remotehelpinstaller.exe /install /quiet acceptTerms=Yes
• Rimozione:
  remotehelpinstaller.exe /uninstall /quiet acceptTerms=Yes

Figura 5 – Comandi installazione e rimozione

Popolare architettura e sistema operativo minimo supportato in base alle necessità dell’Organizzazione:

Figura 6 – Archietettura e OS minimo

Creare una nuova detection rule per aiutare Intune a rilevare l’app sui dispositivi in cui si andrà a distribuirla. Aggiungere una detection rule manualmente e popolarla come di seguito:

• Rule type: scegliere File
• Path: inserire C:\Program Files\Remote help
• File or folder: inserire RemoteHelp.exe
• Detection method:
  selezionare String (version)
• Operator: selezionare Greater than or equal to
• Value: inserire la versione del client che si sta installando, come ad esempio: 10.0.10011.16384
• Lasciare Associated with a 32-bit app on 64-bit clients a No

Figura 7 – Nuova detection rule

Assegnare la Win32 App che stiamo creando al gruppo di computer a cui vogliamo che Microsoft Intune la distribuisca.

Figura 8 – Assegnazione a gruppo Azure AD

Completare quindi il wizard ed attendere che Microsoft
Intune distribuisca l’app di Remote Help.

Abilitare quindi il supporto del tenant a Remote Help portandosi su Tenant administration -> Connectors and tokens -> Remote help (preview) -> Settings e nella voce Enable remote help selezionare Enabled. Nella stessa pagina si può scegliere se consentire la connessione a dispositivi non registrati su Microsoft Intune.

Figura 9 – Abilitazione Remote Help

Le persone che forniscono supporto per poter iniziare una sessione di assistenza dovranno avere dei privilegi assegnati. Siccome il ruolo di Global Admin oppure di Intune Administrator è eccessivo per questo ruolo, possiamo utilizzare il ruolo predefinito di Help Desk Operator o crearne uno personalizzato.

Per assegnare il ruolo di Help Desk Operator, portarsi su Tenant administration -> Endpoint Manager Roles -> Help Desk Operators e creare una nuova assegnazione. In Figura 10 è possibile vedere un esempio, dove abbiamo assegnato ad un gruppo di utenti di Azure AD (Members) il privilegio di gestire alcuni dispositivi contenuti in un altro gruppo di Azure AD (Scope).

Figura 10 – Assegnazione ruolo Help Desk Operator

Esperienza d’uso

È possibile lanciare il client di Remote Help o cercandolo nelle applicazioni installate oppure, se si ha accesso al portale di Microsoft
Intune, tramite una nuova client action.

Figura 11 – Nuova client action

Il client di Remote Help richiede il login tramite un account di Azure AD.

Figura 12 – Login Remote Help

Appena aperto, ci rendiamo subito conto che è estremamente simile al Quick Assist già presente in Windows 10/11 questo perché riutilizza infatti la stessa infrastruttura, più Azure AD per l’autenticazione che in Quick Assist è assente.

Figura 13 – Remote Help

L’operatore che intende iniziare un collegamento dovrà, al pari del Quick Assist, generare un codice e comunicarlo all’utente remoto

Figura 14 – Codice per condivisione

All’operatore viene mostrato l’avatar ed i dettagli dell’utente remoto e viene chiesto se vuole iniziare una sessione di controllo completa oppure di sola condivisione dello schermo.

ATTENZIONE: Se viene richiesta una sessione di controllo completo al termine della stessa l’utente verrà sloggato per proteggere eventuali password o applicazioni aperte da chi sta effettuando il supporto (questo, per esempio, per evitare che un utente scolleghi il cavo di rete per tenere più a lungo della sessione i privilegi amministrativi).

Figura 15 – Richiesta di connessione

All’utente viene mostrato avatar e dettagli dell’operatore di supporto, e la sessione viene stabilita.

Figura 16 – Dettagli operatore

In Figura 17 possiamo vedere il client di Remote Help in esecuzione, con una sessione verso un computer remoto.

Figura 17 – Sessione stabilita

Auditing

Nel portale di Microsoft Intune è disponibile lo storico delle sessioni di Remote Help. Le sessioni correnti vengono visualizzate dopo qualche minuto che sono state stabilite. Si possono visualizzare i dettagli degli utenti e dei dispositivi coinvolti, così come la durata e la tipologia della sessione.

Per accedere alle funzionalità di auditing portarsi su: Tenant administration -> Connectors and tokens -> Remote help (preview) -> Remote help sessions.

Figura 18 – Auditing

Conclusioni

L’avvento di Remote Help è sicuramente una buona notizia. A livello di funzionalità è molto scarno, ma è sicuramente un passo nella giusta direzione.

Chi amministra Microsoft Intune da diversi anni sa benissimo quanto questo prodotto sia maturato negli ultimi 3 anni e questa è una aggiunta che tardava ad arrivare. Ci auguriamo che nella versione definitiva vengano almeno colmate le differenze con il Quick Assist e sarebbe veramente bello se Microsoft riuscisse a renderlo multipiattaforma. Del resto, se il motto del Hybrid Work è “Work securely from anywhere, anytime, across all your devices“, non vediamo perché non dovrebbe applicarsi anche all’assistenza remota. Se siete della mia stessa idea, potete votare il Feedback
pubblico al team di Microsoft Intune che richiede l’inclusione di questa funzionalità: Remote Help – Add support for other platforms · Community (microsoft.com).

A questo link trovate la documentazione ufficiale: Use remote help with Intune and Microsoft Endpoint Manager.