Je dois dire que j’ai été plutôt étonné que Microsoft propose une solution « first party » d’assistance à distance car ce sujet n’a jamais réellement préoccupé le groupe produit. Mais finalement les événements récents et la généralisation du travail hybride a probablement altéré les priorités donc la roadmap de l’écosystème Endpoint Manager. Et c’est une excellente nouvelle 😊
Microsoft a donc annoncé début novembre lors de l’Ignite 2021 (Fall) une nouvelle solution d’aide à distance et disponible dans le Centre d’Administration Endpoint Manager. Microsoft disposait déjà d’une solution intégrée au travers de la solution tiers TeamViewer pour permettre l’assistance et le contrôle à distance. La solution TeamViewer est disponible moyennement des licences supplémentaires et nécessite une intégration relativement complexe ainsi qu’une connectivité vers les serveurs TeamViewer, complexifiant les ouvertures de flux.
Basée sur l’applications Windows « Quick Assist » et intégré nativement dans toutes les éditions de Windows 10/11, les fonctionnalités de cette applications ont été enrichies d’éléments important pour les organisations tel que :
- Le contrôle d’accès basé sur les rôles (RBAC) et la gestion des autorisations,
- La gestion de l’élévation des privilèges (UAC)
- L’intégration avec la gestion de conformité Endpoint Manager
- Le reporting sur l’utilisation de la solution
« Remote help » vient d’être publié en préversion avec la mise de novembre 2021 (What’s new in Microsoft Intune | Microsoft Docs) et sa disponibilité générale est prévu pour début d’année 2022. Pour le moment, seul la plateforme Windows est prise en charge. L’ensemble de la documentation est disponible ici Remotely assist users that are authenticated by your organization. | Microsoft Docs
Attention, bien que l’utilisation soit gratuite pendant la période de preview, Microsoft à d’ores et déjà annoncé que « Remote help » nécessitera probablement un add-on en termes de licence, sans plus de précisions. A suivre donc.
Gestion des délégations (RBAC)
Comme bien souvent dans les organisations, le help-desk est segmenté en 3 niveaux de support que nous pourrions présenter de manière très simple de la façon suivante :
- Niveau 1 de support informatique : résolution d’un problème non-bloquant
- Ne nécessite pas une élévation de privilège
- Niveau 2 de support informatique : résolution d’un problème bloquant
- Nécessite probablement une élévation de privilège
- Niveau 3 de support informatique : situation de crise
- Nécessite un accès complet à l’appareils
Nous allons créer deux groupes de sécurité et deux rôles Endpoint Manager afin d’illustrer la gestion et la délégation des droits. L’un qui permet de visualiser une session et le second qui permet un contrôle total ainsi qu’une élévation des privilèges.
En utilisant ces deux rôles avec des affectations différentes, nous apportons de la souplesse dans la gestion de qui est autorisé à offrir une aide à distance à quel utilisateur et avec quelles autorisations.
- Accédez à l’Administration du tenant, puis Rôles
- Cliquez sur +Créer
- Donner un nom au rôle
- Entrez une description (facultatif)
- Cliquez sur Suivant
- Faites défiler jusqu’à la section « Remote Help App »
- Sélectionnez les autorisations que vous souhaitez définir pour le rôle L1 (View)
- Sélectionnez Suivant
- Terminer la création du nouveau rôle
- Ouvrez l’onglet Affectations
- Cliquez sur Affecter
- Donner un nom à l’affectation
- Entrez une description (facultatif)
- Cliquez sur Suivant
Ajouter le groupe qui contient les personnes du supports auxquels vous voulez attribuer le rôle :
Attribuer le groupe auquel le rôle est ciblé. Ici le support est autorisé à démarrer une session d’aide à distance sur tous les appareils. Vous pouvez avoir une approche plus restrictive avec des notions géographiques ou type d’utilisateur (VIP). Adaptez donc selon votre modèle de gouvernance.
Pour le deuxième niveau de support, je vous conseil de dupliquer le rôle et de changer les paramètres pour gagner du temps :
Activation de « Remote Help »
- Se connecter au Centre d’administration Microsoft Endpoint Manager
- Accédez à l’Administration du tenant, puis Connecteurs et jetons
- Ouvrez l’onglet Paramètres
- Définissez Activer l’aide à distance sur Activé
- Autoriser ou non l’aide à distance sur les appareils non-inscrits
- Cliquez sur Enregistrer
Déploiement de l’app « Remote Help »
L’application « Remote Help » peut être téléchargé à partir du site Web de Microsoft. Pour la déployer avec Endpoint Manager, nous allons devoir encapsuler le fichier d’installation avec le Wrapper Win32 disponible sur GitHub. Une fois cette opération réalisé, importer le package dans la console Endpoint Manager.
La commande « Remotehelp.exe /? » nous permet d’en savoir un peu plus sur les commutateurs :
Dans notre exemple nous utiliserons :
"Remotehelp.exe /install /quiet acceptTerms=YES"
Attention, le commutateur « /install » est obligatoire
Pour la règle de détection, faute de la présence d’un code MSI j’utilise une règle d’existence de l’exécutable :
Assignez ensuite l’application sur vos appareils Windows pour initier le déploiement
Fournir une assistance
Pour démarrer l’outil, vous pouvez l’ouvrir à partir du « menu Démarrer » mais également directement à partir du portail Intune. Dans le menu d’action, cliquez sur les points à droite et cliquez sur « Nouvelle session d’assistance à distance. »
Nota : pour une raison que j’ignore l’option est toujours grisé sur mon tenant de test, il est probable que la feature sois toujours en cours d’activation.
Une fois l’application lancé, vous constaterez la première différence majeure avec Quick Assist, la nécessité de nous connecter à l’application avec un compte d’organisation. Vous devrez également accepter des conditions d’utilisations (Privacy) car l’application partage des informations personnelles avec l’opérateur distant comme le nom & prénom ainsi votre photo de profil par exemple.
- L’utilisateur connecté sur l’application est affiché en haut
- la machine sur laquelle est exécuté l’application (présenté à l’opérateur) est affiché sous le code de sécurité
- L’opérateur génère un code à envoyer à l’utilisateur nécessitant une aide (le code expire au bout de 10 minutes)
Partage du code avec l’utilisateur nécessitant un support & la possibilité d’envoyer les instructions pour faciliter le support.
Une fois que l’utilisateur à entré le code de sécurité, l’opérateur à distance est prévenu que l’utilisateur est prêt à recevoir le support. En fonction des droits attribués à l’opérateur celui peut soit se contenter de voir l’écran de l’utilisateur (View Screen) ou bien prendre le contrôle de l’appareil. (Take full control)
L’utilisateur voit des informations sur l’opérateur (nom, prénom, organisation, adresse mail) afin de s’assurer que cette personne est bien du service informatique.
Aucun doute, « Remote Help » ressemble comme deux gouttes d’eau à Quick Assist. Nous avons des options pour sélectionner le moniteur, basculer entre les tailles d’écran, démarrer le gestionnaire de tâches et nous pouvons même écrire à l’utilisateur. Dans le coin supérieur gauche, « Remote Help » indique si l’utilisateur est administrateur de son appareil ou non. Cerise sur le gâteau, « Remote Help » gère l’élévation des droits permettant à l’opérateur d’exécuter des commandes avec une élévation de privilège.
Monitoring
Coté monitoring des prises en main à distance, la solution offre un reporting dans la console (là ou nous avons activé la conventionnalité en début d’article). Celui-ci fourni un visuel de la durée moyenne des sessions ainsi que le total des sessions.
Microsoft propose également une liste des sessions. La liste affiche l’ID du fournisseur de l’assistance, l’ID de l’utilisateur, le nom de l’appareil, la durée de la session. En ajoutant des colonnes vous pouvez obtenir plus d’informations comme le type de prise en main (FullControl ou ViewOnly) ou l’ID de l’appareil Azure AD.
Conclusions
Microsoft propose ici une solution qui tiens la route et qui fais « le job ». Néanmoins, la disponibilité générale étant prévu pour le début d’année 2022, on peut s’interroger si Microsoft prévoit d’étendre les fonctionnalités dans le future. Même si l’intégration de TeamViewer dans Intune se contente du minimum, celui ci dispose d’autres arguments comme le support d’Android & iOS. Aussi, la volonté de Microsoft de facturer indépendamment ou dans un bundle ce type de fonctionnalité risque de froisser les clients ayant Microsoft 365 E5.