COVID-19パンデミックが始まった当初、企業がリモートワークに移行したため、エンタープライズVPNはリモートワーカーには効果的ではないことがすぐに明らかになりました。一部の組織では、VPN容量の過負荷を回避するために、従業員が隔日で接続するように制限する必要が生じました。
オフィスネットワーク上にあったリソースをクラウドに移行することで、リモートアクセスがより容易かつ効率的になります。しかし、多くの組織がエンドユーザーサポートに頼っている従来のリモートデスクトップソリューションは、通常VPNを必要とするため、技術的な問題でサポートが必要なユーザーには不満が生じています。
Microsoft Endpoint Configuration Manager に組み込まれているリモートコントロールは、例えばリモート接続されているデバイスでは機能しません。また、デバイスを管理する必要があるため、自宅で自分のラップトップで作業しているユーザーをサポートするためには使用できません。
参照: リモートワーカーをサポートする際の最大の課題はセキュリティと従業員のコンプライアンス (TechRepublic)
たとえスタッフがオフィスにいても、ITチームはオフィスにいない可能性があります。サポート用のリモートコントロールツールは市場に数多く存在しますが、それらは通常、クライアントサーバーモデルを採用しており、ユーザーはPC上でバックグラウンドサービスを実行しています。つまり、攻撃者はユーザーを騙して接続を受け入れさせ、リモートコントロールセッションを許可させてしまう可能性があります。
リモートコントロールツールのユーザーへの導入と管理は、必ずしも簡単ではありません。特にリモートから操作する場合はなおさらです。公式のソリューションが存在していても、ユーザーが独自のリモート接続オプションをインストールする可能性があります。また、集中管理されていないリモートコントロールツールは企業のファイアウォールを効果的に回避するため、侵入があったことや、どのようなアクセスが行われたかを追跡することさえ困難です。
クイックアシストがアシストを獲得
Windows 10 に組み込まれたクイックアシストツールは、リモートサポートの選択肢として人気を博しています。ファイアウォールポートを開く必要がなく、追加のアプリを導入したり、ユーザーがソリューションをインストールする際に誤って悪意のある類似アプリをインストールしないようにユーザーのPCで話しかけたりする必要もありません。また、シンプルな接続セキュリティも備えています。IT チームはユーザーに短いパスコードを提供することで、リモート接続要求が信頼できるものであることをユーザーに確認できます。
Microsoftは最近、クイックアシストアプリを置き換えた際に、Microsoft Storeへの移行も行いました。これによりアプリのパフォーマンスが向上し、パスコードの生成が高速化されるとのことです。新バージョンはWindows 11の次期アップデートでプリインストールされますが、Windows 10ユーザーは引き続き自分でインストールする必要があります。これは将来的に変更される予定ですが、現時点では管理者アカウントでのみインストールでき、Windows 10の長期サポートリリースではまだ利用できません。
Microsoft Store for Business を通じてオフライン アプリとして配布することはできますが、これは 2023 年第 1 四半期末までしか機能せず、その時点でビジネス ストアは、winget と Intune を使用する Windows パッケージ マネージャーに置き換えられます。
クイックアシストは、インストール後すぐに幅広いユーザーをサポートできる最もシンプルな方法と言えるでしょう。しかし、大規模な組織では、リモートコントロールの権限をより細かく制御し、適切なユーザーが正当なITサポートスタッフとやり取りしていることをより確実にしたいと考えるでしょう。そこでマイクロソフトは、エンドポイントマネージャーに統合されたきめ細かな制御機能を備えた、やや高額ではありますが新しいサービスを提供しています。
これは、クイックアシストのコードベースをベースにしつつ、セキュリティと権限管理を強化した「リモートヘルプ」という新しいアプリを使用します。また、より強力な機能を備えているため、これらの追加機能は非常に重要になります。
リモートヘルプを使用すると、ITスタッフがリモートでユーザーを支援できます。
クイックアシストでは、サポート担当者がレジストリエディターの起動やドライバーのインストールなど、昇格された権限を必要とする操作を実行する必要がある場合、サポート対象者がUACプロンプトをクリックして許可するまで待たなければなりません。ただし、サポート担当者はUACプロンプトの内容を確認してユーザーに説明することはできません。
また、昇格するにはローカル管理者アカウントが必要ですが、適切なセキュリティ ポリシーに従っていてユーザーに管理者アカウントが付与されていない場合は、新しいバージョンの Quick Assist をインストールするための昇格権限を取得することさえできません。
リモートヘルプを使用すると、サポート担当者はUACプロンプトを確認し、操作することができます。つまり、サポート対象者がローカル管理者であれば、サポート担当者自身でクリック操作を実行できます。また、自身のアカウントでログインして、トラブルシューティングツールを実行するための昇格権限を取得することもできます。セキュリティポリシーで新しいソフトウェアやドライバーのインストールにローカル管理者が必要なケースでは、自宅のオフィスでの生産性向上のために新しいプリンターやキーボードを購入した人が自分でインストールすることはできません。リモートヘルプがあれば、ITスタッフが代わりにインストールできます。
リモートで権限を昇格できるため、接続相手が本人であることを確認する必要があります。リモートヘルプはAzure Active Directoryを利用しており、プロフィール写真、会社情報、役職、メールアドレスなどの情報をAzure ADから取得して表示します。これにより、ユーザーはサポート担当者を信頼できると判断でき、ITスタッフはサポート対象者の情報を把握できるため、問題解決に役立つ可能性があります。
つまり、PC を Intune に登録せずに、組織のテナントに属していないユーザーをリモート ヘルプでサポートすることはできません。リモート ヘルプは、クラウド エンドポイントと共同管理エンドポイントの両方に加え、Windows 365 クラウド PC と Azure Virtual Desktop もサポートします。
リモートヘルプはエンドポイントマネージャーによってサポートされています
リモートヘルプはエンドポイントマネージャーのロールベースのアクセス制御を使用しているため、管理者は権限を管理し、どのユーザーがどのユーザーを支援できるか、またそのユーザーにどのような権限が付与されるかを選択できます。グループを割り当てることで、ヘルプデスクサポートの階層を設定し、どのユーザーグループに異なるレベルのサポートを提供するかを指定できます。また、部門、責任、地域など、グループの設定内容に応じてヘルプデスクの役割を絞り込むことも可能です。
RBAC を使用すると、画面表示のみを許可するヘルパー、デバイスを完全に制御できるヘルパー、管理者の資格情報を使用して昇格できるヘルパーを設定できます。また、例えば財務チームで機密データを扱うユーザーのデバイスを保護するために、追加の制御機能を導入することも推奨されます。
Endpoint Managerとの連携により、ITスタッフは各サポートセッションに誰が参加し、どのデバイスで、どのくらいの時間がかかったかを追跡できます。ただし、管理対象デバイス上のリモートヘルプセッションは、未登録PCよりも詳細な情報が得られます。Reports Managerは、同じデバイス、特定のPCモデル、特定の場所で繰り返し発生する問題など、根本的な問題を示唆する傾向を特定するのに役立ちます。
ユーザーがアプリを通じてヘルプを依頼できるだけでなく、IT スタッフは、デバイスがコンプライアンスに準拠していない (たとえば、暗号化されていない管理されていない PC や、OneDrive for Business ではなく個人用の OneDrive を使用している) ことがわかった場合や、ユーザーのバッテリ寿命が短い、またはネットワーク パフォーマンスが悪いことがわかった場合に、エンドポイント マネージャーから直接リモート ヘルプ セッションを開始することもできます。
また、デバイスに接続すると、Windows Update が遅れていたり、Defender がオフになっているなど、コンプライアンス違反の場合は警告が表示されるため、PC が侵害されている場合に、権限を昇格したり、攻撃者に機密情報を公開する可能性のあるトラブルシューティング ツールを使用したりしないよう認識されます。
リモートの不満は残る
リモートヘルプには、ユーザーにとって分かりにくい点がいくつかあります。例えば、権限の昇格権限を持つヘルパーがフルコントロール権限を使用してユーザーのPCに接続した場合、UACプロンプトが表示されたり、管理者タスクに資格情報を使用したりしていなくても、セッション終了時にヘルパーとユーザーの両方がPCからログオフされ、昇格された権限が確実に削除されてしまいます。これは、従業員が保存していない作業内容を失うことを意味する場合があります。幸いなことに、これは変更される予定です。
今後のアップデートでは、ヘルパーはUACプロンプトへの対応が必要かどうかを確認する必要があり、セッション終了後にユーザーがログオフされるのは、ヘルパーが「はい」をクリックした場合のみになります。また、ヘルパーが昇格された権限を持つリモートヘルプセッションをユーザーがクリックして閉じようとすると、権限を消去するためにログオフされるという警告が表示されます。作業内容を保存したり、作業中のタスクを完了したりする必要がある場合は、セッションを開いたままにすることができます。
支援する人がセッションを閉じると、セッションが昇格されていてもユーザーはログオフされません。そのため、ヘルプデスクのスタッフは、誰かを支援するためにその人のコンピューターまで歩いて行ったときと同じように、開いた昇格されたプロセスをすべて閉じることを忘れないようにする必要があります。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
ヘルパーはユーザーにUAC(ユーザーアカウント制御)をクリックさせる必要はありませんが、ユーザーがPCの前にいてリモートヘルプセッションを承認する必要があるため、無人アクセスはサポートされません。ヘルプデスクのスタッフにとっては煩わしいかもしれませんが、従業員にとっては、業務で使用しているからといって、個人所有のデバイスが知らないうちにアクセスされたり更新されたりすることはないという安心感につながるでしょう。
Endpoint Managerに統合されていますが、Remote Helpを使用するには、ユーザーとヘルプデスクスタッフの両方に追加ライセンス(1ユーザーあたり月額3.50ドル)とIntuneライセンス(スタンドアロンまたはEnterprise Mobility+ Security E3/5、Microsoft 365 E3/5、F3/5の一部として)が必要です。また、現時点ではRemote HelpはWindows 10および11(Windows 365 Cloud PCを含む)でのみ動作しますが、近日中にAndroid版も提供される予定です。将来的には他のデバイスやプラットフォームにも対応し、Team Viewerなどのソリューションとの競争力が高まる可能性がありますが、IT予算が非常に限られている組織にとっては価格が手頃ではないでしょう。
