Esta excelente idea para la administración remota en equipos administrados por Microsoft Intune en la organización a sido Quick Assist, aplicación integrada en las ultimas construcciones de sistemas operativos de Windows de Microsoft, aunque para algunas versiones esta caracteristicas o aplicacion viene deshabilitada, (no en todos los casos). De acuerdo a este excelente post de mi colega Oliver. Link.
Me dio por probar esta característica y por que así, sabemos que Microsoft Intune tiene una especie de convenio con Teamviewer en donde nosotros podemos a través de su aplicación conectarnos remotamente a los equipos, aunque cabe señalar que para dispositivos móviles, esta solución sigue siendo la numero 1 a mi parecer.
Para tener mas en claro esta configuración podemos verla en nuestro portal de Microsoft Intune.
Aquí el manual de como configurar Teamviewer con Microsoft Intune.
Ahora regresando a Quick Assist, esta característica la podemos encontrar en la siguiente ruta.
Settings – Apps – Optional Features.
Una vez instalada veremos la aplicación en nuestro escritorio.
Ahora bien, acuerdo a lo citado por Oliver, Quick Assist incorporado menos conocido de Windows 10 implementa una forma diferente de conectarse al cliente remoto. El soporte se conecta a un servicio en la nube de Microsoft iniciando Quick Assist e iniciando sesión con una cuenta de Microsoft (se admiten cuentas de MSA y AAD).
Quick Assist mantendrá una conexión con el servicio en la nube de Microsoft y el soporte recibirá un código de conexión.
El usuario que necesita asistencia también inicia la Asistencia rápida y conecta la misma sesión especificando el código de conexión. De esta forma, ambos clientes pueden usar conexiones salientes al servicio en la nube de Microsoft y el servicio en la nube actúa como un intermediario entre ambos clientes. Esto permite una conectividad flexible a clientes remotos donde sea que estén.
Por lo que para poder realizar una conexión exitosa con un equipo administrado por Microsoft Intune, debemos deshabilitar UAC (User Account Control), para realizarlo tenemos varias maneras.
- Desde el dispositivo de forma manual
- MDM Security Baselines (link)
- Script de Powershell
- OMA-URI
Para este post vamos a realizar las ultimas dos opciones para que estas configuraciones se apliquen a los equipos cliente.
Script de Powershell
De acuerdo con el script de Oliver podemos descargarlo desde este link. https://github.com/okieselbach/Intune/blob/master/DisablePromptOnSecureDesktop.ps1
Una vez descargado, lo subimos a nuestro portal de Microsoft Intune desde Powershell Scripts.
OMA-URI
A través de OMA-URI tambien podemos realizar este metodo con la siguiente configuración.
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Esta configuración la podemos encontrar en el siguiente enlace.
Además de poder probar otras dos opciones en sus ambientes de trabajo.
Name: Access Control List
Description: Access Control List
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Data Type: Integer
Value: 0
La siguiente lista muestra los valores admitidos:
0 – Denegar automáticamente las solicitudes de elevación: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta configuración para reducir las llamadas a la mesa de ayuda.
1 – Solicitud de credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se le solicita al usuario en el escritorio seguro que ingrese un nombre de usuario y contraseña diferentes. Si el usuario ingresa credenciales válidas, la operación continúa con el privilegio aplicable.
3 (Predeterminado) – Solicitud de credenciales: cuando una operación requiere elevación de privilegios, se le solicita al usuario que ingrese un nombre de usuario y contraseña administrativos. Si el usuario ingresa credenciales válidas, la operación continúa con el privilegio aplicable.
Agregamos de igual manera al o los grupos en los que se haga la configuración.
Una vez implementado a los grupos deseados, podremos hacer uso de Quick Assist, colocando en el equipo Administrador una cuenta de AAD o Microsoft.
Desde la aplicación damos clic en Assist Another Person.
Debemos enviar el codigo que aparece en la pantalla a la persona que desee asistencia remota.
Se coloca el código en el equipo destino para que el usuario pueda dar permisos.
Se pedirá si se puede tomar el control o solamente a modo vista.
Una vez que el usuario acepte, podremos ver el acceso remoto trabando adecuadamente.
Sin mas por el momento me despido enviándoles un gran saludo a todos mis lectores.