在这个数字化时代,远程协作和远程管理已经成为企业运营的重要组成部分。为了帮助大家更好地利用TeamViewer与Intune相结合的优势,本教程介绍了如何启用TeamViewer Connector并启动对Intune-Managed设备的远程协助请求,还概述了集成提供的各种功能。
一、介绍
TeamViewer -Intune集成的目标是使IT管理员能够远程管理Intune管理的设备;为信息工作者提供远程协助。
通过故障排除平台,管理员将:
- 远程解决许可,注册和合规性问题甚至应用程序安装失败等问题;
- 执行远程任务,例如管理移动应用程序,文件传输系统日志,查看设备系统信息,监控硬件性能,包括CPU利用率,RAM使用情况和设备存储信息;
- 节省时间,降低现场,面对面的服务电话和维护的差旅费用。
二、先决条件
假设读者熟悉在Azure中使用Intune。
- 具有合格许可证的有效TeamViewer 帐户;
- Intune产品许可证分配给Intune管理员帐户;
足够的权限。Endpoint Manager管理中心中的Intune管理员必须具有以下InTune角色:
- 更新远程协助:允许管理员修改TeamViewer 连接器设置;
- 请求远程协助:允许管理员为任何用户启动新的远程协助会话。 具有此角色的用户不受范围内任何Intune角色的限制。 此外,在作用域内分配了Intune角色的用户或设备组也可以请求远程协助。
Microsoft Endpoint ➜ 租户管理 ➜ 角色 ➜ 所有角色 ➜ Intune角色 – 权限 ➜ 远程任务:
- 请求远程协助:使用TeamViewer 启动与用户设备的远程协助会话。 必须为租户配置TeamViewer 。 TeamViewer 的远程协助支持Windows MDM托管PC,Android PC。 不支持HoloLens,Surface Hub和Windows 10 S设备。
三、软件要求/设备支持
- 支持的管理员平台通过TeamViewer (Classic)完整版应用程序建立传出连接:Windows,MacOS,Linux,iOS,Android;
- 支持信息工作者端点平台允许通过QuickSupport App进行传入连接;
- 支持Windows MDM托管PC(使用“无用户”方法注册的Windows设备(例如DEM和WCD)不会在公司门户应用程序中显示TeamViewer (Classic)通知。);
- Android设备管理员(DA);
- 具有工作档案(BYOD)的Android Enterprise个人拥有的设备(不支持专用和完全托管的Android设备);
- MacOS;
- iOS。
注意:
- 不支持HoloLens,Surface Hub和Windows 10 S设备;
- 必须使用公司门户应用程序才能接收/允许远程请求,无法将集成用于通过InTune应用程序管理的设备。
四、主要特点
Intune中的TeamViewer 集成提供了主要的功能和工作流程:
- 允许IT管理员在Intune主页上无缝启动远程会话;
- 通过公司门户应用程序将远程请求通知信息工作者;
- 支持与Intune管理的设备同时进行多个选项卡式会话;
- 大规模部署对Windows和Android设备的无人值守访问;
- 使用RSA公钥/私钥交换和AES 256位加密来保护所有会话。
集成对管理员有所帮助; 如果有支持案例并且TeamViewer Connector已预先内置到 Intune平台中时,可以简化远程管理。 无需单独安装!
五、TeamViewer客户端安装
管理员需要在笔记本电脑上安装TeamViewer 完整版客户端。要安装TeamViewer 应用程序,请执行以下步骤:
- 通过调用以下URL下载适用于操作系统的TeamViewer 安装程序:https://www.teamviewer.com/en/download/;
- 运行下载的应用程序。选择“默认安装”选项,如下所示,然后单击“接受 – 完成”按钮;
- 如果弹出“用户帐户控制”对话框,请单击“是”按钮。 TeamViewer 安装将继续并完成。
六、启用TeamViewer连接器
Intune中的TeamViewer 集成是预构建的,只需要最终用户启用集成并连接其TeamViewer (Classic)帐户。
请确保满足先决条件。要启用TeamViewer 集成:
- 用户应设置TeamViewer 连接器,访问设备并创建客户端应用程序;
- TeamViewer 连接器位于Endpoint Manager管理➜ 租户管理➜ 连接器和令牌➜ 跨平台➜ TeamViewer 连接器中,如以下截屏所示:
- 管理员将被重定向到TeamViewer 以输入TeamViewer 账户信息并接受所需的权限;
- 接下来,通过选择以下内容授权Intune访问TeamViewer 帐户:’登录TeamViewer 进行授权’:
- 授权的TeamViewer 帐户将被重定向到Microsoft Intune,需要使用Microsoft账户信息登录:
- 成功后,会显示一条确认消息:’TeamViewer 已成功连接。 现在可以关闭此窗口’将显示并且连接状态显示为绿色’活动’。
如果用户在此步骤后出现错误消息,请检查与该帐户关联的Intune许可证。
七、请求远程协助
若要远程管理 Intune 托管设备,管理员需要通过 Microsoft Endpoint Manager“设备”➜ “所有设备”选择设备。 在此用例中,我们将通过 Microsoft Endpoint Manager 远程协助会话选项向用户的设备请求远程协助。
一旦IT选择了有问题的设备,他们就可以查看列出设备状态的完整仪表板,并通过选择右上角的“…更多”向用户的设备发起“新远程协助会话”。
生成远程协助会话后,将显示“启动远程协助”,将管理员带入等待门户,直到最终用户接受请求。
在远程端,公司门户应用程序的标志通知提示IW接受请求并确认允许远程控制。
注意:
- 如果安装了TeamViewer ,则设备将重定向到已安装的应用程序。 如果未安装TeamViewer , 则设备将提示下载TeamViewer QuickSupport,以便能够与设备建立连接;
- 远程协助用于需要最终用户交互的有人值守访问;
- 远程会话通过TeamViewer QuickSupport App进行,该应用程序作为LOB或托管应用程序添加到Intune➜ Client Apps中;
- 如果已安装,仅Windows操作系统上的TeamViewer 主机也将接受远程协助请求;
- 必须先安装适用于移动设备的QuickSupport应用程序和附加组件,然后才能进行远程会话;
- 如果在远程请求之前未安装QuickSupport App,则在接受远程协助后,最终用户将自动进入App Store进行下载。
八、部署TeamViewer MSI包
TeamViewer 提供了一个MSI部署包,可以将TeamViewer 完整客户端或Host模块安装到整个Windows 10设备网络中,而无需IT人员离开他们的办公桌或需要最终用户的手动操作。
注意:
- 部署TV MSI包需要TeamViewer 专业版订阅计划,并且需要TeamViewer 完整客户端才能查看受管设备;
- 如果主机安装在用户的设备上,IT管理员仍然可以通过有人值守访问请求远程协助,从而允许会话通过公司门户应用程序传递。
将MSI部署为Line-of-Business应用程序时,IT管理员可以通过cmd命令行开关参数来配置:
- 自动应用自定义主机的设置,包括特定的设置策略;
- 将已安装的主机分配给一个帐户;
- 启用轻松访问来进行无人值守访问。
部署MSI包的步骤:
- 作为先决条件,我们需要使用管理员帐户进入TeamViewer 管理控制台;
- 在屏幕的左侧,选择“设计和部署”部分。 然后,在页面的右上角单击标题为“添加主机”的按钮。 在出现的下拉菜单中,选择主机。
在配置屏幕中,可以自定义Host(主机)模块。 以下可视化自定义项可用于自定义的主机:
- 名称:可以编辑窗口的名称;
- 文本:可以编辑呈现在主窗口的欢迎信息;
- 标志:选择标志,该标志将呈现在主窗口的上方;
- 文本颜色:可以编辑字体颜色;
- 背景颜色:可以编辑背景颜色。
九、自定义主机设置
自定义主机模块上提供以下设置:
- 名称- 用于在自定义模块表中的识别不同模块;
- 自动将计算机添加至计算机列表中的群组- 如果勾选了此复选框,安装了 TeamViewer 主机模块的每台设备都会自动添加至计算机&联系人列表中的选定群组。在计算机&联系人列表中为这些设备选择一个群组;允许用户创建服务请求- 如果勾选了此复选框, TeamViewer 主机的用户可以主动发启服务请求。 为此,当客户打开该模块时,主机模块上将出现帮助我的按钮。在计算机&联系人列表中为这些计算机选择一个群组;
- 默认责任人- 可以为使用此自定义主机创建的所有服务案例选择默认责任人;
- 允许客户初始化聊天 – 客户可以在连接之前在聊天框中发送消息;
- TeamViewer 策略- 为设备分配 TeamViewer 策略。在该策略中定义的设置将会在安装Host模块时进行配置;
- 允许通过分配工具进行帐户分配 – 帐户分配无需确认也可自动激活轻松访问。
- 当完成了自定义主机设定配置,请点击 保存 按钮。将出现一个对话框,其中包含主机EXE版本的自定义下载链接,以及在MSI部署期间使用的API令牌;
- 复制这些项目并将其记录下来,以便以后在部署中使用。 记录完成后,单击右下角的“确定”关闭对话框并返回“设计和部署”页面;
- 返回“设计和部署”页面,将在列表中看到新的自定义主机。 将鼠标移到主机的行上并移动到右边缘。 单击显示的“编辑”按钮以编辑自定义主机设置;
- 在“编辑”对话框中,将在部署所需的右下角显示新信息。 可能需要滚动对话框以查看如下图所示。 在本节的底部将是一个称为配置ID的行。 MSI部署命令将需要此字符串,因此请复制并记录此字符串以供以后使用;
- 然后,可以单击标题为“下载MSI”的链接。 这将下载包含主机(TeamViewer_Host.msi)和完整客户端(TeamViewer.msi)的通用MSI安装程序的ZIP文件。
- 既然MSI文件和部署参数可用,我们可以在Intune中创建包;
- 在Intune仪表板中,我们导航到“客户端应用程序”部分,选择“添加”,对于“应用程序类型”,选择“业务线应用程序”。
在App package文件下,打开文件资源管理器,然后选择以前下载并解压缩的名为TeamViewer_Host.msi的MSI文件。 配置定义App的描述的详细信息,将TeamViewer 作为受信任的发布者输入,最重要的是粘贴所需的命令行参数。
这是推荐的命令行,用于安装本文前面创建的自定义主机。 将%YOURAPITOKEN%和%YOURCUSTOMCONFIGID%替换为之前保存和记录的API令牌和配置ID。如果要在安装此主机时启用无人参与访问(也称为Easy Access),请将此参数添加到命令行的末尾:
/qn CUSTOMCONFIGID=%YOURCUSTOMCONFIGID% APITOKEN=%YOURAPITOKEN% ASSIGNMENTOPTIONS="--alias %COMPUTERNAME% --grant-easy-access --reassign"
- 保存参数后,将分配管理为“必需”,以静默方式强制安装,选择设备组并确认已保存所有更改;
- 然后保存应用程序,设备将开始安装;
- 监控安装状态; 确认部署成功后,我们交叉引用设备的主机名并从TeamViewer 完整客户端安全无人值守访问。
十、大规模部署Android主机
通过Intune的EMM系统 – 支持托管应用程序的应用程序配置策略,管理员可以部署TeamViewer 主机应用程序以支持Android手机和平板电脑。
部署Android主机后,除了远程查看和远程控制之外,TeamViewer 还支持聊天支持,安全文件传输,查看系统信息以及停止或卸载有问题的应用程序的功能。 管理员现在可以通过访问用作POS系统或信息亭的无人值守设备获益。
1、部署Android主机
- 作为先决条件,我们需要使用Admins帐户进入TeamViewe;
- 导航到右上角,然后选择“添加Android主机”;
- 在配置屏幕中,定义模块的名称,然后选择受管设备将显示的组。 保存模块后,请务必复制配置链接以供后续步骤使用;
- 导航至Endpoint Manager ➜ 租户管理 ➜ Android ➜ 管理的Google Play,以确保已将托管的Google Play帐户与Intune相关联,并授予向Google发送用户和设备信息的权限;
- 打开管理的Google Play商店;
- 在Play商店中,管理员将搜索TeamViewer 主机应用程序,并确保它被批准为托管应用程序以及特定于设备的任何其他添加项,以允许完整的控制功能;
- 同步后,托管应用程序将显示在Intune仪表板中,管理员将验证所需的应用程序是否已分配给包含要部署的预期设备的组;
- 使用我们在上一步骤3中保存的ConfigID,添加一个App Config Policy,其中包括名称,描述和受管设备作为注册类型;
- 选择Android作为平台并选择关联的应用程序后,使用配置设计器或JSON编辑器配置权限;
- 在此示例中,我们使用配置设计器将值类型添加为“string”,并将ConfigID粘贴为配置值。
TeamViewer 使用设备序列号作为默认名称值。然而,你也可以使用不同的变量,如下图所示。
在配置设计器中还有其他选项,这超出了本文的范围。
最后,将范围分配给与移动应用程序部署范围相同的移动设备组。
- 主机将作为工作配置文件下的托管应用程序安装;
- 打开TeamViewer Full Client,我们选择已分配的组,双击受管设备并执行远程管理。
注意:请确保默认的“设备类型限制”未阻止“Android工作资料”,并且权限配置为“允许”。