TecTop
A medida que las empresas se volvieron remotas al comienzo de la pandemia de COVID-19, rápidamente se hizo evidente que las VPN empresariales no son efectivas para los trabajadores remotos, y algunas organizaciones tuvieron que limitar a los empleados a conectarse en días alternos para evitar sobrecargar la capacidad de VPN.
Cambiar los recursos que estaban en la red de la oficina a la nube hace que el acceso remoto sea más fácil y eficiente. Sin embargo, las soluciones tradicionales de escritorio remoto en las que muchas organizaciones confían para brindar soporte al usuario final generalmente requieren una VPN, lo que deja a algunos de esos usuarios frustrados por problemas técnicos con los que necesitan ayuda.
El control remoto integrado en Microsoft Endpoint Configuration Manager no funciona para dispositivos que están conectados de forma remota, por ejemplo. También requiere que se administren los dispositivos, por lo que no se puede usar para ayudar a alguien que trabaja desde casa en su propia computadora portátil.
VER: La seguridad y el cumplimiento de los empleados son los mayores desafíos al apoyar a los trabajadores remotos (TechRepublic)
Incluso si el personal está en la oficina, es posible que el equipo de TI no lo esté. Hay muchas herramientas de control remoto en el mercado que se utilizan para soporte, pero generalmente tienen un modelo cliente-servidor, en el que el usuario ejecuta un servicio en segundo plano en su PC. Esto significa que un atacante podría engañarlos para que acepten una conexión y permitan una sesión de control remoto.
Implementar y administrar herramientas de control remoto para los usuarios no siempre es sencillo, especialmente cuando también se hace de forma remota. Incluso si existe una solución oficial, los usuarios pueden instalar sus propias opciones de conexión remota de todos modos. Y dado que las herramientas de control remoto que no se gestionan de forma centralizada eluden de forma eficaz el cortafuegos de la empresa, puede ser difícil incluso saber que ha habido una intrusión o rastrear qué acceso se obtuvo.
Quick Assist obtiene una asistencia
La herramienta Quick Assist integrada en Windows 10 ha sido una opción popular para el soporte remoto, sin puertos de firewall para abrir y sin necesidad de implementar una aplicación adicional o hablar con los usuarios en su propia PC para asegurarse de que no instalen una apariencia maliciosa. -aplicación similar por error al instalar la solución ellos mismos. También incluye seguridad de conexión simple: los equipos de TI podrían dar al usuario un código de acceso corto, para que sepan que la solicitud de conexión remota es confiable.
Cuando Microsoft recientemente reemplazó la aplicación Quick Assisttambién lo movió a la tienda de Microsoft, que dijo que mejoraría el rendimiento de la aplicación y aceleraría la generación de códigos de acceso. Aunque la nueva versión estará preinstalada en la próxima actualización de Windows 11, los usuarios de Windows 10 aún tendrán que instalarla ellos mismos. Esto cambiará en el futuro, pero actualmente necesitan tener una cuenta de usuario administrador para obtenerla y aún no está disponible para las versiones de soporte a largo plazo de Windows 10.
Si bien se puede distribuir como una aplicación fuera de línea a través de Microsoft Store for Business, eso solo funciona hasta fines del primer trimestre de 2023, cuando la tienda comercial será reemplazada por Windows Package Manager, que usa winget e Intune.
Una vez instalado, Quick Assist puede ser la ruta más sencilla para admitir una amplia gama de usuarios, pero las organizaciones más grandes quieren más controles para los permisos de control remoto y más garantías de que el usuario correcto está hablando con el personal de soporte de TI legítimo y viceversa. Para eso, Microsoft tiene un servicio nuevo, aunque algo costoso, con un conjunto granular de controles integrados en Endpoint Manager.
Esto utiliza una nueva aplicación llamada Remote Help que se basa en el código base de Quick Assist pero agrega seguridad adicional y administración de permisos. También es más potente, lo que significa que estos controles adicionales son críticos.
Remote Help permite que el personal de TI ayude a los usuarios de forma remota
Con Quick Assist, si la persona que ayuda necesita hacer algo que requiere permisos elevados, como abrir RegEdit o incluso instalar controladores, debe esperar a que la persona a la que está ayudando haga clic en el indicador de UAC y permita esto. Sin embargo, el soporte no podrá ver lo que dice el aviso de UAC para ayudar a explicárselo a los usuarios.
También deben tener una cuenta de administrador local para poder elevar, y si se han seguido políticas de seguridad sensatas y los usuarios no han recibido cuentas de administrador, no podrán obtener privilegios elevados ni siquiera para instalar la nueva versión de Quick. Asistir.
Con Remote Help, el soporte ve el aviso de UAC y puede interactuar con él; eso significa que pueden hacer clic en sí mismos si la persona a la que están ayudando tiene un administrador local o iniciar sesión con su propia cuenta para obtener privilegios elevados para ejecutar herramientas de solución de problemas. Si una política de seguridad requiere tener un administrador local para instalar software o controladores nuevos, alguien que compró una impresora o un teclado nuevos para ser más productivos en su oficina doméstica no puede instalarlos por sí mismo; con Remote Help, el personal de TI puede hacerlo por ellos.
Debido a que pueden elevar los privilegios de forma remota, desea asegurarse de que la persona que se conecta sea quien dice ser. Remote Help se basa en Azure Active Directory para eso, mostrando la foto de perfil, los detalles de la empresa, el cargo, la dirección de correo electrónico y otra información de Azure AD, para que los usuarios sepan que pueden confiar en la persona que los ayuda y el personal de TI sepa más sobre quiénes son. están ayudando, lo que puede ser útil para resolver su problema.
Eso significa que Remote Help no se puede usar para ayudar a las personas que no están en el inquilino de la organización, sin requerir que las PC estén inscritas en Intune. Remote Help también admite terminales en la nube y coadministrados, así como PC en la nube con Windows 365 y Azure Virtual Desktop.
La ayuda remota es compatible con Endpoint Manager
Remote Help utiliza los controles de acceso basados en roles de Endpoint Manager, de modo que los administradores pueden administrar los permisos para elegir quién puede ayudar a qué usuarios y qué pueden hacer. Los grupos se pueden asignar para establecer niveles de soporte técnico y para especificar qué grupo de usuarios obtiene diferentes niveles de soporte, determinando el alcance de los roles del servicio de asistencia técnica por departamento, responsabilidad, geografía o cualquier otra forma en que se configuren los grupos.
Use RBAC para establecer qué ayudantes solo podrán ver lo que está en la pantalla, quién puede tomar el control total del dispositivo y quién puede usar sus credenciales de administrador para elevar. También se recomienda tener controles adicionales para proteger los dispositivos de los usuarios del equipo de finanzas que manejan datos confidenciales, por ejemplo.
La integración de Endpoint Manager también significa que el personal de TI puede rastrear quién participó en cada sesión de soporte, en qué dispositivo y cuánto tiempo tomó; aunque hay más detalles sobre las sesiones de ayuda remota en los dispositivos administrados que en las PC no inscritas. Reports Manager ayuda a identificar tendencias, como problemas repetidos con el mismo dispositivo o un modelo de PC específico o dentro de una ubicación particular que podría indicar problemas subyacentes.
Además de hacer que los usuarios soliciten ayuda a través de la aplicación, el personal de TI también puede iniciar una sesión de ayuda remota directamente desde Endpoint Manager si ven que un dispositivo no cumple con los requisitos: una PC no administrada que no está encriptada o que usa OneDrive personal en lugar de OneDrive. for Business, por ejemplo, o si ven que el usuario tiene poca batería o mal rendimiento de la red.
Y cuando se conectan a un dispositivo, hay una advertencia si no cumple con los requisitos, tal vez porque está atrasado en Windows Update o Defender está desactivado, por lo que saben que no deben elevar los privilegios ni usar herramientas de solución de problemas que puedan exponer información confidencial a un atacante si la PC ha sido comprometida.
Las frustraciones remotas permanecen
Hay algunas cosas sobre Remote Help que los usuarios pueden encontrar confusas. Por ejemplo, un ayudante que tiene permiso para elevar los privilegios ha usado el control total para conectarse a la PC de un usuario, entonces tanto el ayudante como el usuario cerrarán sesión en esa PC cuando finalice la sesión para asegurarse de que se eliminen los permisos elevados, incluso si en realidad no encontraron un aviso de UAC o no usaron sus credenciales para tareas de administración. Eso puede significar que los empleados pierdan trabajo que no han guardado. Afortunadamente, esto estará cambiando.
En una actualización futura, los ayudantes tendrán que confirmar que necesitan interactuar con las indicaciones de UAC, y los usuarios solo se cerrarán después de la sesión si el ayudante ha hecho clic en Sí. Además, cuando los usuarios hacen clic para cerrar una sesión de Ayuda remota en la que el ayudante tiene privilegios elevados, recibirán una advertencia de que se desconectarán para limpiar esos privilegios y podrán dejar la sesión abierta si necesitan guardar trabajo. o terminar algo en lo que están trabajando.
Cuando la persona que ayuda es la que cierra la sesión, no se cerrará la sesión del usuario, incluso si la sesión se ha elevado, por lo que el personal de la mesa de ayuda tendrá que recordar cerrar cualquier proceso elevado que abran, de la misma manera que lo harían. si se hubieran acercado a la computadora de alguien para ayudarlos.
VER: Política de seguridad de dispositivos móviles (TechRepublic Premium)
Aunque los ayudantes no necesitan que los usuarios hagan clic en UAC, sí necesitan que estén frente a su PC y acepten la sesión de Ayuda remota, por lo que no es compatible con el acceso desatendido. El personal de la mesa de ayuda puede encontrarlo frustrante, pero puede asegurar a los empleados que sus dispositivos personales no serán accedidos o actualizados sin que ellos lo sepan solo porque los usan para trabajar.
Aunque está integrado en Endpoint Manager, Remote Help necesita una licencia adicional ($3,50 por usuario al mes) tanto para los usuarios como para el personal de la mesa de ayuda, así como una licencia de Intune (independiente o como parte de Enterprise Mobility+ Security E3/5, Microsoft 365 E3/5 o F3/5). Además, por ahora, Remote Help solo funciona con Windows 10 y 11, incluidas las PC con Windows 365 Cloud, pero la aplicación estará disponible para Android pronto. Es probable que llegue a otros dispositivos y plataformas en el futuro, lo que hará que Remote Help sea más competitivo con soluciones como Team Viewer, pero el precio lo mantendrá fuera del alcance de las organizaciones con un presupuesto de TI muy ajustado.
