Windows Intune – Warum funktioniert Remoteunterstützung nicht?

Gestern habe ich eine Video-Serie zu Windows Intune produziert. Dabei bin ich über einen scheinbaren Fehler der Remoteunterstützung gestolpert: Der Benutzer kann zwar Remoteunterstützung anfordern, aber sobald der Administrator die Anforderung bestätigt und auf seiner Seite Microsoft Easy Assist gestartet wird, öffnet sich beim Benutzer lediglich ein Fenster, das die Eingabe von Verbindungsinformationen fordert. Diese Verbindungsinformationen liegen jedoch weder dem Benutzer noch dem Administrator vollständig vor. Ein Bug in der Windows Intune-Beta? Nach zwei Tassen Kaffee und einer kurzen Recherche stellte sich heraus, daß hier gar kein Fehler vorliegt, statt dessen ist die Client PC-Konfiguration nicht korrekt. Genauer gesagt: die Windows Firewall blockiert in der Default-Konfiguration einen Teil der Kommunikation von Microsoft Easy Assist.

Ein Blick auf ‘Windows-Firewall mit erweiterter Sicherheit’ zeigt, wo das Problem liegt:

Wie sie hier sehen können, sind für Remoteunterstützung ‘PNRP eingehend’ und ‘TCP eingehend’ nicht als Firewall-Ausnahmen aktiviert, das gleiche gilt auch für die ausgehenden Verbindungen. Dadurch wird zwar die Anforderung des Benutzers weitergeleitet, jedoch kann der Microsoft Easy Assist-Client die Verbindungsinformationen vom Administrator nicht empfangen und fragt dann eben beim Benutzer nach.

Die Problemlösung ist demnach ziemlich einfach: Definieren Sie in Windows Intune eine Firewall-Richtlinie, in der Sie Remoteunterstützung als Ausnahme aktivieren:

Übrigens: Falls Sie noch keinen Zugang zur Windows Intune-Beta haben, wird’s allmählich Zeit, denn die Plätze sind begrenzt: Also auf zur Anmeldung unter https://www.microsoft.com/online/windowsintune-beta.aspx!

Mit freundlichen Grüßen!

Ralf M. Schnell