Windowsの標準機能でできる、突然始まったリモートワークのためのリモートITサポート：企業ユーザーに贈るWindows 10への乗り換え案内（72）

新型コロナウイルス感染症（COVID-19）の感染拡大に伴い、企業や教育機関の要請に従いリモートワークやリモート教育に切り替えた人は多いと思います。中には、リモートワーク環境やモバイル環境が十分に整備されていない中、リモートワークを開始したところもあるでしょう。IT部門の担当者自身もまた、出社せずに、リモートワークでのヘルプデスク対応やトラブル対応が求められるかもしれません。事前に準備をしていなかったとしても、Windowsの標準機能である程度対応できます。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

絶対にやってはいけないことは、自宅のPCへのリモートデスクトップ接続の許可

　WindowsのPro以上のエディション（つまり、Home以外のエディション）は「リモートデスクトップ接続」機能を標準搭載しており、「リモートデスクトッププロトコル（RDP）」のTCP/UDPポート「3389」でリモートからのデスクトップへの接続を可能にします。

　この機能は、社内ネットワークなど、閉じたネットワーク環境（VPN《Virtual Private Network：仮想プライベートネットワーク》によるリモート接続を含む）でリモートからトラブル対応を行う際に利用できますが（接続された側はロックされるため、同じ画面を見ながらのヘルプデスク対応には利用できません）、VPN接続やその他の安全な通信経路を確保できない限り、リモート対応のために社員や学生の自宅ネットワーク、あるいはモバイル環境にリモートデスクトップ接続できるようにすることなど、絶対にしてはいけません。

　インターネットへのRDPポートの直接公開はもちろん、ブロードバンドルーターのポート転送を用いた公開もしてはいけません。ユーザー名とパスワードが分かれば、インターネットから誰でもアクセスできてしまいますし、RDPポートの公開状態を見つけた悪意のある人は、時間の許す限り、入り込もうとチャレンジするでしょう。

　玄関の鍵をピッキングするのとは違って、人の目を気にすることもありませんし、監視カメラがあるわけでもありません。ポート番号の変更はセキュリティ上何の効果もありません。ポートスキャンツールを利用すれば、公開されているポート番号とその種類は簡単に見つけられてしまうはずです。

　一方、Windowsには「リモートアシスタンス」（msra.exe）という“簡単で安全に接続できるリモートツール”が標準搭載されています。「リモートアシスタンス」は「Windows XP」からエディションに関係なく利用できる歴史の長いツールであり、「Windows Vista」からはIPv6技術を利用することで、さまざまなネットワーク環境でも高い接続性を提供するようになりました。

　技術的な説明は省略しますが、例えば接続される側と接続する側の両方が、ブロードバンドルーターのLAN側、つまりNAT（ネットワークアドレス変換）の背後にあるプライベートIPv4ネットワークにあったとしても、接続できる可能性があります（必ず接続できるというわけではありません）。その際、ブロードバンドルーターでポートを公開するような変更は一切必要ありません。

　「Windows 10」には「リモートアシスト」（remoteassist.exe）という新しいアプリが標準搭載されました。Windows 10同士を接続する場合は、「リモートアシスト」を利用して、より簡単にリモート接続することができます。

　既にヘルプデスクやトラブル対応のためのリモート接続環境を整備しているのであれば、そちらを利用すればよいことですが、そのような準備が整う前にリモートワークをスタートしたという場合は、「リモートアシスタンス」または「リモートアシスト」を利用できます。

　サポートする側は企業や組織のWindows PCでもよいですし、IT部門担当者自身のリモートワーク環境からでも利用できます。一方は古くからあるものですが、これまで利用する機会がなかったIT部門担当者および在宅勤務者向けに一通りの手順を紹介します。

　もし、この手順で接続できなかった場合は、その場で諦めましょう。トラブルのトラブルに時間をかけていては、仕事が進みません。トラブルが発生している場合は、正常に機能する代替機を送る、ヘルプデスクを必要としているなら電話（音声だけでなくビデオ通話などで）など、代替策を検討した方が早道です。

「リモートアシスタンス」の使い方――全てのWindowsで利用可

　「リモートアシスタンス」は、「拡張セキュリティ更新プログラム（ESU）」の対象の「Windows 7」を含め、サポート対象の全てのWindows、全てのエディションで利用可能です。

●支援を受ける側の操作

　「リモートアシスタンス」を利用するには、支援を受ける側で「コントロールパネル」から「システムのプロパティ」（sysdm.cplで素早く起動可能）を開き、「リモート」タブで「このコンピューターへのリモートアシスタンス接続を許可する」をチェックしてあることを確認します（画面1）。チェックされていない場合はチェックして有効化してください。「詳細設定」ボタンをクリックすると、オプションで招待を開始してから、その招待が有効な期間を調整することができます（既定は6時間）。

画面1　「リモートアシスタンス」による支援を受ける側のPCで「このコンピューターへのリモートアシスタンス接続を許可する」を有効化する

　「リモートアシスタンス」による支援を受けるには、支援を受ける側のPCで「コントロールパネル」の「システム」にある「リモートアシスタンスの起動」をクリックします。または、「ファイル名を指定して実行」やコマンドプロンプトなどから「msra.exe」を実行し、「Windowsリモートアシスタンス」を開始して「信頼するヘルパーを招待します」をクリックします（画面2）。

画面2　支援を受ける側で「Windowsリモートアシスタンス」を開始して「信頼するヘルパーを招待します」をクリックする

　支援を受ける方法には「この招待をファイルに保存する」「電子メールを使用して招待を送信する」「簡単接続を使用する」の3つのオプションがあります。より確実な方法は「この招待をファイルに保存する」です。他の2つは環境によっては利用できません。

　「この招待をファイルに保存する」を選択した場合は、「名前を付けて保存」ダイアログボックスが表示されるので、任意のファイル名を指定して保存します（画面3）。既定のファイル名は「招待.msrcIncident」です（エクスプローラーの表示設定によっては、.msrcIncidentの拡張子は表示されません）。

画面3　「この招待をファイルに保存する」を選択して、招待をファイルに保存する

　すると、このPCはリモートアシスタンスの着信接続を待機している状態になり、「Windowsリモートアシスタンス」ウィンドウにパスワードが表示されます。この時点で招待ファイルを電子メールなど何らかの方法で支援者に送信します（画面4）。

画面4　招待ファイルを支援者に送信し、パスワードは別の方法で支援者に伝える

　また、招待ファイルとは別の方法で表示中のパスワードを支援者に伝えます（電話をかけて口頭で伝えるなど）。招待ファイルとパスワードを別の方法で支援者に送ることが、セキュリティ上重要です。

●支援する側の操作

　招待ファイルを受け取った支援者は、招待ファイルをダブルクリックして「Windowsリモートアシスタンス」を開始します（画面5）。

画面5　招待ファイルを受け取った支援者は、招待ファイルをダブルクリックして開始する

　「リモートアシスタンス」ダイアログボックスにパスワードの入力が求められるので、支援を受ける側から入手したパスワードを入力します（画面6）。

画面6　支援を受ける側から教えてもらったパスワードを入力する

　パスワードが確認されると、支援を受ける側に「＜ユーザー名＞が、あなたのコンピューターに接続することを許可しますか？」と表示されるので、「はい」をクリックします（画面7）。

画面7　支援を受ける側のPCで接続を許可する

　これで「リモートアシスタンス」による接続が完了し、支援者側に支援を受ける側のPCのデスクトップが表示されます。「リモートアシスタンス」ではチャットやリモート制御を行いながら、ヘルプデスク対応やトラブル対応を行うことができます（画面8）。

画面8　同じ画面を見ながら、チャットやリモート制御で支援する

「リモートアシスト」の使い方――Windows 10同士で利用可

　Windows 10の「クイックアシスト」（quickassist.exe）は、Windows 10 Anniversary Update（バージョン1607）から利用可能になった、新しいリモート支援ツールです。

　「クイックアシスト」は半期チャネル（SAC）リリースの全てのエディションで利用可能で（注：LTSB／LTSCリリースでは利用できません）、事前設定なしでWindows 10同士を簡単に接続できます。ただし、支援する側は、「Microsoftアカウント」によるサインインが必要です。

　「クイックアシスト」を利用するには、支援を受ける側と支援する側の両方で「クイックアシスト」を起動して開始します。「クイックアシスト」はタスクバーの検索ボックスから検索して開始する他、「ファイル名を指定して実行」などから「quickassist.exe」を実行することで開始できます（画面9）。

画面9　支援を受ける側と支援する側の両方のWindows 10で「クイックアシスト」を開始する

●支援する側の操作

　支援を受ける側と支援する側の両方のWindows 10で「クイックアシスト」を開始したら、支援する側で「支援を提供する」にある「他のユーザーを支援する」をクリックします。このとき、Microsoftアカウントによるサインインが必要になります。

　サインインが完了すると、6桁の数字のセキュリティコードが表示されます（画面10）。セキュリティコードの有効期限は10分で切れるので、その間に相手にセキュリティコードを何らかの手段（電話やメールなど）で伝え操作してもらいます。

画面10　支援する側の操作の流れ。「他のユーザーを支援する」をクリックして、Microsoftアカウントでサインインする

●支援を受ける側の操作

　支援を受ける側では「クイックアシスト」の「支援を受ける」にセキュリティコードを入力し、「画面の共有」をクリックします。すると、支援する側の「クイックアシスト」で共有オプションの選択が求められるので、「完全に制御する」または「画面を表示する」を選択して「続行」をクリックします。最後に、支援を受ける側は画面共有の許可を求められるので「許可」をクリックします（画面11）。

画面11　支援を受ける側の操作の流れ。セキュリティコードを入力して「画面の共有」をクリックする（カラーの画面は支援を受ける側、グレーの画面は支援する側）

　これで画面共有が完了し、支援する側に支援される側のデスクトップと共通の画面が表示されます（画面12）。

画面12　「クイックアシスト」を使用したリモート支援の様子

　「リモートアシスタント」では、支援する側でデスクトップをリモート制御できる他、画面にペンで書き込んで示したり（コメント）、チャットのようにメッセージをやりとりしたり（命令チャネルの切り替え）、リモートPCの再起動（再起動する）を実行したりできます。「クイックアシスト」からリモートPCの再起動を実行した場合、再起動後にリモートPC側がサインインすると「リモートアシスタンス」が自動的に再開され、画面共有が復活します。

　なお、「クイックアシスト」の「命令チャネルの切り替え（Toggle Instruction Channel）」機能には不具合があるようで、送受信できるのは半角英数字のみのようです。日本語（平仮名、片仮名、半角片仮名、漢字）を送信しても、相手に表示されることはありませんでした（画面13）。

画面13　「命令チャネルの切り替え」機能によるメッセージの送受信機能は、日本語に対応していないようだ。アプリ終了時にフィードバックが求められるので、この問題についてフィードバックした

　Microsoftのコミュニティーフォーラムにも同様の症状が報告されていたので、筆者の環境固有の問題ではなく、製品の不具合だと思います。この問題に固執することなく、半角英数字で何とかやりとりする、電話などで意思疎通を図る、「リモートアシスタンス」に切り替えるなど、代替策を考えましょう。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。