条件访问是一个框架,允许您使用 TeamViewer Tensor 控制哪些设备、用户和用户组可以访问您组织中的哪些数据源、服务和应用程序。
借助条件访问,企业 IT 和安全经理可以从一个位置对 TeamViewer 的访问和使用情况进行全公司范围的监督
- 重复使用选项可帮助管理员选择规则并为所有访问控制创建功能选项。
- 条件访问规则的到期日期可限制第三方供应商和临时员工的访问。
- 在客户端或网页应用程序 (https://web.teamviewer.com/) 内进行集中规则管理。
- 分配远程会话、文件传输和会议连接的权限。
- 在帐户、组或设备级别配置规则。
- 基于云的解决方案比本地方法提供了更大的灵活性。
本文适用于所有拥有TeamViewer Enterprise/Tensor 许可和条件访问 AddOn 或 Tensor Pro 或 Unlimited 许可计划的TeamViewer 客户。
前提条件
要能够配置和使用条件访问,需要以下前提条件。
- 有条件访问插件的激活许可证
- TeamViewer 客户端15.5版或更高版本
- 知道专用路由器的DNS/IP地址
条件访问是一个安全功能,因此当激活规则验证,就不允许有任何连接!
客户端和防火墙的配置
客户端
客户端必须被配置为与专用路由器联系,因为我们要用下一步来阻止对防火墙中通常的TeamViewer 路由器的访问。
Windows
注册表的配置可以通过运行以下命令或通过导入添加注册表键来完成。
32位版本。
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64位版本。
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
重启TeamViewer 服务后,客户端将不会连接到通常的TeamViewer 路由器,而是连接到其中一个专用路由器。
macOS
要设置专用路由器,你必须在TeamViewer 不运行时执行以下命令之一,这取决于TeamViewer 是否随系统启动。
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
要设置专用路由器,你需要修改global.conf文件并添加以下条目。
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
在编辑global.conf后,重新启动TeamViewer 服务。
防火墙
调整你的防火墙以阻止下列DNS-Entries。
- Master*.teamviewer.com
- router*. teamviewer.com
当这个配置被激活,那些没有得到信息连接到专用路由器的客户将不能再上网。这与阻止未经授权的TeamViewer 客户端有关。
网络配置
另请参阅我们的文章,了解如何设置网络以实现条件访问的最佳配置:
入门指南
条件访问与规则引擎以及后端的功能选项协同工作。您可以在客户端或 https://web.teamviewer.com/ 上集中管理规则和功能选项。
购买并激活许可证后,您将在管理设置的“组织管理”类别中看到一个名为“条件访问”的附加部分。
如何添加规则
提示:规则定义了谁可以在何时何地以何种方式进行连接。
在“条件访问”菜单的“规则”部分,您将看到规则的概览。
正如我们之前提到的,条件访问最初会屏蔽所有内容,这也使得规则管理更加容易,因为不存在相互矛盾的规则。
要添加新规则:
- 前往“条件访问”。
- 在“规则”选项卡中,点击“添加规则”。
点击“添加规则”后,您可在同一页面中配置规则,包括规则类型、源与目标、规则选项和过期设置。
规则类型
如果您的公司同时使用 多租户架构 和 条件访问,在创建规则时必须选择一个规则类型。
可用的规则类型包括:
- 内部
适用于公司内部的规则。 - 组织
适用于不同公司之间的规则。
定义来源和目标
您可以为以下对象添加规则:设备、账户、群组、托管群组、用户组以及目录群组,这些对象既可以作为来源类型,也可以作为目标类型。
根据您选择的来源类型和目标类型,需要指定相应的来源和目标。例如:如果选择 用户组 作为类型,则需要从现有用户组中选择一个具体的用户组;如果选择账户,则需要选择具体的用户。
或者,如果您选择全部,则所有用户组(或所选的其他来源类型)都会被包含在内。
提示:在“计算机与联系人”列表中,为所有设备和账户输入来源或目标时,系统支持自动补全。此外,公司内的所有账户也会包含在自动补全中。
注意:即使设备不在您的“计算机与联系人”列表中,您仍然可以通过输入 TeamViewer ID 来添加该设备。对于群组,只有在您是该群组所有者的情况下才能添加。这是一项安全措施。
规则选项
您可以为这些规则添加规则选项。规则选项有三种类型。
批准选项
批准选项允许选定用户批准与特定设备的连接,从而提供额外的安全保障。如需了解更多信息,请阅读以下文章:
功能选项
此功能选项允许您自定义条件访问规则,并定义支持者(连接到远程设备的用户)的权限,以便他们在连接到特定设备时仅具有有限的访问权限。如需了解更多信息,请阅读以下文章:
时间选项
时间选项允许您仅在特定时间段内启用特定类型的访问权限,例如外部第三方支持、内部 IT 帮助台和远程办公人员的访问权限。如需了解更多信息,请阅读以下文章:
条件访问规则的到期日期
您可以为条件访问规则添加到期日期。
到期功能对于某些 TeamViewer 用户仅在限定时间内访问特定设备的情况非常重要:
- 基于项目的工作
- 实习生、兼职人员等
- 替代人员、替补人员和其他在限定时间内提供帮助的人员
您可以为新规则和现有规则设置到期日期。
提示:到期日期定义了规则生效的起始时间和终止时间。
到期日期可以随时编辑。您可以在创建规则时设置过期时间范围,也可以通过编辑现有规则来更新过期日期。
单条规则可以添加多个时间范围。所有规则的到期状态均可在概览中查看:
可用状态:
- 无到期(未设置到期时间)
- 已安排(未来)
- 活动(当前在规定时间内)
- 已过期(过去)
注意:如果您在规则到期时仍在会话中,则连接的两端都会收到 5 分钟的警告。规则到期后,会话将立即关闭。
启用规则验证
添加的规则不会自动启用。
请点击“启用”,以确保只有规则允许的连接才有效,其他连接均无效。
激活条件访问后,您还可以允许会议并包含会话代码。
启用“允许会议”后,公司内部的用户可以建立会议连接。如果未启用,则所有会议都将被阻止,并且无法设置例外。
如果启用“包含会话代码”,则组织内部的用户可以通过其群组内的会话代码进行连接。
同一连接适用不同规则
如果用户属于多个使用不同条件访问规则的用户组,则权限集最高的规则具有最高优先级。
例如,如果一条规则允许文件传输,而另一条规则不允许,则文件传输仍然有效。
规则检查来自浏览器的连接
当条件访问处于活动状态时,您的规则已启用,并且您通过浏览器连接,则将应用条件访问规则。您无需在设备的注册表中进行任何设置。