Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Benutzer und Benutzergruppen über TeamViewer Tensor Zugriff auf welche Datenquellen, Dienste und Anwendungen in Ihrem Unternehmen haben.
Mit Conditional Access können IT- und Sicherheitsverantwortliche den unternehmensweiten Überblick über den Zugriff und die Nutzung von TeamViewer von einem einzigen Standort aus behalten.
Dieser Artikel richtet sich an alle mit einer TeamViewer Tensor Lizenz und dem Conditional Access Add-on oder Tensor Pro oder Unlimited Lizenzen.
Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und verwenden zu können:
Conditional Access ist ein Sicherheits-Feature, daher wird zunächst keine Verbindung zugelassen, sobald die Regelüberprüfung aktiviert ist!
Der Client muss so konfiguriert werden, dass er die dedizierten Router kontaktiert, da wir im nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren werden.
Die Konfiguration der Registrierung kann durch Ausführen des folgenden Befehls oder durch Hinzufügen der Registrierungsschlüssel über einen Import erfolgen.
32-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mit den üblichen TeamViewer Routern, sondern mit einem der dedizierten Router.
Um die dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird, je nachdem, ob TeamViewer mit dem System startet oder nicht.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Um die dedizierten Router einzustellen, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Starten Sie den Dienst TeamViewer nach der Bearbeitung der global.conf neu.
Stellen Sie Ihre Firewall so ein, dass sie die folgenden DNS-Einträge blockiert:
Sobald diese Konfiguration aktiv ist, können Clients, die diese Informationen nicht erhalten haben, um sich mit dem dedizierten Router zu verbinden, nicht mehr online gehen. Dies ist wichtig, um nicht autorisierte TeamViewer Clients zu blockieren.
Zur optimale Konfiguration von Conditional Access lesen Sie unseren Artikel über die Einrichtung Ihres Netzwerks:
Conditional Access arbeitet mit einer Regel-Engine sowie mit Feature-Optionen im Backend. Sie können die Regeln und Feature-Optionen zentral im Client oder unter https://web.teamviewer.com/ verwalten.
Nachdem Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie in der Kategorie Organisationsmanagement in den Admin-Einstellungen einen zusätzlichen Abschnitt mit der Bezeichnung Conditional Access.
Hinweis: Die Funktion Richtungswechsel ist standardmäßig auf Verweigert eingestellt, da bei ihrer Aktivierung die Zugriffskontrollberechtigungen des Experten auf den Teilnehmer übertragen werden.
Hinweis: In Zukunft werden weitere Optionstypen verfügbar sein.
Tipp: Eine Regel legt fest, wer sich wo, wann und wie verbinden darf.
Im Abschnitt Regeln des Menüs Zugriffskontrolle sehen Sie eine Übersicht über Ihre Regeln.
Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.
Um eine neue Regel hinzuzufügen, gehen Sie folgendermaßen vor:
Sie haben die Möglichkeit Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Directory Gruppen sowohl für den Ursprungstyp als auch für den Zieltyp hinzuzufügen.
Je nachdem, was Sie als Ursprungstyp und Zieltyp wählen, müssen Sie eine entsprechende Quelle und ein entsprechendes Ziel wählen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen. Oder einen Benutzer, wenn Sie Konto gewählt haben.
Wenn Sie alternativ Alle wählen, werden alle Benutzergruppen (oder ein anderer ausgewählter Ursprung) hinzugefügt.
Tipp: Es gibt eine Autovervollständigung bei der Eingabe von Ursprung und Ziel für alle Geräte und Konten, die sich in Ihrer Computer- und Kontaktliste befinden. Außerdem werden alle Konten Ihres Unternehmens bei der automatischen Vervollständigung berücksichtigt.
Hinweis: Sie können weiterhin Geräte hinzufügen, die sich nicht in Ihrer Computer- und Kontaktliste befinden, indem Sie die TeamViewer ID eingeben. Gruppen können Sie nur hinzufügen, wenn Sie der Eigentümer der Gruppe sind. Dies ist eine Sicherheitsmaßnahme.
Zu diesen Regeln können Sie Regeloptionen hinzufügen. Es gibt drei Arten von Regeloptionen.
Die Freigbeoption bietet eine zusätzliche Sicherheitsebene, indem sie ausgewählten Benutzern erlaubt, Verbindungen zu bestimmten Geräten zu genehmigen. Für weitere Informationen lesen Sie bitte den folgenden Artikel:
Mit dieser Option können Sie die Regeln für den Conditional Access anpassen und die Berechtigungen des Supporters (Benutzer, der sich mit dem Remote-Gerät verbindet) definieren. Legen Sie fest, ob der Supporter nur eingeschränkten Zugriff auf das Geräte haben soll, wenn er eine Verbindung zu herstellt. Für weitere Infos lesen Sie den folgenden Artikel:
Mit dieser Option können Sie den Zugriff nur zu bestimmten Zeiten zulassen, z. B. für den externen Support von Drittanbietern, den internen IT-Helpdesk und Remote-Mitarbeiter. Für weitere Informationen lesen Sie bitte den folgenden Artikel:
Sie können den Conditional Access Regeln einen Zeitrahmen für die Gültigkeitsdauer hinzufügen.
Die Gültigkeitsdauer ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Benutzer nur für eine begrenzte Zeitrahmen Zugriff zu bestimmten Geräten erhalten sollen:
Die Gültigkeitsdauer kann für neue und bestehende Regeln festgelegt werden.
Tipp: Die Gültigkeitsdauer definiert, von wann bis wann die Regel aktiv sein wird.
Die Gültigkeitsdauer kann jederzeit geändert werden:
Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Gültigkeitsstatus ist für alle Regeln in der Übersicht zu sehen:
Verfügbare Status:
Hinzugefügte Regeln werden nicht automatisch aktiviert.
Klicken Sie bitte auf Aktivieren, um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.
Nach der Aktivierung des Conditional Access können Sie auch Meetings erlauben und Session Codes hinzufügen.
Wenn Meetings erlauben aktiviert ist, können Benutzer innerhalb Ihres Unternehmens Meetingverbindungen starten. Wenn die Option nicht aktiviert ist, werden alle Meetings blockiert, und es können keine Ausnahmen eingerichtet werden.
Wenn Session Codes hinzufügen aktiviert ist, können Benutzer innerhalb Ihres Unternehmens über Session Codes innerhalb ihrer Gruppen Verbindungen herstellen.
Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für den bedingten Zugriff verwenden, haben die Regeln mit der höchsten Berechtigung die höchste Priorität.
Wenn z. B. eine Regel die Dateiübertragung erlaubt, eine andere Regel sie aber nicht zulässt, ist die Dateiübertragung möglich.
Wenn Conditional Access aktiv ist, Ihre Regeln aktiviert sind und Sie eine Verbindung über den Browser herstellen, werden die Regeln des Conditional Access angewendet. Sie brauchen in der Registry der Geräte nichts einzurichten.