Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Benutzer und Benutzergruppen über TeamViewer Tensor Zugriff auf welche Datenquellen, Dienste und Anwendungen in Ihrem Unternehmen haben.

Mit Conditional Access können IT- und Sicherheitsverantwortliche den unternehmensweiten Überblick über den Zugriff und die Nutzung von TeamViewer von einem einzigen Standort aus behalten.

  • Wiederverwendungsoptionen helfen Administratoren bei der Auswahl von Regeln und der Erstellung von Funktionsoptionen für alle Zugriffskontrollen.
  • Verfallsdaten für bedingte Zugriffsregeln begrenzen den Zugriff von Drittanbietern und Zeitarbeitskräften.
  • Zentrales Regelmanagement innerhalb des Clients oder der Web-App unter https://web.teamviewer.com/.
  • Vergeben Sie Berechtigungen für Remote-Sessions, Dateiübertragungen und Meeting-Verbindungen.
  • Konfigurieren Sie Regeln auf Konto-, Gruppen- oder Geräteebene.
  • Eine Cloud-basierte Lösung bietet mehr Flexibilität als ein On-Premise-Ansatz.

Dieser Artikel richtet sich an alle mit einer TeamViewer Tensor Lizenz und dem Conditional Access Add-on oder Tensor Pro oder Unlimited Lizenzen.

Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und verwenden zu können:

  • Aktivierte TeamViewer Tensor Lizenz mit dem Add-on für Conditional Access
  • TeamViewer Client-Version 15.5 oder höher
  • Kenntnis der DNS/IP-Adresse des dedizierten Routers

Conditional Access ist ein Sicherheits-Feature, daher wird zunächst keine Verbindung zugelassen, sobald die Regelüberprüfung aktiviert ist!

Konfiguration von Client und Firewall

Client

Der Client muss so konfiguriert werden, dass er die dedizierten Router kontaktiert, da wir im nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren werden.

Windows

Die Konfiguration der Registrierung kann durch Ausführen des folgenden Befehls oder durch Hinzufügen der Registrierungsschlüssel über einen Import erfolgen.

32-Bit-Version:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

64-Bit-Version:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mit den üblichen TeamViewer Routern, sondern mit einem der dedizierten Router.

macOS

Um die dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird, je nachdem, ob TeamViewer mit dem System startet oder nicht.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Um die dedizierten Router einzustellen, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Starten Sie den Dienst TeamViewer nach der Bearbeitung der global.conf neu.

Firewall

Stellen Sie Ihre Firewall so ein, dass sie die folgenden DNS-Einträge blockiert:

  • master*.teamviewer. com
  • router*.teamviewer.com

Sobald diese Konfiguration aktiv ist, können Clients, die diese Informationen nicht erhalten haben, um sich mit dem dedizierten Router zu verbinden, nicht mehr online gehen. Dies ist wichtig, um nicht autorisierte TeamViewer Clients zu blockieren.

Netzwerkkonfiguration

Zur optimale Konfiguration von Conditional Access lesen Sie unseren Artikel über die Einrichtung Ihres Netzwerks:

Erste Schritte

Conditional Access arbeitet mit einer Regel-Engine sowie mit Feature-Optionen im Backend. Sie können die Regeln und Feature-Optionen zentral im Client oder unter https://web.teamviewer.com/ verwalten.

Nachdem Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie in der Kategorie Organisationsmanagement in den Admin-Einstellungen einen zusätzlichen Abschnitt mit der Bezeichnung Conditional Access.

Hinweis: Die Funktion Richtungswechsel ist standardmäßig auf Verweigert eingestellt, da bei ihrer Aktivierung die Zugriffskontrollberechtigungen des Experten auf den Teilnehmer übertragen werden.

Hinweis: In Zukunft werden weitere Optionstypen verfügbar sein.

Hinzufügen von Regeln

Tipp: Eine Regel legt fest, wer sich wo, wann und wie verbinden darf.

Im Abschnitt Regeln des Menüs Zugriffskontrolle sehen Sie eine Übersicht über Ihre Regeln.

Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.

Um eine neue Regel hinzuzufügen, gehen Sie folgendermaßen vor: 

  1. Gehen Sie zu Conditional Access.
  2. Klicken Sie im Tab Regeln auf Regel hinzufügen.

Sie haben die Möglichkeit Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Directory Gruppen sowohl für den Ursprungstyp als auch für den Zieltyp hinzuzufügen.

Je nachdem, was Sie als Ursprungstyp und Zieltyp wählen, müssen Sie eine entsprechende Quelle und ein entsprechendes Ziel wählen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen. Oder einen Benutzer, wenn Sie Konto gewählt haben.

Wenn Sie alternativ Alle wählen, werden alle Benutzergruppen (oder ein anderer ausgewählter Ursprung) hinzugefügt.

Tipp: Es gibt eine Autovervollständigung bei der Eingabe von Ursprung und Ziel für alle Geräte und Konten, die sich in Ihrer Computer- und Kontaktliste befinden. Außerdem werden alle Konten Ihres Unternehmens bei der automatischen Vervollständigung berücksichtigt.

Hinweis: Sie können weiterhin Geräte hinzufügen, die sich nicht in Ihrer Computer- und Kontaktliste befinden, indem Sie die TeamViewer ID eingeben. Gruppen können Sie nur hinzufügen, wenn Sie der Eigentümer der Gruppe sind. Dies ist eine Sicherheitsmaßnahme.

Regeloptionen

Zu diesen Regeln können Sie Regeloptionen hinzufügen. Es gibt drei Arten von Regeloptionen.

Freigabeoption

Die Freigbeoption bietet eine zusätzliche Sicherheitsebene, indem sie ausgewählten Benutzern erlaubt, Verbindungen zu bestimmten Geräten zu genehmigen. Für weitere Informationen lesen Sie bitte den folgenden Artikel:

Feature-Option

Mit dieser Option können Sie die Regeln für den Conditional Access anpassen und die Berechtigungen des Supporters (Benutzer, der sich mit dem Remote-Gerät verbindet) definieren. Legen Sie fest, ob der Supporter nur eingeschränkten Zugriff auf das Geräte haben soll, wenn er eine Verbindung zu herstellt. Für weitere Infos lesen Sie den folgenden Artikel:

Zeitoption

Mit dieser Option können Sie den Zugriff nur zu bestimmten Zeiten zulassen, z. B. für den externen Support von Drittanbietern, den internen IT-Helpdesk und Remote-Mitarbeiter. Für weitere Informationen lesen Sie bitte den folgenden Artikel:

Gültigkeitsdauer für Conditional Access Regeln

Sie können den Conditional Access Regeln einen Zeitrahmen für die Gültigkeitsdauer hinzufügen.

Die Gültigkeitsdauer ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Benutzer nur für eine begrenzte Zeitrahmen Zugriff zu bestimmten Geräten erhalten sollen:

  • Projektbezogene Arbeit
  • Praktikanten, Teilzeitbeschäftigte, usw.
  • Vertretungen, Aushilfskräfte und andere Personen, die für eine begrenzte Zeit aushelfen

Die Gültigkeitsdauer kann für neue und bestehende Regeln festgelegt werden.

Tipp: Die Gültigkeitsdauer definiert, von wann bis wann die Regel aktiv sein wird.

Die Gültigkeitsdauer kann jederzeit geändert werden:

  1. Wählen Sie die Regel aus, die Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten.
  3. Klicken Sie auf die Ende der Gültigkeit.

Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Gültigkeitsstatus ist für alle Regeln in der Übersicht zu sehen:

Verfügbare Status:

  • Keine Gültigkeit (keine Gültigkeit festgelegt),
  • Geplant (in der Zukunft),
  • Aktiv (derzeit innerhalb des Zeitrahmens),
  • Abgelaufen (in der Vergangenheit)

Regelüberprüfung einschalten

Hinzugefügte Regeln werden nicht automatisch aktiviert.

Klicken Sie bitte auf Aktivieren, um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.

Nach der Aktivierung des Conditional Access können Sie auch Meetings erlauben und Session Codes hinzufügen.

Wenn Meetings erlauben aktiviert ist, können Benutzer innerhalb Ihres Unternehmens Meetingverbindungen starten. Wenn die Option nicht aktiviert ist, werden alle Meetings blockiert, und es können keine Ausnahmen eingerichtet werden.

Wenn Session Codes hinzufügen aktiviert ist, können Benutzer innerhalb Ihres Unternehmens über Session Codes  innerhalb ihrer Gruppen Verbindungen herstellen.

Unterschiedliche Regeln für dieselbe Verbindung

Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für den bedingten Zugriff verwenden, haben die Regeln mit der höchsten Berechtigung die höchste Priorität.

Wenn z. B. eine Regel die Dateiübertragung erlaubt, eine andere Regel sie aber nicht zulässt, ist die Dateiübertragung möglich.

Regeln prüfen auf Verbindungen über den Browser

Wenn Conditional Access aktiv ist, Ihre Regeln aktiviert sind und Sie eine Verbindung über den Browser herstellen, werden die Regeln des Conditional Access angewendet. Sie brauchen in der Registry der Geräte nichts einzurichten.