Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Benutzer und Benutzergruppen über TeamViewer Tensor Zugriff auf welche Datenquellen, Dienste und Anwendungen in Ihrem Unternehmen haben.
Mit Conditional Access können IT- und Sicherheitsverantwortliche den unternehmensweiten Überblick über den Zugriff und die Nutzung von TeamViewer von einem einzigen Standort aus behalten.
- Wiederverwendungsoptionen helfen Administratoren bei der Auswahl von Regeln und der Erstellung von Funktionsoptionen für alle Zugriffskontrollen.
- Verfallsdaten für bedingte Zugriffsregeln begrenzen den Zugriff von Drittanbietern und Zeitarbeitskräften.
- Zentrales Regelmanagement innerhalb des Clients oder der Web-Clients unter https://web.teamviewer.com/.
- Vergeben Sie Berechtigungen für Remote-Sessions, Dateiübertragungen und Meeting-Verbindungen.
- Konfigurieren Sie Regeln auf Konto-, Gruppen- oder Geräteebene.
- Eine Cloud-basierte Lösung bietet mehr Flexibilität als ein On-Premise-Ansatz.
Dieser Artikel richtet sich an alle mit einer TeamViewer Tensor Lizenz und dem Conditional Access Add-on oder Tensor Pro oder Unlimited Lizenzen.
Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und verwenden zu können:
- Aktivierte Lizenz mit dem Add-on für Conditional Access
- TeamViewer Client-Version 15.5 oder höher
- Kenntnis der DNS/IP-Adresse des dedizierten Routers
Conditional Access ist ein Sicherheits-Feature, daher wird zunächst keine Verbindung zugelassen, sobald die Regelüberprüfung aktiviert ist!
Konfiguration von Client und Firewall
Client
Der Client muss so konfiguriert werden, dass er die dedizierten Router kontaktiert, da wir im nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren werden.
Windows
Die Konfiguration der Registrierung kann durch Ausführen des folgenden Befehls oder durch Hinzufügen der Registrierungsschlüssel über einen Import erfolgen.
32-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mit den üblichen TeamViewer Routern, sondern mit einem der dedizierten Router.
macOS
Um die dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird, je nachdem, ob TeamViewer mit dem System startet oder nicht.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
Um die dedizierten Router einzustellen, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Starten Sie den Dienst TeamViewer nach der Bearbeitung der global.conf neu.
Firewall
Stellen Sie Ihre Firewall so ein, dass sie die folgenden DNS-Einträge blockiert:
- master*.teamviewer. com
- router*.teamviewer.com
Sobald diese Konfiguration aktiv ist, können Clients, die diese Informationen nicht erhalten haben, um sich mit dem dedizierten Router zu verbinden, nicht mehr online gehen. Dies ist wichtig, um nicht autorisierte TeamViewer Clients zu blockieren.
Netzwerkkonfiguration
Zur optimale Konfiguration von Conditional Access lesen Sie unseren Artikel über die Einrichtung Ihres Netzwerks:
Erste Schritte
Conditional Access arbeitet mit einer Regel-Engine sowie mit Feature-Optionen im Backend. Sie können die Regeln und Feature-Optionen zentral im Client oder unter https://web.teamviewer.com/ verwalten.
Nachdem Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie in der Kategorie Organisationsmanagement in den Admin-Einstellungen einen zusätzlichen Abschnitt mit der Bezeichnung Conditional Access.
Hinzufügen von Regeln
Tipp: Eine Regel legt fest, wer sich wo, wann und wie verbinden darf.
Im Abschnitt Regeln des Menüs Zugriffskontrolle sehen Sie eine Übersicht über Ihre Regeln.
Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.
Um eine neue Regel hinzuzufügen, gehen Sie folgendermaßen vor:
- Gehen Sie zu Conditional Access.
- Klicken Sie im Tab Regeln auf Regel hinzufügen.
Nach dem Klicken auf Regel hinzufügen wird die Regel auf einer Seite konfiguriert. Dort werden Regeltyp, Quelle und Ziel, Regeloptionen sowie das Ablaufdatum festgelegt.
Regeltypen
Wenn Ihr Unternehmen sowohl Multitenancy als auch Conditional Access verwendet, müssen Sie beim Erstellen einer Regel einen Regeltyp auswählen.
Die folgenden Regeltypen stehen zur Verfügung:
-
Intern
Gilt für Regeln innerhalb Ihres eigenen Unternehmens. -
Organisation
Gilt für Regeln zwischen verschiedenen Unternehmen.
Quelle und Ziel definieren
Sie können Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Verzeichnisgruppen zu erstellen, sowohl für den Quelltyp als auch für den Zieltyp.
Abhängig davon, welchen Quell- und Zieltyp Sie auswählen, müssen Sie eine entsprechende Quelle bzw. ein entsprechendes Ziel festlegen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen, oder einen Benutzer, wenn Sie Konto ausgewählt haben.
Alternativ können Sie Alle auswählen. In diesem Fall werden alle Benutzergruppen (oder die jeweils ausgewählte Quelle) einbezogen.
Hinweis: Beim Eingeben von Quelle und Ziel steht für alle Geräte und Konten aus Ihrer Computer‑ & Kontakte‑Liste eine Auto‑Vervollständigung zur Verfügung. Zusätzlich sind alle Konten Ihres Unternehmens in der Auto‑Vervollständigung enthalten.
Hinweis: Sie können weiterhin Geräte hinzufügen, die nicht in Ihrer Computer‑ & Kontakte‑Liste enthalten sind, indem Sie die TeamViewer ID eingeben. Gruppen können Sie jedoch nur dann hinzufügen, wenn Sie der Eigentümer der jeweiligen Gruppe sind. Dies dient als Sicherheitsmaßnahme.
Regeloptionen hinzufügen
Sie können diesen Regeln Regeloptionen hinzufügen. Es stehen drei Arten von Regeloptionen zur Verfügung.
Genehmigungsoption
Die Genehmigungsoption bietet eine zusätzliche Sicherheitsebene, indem ausgewählte Benutzer Verbindungen zu bestimmten Geräten genehmigen müssen.
Weitere Informationen finden Sie im folgenden Artikel:
Feature-Option
Mit dieser Option können Sie die Regeln für den Conditional Access anpassen und die Berechtigungen des Supporters (Benutzer, der sich mit dem Remote-Gerät verbindet) definieren. Legen Sie fest, ob der Supporter nur eingeschränkten Zugriff auf das Geräte haben soll, wenn er eine Verbindung zu herstellt. Für weitere Infos lesen Sie den folgenden Artikel:
Zeitoption
Mit dieser Option können Sie den Zugriff nur zu bestimmten Zeiten zulassen, z. B. für den externen Support von Drittanbietern, den internen IT-Helpdesk und Remote-Mitarbeiter. Für weitere Informationen lesen Sie bitte den folgenden Artikel:
Gültigkeitsdauer für Conditional Access Regeln
Sie können den Conditional Access Regeln einen Zeitrahmen für die Gültigkeitsdauer hinzufügen.
Die Gültigkeitsdauer ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Benutzer nur für eine begrenzte Zeitrahmen Zugriff zu bestimmten Geräten erhalten sollen:
- Projektbezogene Arbeit
- Praktikanten, Teilzeitbeschäftigte, usw.
- Vertretungen, Aushilfskräfte und andere Personen, die für eine begrenzte Zeit aushelfen
Die Gültigkeitsdauer kann für neue und bestehende Regeln festgelegt werden.
Tipp: Die Gültigkeitsdauer definiert, von wann bis wann die Regel aktiv sein wird.
Ablaufdaten können jederzeit bearbeitet werden. Sie können entweder beim Erstellen einer Regel einen Ablaufzeitraum festlegen oder die Ablaufdaten später ändern, indem Sie eine bestehende Regel bearbeiten.
Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Gültigkeitsstatus ist für alle Regeln in der Übersicht zu sehen:
Verfügbare Status:
- Keine Gültigkeit (keine Gültigkeit festgelegt),
- Geplant (in der Zukunft),
- Aktiv (derzeit innerhalb des Zeitrahmens),
- Abgelaufen (in der Vergangenheit)
Hinweis: Wenn Sie sich in einer Session befinden, während die Regel abläuft, erhalten beide Seiten der Verbindung eine 5‑minütige Warnung. Die Session wird sofort beendet, sobald die Regel abgelaufen ist.
Regelüberprüfung einschalten
Hinzugefügte Regeln werden nicht automatisch aktiviert.
Klicken Sie bitte auf Aktivieren, um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.
Nach der Aktivierung des Conditional Access können Sie auch Meetings erlauben und Session Codes hinzufügen.
Wenn Meetings erlauben aktiviert ist, können Benutzer innerhalb Ihres Unternehmens Meetingverbindungen starten. Wenn die Option nicht aktiviert ist, werden alle Meetings blockiert, und es können keine Ausnahmen eingerichtet werden.
Wenn Session Codes hinzufügen aktiviert ist, können Benutzer innerhalb Ihres Unternehmens über Session Codes innerhalb ihrer Gruppen Verbindungen herstellen.
Unterschiedliche Regeln für dieselbe Verbindung
Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für den bedingten Zugriff verwenden, haben die Regeln mit der höchsten Berechtigung die höchste Priorität.
Wenn z. B. eine Regel die Dateiübertragung erlaubt, eine andere Regel sie aber nicht zulässt, ist die Dateiübertragung möglich.
Regeln prüfen auf Verbindungen über den Browser
Wenn Conditional Access aktiv ist, Ihre Regeln aktiviert sind und Sie eine Verbindung über den Browser herstellen, werden die Regeln des Conditional Access angewendet. Sie brauchen in der Registry der Geräte nichts einzurichten.