El acceso condicional es una funcionalidad que te permite controlar qué dispositivos, usuarios y grupos de usuarios que, utilizan TeamViewer Tensor, tienen acceso a cuáles fuentes de datos, servicios y aplicaciones de tu organización.
Con el acceso condicional, los responsables de seguridad y IT de las empresas pueden supervisar el acceso y el uso de TeamViewer en toda la empresa desde un único punto de control.
- Las opciones de reutilización ayudan a los administradores a seleccionar reglas y crear funciones para todos los controles de acceso.
- Las fechas de caducidad de las reglas de acceso condicional limitan el acceso de proveedores externos y de personal temporal.
- Gestión centralizada de reglas en el full client o en la aplicación web en https://web.teamviewer.com/.
- Asigna permisos para sesiones remotas, transferencia de archivos y participación en reuniones.
- Configura reglas a nivel de cuenta, grupo o dispositivo.
- La solución basada en la nube ofrece mayor flexibilidad que un enfoque in situ.
Este artículo se aplica a todos los clientes de TeamViewer que tengan una licencia de TeamViewer Tensor y el complemento de Conditional Access (Acceso Condicional), o licencias Tensor Pro o Unlimited.
Condiciones previas
Para poder configurar y utilizar el Acceso Condicional se requieren los siguientes requisitos previos:
- Licencia activada con el complemento Conditional Access
- TeamViewer full client versión 15.5 o superior
- Conocer la dirección DNS/IP del router dedicado
El Acceso Condicional es una función de seguridad y, por lo tanto, no se permite ninguna conexión inicialmente en cuanto se activa la verificación de reglas.
Configuración del client y del cortafuegos
Full Client
El full client debe estar configurado para contactar con los routers dedicados, ya que con el siguiente paso vamos a bloquear el acceso a los routers habituales de TeamViewer en el cortafuegos.
Windows
La configuración del registro puede realizarse ejecutando el siguiente comando o añadiendo las claves del registro mediante una importación.
Versión de 32 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Versión de 64 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Tras reiniciar el servicio de TeamViewer, el client no se conectará a los routers habituales de TeamViewer, sino a uno de los routers dedicados.
macOS
Para configurar los routers dedicados, tienes que ejecutar uno de los siguientes comandos mientras TeamViewer no se está ejecutando, según se inicie con el sistema o no.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
Para configurar los routers dedicados es necesario cambiar el archivo global.conf y añadir la siguiente entrada:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Reinicia el servicio de TeamViewer después de editar el archivo global.conf.
Cortafuegos
Ajusta tu cortafuegos para bloquear las siguientes entradas DNS:
- master*.teamviewer.com
- router*.teamviewer.com
Tan pronto como esta configuración esté activa, los clients que no hayan obtenido la información para conectarse al router dedicado ya no podrán conectarse. Esto es relevante para bloquear clients no autorizados de TeamViewer.
Configuración de red
Lee también nuestro artículo sobre cómo configurar tu red para una configuración óptima del Acceso Condicional:
Cómo empezar
El Acceso Condicional funciona con un motor de reglas y con opciones de funciones en el back-end. Puedes gestionar las reglas y las opciones de funciones de forma centralizada en el client o en https://web.teamviewer.com/.
Después de comprar y activar tu licencia, verás una sección adicional en la categoría Administración de la organización, dentro de Ajustes de administrador, llamada Acceso Condicional.
Como añadir reglas
Sugerencia: Una regla define quién puede conectarse, dónde, cuándo y cómo.
En la sección de reglas del menú de Acceso Condicional, verás un resumen de tus reglas.
Como hemos mencionado anteriormente, el Acceso Condicional comienza bloqueando todo por defecto, lo que facilita la gestión de las reglas, ya que no es posible que existan reglas contradictorias.
Para añadir una nueva regla:
- Ve hasta Acceso Condicional (Conditional Access).
- En la pestaña de Reglas (Rule), haz clic en Añadir regla (Add rule).
Tras hacer clic en Añadir regla (Add rule), la regla se configura en una sola página, donde se indican el tipo de regla, el origen y el destino, las opciones de la regla y la fecha de caducidad.
Tipos de reglas
Si tu empresa utiliza tanto la arquitectura multiusuario como el acceso condicional, al crearla debes seleccionar un tipo de regla.
Están disponibles los siguientes tipos de reglas:
-
Interna
Se aplica a las reglas de tu propia empresa. -
Organización
Se aplica a las reglas entre distintas empresas.
Definir origen y destino
Tienes la posibilidad de añadir reglas para dispositivos, cuentas, grupos, grupos administrados, grupos de usuarios y grupos de directorio, tanto para el tipo de origen como para el tipo de destino.
Según el tipo de origen y de destino que selecciones, deberás elegir el origen y el destino correspondientes. Por ejemplo, un grupo de usuarios específico entre tus grupos de usuarios si seleccionas Grupo de usuarios como tipo, o un usuario si seleccionas Cuenta.
Por otra parte, si eliges la opción Todos, se añadirán todos los grupos de usuarios (o el origen seleccionado correspondiente).
Nota: La función de autocompletado está disponible al escribir el origen y el destino en todos los dispositivos y cuentas incluidos en tu lista de ordenadores y contactos. Además, todas las cuentas de tu empresa están incluidas en el autocompletado.
Note: You are still able to add devices that are not in your Computers & Contacts list by entering the TeamViewer ID. With respect to groups, you can only add them if you are the owner of the group. This is a security measure.
Opciones de regla
Puedes agregar opciones de regla a estas reglas. Hay tres tipos de reglas.
Opción de aprobación
Esta opción proporciona una capa adicional de seguridad al permitir que usuarios seleccionados aprueben conexiones a dispositivos específicos. Para más información, lee el siguiente artículo:
Opción de función
Esta opción te permite personalizar las reglas de Acceso Condicional y definir los permisos del agente de soporte que se conecta al dispositivo remoto, de modo que tenga acceso limitado únicamente al conectarse a dispositivos específicos. Para obtener más información, consulta el artículo a continuación:
Opción de tiempo
Esta opción te permite habilitar tipos de acceso específicos solo en horarios determinados, como para soporte externo de terceros, soporte técnico interno de IT y trabajadores remotos. Para más información, lee el siguiente artículo:
Fechas de caducidad de las reglas de acceso condicional
Puedes añadir una fecha de caducidad a las reglas de acceso condicional.
La funcionalidad de caducidad es importante para cualquier escenario en el que determinados usuarios de TeamViewer deban recibir acceso a dispositivos específicos sólo durante un tiempo limitado:
- Trabajo por proyectos
- Becarios, trabajadores a tiempo parcial, etc.
- Sustitutos, suplentes y otras personas que ayudan durante un tiempo limitado
Se pueden fijar fechas de caducidad para las normas nuevas y las ya existentes.
Hint: El vencimiento o caducidad determina desde cuándo hasta cuándo estará activa la regla.
Las fechas de caducidad pueden editarse en cualquier momento. Puedes establecer un plazo de vencimiento al crear una regla o al actualizar una regla existente.
Se pueden añadir varios plazos a una regla. El estado de expiración de todas las reglas puede verse en la vista general:
Estados disponibles:
- Sin caducidad (no se fija la caducidad),
- Programado (en el futuro),
- Activo (actualmente dentro del plazo),
- Caducado (en el pasado)
Nota: Si estás en una sesión cuando la regla expire, ambos lados de la conexión recibirán un aviso de 5 minutos. La sesión se cerrará inmediatamente cuando ésta expire.
Activar la verificación de reglas
Las reglas añadidas no se activan automáticamente.
Haz clic en Activar (Activate) para asegurarte de que sólo sean posibles las conexiones permitidas por las reglas únicamente.
Después de activar el Acceso Condicional, también podrás Permitir reuniones (Allow meetings) e Incluir códigos de sesión (Include session codes).
Cuando la opción Permitir reuniones (Allow meetings) está habilitada, los usuarios de tu empresa pueden establecer conexiones para reuniones. Si no está habilitada, se bloquean todas las reuniones y no se pueden configurar excepciones.
Si la opción Incluir códigos de sesión (Include session codes) está habilitada, los usuarios de tu organización pueden conectarse a sus grupos mediante códigos de sesión.
Diferentes reglas válidas para la misma conexión
Si un usuario forma parte de varios grupos de usuarios que utilizan diferentes reglas de Acceso Condicional, las reglas con el mayor conjunto de permisos tienen la máxima prioridad.
Por ejemplo, si una regla permite la transferencia de archivos, pero otra no, la transferencia será posible.
Comprobación de reglas para conexiones desde el navegador
Cuando el Acceso Condicional está activo, tus reglas están habilitadas y te conectas desde el navegador, las reglas de Acceso Condicional se aplican. No es necesario configurar nada en el registro de los dispositivos.