Base de Conocimiento

Back to support overview

El acceso condicional es una funcionalidad que te permite controlar qué dispositivos, usuarios y grupos de usuarios que, utilizan TeamViewer Tensor, tienen acceso a cuales fuentes de datos, servicios y aplicaciones de tu organización.

Con el acceso condicional, los responsables de seguridad y TI de las empresas pueden supervisar el acceso y uso de TeamViewer en toda la empresa desde una única ubicación.

  • Las opciones de reutilización ayudan a los administradores a seleccionar reglas y crear opciones de funciones para todos los controles de acceso.
  • Las fechas de caducidad de las reglas de acceso condicional limitan el acceso de proveedores externos y personal temporal.
  • Gestión centralizada de reglas en el full client o la aplicación web en https://web.teamviewer.com/.
  • Asigna permisos para sesiones remotas, transferencia de archivos y conexiones a reuniones.
  • Configura reglas a nivel de cuenta, grupo o dispositivo.
  • La solución basada en la nube ofrece mayor flexibilidad que un enfoque in situ.

Este artículo se aplica a tod@s l@s clientes de TeamViewer con una licencia TeamViewer Tensor y el add-on Conditional Access (Acceso Condicional) o licencias Tensor Pro o Unlimited.

Condiciones previas

Para poder configurar y utilizar el Acceso Condicional se requieren los siguientes requisitos previos:

  • Licencia activada con el complemento Conditional Access
  • TeamViewer full client versión 15.5 o superior
  • Conocer la dirección DNS/IP del router dedicado

El Acceso Condicional es una función de seguridad y, por lo tanto, no se permite ninguna conexión inicialmente en cuanto se activa la verificación de reglas.

Configuración del client y del cortafuegos

Client

El client tiene que estar configurado para contactar con los routers dedicados porque vamos a bloquear el acceso a los routers habituales de TeamViewer en el cortafuegos con el siguiente paso.

Windows

La configuración del registro puede realizarse ejecutando el siguiente comando o añadiendo las claves del registro mediante una importación.

Versión de 32 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Versión de 64 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Tras reiniciar el servicio TeamViewer, el client no se conectará a los routers habituales de TeamViewer, sino a uno de los routers dedicados.

macOS

Para configurar los routers dedicados, tienes que ejecutar uno de los siguientes comandos mientras TeamViewer no se está ejecutando, dependiendo de si TeamViewer se inicia con el sistema o no.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Para configurar los routers dedicados es necesario cambiar el archivo global.conf y añadir la siguiente entrada:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Reinicia el servicio TeamViewer después de editar global.conf.

Cortafuegos

Ajusta tu cortafuegos para bloquear las siguientes entradas DNS:

  • master*.teamviewer.com
  • router*.teamviewer.com

Tan pronto como esta configuración esté activa, los clients que no hayan obtenido la información para conectarse al router dedicado ya no podrán conectarse. Esto es relevante para bloquear clients no autorizados de TeamViewer.

Configuración de red

Lee también nuestro artículo sobre cómo configurar tu red para una configuración óptima del Acceso Condicional:

Mejores prácticas para la configuración de red en un entorno de Acceso Condicional

Cómo empezar

El Acceso Condicional funciona con un motor de reglas y con opciones de funciones en el back-end. Puedes gestionar las reglas y las opciones de funciones de forma centralizada en el client o en https://web.teamviewer.com/.

Después de comprar y activar tu licencia, verás una sección adicional en la categoría Gestión de la organización dentro de los Ajustes de Administrador llamado Acceso condicional.

Nota: La función Cambiar de lado está, por defecto, configurada como Rechazar, ya que cuando está activada, los permisos de control de acceso del experto se están transfiriendo al participante de la sesión.

Nota: En el futuro habrá más tipos de opciones disponibles.

Como añadir reglas

Sugerencia: Una regla define quién puede conectarse, dónde, cuándo y cómo.

En la sección de reglas del menú de Acceso Condicional, verás un resumen de tus reglas.

Como hemos mencionado anteriormente, el Acceso Condicional comienza bloqueando todo inicialmente, lo que también facilita la gestión de las reglas, ya que no hay posibilidad de reglas contradictorias.

Para añadir una nueva regla:

  1. Vete hasta Acceso Condicional.
  2. En la pestaña de Reglas, hay clic en Añadir regla.

Tienes la posibilidad de añadir reglas a dispositivos, cuentas, grupos, grupos gestionados, grupos de usuarios y grupos de directorios tanto para el tipo de origen como para el tipo de destino.

Dependiendo de lo que elijas como tipo de origen y tipo de destino, deberás elegir un source (origen) y Target (destino) correspondientes, por ejemplo, un Grupo de Usuarios específico de entre tus Grupos de Usuarios, si eliges Grupo de Usuarios como Tipo. O un usuario si seleccionas Cuenta.

Alternativamente, si eliges Todos, se añadirán todos los Grupos de Usuarios (u otra fuente elegida).

Sugerencia: Hay autocompletado disponible al escribir origen y destino para todos los dispositivos y cuentas que están en tu lista de ordenadores y contactos. Además, todas las cuentas de tu empresa también se tienen en cuenta en el autocompletado.

Nota: Sigues pudiendo añadir dispositivos que no estén en tu lista de Ordenadores y Contactos introduciendo el ID de TeamViewer. Con respecto a los grupos, sólo puedes añadirlos si eres el propietario del grupo. Se trata de una medida de seguridad.

Opciones de regla

Puedes agregar opciones de regla a estas reglas. Hay tres tipos de opciones de regla.

Opción de aprobación

Esta opción proporciona una capa adicional de seguridad al permitir que usuarios seleccionados aprueben conexiones a dispositivos específicos. Para más información, lee el siguiente artículo:

Aplicar la aprobación de los dispositivos que reciben una conexión

Opción de función

Esta opción te permite personalizar tus reglas de acceso condicional y definir los permisos del usuario que se conecta al dispositivo remoto, en caso de que solo tengas acceso limitado al conectarte a dispositivos específicos. Para más información, lee el artículo a continuación:

Opción de función: Definir permisos durante la sesión

Opción de tiempo

Esta opción te permite habilitar tipos de acceso específicos solo en horarios determinados, como para soporte externo de terceros, soporte técnico interno de TI y teletrabajadores. Para más información, lee el siguiente artículo:

Opción de tiempo: restringir o permitir el acceso a un horario específico

Fechas de caducidad de las reglas de acceso condicional

Puedes añadir una fecha de caducidad a las reglas de acceso condicional.

La funcionalidad de caducidad es importante para cualquier escenario en el que determinados usuarios de TeamViewer deban recibir acceso a dispositivos específicos sólo durante un tiempo limitado:

  • Trabajo por proyectos
  • Becarios, trabajadores a tiempo parcial, etc.
  • Sustitutos, suplentes y otras personas que ayudan durante un tiempo limitado

Se pueden fijar fechas de caducidad para las normas nuevas y las ya existentes.

Hint: La Expiración define desde cuándo hasta cuándo estará activa la regla.

Las fechas de caducidad pueden editarse en cualquier momento:

  1. Selecciona la regla que deseas editar.
  2. Haz clic en Editar.
  3. Haz clic en el botón de caducidad de la regla.

Se pueden añadir varios plazos a una regla. El estado de expiración de todas las reglas puede verse en la vista general:

Estados disponibles:

  • Sin caducidad (no se fija la caducidad),
  • Programado (en el futuro),
  • Activo (actualmente dentro del plazo),
  • Caducado (en el pasado)

Nota: Si estás en una sesión cuando la regla expire, ambos lados de la conexión recibirán un aviso de 5 minutos. La sesión se cerrará inmediatamente cuando ésta expire.

Activar la verificación de reglas

Las reglas añadidas no se activan automáticamente.

Haz clic en Activar para asegurarse de que sólo son posibles las conexiones permitidas por las reglas y nada más.

Después de activar el Acceso Condicional, también podrás permitir reuniones e incluir códigos de sesión.

Cuando la opción Permitir reuniones está habilitada, los usuarios de tu empresa pueden establecer conexiones para reuniones. Si no está habilitada, se bloquean todas las reuniones y no se pueden configurar excepciones.

Si la opción Incluir códigos de sesión está habilitada, los usuarios de tu organización pueden conectarse mediante códigos de sesión dentro de sus grupos.

Diferentes reglas válidas para la misma conexión

Si un usuario forma parte de varios grupos de usuarios que utilizan diferentes reglas de Acceso Condicional, las reglas con el mayor conjunto de permisos tienen la máxima prioridad.

Por ejemplo, si una regla permite la transferencia de archivos, pero otra no, la transferencia será posible.

Comprobación de reglas para conexiones desde el navegador

Cuando el Acceso Condicional está activo, tus reglas están habilitadas y te conectas desde el navegador, las reglas de Acceso Condicional se aplican. No es necesario configurar nada en el registro de los dispositivos.