El acceso condicional es una funcionalidad que te permite controlar qué dispositivos, usuarios y grupos de usuarios que, utilizan TeamViewer Tensor, tienen acceso a cuales fuentes de datos, servicios y aplicaciones de tu organización.
Con el acceso condicional, los responsables de seguridad y TI de las empresas pueden supervisar el acceso y uso de TeamViewer en toda la empresa desde una única ubicación.
Este artículo se aplica a tod@s l@s clientes de TeamViewer con una licencia TeamViewer Tensor y el add-on Conditional Access (Acceso Condicional) o licencias Tensor Pro o Unlimited.
Para poder configurar y utilizar el Acceso Condicional se requieren los siguientes requisitos previos:
El Acceso Condicional es una función de seguridad y, por lo tanto, no se permite ninguna conexión inicialmente en cuanto se activa la verificación de reglas.
El client tiene que estar configurado para contactar con los routers dedicados porque vamos a bloquear el acceso a los routers habituales de TeamViewer en el cortafuegos con el siguiente paso.
La configuración del registro puede realizarse ejecutando el siguiente comando o añadiendo las claves del registro mediante una importación.
Versión de 32 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Versión de 64 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Tras reiniciar el servicio TeamViewer, el client no se conectará a los routers habituales de TeamViewer, sino a uno de los routers dedicados.
Para configurar los routers dedicados, tienes que ejecutar uno de los siguientes comandos mientras TeamViewer no se está ejecutando, dependiendo de si TeamViewer se inicia con el sistema o no.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Para configurar los routers dedicados es necesario cambiar el archivo global.conf y añadir la siguiente entrada:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Reinicia el servicio TeamViewer después de editar global.conf.
Ajusta tu cortafuegos para bloquear las siguientes entradas DNS:
Tan pronto como esta configuración esté activa, los clients que no hayan obtenido la información para conectarse al router dedicado ya no podrán conectarse. Esto es relevante para bloquear clients no autorizados de TeamViewer.
Lee también nuestro artículo sobre cómo configurar tu red para una configuración óptima del Acceso Condicional:
El Acceso Condicional funciona con un motor de reglas y con opciones de funciones en el back-end. Puedes gestionar las reglas y las opciones de funciones de forma centralizada en el client o en https://web.teamviewer.com/.
Después de comprar y activar tu licencia, verás una sección adicional en la categoría Gestión de la organización dentro de los Ajustes de Administrador llamado Acceso condicional.
Nota: La función Cambiar de lado está, por defecto, configurada como Rechazar, ya que cuando está activada, los permisos de control de acceso del experto se están transfiriendo al participante de la sesión.
Nota: En el futuro habrá más tipos de opciones disponibles.
Sugerencia: Una regla define quién puede conectarse, dónde, cuándo y cómo.
En la sección de reglas del menú de Acceso Condicional, verás un resumen de tus reglas.
Como hemos mencionado anteriormente, el Acceso Condicional comienza bloqueando todo inicialmente, lo que también facilita la gestión de las reglas, ya que no hay posibilidad de reglas contradictorias.
Para añadir una nueva regla:
Tienes la posibilidad de añadir reglas a dispositivos, cuentas, grupos, grupos gestionados, grupos de usuarios y grupos de directorios tanto para el tipo de origen como para el tipo de destino.
Dependiendo de lo que elijas como tipo de origen y tipo de destino, deberás elegir un source (origen) y Target (destino) correspondientes, por ejemplo, un Grupo de Usuarios específico de entre tus Grupos de Usuarios, si eliges Grupo de Usuarios como Tipo. O un usuario si seleccionas Cuenta.
Alternativamente, si eliges Todos, se añadirán todos los Grupos de Usuarios (u otra fuente elegida).
Sugerencia: Hay autocompletado disponible al escribir origen y destino para todos los dispositivos y cuentas que están en tu lista de ordenadores y contactos. Además, todas las cuentas de tu empresa también se tienen en cuenta en el autocompletado.
Nota: Sigues pudiendo añadir dispositivos que no estén en tu lista de Ordenadores y Contactos introduciendo el ID de TeamViewer. Con respecto a los grupos, sólo puedes añadirlos si eres el propietario del grupo. Se trata de una medida de seguridad.
Puedes agregar opciones de regla a estas reglas. Hay tres tipos de opciones de regla.
Esta opción proporciona una capa adicional de seguridad al permitir que usuarios seleccionados aprueben conexiones a dispositivos específicos. Para más información, lee el siguiente artículo:
Esta opción te permite personalizar tus reglas de acceso condicional y definir los permisos del usuario que se conecta al dispositivo remoto, en caso de que solo tengas acceso limitado al conectarte a dispositivos específicos. Para más información, lee el artículo a continuación:
Esta opción te permite habilitar tipos de acceso específicos solo en horarios determinados, como para soporte externo de terceros, soporte técnico interno de TI y teletrabajadores. Para más información, lee el siguiente artículo:
Puedes añadir una fecha de caducidad a las reglas de acceso condicional.
La funcionalidad de caducidad es importante para cualquier escenario en el que determinados usuarios de TeamViewer deban recibir acceso a dispositivos específicos sólo durante un tiempo limitado:
Se pueden fijar fechas de caducidad para las normas nuevas y las ya existentes.
Hint: La Expiración define desde cuándo hasta cuándo estará activa la regla.
Las fechas de caducidad pueden editarse en cualquier momento:
Se pueden añadir varios plazos a una regla. El estado de expiración de todas las reglas puede verse en la vista general:
Estados disponibles:
Nota: Si estás en una sesión cuando la regla expire, ambos lados de la conexión recibirán un aviso de 5 minutos. La sesión se cerrará inmediatamente cuando ésta expire.
Las reglas añadidas no se activan automáticamente.
Haz clic en Activar para asegurarse de que sólo son posibles las conexiones permitidas por las reglas y nada más.
Después de activar el Acceso Condicional, también podrás permitir reuniones e incluir códigos de sesión.
Cuando la opción Permitir reuniones está habilitada, los usuarios de tu empresa pueden establecer conexiones para reuniones. Si no está habilitada, se bloquean todas las reuniones y no se pueden configurar excepciones.
Si la opción Incluir códigos de sesión está habilitada, los usuarios de tu organización pueden conectarse mediante códigos de sesión dentro de sus grupos.
Si un usuario forma parte de varios grupos de usuarios que utilizan diferentes reglas de Acceso Condicional, las reglas con el mayor conjunto de permisos tienen la máxima prioridad.
Por ejemplo, si una regla permite la transferencia de archivos, pero otra no, la transferencia será posible.
Cuando el Acceso Condicional está activo, tus reglas están habilitadas y te conectas desde el navegador, las reglas de Acceso Condicional se aplican. No es necesario configurar nada en el registro de los dispositivos.