L'accès conditionnel est un système qui vous permet de contrôler quels appareils, utilisateurs et groupes d'utilisateurs utilisant TeamViewer Tensor ont accès à quelles sources de données, à quels services et à quelles applications dans votre organisation.
Grâce à l'Accès conditionnel, les responsables de la sécurité et de l'informatique de l'entreprise peuvent superviser l'accès et l'utilisation de TeamViewer à partir d'un seul et même endroit.
Cet article s'applique à tous les clients de TeamViewer disposant d'une licence TeamViewer Tensor et d'un module complémentaire d'Accès conditionnel ou d'une licence Tensor Pro ou Unlimited .
Les conditions suivantes sont requises pour pouvoir configurer et utiliser l'Accès conditionnel :
🚨 L'Accès conditionnel est une fonction de sécurité et, par conséquent, aucune connexion n'est autorisée dans un premier temps dès que la vérification des règles est activée !
Le client doit être configuré pour contacter les routeurs dédiés car nous allons bloquer l'accès aux routeurs habituels TeamViewer dans le pare-feu à l'étape suivante.
La configuration du registre peut être effectuée en exécutant la commande suivante ou en ajoutant les clés de registre par le biais d'une importation.
Version 32 bits :
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Version 64 bits :
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Après avoir redémarré le service TeamViewer, le client ne se connectera pas aux routeurs habituels de TeamViewer, mais à l'un des routeurs dédiés.
Pour configurer les routeurs dédiés, vous devez exécuter l'une des commandes suivantes lorsque TeamViewer n'est pas en cours d'exécution, selon que TeamViewer démarre ou non avec le système.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Pour définir les routeurs dédiés, vous devez modifier le fichier global.conf et ajouter l'entrée suivante :
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Redémarrez le service TeamViewer après avoir modifié le fichier global.conf.
Ajustez votre pare-feu pour bloquer les entrées DNS suivantes :
Dès que cette configuration est active, les clients qui n'ont pas reçu les informations nécessaires pour se connecter au routeur dédié ne pourront plus se connecter. Cela permet de bloquer les clients non autorisés sur TeamViewer.
L'Accès conditionnel fonctionne avec un moteur de règles et des options de fonctionnalités dans le back-end. Vous pouvez gérer les règles et les options de fonctionnalités de manière centralisée dans le client ou à l'adresse https://web.teamviewer.com/.
Après avoir acheté et activé votre licence, vous verrez une section supplémentaire dans la catégorie Gestion de l'organisation dans les Paramètres d'administration appelée Accès conditionnel.
Les options de fonctionnalité de l'Accès conditionnel vous permettent de personnaliser vos règles, par exemple si certains utilisateurs/groupes d'utilisateurs ne doivent avoir que des droits d'accès limités lorsqu'ils se connectent à des appareils spécifiques.
📌 Note : Si vous souhaitez ajouter une option de fonctionnalité à vos règles, vous devez d'abord créer les options de fonctionnalité. Si vous ne souhaitez pas utiliser les options de fonctionnalités, vous pouvez continuer à lire ici.
Lors de la création d'une règle, les options de fonctionnalité peuvent être ajoutées à la règle.
💡 Astuce : Une option définit le niveau d'accès lors d'une connexion.
Les options de fonctionnalité sont créées dans la section Accès conditionnel de la Management Console. Pour ajouter une nouvelle option de fonctionnalité, veuillez suivre les étapes ci-dessous :
1. Naviguer vers Accès conditionnel ➜ Options de la règle ➜ + Ajouter une option et sélectionner Option de fonctionnalité :
2. Maintenant, définissez un nom pour l'option de fonctionnalité et précisez exactement ce qui doit être disponible et ce qui ne doit pas l'être pendant la connexion.
📌 Note : Les options qui sont utilisées par des règles d'Accès conditionnel ne peuvent pas être supprimées ; un message d'erreur informe l'utilisateur que l'option est en cours d'utilisation.
Dans l'exemple ci-dessous, tous les paramètres ont été réglés sur Après confirmation :
📌 Note : La fonction Changement de côté est, par défaut, configurée sur Refuser, car lorsqu'elle est activée, les autorisations de contrôle d'accès de l'expert sont transférées au participant à la session.
Toutes les options créées pour les règles d'Accès conditionnel peuvent être visualisées dans la section des options de la règle. Il est également possible de filtrer et de modifier les options.
📌 Note : D'autres types d'options seront disponibles à l'avenir.
Si un utilisateur fait partie de plusieurs groupes d'utilisateurs qui utilisent différentes règles d'Accès conditionnel, les règles ayant l'ensemble de permissions le plus élevé ont la priorité la plus élevée.
Par exemple, si une règle autorise le transfert de fichiers, mais qu'une autre règle ne l'autorise pas, le transfert de fichiers sera possible.
Les options de fonctionnalité pour l'Accès conditionnel sont complémentaires des paramètres de contrôle d'accès sur l'appareil.
Par exemple, si les options d'Accès conditionnel d'une règle autorisent le transfert de fichiers, mais que les paramètres de contrôle d'accès de l'appareil ne l'autorisent pas (qu'ils soient définis via la stratégie ou localement dans les options), le transfert de fichiers ne sera pas possible.
💡 Astuce : Une règle définit qui peut se connecter, où, quand et comment.
Dans la section Règles du menu Accès conditionnel, vous trouverez une vue d'ensemble de vos règles.
Comme nous l'avons déjà mentionné, l'Accès conditionnel commence par tout bloquer, ce qui facilite également la gestion des règles puisqu'il n'y a pas de possibilité de règles contradictoires.
Pour ajouter une nouvelle règle, allez dans Accès conditionnel ➜ Règles ➜ + Ajouter une règle.
Vous avez la possibilité d'ajouter des règles, des appareils, des comptes, des groupes, des groupes gérés, des groupes d'utilisateurs et des groupes de répertoires, tant pour le type de source que pour le type de cible.
En fonction du type de source et du type de cible choisis, vous devez choisir une source et une cible correspondantes, par exemple un groupe d'utilisateurs spécifique parmi vos groupes d'utilisateurs si vous choisissez le groupe d'utilisateurs comme type ou un utilisateur si vous avez choisi Compte.
Si vous choisissez Tous, tous les groupes d'utilisateurs (ou une autre source choisie) seront ajoutés.
💡 Astuce : Une fonction d'auto-complétion est disponible lors de la saisie de la source et de la cible pour tous les appareils et comptes figurant dans votre liste d'ordinateurs et de contacts. En outre, tous les comptes de votre entreprise sont également pris en compte dans l'auto-complétion.
📌 Note : Vous pouvez toujours ajouter des appareils qui ne figurent pas dans votre liste d'ordinateurs et de contacts en saisissant l'ID TeamViewer. En ce qui concerne les groupes, vous ne pouvez les ajouter que si vous en êtes le propriétaire. Il s'agit d'une mesure de sécurité.
Vous pouvez ajouter une date d'expiration aux règles d'Accès conditionnel.
La fonctionnalité d'expiration est importante pour tout scénario dans lequel certains utilisateurs de TeamViewer doivent avoir accès à des appareils spécifiques pour une durée limitée :
Des dates d'expiration peuvent être définies pour les règles nouvelles et existantes.
💡 Astuce : L'expiration définit à partir de quand et jusqu'à quand la règle sera active.
Les dates d'expiration peuvent être modifiées à tout moment :
Plusieurs délais peuvent être ajoutés à une règle. L'état d'expiration de toutes les règles est visible dans la vue d'ensemble :
États disponibles :
Les règles ajoutées ne sont pas automatiquement activées.
Cliquez sur Activer pour vous assurer que seules les connexions autorisées par les règles sont possibles, et rien d'autre.
Il est également possible d'organiser des réunions en bloc. Toutefois, il s'agit d'un paramètre tout ou rien. S'il est activé, toutes les réunions sont bloquées. Il n'y a pas d'exception.