L'accès conditionnel est un système qui vous permet de contrôler quels appareils, utilisateurs et groupes d'utilisateurs utilisant TeamViewer Tensor ont accès à quelles sources de données, à quels services et à quelles applications au sein de votre organisation.
Grâce à l'accès conditionnel, les responsables de la sécurité et de l'informatique de l'entreprise peuvent superviser l'accès et l'utilisation de TeamViewer à partir d'un seul et même endroit.
- Les options de réutilisation aident les administrateurs à sélectionner des règles et à créer des options de fonctionnalités pour tous les contrôles d'accès.
- Les dates d'expiration des règles d'accès conditionnel limitent l'accès des fournisseurs tiers et du personnel temporaire.
- Une gestion centralisée des règles dans le client ou dans l'application web https://web.teamviewer.com/.
- L'attribution des autorisations pour les sessions à distance, le transfert de fichiers et les connexions aux réunions.
- Une configuration des règles au niveau du compte, du groupe ou de l'appareil.
- Une solution basée sur le cloud offrant une plus grande flexibilité qu'une approche sur site.
Cet article s'applique à tous les clients TeamViewer détenteurs d'une licence TeamViewer Tensor et de l'add-on Accès conditionnel ou de licences Tensor Pro ou Unlimited.
Prérequis
Les conditions suivantes sont requises pour pouvoir configurer et utiliser l'accès conditionnel :
- Licence activée avec l'add-on Accès conditionnel
- Client TeamViewer version 15.5 ou ultérieure
- Connaître l'adresse DNS/IP du routeur dédié
L'accès conditionnel est une fonction de sécurité et, par conséquent, aucune connexion n'est autorisée initialement dès que la vérification des règles est activée !
Configuration du client et du pare-feu
Client
Le client doit être configuré pour contacter les routeurs dédiés car nous allons bloquer l'accès aux routeurs habituels TeamViewer dans le pare-feu à l'étape suivante.
Windows
La configuration du registre peut être effectuée en exécutant la commande suivante ou en ajoutant les clés de registre par le biais d'une importation.
Version 32 bits :
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Version 64 bits :
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Après avoir redémarré le service TeamViewer, le client ne se connectera pas aux routeurs habituels de TeamViewer, mais à l'un des routeurs dédiés.
macOS
Pour configurer les routeurs dédiés, vous devez exécuter l'une des commandes suivantes lorsque TeamViewer n'est pas en cours d'exécution, selon que TeamViewer démarre ou non avec le système.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
Pour définir les routeurs dédiés, vous devez modifier le fichier global.conf et ajouter l'entrée suivante :
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Redémarrez le service TeamViewer après avoir modifié le fichier global.conf.
Pare-feu
Ajustez votre pare-feu pour bloquer les entrées DNS suivantes :
- master*.teamviewer.com
- router*.teamviewer.com
Dès que cette configuration est active, les clients qui n'ont pas reçu les informations nécessaires pour se connecter au routeur dédié ne pourront plus se connecter. Cela permet de bloquer les clients non autorisés sur TeamViewer.
Configuration réseau
Veuillez également consulter notre article sur la façon de configurer votre réseau pour une configuration optimale de l'accès conditionnel :
Pour commencer
L'accès conditionnel fonctionne avec un moteur de règles et des options de fonctionnalités dans le back-end. Vous pouvez gérer les règles et les options de fonctionnalités de manière centralisée dans le client ou à l'adresse https://web.teamviewer.com/.
Après avoir acheté et activé votre licence, vous verrez une section supplémentaire dans la catégorie Gestion de l'organisation dans les Paramètres d'administration appelée Accès conditionnel.
Comment ajouter une règle
Astuce : Une règle définit qui peut se connecter, où, quand et comment.
Dans la section Règles du menu Accès conditionnel, vous trouverez une vue d'ensemble de vos règles.
Comme nous l'avons déjà mentionné, l'accès conditionnel commence par tout bloquer, ce qui facilite également la gestion des règles puisqu'il n'y a pas de possibilité de règles contradictoires.
Pour ajouter une nouvelle règle :
- Allez dans Accès conditionnel.
- Dans l'onglet Règles, cliquez sur + Ajouter une règle.
Une fois que vous avez cliqué sur Ajouter une règle, celle-ci est configurée sur une seule page, qui comprend le type de règle, la source et la cible, les options de la règle et la date d'expiration.
Types de règles
Si votre organisation utilise à la fois l'architecture multi-tenant et l'accès conditionnel, vous devez sélectionner un type de règle lors de la création d'une règle.
Les types de règles suivants sont disponibles :
- Interne
S'applique aux règles au sein de votre propre organisation.
- Organisation
S'applique aux règles entre différentes organisations.
Définir la source et la cible
Vous pouvez ajouter des règles pour des appareils, comptes, groupes, groupes gérés, groupes d'utilisateurs et groupes de répertoires, tant pour le type de source que pour le type de cible.
En fonction du type de source et du type de cible choisis, vous devez choisir une source et une cible correspondantes, par exemple un groupe d'utilisateurs spécifique parmi vos groupes d'utilisateurs si vous choisissez le groupe d'utilisateurs comme type ou un utilisateur si vous avez choisi Compte.
Si vous choisissez Tous, tous les groupes d'utilisateurs (ou une autre source choisie) seront ajoutés.
Astuce : Une fonction de saisie automatique est disponible lors de la saisie de la source et de la cible pour tous les appareils et comptes figurant dans votre liste d'ordinateurs et de contacts. En outre, tous les comptes de votre entreprise sont également pris en compte dans la saisie automatique.
Note : Vous pouvez toujours ajouter des appareils qui ne figurent pas dans votre liste d'Ordinateurs et de contacts en saisissant l'ID TeamViewer. Concernant les groupes, vous ne pouvez les ajouter que si vous en êtes le propriétaire. Il s'agit d'une mesure de sécurité.
Options de règles
Vous pouvez ajouter des options à ces règles. Il existe trois types d'options de règles.
Option d'approbation
L'option d'approbation fournit un niveau de sécurité supplémentaire en permettant à des utilisateurs choisis d'approuver les connexions à des appareils spécifiques. Pour plus d'informations, veuillez consulter l'article ci-dessous :
Option de fonctionnalité
Cette option vous permet de personnaliser vos règles d'accès conditionnel et de définir les autorisations de l'agent d'assistance (l'utilisateur qui se connecte à l'appareil distant), au cas où il ne devrait avoir qu'un accès limité à certains appareils. Pour plus d'informations, veuillez consulter l'article ci-dessous :
Option de temps
L'option de temps vous permet d'autoriser des types d'accès spécifiques uniquement à certaines heures, par exemple pour l'assistance externe tierce, le service d'assistance informatique interne et les travailleurs à distance. Pour plus d'informations, veuillez consulter l'article ci-dessous :
Délais d'expiration
Vous pouvez ajouter une date d'expiration aux règles d'accès conditionnel.
La fonctionnalité d'expiration est importante pour tout scénario dans lequel certains utilisateurs de TeamViewer doivent avoir accès à des appareils spécifiques pour une durée limitée :
- Travail sur un projet
- Stagiaires, travailleurs à temps partiel, etc
- Remplaçants, suppléants et autres personnes aidant pour une durée limitée
Des dates d'expiration peuvent être définies pour les règles, nouvelles comme existantes.
Astuce : L'expiration définit à partir de quelle date et jusqu'à quelle date la règle sera active.
Les dates d'expiration peuvent être modifiées à tout moment. Vous pouvez soit définir une durée d'expiration lors de la création d'une règle, soit modifier les dates d'expiration ultérieurement en modifiant une règle existante.
Plusieurs délais peuvent être ajoutés à une règle. Le statut d'expiration de toutes les règles est visible dans la vue d'ensemble :
Statuts disponibles :
- Aucune expiration (pas d'expiration fixée)
- Planifié (dans le futur)
- Actif (actuellement dans les délais)
- Expiré (dans le passé)
Note : Si vous êtes en cours de session au moment de l'expiration de la règle, les deux parties de la connexion recevront un avertissement 5 minutes avant l'expiration. La session sera immédiatement interrompue à l'expiration de la règle.
Activer la vérification des règles
Les règles ajoutées ne sont pas automatiquement activées.
Cliquez sur Activer pour vous assurer que seules les connexions autorisées par les règles sont possibles, et rien d'autre.
Après avoir activé l'accès conditionnel, vous pouvez également autoriser les réunions et inclure des codes de session.
Lorsque l'option Autoriser les réunions est activée, les utilisateurs de votre entreprise peuvent organiser et établir des réunions. Si cette option n'est pas activée, toutes les réunions sont bloquées et aucune exception ne peut être établie.
Si l'option Inclure des codes de session est activée, les utilisateurs de votre organisation peuvent se connecter via des codes de session au sein de leurs groupes.
Différentes règles valables pour la même connexion
Si un utilisateur fait partie de plusieurs groupes d'utilisateurs qui utilisent différentes règles d'accès conditionnel, les règles ayant l'ensemble de permissions le plus élevé ont la priorité la plus élevée.
Par exemple, si une règle autorise le transfert de fichiers, mais qu'une autre règle ne l'autorise pas, le transfert de fichiers sera possible.
Vérification des règles pour les connexions à partir du navigateur
Lorsque l'accès conditionnel est actif, que vos règles sont activées et que vous vous connectez à partir du navigateur, les règles d'accès conditionnel sont appliquées. Il n'est pas nécessaire de configurer quoi que ce soit dans le registre des appareils.