条件付きアクセスは、TeamViewer Tensor (Classic)を使用するデバイス、ユーザー、ユーザーグループが、組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを制御できるようにするフレームワークです。
条件付きアクセスにより、企業のITおよびセキュリティ管理者は、1ヶ所で、TeamViewerへのアクセスおよび使用に関する企業全体にわたる監視を維持できます。
- 再利用オプションにより、管理者はすべてのアクセスコントロールのルールを選択し、機能オプションを作成することができます。
- 条件付きアクセスルールの有効期限により、サードパーティーベンダーや派遣社員によるアクセスを制限できます。
- 管理コンソールでルールを一元管理する事ができます。
- リモートセッション、ファイル転送、会議接続の権限を割り当てることができます。
- アカウント、グループ、デバイスにルールを設定することができます。
- クラウドベースのソリューションは、既存の運用方法よりも柔軟性に優れています。
この記事は、サブスクリプションタイプのTeamViewer Enterprise/Tensor ライセンスと Conditional Access AddOn またはTensor Pro または Unlimited ライセンスをお持ちのすべてのお客様に適用されます。
前提条件
条件付きアクセスを設定して使用できるようにするには、以下の前提条件が必要です。
- 条件付きアクセスアドオンで有効化されたライセンス
- TeamViewer クライアントバージョン15.5以上
- TeamViewer 企業プロファイルの作成(MCO経由で可能)
- 専用ルーターのDNS/IPアドレスの把握
🚨「条件付きアクセス」はセキュリティ機能であるため、最初のルール検証が有効になった時点では、いかなる接続も許可されません。
クライアントとファイアウォールの設定
クライアント
次のステップでは、ファイアウォールで通常のTeamViewer ルーターへのアクセスをブロックするので、クライアントは専用ルーターにアクセスするように設定しなければなりません。
Windows
レジストリの設定は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで行うことができます。
32ビットバージョン:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64ビットバージョン:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターには接続せず、代わりにいずれかの専用ルーターに接続します。
macOS
専用ルーターを設定するには、 TeamViewer が稼働していない状態で、TeamViewer がシステムと一緒に起動するかどうかに応じて、次のいずれかのコマンドを実行する必要があります。
# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
専用ルーターを設定するには、global.confファイルを変更し、以下のエントリを追加する必要があります。
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
global.confの編集後、TeamViewer のサービスを再起動します。
ファイアウォール
次のDNSエントリをブロックするようにファイアウォールを調整してください。
- master*.teamviewer.com
- router*.teamviewer.com
この設定が有効になると、専用ルーターに接続するための情報を得られなかったクライアントは、それ以降オンラインに接続できなくなります。これは、未承認のTeamViewer クライアントをブロックする場合に関連します。
はじめに
条件付きアクセスは、ルールエンジンと同様に、バックエンドの機能オプションと連携しています。ルールと機能オプションは、Management Console で一元的に管理できます。
ライセンスを購入してアクティベートすると、ナビゲーションに「条件付きアクセス」という項目が追加されます。
機能オプション
条件付きアクセスの「機能オプション」 では、特定のユーザー/ユーザーグループが特定のデバイスに接続する際に限定的なアクセス権しか持たないようにするなど、ルールをカスタマイズすることができます。
📌注意:ルールに機能オプションを追加したい場合は、まず機能オプションを作成する必要があります。機能オプションを使用しない場合は、読み進めることができます。
ルールを作成する際に、機能オプションをルールに追加することができます。
💡ヒント:オプションは、接続時のアクセスレベルを定義します。
新機能オプションの追加
機能オプションは、Management Console の「条件付きアクセス」セクションで作成します。新しい機能オプションを追加するには、以下の手順に従ってください。
1.)条件付きアクセス→オプション に移動し、+ボタンをクリックします。
2.)Add Feature Optionダイアログが開きます。ここでは、機能オプションの名前と、接続時に利用できるものとできないものを正確に定義します。
📌注意:条件付きアクセスルールで使用されているオプションは削除できません。エラーメッセージは、そのオプションが使用中であることを知らせるためのものです。
以下の例では、すべての設定が確認後に設定されます。
📌注意: 役割の切り替え機能は、デフォルトでは拒否に設定されています。これを有効にすると、サポーターのアクセス制御権限がセッション参加者に転送さ れることに注意してください。
オプションの概要
作成されたすべての条件付きアクセスルールの「機能オプション」は、いつでもManagement Console で確認できます。また、オプションのフィルタリングや編集も可能です。
📌注意:オプションの種類は今後も増えていく予定です。
ヒエラルキー
同じ接続でも異なるルールが有効
1人のユーザーが複数のユーザーグループに属していて、それぞれが異なる条件付きアクセスルールを使用している場合、最も高い権限が設定されているルールが最優先されます。
例えば、あるルールではファイル転送を許可しているが、別のルールでは許可していない場合、ファイル転送は可能となります。
機能オプションとローカル設定の比較
条件付きアクセスの機能オプション は、デバイスのアクセスコントロール設定を補完するものです。
たとえば、ルールの条件付きアクセスオプションでファイル転送が許可されていても、デバイスのアクセスコントロール設定では許可されていない場合(ポリシーで設定されているか、オプションでローカルに設定されているか)、ファイル転送はできません。
ルールの追加
💡ヒント:ルールとは、誰が、いつ、どこで、どのように接続できるかを定義するものです。
[条件付きアクセス]ページに移動すると、すべてのルールの概要が表示されます。ルールがまだ作成されていない場合、ページには「ルールが見つかりません」と表示されます。
先に述べたように、条件付きアクセスでは、最初はすべてをブロックすることから始めるので、矛盾したルールが発生する可能性がなく、ルールの管理も容易になります。
ルール追加の+ボタン をクリックすると、新しいページが表示されます。
ソースタイプとターゲットタイプの両方に、ルールとしてデバイス、アカウント、グループ、管理グループ、ユーザーグループ、ディレクトリグループを追加することができます。
例えば、ユーザーグループを選択した場合は、ユーザーグループの中から特定のユーザーグループを選択する必要があります。アカウントを選択した場合はユーザーを選択します。
また、「すべて」を選択すると、すべてのユーザーグループ(または選択した別のソース)が追加されます。
💡ヒント: ソースとターゲットを入力すると、[コンピュータ&パートナー]リストに登録されているすべてのデバイスとアカウントの自動補完機能があります。さらに、あなたの会社のすべてのアカウントも自動補完の対象となります。
📌注意:TeamViewer IDを入力しても、[コンピュータ&パートナー]リストに登録されていないデバイスを追加することができます。グループについては、自分がそのグループのオーナーである場合にのみ追加できます。これはセキュリティ上の措置です。
条件付きアクセスルールの有効期限
条件付きアクセスのルールには、有効期限を追加することができます。
期限付きの機能は、特定のTeamViewer ユーザーが、期間限定で特定のデバイスにアクセスする必要がある場合に重要です。
- プロジェクトベースの仕事
- インターン、パートタイム労働者など
- 代行やスタンドインなど、期間限定のお手伝い
新規および既存のルールに有効期限を設定できます。
💡ヒント:Expiryは、いつからいつまでそのルールが有効になるかを定義します。
有効期限はいつでも編集可能です。
(緑:新しいタイムフレームを作成します。オレンジ:既存のものを編集します。表示される時間はUTCで指定されています。)
1つのルールに複数の時間枠を追加することができます。すべてのルールの有効期限の状態は、概要で確認できます。
利用可能な状態 は以下の通りです。
- never(有効期限が設定されていない)
- scheduled (有効期限が設定されている状態)
- active(現在、時間枠内)
- 期限切れ
ルール検証の有効化
追加されたルールは自動的には有効になりません。
条件付きアクセスを有効にするを使用して、ルールで許可された接続だけが可能で、それ以外はできないようにしてください。
ブロックミーティングも可能です。ただし、これは「All or nothing」の設定です。有効にすると、すべての会議がブロックされます。例外はありません。