条件付きアクセスは、TeamViewer Tensorを使用するデバイス、ユーザー、ユーザーグループが組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを管理するためのフレームワークです。
条件付きアクセスを使用すると、企業のITおよびセキュリティ管理者は、TeamViewer のアクセスと使用状況を 1 つの場所から会社全体で監視できます。
- 再利用オプションにより、管理者はルールを選択し、すべてのアクセス制御の機能オプションを作成することができます。
- 条件付きアクセスルールの有効期限を設定することで、サードパーティベンダーや臨時社員のアクセスを制限することができます。
- クライアントまたはWeb App (https://web.teamviewer.com/)内でルールを一元管理することができます。
- リモートセッション、ファイル転送、会議接続のアクセス許可を割り当てることが可能です。
- アカウント、グループ、またはデバイスレベルでルールを設定することができます。
- クラウドベースのソリューションは、オンプレミスのアプローチよりも柔軟性に優れています。
この記事は、TeamViewer Tensor ライセンスと条件付きアクセス アドオン、または Tensor Pro またはUnlimited ライセンスを持つすべてのお客様に適用されます。
前提条件
条件付きアクセスを設定および使用するには、以下の前提条件が必要です:
- 条件付きアクセスアドオンが有効化されているライセンス
- TeamViewer クライアントバージョン15.5以降
- 専用ルーターのDNS/IPアドレスの把握
条件付きアクセスはセキュリティ機能であるため、ルール検証を有効化した時点では初期接続は許可されません。
クライアントとファイアウォールの構成
クライアント
次のステップはファイアウォール内の通常の TeamViewer ルーターへのアクセスをブロックするため、クライアントは専用ルーターに接続するように設定する必要があります。
Windows
レジストリの構成は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで実行できます。
32ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターに接続せず、代わりに専用ルーターの1つに接続します。
macOS
専用ルーターを設定するには、TeamViewer がシステムとともに起動するかどうかに応じて、 TeamViewer が実行されていないときに次のいずれかのコマンドを実行する必要があります。
# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
専用ルーターを設定するには、global.confファイルを変更し、次のエントリーを追加する必要があります:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
global.confを編集した後、TeamViewer サービスを再起動します。
ファイアウォール
ファイアウォールを調整して、次のDNSエントリをブロックします:
- router*.teamviewer.com
- master*.teamviewer.com
この設定が有効になると、専用ルーターに接続するための情報を取得していないクライアントは、オンラインに接続できなくなります。これは、許可されていないTeamViewerクライアントをブロックする場合に有効です。
ネットワーク構成
条件付きアクセスを最適に構成するためのネットワーク設定方法については、以下の記事もご覧ください:
はじめに
条件付きアクセスは、ルールエンジンとバックエンド機能オプションを使用して動作します。ルールと機能オプションは、クライアントまたは https://web.teamviewer.com/ で一元管理できます。
ライセンスを購入し有効化すると、管理者設定内の組織管理カテゴリーに条件付きアクセスという追加セクションが表示されます。
ルールの追加方法
ヒント: ルールは、誰が、どこで、いつ、どのように接続できるかを定義します。
条件付きアクセス メニューのルール セクションに、ルールの概要が表示されます。
前述したように、条件付きアクセスは最初にすべてをブロックすることから開始されます。これにより、矛盾するルールが存在する可能性がなくなるため、ルールの管理も容易になります。
新しいルールを追加するには:
- 条件付きアクセスに移動します。
- ルールタブで、ルールを追加をクリックします。
「ルールを追加」をクリックすると、ルールタイプ、ソースとターゲット、ルールオプション、また有効期限など、ルールの設定が1つのページで行えるようになります。
ルールタイプ
会社でマルチテナントと条件付きアクセスの両方を使用している場合、ルール作成時にルールタイプを選択する必要があります。
利用可能なルールタイプは以下のとおりです:
内部
自分の会社内で適用されるルール。
組織
異なる会社間で適用されるルール。
ソースとターゲットを定義
ソースタイプおよびターゲットタイプとして、デバイス、アカウント、グループ、管理グループ、ユーザーグループ、ディレクトリグループに対してルールを追加できます。
選択したソースタイプおよびターゲットタイプに応じて、対応するソースとターゲットを選択する必要があります。
例:タイプとして「ユーザーグループ」を選択した場合は、保有しているユーザーグループの中から特定のグループを選択します。
「アカウント」を選択した場合は、特定のユーザーを選択します。
また、「すべて」を選択した場合は、すべてのユーザーグループ(または選択したソース)が対象として追加されます。
ヒント:コンピューター & コンタクトリスト内のすべてのデバイスおよびアカウントについて、ソースとターゲットを入力する際にオートコンプリートが利用できます。さらに、自身の会社のすべてのアカウントもオートコンプリートの対象に含まれます。
注意:TeamViewer ID を入力することで、コンピューター & コンタクトリストに含まれていないデバイスも追加できます。グループについては、セキュリティ上の措置として、そのグループの所有者である場合にのみ追加可能です。
ルールオプション
これらのルールにルールオプションを追加することができます。ルールオプションには3種類あります。
承認オプション
承認オプションは、特定のデバイスへの接続を承認する権限をユーザーに付与することで、セキュリティをさらに強化します。詳細については、以下の記事をご覧ください:
機能オプション
機能オプションを使用すると、条件付きアクセスルールをカスタマイズし、サポート提供者(リモートデバイスに接続するユーザー)の権限を定義できます。これにより、特定のデバイスへの接続時にサポート提供者のアクセスを制限できます。詳細については、以下の記事をご覧ください:
時間オプション
時間オプションを使用すると、外部のサードパーティサポート、社内の IT ヘルプ デスク、リモート ワーカーなど、特定の時間帯にのみ特定の種類のアクセスを有効にすることができます。詳細については、以下の記事をご覧ください:
時間枠期限
条件付きアクセスルールに時間枠期限を追加することができます。
この期限機能は、特定のTeamViewerユーザーに特定のデバイスへのアクセスを限られた期間のみ許可する必要があるシナリオにおいて重要です:
- プロジェクトベースの業務
- インターンシップ、パートタイムスタッフなど
- 短期間だけ業務にあたる代行者・サポート要員など
新規ルールと既存ルールに期限を設定できます。
ヒント: 期限は、ルールがいつからいつまで有効になるかを定義します。
期限はいつでも編集できます。ルール作成時に時間枠期限を設定することも、既存のルールを編集して後から期限を更新することも可能です。
1つのルールに複数のタイムフレームを追加できます。すべてのルールの期限ステータスは概要で確認できます:
利用可能なステータス:
- 期限なし(期限が設定されていない)
- スケジュール済み(将来)
- 有効(現在、期限内である)
- 期限切れ(過去)
注意: ルールの有効期限が切れる際にセッション中の場合、接続の両側に5分前の警告が表示されます。ルールの有効期限が切れると、セッションはすぐに終了します。
ルール検証を有効にする
追加されたルールは自動的には有効になりません。
ルールで許可されている接続のみが可能となるように、有効化をクリックします。
条件付きアクセスを有効にした後、会議を許可し、セッションコードを含めることもできます。
会議を許可を有効にすると、会社内のユーザーは会議接続を確立できます。無効にすると、すべての会議がブロックされ、例外を設定することはできません。
セッションコードを含めるが有効になっている場合、組織内のユーザーはグループ内のセッションコードを介して接続できます。
同じ接続に対して異なるルールが有効
ユーザーが、異なる条件付きアクセスルールを使用している複数のユーザー グループに属している場合、最も高い権限セットを持つルールの優先度が最も高くなります。
たとえば、あるルールではファイル転送が許可されているが、別のルールでは許可されていない場合、ファイル転送は可能になります。
ブラウザからの接続のルールチェック
条件付きアクセスとルールが有効になっている場合、ブラウザから接続すると条件付きアクセスルールが適用されます。デバイスのレジストリで追加の設定は必要はありません。