条件付きアクセスは、TeamViewer Tensorを使用するデバイス、ユーザー、ユーザーグループが組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを管理するためのフレームワークです。
条件付きアクセスを使用すると、企業のITおよびセキュリティ管理者は、TeamViewer のアクセスと使用状況を 1 つの場所から会社全体で監視できます。
この記事は、TeamViewer Tensor ライセンスと条件付きアクセス アドオン、または Tensor Pro またはUnlimited ライセンスを持つすべての TeamViewer のお客様に適用されます。
条件付きアクセスを設定および使用するには、以下の前提条件が必要です:
条件付きアクセスはセキュリティ機能であるため、ルール検証を有効化した時点では初期接続は許可されません!
クライアント
次のステップはファイアウォール内の通常の TeamViewer ルーターへのアクセスをブロックするため、クライアントは専用ルーターに接続するように設定する必要があります。
Windows
レジストリの構成は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで実行できます。
32ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターに接続せず、代わりに専用ルーターの 1 つに接続します。
macOS
専用ルーターを設定するには、TeamViewer がシステムとともに起動するかどうかに応じて、 TeamViewer が実行されていないときに次のいずれかのコマンドを実行する必要があります。
# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
専用ルーターを設定するには、global.confファイルを変更し、次のエントリーを追加する必要があります:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
global.confを編集した後、TeamViewer サービスを再起動します。
ファイアウォールを調整して、次のDNSエントリをブロックします:
この設定が有効になると、専用ルーターに接続するための情報を取得していないクライアントは、オンラインに接続できなくなります。これは、許可されていないTeamViewerクライアントをブロックする場合に有効です。
条件付きアクセスを最適に構成するためのネットワーク設定方法については、以下の記事もご覧ください:
条件付きアクセスは、ルールエンジンとバックエンド機能オプションを使用して動作します。ルールと機能オプションは、クライアントまたは https://web.teamviewer.com/ で一元管理できます。
ライセンスを購入し有効化すると、管理者設定内の組織管理カテゴリーに条件付きアクセスという追加セクションが表示されます。
ヒント: ルールは、誰が、どこで、いつ、どのように接続できるかを定義します。
条件付きアクセス メニューのルール セクションに、ルールの概要が表示されます。
前述したように、条件付きアクセスは最初にすべてをブロックすることから開始されます。これにより、矛盾するルールが存在する可能性がなくなるため、ルールの管理も容易になります。
新しいルールを追加するには:
ソース タイプとターゲット タイプの両方に対して、デバイス、アカウント、グループ、管理グループ、ユーザー グループ、およびディレクトリ グループのルールを追加できます。
ソースタイプとターゲットタイプとして選択した内容に応じて、対応するソースとターゲットを選択する必要があります。例えば、タイプとしてユーザーグループを選択した場合は、ユーザーグループから特定のユーザーグループを選択します。アカウントを選択した場合は、ユーザーを選択します。
あるいは、すべてを選択すると、すべてのユーザー グループ (または選択した別のソース) が追加されます。
ヒント: コンピューター&パートナーリストにあるすべてのデバイスとアカウントのソースとターゲットを入力する際、オートコンプリートを利用することができます。さらに、社内のすべてのアカウントもオートコンプリートの対象となります。
注意: TeamViewer IDを入力することで、コンピュータ&パートナーリストにないデバイスも追加できます。グループに関しては、グループの所有者のみが追加できます。これはセキュリティ対策です。
これらのルールにルール オプションを追加することができます。ルールオプションには3種類あります。
承認オプションは、特定のデバイスへの接続を承認する権限をユーザーに付与することで、セキュリティをさらに強化します。詳細については、以下の記事をご覧ください:
機能オプションを使用すると、条件付きアクセスルールをカスタマイズし、サポーター(リモートデバイスに接続するユーザー)の権限を定義できます。これにより、特定のデバイスへの接続時にサポーターのアクセスを制限できます。詳細については、以下の記事をご覧ください:
時間オプションを使用すると、外部のサードパーティ サポート、社内の IT ヘルプ デスク、リモート ワーカーなど、特定の時間帯にのみ特定の種類のアクセスを有効にすることができます。詳細については、以下の記事をご覧ください:
条件付きアクセス ルールに有効期限を追加することができます。
有効期限機能は、特定のTeamViewerユーザーに特定のデバイスへのアクセスを限られた期間のみ許可する必要があるシナリオにおいて重要です:
新規ルールと既存ルールに有効期限を設定できます。
ヒント: 有効期限は、ルールがいつからいつまで有効になるかを定義します。
有効期限はいつでも編集できます:
1つのルールに複数のタイムフレームを追加できます。すべてのルールの有効期限ステータスは概要で確認できます:
利用可能なステータス:
注意: ルールの有効期限が切れた際にセッション中の場合、接続の両側に5分間の警告が表示されます。ルールの有効期限が切れると、セッションはすぐに終了します。
追加されたルールは自動的には有効になりません。
有効化をクリックして、ルールで許可されている接続のみが可能で、それ以外は不可能であることを確認してください。
条件付きアクセスを有効にした後、会議を許可し、セッション コードを含めることもできます。
会議を許可を有効にすると、社内のユーザーは会議接続を確立できます。無効にすると、すべての会議がブロックされ、例外を設定することはできません。
セッション コードを含めるが有効になっている場合、組織内のユーザーはグループ内のセッション コードを介して接続できます。
ユーザーが、異なる条件付きアクセス ルールを使用している複数のユーザー グループに属している場合、最も高い権限セットを持つルールの優先度が最も高くなります。
たとえば、あるルールではファイル転送が許可されているが、別のルールでは許可されていない場合でも、ファイル転送は可能になります。
条件付きアクセスとルールが有効になっている場合、ブラウザから接続すると条件付きアクセスルールが適用されます。デバイスのレジストリで追加の設定は必要はありません。