ナレッジベース

条件付きアクセスは、TeamViewer Tensorを使用するデバイス、ユーザー、ユーザーグループが組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを管理するためのフレームワークです。

条件付きアクセスを使用すると、企業のITおよびセキュリティ管理者は、TeamViewer のアクセスと使用状況を 1 つの場所から会社全体で監視できます。

• 再利用オプションにより、管理者はルールを選択し、すべてのアクセス制御の機能オプションを作成することができます。
• 条件付きアクセスルールの有効期限を設定することで、サードパーティベンダーや派遣社員のアクセスを制限することができます。
• クライアントまたはWeb App (https://web.teamviewer.com/)内でルールを一元管理することができます。
• リモートセッション、ファイル転送、会議接続のアクセス許可を割り当てることが可能です。
• アカウント、グループ、またはデバイスレベルでルールを設定することができます。
• クラウドベースのソリューションは、オンプレミスのアプローチよりも柔軟性に優れています。

この記事は、TeamViewer Tensor ライセンスと条件付きアクセス アドオン、または Tensor Pro またはUnlimited ライセンスを持つすべての TeamViewer のお客様に適用されます。

前提条件

条件付きアクセスを設定および使用するには、以下の前提条件が必要です:

• 条件付きアクセスアドオンが有効化されているライセンス
• TeamViewer クライアントバージョン15.5以降
• 専用ルーターのDNS/IPアドレスの把握

条件付きアクセスはセキュリティ機能であるため、ルール検証を有効化した時点では初期接続は許可されません！

クライアントとファイアウォールの構成

クライアント

次のステップはファイアウォール内の通常の TeamViewer ルーターへのアクセスをブロックするため、クライアントは専用ルーターに接続するように設定する必要があります。

Windows

レジストリの構成は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで実行できます。

32ビット版:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

64ビット版:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターに接続せず、代わりに専用ルーターの 1 つに接続します。

macOS

専用ルーターを設定するには、TeamViewer がシステムとともに起動するかどうかに応じて、 TeamViewer が実行されていないときに次のいずれかのコマンドを実行する必要があります。

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

専用ルーターを設定するには、global.confファイルを変更し、次のエントリーを追加する必要があります:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

global.confを編集した後、TeamViewer サービスを再起動します。

ファイアウォール

ファイアウォールを調整して、次のDNSエントリをブロックします:

• router*.teamviewer.com
• master*.teamviewer.com

この設定が有効になると、専用ルーターに接続するための情報を取得していないクライアントは、オンラインに接続できなくなります。これは、許可されていないTeamViewerクライアントをブロックする場合に有効です。

ネットワーク構成

条件付きアクセスを最適に構成するためのネットワーク設定方法については、以下の記事もご覧ください:

前述したように、条件付きアクセスは最初にすべてをブロックすることから開始されます。これにより、矛盾するルールが存在する可能性がなくなるため、ルールの管理も容易になります。

新しいルールを追加するには:

1. 条件付きアクセスに移動します。
2. ルールタブで、ルールの追加をクリックします。

ルールオプション

これらのルールにルール オプションを追加することができます。ルールオプションには3種類あります。

承認オプション

承認オプションは、特定のデバイスへの接続を承認する権限をユーザーに付与することで、セキュリティをさらに強化します。詳細については、以下の記事をご覧ください:

機能オプション

機能オプションを使用すると、条件付きアクセスルールをカスタマイズし、サポーター（リモートデバイスに接続するユーザー）の権限を定義できます。これにより、特定のデバイスへの接続時にサポーターのアクセスを制限できます。詳細については、以下の記事をご覧ください:

時間オプション

時間オプションを使用すると、外部のサードパーティ サポート、社内の IT ヘルプ デスク、リモート ワーカーなど、特定の時間帯にのみ特定の種類のアクセスを有効にすることができます。詳細については、以下の記事をご覧ください:

条件付きアクセスルールの有効期限

条件付きアクセス ルールに有効期限を追加することができます。

有効期限機能は、特定のTeamViewerユーザーに特定のデバイスへのアクセスを限られた期間のみ許可する必要があるシナリオにおいて重要です: 

• プロジェクトベースの業務
• インターンシップ、パートタイムなど
• 代役、スタンドイン、その他期間限定のサポート

新規ルールと既存ルールに有効期限を設定できます。

ヒント: 有効期限は、ルールがいつからいつまで有効になるかを定義します。

有効期限はいつでも編集できます:

1. 編集するルールを選択します。
2. 編集をクリックします。
3. ルールの有効期限ボタンをクリックします。

利用可能なステータス:

• 有効期限なし（有効期限が設定されていない）
• スケジュール済み（将来）
• 有効（現在、期限内）
• 期限切れ（過去）

注意: ルールの有効期限が切れた際にセッション中の場合、接続の両側に5分間の警告が表示されます。ルールの有効期限が切れると、セッションはすぐに終了します。