条件付きアクセスは、TeamViewer Tensorを使用するデバイス、ユーザー、ユーザーグループが組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを管理するためのフレームワークです。

条件付きアクセスを使用すると、企業のITおよびセキュリティ管理者は、TeamViewer のアクセスと使用状況を 1 つの場所から会社全体で監視できます。

  • 再利用オプションにより、管理者はルールを選択し、すべてのアクセス制御の機能オプションを作成することができます。
  • 条件付きアクセスルールの有効期限を設定することで、サードパーティベンダーや派遣社員のアクセスを制限することができます。
  • クライアントまたはWeb App (https://web.teamviewer.com/)内でルールを一元管理することができます。
  • リモートセッション、ファイル転送、会議接続のアクセス許可を割り当てることが可能です。
  • アカウント、グループ、またはデバイスレベルでルールを設定することができます。
  • クラウドベースのソリューションは、オンプレミスのアプローチよりも柔軟性に優れています。

この記事は、TeamViewer Tensor ライセンスと条件付きアクセス アドオン、または Tensor Pro またはUnlimited ライセンスを持つすべての TeamViewer のお客様に適用されます。

前提条件

条件付きアクセスを設定および使用するには、以下の前提条件が必要です:

  • 条件付きアクセスアドオンが有効化されているライセンス
  • TeamViewer クライアントバージョン15.5以降
  • 専用ルーターのDNS/IPアドレスの把握

条件付きアクセスはセキュリティ機能であるため、ルール検証を有効化した時点では初期接続は許可されません!

クライアントとファイアウォールの構成

クライアント

次のステップはファイアウォール内の通常の TeamViewer ルーターへのアクセスをブロックするため、クライアントは専用ルーターに接続するように設定する必要があります。

Windows

レジストリの構成は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで実行できます。

32ビット版:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

64ビット版:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターに接続せず、代わりに専用ルーターの 1 つに接続します。

macOS

専用ルーターを設定するには、TeamViewer がシステムとともに起動するかどうかに応じて、 TeamViewer が実行されていないときに次のいずれかのコマンドを実行する必要があります。

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

専用ルーターを設定するには、global.confファイルを変更し、次のエントリーを追加する必要があります:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

global.confを編集した後、TeamViewer サービスを再起動します。

ファイアウォール

ファイアウォールを調整して、次のDNSエントリをブロックします:

  • router*.teamviewer.com
  • master*.teamviewer.com

この設定が有効になると、専用ルーターに接続するための情報を取得していないクライアントは、オンラインに接続できなくなります。これは、許可されていないTeamViewerクライアントをブロックする場合に有効です。

ネットワーク構成

条件付きアクセスを最適に構成するためのネットワーク設定方法については、以下の記事もご覧ください:

はじめに

条件付きアクセスは、ルールエンジンとバックエンド機能オプションを使用して動作します。ルールと機能オプションは、クライアントまたは https://web.teamviewer.com/ で一元管理できます。

ライセンスを購入し有効化すると、管理者設定内の組織管理カテゴリーに条件付きアクセスという追加セクションが表示されます。

ルールの追加方法

ヒント: ルールは、誰が、どこで、いつ、どのように接続できるかを定義します。

条件付きアクセス メニューのルール セクションに、ルールの概要が表示されます。

前述したように、条件付きアクセスは最初にすべてをブロックすることから開始されます。これにより、矛盾するルールが存在する可能性がなくなるため、ルールの管理も容易になります。

新しいルールを追加するには:

  1. 条件付きアクセスに移動します。
  2. ルールタブで、ルールの追加をクリックします。

ソース タイプターゲット タイプの両方に対して、デバイス、アカウント、グループ、管理グループ、ユーザー グループ、およびディレクトリ グループのルールを追加できます。

ソースタイプターゲットタイプとして選択した内容に応じて、対応するソースターゲットを選択する必要があります。例えば、タイプとしてユーザーグループを選択した場合は、ユーザーグループから特定のユーザーグループを選択します。アカウントを選択した場合は、ユーザーを選択します。

あるいは、すべてを選択すると、すべてのユーザー グループ (または選択した別のソース) が追加されます。

ヒント: コンピューター&パートナーリストにあるすべてのデバイスとアカウントのソースとターゲットを入力する際、オートコンプリートを利用することができます。さらに、社内のすべてのアカウントもオートコンプリートの対象となります。

注意: TeamViewer IDを入力することで、コンピュータ&パートナーリストにないデバイスも追加できます。グループに関しては、グループの所有者のみが追加できます。これはセキュリティ対策です。

ルールオプション

これらのルールにルール オプションを追加することができます。ルールオプションには3種類あります。

承認オプション

承認オプションは、特定のデバイスへの接続を承認する権限をユーザーに付与することで、セキュリティをさらに強化します。詳細については、以下の記事をご覧ください:

機能オプション

機能オプションを使用すると、条件付きアクセスルールをカスタマイズし、サポーター(リモートデバイスに接続するユーザー)の権限を定義できます。これにより、特定のデバイスへの接続時にサポーターのアクセスを制限できます。詳細については、以下の記事をご覧ください:

時間オプション

時間オプションを使用すると、外部のサードパーティ サポート、社内の IT ヘルプ デスク、リモート ワーカーなど、特定の時間帯にのみ特定の種類のアクセスを有効にすることができます。詳細については、以下の記事をご覧ください:

条件付きアクセスルールの有効期限

条件付きアクセス ルールに有効期限を追加することができます。

有効期限機能は、特定のTeamViewerユーザーに特定のデバイスへのアクセスを限られた期間のみ許可する必要があるシナリオにおいて重要です: 

  • プロジェクトベースの業務
  • インターンシップ、パートタイムなど
  • 代役、スタンドイン、その他期間限定のサポート

新規ルールと既存ルールに有効期限を設定できます。

ヒント: 有効期限は、ルールがいつからいつまで有効になるかを定義します。

有効期限はいつでも編集できます:

  1. 編集するルールを選択します。
  2. 編集をクリックします。
  3. ルールの有効期限ボタンをクリックします。

1つのルールに複数のタイムフレームを追加できます。すべてのルールの有効期限ステータスは概要で確認できます: 

利用可能なステータス:

  • 有効期限なし(有効期限が設定されていない)
  • スケジュール済み(将来)
  • 有効(現在、期限内)
  • 期限切れ(過去)

注意: ルールの有効期限が切れた際にセッション中の場合、接続の両側に5分間の警告が表示されます。ルールの有効期限が切れると、セッションはすぐに終了します。

ルール検証を有効にする

追加されたルールは自動的には有効になりません。

有効化をクリックして、ルールで許可されている接続のみが可能で、それ以外は不可能であることを確認してください。

条件付きアクセスを有効にした後、会議を許可し、セッション コードを含めることもできます。

会議を許可を有効にすると、社内のユーザーは会議接続を確立できます。無効にすると、すべての会議がブロックされ、例外を設定することはできません。

セッション コードを含めるが有効になっている場合、組織内のユーザーはグループ内のセッション コードを介して接続できます。

同じ接続に対して異なるルールが有効

ユーザーが、異なる条件付きアクセス ルールを使用している複数のユーザー グループに属している場合、最も高い権限セットを持つルールの優先度が最も高くなります。

たとえば、あるルールではファイル転送が許可されているが、別のルールでは許可されていない場合でも、ファイル転送は可能になります。

ブラウザからの接続のルールチェック

条件付きアクセスとルールが有効になっている場合、ブラウザから接続すると条件付きアクセスルールが適用されます。デバイスのレジストリで追加の設定は必要はありません。