条件付きアクセスは、TeamViewer Tensorを使用するデバイス、ユーザー、ユーザーグループが、組織内のどのデータソース、サービス、アプリケーションにアクセスできるかを管理するためのフレームワークです。
条件付きアクセスにより、企業のITおよびセキュリティ管理者は、TeamViewerへのアクセスと使用に関する全社的な監視を1つの場所から行うことができます。
- 再利用オプションにより、管理者は各アクセス制御のルールを選択し、機能オプションを作成することができます。
- 条件付きアクセスルールの有効期限を設定することで、サードパーティベンダーや派遣社員のアクセスを制限することができます。
- クライアントまたはWeb App( https://web.teamviewer.com/)内でルールを一元管理することができます。
- リモートセッション、ファイル転送、会議接続のアクセス許可を割り当てることが可能です。
- アカウント、グループ、またはデバイスレベルでルールを設定することができます。
- クラウドベースのソリューションは、既存の運用方法よりも高い柔軟性を提供します。
この記事は、TeamViewer Tensorライセンスと条件付きアクセスアドオン、またはTensor Proライセンスまたは無制限ライセンスを持つすべてのTeamViewerユーザーに適用されます。
前提条件
条件付きアクセスを設定および使用するには、以下の前提条件が必要です:
- 条件付きアクセスアドオンで有効化されたライセンス
- TeamViewer クライアントバージョン15.5以上
- 専用ルーターのDNS/IPアドレスを把握していること
🚨条件付きアクセスはセキュリティ機能であり、したがって、ルール検証を有効化した時点では初期接続は許可されません!
クライアントとファイアウォールの設定
クライアント
以下のステップでは、ファイアウォールで通常のTeamViewerルータへのアクセスをブロックするため、クライアントが専用ルータにアクセスできるように設定する必要があります。
Windows
レジストリの設定は、以下のコマンドを実行するか、インポートによってレジストリキーを追加することで行うことができます。
32ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64ビット版:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
TeamViewer サービスを再起動すると、クライアントは通常のTeamViewer ルーターには接続せず、専用ルーターのいずれかに接続します。
macOS
専用ルーターを設定するには、TeamViewer がシステムとともに起動するかどうかに応じて、 TeamViewer が起動していないときに以下のコマンドのいずれかを実行する必要があります。
# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
専用ルーターを設定するには、global.confファイルを変更し、以下のエントリーを追加する必要があります:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
global.confを編集した後、TeamViewer サービスを再起動します。
ファイアウォール
ファイアウォールを調整して、以下のDNSエントリをブロックします:
- router*.teamviewer.com
- master*.teamviewer.com
この設定が有効になると、専用ルーターに接続するための情報を取得していないクライアントは、オンラインになることができなくなります。これは、未承認のTeamViewer クライアントをブロックする場合に関連します。
はじめに
条件付きアクセスはルールエンジンとバックエンドの機能オプションで動作します。ルールと機能オプションは、クライアントまたは https://web.teamviewer.com/ で一元管理できます。
ライセンスを購入し有効化すると、管理者設定内の組織管理カテゴリーに条件付きアクセスという追加セクションが表示されます。
機能オプション
条件付きアクセス内の機能オプションにより 、例えば、特定のユーザー/ユーザーグループが特定のデバイスに接続する際に、制限されたアクセス権限しか持たないようにするなど、ルールをカスタマイズすることができます。
📌注意: ルールに機能オプションを追加する場合は、まず機能オプションを作成する必要があります。機能オプションを使用しない場合は、引き続きこちらを参照ください。
ルールを作成すると、機能オプションをルールに追加することができます。
💡ヒント: オプションは、接続中のアクセスレベルを定義します。
新しい機能オプションの追加
機能オプションは、Management Console の条件付きアクセスセクションで作成されます。 新しい機能オプションを追加するには、以下の手順に従ってください:
1. 条件付きアクセス➜ルールオプション➜+ 追加オプションに移動し、機能オプションを選択します:
2. 次に、機能オプションの名前と、接続中に利用可能なものと利用不可能なものを具体的に定義します。
📌注意: 条件付きアクセスルールで使用中のオプションは削除できません。
以下の例では、すべての設定が確認後に設定されています:
📌注意: 役割の切り替え機能は、デフォルトで拒否に設定されています。この機能を有効にすると、サポーターのアクセス制御権限がセッション参加者に転送されます。
ルールオプションの概要
条件付きアクセスルール用に作成されたすべてのルールオプションは、ルールオプションセクションで確認できます。オプションのフィルタリングと編集も可能です。
📌注意: オプションの種類は今後増える予定です。
レベル構成
同じ接続で有効な異なるルール
ユーザーが異なる条件付きアクセスルールを使用する複数のユーザーグループに属している場合、最も高い権限設定を持つルールが最も高い優先順位を持ちます。
たとえば、あるルールがファイル転送を許可していても、別のルールが許可していない場合、ファイル転送は可能です。
機能オプションとローカル設定の比較
条件付アクセスの機能オプションは、デバイス上のアクセス制御設定と補完的に機能します。
たとえば、ルールの条件付きアクセスオプションがファイル転送を許可していても、デバイスのアクセス制御設定がそれを許可していない場合(ポリシーまたはオプションのローカル設定のいずれか)、ファイル転送はできません。
ルールの追加
💡ヒント: ルールは、誰が、いつ、どこで、どのように接続できるかを定義します。
条件付きアクセスメニューのルールセクションに、ルールの概要が表示されます。
前述したように、条件付きアクセスは、最初にすべてをブロックすることから始まるため、矛盾したルールが発生する可能性が低く、ルールの管理も容易になります。
新しいルールを追加するには、条件付きアクセス ➜ ルール ➜ + ルールの追加に進みます。
ルールデバイス、アカウント、グループ、管理グループ、ユーザーグループ、および Directory グループをソースタイプとターゲットタイプの両方に追加することができます。
ソースタイプとターゲットタイプとして選択した内容に応じて、対応するソースとターゲットを選択する必要があります。例えば、タイプとしてユーザーグループを選択した場合は、ユーザーグループの中から特定のユーザーグループを選択します。また、アカウントを選択した場合はユーザーを選択します。
または、すべてを選択すると、すべてのユーザーグループ(または選択した別のソース)が追加されます。
💡ヒント: コンピュータ&パートナーリストにあるすべてのデバイスとアカウントについて、ソースとターゲットを入力する際に自動補完機能を利用することができます。さらに、あなたの組織のすべてのアカウントも対象となります。
📌注意: TeamViewer IDを入力することで、コンピュータ&パートナーリストにないデバイスを追加することはできます。グループに関しては、自分がグループの所有者である場合にのみ追加できます。これはセキュリティ対策によるものです。
条件付きアクセスルールの有効期限
条件付きアクセスルールに有効期限を追加することができます。
有効期限機能は、特定のTeamViewerユーザーが特定のデバイスに期間限定でアクセ スできるようにする場合に重要です:
- プロジェクトベースの仕事
- インターン、アルバイトなど
- 代役、代理、その他期間限定のサポート
新規および既存のルールに有効期限を設定できます。
💡ヒント: 有効期限は、ルールがいつからいつまで有効かを定義します。
有効期限はいつでも編集できます:
- 編集したいルールを選択します。
- 編集をクリックします。
- ルール有効期限ボタンをクリックします。
1つのルールに複数の時間枠を追加できます。すべてのルールの有効期限ステータスは、概要で確認できます:
利用可能なステータス
- 有効期限なし(有効期限が設定されていない)
- 予定(今後)
- 有効(現在設定されている期間内)
- 期限切れ(過去)
ルール検証を有効にする
追加されたルールは自動的には有効になりません。
有効化をクリックして、ルールで許可された接続のみが可能で、それ以外の接続はできないようにしてください。
会場のブロックも利用できます。ただし、これは「有効か無効か」の設定です。有効にすると、すべての会議がブロックされます。例外はありません。