O acesso condicional é uma estrutura que permite controlar quais dispositivos, usuários e grupos de usuários usando o site TeamViewer Tensor têm acesso a quais fontes de dados, serviços e aplicativos em sua organização.
Com o acesso condicional, os gerentes de segurança e de TI da empresa podem manter a supervisão do acesso e do uso do TeamViewer em toda a empresa a partir de um único local.
Este artigo se aplica a todos os clientes do site TeamViewer com uma licença TeamViewer Tensor e add-on Conditional Access ou licenças Tensor Pro ou Unlimited .
As seguintes condições prévias são necessárias para configurar e usar o Acesso condicional:
🚨Importante: O acesso condicional é um recurso de segurança e, portanto, nenhuma conexão é permitida inicialmente assim que a verificação da regra é ativada!
O TeamViewer precisa ser configurado para entrar em contato com os roteadores dedicados porque vamos bloquear o acesso aos roteadores TeamViewer comuns no firewall na próxima etapa.
A configuração do registro pode ser feita executando o seguinte comando ou adicionando as chaves do registro por meio de uma importação.
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Depois de reiniciar o serviço TeamViewer, o cliente não se conectará aos roteadores TeamViewer usuais, mas a um dos roteadores dedicados.
Para definir os roteadores dedicados, é necessário executar um dos seguintes comandos enquanto o site TeamViewer não estiver em execução, dependendo de o site TeamViewer ser iniciado com o sistema ou não.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Para definir os roteadores dedicados, é necessário alterar o arquivo global.conf e adicionar a seguinte entrada:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Reinicie o serviço TeamViewer depois de editar o global.conf.
Ajuste seu Firewall para bloquear as seguintes entradas de DNS:
Assim que essa configuração estiver ativa, os aplicativos do TeamViewer que não obtiveram as informações para se conectar ao roteador dedicado não poderão mais ficar on-line. Isso é relevante para o bloqueio de aplicativos do TeamViewer não autorizados.
O acesso condicional está funcionando com um mecanismo de regras e com opções de recursos no back-end. Você pode gerenciar as regras e as opções de recursos de forma centralizada no cliente ou em https://web.teamviewer.com/.
Depois de comprar e ativar a licença, você verá nas Configurações de Administração uma seção adicional na categoria Gerenciamento da empresa chamada Acesso condicional.
As opções de recursos do Conditional Access permitem personalizar as regras, por exemplo, se determinados usuários/grupos de usuários devem ter apenas direitos de acesso limitados ao se conectarem a dispositivos específicos.
📌Lembrete: Caso queira adicionar uma opção de recurso às suas regras, você precisará criar as opções de recurso primeiro. Se não quiser usar opções de recursos, continue lendo aqui.
Ao criar uma regra, as opções de recursos podem ser adicionadas à regra.
💡Dica: uma opção define o nível de acesso durante uma conexão.
As opções de recursos são criadas na seção Acesso condicional do site Management Console. Para adicionar uma nova opção de recurso, siga as etapas abaixo:
1. Navegue até Conditional Access ➜ Rule options ➜ + Add option e selecione a opção Feature:
2. Agora, defina um nome para a opção de recurso e exatamente o que deve e o que não deve estar disponível durante a conexão.
📌Lembrete: As opções que estão em uso por regras de acesso condicional não podem ser excluídas; uma mensagem de erro informará ao usuário que a opção está em uso.
No exemplo abaixo, todas as configurações foram definidas como Após a confirmação:
📌Lembrete: O recurso Alternar lados é, por padrão, configurado como Negar, pois quando ativado, as permissões de controle de acesso do especialista estão sendo transferidas para o participante da sessão.
Todas as opções de regras criadas para regras de acesso condicional podem ser visualizadas na seção de opções de regras. Também é possível filtrar e editar as opções.
📌Lembrete: Mais tipos de opções estarão disponíveis no futuro.
Caso um usuário faça parte de vários grupos de usuários que estejam usando diferentes regras de acesso condicional, as regras com o conjunto de permissões mais alto terão a prioridade mais alta.
Por exemplo, se uma regra permitir a transferência de arquivos, mas outra regra não permitir, a transferência de arquivos será possível.
As opções de recursos para acesso condicional são complementares às configurações de controle de acesso no dispositivo.
Por exemplo, se as opções de acesso condicional de uma regra permitirem a transferência de arquivos, mas as configurações de controle de acesso no dispositivo não permitirem (definidas por meio da política ou localmente nas opções), a transferência de arquivos não será possível.
💡Dica: Uma regra define quem pode se conectar, onde, quando e como.
Na seção de regras do menu Acesso condicional, você verá uma visão geral das suas regras.
Como mencionamos anteriormente, o Acesso condicional começa bloqueando tudo inicialmente, o que também facilita o gerenciamento das regras, pois não há possibilidade de regras contraditórias.
Para adicionar uma nova regra, vá para Acesso condicional ➜ Regras ➜ + Adicionar regra.
É possível adicionar regras, dispositivos, contas, grupos, grupos gerenciados, grupos de usuários e grupos de diretórios, tanto para o tipo de origem quanto para o tipo de destino.
Dependendo do que você escolher como tipo de origem e tipo de destino, será necessário escolher uma origem e um destino correspondentes, por exemplo, um grupo de usuários específico dentre os seus grupos de usuários se você escolher Grupo de usuários como tipo. Ou um usuário, se tiver selecionado Conta.
Como alternativa, se você escolher Todos, todos os grupos de usuários (ou outra fonte escolhida) serão adicionados.
💡Dica: Há um recurso de preenchimento automático disponível ao digitar a origem e o destino para todos os dispositivos e contas que estão na sua lista de computadores e contatos. Além disso, todas as contas de sua empresa também são consideradas no preenchimento automático.
📌Lembrete: Você ainda pode adicionar dispositivos que não estão na sua lista de Dispositivos inserindo o ID TeamViewer. Com relação aos grupos, você só poderá adicioná-los se for o proprietário do grupo. Essa é uma medida de segurança.
Você pode adicionar uma data de validade às regras de acesso condicional.
A funcionalidade de expiração é importante para qualquer cenário em que determinados usuários do TeamViewer devam receber acesso a dispositivos específicos apenas por um período limitado:
As datas de expiração podem ser definidas para regras novas e existentes.
💡Dica: a expiração define de quando até quando a regra estará ativa.
As datas de expiração podem ser editadas a qualquer momento:
Vários períodos de tempo podem ser adicionados a uma regra. O status de expiração de todas as regras pode ser visto na visão geral:
Estados disponíveis:
As regras adicionadas não são ativadas automaticamente.
Clique em Ativar para garantir que somente as conexões permitidas pelas regras sejam possíveis e nada mais.
A opção Block Meetings também está disponível. No entanto, essa é uma configuração do tipo "tudo ou nada". Se ativada, todas as reuniões serão bloqueadas. Sem exceções.