Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Nutzer und Benutzergruppen mit TeamViewer Tensor (Classic) Zugriff auf welche Datenquellen, Dienste und Apps in Ihrem Unternehmen haben.
Dank Conditional Access haben Ihre IT-Mitarbeiter an einem zentralen Ort einen Überblick darüber, wer TeamViewer in Ihrem Unternehmen nutzt.
Diese Anleitung ist eine kurze Einführung in die verschiedenen Teile von Conditional Access und dessen Konfiguration.
Während Block- und Allowlist eingehende Verbindungen abdecken, ist Conditional Access das Gesamtpaket, das den Administratoren die Kontrolle über alle Verbindungen - sowohl eingehende als auch ausgehende - ermöglicht.
Dieser Artikel richtet sich an alle mit einer TeamViewer Enterprise/Tensor Lizenz und dem Conditional Access AddOn oder Tensor Pro oder Tensor Unlimited.
Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und nutzen zu können:
🚨 Conditional Access ist ein Sicherheitsfeature. Daher ist, sobald die Regelverifikation aktiviert ist, keine Verbindung mehr erlaubt!
Der Client muss so konfiguriert sein, dass er den dedizierten Router anspricht, da wir mit dem nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren.
Die Konfiguration der Registry kann mit folgendem Befehl oder durch Hinzufügen der Registry-Schlüssel über einen Import erfolgen.
32-bit Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64-bit Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mehr mit den üblichen TeamViewer Routern, sondern mit dem dedizierten Router.
Um den dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird - je nachdem, ob TeamViewer mit dem System startet oder nicht.
Wenn TeamViewer mit dem System startet:
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Wenn TeamViewer nicht mit dem System startet:
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Um den Router gemäß Ihren Bedürfnissen einzurichten, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Starten Sie den TeamViewer Dienst im Anschluss bitte neu.
Passen Sie Ihre Firewall an, um die folgenden DNS-Einträge zu blockieren:
Sobald diese Konfiguration aktiv ist, können Clients, die keine Informationen zur Verbindung mit dem dedizierten Router erhalten haben, nicht mehr online gehen. Dies ist relevant, um nicht autorisierte TeamViewer Clients zu blockieren.
Conditional Access arbeitet mit einer Rule Engine sowie mit Feature Optionen im Backend. Sie können die Regeln und Feature Optionen zentral in der Management Console verwalten.
Wenn Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie den zusätzlichen Abschnitt Conditional Access in der Navigation auf der linken Seite.
Mit den Feature Optionen innerhalb von Conditional Access können Sie Ihre Regeln anpassen, z. B. wenn bestimmte Benutzer/Benutzergruppen nur begrenzte Zugriffsrechte haben sollen, wenn sie sich mit bestimmten Geräten verbinden.
📌 Hinweis: Wenn Sie eine Feature Option zu Ihren Regeln hinzufügen möchten, müssen Sie zuerst die Feature Option erstellen. Wenn Sie keine Feature Optionen verwenden möchten, lesen Sie hier weiter.
Beim Erstellen einer Regel können die Feature Optionen zur Regel hinzugefügt werden.
💡 Tipp: Eine Option definiert die Zugriffsebene während einer Verbindung.
Feature Optionen werden im Abschnitt Conditional Access der Management Console erstellt. Um eine neue Feature Option hinzuzufügen, führen Sie bitte die folgenden Schritte aus:
1.) Navigieren Sie zu Conditional Access --> Options --> klicken Sie auf die Schaltfläche +:
2.) Das Dialogfeld Add Feature Option wird geöffnet. Definieren Sie hier einen Namen für die Feature Option und legen Sie genau fest, was während der Verbindung verfügbar sein soll und was nicht.
📌 Hinweis: Optionen, die für Conditional Access Regeln verwendet werden, können nicht gelöscht werden. Eine Fehlermeldung informiert den Benutzer darüber, dass die Option verwendet wird.
Im folgenden Beispiel wurde jede Einstellung auf After Confirmation gesetzt:
📌 Hinweis: Die Funktion Switch sides ist standardmäßig auf Deny eingestellt, da bei ihrer Aktivierung die Zugriffskontrollberechtigungen des Experten auf den Session-Teilnehmer übertragen werden.
Alle erstellten Feature Optionen für Conditional Access Regeln können jederzeit in der Management Console eingesehen werden. Auch das Filtern und Bearbeiten der Optionen ist möglich.
📌 Hinweis: In Zukunft werden weitere Optionstypen verfügbar sein.
Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für Conditional Access verwenden, hat die Regel mit der höchsten Berechtigung die höchste Priorität.
Wenn zum Beispiel eine Regel die Dateiübertragung erlaubt, eine andere aber nicht, ist die Dateiübertragung möglich.
Die Feature Optionen für Conditional Access überschreiben die lokalen Einstellungen zur Zugriffskontrolle auf dem Gerät nicht.
Wenn zum Beispiel eine Regel die Dateiübertragung erlaubt, die lokalen Einstellungen zur Zugriffskontrolle auf dem Gerät dies jedoch nicht erlauben (entweder über eine Richtlinie oder lokal in den Optionen festgelegt), ist die Dateiübertragung nicht möglich.
💡 Tipp: Eine Regel definiert, wer sich wo, wann und wie verbinden kann.
Im Reiter Conditional Access sehen Sie eine Übersicht über alle Regeln. Wenn noch keine Regel erstellt wurde, zeigt die Seite keine Regel an.
Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert. Dies erleichtert die Verwaltung der Regeln, da es keine Möglichkeit für widersprüchliche Regeln gibt.
Wenn Sie auf die Schaltfläche + klicken, um eine neue Regel hinzuzufügen, wird eine neue Seite angezeigt.
Sie haben die Möglichkeit, Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Verzeichnisgruppen sowohl für den Quelltyp als auch für den Zieltyp hinzuzufügen.
Je nachdem, was Sie als Quelltyp und Zieltyp wählen, müssen Sie eine entsprechende Quelle und ein entsprechendes Ziel wählen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen. Oder einen Benutzer, wenn Sie Konto gewählt haben.
Wenn Sie alternativ Alle wählen, werden alle Benutzergruppen (oder eine andere gewählte Quelle) hinzugefügt.
💡 Tipp: Bei der Eingabe von Quelle und Ziel für alle Geräte und Konten, die sich in Ihrer Computer & Kontakte Liste befinden, ist eine automatische Vervollständigung verfügbar. Außerdem werden alle Konten Ihres Unternehmens bei der automatischen Vervollständigung berücksichtigt.
📌 Hinweis: Sie können auch Geräte hinzufügen, die sich nicht in Ihrer Computer & Kontakte Liste befinden, indem Sie die TeamViewer ID eingeben. Gruppen können Sie nur hinzufügen, wenn Sie der Eigentümer der Gruppe sind. Dies ist eine Sicherheitsmaßnahme.
Sie können die Conditional Access Regeln mit einem Ablaufdatum versehen.
Diese Funktion ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Nutzer nur für eine begrenzte Zeit Zugang zu bestimmten Geräten erhalten sollen:
Ablaufdaten können für neue und bestehende Regeln festgelegt werden.
💡 Tipp: Das Ablaufdatum legt fest, von wann bis wann die Regel aktiv sein wird.
Das Ablaufdatum kann jederzeit geändert werden:
(Grün: einen neuen Zeitrahmen erstellen. Orange: Vorhandene Zeiträume bearbeiten. Die angezeigte Zeit ist UTC.)
Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Status zum Ablaufsatum für alle Regeln ist in der Übersicht zu sehen:
Verfügbare Zustände:
Hinzugefügte Regeln werden nicht automatisch aktiviert.
Bitte verwenden Sie die Funktion Conditional Access Aktivierung, um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.
Auch Meetings können blockiert werden. Hierbei handelt es sich jedoch um eine "Alles oder nichts"-Einstellung. Wenn sie aktiviert ist, werden alle Meetings blockiert - ohne Ausnahmen.r Meetings erzwingen.