Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Benutzer und Benutzergruppen über TeamViewer Tensor Zugriff auf welche Datenquellen, Dienste und Anwendungen in Ihrem Unternehmen haben.
Mit Conditional Access können IT- und Sicherheitsverantwortliche den unternehmensweiten Überblick über den Zugriff und die Nutzung von TeamViewer von einem einzigen Standort aus behalten.
Dieser Artikel richtet sich an alle mit einer TeamViewer Tensor Lizenz und dem Conditional Access Add-on oder Tensor Pro oder Unlimited Lizenzen.
Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und verwenden zu können:
Conditional Access ist ein Sicherheits-Feature, daher wird zunächst keine Verbindung zugelassen, sobald die Regelüberprüfung aktiviert ist!
Der Client muss so konfiguriert werden, dass er die dedizierten Router kontaktiert, da wir im nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren werden.
Die Konfiguration der Registrierung kann durch Ausführen des folgenden Befehls oder durch Hinzufügen der Registrierungsschlüssel über einen Import erfolgen.
32-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64-Bit-Version:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mit den üblichen TeamViewer Routern, sondern mit einem der dedizierten Router.
Um die dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird, je nachdem, ob TeamViewer mit dem System startet oder nicht.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Um die dedizierten Router einzustellen, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Starten Sie den Dienst TeamViewer nach der Bearbeitung der global.conf neu.
Stellen Sie Ihre Firewall so ein, dass sie die folgenden DNS-Einträge blockiert:
Sobald diese Konfiguration aktiv ist, können Clients, die diese Informationen nicht erhalten haben, um sich mit dem dedizierten Router zu verbinden, nicht mehr online gehen. Dies ist wichtig, um nicht autorisierte TeamViewer Clients zu blockieren.
Conditional Access arbeitet mit einer Regel-Engine sowie mit Feature-Optionen im Backend. Sie können die Regeln und Feature-Optionen zentral im Client oder unter https://web.teamviewer.com/ verwalten.
Nachdem Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie in der Kategorie Organisationsmanagement in den Admin-Einstellungen einen zusätzlichen Abschnitt mit der Bezeichnung Conditional Access.
Mit den Feature-Options innerhalb des Conditional Access können Sie Ihre Regeln anpassen, z. B. ob bestimmte Benutzer/Benutzergruppen nur begrenzte Zugriffsrechte haben sollen, oder ob sie sich mit bestimmten Geräten verbinden.
Hinweis: Wenn Sie Ihren Regeln eine Feature-Option hinzufügen möchten, müssen Sie zuerst die Feature-Optionen erstellen. Wenn Sie keine Feature-Optionen verwenden möchten, können Sie hier weiterlesen.
Bei der Erstellung einer Regel können die Feature-Option zur Regel hinzugefügt werden.
Tipp: Eine Option definiert die Zugriffsebene während einer Verbindung.
Feature-Optionen werden im Abschnitt Conditional Access in der Management Console erstellt. Um eine neue Feature-Option hinzuzufügen, führen Sie bitte die folgenden Schritte aus:
1) Navigieren Sie zu Conditional Access ➜ Rule options ➜ + Add option und wählen Sie die Feature-Option:
2) Definieren Sie nun einen Namen für die Feature-Option und legen Sie genau fest, was während der Verbindung verfügbar sein soll und was nicht.
Hinweis: Optionen, die von Regeln für den Conditional Access verwendet werden, können nicht gelöscht werden; eine Fehlermeldung informiert den Benutzer, dass die Option verwendet wird.
Im nachstehenden Beispiel wurde jede Einstellung auf Nach Bestätigung gesetzt :
Hinweis: Die Funktion Richtungswechsel ist standardmäßig auf Verweigert eingestellt, da bei ihrer Aktivierung die Zugriffskontrollberechtigungen des Experten auf den Teilnehmer übertragen werden.
Alle erstellten Regeloptionen für Conditional Access können im Bereich Regeloptionen eingesehen werden. Auch die Filterung und Bearbeitung der Optionen ist möglich.
Hinweis: In Zukunft werden weitere Optionstypen verfügbar sein.
Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für den bedingten Zugriff verwenden, haben die Regeln mit der höchsten Berechtigung die höchste Priorität.
Wenn z. B. eine Regel die Dateiübertragung erlaubt, eine andere Regel sie aber nicht zulässt, ist die Dateiübertragung möglich.
Die Feature-Optionen für den bedingten Zugriff ergänzen die Einstellungen für die Zugriffskontrolle auf dem Gerät.
Wenn z. B. die Optionen für den bedingten Zugriff einer Regel die Dateiübertragung zulassen, die Einstellungen für die Zugriffskontrolle auf dem Gerät dies jedoch nicht erlauben (entweder über die Richtlinie oder lokal in den Optionen festgelegt), ist die Dateiübertragung nicht möglich.
Tipp: Eine Regel legt fest, wer sich wo, wann und wie verbinden darf.
Im Abschnitt Regeln des Menüs Zugriffskontrolle sehen Sie eine Übersicht über Ihre Regeln.
Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.
Um eine neue Regel hinzuzufügen, gehen Sie zu Conditional Access ➜ Regeln ➜ + Regel hinzufügen.
Sie haben die Möglichkeit Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Directory Gruppen sowohl für den Source Typ als auch für den Target Typ hinzuzufügen.
Je nachdem, was Sie als Source Typ und Target Typ wählen, müssen Sie eine entsprechende Quelle und ein entsprechendes Ziel wählen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen. Oder einen Benutzer, wenn Sie Konto gewählt haben.
Wenn Sie alternativ Alle wählen, werden alle Benutzergruppen (oder eine andere ausgewählte Quelle) hinzugefügt.
Tipp: Es gibt eine Autovervollständigung bei der Eingabe von Quelle und Ziel für alle Geräte und Konten, die sich in Ihrer Computer- und Kontaktliste befinden. Außerdem werden alle Konten Ihres Unternehmens bei der automatischen Vervollständigung berücksichtigt.
Hinweis: Sie können weiterhin Geräte hinzufügen, die sich nicht in Ihrer Computer- und Kontaktliste befinden, indem Sie die TeamViewer ID eingeben. Gruppen können Sie nur hinzufügen, wenn Sie der Eigentümer der Gruppe sind. Dies ist eine Sicherheitsmaßnahme.
Sie können den Regeln für die Zugriffsskontrolle ein Ablaufdatum hinzufügen.
Die Ablauffunktion ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Benutzer nur für eine begrenzte Zeit Zugang zu bestimmten Geräten erhalten sollen:
Für neue und bestehende Regeln können Ablaufdaten festgelegt werden.
Tipp: Der Ablauf definiert, von wann bis wann die Regel aktiv sein wird.
Ablaufdaten können jederzeit geändert werden:
Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Ablaufstatus für alle Regeln ist in der Übersicht zu sehen:
Verfügbare Staaten:
Hinzugefügte Regeln werden nicht automatisch aktiviert.
Klicken Sie bitte auf Aktivieren , um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.
Es gibt auch die Möglichkeit von Block-Meetings. Hierbei handelt es sich jedoch um eine "Alles oder nichts"-Einstellung. Wenn sie aktiviert ist, werden alle Meetings blockiert. Keine Ausnahmen.