+49 7161 60692 50
+49 7161 60692 50

Knowledge Base

Back to support overview

Conditional Access ist ein Framework, mit dem Sie steuern können, welche Geräte, Benutzer und Benutzergruppen über TeamViewer Tensor Zugriff auf welche Datenquellen, Dienste und Anwendungen in Ihrem Unternehmen haben.

Mit Conditional Access können IT- und Sicherheitsverantwortliche den unternehmensweiten Überblick über den Zugriff und die Nutzung von TeamViewer von einem einzigen Standort aus behalten.

  • Wiederverwendungsoptionen helfen Administratoren bei der Auswahl von Regeln und der Erstellung von Funktionsoptionen für alle Zugriffskontrollen.
  • Verfallsdaten für bedingte Zugriffsregeln begrenzen den Zugriff von Drittanbietern und Zeitarbeitskräften.
  • Zentrales Regelmanagement innerhalb des Clients oder der Web-App unter https://web.teamviewer.com/.
  • Vergeben Sie Berechtigungen für Remote-Sessions, Dateiübertragungen und Meeting-Verbindungen.
  • Konfigurieren Sie Regeln auf Konto-, Gruppen- oder Geräteebene.
  • Eine Cloud-basierte Lösung bietet mehr Flexibilität als ein On-Premise-Ansatz.

Dieser Artikel richtet sich an alle mit einer TeamViewer Tensor Lizenz und dem Conditional Access Add-on oder Tensor Pro oder Unlimited Lizenzen.

Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und verwenden zu können:

  • Aktivierte Lizenz mit dem Add-on für Conditional Access
  • TeamViewer Client-Version 15.5 oder höher
  • Kenntnis der DNS/IP-Adresse des dedizierten Routers

🚨 Conditional Access ist ein Sicherheits-Feature, daher wird zunächst keine Verbindung zugelassen, sobald die Regelüberprüfung aktiviert ist!

Konfiguration von Client und Firewall

Client

Der Client muss so konfiguriert werden, dass er die dedizierten Router kontaktiert, da wir im nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren werden.

Windows

Die Konfiguration der Registrierung kann durch Ausführen des folgenden Befehls oder durch Hinzufügen der Registrierungsschlüssel über einen Import erfolgen.

32-Bit-Version:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

64-Bit-Version:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mit den üblichen TeamViewer Routern, sondern mit einem der dedizierten Router.

macOS

Um die dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird, je nachdem, ob TeamViewer mit dem System startet oder nicht.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Um die dedizierten Router einzustellen, müssen Sie die Datei global.conf ändern und den folgenden Eintrag hinzufügen:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Starten Sie den Dienst TeamViewer nach der Bearbeitung der global.conf neu.

Firewall

Stellen Sie Ihre Firewall so ein, dass sie die folgenden DNS-Einträge blockiert:

  • master*.teamviewer. com
  • router*.teamviewer.com

Sobald diese Konfiguration aktiv ist, können Clients, die diese Informationen nicht erhalten haben, um sich mit dem dedizierten Router zu verbinden, nicht mehr online gehen. Dies ist wichtig, um nicht autorisierte TeamViewer Clients zu blockieren.

Erste Schritte

Conditional Access arbeitet mit einer Regel-Engine sowie mit Feature-Optionen im Backend. Sie können die Regeln und Feature-Optionen zentral im Client oder unter https://web.teamviewer.com/ verwalten.

Nachdem Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie in der Kategorie Organisationsmanagement in den Admin-Einstellungen einen zusätzlichen Abschnitt mit der Bezeichnung Conditional Access.

Feature Optionen

Mit den Feature-Options innerhalb des Conditional Access können Sie Ihre Regeln anpassen, z. B. ob bestimmte Benutzer/Benutzergruppen nur begrenzte Zugriffsrechte haben sollen, oder ob sie sich mit bestimmten Geräten verbinden.

📌 Hinweis: Wenn Sie Ihren Regeln eine Feature-Option hinzufügen möchten, müssen Sie zuerst die Feature-Optionen erstellen. Wenn Sie keine Feature-Optionen verwenden möchten, können Sie hier weiterlesen.

Bei der Erstellung einer Regel können die Feature-Option zur Regel hinzugefügt werden.

💡 Tipp: Eine Option definiert die Zugriffsebene während einer Verbindung.

Eine neue Feature-Option hinzufügen

Feature-Optionen werden im Abschnitt Conditional Access in der Management Console erstellt. Um eine neue Feature-Option hinzuzufügen, führen Sie bitte die folgenden Schritte aus:

1) Navigieren Sie zu Conditional Access ➜ Rule options ➜ + Add option und wählen Sie die Feature-Option:

2) Definieren Sie nun einen Namen für die Feature-Option und legen Sie genau fest, was während der Verbindung verfügbar sein soll und was nicht.

📌 Hinweis: Optionen, die von Regeln für den  Conditional Access verwendet werden, können nicht gelöscht werden; eine Fehlermeldung informiert den Benutzer, dass die Option verwendet wird.

Im nachstehenden Beispiel wurde jede Einstellung auf Nach Bestätigung gesetzt :

📌 Hinweis: Die Funktion Richtungswechsel ist standardmäßig auf Verweigert eingestellt, da bei ihrer Aktivierung die Zugriffskontrollberechtigungen des Experten auf den Teilnehmer übertragen werden.

Überblick über die Optionen

Alle erstellten Regeloptionen für Conditional Access können im Bereich Regeloptionen eingesehen werden. Auch die Filterung und Bearbeitung der Optionen ist möglich.

📌 Hinweis: In Zukunft werden weitere Optionstypen verfügbar sein.

Hierarchie

Unterschiedliche Regeln für dieselbe Verbindung

Wenn ein Benutzer zu mehreren Benutzergruppen gehört, die unterschiedliche Regeln für den bedingten Zugriff verwenden, haben die Regeln mit der höchsten Berechtigung die höchste Priorität.

Wenn z. B. eine Regel die Dateiübertragung erlaubt, eine andere Regel sie aber nicht zulässt, ist die Dateiübertragung möglich.

Feature-Optionen vs. lokale Einstellungen

Die Feature-Optionen für den bedingten Zugriff ergänzen die Einstellungen für die Zugriffskontrolle auf dem Gerät.

Wenn z. B. die Optionen für den bedingten Zugriff einer Regel die Dateiübertragung zulassen, die Einstellungen für die Zugriffskontrolle auf dem Gerät dies jedoch nicht erlauben (entweder über die Richtlinie oder lokal in den Optionen festgelegt), ist die Dateiübertragung nicht möglich.

Hinzufügen von Regeln

💡 Tipp: Eine Regel legt fest, wer sich wo, wann und wie verbinden darf.

Im Abschnitt Regeln des Menüs Zugriffskontrolle sehen Sie eine Übersicht über Ihre Regeln.

Wie bereits erwähnt, wird bei Conditional Access zunächst alles blockiert, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.

Um eine neue Regel hinzuzufügen, gehen Sie zu Conditional Access ➜ Regeln ➜ + Regel hinzufügen.

Sie haben die Möglichkeit Regeln für Geräte, Konten, Gruppen, verwaltete Gruppen, Benutzergruppen und Directory Gruppen sowohl für den Source Typ als auch für den Target Typ hinzuzufügen.

Je nachdem, was Sie als Source Typ und Target Typ wählen, müssen Sie eine entsprechende Quelle und ein entsprechendes Ziel wählen, z. B. eine bestimmte Benutzergruppe aus Ihren Benutzergruppen, wenn Sie Benutzergruppe als Typ wählen. Oder einen Benutzer, wenn Sie Konto gewählt haben.

Wenn Sie alternativ Alle wählen, werden alle Benutzergruppen (oder eine andere ausgewählte Quelle) hinzugefügt.

💡 Tipp: Es gibt eine Autovervollständigung bei der Eingabe von Quelle und Ziel für alle Geräte und Konten, die sich in Ihrer Computer- und Kontaktliste befinden. Außerdem werden alle Konten Ihres Unternehmens bei der automatischen Vervollständigung berücksichtigt.

📌 Hinweis: Sie können weiterhin Geräte hinzufügen, die sich nicht in Ihrer Computer- und Kontaktliste befinden, indem Sie die TeamViewer ID eingeben. Gruppen können Sie nur hinzufügen, wenn Sie der Eigentümer der Gruppe sind. Dies ist eine Sicherheitsmaßnahme.

Ablaufdaten für Regeln der Zugriffskontrolle

Sie können den Regeln für die Zugriffsskontrolle ein Ablaufdatum hinzufügen.

Die Ablauffunktion ist wichtig für alle Szenarien, in denen bestimmte TeamViewer Benutzer nur für eine begrenzte Zeit Zugang zu bestimmten Geräten erhalten sollen:

  • Projektbezogene Arbeit
  • Praktikanten, Teilzeitbeschäftigte, usw.
  • Vertretungen, Aushilfskräfte und andere Personen, die für eine begrenzte Zeit aushelfen

Für neue und bestehende Regeln können Ablaufdaten festgelegt werden.

💡 Tipp: Der Ablauf definiert, von wann bis wann die Regel aktiv sein wird.

Ablaufdaten können jederzeit geändert werden:

  1. Wählen Sie die Regel aus, die Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten.
  3. Klicken Sie auf die Schaltfläche Ablauf der Regel.

Zu einer Regel können mehrere Zeitrahmen hinzugefügt werden. Der Ablaufstatus für alle Regeln ist in der Übersicht zu sehen:

Verfügbare Staaten:

  • Kein Verfallsdatum (kein Verfallsdatum festgelegt),
  • Geplant (in der Zukunft),
  • Aktiv (derzeit innerhalb des Zeitrahmens),
  • Abgelaufen (in der Vergangenheit)

Regelüberprüfung einschalten

Hinzugefügte Regeln werden nicht automatisch aktiviert.

Klicken Sie bitte auf Aktivieren , um sicherzustellen, dass nur die durch die Regeln erlaubten Verbindungen möglich sind und nichts anderes.

Es gibt auch die Möglichkeit von Block-Meetings. Hierbei handelt es sich jedoch um eine "Alles oder nichts"-Einstellung. Wenn sie aktiviert ist, werden alle Meetings blockiert. Keine Ausnahmen.