El acceso condicional es un marco que te permite controlar qué dispositivos, usuarios y grupos de usuarios que utilizan TeamViewer Tensor (Classic) tienen acceso, a determinadas fuentes de datos, servicios y aplicaciones en tu organización.

Con el Acceso Condicional, los responsables de TI y de seguridad de la empresa pueden supervisar el acceso y el uso de TeamViewer en toda la empresa desde una única ubicación.

  • Las opciones de reutilización ayudan a los administradores a seleccionar reglas y crear opciones de funciones para todos los controles de acceso.
  • Las fechas de caducidad de las reglas de acceso condicional limitan el acceso de proveedores externos y personal temporal.
  • Gestión centralizada de reglas en la consola de gestión.
  • Asigna permisos para sesiones remotas, transferencia de archivos y conexiones a reuniones.
  • Configura reglas a nivel de cuenta, grupo o dispositivo.
  • La solución basada en la nube proporciona mayor flexibilidad que un enfoque local.

Este artículo se dirige a tod@s l@s clientes de TeamViewer con una licencia de TeamViewer Enterprise/Tensor y una licencia Conditional Access AddOn o Tensor Pro o Unlimited.

Requisitos previos

Para poder configurar y utilizar el acceso condicional es necesario que se den los siguientes requisitos:

  • Licencia activada con el complemento/add-on de Acceso Condicional
  • TeamViewer Client versión 15.5 o superior
  • Crear una empresa TeamViewer (posible a través de MCO)
  • Conocer la dirección DNS/IP del router dedicado

⚠El acceso condicional es una función de seguridad y, por lo tanto, no se permite ninguna conexión inicial cuando se activa la verificación de reglas.

Configuración del client y del cortafuegos

Client

El client tiene que estar configurado para contactar con los routers dedicados porque vamos a bloquear el acceso a los routers habituales de TeamViewer en el firewall con el siguiente paso.

Windows

La configuración del registro puede hacerse ejecutando el siguiente comando o añadiendo las claves del registro mediante una importación.

Versión de 32 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Versión de 64 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Después de reiniciar el servicio TeamViewer, el client no se conectará a los routers habituales de TeamViewer sino a uno de los routers dedicados.

macOS

Para configurar los routers dedicados hay que ejecutar uno de los siguientes comandos mientras TeamViewer no está en ejecución, dependiendo de si TeamViewer se inicia con el sistema o no.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Para configurar los routers dedicados es necesario cambiar el archivo global.conf y añadir la siguiente entrada:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Reinicia el servicio TeamViewer después de editar el global.conf.

Cortafuegos

Ajusta tu cortafuegos para bloquear las siguientes entradas DNS:

  • master*.teamviewer.com
  • router*.teamviewer.com

Tan pronto como esta configuración esté activa, los clients que no obtuvieron la información para conectarse al router dedicado ya no podrán conectarse. Esto es relevante para bloquear clients no autorizados de TeamViewer.

Cómo empezar

El acceso condicional funciona con un motor de reglas y con opciones de características en el backend. Puedes gestionar las reglas y las opciones de funciones de forma centralizada en la Management Console.

Después de comprar y activar tu licencia, verás una sección adicional en la navegación llamada Acceso condicional.

Opción de función

La opción de función dentro del acceso condicional te permiten personalizar tus reglas, por ejemplo, si ciertos usuarios/grupos de usuarios sólo deberían de tener derechos de acceso limitados al conectarse a dispositivos específicos.

📌Nota: Si quieres añadir la opción de función a tus reglas, necesitas crear primero la opción. Si no quieres utilizarlas, sigue leyendo aquí.

Una vez creada la regla, se podrán añadir a la misma la(s) opcion(es).

💡Aclaración: La opción define el nivel de accesibilidad durante una conexión.

Añadir una nueva opción de función

Las opciones de función se crean en la sección de acceso condicional en la Management Console. Para añadir una nueva opción de función, sigue estos pasos:

1.) Vete a Acceso condicional --> Opciones --> haz clic en el botón +:

2.) Se abre el cuadro de diálogo Añadir opción de función. Define un nombre para la opción de función y especifica qué debe y qué no debe estar disponible durante la conexión.

📌Nota: Las opciones que están en uso a través de reglas de Acceso Condicional no pueden ser eliminadas; un mensaje de error informa al usuario que la opción está en uso.

En el ejemplo siguiente, todos los ajustes se han establecido en Después de la confirmación:

📌Nota: La función Cambiar de lado está, por defecto, configurada como Denegar, ya que cuando está activada, los permisos de control de acceso del experto se están transfiriendo al participante de la sesión.

Resumen de las opciones

Todas las opciones de funciones creadas para las reglas de acceso condicional pueden verse en la Management Console en cualquier momento. También es posible filtrar y editarlas.

📌Nota: Próximamente también habrá más tipos de opciones disponibles.

Jerarquía

Diferentes reglas válidas para la misma conexión

En caso de que un usuario forme parte de varios grupos de usuarios que utilicen diferentes reglas de acceso condicional, las reglas más restrictivas tendrán mayor prioridad.

Por ejemplo, si una regla permite la transferencia de archivos, pero otra regla no lo permite, la transferencia de archivos será posible.

Opciones de funciones frente a la configuración local

Las opciones de funciones para el acceso condicional son complementarias a la configuración del control de acceso en el dispositivo.

Por ejemplo, si las opciones de acceso condicional de una regla permiten la transferencia de archivos, pero la configuración del control de acceso en el dispositivo no lo permite (ya sea establecido a través de la política o localmente en las opciones), la transferencia de archivos no será posible.

Añadir reglas

💡Aclaración: Una regla define quién puede conectarse, dónde, cuándo y cómo.

Después de navegar a la página de Acceso Condicional, verás un resumen de todas las reglas. Si aún no se ha creado ninguna regla, la página no muestra ninguna regla.

El Acceso Condicional parte de bloquear todo inicialmente, lo que también facilita la gestión de las reglas al no existir la posibilidad de reglas contradictorias.

Al hacer clic en el botón + de añadir regla, aparecerá una nueva página.

Tienes la posibilidad de añadir reglas DispositivosCuentasGruposGrupos GestionadosGrupos de Usuarios y Grupos de Directorio tanto para el Tipo de Origen como para el Tipo de Destino.

Dependiendo de lo que elijas como Tipo de Origen y Tipo de Destino, necesitas elegir una Fuente y un Destino correspondientes, por ejemplo, un Grupo de Usuarios específico de entre tus Grupos de Usuarios si eliges Grupo de Usuarios como Tipo. O un usuario si seleccionaste Cuenta.

Alternativamente, si eliges Todos, se añadirán todos los Grupos de Usuarios (u otra fuente elegida).

💡 Sugerencia: La función autocompletar está disponible en Origen Destino para todos los dispositivos y cuentas que están en tu lista de Ordenadores y Contactos. Además, todas las cuentas de tu empresa también se consideran en el autocompletado.

📌Nota: Todavía puedes añadir dispositivos que no están en tu lista de Ordenadores y Contactos introduciendo el ID de TeamViewer. Si quieres añadirlos a un grupo sólo puedes añadirlos si eres el propietario del grupo. Esto es una medida de seguridad.

Fechas de caducidad de las reglas de acceso condicional

Puedes añadir una fecha de caducidad a las reglas de acceso condicional.

La funcionalidad de caducidad es importante para cualquier escenario en el que ciertos usuarios de TeamViewer deban recibir acceso a dispositivos específicos sólo por un tiempo limitado:

  • Trabajo por proyectos
  • Becarios, trabajadores a tiempo parcial, etc.
  • Sustitutos, suplentes y otras personas que ayudan durante un tiempo limitado

Se pueden establecer fechas de caducidad para las reglas nuevas y las existentes.

💡Aclaración: La Expiración define desde cuándo hasta cuándo estará activa la regla.

Las fechas de caducidad pueden editarse en cualquier momento:

(Verde: crear un nuevo marco temporal. Naranja: editar los existentes. La hora mostrada es UTC).

Se pueden añadir varios plazos a una regla. El estado de caducidad de todas las reglas puede verse en la vista general:

Estados disponibles:

  • nunca (no se ha fijado la caducidad),
  • programado (en el futuro),
  • activo (actualmente dentro del plazo),
  • caducado (en el pasado)

Activar la verificación de reglas

Las reglas añadidas no se activan automáticamente.

Utiliza la activación del acceso condicional para asegurarte de que sólo son posibles las conexiones permitidas por las reglas y nada más.

También está disponible la opción de Reuniones en bloque. Sin embargo, se trata de un ajuste "Todo o nada". Si se activa, se bloquean todas las reuniones. No se pueden hacer excepciones.