El acceso condicional es una funcionalidad que te permite controlar qué dispositivos, usuarios y grupos de usuarios que, utilizan TeamViewer Tensor, tienen acceso a cuales fuentes de datos, servicios y aplicaciones de tu organización.
Con el acceso condicional, los responsables de seguridad y TI de las empresas pueden supervisar el acceso y uso de TeamViewer en toda la empresa desde una única ubicación.
Este artículo se aplica a tod@s l@s clientes de TeamViewer con una licencia TeamViewer Tensor y el complemento Acceso Condicional o licencias Tensor Pro o Unlimited.
Para poder configurar y utilizar el Acceso Condicional se precisan las siguientes requisitos previos:
El acceso condicional es una función de seguridad y, por lo tanto, no se permite ninguna conexión inicialmente en cuanto se activa la verificación de reglas.
El client tiene que estar configurado para contactar con los routers dedicados porque vamos a bloquear el acceso a los routers habituales de TeamViewer en el cortafuegos con el siguiente paso.
La configuración del registro puede realizarse ejecutando el siguiente comando o añadiendo las claves del registro mediante una importación.
Versión de 32 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Versión de 64 bits:
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
Tras reiniciar el servicio TeamViewer, el client no se conectará a los routers habituales de TeamViewer, sino a uno de los routers dedicados.
Para configurar los routers dedicados, tienes que ejecutar uno de los siguientes comandos mientras TeamViewer no se está ejecutando, dependiendo de si TeamViewer se inicia con el sistema o no.
# start with system sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com # not starting with system defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Para configurar los routers dedicados es necesario cambiar el archivo global.conf y añadir la siguiente entrada:
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
Reinicia el servicio TeamViewer después de editar global.conf.
Ajusta tu cortafuegos para bloquear las siguientes entradas DNS:
Tan pronto como esta configuración esté activa, los clients que no hayan obtenido la información para conectarse al router dedicado ya no podrán conectarse. Esto es relevante para bloquear clients no autorizados de TeamViewer.
El Acceso Condicional funciona con un motor de reglas y con opciones de funciones en el back-end. Puedes gestionar las reglas y las opciones de funciones de forma centralizada en el client o en https://web.teamviewer.com/.
Después de comprar y activar tu licencia, verás una sección adicional en la categoría Gestión de la organización dentro de los Ajustes de Administrador llamado Acceso condicional.
Las opciones de función del Acceso Condicional te permiten personalizar tus reglas, por ejemplo, si determinados usuarios/grupos de usuarios sólo deben tener derechos de acceso limitados al conectarse a dispositivos específicos.
Nota: Si quieres añadir una opción de función determinada a tus reglas, primero tienes que crear esta función. Si no deseas utilizar una opción de función, puedes seguir leyendo aquí.
Al crear una regla, se pueden añadir las opciones de función a la misma.
Sugerencia: Una opción define el nivel de acceso durante una conexión.
Las opciones de función se crean en la sección Acceso condicional de la Management Console. Para añadir una nueva opción de función, sigue los pasos que se indican a continuación:
1) Vete a Acceso condicional ➜ Opciones de regla ➜ + Opción Añadir y selecciona Opción de función:
2) Ahora, define un nombre para la opción de función y exactamente qué debe y qué no debe estar disponible durante la conexión.
Nota: Las opciones que están en uso por reglas de Acceso Condicional no se pueden eliminar; un mensaje de error informa al usuario de que la opción está en uso.
En el siguiente ejemplo, todos los ajustes se han establecido en Después de la confirmación:
Nota: La función Cambiar de lado está, por defecto, configurada como Rechazar, ya que cuando está activada, los permisos de control de acceso del experto se están transfiriendo al participante de la sesión.
Todas las opciones de reglas creadas para las reglas de Acceso Condicional pueden verse en la sección de opciones de reglas. También es posible filtrar y editar las opciones.
Nota: En el futuro habrá más tipos de opciones disponibles.
En caso de que un usuario forme parte de varios grupos de usuarios que utilicen distintas reglas de acceso condicional, las reglas con el conjunto de permisos más alto tendrán la máxima prioridad.
Por ejemplo, si una regla permite la transferencia de archivos, pero otra regla no lo permite, la transferencia de archivos será posible.
Las opciones de funciones de Acceso Condicional complementan los ajustes de control de acceso del dispositivo.
Por ejemplo, si las Opciones de función de Acceso Condicional de una regla permiten la transferencia de archivos, pero la configuración de control de acceso del dispositivo no lo permite (ya sea establecida a través de la política o localmente en las opciones), la transferencia de archivos no será posible.
Consejo: Una regla define quién puede conectarse, dónde, cuándo y cómo.
En la sección de reglas del menú de Acceso Condicional, verás un resumen de tus reglas.
Como hemos mencionado antes, el Acceso Condicional comienza bloqueando todo inicialmente, lo que también facilita la gestión de las reglas, ya que no hay posibilidad de reglas contradictorias.
Para añadir una nueva regla, vete a Acceso condicional ➜ Reglas ➜ + Añadir regla.
Tienes la posibilidad de añadir reglas a dispositivos, cuentas, grupos, grupos gestionados, grupos de usuarios y grupos de directorios tanto para el tipo de origen como para el tipo de destino.
Dependiendo de lo que elijas como tipo de origen y tipo de destino, deberás elegir un source (origen) y Target (destino) correspondientes, por ejemplo, un Grupo de Usuarios específico de entre tus Grupos de Usuarios, si eliges Grupo de Usuarios como Tipo. O un usuario si seleccionas Cuenta.
Alternativamente, si eliges Todos, se añadirán todos los Grupos de Usuarios (u otra fuente elegida).
Sugerencia: Hay autocompletado disponible al escribir origen y destino para todos los dispositivos y cuentas que están en tu lista de ordenadores y contactos. Además, todas las cuentas de tu empresa también se tienen en cuenta en el autocompletado.
Nota: Sigues pudiendo añadir dispositivos que no estén en tu lista de Ordenadores y Contactos introduciendo el ID de TeamViewer. Con respecto a los grupos, sólo puedes añadirlos si eres el propietario del grupo. Se trata de una medida de seguridad.
Puedes añadir una fecha de caducidad a las reglas de acceso condicional.
La funcionalidad de caducidad es importante para cualquier escenario en el que determinados usuarios de TeamViewer deban recibir acceso a dispositivos específicos sólo durante un tiempo limitado:
Se pueden fijar fechas de caducidad para las normas nuevas y las ya existentes.
Hint: La Expiración define desde cuándo hasta cuándo estará activa la regla.
Las fechas de caducidad pueden editarse en cualquier momento:
Se pueden añadir varios plazos a una regla. El estado de expiración de todas las reglas puede verse en la vista general:
Estados disponibles:
Las reglas añadidas no se activan automáticamente.
Haz clic en Activar para asegurarse de que sólo son posibles las conexiones permitidas por las reglas y nada más.
También está disponible la opción Reuniones en bloque. Sin embargo, se trata de un ajuste "Todo o nada". Si se activa, se bloquean todas las reuniones. No hay excepciones.