L'Accès conditionnel (Conditional Access) est un dispositif qui vous permet de contrôler quels appareils, utilisateurs et groupes d'utilisateurs utilisant TeamViewer Tensor (Classic) ont accès à quelles sources de données, à quels services et à quelles applications au sein de votre organisation.

Grâce à l'Accès conditionnel, les responsables de l'informatique et de la sécurité de l'entreprise peuvent superviser l'accès et l'utilisation de TeamViewer à l'échelle de l'entreprise à partir d'un seul et même endroit.

  • Les options de réutilisation aident les administrateurs à sélectionner des règles et à créer des options de fonctionnalités pour tous les contrôles d'accès.
  • Les dates d'expiration des règles d'accès conditionnel limitent l'accès des fournisseurs tiers et du personnel temporaire.
  • Gestion centralisée des règles dans la Management Console.
  • Affectez des autorisations pour les sessions à distance, le transfert de fichiers et les connexions aux réunions.
  • Configurez les règles au niveau du compte, du groupe ou de l'appareil.
  • La solution basée sur le cloud offre une plus grande flexibilité qu'une approche sur site.

Cet article s'applique à tous les clients de TeamViewer disposant d'une licence TeamViewer Enterprise/Tensor et de l'option Accès conditionnel ou Tensor Pro ou Unlimited.

Conditions préalables

Les conditions préalables suivantes sont requises pour pouvoir configurer et utiliser l'Accès Conditionnel :

  • Licence activée avec l'option Accès conditionnel
  • Client TeamViewer version 15.5 ou ultérieure
  • Création d'un profil de société TeamViewer (possible via la Management Console)
  • Connaître l'adresse DNS/IP du routeur dédié

🚨L'Accès conditionnel est une fonction de sécurité et donc aucune connexion n'est autorisée initialement dès qu'il est activé !

Configuration du client et du pare-feu

Client

Le client doit être configuré pour contacter les routeurs dédiés car nous allons bloquer l'accès aux routeurs TeamViewer habituels dans le pare-feu à l'étape suivante.

Windows

La configuration du registre peut être effectuée en exécutant la commande suivante ou en ajoutant les clés de registre par le biais d'une importation.

Version 32 bits :

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Version 64 bits :

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Après avoir redémarré le service TeamViewer, le client ne se connectera pas aux routeurs habituels de TeamViewer mais à l'un des routeurs dédiés.

macOS

Pour configurer les routeurs dédiés, vous devez exécuter l'une des commandes suivantes lorsque TeamViewer n'est pas en cours d'exécution, selon que TeamViewer démarre avec le système ou non.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Pour définir les routeurs dédiés, vous devez modifier le fichier global.conf et ajouter l'entrée suivante :

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Redémarrez le service TeamViewer après avoir modifié le fichier global.conf.

Pare-feu

Ajustez votre pare-feu pour bloquer les entrées DNS suivantes :

  • master*.teamviewer.com
  • routeur*.teamviewer.com

Dès que cette configuration est active, les clients qui n'ont pas obtenu les informations pour se connecter au routeur dédié ne pourront plus se connecter. Ceci est pertinent pour bloquer les clients non autorisés de TeamViewer.

Pour commencer

L'Accès Conditionnel fonctionne avec un moteur de règles ainsi que des options tournant dans le back-end. Vous pouvez gérer les règles et les options de manière centralisée via la Management Console.

Après avoir activé votre licence, vous verrez une section supplémentaire dans la navigation appelée Accès conditionnel.

Les Options

Les options de l'Accès Conditionnel vous permettent de personnaliser vos règles, par exemple si certains utilisateurs/groupes d'utilisateurs ne doivent avoir que des droits d'accès limités lorsqu'ils se connectent à des appareils spécifiques.

📌 Notes :

  • Si vous souhaitez ajouter des options à vos règles, vous devez d'abord créer les fonctionnalités. Si vous ne souhaitez pas utiliser les fonctionnalités, vous pouvez poursuivre votre lecture ici.
    • Lors de la création d'une règle, les options peuvent être ajoutées à la règle.
  • Une option définit le niveau d'accès pendant une connexion.

Ajouter une nouvelle option

Les options sont créées dans la section Accès conditionnel de la Management Console. Pour ajouter une nouvelle option, veuillez suivre les étapes ci-dessous :

1. Naviguez vers Accès conditionnelOptions ➜ cliquez sur le bouton + :

2. La fenêtre Add Feature Option s'ouvre. Définissez ici un nom pour l'option et indiquez exactement ce qui doit être possible et ce qui ne doit pas l'être pendant la connexion.

📌 Note : Les options qui sont utilisées par des règles d'accès conditionnel ne peuvent pas être supprimées ; un message d'erreur informe l'utilisateur que l'option est utilisée.

Dans l'exemple ci-dessous, tous les paramètres ont été réglés sur Après confirmation :

📌 Note : La fonction Switch sides (Inverser le sens) est, par défaut, configurée sur Refuser, car lorsqu'elle est activée, les autorisations de contrôle d'accès de l'expert sont transférées au participant de la session.

Aperçu des options

Toutes les options créées pour les règles d'accès conditionnel peuvent être consultées à tout moment sur le site Management Console. Le filtrage et la modification des options sont également possibles.

📌 Note : D'autres types d'options seront disponibles à l'avenir.

Hiérarchie

Différentes règles valables pour la même connexion

Dans le cas où un utilisateur fait partie de plusieurs groupes d'utilisateurs qui utilisent différentes règles d'accès conditionnel, la règle ayant la combinaison de permissions le plus élevé a la priorité la plus élevée.

Par exemple, si une règle autorise le transfert de fichiers, mais qu'une autre règle ne l'autorise pas, le transfert de fichiers sera possible.

Options et paramètres locaux

Les options pour l'Accès conditionnel sont complémentaires aux options définient en local sur les appareils.

Par exemple, si les options d'accès conditionnel d'une règle autorisent le transfert de fichiers, mais que les paramètres de contrôle d'accès de l'appareil (en local) ne l'autorisent pas (qu'ils soient définis via stratégie ou localement dans les options), le transfert de fichiers ne sera pas possible.

Ajout de règles

💡 Astuce : Une règle définit qui peut se connecter où, quand et comment.

Après avoir accédé à la page Accès conditionnel, vous verrez un aperçu de toutes les règles. Si aucune règle n'a encore été créée, la page n'affiche aucune règle.

Comme nous l'avons mentionné précédemment, l'accès conditionnel commence par tout bloquer au départ, ce qui facilite également la gestion des règles car il n'y a pas de possibilité de règles contradictoires.

Lorsque vous cliquez sur le bouton + pour ajouter une règle, une nouvelle page apparaît.

Vous avez la possibilité d'ajouter des règles pour les appreils, les comptes, les groupes, les groupes gérés, les groupes d'utilisateurs et les groupes de répertoires, tant pour le type de source que pour le type de cible.

En fonction de ce que vous choisissez comme type de source et type de cible, vous devez choisir une source et une cible correspondantes, par exemple, un groupe d'utilisateurs spécifique parmi vos groupes d'utilisateurs si vous choisissez le groupe d'utilisateurs comme type. Ou un utilisateur si vous avez choisi Compte.

Alternativement, si vous choisissez Tous, tous les groupes d'utilisateurs (ou une autre source choisie) seront ajoutés.

💡 Astuce : Le remplissage automatique est disponible lors de la saisie de la source et de la cible pour tous les appareils et comptes qui figurent dans votre liste d'ordinateurs et de contacts. En outre, tous les comptes de votre entreprise sont également pris en compte dans l'autocomplétion.

📌 Note : Vous êtes toujours en mesure d'ajouter des appareils qui ne figurent pas dans votre liste d'ordinateurs et de contacts en saisissant l'identifiant TeamViewer. En ce qui concerne les groupes, vous ne pouvez les ajouter que si vous êtes le propriétaire du groupe. Il s'agit d'une mesure de sécurité.

Dates d'expiration des règles d'accès conditionnel

Vous pouvez ajouter une date d'expiration aux règles d'accès conditionnel.

La fonctionnalité d'expiration est importante pour tout scénario dans lequel certains utilisateurs de TeamViewer doivent recevoir un accès à des dispositifs spécifiques pour une durée limitée :

  • Travail par projet
  • Stagiaires, travailleurs à temps partiel, etc.
  • Remplaçants et autres personnes travaillant avec vous pour une durée limitée.

Des dates d'expiration peuvent être définies pour les règles nouvelles et existantes.

💡 Astuce : L'Expiration définit à partir de quand jusqu'à quand la règle sera active.

Les dates d'expiration peuvent être modifiées à tout moment :

(Vert : créer un nouveau cadre temporel. Orange : modifier celles qui existent déjà. L'heure indiquée est UTC).

Plusieurs période d'expiration peuvent être ajoutés à une règle. L'état d'expiration de toutes les règles est visible dans l'aperçu :

États disponibles :

  • jamais (pas de date d'expiration fixée),
  • programmée (dans le futur),
  • actif (actuellement dans le délai imparti),
  • périmé (dans le passé)

Activer la vérification des règles

Les règles ajoutées ne sont pas automatiquement activées.

Veuillez utiliser l'option Activer l'Accès conditionnel pour vous assurer que seules les connexions autorisées par les règles sont possibles et rien d'autre.

Il est également possible de bloquer la fonctionnalité de Réunions. Cependant, il s'agit d'un paramètre de type "Tout ou rien". S'il est activé, toutes les réunions sont bloquées, il n'y aura aucune exception.