条件访问是一个框架,允许您使用 TeamViewer Tensor (Classic) 控制哪些设备、用户和用户组可以访问您组织中的哪些数据源、服务和应用程序。
借助条件访问,企业 IT 和安全经理可以在整个公司范围内从一个位置监督 TeamViewer 的访问和使用。
- 重用选项可帮助管理员选择规则并为所有访问控制创建功能选项。
- 条件访问规则的到期日期限制了第 3 方供应商和临时员工的访问。
- 管理控制台中的集中规则管理。
- 为远程会话、文件传输和会议连接分配权限。
- 在帐户、组或设备级别配置规则。
- 基于云的解决方案比本地方法提供更大的灵活性。
本文适用于所有拥有TeamViewer Enterprise/Tensor 许可和条件访问 AddOn 或 Tensor Pro 或 Unlimited 许可计划的TeamViewer 客户。
前提条件
要能够配置和使用条件访问,需要以下前提条件。
- 有条件访问插件的激活许可证
- TeamViewer 客户端15.5版或更高版本
- 创建了一个TeamViewer 公司(可以通过MCO)。
- 知道专用路由器的DNS/IP地址
⚠Conditional Access是一个安全功能,因此一旦激活规则验证,就不允许有任何连接!
客户端和防火墙的配置
客户端
客户端必须被配置为与专用路由器联系,因为我们要用下一步来阻止对防火墙中通常的TeamViewer 路由器的访问。
窗户
注册表的配置可以通过运行以下命令或通过导入添加注册表键来完成。
32位版本。
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
64位版本。
reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f
重启TeamViewer 服务后,客户端将不会连接到通常的TeamViewer 路由器,而是连接到其中一个专用路由器。
macOS
要设置专用路由器,你必须在TeamViewer 不运行时执行以下命令之一,这取决于TeamViewer 是否随系统启动。
# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
Linux
要设置专用路由器,你需要修改global.conf文件并添加以下条目。
[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"
在编辑global.conf后,重新启动TeamViewer 服务。
防火墙
调整你的防火墙以阻止下列DNS-Entries。
- Master*.teamviewer.com
- router*. teamviewer.com
一旦这个配置被激活,那些没有得到信息连接到专用路由器的客户将不能再上网。这与阻止未经授权的TeamViewer 客户端有关。
开始工作
条件访问是与规则引擎以及后端的功能选项一起工作的。你可以在Management Console 中集中管理这些规则和功能选项。
在你购买并激活你的许可证后,你会在导航中看到一个额外的部分,叫做 "有条件访问"。
功能选项
有条件访问中的功能选项 允许你定制你的规则,例如,如果某些用户/用户组在连接到特定设备时只应该有有限的访问权限。
📌注意:如果你想在你的规则中添加功能选项,你需要先创建功能选项。如果你不想使用功能选项,你可以继续阅读这里。
当创建一个规则时,可以将特征选项添加到规则中。
💡提示:选项定义了连接中的访问级别。
增加一个新的功能选项
功能选项是在Management Console 的 "条件访问"部分创建的。要添加一个新的功能选项,请遵循以下步骤。
1.)导航到条件访问-->选项 -->点击 "+"按钮。
2.)这时会出现 "添加功能选项"对话框。在这里,定义一个功能选项的名称,以及在连接过程中什么应该和什么不应该被使用。
📌注意:不能删除被条件访问规则使用的选项;有错误信息通知用户该选项正在使用。
在下面的例子中,每个设置都被设置为确认后。
📌注意:切换端功能默认设置为“拒绝”,启用后,专家的访问控制权限将转移给会话参与者。
选项概述
所有为条件访问规则创建的功能选项可以在任何时候在Management Console 。也可以对选项进行过滤和编辑。
📌注意:将来会有更多的期权类型。
层次结构
不同的规则对同一个连接有效
如果一个用户属于多个使用不同条件访问规则的用户组,具有最高权限集的规则具有最高的优先权。
例如,如果一个规则允许文件传输,但另一个规则不允许,那么文件传输将是可能的。
功能选项与本地设置
有条件访问的功能 选项 是对设备上访问控制设置的补充。
例如,如果一个规则的条件访问选项允许文件传输,但设备上的访问控制设置不允许(通过策略或本地选项设置),文件传输将不可能。
添加规则
💡提示:规则定义了谁可以在哪里、什么时候以及如何连接。
浏览到条件访问页面后,你会看到所有规则的概览。如果还没有创建任何规则,该页面就显示没有规则。
正如我们之前提到的,"有条件访问 "最初是从阻止一切开始的,这也使得规则的管理更加容易,因为不可能出现相互矛盾的规则。
当你点击添加规则的"+"按钮 时,将出现一个新页面。
你有可能为源类型和目标类型添加规则设备、账户、组、管理组、用户组和目录组。
根据你选择的源类型和目标类型,你需要选择一个相应的源 和目标,例如,如果你选择用户组作为类型,则需要选择用户组中的一个特定用户组。或者是一个用户,如果你选择了账户。
或者,如果你选择全部,所有的用户组(或另一个选定的来源)将被添加。
💡提示:在您的计算机和联系人列表中的所有设备和账户中输入源 和目标 时,有自动完成功能。此外,您公司的所有账户也被考虑在自动完成中。
📌注意:您仍然能够通过输入TeamViewer ID来添加不在您的计算机和联系人列表中的设备。关于组,只有当你是该组的所有者时,你才能添加它们。这是一项安全措施。
有条件访问规则的到期日
你可以给有条件访问规则添加一个到期日。
过期功能对任何情况都很重要,在这种情况下,某些TeamViewer 用户应该只在有限的时间内获得对特定设备的访问。
- 基于项目的工作
- 实习生、兼职人员等。
- 替代者、替补者和其他在有限时间内帮忙的人
可以为新的和现有的规则设置过期日期。
💡提示:"有效期 "定义了从什么时候到什么时候规则将被激活。
过期日期可以在任何时候进行编辑。
(绿色:创建一个新的时间框架。橙色:编辑现有的。显示的时间是UTC)。)
一个规则中可以添加多个时间段。所有规则的过期状态都可以在概览中看到。
可用的状态。
- 从来没有(没有设定过期)。
- 预定(在未来)。
- 活跃(目前在时间范围内)。
- 过期
启用规则验证
添加的规则不会自动启用。
请使用"激活条件访问",以确保只有规则所允许的连接才是可能的,而不是其他。
阻止会议也是可用的。然而,这是一个 "全部或没有 "的设置。如果启用,所有会议都会被阻止。没有例外。