この記事は、TeamViewerテンサーライセンスをご購入で、コンディショナルアクセスのアドオンをお持ちのお客様に適用されます。
環境例
この記事では、例として、グローバル企業内のインターンITヘルプデスクを管理する事を想定してご案内します。部門は、管理チーム、2つのレベル1ヘルプデスク、1つのレベル2ヘルプデスクで構成されています。1つはヨーロッパにあり、もう1つは北米にあります。また、誰が誰に接続しているかを完全制御し、TeamViewerを介して相互に接続できる端末を決定する必要があります。これが、コンディショナルアクセスで達成できることです。
コンディショナルアクセスについて
コンディショナルアクセス(条件付きアクセス)は、TeamViewerを使用するユーザーと、企業ネットワーク内でTeamViewerの使用を許可/ブロックする端末を最大限にセキュリティで完全に制御するための究極のツールです。
ファイアウォールとして機能し、ネットワーク内のすべてのアクセス許可を決定する専用ルーターを用意する可能性を提供します。
主な役割は、ネットワーク内のTeamViewerのすべての接続/使用をブロックすることです。それをベースとして、後付で誰がどの端末と通信できるかを決定・許可します。
コンディショナルアクセスの機能について
ルーターは、router.teamviewerおよびmaster.teamviewer.comへのすべてのリンクをブロックし、専用ルーターを介したTeamViewer通信のみを許可します。 yourcompany.teamviewer.com
Windowsでは、専用ルーターに関する情報はレジストリにあり、モバイル端末ではAppconfigを介してプッシュされます。最後にMacでは、情報はplistファイルにあります。したがって、ここではレベルに大きな変化はありません。
コンディショナルアクセスなしのイメージ図
コンディショナルアクセスありのイメージ図
動作#1
yourcompany.teamviewer.comを持たないすべての端末(Windows、macOS、モバイル端末)は、通常のルートを介して通常のインフラストラクチャを介して接続を試みます。
➔ ブロックされます。これらの端末では、着信接続と発信接続はできません。
動作#2
宛先(yourcompany.teamviewer.com)を知っているすべての端末(Windows、macOS、モバイル端末)はファイアウォールを通過して、すべてのルール/接続権限が設定されている専用ルーターに到達します。これにより、次のトピックであるルールの検証に進みます。
したがって、コンディショナルアクセスは、ネットワーク内の発信トラフィックと着信トラフィックに関してTeamViewerを使用することで、無限に細分性を提供します。
使用事例
この記事の環境例にて述べたように、グローバルサポート会社を管理する必要があり、誰が誰に接続しているかを完全制御し、TeamViewerを介してどのデバイスが相互に接続できるかを決定したいと考えていると想定して、以下の説明を行います。
ルールの設定
このシナリオでは、次のルールが適用されます。
レベル1ヨーロッパ(EMEA)・ヘルプデスクグループは、ヨーロッパ(EMEA)端末グループ(iPhone、Android端末、Windowsコンピューターなどの端末で構成されるグループ)への接続を許可されています。
レベル1の北米(NORAM)ヘルプデスクグループは、北米(NORAM)端末グループ(iPhone、Android端末、Windowsコンピューターなどの端末で構成されるグループ)への接続を許可されています。
レベル2ヘルプデスクグループは、ヨーロッパ(EMEA)端末グループと北米(NORAM)端末グループの両方に接続できます。
管理者グループは、レベル2、レベル1のヨーロッパおよび北米のヘルプデスク、およびヨーロッパおよび北米の端末に接続できます。
このルール設定の予想される動作
レベル1ヨーロッパ(EMEA)は、北米(NORAM)端末グループに接続できず、レベル2に接続できず、管理者にも接続できず、相互に接続することもできません。デバイスグループEMEAにのみ接続でき、他には何も接続できません。
レベル1のNORAMは、デバイスグループEMEAに接続できず、レベル2に接続できず、管理者にも接続できず、相互に接続することもできません。ヨーロッパ(EMEA)端末グループにのみ接続でき、他には何も接続できません。
レベル2は、ヨーロッパ(EMEA)端末グループおよび北米(NORAM)端末グループに接続できますが、ヘルプデスクのヨーロッパ(EMEA)および北米(NORAM)の端末に接続することはできません。
管理者グループはどこにでも接続できますが、相互に接続することはできません。そのため、ヨーロッパ(EMEA)端末グループおよび北米(NORAM)端末グループに接続できます。レベル1のヨーロッパ(EMEA)および北米(NORAM)ヘルプデスクのPCに接続でき、レベル2のヘルプデスクにも接続できます。