Erste Schritte – Conditional Access

Keine Bewertungen

Dieser Artikel richtet sich an alle TeamViewer Kunden mit einer TeamViewer Enterprise/Tensor Lizenz und dem Conditional Access AddOn. 

Diese Anleitung ist eine kurze Einführung in die verschiedenen Teile von Conditional Access und dessen Konfiguration.

Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Conditional Access konfigurieren und nutzen zu können:

  • eine aktivierte Lizenz mit dem Conditional Access AddOn
  • ein TeamViewer Firmenprofil (über die Management Console möglich)
  • die IP Adresse des dedizierten Routers muss bekannt sein

Conditional Access ist ein Sicherheitsfeature. Daher ist, sobald die Regelverifikation aktiviert ist, keine Verbindung mehr erlaubt!

Konfiguration

Client

Der Client muss so konfiguriert sein, dass er den dedizierten Router anspricht, da wir mit dem nächsten Schritt den Zugriff auf die üblichen TeamViewer Router in der Firewall blockieren.

Windows

Die Konfiguration der Registry kann über Group Policies (GPO) oder MSI Paket mit der folgenden Registry-Datei erfolgen:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"


[HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"

Nach dem Neustart des TeamViewer Dienstes verbindet sich der Client nicht mehr mit den üblichen TeamViewer Routern, sondern mit dem dedizierten Router.

Tipp: Der MSI Rollout mit TeamViewer Settings ist mit Azure und MS Intune nicht möglich!

macOS

Um den dedizierten Router einzustellen, müssen Sie einen der folgenden Befehle ausführen, während TeamViewer nicht ausgeführt wird - je nachdem, ob TeamViewer mit dem System startet oder nicht.

Wenn TeamViewer mit dem System startet:

defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist KeepAliveServerName -string YOUR_ROUTER

Wenn TeamViewer nicht mit dem System startet:

defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist KeepAliveServerName -string YOUR_ROUTER

Firewall

Passen Sie Ihre Firewall an, um die folgenden DNS-Einträge zu blockieren:

  • master*.teamviewer.com
  • router*.teamviewer.com

Sobald diese Konfiguration aktiv ist, können Clients, die keine Informationen zur Verbindung mit dem dedizierten Router erhalten haben, nicht mehr online gehen. Dies ist relevant, um nicht autorisierte TeamViewer Clients zu blockieren.

Regeln hinzufügen

Conditional Access arbeitet mit einer Rule Engine im Backend. Sie können die Regeln zentral in der Management Console verwalten. Wenn Sie Ihre Lizenz erworben und aktiviert haben, sehen Sie einen zusätzlichen Abschnitt in der Navigation auf der linken Seite.

image2019-3-10_0-5-21.png

Wenn Sie auf den Reiter Conditional Access klicken, erhalten Sie eine Übersicht über alle Regeln. Im Moment ist dieser Bereich leer und wir zeigen Ihnen, wie Sie eine Regel hinzufügen können.

Wie bereits erwähnt, beginnt Conditional Access damit, zunächst alles zu blockieren, was auch die Verwaltung der Regeln erleichtert, da es keine Möglichkeit für widersprüchliche Regeln gibt.

Wenn Sie auf + Regel hinzufügen klicken, öffnet sich ein neuer Dialog. Sie haben die Möglichkeit, Regeln für Geräte, Konten und Gruppen für Quelle und Ziel hinzuzufügen. Es ist eine automatische Vervollständigung für alle Geräte und Konten verfügbar, die sich in Ihrer Computer & Kontakte Liste befinden. Zusätzlich werden auch alle Konten Ihres Firmenprofils bei der automatischen Vervollständigung berücksichtigt. Sie können ebenfalls Geräte hinzufügen, die nicht in Ihrer Computer & Kontakte Liste enthalten sind, indem Sie die TeamViewer ID eingeben. Sie können nur die Gruppen hinzufügen, von denen Sie der Eigentümer sind, was wiederum eine Sicherheitsmaßnahme ist.

image2019-3-9_23-19-54.png

Es gibt auch ein Feld für den Verbindungstyp, der derzeit auf Fernsteuerung festgelegt ist. Später werden wir zusätzliche Verbindungstypen, wie Meeting und Filetransfer hinzufügen. Im Moment gelten die gleichen Regeln, die für die Fernsteuerung gelten, auch für die Dateiübertragung. Die Veranstaltung eines Meetings funktioniert jedoch immer noch für alle.

Außerdem ist es nur möglich, Regeln für Verbindungen zu definieren, bei denen der Initiator Teil Ihres Unternehmens ist. Eine Verbindung kann nicht hergestellt werden, wenn sie von einem Client initiiert wird, der nicht mit Ihrem dedizierten Router verbunden ist.

Regelverifizierung aktivieren

Um die Einrichtung von Conditional Access zu erleichtern, haben wir einen allgemeinen Ein-/Ausschalter für die Regelverifikation hinzugefügt. Diese Option kann genutzt werden, um eine reibungslose Implementierung von Conditional Access in Ihrem Unternehmen zu gewährleisten. Sie können es deaktiviert lassen, bis Sie alle notwendigen Regeln hinzugefügt haben.

image2019-3-9_23-42-25.png

Was bedeutet das?

Wenn die Regelverifizierung deaktiviert ist, werden die Regeln nicht erzwungen und daher sind alle Verbindungen, die von einem Client initiiert werden, der mit dem dedizierten Router verbunden ist, erlaubt.

Versionsverlauf
Revision-Nr.
4 von 4
Letzte Aktualisierung:
‎19 Jul 2019, 2:28 PM
Aktualisiert von:
 
Beitragleistende
Tags (2)