コンディショナルアクセスの始め方

100%が役に立ったと言っています (1/1)

この記事は、TeamViewer エンタープライズ / テンサープランとコンディショナルアクセス アドオンを使用しているすべてのTeamViewerユーザーに適用されます。

 

 

このページでは、コンディショナルアクセスのさまざまな部分とその構成について簡単に紹介します。

 

前提条件

コンディショナルアクセスを構成して使用するには、以下の前提条件が必要です。

  • コンディショナルアクセス アドオンを使用した有効化ライセンス
  • 作成されたTeamViewerの企業プロファイル(MCO経由で可能)
  • 認知されている専用ルータのIPアドレス

コンディショナルアクセスはセキュリティ機能であるため、ルール検証が有効になるとすぐに接続は許可されません。

 

設定

クライアント

次のステップでファイアウォール内の通常のTeamViewerルーターへのアクセスをブロックしようとしているので、クライアントは専用ルーターに接続するように設定する必要があります。

Windows

レジストリの構成は、グループポリシー(GPO)またはMSIパッケージを使用して、次のレジストリファイルで実行できます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"


[HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"

 

TeamViewerサービスを再開した後、クライアントは通常のTeamViewerルーターには接続せず、代わりに専用ルーターに接続します。

ヒント:TeamViewer Settingsを使用したMSIのロールアウトは、AzureおよびMS Intuneでは不可能です。

 

macOS

カスタムルーターを設定するには、TeamViewerが起動しているかどうかに応じて、TeamViewerが実行されていないときに次のいずれかのコマンドを実行する必要があります。

TeamViewerがシステムから起動する場合

defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist KeepAliveServerName -string YOUR_ROUTER

TeamViewerがシステムから起動しない場合

defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist KeepAliveServerName -string YOUR_ROUTER

 

 

ファイアウォール

以下のDNSエントリをブロックするようにファイアウォールを調整してください。

  • master * .teamviewer.com
  • ルーター* .teamviewer.com

この設定がアクティブになるとすぐに、専用ルータに接続するための情報を取得しなかったクライアントは、もうオンラインになることができなくなります。これは無許可のTeamViewerクライアントをブロックするのに関連しています。

 

ルールを追加する

条件付きアクセスはバックエンドのルールエンジンで動作しています。マネージメントコンソールでルールを一元管理できます。ライセンスを購入して有効化したら、ナビゲーションに追加のセクションが表示されます。

Get started - Conditional Access 1.png

[コンディショナルアクセス]ページに移動すると、すべての規則の概要が表示されます。今は、これは空です。ルールを追加する方法を紹介します。

前述したように、コンディショナルアクセスは最初にすべてをブロックすることから始まります。これはまた、矛盾する規則が存在する可能性がないため、規則の管理を容易にします。

Add Ruleをクリックすると、新しいダイアログがポップアップします。

ソースとターゲットの両方のためのデバイス、アカウントとグループのためのルールを追加する可能性があります。

[コンピュータ&パートナー]リストにあるすべてのデバイスとアカウントに使用可能な自動補完機能があります。

さらに、自社のすべてのアカウントも自動補完の対象となります。 TeamViewer IDを入力して、[コンピュータ&パートナー]リストにないデバイスを追加することも可能です。グループに関しては、自分がグループの所有者である場合にのみ追加できます。これもセキュリティ対策のひとつとなります。

Get started - Conditional Access 2.png

 

Connection Typeのフィールドは現在リモートコントロールに固定されています。

会議やファイル転送などの追加の接続タイプを表示する機能です。リモートコントロールに対して行われているのと同じ規則がファイル転送にも適用され、Meetingはまだすべての人に有効です。

さらに、開始者が会社の一部である場合にのみ接続のための規則を定義することが可能です。専用ルーターに接続されていないクライアントから接続が開始された場合、接続は確立できません。

 

ルール検証を有効にする

条件付きアクセスの設定を簡単にするために、ルール検証用の一般的なオン/オフスイッチを追加しました。このオプションを使用して、会社内で条件付きアクセスを円滑に実装することができます。必要なルールをすべて追加するまでは、無効にしておくことができます。

Get started - Conditional Access 4.png

Enable rule verificationの役割について

ルール検証がオフになっていると、ルールは適用されず、したがって専用ルータに接続されているクライアントから開始されたすべての接続が許可されます。

 

バージョン履歴
改訂番号
2/2
最終更新:
1ヶ月前
更新者:
 
寄稿者: