TeamViewer 条件访问

无评分

本文适用于具有TeamViewer Enterprise / Tensor许可证和条件访问插件的所有TeamViewer客户。

此页简要介绍了条件访问的不同部分及其配置。

前提条件

需要以下前提条件才能配置和使用条件访问:

  • 使用条件访问附加组件激活许可证
  • 创建了TeamViewer公司(可通过MCO)
  • 知道专用路由器的IP地址

条件访问是一项安全功能,因此一旦激活规则验证,就不会允许最初的连接!

配置

客户

必须将客户端配置为联系专用路由器,因为我们将在下一步阻止访问防火墙中常用的TeamViewer路由器。

Windows

可以使用具有以下注册表文件的组策略(GPO)或MSI包来完成注册表的配置:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"


[HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer]
"KeepAliveServerName"="YOUR_ROUTER"

 重新启动TeamViewer服务后,客户端将不会连接到通常的TeamViewer路由器,而是连接到专用路由器。

提示: Azure和MS Intune无法使用TeamViewer设置推出MSI!

macOS

要设置自定义路由器,您必须在TeamViewer未运行时执行以下命令之一,具体取决于TeamViewer是否从系统启动。

当TeamViewer从系统启动时:

defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist KeepAliveServerName -string YOUR_ROUTER

当TeamViewer无法启动系统时:

defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist KeepAliveServerName -string YOUR_ROUTER

 

防火墙

调整防火墙以阻止以下DNS条目:

  • master* .teamviewer.com
  • router* .teamviewer.com

一旦此配置处于活动状态,未获得连接到专用路由器的信息的客户端将无法再联机。这与阻止未经授权的TeamViewer客户端相关。

添加规则

条件访问正在后端使用规则引擎。您可以在管理控制台中集中管理规则。购买并激活许可证后,您将在导航中看到其他部分。

Conditional access 1.png

当您转到条件访问页面时,您将看到所有规则的概述。现在,这是空的,我们将向您展示如何添加规则。

正如我们之前提到的,条件访问从最初拦截所有内容开始,这也使得规则的管理更容易,因为不存在矛盾规则的可能性。

单击“添加规则”时,将弹出一个新对话框。您可以为源和目标添加设备,帐户和组的规则。 “计算机和联系人”列表中的所有设备和帐户均可自动完成。此外,贵公司的所有帐户也会在自动完成时考虑。您仍然可以通过输入TeamViewer ID来添加不在“计算机和联系人”列表中的设备。对于组,如果您是组的所有者,则只能添加它们,这也是一种安全措施。

Conditional access 2.png

连接类型还有一个字段,当前已固定到远程控制。稍后,我们将介绍其他连接类型,如会议和文件传输。目前,为远程控制执行的相同规则也适用于文件传输,而Meeting仍然适用于所有人。

此外,只能为启动器属于公司的连接定义规则。如果从未连接到专用路由器的客户端启动连接,则无法建立连接

启用规则验证

为了便于设置条件访问,我们为规则验证添加了常规开/关开关。此选项可用于确保在公司中顺利实施条件访问。您可以将其停用,直到添加了所有必要的规则。

Conditional access 3.png

这是什么意思?

关闭规则验证时,将不会强制执行规则,因此允许从连接到专用路由器的客户端启动的所有连接。

版本历史
修订号
3 / 3
上次更新时间:
‎07 五月 2019, 11:25 AM
更新依据:
 
贡献者