Zum Hauptinhalt springen

Einführung

Erzwingen Sie 2FA für Ihr Team, konfigurieren Sie die Remote-Control-Genehmigung für Endbenutzer und beschränken Sie den Level-Zugriff nach IP-Adresse.

Heute aktualisiert

Steuern Sie, wer auf Level zugreifen kann, und wie sich Ihre Techniker mit Geräten verbinden. Die Seite Sicherheit behandelt vier organisationsweite Einstellungen: obligatorische Zwei-Faktor-Authentifizierung (2FA), ein Inaktivitäts-Timeout, das inaktive Sitzungen automatisch abmeldet, eine Genehmigung des Endbenutzers für Remote-Control-Sitzungen und eine IP-Whitelist, die einschränkt, von wo aus sich Techniker anmelden können.

Die Remote-Control-Genehmigung gilt standardmäßig organisationsweit, kann aber pro Gerätegruppe einzeln konfiguriert werden, um eine differenzierte Kontrolle zu ermöglichen.

Obligatorische Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) erfordert, dass Techniker ihre Identität bei jeder Anmeldung mit einer Authentifizierungs-App von Drittanbietern überprüfen. Wenn Sie diese organisationsweit aktivieren, muss jeder Techniker in Ihrem Team 2FA konfiguriert haben — sie können dies nicht überspringen.

So fordern Sie 2FA für alle Techniker an:

  1. Gehen Sie zu Settings → Security.

  2. Unter Mandatory two-factor authentication (2FA) aktivieren Sie Require two-factor authentication.

  3. Klicken Sie auf Update preferences.

Mandatory Two-Factor Authentication

⚠️ WARNUNG: Nach der Aktivierung werden alle Techniker ohne 2FA-Konfiguration beim nächsten Anmelden aufgefordert, dies einzurichten. Sie können auf Level nicht zugreifen, bis sie die Einrichtung abgeschlossen haben. Benachrichtigen Sie Ihr Team, bevor Sie diese Einstellung organisationsweit aktivieren.

ℹ️ HINWEIS: Techniker verwalten ihre eigene 2FA von Settings → Password / 2FA. Administratoren können 2FA für einen einzelnen Techniker von Workspace → Team aus deaktivieren, wenn jemand gesperrt ist.

Inaktivitäts-Timeout

Das Inaktivitäts-Timeout meldet Techniker automatisch ab, nachdem eine Periode der Browser-Inaktivität verstrichen ist. Nach Ablauf des Timeouts müssen sie sich erneut anmelden, um fortzufahren.

Inactivity Timeout

Der Standard ist 24 Stunden. Die Optionen reichen von 15 Minuten bis 7 Tagen.

ℹ️ HINWEIS: Das Timeout basiert auf Browser-Inaktivität, nicht auf Geräteinaktivität. Ein Techniker, der aktiv einen anderen Tab verwendet, wird dennoch abgemeldet, wenn er selbst nicht mit Level interagiert hat.

So konfigurieren Sie das Inaktivitäts-Timeout:

  1. Gehen Sie zu Settings → Security.

  2. Unter Inactivity timeout öffnen Sie das Dropdown-Menü Log out after.

  3. Wählen Sie eine Timeout-Dauer aus.

  4. Klicken Sie auf Update timeout.

💡 TIPP: Für Compliance-sensitive Umgebungen — HIPAA, SOC 2 oder interne Sicherheitsrichtlinien, die Limits für inaktive Sitzungen vorschreiben — sind 15 oder 30 Minuten eine häufige Baseline. Überprüfen Sie die Anforderungen Ihres geltenden Frameworks, bevor Sie dies einstellen.

Remote-Control-Genehmigung

Standardmäßig benachrichtigt Level den Endbenutzer, wenn ein Techniker eine Remote-Control-Sitzung startet — keine Aktion erforderlich vom Endbenutzer. Sie können dies ändern, damit Endbenutzer die Verbindung explizit genehmigen müssen, bevor sie hergestellt wird.

Dies ist wichtig in regulierten Branchen. Im Gesundheitswesen könnte ein Techniker, der sich mit der Workstation eines Arztes verbindet, versehentlich Patientendaten sehen, für deren Anzeige er nicht autorisiert ist. In rechtlichen Umgebungen gilt die gleiche Bedenken für privilegierte Mandantendokumente. Das Fordern einer Genehmigung gibt dem Endbenutzer die Kontrolle darüber, wann eine Verbindung hergestellt wird, und hält Ihr Team konform mit Vorschriften wie HIPAA.

So konfigurieren Sie die Remote-Control-Genehmigung:

  1. Gehen Sie zu Settings → Security.

  2. Unter Remote control approval wählen Sie Ihren bevorzugten Modus:

    • Notify end-user — Der Endbenutzer sieht eine Benachrichtigung, wenn sich ein Techniker verbindet. Keine Genehmigung erforderlich.

    • Ask for approval — Der Endbenutzer erhält eine Aufforderung, die Verbindung zu genehmigen oder zu verweigern, bevor sie hergestellt wird.

  3. Wenn Sie Ask for approval ausgewählt haben, verwenden Sie das Dropdown-Menü, um zu wählen, was passiert, wenn der Endbenutzer nicht antwortet:

    • Connect if the end-user doesn't answer — Die Sitzung wird automatisch fortgesetzt, nachdem die Aufforderung abgelaufen ist.

    • Require approval — Die Verbindung wird blockiert, es sei denn, der Endbenutzer genehmigt sie explizit.

  4. Klicken Sie auf Update approval settings.

💡 TIPP: Setzen Sie in Hochkonformitätsumgebungen das Fallback auf Require approval. Dies stellt sicher, dass sich ein Techniker ohne ausdrückliche Zustimmung nicht verbinden kann — auch wenn der Endbenutzer die Aufforderung verpasst.

Einstellungen an alle Gruppen übertragen

Gerätegruppen erben standardmäßig die organisationsweite Genehmigungseinstellung, aber einzelne Gruppen können ihre eigenen Überschreibungen haben. Wenn Sie möchten, dass die organisationsweite Einstellung überall Vorrang hat und alle Gruppenebenen-Überschreibungen löscht, aktivieren Sie Force this selection to all descendant device groups, clearing all overrides bevor Sie auf Update approval settings klicken.

⚠️ WARNUNG: Das Aktivieren von Force this selection überschreibt alle Remote-Control-Genehmigungseinstellungen auf Gruppenebene in Ihrer gesamten Organisation. Gruppen müssten manuell neu konfiguriert werden, wenn Sie danach unterschiedliche Einstellungen pro Gruppe wünschen.

Genehmigung pro Gerätegruppe konfigurieren

Sie können für eine bestimmte Gerätegruppe einen anderen Genehmigungsmodus festlegen, ohne die organisationsweite Standardeinstellung zu beeinflussen. Vollständige Details finden Sie unter Group Security.

  1. Gehen Sie zu Devices und suchen Sie die Gruppe in der Seitenleiste.

  2. Klicken Sie auf das Drei-Punkte-Menü () neben dem Gruppennamen und wählen Sie Settings.

  3. Navigieren Sie zur Registerkarte Security.

  4. Konfigurieren Sie die Remote-Control-Genehmigungseinstellung für diese Gruppe und klicken Sie auf Update approval settings.

ℹ️ HINWEIS: Die Sicherheitsseite auf Gruppenebene zeigt "Von Level geerbt" neben der Genehmigungseinstellung an, wenn keine Überschreibung auf Gruppenebene aktiv ist, was anzeigt, dass sie der organisationsweiten Standardeinstellung folgt.

IP-Whitelist

Die IP-Whitelist schränkt den Level-Zugriff auf bestimmte IP-Adressen oder Bereiche ein. Wenn aktiviert, können sich Techniker nur von aufgelisteten IPs anmelden — alles andere wird blockiert. Verwenden Sie dies, um sicherzustellen, dass Ihr Team nur vom Büronetz, einem VPN oder anderen vertrauenswürdigen Standorten auf Level zugreifen kann.

IP-Adressen hinzufügen

  1. Gehen Sie zu Settings → Security.

  2. Scrollen Sie zu IP allowlist.

  3. Klicken Sie auf + Add IP address.

  4. Geben Sie die IP-Adresse oder den CIDR-Bereich und eine optionale Beschreibung zur Identifikation ein (z.B. "Dallas Office" oder "VPN Egress").

  5. Klicken Sie, um den Eintrag zu speichern.

  6. Wiederholen Sie für alle zusätzlichen Adressen.

ℹ️ HINWEIS: Die Whitelist akzeptiert einzelne IP-Adressen (z.B. `203.0.113.47`), CIDR-Bereiche (z.B. `192.0.2.0/24`) und sowohl IPv4- als auch IPv6-Formate. Verwenden Sie CIDR-Notation, wenn Sie ein ganzes Subnetz auf die Whitelist setzen müssen.

💡 TIPP: Das Dialog Add IP address zeigt Ihre aktuelle IP-Adresse oben an. Fügen Sie sie vor der Aktivierung der Whitelist hinzu, um sicherzustellen, dass Sie sich nicht selbst aussperren.

Aktivierung und Verwaltung von Einträgen

Jeder Eintrag in der Whitelist hat seinen eigenen Aktivierungs-/Deaktivierungsschalter — Sie können eine IP zur Liste hinzufügen, ohne sie sofort zu aktivieren. Das Drei-Punkte-Menü auf jedem Eintrag gibt Ihnen die Optionen Edit und Delete.

Nachdem Ihre Einträge konfiguriert sind, schalten Sie die IP allowlist von Deaktiviert zu aktiviert, um die Einschränkung organisationsweit zu aktivieren.

⚠️ WARNUNG: Aktivieren Sie die IP-Whitelist nur, nachdem Sie alle erforderlichen IP-Adressen hinzugefügt haben. Wenn Sie sie ohne Ihre aktuelle IP-Adresse aktivieren, werden Sie sofort aus Level ausgesperrt. Wenden Sie sich an den Level-Support, um Zugriff wiederherzustellen — sie führen Sie durch einen Verifizierungsprozess, bevor Sie ihn wiederherstellen.

ℹ️ HINWEIS: Wenn Ihr Team dynamische IPs verwendet, ist das Whitelisten einer statischen VPN- oder Büroausgabe-IP zuverlässiger als das Nachverfolgung einzelner Adressen.

Häufig gestellte Fragen

  • Wer kann diese Sicherheitseinstellungen ändern? Nur Administratoren haben Zugriff auf die Seite Settings → Security. Standard-Techniker-Konten sehen diese Optionen nicht.

  • Was zählt als "Inaktivität" für das Timeout? Inaktivität bedeutet keine Interaktion mit der Level-Browser-Schnittstelle. Aktivität in anderen Browser-Tabs setzt den Timer nicht zurück. Nach der konfigurierten Zeitspanne ohne Level-Interaktion wird der Techniker abgemeldet und muss sich erneut anmelden.

  • Beeinflusst die IP-Whitelist meine Geräte oder den Level-Agent? Nein. Die Whitelist kontrolliert nur, von wo aus Techniker sich bei Level anmelden können. Geräte mit installiertem Level-Agent kommunizieren unabhängig von Level — die Whitelist hat keine Auswirkungen auf sie.

  • Was passiert mit Technikern, die 2FA nicht eingerichtet haben, wenn ich obligatorische 2FA aktiviere? Sie werden beim nächsten Anmelden aufgefordert, 2FA zu konfigurieren, und können Level nicht aufrufen, bis sie dies tun. Benachrichtigen Sie Ihr Team, bevor Sie dies aktivieren.

  • Kann ich unterschiedliche Remote-Control-Genehmigungsregeln für bestimmte Client-Gruppen festlegen? Ja. Die Einstellung in Settings → Security ist der organisationsweite Standard. Sie können diese pro Gerätegruppe überschreiben, indem Sie zum Drei-Punkte-Menü der Gruppe gehen → Settings → Security. Gruppen, die nicht überschrieben wurden, zeigen "Von Level geerbt" und folgen dem organisationsweiten Standard.

  • Was ist der Unterschied zwischen "Notify end-user" und "Ask for approval"? "Notify end-user" zeigt dem Endbenutzer eine Benachrichtigung, wenn sich ein Techniker verbindet, aber die Sitzung startet sofort. "Ask for approval" hält die Verbindung an, bis der Endbenutzer sie explizit genehmigt. Verwenden Sie "Ask for approval" in Umgebungen, wo Ihr Team dokumentierte Zustimmung benötigt, bevor auf ein Gerät zugegriffen wird.

  • Ich habe IPs zur Whitelist hinzugefügt, aber meine Techniker werden immer noch blockiert. Was ist falsch? Überprüfen Sie, ob der Hauptschalter für IP-Whitelist aktiviert ist — das bloße Hinzufügen von Einträgen aktiviert nicht die Einschränkung. Bestätigen Sie auch, dass die von Ihnen aufgelisteten IPs den tatsächlichen Ausgangs-IPs entsprechen, von denen sich Ihre Techniker verbinden. Wenn Ihr Team ein VPN verwendet, stellen Sie sicher, dass sie verbunden sind, bevor Sie versuchen, sich anzumelden.

  • Ich habe mich versehentlich selbst ausgesperrt, indem ich die IP-Whitelist aktiviert habe. Wie komme ich zurück? Wenden Sie sich an den Level-Support. Sie überprüfen Ihre Identität über einen Bestätigungsprozess, bevor Sie Ihren Zugriff wiederherstellen.

Verwandte Artikel
Level sichern
Einleitung
Aktionsübersicht
Hat dies deine Frage beantwortet?