Kontrollieren Sie, wer auf Level zugreifen kann und wie Ihre Techniker eine Verbindung zu Geräten herstellen. Die Seite Sicherheit behandelt drei organisationsweite Einstellungen: obligatorische Zwei-Faktor-Authentifizierung (2FA) für alle Techniker, Genehmigung durch den Endbenutzer für Remote-Control-Sitzungen und eine IP-Allowlist, die einschränkt, von wo aus sich Techniker anmelden können.
Die Genehmigung für Remote Control gilt standardmäßig organisationsweit, kann aber pro Gerätegruppe unabhängig konfiguriert werden, um eine präzisere Kontrolle zu ermöglichen.
Obligatorische Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) erfordert, dass Techniker ihre Identität jedes Mal mit einer Authentifizierungs-App eines Drittanbieters bestätigen, wenn sie sich anmelden. Wenn Sie sie organisationsweit aktivieren, bedeutet dies, dass alle Techniker in Ihrem Team 2FA konfigurieren müssen — sie können es nicht überspringen.
So erfordern Sie 2FA für alle Techniker:
Gehen Sie zu Einstellungen → Sicherheit.
Aktivieren Sie unter Obligatorische Zwei-Faktor-Authentifizierung (2FA) das Kontrollkästchen Zwei-Faktor-Authentifizierung erforderlich.
Klicken Sie auf Einstellungen aktualisieren.
⚠️ WARNUNG: Nachdem sie aktiviert wurde, werden alle Techniker ohne konfigurierte 2FA aufgefordert, diese bei der nächsten Anmeldung einzurichten. Sie können nicht auf Level zugreifen, bis sie das Setup abgeschlossen haben. Geben Sie Ihrem Team Bescheid, bevor Sie diese organisationsweite Einstellung aktivieren.
ℹ️ HINWEIS: Techniker verwalten ihre eigene 2FA unter Einstellungen → Kennwort / 2FA. Administratoren können 2FA für einen einzelnen Techniker über Arbeitsbereich → Team deaktivieren, wenn jemand gesperrt ist.
Remote-Control-Genehmigung
Standardmäßig benachrichtigt Level den Endbenutzer, wenn ein Techniker eine Remote-Control-Sitzung startet — es ist keine Maßnahme des Endbenutzers erforderlich. Sie können dies ändern, damit Endbenutzer die Verbindung explizit genehmigen müssen, bevor sie hergestellt wird.
Dies ist in regulierten Branchen wichtig. Im Gesundheitswesen könnte ein Techniker, der eine Verbindung zu einer Arbeitsstation eines Arztes herstellt, versehentlich Patientendatensätze sehen, zu deren Anzeige er nicht autorisiert ist. In Anwaltsumgebungen gilt die gleiche Bedenken für privilegierte Mandantendokumente. Wenn die Genehmigung erforderlich ist, hat der Endbenutzer die Kontrolle darüber, wann eine Verbindung hergestellt wird, und hält Ihr Team in Übereinstimmung mit Bestimmungen wie HIPAA.
So konfigurieren Sie die Remote-Control-Genehmigung:
Gehen Sie zu Einstellungen → Sicherheit.
Wählen Sie unter Remote-Control-Genehmigung Ihren bevorzugten Modus aus:
Endbenutzer benachrichtigen — Der Endbenutzer erhält eine Benachrichtigung, wenn sich ein Techniker verbindet. Keine Genehmigung erforderlich.
Genehmigung anfordern — Der Endbenutzer erhält eine Aufforderung, die Verbindung zu genehmigen oder abzulehnen, bevor sie hergestellt wird.
Wenn Sie Genehmigung anfordern ausgewählt haben, verwenden Sie das Dropdown-Menü, um auszuwählen, was passiert, wenn der Endbenutzer nicht antwortet:
Verbindung herstellen, wenn der Endbenutzer nicht antwortet — Die Sitzung wird automatisch nach dem Timeout der Aufforderung fortgesetzt.
Genehmigung erforderlich — Die Verbindung wird blockiert, es sei denn, der Endbenutzer genehmigt sie aktiv.
Klicken Sie auf Genehmigungseinstellungen aktualisieren.
💡 TIPP: In hochkonformen Umgebungen setzen Sie den Fallback auf Genehmigung erforderlich. Dies stellt sicher, dass ein Techniker sich niemals ohne explizite Zustimmung verbinden kann — auch wenn der Endbenutzer die Aufforderung verpasst.
Einstellungen an alle Gruppen pushen
Gerätegruppen erben standardmäßig die organisationsweite Genehmigungseinstellung, aber einzelne Gruppen können ein eigenes Override konfiguriert haben. Wenn Sie möchten, dass die organisationsweite Einstellung überall gültig ist und alle Group-Level-Overrides löscht, aktivieren Sie Diese Auswahl auf alle untergeordneten Gerätegruppen erzwingen, alle Overrides löschen, bevor Sie auf Genehmigungseinstellungen aktualisieren klicken.
⚠️ WARNUNG: Wenn Sie Diese Auswahl erzwingen aktivieren, werden Remote-Control-Genehmigungseinstellungen auf Group-Ebene in Ihrer gesamten Organisation überschrieben. Gruppen müssten manuell neu konfiguriert werden, wenn Sie später unterschiedliche Einstellungen pro Gruppe wünschen.
Konfigurieren der Genehmigung pro Gerätegruppe
Sie können einen anderen Genehmigungsmodus für eine bestimmte Gerätegruppe festlegen, ohne die organisationsweite Standardeinstellung zu beeinflussen. Vollständige Details finden Sie unter Gruppensicherheit.
Gehen Sie zu Geräte und suchen Sie die Gruppe in der Seitenleiste.
Klicken Sie auf das Drei-Punkte-Menü (⋮) neben dem Gruppennamen und wählen Sie Einstellungen.
Navigieren Sie zur Registerkarte Sicherheit.
Konfigurieren Sie die Genehmigungseinstellung für Remote Control für diese Gruppe und klicken Sie auf Genehmigungseinstellungen aktualisieren.
ℹ️ HINWEIS: Die Sicherheitsseite auf Group-Ebene zeigt „Von Level vererbt" neben der Genehmigungseinstellung, wenn kein Group-Level-Override aktiv ist, was anzeigt, dass es der organisationsweiten Standardeinstellung folgt.
IP-Allowlist
Die IP-Allowlist beschränkt den Level-Zugriff auf spezifische IP-Adressen oder -Bereiche. Wenn aktiviert, können sich Techniker nur von aufgelisteten IPs anmelden — alles andere wird blockiert. Verwenden Sie dies, um sicherzustellen, dass Ihr Team Level nur vom Büronetzwerk, einem VPN oder anderen vertrauenswürdigen Orten aus aufrufen kann.
IP-Adressen hinzufügen
Gehen Sie zu Einstellungen → Sicherheit.
Scrollen Sie zu IP-Allowlist.
Klicken Sie auf + IP-Adresse hinzufügen.
Geben Sie die IP-Adresse oder den CIDR-Bereich ein und eine optionale Beschreibung, um sie zu identifizieren (z. B. „Dallas Office" oder „VPN Egress").
Klicken Sie, um den Eintrag zu speichern.
Wiederholen Sie diesen Vorgang für weitere Adressen.
ℹ️ HINWEIS: Die Allowlist akzeptiert einzelne IP-Adressen (z. B. `203.0.113.47`), CIDR-Bereiche (z. B. `192.0.2.0/24`) und beide IPv4- und IPv6-Formate. Verwenden Sie CIDR-Notation, wenn Sie ein ganzes Subnetz auf die Allowlist setzen möchten.
💡 TIPP: Der Dialog IP-Adresse hinzufügen zeigt Ihre aktuelle IP-Adresse oben an. Fügen Sie sie vor Aktivierung der Allowlist ein, um sicherzustellen, dass Sie sich nicht selbst sperren.
Aktivieren und Verwalten von Einträgen
Jeder Eintrag in der Allowlist hat einen eigenen Aktivieren/Deaktivieren-Schalter — Sie können eine IP zur Liste hinzufügen, ohne sie noch zu aktivieren. Das Drei-Punkte-Menü auf jedem Eintrag gibt Ihnen die Optionen Bearbeiten und Löschen.
Sobald Ihre Einträge konfiguriert sind, schalten Sie die IP-Allowlist von Deaktiviert zu aktiviert, um die Einschränkung organisationsweit zu aktivieren.
⚠️ WARNUNG: Aktivieren Sie die IP-Allowlist nur, nachdem Sie alle erforderlichen IP-Adressen hinzugefügt haben. Wenn Sie sie aktivieren, ohne Ihre aktuelle IP einzubeziehen, werden Sie sofort von Level ausgesperrt. Wenden Sie sich an den Level-Support, um den Zugriff wiederherzustellen — sie werden Sie durch einen Verifizierungsprozess leiten, bevor Sie den Zugriff wiederherstellen.
ℹ️ HINWEIS: Wenn Ihr Team dynamische IPs verwendet, ist das Whitelist einer statischen VPN- oder Office-Egress-IP zuverlässiger als die Verfolgung einzelner Adressen.
FAQ
Wer kann diese Sicherheitseinstellungen ändern? Nur Administratoren haben Zugriff auf die Seite Einstellungen → Sicherheit. Standard-Technikerkonten werden diese Optionen nicht sehen.
Beeinflusst die IP-Allowlist meine Geräte oder den Level-Agent? Nein. Die Allowlist kontrolliert nur, von wo aus sich Techniker bei Level anmelden können. Geräte mit installiertem Level-Agent kommunizieren unabhängig mit Level — die Allowlist hat keine Auswirkung auf sie.
Was passiert mit Technikern, die keine 2FA konfiguriert haben, wenn ich obligatorische 2FA aktiviere? Sie werden aufgefordert, 2FA bei ihrer nächsten Anmeldung zu konfigurieren, und können nicht auf Level zugreifen, bis sie dies getan haben. Geben Sie Ihrem Team Bescheid, bevor Sie dies aktivieren.
Kann ich für bestimmte Kundengruppen unterschiedliche Genehmigungsregeln für Remote Control festlegen? Ja. Die Einstellung in Einstellungen → Sicherheit ist der organisationsweite Standard. Sie können sie pro Gerätegruppe außer Kraft setzen, indem Sie zum Drei-Punkte-Menü der Gruppe → Einstellungen → Sicherheit gehen. Gruppen, die nicht außer Kraft gesetzt wurden, zeigen „Von Level vererbt" und folgen dem organisationsweiten Standard.
Was ist der Unterschied zwischen „Endbenutzer benachrichtigen" und „Genehmigung anfordern"? „Endbenutzer benachrichtigen" zeigt dem Endbenutzer eine Benachrichtigung, wenn sich ein Techniker verbindet, aber die Sitzung wird sofort gestartet. „Genehmigung anfordern" hält die Verbindung an, bis der Endbenutzer sie explizit genehmigt. Verwenden Sie „Genehmigung anfordern" in Umgebungen, in denen Ihr Team dokumentierte Zustimmung benötigt, bevor es auf ein Gerät zugreift.
Ich habe IPs zur Allowlist hinzugefügt, aber meine Techniker werden immer noch blockiert. Was ist falsch? Überprüfen Sie, dass der Hauptschalter für die IP-Allowlist aktiviert ist — das bloße Hinzufügen von Einträgen aktiviert die Einschränkung nicht. Bestätigen Sie auch, dass die IPs, die Sie aufgelistet haben, den tatsächlichen Egress-IPs entsprechen, von denen sich Ihre Techniker aus verbinden. Wenn Ihr Team ein VPN verwendet, stellen Sie sicher, dass es vor dem Anmeldungsversuch verbunden ist.
Ich habe mich versehentlich ausgesperrt, indem ich die IP-Allowlist aktiviert habe. Wie komme ich wieder rein? Wenden Sie sich an den Level-Support. Sie werden Ihre Identität durch einen Verifizierungsprozess bestätigen, bevor sie Ihren Zugriff wiederherstellen.