Konfigurationshandbuc h BlackBerry UEM Version 12.6 Maintenance Release 1 Veröffentlicht: 2017-04-25 SWD-20170425093901061 Inhalt Info zu diesem Handbuch................................................................................................. 8 Erste Schritte....................................................................................................................9 Erstmaliges Konfigurieren von BlackBerry UEM.................................................................................................................9 Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten............................................................................. 12 Administratorberechtigungen, die für die Konfiguration von BlackBerry UEM benötigt werden ........................................ 14 Abrufen und Aktivieren von Lizenzen...............................................................................................................................15 BlackBerry Enterprise Mobility Suite-Dienste...................................................................................................................15 Hinzufügen vertrauenswürdiger Zertifikate......................................................................17 Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats.......................................................................... 17 Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats...................................................................17 Ändern des von den BlackBerry Web Services verwendeten Zertifikats............................................................................ 18 Ändern des von den BlackBerry Web Services verwendeten Zertifikats..................................................................... 18 Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats......................19 Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats...............19 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver......... 21 Senden von Daten über einen TCP-Proxyserver an die BlackBerry Infrastructure............................................................. 22 Vergleichen von TCP-Proxys.....................................................................................................................................23 Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-Servers............................... 23 Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server.............................................................................................. 24 Senden von Daten über den BlackBerry Router an die BlackBerry Infrastructure............................................................. 25 Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry Router ........................................................25 Konfigurieren von Verbindungen über interne Proxy-Server............................................. 26 Konfigurieren von serverseitigen Proxyeinstellungen .......................................................................................................26 Herstellen einer Verbindung zu Unternehmensverzeichnissen.........................................27 Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält .................................................................................................................................28 Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz............................................................................. 28 Herstellen der Verbindung zu einem LDAP-Verzeichnis.................................................................................................... 30 Aktivieren von per Verzeichnis verknüpften Gruppen....................................................................................................... 32 Aktivieren von Onboarding.............................................................................................................................................. 33 Aktivieren und Konfigurieren von Onboarding und Offboarding................................................................................. 34 Synchronisieren einer UnternehmensverzeichnisVerbindung...........................................................................................36 Vorschau des Synchronisationsberichts................................................................................................................... 36 Anzeigen eines Synchronisierungsberichts...............................................................................................................36 Hinzufügen eines Synchronisationsplans................................................................................................................. 36 Synchronisieren von Good Control mit BlackBerry UEM...................................................38 Voraussetzungen: Synchronisieren von Good Control mit BlackBerry UEM....................................................................... 38 Synchronisieren von Good Control mit BlackBerry UEM................................................................................................... 39 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-MailBenachrichtigungen....................................................................................................... 40 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen................................... 40 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM........................................ 42 Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung................................................................................................................................................... 43 Einmalige Anmeldung für BlackBerry UEM einrichten..................................................................................................... 43 Konsolen-URLs für die einmalige Anmeldung........................................................................................................... 44 Anforderungen an den Browser für die einmalige Anmeldung................................................................................... 45 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS X-Geräten................. 47 Abrufen einer signierten CSR von BlackBerry ..................................................................................................................47 Anfordern eines APNs-Zertifikats von Apple ....................................................................................................................48 Registrieren des APNs-Zertifikats.................................................................................................................................... 48 Erneuern des APNs-Zertifikats........................................................................................................................................ 49 Fehlerbehebung: APNs................................................................................................................................................... 49 Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR....................................................................................................................................... 49 Ich kann iOS- oder OS X-Geräte nicht aktivieren....................................................................................................... 50 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen........................... 51 Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service ............................................ 51 Konfigurieren von Berechtigungen für Gatekeeping......................................................................................................... 52 Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen............................................................................ 54 Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync ..............................................................................................................................................................54 Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365............................................................ 55 Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping.....................................................................................55 Erstellen einer Gatekeeping-Konfiguration.......................................................................................................................56 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work.................... 58 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work.....................................................................59 Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne.............................................................................. 61 Entfernen der Android for Work-Verbindung mithilfe Ihres Google-Kontos.........................................................................61 Bearbeiten oder Testen der Android for Work-Verbindung................................................................................................ 62 Verwalten von Nachweisen für Samsung KNOX-Geräte....................................................63 Konfigurieren von BlackBerry UEM für DEP.....................................................................64 Erstellen eines DEP-Kontos............................................................................................................................................. 64 Herunterladen eines öffentlichen Schlüssels................................................................................................................... 65 Generieren eines Server-Tokens...................................................................................................................................... 65 Registrieren des Server-Tokens bei BlackBerry UEM ....................................................................................................... 65 Hinzufügen einer Registrierungskonfiguration................................................................................................................. 66 Aktualisieren des Server-Tokens...................................................................................................................................... 66 Entfernen der DEP-Verbindung........................................................................................................................................67 Einrichten von BlackBerry UEM Self-Service für Benutzer............................................... 68 BlackBerry UEM Self-Service einrichten..........................................................................................................................68 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne....................... 69 Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten.....................................................................70 Architektur: Hohe Verfügbarkeit für BlackBerry UEM ...................................................................................................... 71 Lastverteilungsdaten für BlackBerry 10-Geräte............................................................................................................... 72 Hohe Verfügbarkeit und der BlackBerry Connectivity Node..............................................................................................73 Überprüfung des Zustands von Komponenten durch BlackBerry UEM ............................................................................ 74 Installieren einer zusätzlichen BlackBerry UEM-Instanz...................................................................................................75 Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole.................................................................................. 75 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung .................................................................................................... 77 Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten................................... 78 Schritte zum Konfigurieren der Datenbankspiegelung..................................................................................................... 78 Systemanforderungen: Datenbankspiegelung................................................................................................................. 79 Voraussetzungen: Konfigurieren der Datenbankspiegelung..............................................................................................80 Erstellen und Konfigurieren einer Spiegeldatenbank........................................................................................................80 Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank............................................................................ 81 Konfigurieren einer neuen Spiegeldatenbank.................................................................................................................. 82 Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen zu Exchange ActiveSync herzustellen..................................................................................................83 Konfigurieren von BlackBerry UEM, sodass das Exchange ActiveSync-Serverzertifikat als vertrauenswürdig erkannt wird................................................................................................................................................................................ 83 Konfigurieren von BlackBerry UEM zur Verwendung der TLS-Versionen und der Chiffrierschlüssel, die Exchange ActiveSync unterstützt.................................................................................................................................................... 84 Vereinfachung von Windows 10-Aktivierungen................................................................ 85 Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen........................................................ 86 Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen.................................................................................................................89 Erstellen und Konfigurieren eines Microsoft Azure-Kontos............................................................................................... 89 Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes........................................................ 90 Erstellen eines Administrators für den Windows Store für Unternehmen...........................................................................91 Aktivieren der App in Windows Store für Unternehmen.................................................................................................... 92 Entfernen der Verbindung zum Windows Store für Unternehmen..................................................................................... 92 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank..............................................................................................................93 Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank................. 93 Herstellen einer Verbindung zu einer Quelldatenbank......................................................................................................94 Bewährte Verfahren: Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................96 Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................................................98 Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank.........................................................................98 Migrieren von Benutzern aus der Quelldatenbank......................................................................................................... 100 Migrieren von Geräten aus der Quelldatenbank............................................................................................................. 100 Migrieren von DEP-Geräten...........................................................................................................................................101 Migrieren von DEP-Geräten mit installiertem BlackBerry UEM Client ..................................................................... 101 Migrieren von DEP-Geräten ohne BlackBerry UEM Client ...................................................................................... 102 Konfigurieren von BlackBerry Control und BlackBerry Proxy..........................................103 Verwalten der Prioritätszuweisung von BlackBerry Control-Instanzen.............................................................................103 Verwalten von BlackBerry Proxy-Clustern...................................................................................................................... 104 Konfigurieren von Direct Connect oder eines Web-Proxy für BlackBerry Proxy-Verbindungen......................................... 105 Konfigurieren von BlackBerry Control-Eigenschaften.....................................................................................................106 BlackBerry Control-Eigenschaften......................................................................................................................... 106 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps....................................... 116 Konfigurieren der Gültigkeitsdauer für Clientzertifikate.................................................................................................. 116 Konfigurieren von PKI-Verbindungen für BlackBerry Dynamics-Apps............................................................................. 116 PKI-Konnektorinteraktionen...................................................................................................................................117 Integrieren von BlackBerry UEM mit Cisco ISE ..............................................................121 Anforderungen: Integration von BlackBerry UEM und Cisco ISE .................................................................................... 122 Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann............................................................ 122 Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher...................................................124 Verbinden von BlackBerry UEM mit Cisco ISE ............................................................................................................... 125 Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEM.................................................................................. 126 Verwalten von Netzwerkzugriff und Gerätesteuerelementen über Cisco ISE ...................................................................127 Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurden................................................................ 129 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden.......... 130 Schritte zum Konfigurieren des BlackBerry MDS Connection Service ............................................................................ 130 Konfigurieren des BlackBerry MDS Connection Service ................................................................................................ 131 Einstellungen für Komponenteninformationen........................................................................................................131 Konfigurieren von BlackBerry MDS Connection Service ......................................................................................... 132 Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service ......................................................133 Einstellungen für Push-Informationen.................................................................................................................... 133 Konfigurieren von Push-Informationen................................................................................................................... 135 Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers.................................................................. 137 Schlüsselspeichereinstellungen.............................................................................................................................137 Konfigurieren des Schlüsselspeichers.................................................................................................................... 138 Konfigurieren von BlackBerry MDS Connection Service-Proxyzuordnungen................................................................... 139 Festlegen der Rangfolge der Proxyzuordnungen..................................................................................................... 140 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools.......................................... 141 Unterstützte SNMP-Vorgänge....................................................................................................................................... 141 Systemanforderungen: SNMP-Überwachung................................................................................................................ 142 MIBs für BlackBerry UEM .............................................................................................................................................143 Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools............................................................................. 144 Verwenden von SNMP zur Überwachung von Komponenten..........................................................................................145 SNMP-Konfiguration für die Überwachung von Komponenten................................................................................ 145 Glossar.........................................................................................................................147 Rechtliche Hinweise..................................................................................................... 149 Info zu diesem Handbuch Info zu diesem Handbuch 1 BlackBerry UEM unterstützt Sie bei der Verwaltung von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, OS X, Android und Windows in Ihrem Unternehmen. In diesem Handbuch finden Sie Anweisungen, wie Sie BlackBerry UEM entsprechend dem Bedarf Ihres Unternehmens konfigurieren. Es ist für erfahrene IT-Mitarbeiter gedacht, die mit der Einrichtung und Bereitstellung des Produkts betraut sind. Bevor Sie die Schritte in diesem Handbuch abschließen können, müssen Sie das Produkt installieren undLizenzen aktivieren.Installationsanweisungen finden Sie in derDokumentation zu Installation und Upgrade.Weitere Informationen zur Aktivierung von Lizenzenfinden Sie in der Dokumentation zur Lizenzierung. Wenn Sie die in diesem Handbuch beschriebenen Schritte ausgeführt haben,lesen Sie in der Dokumentation für Administratorenlesen Sie in der Dokumentation für Administratoren nach, wie Sie dieBlackBerry UEM-Domäne verwalten. 8 Erste Schritte Erste Schritte 2 Erstmaliges Konfigurieren von BlackBerry UEM In der folgenden Tabelle werden die in diesem Handbuch beschriebenen Konfigurationsaufgaben zusammengefasst. Die Schritte sind je nach Unternehmensanforderungen optional. Verwenden Sie diese Tabelle, um zu bestimmen, welche Konfigurationsschritte ausgeführt werden müssen. Nach Durchführung der entsprechenden Schritte sind Sie bereit, Administratoren und Gerätekontrollen einzurichten, Benutzer und Gruppen zu erstellen und Geräte zu aktivieren. Aufgabe Erforderlich oder optional Beschreibung Standardzertifikate durch vertrauenswürdige Zertifikate ersetzen Optional Sie können das Standard-SSL-Zertifikat, das von den BlackBerry UEMKonsolen verwendet wird, sowie das Standard-Zertifikat, das von BlackBerry UEM zum Signieren des MDM-Profils für iOS-Geräte verwendet wird, durch vertrauenswürdige Zertifikate ersetzen. BlackBerry UEM zum Senden von Daten über einen Proxyserver konfigurieren Optional Sie können BlackBerry UEM so konfigurieren, dass Daten zuerst über einen TCP-Proxyserver oder eine Instanz des BlackBerry Router gesendet werden, bevor sie die BlackBerry Infrastructure erreichen. Konfigurieren von Verbindungen über interne Proxyserver Optional Wenn Ihr Unternehmen einen Proxyserver für Verbindungen zwischen den Servern in Ihrem Netzwerk nutzt, müssen Sie die serverseitigen Proxyeinstellungen möglicherweise so konfigurieren, dass BlackBerry UEM Core mit Remote-Instanzen der Verwaltungskonsole kommunizieren kann. Herstellen einer Verbindung zwischen BlackBerry UEM und Unternehmensverzeichnissen Optional Sie können BlackBerry UEM mit einem oder mehreren Unternehmensverzeichnissen verbinden, z. B. Microsoft Active Directory oder ein LDAP-Verzeichnis, sodass BlackBerry UEM zum Erstellen von Benutzerkonten auf Benutzerdaten zugreifen kann. Synchronisieren von Good Control mit BlackBerry UEM Optional Nach der Installation von BlackBerry UEM in einer Umgebung mit einem bestehenden Good Control-Server müssen Sie Good Control mit BlackBerry UEM synchronisieren, um die BlackBerry UEM-Funktionen zu aktivieren. 9 Erste Schritte Aufgabe Erforderlich oder optional Beschreibung Herstellen einer Verbindung zwischen BlackBerry UEM und einem SMTP-Server Optional Wenn Sie möchten, dass BlackBerry UEM Aktivierungs-E-Mails und andere Benachrichtigungen an Benutzer sendet, müssen Sie die Einstellungen für den SMTP-Server festlegen, den BlackBerry UEM verwenden kann. Konfigurieren der einmaligen Anmeldung für BlackBerry UEMAdministratoren Optional Wenn Sie eine Verbindung zwischen BlackBerry UEM und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service zugreifen können. Abrufen und Registrieren eines APNs-Zertifikats Optional Wenn Sie iOS- oder OS X-Geräte verwalten und Daten an diese Geräte senden möchten, müssen Sie eine signierte CSR von BlackBerry abrufen, mit dieser ein APNs-Zertifikat von Apple abrufen und das APNs-Zertifikat bei der BlackBerry UEM-Domäne registrieren. Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Optional Wenn Sie Microsoft Exchange so konfiguriert haben, dass Geräten der Zugriff auf geschäftliche E-Mails und Terminplanerdaten nur dann gewährt wird, wenn die Geräte einer Positivliste hinzugefügt wurden, müssen Sie eine Microsoft Exchange-Konfiguration in BlackBerry UEM erstellen. Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Optional Zur Unterstützung von Android for Work müssen Sie Ihre G Suite- bzw. Google Cloud-Domäne zur Unterstützung der Verwaltung mobiler Geräte von Drittanbietern und BlackBerry UEM für die Kommunikation mit Ihrer G Suite- bzw. Google Cloud-Domäne konfigurieren. Verwalten von Nachweisen für Samsung KNOX-Geräte Optional Wenn Sie Nachweise aktivieren, sendet BlackBerry UEM Anforderungen zum Testen der Authentizität und der Integrität von Samsung KNOX-Geräten. BlackBerry UEM für das Programm zur Geräteregistrierung von Apple konfigurieren Optional Wenn Sie die BlackBerry UEM-Verwaltungskonsole zum Verwalten der iOS-Geräte verwenden möchten, die von Ihrem Unternehmen von Apple für das Programm zur Geräteregistrierung (DEP) erworben wurden, müssen Sie diese Funktion konfigurieren. BlackBerry UEM Self-Service einrichten Optional Wenn Sie die Ausführung bestimmter Verwaltungsaufgaben durch Benutzer zulassen möchten, z. B. Ändern von Kennwörtern, können Sie die BlackBerry UEM Self-Service-Webanwendung einrichten und verteilen. 10 Erste Schritte Aufgabe Erforderlich oder optional Beschreibung BlackBerry Enterprise Identity aktivieren Optional Sie können BlackBerry Enterprise Identity aktivieren, um Benutzern per einmaliger Anmeldung (SSO) Zugriff auf Dienstanbieter wie beispielsweise Box, Concur, Dropbox, Salesforce, Arbeitsbereiche und weitere zu gewähren. Konfigurieren von hoher Verfügbarkeit Optional Um Dienstunterbrechungen für Benutzer minimal zu halten, können Sie mehrere aktive BlackBerry UEM-Instanzen installieren. Datenbankspiegelung konfigurieren Optional Um den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BlackBerry UEM-Datenbank auftreten, können Sie eine Failover-Datenbank als Sicherung der Prinzipaldatenbank installieren und konfigurieren. Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen mit Exchange ActiveSync herzustellen Optional Wenn Sie den BlackBerry Secure Gateway Service aktivieren, um eine sichere Verbindung zwischen Ihrem E-Mail-Server und iOS-Geräten mit der Aktivierungsart MDM-Steuerelemente zur Verfügung zu stellen, müssen Sie ggf. das Exchange ActiveSync-Serverzertifikat zu BlackBerry UEM hinzufügen. Konfigurieren des Netzwerks zur Vereinfachung von Windows 10Aktivierungen konfigurieren Optional Sie können diesen Vorgang zur Aktivierung von Windows 10-Geräten vereinfachen, indem Sie Konfigurationsänderungen an Ihrem Netzwerk vornehmen, sodass die Benutzer keine Serveradresse mehr eingeben müssen. BlackBerry UEM für die Synchronisierung mit Windows Store für Unternehmen konfigurieren Optional Wenn Sie Windows 10-Apps verwalten möchten, müssen Sie BlackBerry UEM zur Synchronisierung mit dem Windows Store für Unternehmen konfigurieren. Benutzer, Gruppen und andere Daten aus BES10 oderBlackBerry UEM migrieren Optional Über die Verwaltungskonsole können Sie Benutzer, Geräte, Gruppen und andere Daten von einer lokalen BES10- bzw. BES12Quelldatenbank oder einer BlackBerry UEM-Datenbank migrieren. BlackBerry Control und BlackBerry Proxy konfigurieren Optional Sie können BlackBerry Control und BlackBerry Proxy so konfigurieren, dass die Standards und Anforderungen Ihres Unternehmens erfüllt werden. Zertifikate für BlackBerry Dynamics-Apps konfigurieren Optional Wenn BlackBerry Dynamics-Apps auf Benutzergeräten Clientzertifikate verwenden sollen, können Sie Zertifikate auf einzelne Benutzerkonten hochladen oder eine PKI-Verbindung definieren, über die BlackBerry UEM Clientzertifikate von Ihrer Zertifizierungsstelle automatisch anmelden und an die Geräte senden kann. 11 Erste Schritte Aufgabe Erforderlich oder optional Beschreibung Integrieren von BlackBerry UEM mit Cisco ISE Optional Sie können eine Verbindung zwischen Cisco ISE und BlackBerry UEM herstellen, damit Cisco ISE Gerätedaten aus BlackBerry UEM abrufen und die Steuerung des Netzwerkzugriffs durchsetzen kann. Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Optional Sie können anpassen, wie BlackBerry UEM Push-Daten an BlackBerry 10-Geräte sendet. SNMP-Überwachung konfigurieren Optional Mithilfe von SNMP-Tools von Drittanbietern können Sie die Aktivität von BlackBerry UEM-Komponenten überwachen. Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten Wenn die BlackBerry UEM-Domäne Ihres Unternehmens Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die Verwaltung von BlackBerry OS-Geräten individualisieren. Wenn Sie ein Upgrade von BES5 auf BlackBerry UEM durchgeführt haben, bleiben die Konfigurationen der BES5-Komponenten nach dem Upgrade intakt, sodass keine weiteren Konfigurationsschritte erforderlich sind. Anweisungen für den jeweiligen Schritt, der in der Tabelle beschrieben wird, finden Sie unter help.blackberry.com/detectLang/ category/enterprise-services im BlackBerry Enterprise Server Installations- und Konfigurationshandbuch für 5 oder im BlackBerry Enterprise Server Administratorhandbuch für 5. Durchzuführende Aufgabe Ressource Festlegen, welcher Dienst Kalenderdaten verwaltet Installations- und Konfigurationshandbuch Standardmäßig übernimmt Microsoft Exchange Web Services die Verwaltung von Kalenderdaten für BlackBerry OS-Geräte. Wenn ein Benutzer nicht die Berechtigung zum Verwenden dieses Dienstes aufweist, werden die Kalenderdaten des Benutzers mithilfe von MAPI- und CDO-Bibliotheken verwaltet. Sie können entscheiden, ob Kalenderdaten ausschließlich über Microsoft Exchange Web Services oder ausschließlich über MAPI- und CDO-Bibliotheken verwaltet werden sollen. Verwenden des SNMP-Diensts zur Überwachung der Komponenten, die BlackBerry OS-Geräte verwalten • Aufgaben nach der Installation: Konfigurieren des BlackBerry Enterprise Server für die Verwendung von Microsoft Exchange Web Services Installations- und Konfigurationshandbuch 12 Erste Schritte Durchzuführende Aufgabe Ressource • Mithilfe einer Enterprise Service Policy steuern, welche BlackBerry OS-Geräte auf BlackBerry UEM zugreifen können Aufgaben nach der Installation: Konfigurieren eines Computers für die Überwachung Administratorhandbuch • Konfigurieren von Sicherheitsoptionen: Verwalten des Zugriffs von Geräten auf den BlackBerry Enterprise Server Konfigurieren von BlackBerry MDS Connection Service, Administratorhandbuch BlackBerry Collaboration Service und BlackBerry • Konfiguration der BlackBerry Enterprise ServerAdministration Service, sodass Daten über einen Proxy-Server Umgebung gesendet werden Konfigurieren hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten Ändern der Handhabung von Push-Daten und des benutzerseiteigen Zugriffs auf Webinhalte durch BlackBerry MDS Connection Service für BlackBerry OS-Geräte Administratorhandbuch • Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise Server • Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise Server-Komponenten • Konfigurieren hoher Verfügbarkeit für BlackBerry Configuration Database Administratorhandbuch • Konfigurieren des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte • Verwalten des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte Verwenden von Erweiterungs-Plug-Ins für die Verarbeitung von und Änderungen an E-Mail-Nachrichten und Anlagen auf BlackBerry OS-Geräten Administratorhandbuch Zulassen, dass BlackBerry OS-Geräte Zertifikate für die Authentifizierung bei Anwendungen oder Netzwerken anmelden Administratorhandbuch • • 13 Einrichten der Nachrichtenumgebung: Erweiterungs-Plug-Ins für die Verarbeitung von Nachrichten Konfigurieren von BlackBerry-Geräten zur Zertifikatregistrierung über das Drahtlosnetzwerk Erste Schritte Durchzuführende Aufgabe Ressource Zulassen, dass Benutzer von BlackBerry OS-Geräten Selbsthilfeaufgaben mithilfe des BlackBerry Web Desktop Manager ausführen Administratorhandbuch • Bereitstellen von BlackBerry Web Desktop Manager für Benutzer • Konfigurieren des BlackBerry Web Desktop Manager Ändern, wie Apps, OS-Updates und Einstellungen an BlackBerry OS-Geräte gesendet werden Administratorhandbuch Ändern der Synchronisierung von Terminplanerdaten für Benutzer von BlackBerry OS-Geräten Administratorhandbuch Ändern der Nachrichtenkonfiguration und der Anlagenunterstützung für Komponenten, die BlackBerry OSGeräte verwalten Administratorhandbuch Ändern verschiedener Protokolldateieinstellungen, z. B. Speicherort, Detailebene und Maximalgröße Administratorhandbuch Überprüfen und ggf. Ändern der Ports, die von Komponenten verwendet werden, die BlackBerry OS-Geräte verwalten Administratorhandbuch • • • • • Handhabung der Übermittlung von BlackBerry Java Applications, BlackBerry Device Software und Geräteeinstellungen an BlackBerry-Geräte Verwalten der Synchronisierung von Terminplanerdaten Verwalten der Nachrichtenumgebung Ihres Unternehmens und Unterstützung von Anlagen BlackBerry Enterprise Server-Protokolldateien BlackBerry Enterprise Solution-Verbindungstypen und -Portnummern Administratorberechtigungen, die für die Konfiguration von BlackBerry UEM benötigt werden Wenn Sie die in diesem Handbuch beschriebenen Konfigurationsschritte ausführen, melden Sie sich mit dem während der Installation vonBlackBerry UEMerstellten Administratorkonto bei der Verwaltungskonsole an. Wenn mehrere Personen Konfigurationsaufgaben durchführen sollen, können Sie zusätzliche Administratorkonten erstellen. Weitere Informationen zum Erstellen von Administratorkontenfinden Sie in der Dokumentation für Administratoren. 14 Erste Schritte Wenn Sie zusätzliche Administratorkonten für die Konfiguration von BlackBerry UEM erstellen, müssen Sie den Konten die Sicherheitsadministratorrolle zuweisen. Die Standard-Sicherheitsadministratorrolle weist die erforderlichen Berechtigungen für die Ausführung aller Konfigurationsaufgaben auf. Abrufen und Aktivieren von Lizenzen Um die Geräte in der BlackBerry UEM-Domäne Ihres Unternehmens zu aktivieren, müssen Sie die erforderlichen Lizenzen abrufen und aktivieren. Die Lizenzen müssen aktiviert werden, bevor Sie die Konfigurationsanweisungen in diesem Handbuch ausführen und Benutzerkonten hinzufügen können. Weitere Informationen zu den unterschiedlichen Lizenztypen und zur Aktivierung von Lizenzenfinden Sie in der Dokumentation zur Lizenzierung BlackBerry Enterprise Mobility Suite-Dienste Neben den Sicherheits- und Produktivitätsfunktionen von BlackBerry UEM bietet BlackBerry weitere Dienste, die den Wert Ihrer BlackBerry UEM-Domäne steigern, indem sie die individuellen Anforderungen Ihres Unternehmens erfüllen. Sie können die nachfolgenden Dienste hinzufügen und sie über die BlackBerry UEM-Verwaltungskonsole verwalten: Diensttyp Name und Beschreibung des Dienstes Enterprise-Dienste • BlackBerry Workspaces ermöglicht Benutzern das sichere Zugreifen auf, Synchronisieren, Bearbeiten und Freigeben von Dateien und Ordnern auf Windows- und Mac OS-Tablets und -Computern sowie auf Android-, iOS und BlackBerry 10-Geräten. BlackBerry Workspaces schützt Dateien durch die Anwendung von DRM-Steuerelementen, um den Zugriff auch bei gemeinsamer Verwendung außerhalb Ihres Unternehmens einzuschränken. • BlackBerry Enterprise Identity ermöglicht den Zugriff per einmaliger Anmeldung (Single Sign-On, SSO) auf Dienstanbieter wie BlackBerry Workspaces, Box, Workday, WebEx, Salesforce, Google Apps for Work und weitere. Sie können auch Unterstützung für benutzerdefinierte SaaS-Dienste hinzufügen. • BlackBerry 2FA schützt den Zugang auf die kritischen Ressourcen Ihres Unternehmens mithilfe der Zwei-Faktor-Authentifizierung. BlackBerry 2FA fordert ein Kennwort von Benutzern und zeigt jedes Mal eine Sicherheitsaufforderung auf ihrem Android-, iOS- oder BlackBerry 10-Gerät an, wenn diese auf Ressourcen zugreifen möchten. 15 Erste Schritte Diensttyp Name und Beschreibung des Dienstes BlackBerry Dynamics-Plattform • Der BlackBerry Enterprise Mobility Server (BEMS) stellt zusätzliche Dienste für BlackBerry Dynamics-Apps bereit. BEMS integriert die folgenden Dienste: BlackBerry Mail, BlackBerry Connect, BlackBerry Presence und BlackBerry Docs. Wenn diese Dienste integriert wurden, können Benutzer über sicheres Instant Messaging miteinander kommunizieren, die Verfügbarkeit von Benutzern in BlackBerry Dynamics-Apps in Echtzeit abrufen und auf geschäftliche Dateiserver und Microsoft SharePoint-Dokumente zugreifen, diese synchronisieren und teilen. • Das BlackBerry Dynamics SDK ermöglicht es den Entwicklern, sichere Apps für Android- und iOS-Geräte sowie Mac OS- und Windows-Computer zu erstellen. Dies ist die Client-Seite der BlackBerry Dynamics-Plattform. • BlackBerry Work beinhaltet alles, was Benutzer benötigen, um sicher mobil zu arbeiten, darunter Zugriff auf E-Mails, Kalender und Kontakte (vollständige Synchronisierung mit Microsoft Exchange). Die App ermöglicht zudem erweiterte Zusammenarbeitsfunktionen für Dokumente. BlackBerry Work trennt geschäftliche von persönlichen Daten und kann problemlos auch ohne MDM-Profile auf dem Gerät in andere geschäftliche Apps integriert werden. • BlackBerry Access ermöglicht den Benutzern, von einem beliebigen Mobilgerät über eine sichere Verbindung auf das Intranet des Unternehmens zuzugreifen. • BlackBerry Connect verbessert die Kommunikation und Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers. • BlackBerry Share ermöglicht es Benutzern durch die Integration von Microsoft SharePoint und anderen geschäftlichen Repositories auf den jeweiligen Geräten, über eine sichere Verbindung auf Dokumente zuzugreifen, diese herunterzuladen und zu teilen. • BlackBerry Tasks ermöglicht Benutzern, Notizen, die mit Microsoft Exchange auf Android- und iOS-Geräten synchronisiert wurden, zu erstellen, zu bearbeiten und zu verwalten. • BlackBerry Notes ermöglicht Benutzern, Notizen, die mit Microsoft Exchange auf einem beliebigen Mobilgerät synchronisiert wurden, zu erstellen, zu bearbeiten und zu verwalten. BlackBerry DynamicsProduktivitätsanwendungen 16 Hinzufügen vertrauenswürdiger Zertifikate Hinzufügen vertrauenswürdiger Zertifikate 2 Wenn Sie BlackBerry UEM installieren, erstellt die Setup-Anwendung die folgenden selbstsignierten Zertifikate: • Ein SSL-Zertifikat, das von den BlackBerry UEM-Konsolen zum Herstellen von HTTPS-Verbindungen mit Browsern verwendet wird • Ein SSL-Zertifikat, das vom BlackBerry Web Services zum Herstellen von HTTPS-Verbindungen mit Anwendungen verwendet wird • Ein Zertifikat, das von BlackBerry UEM zum Signieren des an iOS-Geräte gesendeten MDM-Profils gesendet wird Da es sich bei den Zertifikaten um selbstsignierte Zertifikate handelt, erhalten die Administratoren und Benutzer eine Warnmeldung mit dem Hinweis, dass die Zertifikate nicht verifiziert werden können. Sie können die selbstsignierten Zertifikate durch vertrauenswürdige Zertifikaten ersetzen, die von einer Zertifizierungsstelle signiert wurden. Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, erzeugt die Setupanwendung ein selbst-signiertes SSL-Zertifikat, mit dem sich die folgenden Komponenten bei Browsern authentifizieren können: • BlackBerry UEM-Verwaltungskonsole • BlackBerry UEM Self-Service Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen, sodass Administratoren und Benutzer keine Warnmeldung von ihren Browsern mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. BlackBerry UEM unterstützt Zertifikate im PFX-Format entweder mit der Dateinamenerweiterung .pfx oder .p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen, 17 Hinzufügen vertrauenswürdiger Zertifikate das den Namen der BlackBerry UEM-Domäne verwendet. Sie finden den BlackBerry UEM-Domänennamen in der Verwaltungskonsole unter Einstellungen > Infrastruktur > Instanzen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt SSL-Zertifikat für Konsolen auf Details anzeigen. 3. Klicken Sie auf Zertifikat ersetzen. 4. Klicken Sie auf Durchsuchen. 5. Wählen Sie das zu verwendende E-Mail-Profil aus. 6. Klicken Sie auf Öffnen. 7. Geben Sie das Verschlüsselungskennwort ein. 8. Klicken Sie auf Ersetzen. 9. Starten Sie den BlackBerry UEM Core-Dienst auf allen Servern neu. Ändern des von den BlackBerry Web Services verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, generiert die Setupanwendung ein selbst signiertes SSL-Zertifikat, das der BlackBerry Web Services zur Authentifizierung von Anwendungen verwendet, die die BlackBerry Web Services APIs zum Verwalten von BlackBerry UEM nutzen. Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen und zu vermeiden, dass Administratoren eine Warnmeldung mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. Ändern des von den BlackBerry Web Services verwendeten Zertifikats Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. BlackBerry UEM unterstützt Zertifikate im PFX-Format entweder mit der Dateinamenerweiterung .pfx oder .p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen, das den Namen der BlackBerry UEM-Domäne verwendet. Sie finden den BlackBerry UEM-Domänennamen in der Verwaltungskonsole unter Einstellungen > Infrastruktur > Instanzen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt SSL-Zertifikat für BlackBerry Web Services auf Details anzeigen. 18 Hinzufügen vertrauenswürdiger Zertifikate 3. Klicken Sie auf Zertifikat ersetzen. 4. Klicken Sie auf Durchsuchen. 5. Wählen Sie das zu verwendende E-Mail-Profil aus. 6. Klicken Sie auf Öffnen. 7. Geben Sie das Verschlüsselungskennwort ein. 8. Klicken Sie auf Ersetzen. 9. Starten Sie den BlackBerry UEM Core-Dienst auf allen Servern neu. Wenn Sie fertig sind: Wenn Sie Anwendungen für BlackBerry Web Services entwickeln, fügen Sie das SSL-Zertifikat zu dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf Ihrem Computer und ggf. den Java Keystore für Ihre Anwendungen hinzu. Weitere Informationen finden Sie im Entwicklungshandbuch für BlackBerry Web Services. Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, erzeugt die Setupanwendung ein Zertifikat, das von BlackBerry UEM zum Signieren eines MDM-Profils verwendet werden kann, das Benutzer zur Aktivierung der iOS-Geräte akzeptieren müssen. Um die Vertrauensstellung zwischen dem Gerät und BlackBerry UEM einzurichten, können Sie das Zertifikat in ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat ändern. Wenn Benutzer ein vertrauenswürdiges Zertifikat verwenden, erhalten sie keine Warnmeldung mehr, dass das Zertifikat nicht verifiziert werden kann. Ändern des von BlackBerry UEM zum Signieren des MDMProfils auf iOS-Geräten verwendeten Zertifikats Bevor Sie beginnen: Generieren Sie ein selbstsigniertes Zertifikat, oder beziehen Sie ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Das Zertifikat muss ein Schlüsselspeicher-Format (.pfx, .pkcs12) aufweisen. Wenn Sie ein Zertifikat verwenden, das von einer Zertifizierungsstelle signiert wurde, stellen Sie sicher, dass das Stammzertifikat für die Zertifizierungsstelle vor der Aktivierung auf den iOS-Geräten der Benutzer installiert wurde. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt Apple-Profil-Signaturzertifikat auf Details anzeigen. 3. Klicken Sie auf Zertifikat ersetzen. 4. Navigieren Sie zur Zertifikatsdatei, und geben Sie das Kennwort ein. 19 Hinzufügen vertrauenswürdiger Zertifikate 5. Klicken Sie auf Ersetzen. 20 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver 3 Sie können BlackBerry UEM so konfigurieren, dass Daten zuerst über einen TCP-Proxyserver oder eine Instanz des BlackBerry Router gesendet werden, bevor sie die BlackBerry Infrastructure erreichen. Standardmäßig stellt BlackBerry UEM über Port 3101 eine direkte Verbindung mit der BlackBerry Infrastructure her. Wenn die Sicherheitsrichtlinie Ihres Unternehmens jedoch vorschreibt, dass interne Systeme keine direkten Verbindungen mit dem Internet herstellen dürfen, können Sie den BlackBerry Router oder einen TCP-Proxyserver installieren. Der BlackBerry Router bzw. der TCP-Proxy-Server fungiert als Vermittler zwischen BlackBerry UEM und der BlackBerry Infrastructure. Sie können einen BlackBerry Router oder einen Proxyserver außerhalb der Unternehmens-Firewall in einer DMZ installieren. Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Servers in einer DMZ wird die Sicherheit für BlackBerry UEM zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BlackBerry UEM her. Alle Verbindungen zur BlackBerry Infrastructure zwischen BlackBerry UEM und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet. Bei BlackBerry OS-Geräten (Version 5.0 bis 7.1) sendet der BlackBerry Router Daten auch direkt an Geräte und empfängt Daten von Geräten, die mit einem geschäftlichen Wi-Fi-Netzwerk oder mit einem Computer mit BlackBerry Device Manager verbunden sind. Diese Abbildung zeigt die folgenden Optionen, die zum Senden von Daten über einen Proxyserver an die BlackBerry Infrastructure genutzt werden können: kein Proxyserver, TCP-Proxyserver in einer DMZ und BlackBerry Router in einer DMZ. 21 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Senden von Daten über einen TCP-Proxyserver an die BlackBerry Infrastructure Sie können einen transparenten TCP-Proxy-Server für den BlackBerry UEM Core-Dienst und einen weiteren transparenten TCPProxy-Server für den BlackBerry Affinity Manager-Dienst konfigurieren. Diese Dienste erfordern eine ausgehende Verbindung, für die möglicherweise auch unterschiedliche Ports konfiguriert werden müssen. Sie können nicht mehrere transparente TCPProxy-Server für den jeweiligen Dienst installieren oder konfigurieren. Sie können jedoch mehrere TCP-Proxy-Server, die mit SOCKS v5 (keine Authentifizierung) konfiguriert wurden, für die Verbindung mit BlackBerry UEM festlegen. Mehrere TCP-Proxy-Server mit SOCKS v5-Konfiguration (keine Authentifizierung) können Unterstützung bereitstellen, wenn eine der aktiven Proxy-Serverinstanzen nicht ordnungsgemäß funktioniert. Sie konfigurieren nur einen einzelnen Port, der von allen Dienstinstanzen mit SOCKS v5 überwacht wird. Wenn Sie mehr als einen TCP-Proxyserver mit SOCKS v5 konfigurieren, muss der Überwachungsport für jeden freigegeben werden. 22 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Vergleichen von TCP-Proxys Proxy Beschreibung Transparenter TCP-Proxy • Fängt die normale Kommunikation auf Netzwerkebene ohne spezielle ClientKonfiguration ab • Keine Client-Browser-Konfiguration erforderlich • Befindet sich in der Regel zwischen Client und Internet • Führt Funktionen eines Gateways oder Routers aus • Wird häufig zur Durchsetzung von Richtlinien für die zulässige Nutzung verwendet • Wird von Internetdienstanbietern in einigen Ländern häufig verwendet, um Upstream-Bandbreite einzusparen und Kundenreaktionszeiten durch Zwischenspeicherung zu verbessern • Ein Internetprotokoll für die Verarbeitung von Internetdatenverkehr über einen Proxy-Server • Die Verarbeitung ist mit nahezu jeder TCP/UDP-Anwendung möglich, einschließlich Browsern und FTP-Clients, die SOCKS unterstützen • Kann eine gute Lösung für Internetanonymität und -sicherheit sein • Leitet Netzwerkpakete zwischen einem Client und einem Server über einen Proxy-Server weiter • Bietet Authentifizierungsmöglichkeiten, sodass nur autorisierte Benutzer auf einen Server zugreifen können • Leitet TCP-Verbindungen an eine beliebige IP-Adresse weiter • Ermöglicht die Anonymisierung von UDP- und TCP-Protokollen wie HTTP SOCKS v5-Proxy Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-Servers Bevor Sie beginnen: Installieren Sie einen kompatiblen transparenten TCP-Proxy-Server in derBlackBerry UEM-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy. 2. Wählen Sie die Option Proxy-Server. 3. Führen Sie eine der folgenden Aufgaben aus: 23 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Aufgabe Schritte Weiterleiten von TCP-Daten über Geben Sie in den Feldern BlackBerry UEM Core, BlackBerry Secure Gateway einen TCP-Proxyserver. Service den FQDN oder die IP-Adresse und die Portnummer des Proxyservers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. Weiterleiten von SRPDatenverkehr über einen TCPProxyserver. Geben Sie in den Feldern für Affinity Manager den FQDN oder die IP-Adresse und die Portnummer des Proxy-Servers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. Weiterleiten von BlackBerry Secure Connect PlusDatenverkehr über einen TCPProxyserver. Geben Sie in den Feldern BlackBerry Secure Connect Plus den FQDN oder die IPAdresse und die Portnummer des Proxy-Servers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. 4. Klicken Sie auf Speichern. Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server Bevor Sie beginnen: Installieren Sie einen kompatiblen TCP-Proxy-Server mit SOCKS v5 (ohne Authentifizierung) in der BlackBerry UEM-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry Router und Proxy. 2. Wählen Sie die Option Proxy-Server. 3. Aktivieren Sie das Kontrollkästchen SOCKS v5 aktivieren. 4. Klicken Sie auf 5. Geben Sie in das Feld Serveradresse die IP-Adresse oder den Hostnamen des SOCKS v5-Proxy-Servers ein. 6. Klicken Sie auf Hinzufügen. 7. Wiederholen Sie die Schritte 1 bis 6 für jeden zu konfigurierenden SOCKS v5-Proxyserver. 8. Geben Sie im Feld Port die Portnummer ein. 9. Klicken Sie auf Speichern. . 24 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Senden von Daten über den BlackBerry Router an die BlackBerry Infrastructure Sie können mehrere Instanzen des BlackBerry Router für hohe Verfügbarkeit konfigurieren. Sie konfigurieren nur einen Port für die Überwachung durch BlackBerry Router-Instanzen. BlackBerry UEM bietet keine Unterstützung für eine BlackBerry Router-Instanz, die ursprünglich mit BES5 verwendet wurde. Standardmäßig stellt BlackBerry UEM eine Verbindung zum BlackBerry Router über Port 3102 für BlackBerry UEM-Dienste und Port 3101 für BES5-Dienste her. Der BlackBerry Router unterstützt den gesamten ausgehenden Datenverkehr von BlackBerry UEM Core und BlackBerry Affinity Manager. Hinweis: Wenn ein anderer Port als der Standardport für den BlackBerry Router verwendet werden soll, finden Sie weitere Informationen unter http://support.blackberry.com/kb im Artikel KB36385. Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry Router Bevor Sie beginnen: Installieren Sie denBlackBerry Routerin derBlackBerry UEM-Domäne. Anweisungen zum Installieren desBlackBerry Router, finden Sie in der Dokumentation zu Installation und Upgrade. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy. 2. Wählen Sie die Option BlackBerry Router. 3. Klicken Sie auf 4. Geben Sie die IP-Adresse oder den Hostnamen der BlackBerry Router-Instanz ein, zu der BlackBerry UEM eine Verbindung herstellen soll. 5. Klicken Sie auf Hinzufügen. 6. Wiederholen Sie die Schritte 1 bis 5 für jede BlackBerry Router-Instanz, die Sie konfigurieren möchten. 7. Geben Sie in das Feld Port die Portnummer ein, die von allen BlackBerry Router-Instanzen überwacht wird. Der Standardwert ist 3102. 8. Klicken Sie auf Speichern. . 25 Konfigurieren von Verbindungen über interne Proxy-Server Konfigurieren von Verbindungen über interne Proxy-Server 4 Wenn Ihr Unternehmen einen Proxyserver für Verbindungen zwischen den Servern in Ihrem Netzwerk nutzt, müssen Sie die serverseitigen Proxyeinstellungen möglicherweise so konfigurieren, dass BlackBerry UEM Core mit der BlackBerry UEMVerwaltungskonsole kommunizieren kann, falls diese auf einem separaten Computer installiert wurde. Sie müssen möglicherweise auch die serverseitigen Proxy-Einstellungen konfigurieren, damit BlackBerry UEM mit anderen internen Diensten kommunizieren kann, wie z. B. Zertifizierungsstellen und Server, die Push-Anwendungen zur Übertragung von Daten an BlackBerry MDS Connection Service hosten. Die serverseitigen Proxy-Einstellungen gelten nicht für ausgehende Verbindungen. Weitere Informationen zum Konfigurieren von BlackBerry UEM für die Verwendung eines TCP-Proxyservers finden Sie unter Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver. Konfigurieren von serverseitigen Proxyeinstellungen Bevor Sie beginnen: Vergewissern Sie sich, dass Ihnen die PAC-URL oder der Hostname und die Portnummer sowie etwaige weitere Einstellungen zur Verfügung stehen, die Sie benötigen, um eine Verbindung zum Proxy-Server herzustellen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverseitiger Proxy. 2. Wenn die meisten oder alle Server, die Bestandteil Ihrer BlackBerry UEM-Installation sind, eine Verbindung zu einem Proxy-Server herstellen müssen, führen Sie die folgenden Schritte durch, um globale serverseitige Proxy-Einstellungen festzulegen: 3. a. Wählen Sie unter Globale serverseitige Proxy-Einstellungen in der Liste Typ die Option PAC-Konfiguration oder Manuelle Konfiguration aus. b. Geben Sie die Einstellungen an, die der Proxy-Server benötigt, und klicken Sie auf Speichern. Wenn einer oder mehrere Server Proxy-Einstellungen benötigen, die sich von den globalen Einstellungen unterscheiden, führen Sie die folgenden Schritte durch, um die Proxy-Einstellungen für den Server festzulegen: a. Wählen Sie unter dem Servernamen in der Liste Typ die Option Keine, PAC-Konfiguration oder Manuelle Konfiguration aus. b. Wenn Sie PAC-Konfiguration oder Manuelle Konfiguration ausgewählt haben, geben Sie die vom Proxy-Server benötigten Einstellungen an. c. Klicken Sie auf Speichern. 26 Herstellen einer Verbindung zu Unternehmensverzeichnissen Herstellen einer Verbindung zu Unternehmensverzeichnissen 5 Sie können BlackBerry UEM mit Ihrem Unternehmensverzeichnis verbinden, sodass der Zugriff auf die Benutzerliste Ihres Unternehmens möglich ist. Sie können BlackBerry UEM mit mehreren Verzeichnissen verbinden, und die Verzeichnisse können sich aus Microsoft Active Directory und LDAP zusammensetzen. Wenn Ihr Unternehmensverzeichnis verbunden ist, können Sie die folgenden Funktionen nutzen: • Sie können in BlackBerry UEM mit Benutzerdaten aus dem Verzeichnis Benutzerkonten erstellen, und BlackBerry UEM kann Administratoren für die Verwaltungskonsole und Benutzer für BlackBerry UEM Self-Service authentifizieren. • Sie können Gruppen aus dem Unternehmensverzeichnis mit BlackBerry UEM-Gruppen verknüpfen, um Benutzer in BlackBerry UEM auf dieselbe Weise wie in Ihrem Unternehmensverzeichnis zu ordnen. Siehe Aktivieren von per Verzeichnis verknüpften Gruppen. • Sie haben die Möglichkeit, für bestimmte Gruppen in Ihrem Unternehmensverzeichnis, Onboarding zu aktivieren, um BlackBerry UEM-Benutzer automatisch erstellen zu lassen. Wenn Sie Onboarding aktivieren, können Sie mithilfe von Offboarding-Konfigurationen auch Gerätedaten oder Benutzerkonten löschen, wenn Benutzer aus Gruppen in Ihrem Unternehmensverzeichnis entfernt werden. Siehe Aktivieren von Onboarding. Wenn Sie BlackBerry UEM nicht mit einem Unternehmensverzeichnis verbinden, ist es möglich, lokale Benutzerkonten manuell zu erstellen und Administratoren über die Standardauthentifizierung anzumelden. Führen Sie die folgenden Schritte aus, um BlackBerry UEM mit einem Unternehmensverzeichnis zu verbinden: Schritt Aktion Stellen Sie eine Verbindung mit einer Microsoft Active Directory-Instanz oder einem LDAP-Verzeichnis her. Wenn in Ihrer Umgebung eine Ressourcengesamtstruktur enthalten ist, lesen Sie Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält . Aktivieren Sie optional per Verzeichnis verknüpfte Gruppen. Aktivieren Sie optional Onboarding. Fügen Sie optional einen Synchronisierungszeitplan hinzu. 27 Herstellen einer Verbindung zu Unternehmensverzeichnissen Konfigurieren der Microsoft Active DirectoryAuthentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält Wenn Ihre Unternehmensumgebung eine Ressourcengesamtstruktur enthält, die für das Ausführen von Microsoft Exchange verwendet wird, können Sie die Microsoft Active Directory-Authentifizierung für Benutzerkonten konfigurieren, die sich in vertrauenswürdigen Kontengesamtstrukturen befinden. Wenn Ihre Umgebung eine Ressourcengesamtstruktur enthält, müssen Sie BlackBerry UEM in dieser installieren. In der Ressourcengesamtstruktur erstellen Sie für jedes Benutzerkonto ein Postfach und weisen die Postfächer den Benutzerkonten zu. Wenn Sie die Postfächer in der Ressourcengesamtstruktur Benutzerkonten in den Kontengesamtstrukturen zuweisen, erhalten die Benutzerkonten vollen Zugriff auf die Postfächer, und es wird eine Verbindung zwischen den Benutzerkonten in den Kontengesamtstrukturen und dem Microsoft Exchange-Server hergestellt. Um Benutzer zu authentifizieren, die sich bei BlackBerry UEM anmelden, muss BlackBerry UEM die Benutzerinformationen lesen, die auf den zur Ressourcengesamtstruktur gehörenden globalen Katalogservern gespeichert sind. Sie müssen ein Microsoft Active Directory-Konto für BlackBerry UEM erstellen, das sich in einer Windows-Domäne befindet, die Teil der Ressourcengesamtstruktur ist. Beim Erstellen der Verzeichnisverbindung geben Sie die Windows-Domäne, den Benutzernamen und das Kennwort für das Microsoft Active Directory-Konto und ggf. die Namen der globalen Katalogserver an, die BlackBerry UEM nutzen kann. Weitere Informationen finden Sie auf technet.microsoft.com unter Verwalten verknüpfter Postfächer. Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz Bevor Sie beginnen: Erstellen Sie ein Microsoft Active Directory-Konto, das von BlackBerry UEM verwendet werden kann. Das Konto muss die folgenden Anforderungen erfüllen: 1. • Es muss sich in einer Windows-Domäne befinden, die Teil der Microsoft Exchange-Gesamtstruktur ist. • Es muss Berechtigungen für den Zugriff auf den Benutzercontainer und Leseberechtigungen für die Benutzerobjekte aufweisen, die in den globalen Katalogservern in der Microsoft Exchange-Gesamtstruktur gespeichert sind. • Das Kennwort muss so konfiguriert werden, dass es nicht abläuft und dass es bei der nächsten Anmeldung nicht geändert werden muss. • Wenn Sie die einmalige Anmeldung aktivieren, muss die eingeschränkte Delegierung für das Konto konfiguriert werden. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 28 Herstellen einer Verbindung zu Unternehmensverzeichnissen 2. Klicken Sie auf Hinzufügen einer Microsoft Active Directory-Verbindung. 3. Geben Sie im Feld Name der Verbindung des Verzeichnisses den Namen der Verzeichnisverbindung ein. 4. Geben Sie im Feld Benutzername den Benutzernamen des Microsoft Active Directory-Kontos ein. 5. Geben Sie im Feld Domäne den Namen der Windows-Domäne, die Teil der Microsoft Exchange-Gesamtstruktur ist, im DNS-Format ein (Beispiel: beispiel.com). 6. Geben Sie im Feld Kennwort das Kontokennwort ein. 7. Führen Sie in der Dropdown-Liste für die Auswahl der Kerberos-Schlüsselverteilungscenter eine der folgenden Aktionen durch: • Damit BlackBerry UEM die Schlüsselverteilungscenter (KDCs) automatisch erkennen kann, klicken Sie auf Automatisch. • Um die Liste der KDCs anzugeben, die BlackBerry UEM für die Authentifizierung verwenden soll, klicken Sie auf Manuell. Geben Sie im Feld Servernamen den Namen des KDC-Domänencontrollers im DNS-Format (z. B. kdc01.beispiel.com) ein. Fügen Sie optional die Portnummer ein, die der Domänencontroller verwendet (z. B. kdc01.beispiel.com:88). Klicken Sie auf UEM verwenden soll. 8. 9. um zusätzliche KDC-Domänencontroller anzugeben, die BlackBerry Führen Sie im Feld Suchbasis des globalen Katalogs eine der folgenden Aktionen aus: • Lassen Sie das Feld leer, um BlackBerry UEM zu ermöglichen, den globalen Katalog zu durchsuchen. • Geben Sie den Distinguished Name des Benutzercontainers ein (z. B. OU=sales,DC=example,DC=com), um zu steuern, welche Benutzerkonten BlackBerry UEM authentifizieren kann. Führen Sie in der Dropdown-Liste Auswahl des globalen Katalogs eine der folgenden Aktionen aus: • Wenn BlackBerry UEM die globalen Katalogserver automatisch erkennen soll, klicken Sie auf Automatisch. • Um die Liste der globalen Katalogserver anzugeben, die BlackBerry UEM verwenden soll, klicken Sie auf Manuell. Geben Sie im Feld Servernamen den DNS-Namen des globalen Katalogservers ein, auf den BlackBerry UEM zugreifen soll (z. B. globalcatalog01.beispiel.com). Fügen Sie optional die Portnummer ein, die der globale Katalogserver verwendet (z. B. globalcatalog01.com:3268). Klicken Sie auf , um weitere Server anzugeben. 10. Wenn Sie die Unterstützung für verknüpfte Microsoft Exchange-Postfächer aktivieren möchten, klicken Sie in der Dropdown-Liste Unterstützung für verknüpfte Microsoft Exchange-Postfächer auf Ja. Um das Microsoft Active Directory-Konto für jede Gesamtstruktur zu konfigurieren, auf die BlackBerry UEM zugreifen soll, klicken Sie im Abschnitt Auflisten von Kontengesamtstrukturen auf . Geben Sie den Namen der Benutzerdomäne (der Benutzer kann einer beliebigen Domäne in der Kontengesamtstruktur angehören) sowie den Benutzernamen und das Kennwort an. Geben Sie bei Bedarf die KDCs an, die BlackBerry UEM durchsuchen soll. Geben Sie bei Bedarf die globalen Katalogserver an, auf die BlackBerry UEM zugreifen soll. Klicken Sie auf Hinzufügen. 11. Zum Aktivieren der einmaligen Anmeldung wählen Sie das Kontrollkästchen Windows Single Sign-on aktivieren aus. Weitere Informationen zu Single Sign-on finden Sie unter Konfigurieren der einmaligen Anmeldung für BlackBerry UEM. 29 Herstellen einer Verbindung zu Unternehmensverzeichnissen 12. Klicken Sie auf Speichern. 13. Klicken Sie auf Schließen. Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 45 Herstellen der Verbindung zu einem LDAPVerzeichnis Bevor Sie beginnen: • Erstellen Sie ein LDAP-Konto für BlackBerry UEM im entsprechenden LDAP-Verzeichnis. Das Konto muss die folgenden Anforderungen erfüllen: ◦ Das Konto verfügt über Leseberechtigungen für alle Benutzer im Verzeichnis. ◦ Das Kennwort des Kontos läuft nie ab, und der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern. • Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAPVerbindung haben. • Überprüfen Sie die von Ihrem Unternehmen verwendeten LDAP-Attributwerte (die nachstehenden Schritte enthalten Beispiele für typische Attributwerte). Sie müssen die LDAP-Attributwerte aus Schritt 11 und den weiteren Schritten angeben. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf Hinzufügen einer LDAP-Verbindung. 3. Geben Sie im Feld Name der Verbindung des Verzeichnisses einen Namen für die Verzeichnisverbindung ein. 4. Führen Sie in der Dropdown-Liste LDAP-Servererkennung eine der folgenden Aktionen aus: • Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf Automatisch. Geben Sie im Feld DNSDomänenname den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet. • Um die Liste der LDAP-Server festzulegen, klicken Sie auf Server aus der Liste unten auswählen. Geben Sie in das Feld LDAP-Server den Namen des LDAP-Servers ein. Um weitere LDAP-Server hinzuzufügen, klicken Sie auf 5. . Führen Sie in der Dropdown-Liste SSL aktivieren eine der folgenden Aktionen aus: 30 Herstellen einer Verbindung zu Unternehmensverzeichnissen • Wenn die LDAP-Verbindung eine SSL-Verschlüsselung aufweist, klicken Sie auf Ja. Klicken Sie neben dem Feld LDAP-Server-SSL-Zertifikat auf Durchsuchen, und wählen Sie das LDAP-Serverzertifikat aus. • Wenn die LDAP-Verbindung keine SSL-Verschlüsselung aufweist, klicken Sie auf Nein. 6. Geben Sie im Feld LDAP-Port die TCP-Portnummer für die Verbindung ein. Die Standardwerte sind 636 für „SSL aktiviert“ oder 389 für „SSL deaktiviert“. 7. Führen Sie in der Dropdown-Liste Autorisierung erforderlich eine der folgenden Aktionen aus: • Wenn für die Verbindung eine Autorisierung erforderlich ist, klicken Sie auf Ja. Geben Sie im Feld Anmeldung den DN des Benutzers ein, der für die Anmeldung bei LDAP autorisiert ist (z. B. an=admin,o=Org1). Geben Sie im Feld Kennwort das Kennwort ein. • Wenn für die Verbindung keine Autorisierung erforderlich ist, klicken Sie auf Nein. 8. Geben Sie im Feld Benutzersuchbasis den Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden soll. 9. Geben Sie im Feld LDAP-Suchfilter nach Benutzer den LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie beispielweise für ein IBM Domino Directory Folgendes ein: (objectClass=Person). Hinweis: Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, geben Sie Folgendes ein: (&(objectclass=user)(logindisabled=false)). 10. Führen Sie in der Dropdown-Liste LDAP-Benutzer-Suchbereich eine der folgenden Aktionen aus: • Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf Alle Ebenen. Dies ist die Standardeinstellung. • Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf Eine Ebene. 11. In the Unique identifier field, type the name of the attribute that uniquely identifies each user in your organization's LDAP directory (must be a string that is immutable and globally unique). For example, dominoUNID in IBM Domino LDAP 7 and later. 12. Geben Sie im Feld Vorname das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise givenName). 13. Geben Sie im Feld Nachname das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise sn). 14. Geben Sie im Feld Anmeldeattribute das für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweise uid). 15. Geben Sie im Feld E-Mail-Adresse das Attribut für die E-Mail-Adresse der einzelnen Benutzer ein (beispielsweise mail). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 16. Geben Sie im Feld Anzeigename das Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweise displayName). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 31 Herstellen einer Verbindung zu Unternehmensverzeichnissen 17. Geben Sie im Feld Kontoname des E-Mail-Profils das Attribut für den Kontonamen des E-Mail-Profils der einzelnen Benutzer ein (beispielsweise mail). 18. Geben Sie im Feld Benutzerprinzipalname den Benutzerprinzipalnamen für SCEP ein (beispielsweise mail). 19. Um per Verzeichnis verknüpfte Gruppen für die Verzeichnisverbindung zu aktivieren, aktivieren Sie das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. Geben Sie die folgenden Informationen an: • Geben Sie im Feld Suchbasis für Gruppen den Wert ein, der als Basis-DN für Gruppeninformationssuchen verwendet werden soll. • Geben Sie im Feld LDAP-Suchfilter für Gruppen den LDAP-Suchfilter ein, der zum Auffinden von Gruppenobjekten in Ihrem Unternehmensverzeichnis erforderlich ist. Geben Sie beispielsweise für IBM Domino Directory Folgendes ein: (objectClass=dominoGroup). • Geben Sie im Feld Eindeutige Kennung der Gruppe das Attribut für die eindeutige Kennung der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. cn). • Geben Sie im Feld Anzeigename der Gruppe das Attribut für den Anzeigenamen der einzelnen Gruppen ein (z. B. cn). • Geben Sie im Feld Gruppenmitgliedschaftsattribut das Attribut für den Mitgliedschaftsbezeichner der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. member). • Geben Sie im Feld Gruppenname testen einen vorhandenen Gruppennamen ein, um die festgelegten Gruppenattribute zu validieren. 20. Klicken Sie auf Speichern. 21. Klicken Sie auf Schließen. Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans. Aktivieren von per Verzeichnis verknüpften Gruppen Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der Synchronisierung speichern. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. 32 Herstellen einer Verbindung zu Unternehmensverzeichnissen 4. Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie das Kontrollkästchen Synchronisierung erzwingen. • 5. Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werden die Verknüpfungen für diese Gruppe aus den per Verzeichnis verknüpften Gruppen und den OnboardingVerzeichnisgruppen entfernt. Wenn alle Unternehmensverzeichnisgruppen, die einer per Verzeichnis verknüpften Gruppe zugeordnet sind, entfernt werden, wird die per Verzeichnis verknüpfte Gruppe in eine lokale Gruppe umgewandelt. Wenn diese nicht ausgewählt sind und keine Unternehmensverzeichnisgruppe gefunden werden kann, wird der Synchronisierungsvorgang abgebrochen. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die pro Synchronisierungsprozess zulässig sein sollen. • Die Standardeinstellung ist 5. Falls die Anzahl der zu synchronisierenden Änderungen das Synchronisierungslimit übersteigt, können Sie die Ausführung der Synchronisierung verhindern. Änderungen werden berechnet, indem die folgenden Elemente addiert werden: die den Gruppen hinzuzufügenden Benutzer, die aus den Gruppen zu entfernenden Benutzer, die per Onboarding zu integrierenden Benutzer, die durch Offboarding zu entfernenden Benutzer. 6. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen. 7. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen Sie einer per Verzeichnis verknüpfte Gruppe. Weitere Informationen finden Sie in der Dokumentation für Administratoren unter „Erstellen von per Verzeichnis verknüpften Gruppen“. Aktivieren von Onboarding Onboarding bedeutet, dass Benutzerkonten basierend auf der Benutzermitgliedschaft in einer Unternehmensverzeichnisgruppe automatisch zu BlackBerry UEM hinzugefügt werden können. Die Benutzerkonten werden BlackBerry UEM während des Synchronisierungsvorgangs hinzugefügt. Außerdem können Sie auswählen, ob die per Onboarding integrierten Benutzer automatisch eine E-Mail-Nachricht und Aktivierungskennwörter oder Zugriffsschlüssel für BlackBerry Dynamics-Apps erhalten sollen. Offboarding Wenn Sie Onboarding aktivieren, können Sie auch den Offboarding-Vorgang konfigurieren. Wenn ein Benutzer aus allen Unternehmensverzeichnisgruppen in den Onboarding-Verzeichnisgruppen entfernt wird, kann BlackBerry UEM das Offboarding des Benutzers auf eine der folgenden Arten automatisch durchführen: • Löschen der geschäftlichen Daten oder aller Daten von den Geräten der Benutzer • Löschen des Benutzerkontos aus BlackBerry UEM 33 Herstellen einer Verbindung zu Unternehmensverzeichnissen Mithilfe des Offboarding-Schutzes können Sie das Löschen von Gerätedaten oder Benutzerkonten um einen Synchronisierungszyklus verzögern, damit unerwartete Löschvorgänge vermieden werden, die aufgrund der Verzeichnisreplikationslatenz auftreten können. Unabhängig vom Synchronisierungsintervall nimmt die Verzögerung, die durch den Offboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch. Hinweis: Die Offboarding-Einstellungen gelten auch für bestehende Verzeichnisbenutzer in BlackBerry UEM. Es wird empfohlen, durch Klicken auf das Vorschausymbol einen Verzeichnissynchronisierungsbericht zu erzeugen und die Änderungen zu überprüfen. Aktivieren und Konfigurieren von Onboarding und Offboarding Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der Synchronisierung speichern. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. 4. Aktivieren Sie das Kontrollkästchen Onboarding aktivieren. 5. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie mit einer Geräteaktivierungsoption für Onboarding konfigurieren möchten: a. Klicken Sie auf b. Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf c. Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen. d. Wählen Sie optional Verschachtelte Gruppen verknüpfen aus. e. Geben Sie im Abschnitt Geräteaktivierung an, ob integrierte Benutzer ein automatisch generiertes Aktivierungskennwort oder kein Aktivierungskennwort erhalten sollen. Wenn Sie die Option für das automatisch generierte Kennwort auswählen, konfigurieren Sie den Aktivierungszeitraum und wählen eine Vorlage für die Aktivierungs-E-Mail aus. . . 6. Um das Onboarding von Benutzern mit BlackBerry Dynamics auszuführen, aktivieren Sie das Kontrollkästchen Nur Onboard-Benutzer mit BlackBerry Dynamics-Apps. 7. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie per Onboarding aufnehmen möchten und die nur eine Aktivierung für BlackBerry Dynamics-Apps erhalten sollen: a. Klicken Sie auf b. Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf c. Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen. . 34 . Herstellen einer Verbindung zu Unternehmensverzeichnissen 8. 9. d. Wählen Sie optional Verschachtelte Gruppen verknüpfen aus. e. Wählen Sie die Anzahl der Zugriffsschlüssel aus, die pro hinzugefügtem Benutzer erzeugt werden sollen, den Ablauf des Zugriffsschlüssels und E-Mail-Vorlage. Wenn Gerätedaten beim Offboarding eines Benutzers gelöscht werden sollen, aktivieren Sie das Kontrollkästchen Gerätedaten löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird. Wählen Sie eine der folgenden Optionen aus: • Nur Geschäftsdaten löschen • Alle Gerätedaten löschen • Alle Gerätedaten für Eigentum des Unternehmens löschen/Nur Geschäftsdaten für Privateigentum löschen Um ein Benutzerkonto aus BlackBerry UEM zu löschen, wenn ein Benutzer aus allen Onboarding-Gruppen entfernt wird, aktivieren Sie das Kontrollkästchen Benutzer löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird. Beim ersten Synchronisierungszyklus, der durchgeführt wird, nachdem ein Benutzerkonto aus allen Onboarding-Verzeichnisgruppen entfernt wurde, wird das Benutzerkonto aus BlackBerry UEM gelöscht. 10. Um zu verhindern, dass Benutzerkonten oder Gerätedaten unerwartet aus BlackBerry UEM gelöscht werden, wählen Sie Offboarding-Schutz aus. • Offboarding-Schutz bedeutet, dass Benutzer nicht aus BlackBerry UEM gelöscht werden, es sei denn, ihr Benutzerkonto befindet sich in zwei aufeinanderfolgenden Synchronisierungszyklen nicht in den OnboardingVerzeichnisgruppen. Unabhängig vom Synchronisierungsintervall nimmt die Verzögerung, die durch den Offboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch. 11. Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie das Kontrollkästchen Synchronisierung erzwingen. • Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werden die Verknüpfungen für diese Gruppe aus den Onboarding-Verzeichnisgruppen und den per Verzeichnis verknüpften Gruppen entfernt. Wenn diese Option nicht aktiviert ist und eine Unternehmensverzeichnisgruppe gefunden werden kann, wird der Synchronisierungsvorgang abgebrochen. 12. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die pro Synchronisierungsprozess zulässig sein sollen. Die Standardeinstellung lautet 5. • Falls die Anzahl der zu synchronisierenden Änderungen das Synchronisierungslimit übersteigt, können Sie die Ausführung der Synchronisierung verhindern. Änderungen werden berechnet, indem die folgenden Elemente addiert werden: die den Gruppen hinzuzufügenden Benutzer, die aus den Gruppen zu entfernenden Benutzer, die per Onboarding zu integrierenden Benutzer, die durch Offboarding zu entfernenden Benutzer. 13. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen. 14. Klicken Sie auf Speichern. 35 Herstellen einer Verbindung zu Unternehmensverzeichnissen Synchronisieren einer Unternehmensverzeichnis‐ Verbindung Bevor Sie beginnen: Vorschau des Synchronisationsberichts 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Synchronisierung auf . Wenn Sie fertig sind: Anzeigen eines Synchronisierungsberichts Vorschau des Synchronisationsberichts In der Vorschau eines Synchronisationsberichts können Sie vor der Synchronisierung überprüfen, ob geplante Updates Ihren Erwartungen entsprechen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Vorschau auf 3. Klicken Sie auf Jetzt Vorschau anzeigen. 4. Wenn die Verarbeitung des Berichts abgeschlossen ist, klicken Sie auf das Datum in der Spalte Letzter Bericht. 5. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü. . Anzeigen eines Synchronisierungsberichts 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Letzter Bericht auf das Datum. 3. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü. Hinzufügen eines Synchronisationsplans Sie können einen Synchronisierungszeitplan hinzufügen, um BlackBerry UEM automatisch mit dem Firmenverzeichnis Ihres Unternehmens zu synchronisieren. Es gibt drei Arten von Synchronisierungszeitplänen: • Intervall: Sie geben den Zeitraum zwischen den einzelnen Synchronisierungen, den Zeitrahmen und die Tage an, an denen die Synchronisierung erfolgt. • Einmal täglich: Sie geben die Tageszeit an, zu der die Synchronisierung beginnt, und die Tage, an denen sie erfolgt. • Keine Wiederholung: Sie geben die Uhrzeit und den Tag für eine einmalige Synchronisierung an. 36 Herstellen einer Verbindung zu Unternehmensverzeichnissen Im Bildschirm „Unternehmensverzeichnis“ können Sie BlackBerry UEM jederzeit manuell mit Ihrem Unternehmensverzeichnis synchronisieren. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Klicken Sie auf der Registerkarte Synchronisierungszeitplan auf 4. Wählen Sie in der Dropdown-Liste Wiederholung eine der folgenden Optionen aus: . Option Schritte Intervall 1. Geben Sie im Feld Intervall die Zeit zwischen den einzelnen Synchronisierungsvorgängen in Minuten ein. 2. Geben Sie den Zeitrahmen für die Synchronisierung an. 3. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. 1. Geben Sie an, wann die Synchronisierung gestartet werden soll. 2. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. 1. Geben Sie an, wann die Synchronisierung gestartet werden soll. 2. Wählen Sie den Tag aus, an dem die Synchronisierung stattfinden soll. Einmal täglich Keine Wiederholung 5. Klicken Sie auf Hinzufügen. 37 Synchronisieren von Good Control mit BlackBerry UEM Synchronisieren von Good Control mit BlackBerry UEM 6 Wenn Sie eine Installation von oder ein Upgrade auf BlackBerry UEM Version 12.6 MR1 und höher durchführen, können BlackBerry UEM und Good Control synchronisiert werden, um BlackBerry UEM-Funktionen zu aktivieren. Beim Synchronisierungsprozess werden Backups der BlackBerry UEM- und Good Control-Datenbanken erstellt. Die Synchronisierung erfolgt in folgenden Fällen automatisch: • Eine neue Installation von BlackBerry UEM • Ein Upgrade von BES12 ohne Integration von Good Control • Ein Upgrade von einer Good Control-Instanz ohne Benutzer • Ein Upgrade von einer Good Control-Instanz mit einem Benutzer in derselben Verzeichnisdomäne wie der BlackBerry UEM-Verzeichnisdomäne Wenn Sie ein Upgrade von Good Control mit mehreren Benutzern oder von einer BES12-Umgebung mit einer vorhandenen Good Control-Datenbank mit mehreren Benutzern durchführen, muss ein Sicherheitsadministrator die Synchronisierung manuell über die BlackBerry UEM-Verwaltungskonsole starten. VORSICHT: Nach der Synchronisierung von Good Control können Sie nicht zur vorherigen Version zurückkehren. Weitere Informationen zur Synchronisierung finden Sie unter „Informationen zur Synchronisierung“ in der Planungsdokumentation. Voraussetzungen: Synchronisieren von Good Control mit BlackBerry UEM VORSICHT: Initiieren Sie erst dann eine Synchronisierung, wenn für alle BES12-, Good Control- und Good Proxy-Server in Ihrer Umgebung ein Upgrade auf BlackBerry UEM Version 12.6 MR1 durchgeführt wurde. Eine Synchronisierung in einer Umgebung mit gemischten Versionen wird nicht unterstützt. Vergewissern Sie sich, dass alle Good Control-Server mit der BlackBerry Infrastructure verbunden sind. Wenn Sie ein Upgrade auf BlackBerry UEM Version 12.6 MR1 von BlackBerry UEM Version 12.6 oder BES12 durchführen: • BlackBerry UEM muss mit einem Good Control-Server verbunden sein. • Die Good Dynamics-Seriennumer und der Lizenzschlüssel müssen dem Produktionslizenztyp und nicht dem Entwicklungslizenztyp entsprechen. • Sie müssen eine Unternehmensverzeichnisverbindung mit einer Microsoft Active Directory-Instanz in UEM konfigurieren. Wenn eine bestehende Good Control-Umgebung vorhanden war, muss das Unternehmensverzeichnis 38 Synchronisieren von Good Control mit BlackBerry UEM in UEM außerdem mit derselben Active Directory-Struktur wie der Good Control-Server konfiguriert werden. Wenn Active Directory in Good Control für die Verwendung mehrerer Verzeichnisse konfiguriert ist, muss jedes Unternehmensverzeichnis außerdem in BlackBerry UEM definiert sein. • Zum Empfangen der Bestätigungs-E-Mail muss das für die Initiierung der Synchronisierung verwendete Administratorkonto über eine in BlackBerry UEM konfigurierte E-Mail-Adresse verfügen. Synchronisieren von Good Control mit BlackBerry UEM Wenn die Synchronisierung abgeschlossen ist, werden alle Verwaltungsaufgaben über die BlackBerry UEM-Verwaltungskonsole ausgeführt. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry Control. 2. Klicken Sie auf Synchronisierung starten. 3. Geben Sie im Bestätigungsdialogfeld blackberry ein. Der Fortschritt des Synchronisierungsvorgangs für Richtlinien, Benutzer, Geräte, Verbindungsprofile, Apps, AppRichtlinien, Benutzern zugewiesene Apps, App-Gruppen, Benutzerzertifikate und Administratoren wird in den Statusleisten angezeigt. 4. Wenn Fehler auftreten, beheben Sie die angezeigten Probleme in der Verwaltungskonsole, und klicken Sie dann auf Synchronisierung erneut starten, um die Synchronisierung erneut auszuführen. Nach Abschluss der Synchronisierung sendet BlackBerry UEM eine E-Mail an den Administrator, in der angegeben ist, ob die Synchronisierung erfolgreich war oder nicht. Hinweis: Die E-Mail wird nur bei einer manuell initiierten Synchronisierung gesendet. Wenn Sie fertig sind: • Weitere Informationen zur Synchronisierung finden Sie in den folgenden KB-Artikeln unter http:// support.blackberry.com/kb: ◦ Für App-Gruppen und Richtliniensätze: KB-Artikel 39080. ◦ Für Synchronisierungsfehler: KB-Artikel 39081. ◦ Für Synchronisierungswarnungen: KB-Artikel: 39082. • Informationen zum Konfigurieren von BlackBerry Control und BlackBerry Proxy finden Sie unter Konfigurieren von BlackBerry Control und BlackBerry Proxy. • Weitere Informationen zur Verwaltung von Good Control-Benutzern und -Geräten mit der BlackBerry UEMVerwaltungskonsole finden Sie in der Dokumentation für Administratoren. 39 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-MailBenachrichtigungen 7 Damit BlackBerry UEM E-Mail-Benachrichtigungen senden kann, muss eine Verbindung zwischen BlackBerry UEM und dem SMTP-Server bestehen. BlackBerry UEM sendet über E-Mail-Benachrichtigungen Aktivierungsanweisungen an Benutzer. Sie können BlackBerry UEM auch so konfigurieren, dass Kennwörter für BlackBerry UEM Self-Service und Warnungen zu Vorschrifteneinhaltung auf Geräten oder E-Mail-Nachrichten an Einzelpersonen gesendet werden. Wenn keine Verbindung zwischen BlackBerry UEM und SMTP-Server besteht, ist BlackBerry UEM nicht in der Lage, Kennwörter, Aktivierungs- oder E-Mail-Nachrichten zu senden. Sie können BlackBerry UEM jedoch trotzdem so konfigurieren, dass Warnmeldungen zur Vorschrifteneinhaltung direkt an Geräte gesendet werden. Weitere Informationen zu Aktivierungsnachrichten, Warnmeldungen zur Vorschrifteneinhaltung auf Geräten und zum Senden einzelner E-Mail-Nachrichten finden Sie in der Dokumentation für Administratoren Herstellen einer Verbindung zu einem SMTPServer zum Senden von E-Mail-Benach‐ richtigungen 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > SMTP-Server. 2. Klicken Sie auf 3. Geben Sie in das Feld Angezeigter Name des Absenders einen Namen ein, der für BlackBerry UEM-E-MailBenachrichtigungen verwendet werden soll. Zum Beispiel donotreply oder BUEM Admin. 4. Geben Sie in das Feld Absenderadresse die E-Mail-Adresse ein, die BlackBerry UEM zum Senden von E-MailBenachrichtigungen verwenden soll. 5. Geben Sie in das Feld SMTP-Server den FQDN des SMTP-Servers ein. Beispiel: mail.example.com. 6. Geben Sie im Feld SMTP-Server-Port die Portnummer des SMTP-Servers ein. Die Standardportnummer ist 25. 7. Wählen Sie im Dropdown-Menü Unterstützte Verschlüsselungsmethode die Verschlüsselung aus, die auf E-MailNachrichten angewendet werden soll. . 40 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen 8. Wenn der SMTP-Server eine Authentifizierung erfordert, geben Sie im Feld Benutzername den Anmeldenamen des SMTPServers ein. Geben Sie im Feld Kennwort das Kennwort des SMTP-Servers ein. 9. Importieren Sie ggf. ein SMTP-Zertifizierungsstellenzertifikat: a. Kopieren Sie die SSL-Zertifikatsdatei für den SMTP-Server Ihres Unternehmens auf den von Ihnen verwendeten Computer. b. Klicken Sie auf Durchsuchen. c. Navigieren Sie zur SSL-Zertifikatsdatei, und klicken Sie auf Hochladen. 10. Klicken Sie auf Speichern. Wenn Sie fertig sind: Klicken Sie auf Verbindung testen, wenn Sie die Verbindung zum SMTP-Server testen und eine Test-EMail senden möchten. BlackBerry UEM sendet die Nachricht an die von Ihnen im Feld Absenderadresse festgelegte E-MailAdresse. 41 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konfigurieren der einmaligen Anmeldung für BlackBerry UEM 8 Wenn Sie eine Verbindung zwischen BlackBerry UEM und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service zugreifen können. Wenn Administratoren oder Benutzer sich bei Windows anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei BlackBerry UEM. Windows-Anmeldeinformationen können Microsoft Active DirectoryAnmeldeinformationen oder abgeleitete Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen. Wenn Sie ein Upgrade von BES5 durchgeführt haben und zuvor die einmalige Anmeldung aktiviert war, müssen Sie diese in BlackBerry UEM für die Microsoft Active Directory-Verbindung, die aus BES5 migriert wurde, aktivieren. Bevor Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung aktivieren, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BlackBerry UEM für die Verzeichnisverbindung verwendet wird. Hinweis: Wenn Sie die einmalige Anmeldung aktivieren, erfordern alle Änderungen, die Sie am Microsoft Active Directory-Konto vornehmen, einen Neustart der BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet. Administratoren und Benutzer müssen sich von ihrem Computer ab- und dann wieder anmelden, um die einmalige Anmeldung für BlackBerry UEM zu verwenden. Zum Konfigurieren der einmaligen Anmeldung für BlackBerry UEM führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung. Aktivieren Sie Single Sign-on für eine Microsoft Active Directory-Verbindung. Überprüfen Sie die Browseranforderungen für die einmalige Anmeldung. 42 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung Damit die einmalige Anmeldung für BlackBerry UEM unterstützt wird, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BlackBerry UEM für die Verzeichnisverbindung verwendet wird. Die eingeschränkte Delegierung ermöglicht eine Authentifizierung von Administratoren oder Benutzern bei BlackBerry UEM über den Browser, wenn diese auf die Verwaltungskonsole oder BlackBerry UEM Self-Service zugreifen. 1. Fügen Sie dem Microsoft Active Directory-Konto mithilfe von Windows Server ADSI Edit oder dem Befehlszeilentool „setspn“ die folgenden SPN für BlackBerry UEM hinzu: • HTTP/<host_FQDN_or_pool_name> (z. B. HTTP/domäne123.beispiel.com) • BASPLUGIN111/<host_FQDN_or_pool_name> (z. B. BASPLUGIN111/domäne123.beispiel.com) Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einer BlackBerry UEM-Domäne konfiguriert haben, geben Sie den Poolnamen ein. Geben Sie andernfalls den FQDN des Computers ein, der die Verwaltungskonsole hostet. Hinweis: Vergewissern Sie sich, dass keine anderen Konten in der Microsoft Active Directory-Gesamtstruktur dieselben SPN haben. 2. Öffnen Sie Microsoft Active Directory Users and Computers. 3. Wählen Sie für die Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden Optionen aus: 4. • Benutzer bei Delegierungen angegebener Dienste vertrauen • Nur Kerberos verwenden Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu. Verwandte Informationen Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole, auf Seite 75 Einmalige Anmeldung für BlackBerry UEM einrichten Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, gilt die Konfiguration für die Verwaltungskonsole und BlackBerry UEM Self-Service. 43 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Bevor Sie beginnen: • Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das von BlackBerry UEM für das Verzeichnis verwendet wird. • Wenn Sie die einmalige Anmeldung für mehrere Microsoft Active Directory-Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen den Microsoft Active Directory-Gesamtstrukturen gibt. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf den Namen einer Microsoft Active DirectoryVerbindung. 3. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Windows Single Sign-On aktivieren. 4. Klicken Sie auf Speichern. 5. Klicken Sie auf Speichern. BlackBerry UEM überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht gültig sind, werden Sie von BlackBerry UEM aufgefordert, die richtigen Informationen anzugeben. 6. Klicken Sie auf Schließen. Wenn Sie fertig sind: • Starten Sie die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu. • Weisen Sie Administratoren und BlackBerry UEM Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an BlackBerry UEM zu konfigurieren. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 Konsolen-URLs für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen Sie Administratoren und Benutzer anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zu verwenden: Konsole URL für die einmalige Anmeldung BlackBerry UEM-Verwaltungskonsole https://<host_FQDN_or_pool_name>:<port>/admin BlackBerry UEM Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice Die Authentifizierung über die einmalige Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden zur Anmeldung bei der Verwaltungskonsole durch Administratoren bzw. bei BlackBerry UEM Self-Service durch Benutzer. Wenn die Sicherheitsstandards in Ihrem Unternehmen es erfordern, dass Administratoren bzw. Benutzer eine andere Authentifizierungsmethode verwenden, müssen Sie sie anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zu verwenden: 44 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konsole URL für andere Authentifizierungsmethoden BlackBerry UEM-Verwaltungskonsole https://<host_FQDN_or_pool_name>:<port>/admin?sso=n BlackBerry UEM Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice?sso=n Hinweis: Wenn Sie BlackBerry UEM installieren, versucht die Setup-Anwendung standardmäßig Port 8000 zu BlackBerry UEM Self-Service und Port 443 der Verwaltungskonsole zuzuweisen. Wenn Port 443 nicht verfügbar ist, versucht die SetupAnwendung, Port 8008 zu verwenden. Wenn die Standardports nicht verfügbar sind, weist die Setup-Anwendung einen Portwert zwischen 12000 und 12999 zu. Informationen zu den Ports, die BlackBerry UEM Self-Service und der Verwaltungskonsole zugewiesen wurden, finden Sie unter „Überprüfen der Portwerte, die von der BlackBerry UEMSetupanwendung zugewiesen wurden“ in der Dokumentation zu Installation und Upgrade. Anforderungen an den Browser für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen die von Administratoren und BlackBerry UEM Self-Service-Benutzern verwendeten Browser die nachfolgend aufgeführten Anforderungen erfüllen. Objekt Anforderungen Browser Einer der folgenden: • Internet Explorer • Microsoft Edge • Mozilla Firefox • Google Chrome Weitere Informationen zu den unterstützten Versionen finden Sie in der Kompatibilitätsmatrix. Browsereinstellungen Internet Explorer mit folgenden Einstellungen: • Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service sind der lokalen Intranetzone zugewiesen (Internetoptionen > Sicherheit). • „Integrierte Windows-Authentifizierung aktivieren“ ist ausgewählt (Internetoptionen > Erweitert). Firefox mit folgenden Einstellungen: • In der Liste „about:config“ wurde „https://<host_FQDN_or_pool_name>“ zur Einstellung „network.negotiate-auth.trusted-uris“ hinzugefügt. Weitere Informationen finden Sie unter kb.mozillazine.org/about:config. 45 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Objekt Anforderungen Google Chrome verwendet die Einstellungen der lokalen Intranetzone aus Internet Explorer. Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service müssen der lokalen Intranetzone zugewiesen sein (Internetoptionen > Sicherheit). 46 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS X-Geräten Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS XGeräten 9 APNs ist der Apple Push Notification Service. Sie müssen das APNs-Zertifikat abrufen und registrieren, wenn Sie BlackBerry UEM für die Verwaltung von iOS- oder -OS XGeräten verwenden möchten. Wenn Sie mehr als eine BlackBerry UEM-Domäne einrichten, ist für jede Domäne ein APNs-Zertifikat erforderlich. APNs-Zertifikate können mithilfe des Assistenten für die erstmalige Anmeldung oder unter Verwendung des Abschnitts „Externe Integration“ der Verwaltungskonsole abgerufen und registriert werden. Hinweis: Jedes APNs-Zertifikat ist ein Jahr lang gültig. Auf der Verwaltungskonsole wird das Ablaufdatum angezeigt. Sie müssen das APNs-Zertifikat vor dem Ablaufdatum erneuern. Verwenden Sie hierzu die Apple-ID, die Sie zum Abrufen des Zertifikats benötigen. Wenn das Zertifikat abläuft, empfangen Geräte von BlackBerry UEM keine Daten mehr. Wenn Sie ein neues APNs-Zertifikat registrieren, müssen Benutzer ihre Geräte neu aktivieren, um Daten zu empfangen. Weitere Informationen finden Sie unter https://developer.apple.com im Artikel TN2265 Probleme beim Senden von PushBenachrichtigungen. In der Praxis hat es sich bewährt, auf die Verwaltungskonsole und das Apple Push Certificates Portal über den Google ChromeBrowser oder den Safari-Browser zuzugreifen. Diese Browser bieten optimale Unterstützung bei der Anforderung und Registrierung von APNs-Zertifikaten. Führen Sie zum Abrufen und Registrieren eines APNs-Zertifikats die folgenden Aktionen aus: Schritt Aktion Rufen Sie eine signierte CSR von BlackBerry ab. Fordern Sie mit der signierten CSR ein APNs-Zertifikat von Apple an. Registrieren Sie das APNs-Zertifikat. Abrufen einer signierten CSR von BlackBerry Sie müssen eine signierte CSR (Certificate Signing Request) von BlackBerry abrufen, bevor Sie ein APNs-Zertifikat anfordern können. 47 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS X-Geräten 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie auf APNs-Zertifikat abrufen. Wenn Sie ein aktuell verwendetes APNs-Zertifikat erneuern möchten, klicken Sie stattdessen auf Zertifikat erneuern. 3. Klicken Sie im Abschnitt Schritt 1 von 3 – Signiertes CSR-Zertifikat von BlackBerry herunterladen auf Zertifikat herunterladen. 4. Klicken Sie auf Speichern, um die signierte CSR-Datei (.scsr) auf Ihrem Computer zu speichern. Wenn Sie fertig sind: Anfordern eines APNs-Zertifikats von Apple . Anfordern eines APNs-Zertifikats von Apple Bevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry . 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 3. Melden Sie sich beim Apple Push Certificates Portal mit einer gültigen Apple-ID an. 4. Befolgen Sie die Anweisungen zum Hochladen der signierten CSR (.scsr). 5. Laden Sie das APNs-Zertifikat (.pem) auf Ihren Computer herunter, und speichern Sie es. Wenn Sie fertig sind: Registrieren des APNs-Zertifikats. Registrieren des APNs-Zertifikats Bevor Sie beginnen: Anfordern eines APNs-Zertifikats von Apple . 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zum APNsZertifikat (.pem), und wählen Sie es aus. 3. Klicken Sie auf Senden. Wenn Sie fertig sind: • Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. • Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > iOS-Verwaltung. Weitere Informationen zur Erneuerung von APNs-Zertifikaten finden Sie unter Erneuern des APNs-Zertifikats. 48 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS X-Geräten Erneuern des APNs-Zertifikats Das APNs-Zertifikat ist ein Jahr lang gültig. Sie müssen das APNs-Zertifikat jährlich vor dem Ablaufdatum erneuern. Bevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry . 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 3. Melden Sie sich beim Apple Push Certificates Portal mit derselben Apple-ID an, die Sie zum Abrufen des ursprünglichen APNs-Zertifikats verwendet haben. 4. Befolgen Sie die Anweisungen zum Erneuern des APNs-Zertifikats (.pem). Sie müssen die neue signierte CSR hochladen. 5. Laden Sie das erneuerte APNs-Zertifikat auf Ihren Computer herunter, und speichern Sie es. 6. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zu dem erneuerten APNs-Zertifikat, und wählen Sie es aus. 7. Klicken Sie auf Senden. Wenn Sie fertig sind: • Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. • Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > iOS-Verwaltung. Fehlerbehebung: APNs Dieser Abschnitt hilft Ihnen bei der Behebung von APNs-Problemen. Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR. Beschreibung Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein APNs-Zertifikat zu registrieren und die neueste signierte CSR-Datei nicht von BlackBerry auf das Apple Push Certificates Portal hochgeladen haben. 49 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und OS X-Geräten Mögliche Lösung Wenn Sie mehrere CSR-Dateien von BlackBerry heruntergeladen haben, ist nur die letzte heruntergeladene Datei gültig. Wenn Sie wissen, welche CSR die aktuellste ist, kehren Sie zum Apple Push Certificates Portal zurück, und laden Sie sie hoch. Wenn Sie nicht sicher sind, welche CSR die aktuellste ist, rufen Sie eine neue von BlackBerry ab. Kehren Sie dann zum Apple Push Certificates Portal zurück und laden Sie sie hoch. Ich kann iOS- oder OS X-Geräte nicht aktivieren Problemursache Wenn Sie iOS- oder OS X-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nicht ordnungsgemäß registriert. Mögliche Lösung Führen Sie eine oder mehrere der folgenden Aktionen aus: • Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Apple Push Notification. Stellen Sie sicher, dass der Status des APNs-Zertifikats „Installiert“ lautet. Wenn der Status nicht korrekt ist, versuchen Sie, das APNs-Zertifikat erneut zu registrieren. • Klicken Sie auf APNS-Zertifikat testen, um die Verbindung zwischen BlackBerry UEM und dem APNs-Server zu testen. • Rufen Sie ggf. eine neue signierte CSR von BlackBerry und ein neues APNs-Zertifikat ab. 50 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 10 Sie können die unbefugte Nutzung von Exchange ActiveSync durch Geräte unterbinden, die nicht explizit auf einer Positivliste aufgeführt sind. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mail und Terminplanerdaten zugreifen. Mit BlackBerry Gatekeeping Service können Geräte einfach einer Positivliste hinzugefügt werden. Für die Verwendung des BlackBerry Gatekeeping Service ist es erforderlich, eine Gatekeeping-Konfiguration für Microsoft Exchange Server oder Microsoft Office 365 zu erstellen und Benutzern, für die der automatische Gatekeeping-Server ausgewählt ist, ein E-Mail-Profil zuzuweisen. Nachdem Sie das Gatekeeping konfiguriert und das E-Mail-Profil Benutzern zugewiesen haben, werden die Geräte der Benutzer automatisch der Positivliste hinzugefügt. Wenn das E-Mail-Profil für einen Benutzer entfernt wird, wird das Gerät des Benutzers aus der Positivliste entfernt und kann keine Verbindung zu Microsoft Exchange mehr herstellen (sofern es nicht über andere Methoden zugelassen wurde, wie z. B. Windows PowerShell). Sie können eine oder mehrere Instanzen desBlackBerry Connectivity Nodeinstallieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. JederBlackBerry Connectivity Nodeenthält eine Instanz desBlackBerry Gatekeeping Service(jede Instanz muss Zugriff auf den Gatekeeping-Server des Unternehmens haben). Wenn Gatekeeping-Daten nur von demBlackBerry Gatekeeping Serviceverwaltet werden sollen, der mit den primärenBlackBerry UEM-Komponenten installiert ist, können Sie die Standardeinstellungen ändern, umBlackBerry Gatekeeping Servicein jedemBlackBerry Connectivity Nodezu deaktivieren. Weitere Informationen zum Installieren und Konfigurieren einesBlackBerry Connectivity Node, finden Sie in der Dokumentation zur Planungundin der Dokumentation zu Installation und Upgrade. Sie können Servergruppen einrichten, um den Verbindungsdatenverkehr des Geräts an eine bestimmte regionale Verbindung zur BlackBerry Infrastructure richten. Wenn Sie ein E-Mail-Profil mit einer Servergruppe verknüpfen, verwendet jeder Benutzer, dem dieses E-Mail-Profil zugewiesen wurde, eine aktive Instanz des BlackBerry Gatekeeping Service in dieser Servergruppe. Beim Konfigurieren einer Servergruppe können Sie festlegen, dass die Instanzen des BlackBerry Gatekeeping Service in der Gruppe deaktiviert werden. finden Sie in der Dokumentation für Administratoren for more information about: • Hinzufügen eines automatischen Gatekeeping-Servers zu einem E-Mail-Profil • Zulassen oder Blockieren von Geräten, die der Positivliste nicht automatisch hinzugefügt werden Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service Zum Konfigurieren des BlackBerry Gatekeeping Service führen Sie die folgenden Aktionen aus: 51 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Schritt Aktion Konfigurieren von Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. Erstellen einer Gatekeeping-Konfiguration-eigene Optionen zur Verfügung. Erstellen Sie ein E-Mail-Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Anweisungen finden Sie unter„Erstellen eines E-Mail-Profils“ in der Dokumentation für Administratoren. Konfigurieren von Berechtigungen für Gatekeeping Zur Verwendung von Exchange ActiveSync Gatekeeping müssen Sie ein Benutzerkonto in Microsoft Exchange Server oder Microsoft Office 365 erstellen und diesem die erforderlichen Gatekeeping-Berechtigungen zuweisen. Wenn Sie Microsoft Office 365 verwenden, erstellen Sie ein Microsoft Office 365-Benutzerkonto, und ordnen Sie es den E-MailEmpfänger- und Clientzugriffsrollen des Unternehmens zu. Wenn Sie Microsoft Exchange Server 2010 oder höher verwenden, folgen Sie den nachstehenden Anweisungen zum Konfigurieren der Verwaltungsrollen mit den korrekten Berechtigungen zum Verwalten der Postfächer und des Clientzugriffs für Exchange ActiveSync. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Erstellen und Ändern von Verwaltungsrollen zu sein. Bevor Sie beginnen: • Erstellen Sie auf dem Computer, der Microsoft Exchange hostet, ein Konto und ein Postfach für die Verwaltung von Gatekeeping in BlackBerry UEM (z. B. BUEMAdmin). Sie müssen die Anmeldeinformationen für dieses Konto festlegen, wenn Sie eine Exchange ActiveSync-Konfiguration erstellen. Notieren Sie sich den Namen dieses Kontos, da Sie diesen am Ende der folgenden Aufgabe eingeben müssen. • WinRM muss mit den Standardeinstellungen auf dem Computer konfiguriert werden, der den Microsoft Exchange Server hostet, den Sie für Gatekeeping festlegen. Sie müssen den Befehl Winrm quickconfig über eine 52 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Eingabeaufforderung als Administrator ausführen. Wenn das Tool Make these changes [y/n] anzeigt, geben Sie y ein. Nach der erfolgreichen Ausführung des Befehls sehen Sie die folgende Meldung. WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on HTTP://* to accept WS-Man requests to any IP on this machine. 1. Öffnen Sie Microsoft Exchange Management Shell. 2. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle der Mail-Empfänger>" -Parent "Mail Recipients" ein. Drücken Sie die Eingabetaste. 3. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für den Unternehmens-Clientzugriff>" -Parent "Organization Client Access" ein. Drücken Sie die Eingabetaste. 4. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für Exchange-Server>" -Parent "Exchange Servers" ein. Drücken Sie die Eingabetaste. 5. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\*" | Where {$_.Name -ne "GetADServerSettings"} | Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 6. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\*" | Where {$_.Name -ne "Get-CasMailbox"} | Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 7. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für Exchange-Server>\*" | Where {$_.Name -ne "GetExchangeServer"} | Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 8. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox ein. Drücken Sie die Eingabetaste. 9. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDevice" Parameters Identity ein. Drücken Sie die Eingabetaste. 10. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie AddManagementRoleEntry “<Name der neuen Rolle der Mail-Empfänger>\Get-MobileDeviceStatistics” –Parameters Mailbox ein. Drücken Sie die Eingabetaste. 11. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie AddManagementRoleEntry “<Name der neuen Rolle der Mail-Empfänger>\Get-MobileDevice” –Parameters Mailbox ein. Drücken Sie die Eingabetaste. 12. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\Set-CasMailbox" -Parameters Identity, ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs ein. Drücken Sie die Eingabetaste. 13. Geben SieNew-RoleGroup "<name_new_group>" -Roles "<name_new_role_mail_recipients>", "<name_new_role_org_ca>", "<name_new_role_exchange_servers>"ein. Drücken Sie die Eingabetaste. 14. Geben Sie Add-RoleGroupMember -Identity "<Name der neuen Gruppe>" -Member "BUEMAdmin“ ein. Drücken Sie die Eingabetaste. 53 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 15. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für E-Mail>\Set-AdServerSettings" ein. Drücken Sie die Eingabetaste. 16. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für E-Mail>\Remove-ActiveSyncDevice" -Parameters Identity ein. Drücken Sie die Eingabetaste. Wenn Sie fertig sind: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen. Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen Wenn Ihr Unternehmen Microsoft Exchange Server 2010 oder höher verwendet, lesen Sie die Informationen unter Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync . Wenn Ihr Unternehmen Microsoft Office 365 verwendet, lesen Sie die Informationen unter Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365. Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync Sie müssen Microsoft Exchange Server 2010 oder höher so konfigurieren, dass nur autorisierte Geräte Zugriff auf Exchange ActiveSync erhalten. Geräte bestehender Benutzer, die nicht explizit der Liste zulässiger Geräte in Microsoft Exchange hinzugefügt wurden, müssen unter Quarantäne gestellt werden, bis BlackBerry UEM sie zulässt. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Konfigurieren des Parameters „Set-ActiveSyncOrganizationSettings“ zu sein. Informationen über die ausschließliche Zulassung autorisierter Geräte für den Zugriff auf Exchange ActiveSync finden Sie auf https:// technet.microsoft.com in dem Artikel Aktivieren eines Geräts für Exchange ActiveSync . Bevor Sie beginnen: • Konfigurieren von Berechtigungen für Gatekeeping. • Überprüfen Sie zusammen mit dem Microsoft Exchange-Administrator, ob es Benutzer gibt, die Exchange ActiveSync verwenden. Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt ist und Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden. Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter http://support.blackberry.com/kb im Artikel KB33531. 54 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange Management Shell. 2. Geben Sie Set-ActiveSyncOrganizationSettings –DefaultAccessLevel Quarantine ein. Drücken Sie die Eingabetaste. Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping. Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365 Zum Verwenden von BlackBerry Gatekeeping Service mit Microsoft Office 365 müssen Sie die Standardzugriffsrichtlinie für mobile Geräte in Microsoft Office 365 auf Quarantäne (Isolieren) festlegen. Bevor Sie beginnen: Konfigurieren von Berechtigungen für Gatekeeping. Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt ist und Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden. Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter http://support.blackberry.com/kb im Artikel KB33531. 1. Melden Sie sich beim Microsoft Office 365-Verwaltungsportal an. 2. Klicken Sie im Seitenmenü auf Admin. 3. Klicken Sie auf Exchange. 4. Klicken Sie auf im Bereich Mobil auf Zugriff auf mobile Geräte. 5. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll. Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping Unter BlackBerry UEM werden Windows PowerShell-Befehle für die Verwaltung der Liste zulässiger Geräte verwendet. Um den BlackBerry Gatekeeping Service zu nutzen, müssen Sie Microsoft IIS-Berechtigungen konfigurieren. Führen Sie die folgenden Aktionen auf dem Computer aus, der die Microsoft-Client-Zugriffs-Serverrolle hostet. Bevor Sie beginnen: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen. 55 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 1. Öffnen Sie den Microsoft Internet Information Services (IIS) Manager. 2. Erweitern Sie im linken Fensterbereich den Server. 3. Erweitern Sie Websites > Standard-Website. 4. Klicken Sie mit der rechten Maustaste auf den PowerShell-Ordner. Wählen Sie Berechtigungen bearbeiten. 5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Hinzufügen, und geben Sie die <neue_Gruppe> ein, die bei der Konfiguration der Microsoft ExchangeBerechtigungen für Gatekeeping erstellt wurde. 7. Klicken Sie auf OK. 8. Vergewissern Sie sich, dass Lesen & Ausführen, Auflisten von Verzeichnisinhalten und Gelesen ausgewählt sind. Klicken Sie auf OK. 9. Wählen Sie den PowerShell-Ordner aus. Doppelklicken Sie auf das Symbol Authentifizierung. 10. Wählen Sie Windows-Authentifizierung. Klicken Sie auf Aktivieren. 11. Schließen Sie den Microsoft Internet Information Services (IIS) Manager. Wenn Sie fertig sind: Erstellen einer Gatekeeping-Konfiguration. Erstellen einer Gatekeeping-Konfiguration Sie können eine Gatekeeping-Konfiguration so erstellen, dass die den Sicherheitsrichtlinien Ihres Unternehmens entsprechenden Geräte eine Verbindung zu Microsoft Exchange Server oder Microsoft Office 365 herstellen können. Bevor Sie beginnen: • Konfigurieren von Berechtigungen für Gatekeeping. • Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung. • Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Microsoft Exchange. 2. Klicken Sie auf . 3. Geben Sie im Feld Servername den Namen der Microsoft Exchange Server- oder Microsoft Office 365-Umgebung ein, für die der Zugriff verwaltet werden soll. 4. Geben Sie den Benutzernamen und das Kennwort für das Konto ein, das Sie für die Verwaltung von Exchange ActiveSyncGatekeeping erstellt haben. 5. Wählen Sie in der Dropdown-Liste Authentifizierungstyp die unter Microsoft Exchange Server oder Microsoft Office 365 verwendete Authentifizierung aus. . 56 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 6. Aktivieren Sie das Kontrollkästchen SSL verwenden, um die SSL-Authentifizierung zwischen BlackBerry UEM und dem Microsoft Exchange Server oder Microsoft Office 365 zu aktivieren. Optional können weitere Zertifikatprüfungen ausgewählt werden. 7. Wählen Sie in der Dropdown-Liste Proxy-Typ ggf. die Art der Proxy-Konfiguration aus, die zwischen BlackBerry UEM und dem Microsoft Exchange Server oder Microsoft Office 365 verwendet wird. 8. Wenn Sie im vorhergehenden Schritt eine Proxy-Konfiguration ausgewählt haben, wählen Sie den Authentifizierungstyp für den Proxy-Server aus. 9. Wählen Sie bei Bedarf Authentifizierung erforderlich, und geben Sie den Benutzernamen und das Kennwort ein. 10. Klicken Sie auf Verbindung testen, um zu prüfen, ob die Verbindung erfolgreich ist. 11. Klicken Sie auf Speichern. Wenn Sie fertig sind: • Erstellen Sie ein E-Mail-Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Anweisungen finden Sie unter„Erstellen eines E-MailProfils“ in der Dokumentation für Administratoren. • Wenn Sie eine Servergruppe mit einer oder mehreren Instanzen des BlackBerry Gatekeeping Service konfiguriert haben, ordnen Sie das E-Mail-Profil der entsprechenden Servergruppe zu. Jeder Benutzer, dem dieses E-Mail-Profil zugewiesen ist, kann jede aktivierte Instanz des BlackBerry Gatekeeping Service in dieser Servergruppe verwenden. Anweisungen finden Sie unter„Erstellen eines E-Mail-Profils“ in der Dokumentation für Administratoren. 57 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work 11 Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen AndroidGeräte verwaltet werden sollen. Weitere Informationen zu Android for Work finden Sie unter https://support.google.com/work/ android/. Es gibt zwei Möglichkeiten, BlackBerry UEM für die Unterstützung von Android for Work zu konfigurieren: 1. Stellen Sie eine Verbindung zwischen BlackBerry UEM und einer Google Cloud- oder G Suite-Domäne her. Hinweis: Sie können nur eine BlackBerry UEM-Domäne mit einer Google-Domäne verbinden. 2. Ermöglichen Sie BlackBerry UEM die Verwaltung von Android for Work-Konten (jetzt als verwaltete Google Play-Konten bezeichnet). Sie benötigen keine Google-Domäne, um diese Option zu verwenden. Weitere Informationen finden Sie unter https://support.google.com/googleplay/work/. In der folgenden Tabelle werden die unterschiedlichen Optionen für die Konfiguration von Android for Work zusammengefasst: Wann diese Methode Methode für die Konfiguration von BlackBerry verwendet werden sollte UEM zur Unterstützung von Android for Work Typ des Benutzerkontos Unterstützte Google-Dienste BlackBerry UEM mit Ihrer G Suite-Domäne verbinden G Suite-Konten (für Unternehmen) Unterstützt alle G SuiteDienste, z B. Gmail, Google Calendar und Drive. Sie haben eine G SuiteDomäne im Unternehmen Unterstützt die AppVerwaltung über Google Play for Work. BlackBerry UEM mit Ihrer Google Cloud-Domäne verbinden Sie haben eine Google CloudDomäne im Unternehmen Google Cloud-Konten, die auch als Managed GoogleKonten (für Unternehmen) bezeichnet werden Ähnlich wie G Suite, aber ohne Zugriff auf kostenpflichtige Produkte, z. B. Gmail, Google Calendar und Drive. Unterstützt die AppVerwaltung über Google Play for Work. 58 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Methode für die Wann diese Methode Konfiguration von BlackBerry verwendet werden sollte UEM zur Unterstützung von Android for Work Zulassen, dass BlackBerry • UEM Android for Work-Konten verwaltet (jetzt als verwaltete Google Play-Konten • bezeichnet) Typ des Benutzerkontos Sie haben keine Google- Android for Work-Konten Domäne im Unternehmen Unterstützte Google-Dienste Unterstützt die AppVerwaltung über Google Play for Work. Google-Dienste werden nicht unterstützt. Sie haben eine GoogleDomäne, die bereits mit einer BlackBerry UEMDomäne verbunden ist, und möchten Android for Work in einer zweiten BlackBerry UEMDomäne nutzen Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Bevor Sie beginnen: • BlackBerry UEM unterstützt Android for Work für Geräte unter Android 5.1 und höher. • Wenn Sie BlackBerry UEM für die Unterstützung von Android for Work mithilfe der Android for Work-Kontenoption (die jetzt als verwaltete Google Play-Konten bezeichnet wird) konfigurieren, wird die Aktivierung von Geräten mit der Aktivierungsart „Nur geschäftlicher Bereich“ ausschließlich auf Geräten mit Android 6.0 und höher unterstützt. • Sie können nur eine BlackBerry UEM-Domäne mit der Google-Domäne verbinden. Bevor Sie eine Verbindung mit einer anderen BlackBerry UEM-Domäne herstellen, müssen Sie die bestehende Verbindung entfernen. Siehe Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Android for Work. 2. Führen Sie eine der folgenden Aufgaben aus: Aufgabe Schritte Verwenden einer Google-Domäne 1. Wählen Sie Verbinden Sie BlackBerry UEM mit Ihrer vorhandenen Google-Domäne. 2. Klicken Sie auf Weiter. 59 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Aufgabe Schritte Verwenden von Android for WorkKonten 3. 4. 3. Füllen Sie die Felder zum Erstellen eines Dienstkontos aus, und klicken Sie auf Weiter. Weitere Schritt-für-Schritt-Anleitungen finden Sie unter http:// support.blackberry.com/kb in Artikel 000037748. 1. Wählen Sie Ermöglichen Sie die Verwaltung von Android for Work-Konten durch BlackBerry UEM. 2. Klicken Sie auf Weiter. 3. Melden Sie sich im Fenster Bring Android to Work mit einem GoogleKonto an. Sie können hierfür ein beliebiges Google- oder Gmail-Konto verwenden. Das von Ihnen verwendete Konto wird zum Administratorkonto für den Dienst Bring Android to Work. 4. Klicken Sie auf Erste Schritte. 5. Geben Sie den Namen Ihres Unternehmens ein. Klicken Sie auf Bestätigen. 6. Klicken Sie auf Registrierung abschließen. Die BlackBerry UEMVerwaltungskonsole wird wieder angezeigt. Wenn Sie dazu aufgefordert werden, klicken Sie auf Annehmen, um die Berechtigungen für die folgenden Apps zu akzeptieren: • BlackBerry Hub • BlackBerry-Dienste • BlackBerry-Kalender • Kontakte von BlackBerry • Notizen von BlackBerry • Aufgaben von BlackBerry • BlackBerry Secure Connect Plus • Divide Productivity • Google Chrome Klicken Sie auf Fertig. Wenn Sie fertig sind: Schließen Sie die Schritte für die Aktivierung von Android for Work-Geräten ab. Weitere Informationen zur Aktivierung von Geräten finden Sie in der Dokumentation für Administratoren unter „Geräteaktivierung“. 60 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne Sie können nur eine BlackBerry UEM-Domäne mit der Google Cloud- bzw. G Suite-Domäne verbinden. Bevor Sie eine Verbindung mit einer anderen BlackBerry UEM-Domäne herstellen, müssen Sie die bestehende Verbindung entfernen. Entfernen Sie die Android for Work-Verbindung, bevor Sie die folgenden Aufgaben durchführen: • Deinstallieren einer BlackBerry UEM-Instanz • Wiederherstellen des Snapshots des virtuellen Computers, den Sie vor der Einrichtung der Android for WorkVerbindung erstellt haben • Verbinden einer anderen BlackBerry UEM-Instanz mit der Google Cloud- oder der G Suite-Domäne Wenn Sie die Android for Work-Verbindung nicht entfernen, können Sie möglicherweise keine Verbindung zwischen der Google Cloud- oder der G Suite-Domäne und einer neuen BlackBerry UEM-Instanz herstellen. Wenn Sie die Android for WorkVerbindung in BlackBerry UEM entfernen, deaktivieren Sie damit auch alle Geräte, die mit der Aktivierungsart Android for Work aktiviert wurden. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration. 2. Klicken Sie auf Android for Work. 3. Klicken Sie auf Android for Work-Verbindung entfernen. 4. Klicken Sie auf Entfernen. Entfernen der Android for Work-Verbindung mithilfe Ihres Google-Kontos Wenn Sie BlackBerry UEM mithilfe der Option für Android for Work-Konten für die Unterstützung von Android for Work konfiguriert haben, können Sie die Verbindung in Google entfernen. 1. Melden Sie sich mithilfe des Google-Kontos, das Sie für die Einrichtung von Android for Work verwendet haben, bei https:// play.google.com/work an. 2. Klicken Sie auf Admin-Einstellungen. 3. Klicken Sie im Abschnitt Unternehmensinformationen auf . 4. Klicken Sie auf Unternehmen löschen. 5. Klicken Sie auf Löschen. 6. Klicken Sie in der Menüleiste der BlackBerry UEM-Konsole auf Einstellungen > Externe Integration. 61 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work 7. Klicken Sie auf Android for Work. 8. Klicken Sie auf Verbindung testen. 9. Klicken Sie auf Android for Work-Verbindung entfernen. 10. Klicken Sie auf Entfernen. Bearbeiten oder Testen der Android for WorkVerbindung Sie können die Android for Work-Verbindung in BlackBerry UEM bearbeiten, um den Typ der Google-Domäne zu ändern, den Sie zur Verwaltung von Android for Work verwenden, oder um die Android for Work-Verbindung zu testen. Wenn Sie die Verbindung bearbeiten oder testen, sind bereits aktivierte Geräte nicht betroffen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration. 2. Klicken Sie auf Android for Work. 3. Click 4. Führen Sie eine der folgenden Aufgaben aus: . • Klicken Sie auf Verbindung testen, um den aktuellen Status der Android for Work-Verbindung anzuzeigen. • Wählen Sie zum Verwalten von Android for Work-Geräten den Typ der Domäne aus, und klicken Sie auf Speichern. 62 Verwalten von Nachweisen für Samsung KNOX-Geräte Verwalten von Nachweisen für Samsung KNOX-Geräte 12 Wenn Sie Nachweise aktivieren, sendet BlackBerry UEM Anforderungen zum Testen der Authentizität und der Integrität von Samsung KNOX-Geräten, die mit den folgenden Aktivierungsarten aktiviert wurden: • Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX) • Nur geschäftlicher Bereich (Samsung KNOX) • Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX) 1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Nachweis. 2. Um Nachweise für Samsung KNOX-Geräte zu aktivieren, wählen Sie Regelmäßige Nachweisabfragen für KNOX Workspace-Geräte aktivieren aus. 3. Geben Sie im Abschnitt Abfragehäufigkeit in Tagen oder Stunden an, wie oft das Gerät eine Nachweisantwort an BlackBerry UEM senden muss. 4. Geben Sie im Abschnitt Übergangsfrist eine Übergangsfrist in Stunden oder Tagen an. Nach Ablauf der Übergangsfrist wird ein Gerät als „gehackt“ betrachtet. Es unterliegt dann den Bedingungen des Compliance-Profils, das diesem Benutzer zugewiesen wurde. 5. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen Sie ein Compliance-Profil, in dem die Schritte aufgeführt sind, die durchgeführt werden, wenn ein Gerät als „gehackt“ betrachtet wird. Anweisungen finden Sie unter „Durchsetzen von Kompatibilitätsregeln für Geräte“ in der BlackBerry UEM-Dokumentation für Administratoren. 63 Konfigurieren von BlackBerry UEM für DEP Konfigurieren von BlackBerry UEM für DEP 13 Sie müssen BlackBerry UEM für die Verwendung des Programms zur Geräteregistrierung (DEP) von Apple konfigurieren, damit Sie BlackBerry UEM mit DEP synchronisieren können. Nach der Konfiguration von BlackBerry UEM können Sie die Aktivierung der von Ihrem Unternehmen für DEP erworbenen iOS-Geräte mit der BlackBerry UEM-Verwaltungskonsole verwalten. Beim Konfigurieren von BlackBerry UEM für das Programm zur Geräteregistrierung von Apple führen Sie die folgenden Schritte aus: Schritt Aktion Erstellen eines DEP-Kontos. Herunterladen eines öffentlichen Schlüssels. Generieren eines Server-Tokens. Registrieren des Server-Tokens bei BlackBerry UEM . Hinzufügen einer Registrierungskonfiguration. Erstellen eines DEP-Kontos 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 1 von 4: Erstellen eines Apple DEP-Kontos auf Erstellen eines Apple DEP-Kontos. 3. Füllen Sie die Felder aus, und befolgen Sie die Anweisungen zum Erstellen des Kontos. Wenn Sie fertig sind: Herunterladen eines öffentlichen Schlüssels. 64 Konfigurieren von BlackBerry UEM für DEP Herunterladen eines öffentlichen Schlüssels Bevor Sie beginnen: Erstellen eines DEP-Kontos. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 2 von 4: Herunterladen eines öffentlichen Schlüssels auf Herunterladen des öffentlichen Schlüssels. 3. Klicken Sie auf Speichern. Wenn Sie fertig sind: Generieren eines Server-Tokens. Generieren eines Server-Tokens Bevor Sie beginnen: Herunterladen eines öffentlichen Schlüssels. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 3 von 4: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 3. Melden Sie sich bei Ihrem DEP-Konto an. 4. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. Wenn Sie fertig sind: Registrieren des Server-Tokens bei BlackBerry UEM . Registrieren des Server-Tokens bei BlackBerry UEM BlackBerry UEM verwendet bei der Kommunikation mit dem Programm zur Geräteregistrierung von Apple ein Server-Token zur Authentifizierung. Bevor Sie beginnen: Generieren eines Server-Tokens. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 4 von 4: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen. 3. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus. 4. Klicken Sie auf Öffnen. 65 Konfigurieren von BlackBerry UEM für DEP 5. Klicken Sie auf Weiter. Wenn Sie fertig sind: Hinzufügen einer Registrierungskonfiguration. Hinzufügen einer Registrierungskonfiguration Bevor Sie beginnen: Registrieren des Server-Tokens bei BlackBerry UEM , bevor Sie Ihre erste Registrierungskonfiguration hinzufügen. Nachdem Sie ein Server-Token registriert haben, wird in BlackBerry UEM automatisch das Fenster zum Hinzufügen der ersten Registrierungskonfiguration angezeigt. 1. 2. Füllen Sie die Felder aus, und aktivieren Sie die Kontrollkästchen für die Elemente, die Ihre Registrierungskonfiguration enthalten soll. • Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ auswählen, weist BlackBerry UEM die Registrierungskonfiguration iOS-Geräten bei deren Registrierung beim Apple-Programm zur Geräteregistrierung automatisch zu. Wenn Sie die Registrierungskonfiguration nicht automatisch zuweisen lassen, können Sie die BlackBerry UEM-Verwaltungskonsole verwenden, um beim DEP registrierten iOS-Geräten Registrierungskonfigurationen zuzuweisen. Weitere Informationen zur Zuweisung von Registrierungskonfigurationen finden Sie in der Dokumentation für Administratoren unter „Aktivieren von iOSGeräten, die im DEP registriert sind“.. • Wenn Sie im Bereich „Gerätekonfiguration“ weder „Beaufsichtigten Modus aktivieren“ noch „Entfernen des MDM-Profils zulassen“ auswählen, werden Sie von BlackBerry UEM beim Speichern der Registrierungskonfiguration zur Auswahl eines dieser Elemente aufgefordert. Sie müssen mindestens eines dieser Elemente auswählen. Optional können Sie beide Elemente auswählen. Klicken Sie auf Speichern. Wenn die Meldung „Ein Fehler ist aufgetreten. Die Server-Token-Datei konnte nicht entschlüsselt werden.“ angezeigt wird, lesen Sie Artikel 37282 unter http://support.blackberry.com/kb. 3. Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben, klicken Sie auf Ja. Wenn Sie fertig sind: Aktivieren Sie iOS-Geräte. Weitere Informationen zur Aktivierung von Geräten finden Sie in der Dokumentation für Administratoren. Aktualisieren des Server-Tokens Das Server-Token ist ein Jahr lang gültig. Sie müssen das Token jährlich vor dem Ablaufdatum erneuern. Den Status des Tokens finden Sie unter dem „Ablaufdatum“ im Programm zur Geräteregistrierung von Apple. Bevor Sie beginnen: Wenn der öffentliche Schlüssel geändert wurde, laden Sie einen neuen öffentlichen Schlüssel herunter. 66 Konfigurieren von BlackBerry UEM für DEP 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie im Bereich Ablaufdatum auf Server-Token aktualisieren . 3. Klicken Sie in Schritt 1 von 2: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 4. Melden Sie sich bei Ihrem DEP-Konto an. 5. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. 6. Klicken Sie in Schritt 2 von 2: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen. 7. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus. 8. Klicken Sie auf Öffnen. 9. Klicken Sie auf Speichern. Entfernen der DEP-Verbindung VORSICHT: Wenn Sie die DEP-Verbindung entfernen, können Sie neue iOS-Geräte nicht im Programm zur Geräteregistrierung von Apple aktivieren. Wenn Sie Geräten Registrierungskonfigurationen zugewiesen haben und diese nicht angewendet wurden, entfernt BlackBerry UEM die Registrierungskonfigurationen. Das Entfernen der Verbindung hat keine Auswirkungen auf Geräte, die in BlackBerry UEM aktiv sind. Wenn in Ihrem Unternehmen keine weiteren iOS-Geräte bereitgestellt werden, die DEP verwenden, können Sie die Verbindung zwischen BlackBerry UEM und DEP entfernen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie auf DEP-Verbindung entfernen. 3. Klicken Sie auf Entfernen. 4. Klicken Sie auf OK. 67 Einrichten von BlackBerry UEM Self-Service für Benutzer Einrichten von BlackBerry UEM SelfService für Benutzer 14 BlackBerry UEM Self-Service ist eine webbasierte Anwendung, die Sie Benutzern für Verwaltungsaufgaben wie das Erstellen von Aktivierungskennwörtern, das Sperren von Geräten per Fernzugriff oder das Löschen von Daten von Geräten zur Verfügung stellen können. Eine Installation von Software auf den Geräten der Benutzer ist für die Verwendung von BlackBerry UEM SelfService nicht erforderlich. Sie müssen den Benutzern die Webadresse und die Anmeldeinformationen bereitstellen. Sie können Benutzer zwingen, eine Anmeldemitteilung zu lesen und anzunehmen, bevor sie sich bei BlackBerry UEM SelfService anmelden können. Weitere Informationen zu dieser Mitteilung finden Sie in der Dokumentation für Administratoren unter „Erstellen eines Anmeldungshinweises für die Konsolen“. BlackBerry UEM Self-Service einrichten Richten Sie BlackBerry UEM Self-Service so ein, dass Benutzer sich anmelden und Selbsthilfeaufgaben ausführen können. 1. Klicken Sie in der Menüleiste auf Einstellungen > Self-Service. 2. Klicken Sie auf Self-Service-Einstellungen. 3. Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist. 4. Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann. 5. Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind. 6. Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter erforderliche Komplexität aus. 7. Klicken Sie auf Speichern. Wenn Sie fertig sind: Geben Sie die Webadresse für BlackBerry UEM Self-Service und die Anmeldeinformationen für die Benutzer an. 68 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne 15 BlackBerry UEM verwendet ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit, um Dienstausfälle für Gerätebenutzer möglichst gering zu halten. Zum Konfigurieren von hoher Verfügbarkeit installieren Sie mehrere Instanzen von BlackBerry UEM jeweils auf einem separaten Computer. Jede Instanz stellt eine Verbindung zur BlackBerry UEM-Datenbank her und ermöglicht die aktive Verwaltung von Benutzerkonten und -geräten. Die hohe Verfügbarkeit in BlackBerry UEM beinhaltet die folgenden Funktionen: Funktion Beschreibung BlackBerry 10-Geräte automatisch auf eine fehlerfreie Instanz von BlackBerry UEM verschieben Wenn BlackBerry 10-Geräte einer BlackBerry UEM-Instanz nicht mithilfe der Enterprise-Konnektivität eine Verbindung zu geschäftlichen Ressourcen herstellen können, werden diese Geräte fehlerfreien Instanzen von BlackBerry UEM neu zugewiesen. BlackBerry 10-Geräte können die Enterprise-Konnektivität für den Zugriff auf E-Mail- und Kalenderdaten, den geschäftlichen Browser und das Unternehmensnetzwerk verwenden. Die meisten Verwaltungsaufgaben (z. B. das Zuweisen von Profilen) erfordern die Enterprise-Konnektivität für eine erfolgreiche Durchführung. iOS-, Android- und Windows-Geräte können eine Verbindung zu einer beliebigen BlackBerry UEM-Instanz herstellen Wenn eine oder mehrere BlackBerry UEM-Instanzen Fehler aufweisen, können iOS-,Android- sowie Windows-Geräte eine Verbindung mit einer fehlerfreien Instanz herstellen. Auf diese Weise bleibt der Gerätedienst ohne Unterbrechung. BlackBerry Affinity ManagerAusfallsicherung Der BlackBerry Affinity Manager weist BlackBerry 10-Geräte einer BlackBerry UEM-Instanz zu, überwacht die Enterprise-Konnektivität für die jeweilige Instanz und verschiebt BlackBerry 10-Benutzer, wenn Probleme mit der EnterpriseKonnektivität auftreten. Der BlackBerry Affinity Manager kann keine iOS-, Androidoder Windows-Geräte zu einer bestimmten BlackBerry UEM-Instanz zuweisen. Hierbei ist nur ein BlackBerry Affinity Manager aktiv. Die anderen BlackBerry Affinity Manager-Instanzen sind im Standby. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, wird ein Auswahlprozess durchgeführt, in dem bestimmt wird, welche Instanz aktiv werden soll. Die Instanz, in der der Auswahlprozess am schnellsten abgeschlossen wird, fungiert als aktive BlackBerry Affinity Manager-Instanz. Geräte von einer beliebigen BlackBerry UEM-Instanz aus verwalten Wenn ein Problem mit der Verwaltungskonsole oder mit BlackBerry UEM Core bei einer BlackBerry UEM-Instanz auftreten sollte, können Sie jedes Gerät (BlackBerry 69 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Funktion Beschreibung 10, iOS, Android und Windows) mithilfe der Verwaltungskonsole und BlackBerry UEM Core einer beliebigen fehlerfreien Instanz weiterhin verwalten. Round-Robin-DNS-Pool für die Verwaltungskonsole Mithilfe von Drittanbietersoftware können Sie einen Roundrobin-DNS-Pool konfigurieren, der eine Verbindung zur Verwaltungskonsole der jeweiligen BlackBerry UEM-Instanz herstellt. Wenn ein Problem mit einer Konsole auftritt, sorgt der Pool für eine Verbindung zu einer funktionsfähigen Konsole. BlackBerry Connectivity Node Sie können eine oder mehrere Instanzen des BlackBerry Connectivity Node installieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Sie können auch Servergruppen erstellen, um regionale Datenpfade für sichere Verbindungen festzulegen und um hohe Verfügbarkeit für die Komponenten von BlackBerry Connectivity Node einzurichten. Weitere Informationen finden Sie unter Hohe Verfügbarkeit und der BlackBerry Connectivity Node. Während BlackBerry UEM eine Wiederherstellungsaktion ausführt, nehmen die betroffenen Benutzer eine kurze Dienstunterbrechung wahr. Die Dauer hängt von mehreren Faktoren ab, z. B. der Anzahl der BlackBerry 10-Geräte und der Anzahl der BlackBerry UEM-Instanzen. Wenn BlackBerry 10-Benutzer einer anderen Instanz zugewiesen werden, beträgt die durchschnittliche Ausfallzeit 3 Minuten. Wenn eine BlackBerry Affinity Manager-Ausfallsicherung erfolgt, beträgt die durchschnittliche Ausfallzeit 10 Minuten. Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten Wenn Sie hohe Verfügbarkeit für BES5 vor dem Upgrade von BES5 auf BlackBerry UEM konfiguriert haben, funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Hochverfügbarkeitskonfiguration bezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind. Weitere Informationen zur Konfiguration hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten, finden Sie unter help.blackberry.com/detectLang/category/enterprise-services im BlackBerry Enterprise Server Administratorhandbuch für 5. 70 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Architektur: Hohe Verfügbarkeit für BlackBerry UEM Im folgenden Diagramm wird eine Domäne mit hoher Verfügbarkeit dargestellt, die zwei BlackBerry UEM-Instanzen aufweist. Sie können eine beliebige Anzahl an BlackBerry UEM-Instanzen installieren. In diesem Kapitel wird erklärt, welche Rolle spezielle Komponenten bei der Konfiguration hoher Verfügbarkeit spielen. Weitere Informationen zu BlackBerry UEMArchitektur und -Komponenten finden Sie in der Dokumentation zur Architektur. 71 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Komponenten Beschreibung BlackBerry UEM-Datenbank Jede BlackBerry UEM-Instanz stellt für den Zugriff auf Benutzer- und Gerätedaten eine Verbindung zur BlackBerry UEM-Datenbank her. Verwaltungskonsole und BlackBerry UEM Core Sie können eine beliebige Verwaltungskonsole für die Verwaltung von Benutzerkonten und Geräten der Domäne verwenden. Der BlackBerry UEM Core, der dieser Konsole zugeordnet ist, führt die Verwaltungsaufgaben durch. Sie können einen Round-Robin-DNS-Pool konfigurieren, der die Verbindung zu der jeweiligen Konsole herstellt. Wenn ein Problem mit einer der Konsolen auftreten sollte, stellt der Pool die Verbindung zu einer funktionsfähigen Konsole her. Jede Instanz verwaltet die Enterprise-Konnektivität für die BlackBerry 10-Geräte, die ihr von BlackBerry Affinity Manager zugewiesen wurden. Jede fehlerfreie Instanz kann Geräteverwaltungsaufgaben für alle Gerätetypen verarbeiten. BlackBerry MDS Connection Service und BlackBerry Dispatcher Diese Komponenten ermöglichen, dass BlackBerry 10-Geräte Verbindungen zu Geschäftsressourcen herstellen und diese nutzen. BlackBerry Affinity Manager Der BlackBerry Affinity Manager ist verantwortlich für: • Zuweisen von BlackBerry 10-Geräten zu BlackBerry UEM-Instanzen • Aufrechterhalten der Verbindung mit der BlackBerry Infrastructure • Konfigurieren und Starten des aktiven BlackBerry Work Connect Notification Service • Überprüfen des Zustands des BlackBerry MDS Connection Service und des BlackBerry Dispatcher in der jeweiligen Instanz zur Überwachung der Enterprise-Konnektivität Nur eine BlackBerry Affinity Manager-Instanz ist aktiv (die anderen sind im Standby). Wenn die aktive Instanz ein Problem mit der Enterprise-Konnektivität feststellt, weist sie BlackBerry 10-Benutzer den funktionsfähigen BlackBerry UEM-Instanzen neu zu. Jeder BlackBerry Affinity Manager, der im Standby ist, überwacht den aktiven BlackBerry Affinity Manager. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, erfolgt eine Ausfallsicherung, und eine der Standby-Instanzen wird aktiv. Lastverteilungsdaten für BlackBerry 10-Geräte Wenn Sie mehrere Instanzen von BlackBerry UEM in einer Domäne installiert haben, verteilt der aktive BlackBerry Affinity Manager BlackBerry 10-Geräte gleichmäßig auf die fehlerfreien Instanzen. Wenn Sie beispielsweise drei Instanzen von BlackBerry UEM installieren und die Domäne 3000 BlackBerry 10-Geräte umfasst, weist der aktive BlackBerry Affinity Manager 72 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne jeder Instanz 1000 Geräte zu. Die Lastverteilung findet nur dann statt, wenn die Domäne mehr als 500 BlackBerry 10-Geräte umfasst. Es ist nicht möglich, BlackBerry 10-Geräte einer speziellen Instanz manuell zuzuweisen. Der BlackBerry Affinity Manager legt fest, welche Instanzen BlackBerry 10-Geräte verwalten. Jede BlackBerry UEM-Instanz ist mit der gleichen BlackBerry UEM-Datenbank verbunden. Die Komponenten jeder Instanz werden ausgeführt und verwalten aktiv Daten für alle Gerätetypen, außer für BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service. Nur eine Instanz von BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service ist aktiv. Sie können den Status der einzelnen Instanzen in der Verwaltungskonsole anzeigen. Wenn eine Instanz vorübergehend nicht verfügbar ist, werden die Benutzer- und Gerätedaten von den verbleibenden Instanzen verwaltet. Hohe Verfügbarkeit und der BlackBerry Connectivity Node Sie können eine oder mehrere Instanzen des BlackBerry Connectivity Node installieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Jeder BlackBerry Connectivity Node enthält die folgenden BlackBerry UEM-Komponenten: BlackBerry Secure Connect Plus, den BlackBerry Gatekeeping Service, den BlackBerry Secure Gateway Service, BlackBerry Proxy und den BlackBerry Cloud Connector. Jeder BlackBerry Connectivity Node stellt eine weitere aktive Instanz dieser Komponenten der BlackBerry UEM-Domäne zur Verfügung, die sichere Geräteverbindungen verarbeiten und verwalten kann. Weitere Informationen zum Planen und Installieren eines BlackBerry Connectivity Node finden Sie in der Dokumentation zur Planung und in der Dokumentation zu Installation und Upgrade. Sie können auch Servergruppen erstellen. Eine Servergruppe enthält eine oder mehrere Instanzen des BlackBerry Connectivity Node. Beim Erstellen einer Servergruppe geben Sie den regionalen Datenpfad an, den die zu verwendenden Komponenten für die Verbindung mit der BlackBerry Infrastructure nutzen sollen. Sie können beispielsweise eine Servergruppe erstellen, um Geräteverbindungen für BlackBerry Secure Connect Plus und BlackBerry Secure Gateway Service so zu lenken, dass der Pfad für die USA zur BlackBerry Infrastructure verwendet wird. Sie können E-Mail- und Enterprise-Konnektivitätsprofile mit einer Servergruppe verknüpfen. Jedes Gerät, dem diese Profile zugewiesen wurden, nutzt die regionale Verbindung dieser Servergruppe zur BlackBerry Infrastructure, wenn Komponenten der BlackBerry Connectivity Node verwendet werden. Wenn eine Servergruppe mehrere Instanzen desBlackBerry Connectivity Nodeenthält, kann von den Geräten jede ausgeführte Instanz verwendet werden. Geräteverbindungen werden auf die verfügbaren Instanzen in der Gruppe verteilt. Wenn keine Instanzen verfügbar sind, können die Geräte diese Komponenten nicht für sichere Verbindungen nutzen. Mindestens eine der Instanzen muss verfügbar sein. 73 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Überprüfung des Zustands von Komponenten durch BlackBerry UEM Für die folgenden BlackBerry UEM-Komponenten sind Integritätsbewertungen verfügbar, um festzustellen, ob eine Wiederherstellungsaktion erforderlich ist: Komponenten Zustandsüber‐ wachung BlackBerry MDS Aktiver BlackBerry Connection Service Affinity Manager und BlackBerry Dispatcher (aggregierte Integritätsbewertung) Aktiver BlackBerry Affinity Manager Faktoren für die Integritätsbewertung Aktion, wenn der Zustand unter den Schwellenwert fällt • Werden die Komponenten ausgeführt? • Können sie eine Verbindung zum aktiven BlackBerry Affinity Manager herstellen? • Können sie eine Verbindung zu den BlackBerry 10-Geräten herstellen? Der BlackBerry Affinity Manager verschiebt BlackBerry 10-Geräte von einer fehlerhaften BlackBerry UEM-Instanz auf fehlerfreie Instanzen. • Können sie eine Verbindung zur Datenbank herstellen? Jede Standby-Instanz • des BlackBerry Affinity Manager • Die Standby-Instanzen leiten die Ausfallsicherung ein, und eine Instanz übernimmt die Aufgabe des aktiven BlackBerry Affinity Kann eine Verbindung zum BlackBerry Manager. Dispatcher hergestellt werden? Der Status des BlackBerry Affinity Manager (aktiv, standby oder durch Auswahlprozess aktiv werdend) • Können Aufrufe von BlackBerry UEM Core und jeder Standby-Instanz von BlackBerry Affinity Manager empfangen werden? • Kann eine Verbindung zum BlackBerry Infrastructure hergestellt werden? • Kann eine Verbindung zu den Konfigurationseinstellungen der Datenbank hergestellt und können diese geladen werden? 74 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Installieren einer zusätzlichen BlackBerry UEMInstanz Informationen zur Installation zusätzlicherBlackBerry UEM-Instanzen, um eine Domäne mit hoher Verfügbarkeit zu erstellen,finden Sie in der Dokumentation zu Installation und Upgrade.Vergewissern Sie sich, dass der Computer die Systemanforderungen für die Installation einerBlackBerry UEM-Instanz erfüllt, und führen Sie die notwendigen Schritte vor und nach der Installation aus. Ausführliche Informationen zur Kompatibilitätfinden Sie in der Kompatibilitätsmatrix. Beachten Sie bei der Installation zusätzlicher BlackBerry UEM-Instanzen Folgendes: • Installieren Sie jede Instanz auf einem separaten Computer. • Wählen Sie in der Setupanwendung im Bildschirm Setuptyp die Option Bestehende Domäne verwenden. • Geben Sie im Bildschirm Datenbankinformationen die Informationen der BlackBerry UEM-Datenbank an, die Sie bei der Installation der ursprünglichen BlackBerry UEM-Instanz erstellt haben. Nachdem Sie die zusätzliche BlackBerry UEM-Instanz installiert und die nach der Installation erforderlichen Schritte ausgeführt haben, ist ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit in der Domäne vorhanden. Geräte- und Benutzerdaten werden mit Lastausgleich über die BlackBerry UEM-Instanzen hinweg verteilt, der aktive BlackBerry Affinity Manager überwacht die Enterprise-Konnektivität der jeweiligen Instanz, und die Standby-Instanzen von BlackBerry Affinity Manager überwachen die aktive Instanz, um festzustellen, ob eine Ausfallsicherung erforderlich ist. Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole Um hohe Verfügbarkeit für die BlackBerry UEM-Verwaltungskonsolen zu konfigurieren, können Sie mithilfe des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens einen Round-Robin-Pool festlegen, der die Verbindung zu der jeweiligen Verwaltungskonsole in der Domäne herstellt. Wenn keine Verwaltungskonsole verfügbar ist, stellen der Lastausgleicher oder der DNS-Server eine Verbindung zu einer der verfügbaren Komponenten her. Weitere Informationen über die Einrichtung eines Round-Robin-Pools finden Sie in der Dokumentation des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens. Nach der Konfiguration eines Round-Robin-Pools empfiehlt es sich, die Variablen %AdminPortalURL% und %UserSelfServicePortalURL% in der Verwaltungskonsole (Einstellungen > Allgemeine Einstellungen > Standardvariablen) mit dem Poolnamen zu aktualisieren. Wenn Sie dies tun, können die E-Mail-Nachrichten, die diese Variablen für die Verknüpfung mit der Verwaltungskonsole und dem BlackBerry UEM Self-Service nutzen, den Round-Robin-Pool verwenden. Wenn Sie die einmalige Anmeldung aktiviert haben, müssen Sie die SPN für das Microsoft Active Directory-Konto mit dem Poolnamen aktualisieren und die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu starten. 75 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Eine Instanz der BlackBerry UEM-Verwaltungskonsole im Round-Robin-Pool kann die Verbindung mit der BlackBerry UEMDomäne verlieren, wenn ihr vom DNS-Server eine andere IP-Adresse zugewiesen wird. Die Verbindung wird getrennt, weil die neue IP-Adresse die Anmeldeinformationen des Benutzers nicht erkennt. In diesem Fall muss der Benutzer sich ab- und wieder anmelden. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 76 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 16 Sie können die Datenbankspiegelung verwenden, um hohe Verfügbarkeit für die BlackBerry UEM-Datenbank zu gewährleisten. Die Datenbankspiegelung ist eine Microsoft SQL Server-Funktion, die Ihnen ermöglicht, den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BlackBerry UEM-Datenbank auftreten. Hinweis: Microsoft plant die Einstellung der Datenbankspiegelung in zukünftigen Versionen vonMicrosoft SQL Serverund empfiehlt stattdessen den Einsatz der AlwaysOn-Funktion für die Konfiguration hoher Verfügbarkeit bei Datenbanken. Für den Einsatz von AlwaysOn sind vor der Installation vonBlackBerry UEMKonfigurationsschritte erforderlich. Weitere Informationen zur Verwendung von AlwaysOnfinden Sie im Abschnitt zu Installation und Upgrade.AlwaysOn kann nicht verwendet werden, wenn Sie ein Upgrade vonBES5aufBlackBerry UEMdurchführen (d. h. ein Upgrade derBES5-Datenbank auf eineBlackBerry UEM-Datenbank). AlwaysOn wird nicht für Komponenten unterstützt, dieBlackBerryOS-Geräte verwalten. Wenn Sie die Datenbankspiegelung konfigurieren, erstellen Sie ein Backup der BlackBerry UEM-Prinzipaldatenbank (Datenbank, die während der Installation erstellt wird), und verwenden Sie die Backup-Dateien zum Erstellen einer Spiegeldatenbank auf einem anderen Computer. Anschließend konfigurieren Sie eine Spiegelungsbeziehung zwischen den beiden Datenbanken, sodass die Spiegeldatenbank die gleichen Aktionen ausführt und die gleichen Daten speichert. Um eine automatische Ausfallsicherung (Failover) zu aktivieren, richten Sie einen Zeugenserver für die Überwachung der Prinzipaldatenbank ein. Wenn die Prinzipaldatenbank nicht mehr reagieren sollte, startet der Zeuge eine automatische Ausfallsicherung über die Spiegeldatenbank. Die BlackBerry UEM-Komponenten stellen eine Verbindung zur Spiegeldatenbank her, und der Gerätedienst kann ohne Unterbrechung weitergeführt werden. Nun findet ein Rollentausch statt: die Spiegeldatenbank wird zur Prinzipaldatenbank, und die ursprüngliche Prinzipaldatenbank wird zur Spiegeldatenbank. Dieser Rollentausch kann während einer Spiegelungssitzung mehrmals stattfinden. 77 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung In diesem Abschnitt wird erläutert, wie Sie eine Spiegeldatenbank erstellen und die BlackBerry UEM-Komponenten für die Unterstützung der Datenbankspiegelung konfigurieren. Sie haben zudem die Möglichkeit, die Datenbankspiegelung für die Komponenten zu konfigurieren, die BlackBerry OS-Geräte verwalten. Weitere Informationen finden Sie unter Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten. Weitere Informationen zur Datenbankspiegelung finden Sie unter technet.microsoft.com/sqlserver im Artikel zur Datenbankspiegelung für SQL Server 2008 R2 oder Datenbankspiegelung für SQL Server 2012. Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten Die BlackBerry UEM-Komponenten, die Geräte mit BlackBerry 10, iOS, Android und Windows verwalten, verwenden die gleiche Datenbank wie Komponenten, die BlackBerry OS-Geräte verwalten. Die Komponenten für die Verwaltung von BlackBerry OSGeräten nutzen eine unterschiedliche Methode, um die Verbindung zur Spiegeldatenbank herzustellen. Wenn Sie die Datenbankspiegelung für die Komponenten konfigurieren möchten, die BlackBerry OS-Geräte verwalten, können Sie nach Beendigung dieses Abschnitts zusätzliche Schritte ausführen. Weitere Informationen finden Sie unter help.blackberry.com/detectLang/category/enterprise-services im Administratorhandbuch für BlackBerry Enterprise Server 5 im Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“. In diesem Kapitel finden Sie Anweisungen, wie Sie die Komponenten für die Verwaltung von BlackBerry OS-Geräten mit der Spiegeldatenbank verbinden. Hinweis: Das Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“ beinhaltet Referenzen auf Microsoft SQL Server 2005. Microsoft SQL Server wird in dieser Version nicht mehr unterstützt. Wenn Sie die Datenbankspiegelung für BES5 vor dem Upgrade von BES5 auf BlackBerry UEM konfiguriert haben, funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Konfiguration bezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind. Schritte zum Konfigurieren der Datenbank‐ spiegelung Führen Sie die folgenden Aktionen aus, um die Datenbankspiegelung zu konfigurieren: Schritt Aktion Vergewissern Sie sich, dass die BlackBerry UEM-Domäne die Systemanforderungen und voraussetzungen erfüllt. 78 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Schritt Aktion Erstellen Sie eine Spiegeldatenbank, starten Sie eine Spiegelungssitzung, und richten Sie einen Zeugenserver ein. Konfigurieren Sie die jeweilige BlackBerry UEM-Instanz, die eine Verbindung zur Spiegeldatenbank herstellt. Systemanforderungen: Datenbankspiegelung Objekt Anforderungen Microsoft SQL Server BlackBerry UEM unterstützt die Datenbankspiegelung mit: • Microsoft SQL Server 2008 R2 • Microsoft SQL Server 2012 SQL Server Native Client Der SQL Server 2012 Native Client muss auf jedem Computer verfügbar sein, der eine BlackBerry UEM-Instanz hostet. Die Setupanwendung von BlackBerry UEM installiert den SQL Server 2012 Native Client. Versionsgleichheit Der Microsoft SQL Server, der die Spiegeldatenbank hostet, muss die gleiche Version und Edition aufweisen, wie der Microsoft SQL Server, der die Prinzipaldatenbank hostet. Einheitliches Rechenzentrum Die Prinzipal- und die Spiegeldatenbank müssen sich im gleichen Rechenzentrum befinden. Speicherort der Datenbank Erstellen Sie die Spiegeldatenbank auf einem anderen Computer als die Prinzipaldatenbank. Betriebsmodus Konfigurieren Sie die Datenbankspiegelung im Modus für hohe Sicherheit mit automatischer Ausfallsicherung. Zeuge Ein Zeugenserver ist für die automatische Ausfallsicherung erforderlich. Der Zeugenserver muss ein anderer Server als der Prinzipalserver oder der Spiegelserver sein. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder Datenbank-Spiegelungszeuge – SQL Server 2012. 79 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Voraussetzungen: Konfigurieren der Datenbankspiegelung • Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass der Zugriff von Remote-Computern zulässig ist. • Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass sie die gleichen Berechtigungen aufweisen. • Richten Sie einen Zeugenserver ein, der für die Überwachung des Prinzipalservers verwendet wird. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder DatenbankSpiegelungszeuge – SQL Server 2012. • Konfigurieren Sie den Microsoft SQL Server-Agent so, dass ein Domänenbenutzerkonto mit den gleichen lokalen Administratorrechten wie für das Windows-Konto verwendet wird, das die BlackBerry UEM-Dienste ausführt. • Vergewissern Sie sich, dass das Domänenbenutzerkonto Berechtigungen für den Prinzipal- und den Spiegelserver aufweist. • Vergewissern Sie sich, dass der DNS-Server ausgeführt wird. • Deaktivieren Sie auf jedem Computer, der eine BlackBerry UEM-Datenbankinstanz hostet, im SQL Server 2012 Native Client die Option „Named Pipes“. Wenn Sie die Option „Named Pipes“ nicht deaktivieren möchten, lesen Sie Artikel KB34373 unter http://support.blackberry.com/kb. • Informationen zu zusätzlichen Voraussetzungen, die die Microsoft SQL Server-Version Ihres Unternehmens erfüllen muss, finden Sie unter technet.microsoft.com/sqlserver im Artikel Datenbankspiegelung - SQL Server 2008 R2 oder Datenbankspiegelung - SQL Server 2012. • Wenn die Spiegeldatenbank die standardmäßige Instanz verwendet, können die BlackBerry UEM-Komponenten eine Verbindung mit dieser nur über den standardmäßigen Port 1433, nicht aber über einen benutzerdefinierten statischen Port herstellen. Dies wird bedingt durch eine Einschränkung von Microsoft SQL Server 2005 und höher. Weitere Informationen hierzu finden Sie unter SQL 2005 JDBC Driver and Database Mirroring. Erstellen und Konfigurieren einer Spiegeldatenbank Bevor Sie beginnen: Zur Pflege der Datenbankintegrität während der Erstellung und Konfiguration der Spiegeldatenbank sollten die BlackBerry UEM-Dienste auf allen Computern, die eine BlackBerry UEM-Instanz hosten, heruntergefahren werden. 1. Navigieren Sie in Microsoft SQL Server Management Studio zur Prinzipaldatenbank. 2. Ändern Sie die Eigenschaft Wiederherstellungsmodell in VOLLSTÄNDIG. 3. Führen Sie im Abfrageeditor die Abfrage -- ALTER DATABASE <BUEM_db> SET TRUSTWORTHY ON aus, wobei <BUEM_db> der Name der Prinzipaldatenbank ist. 80 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 4. Erstellen Sie eine Sicherungskopie der Prinzipaldatenbank. Ändern Sie die Option Art der Sicherungskopie in Vollständig. 5. Kopieren Sie die Sicherungsdateien auf den Spiegelserver. 6. Stellen Sie die Datenbank auf dem Spiegelserver wieder her, um die Spiegeldatenbank zu erstellen. Wählen Sie beim Wiederherstellen der Datenbank die Option KEINE NOTFALLWIEDERHERSTELLUNG. 7. Vergewissern Sie sich, dass der Name der Spiegeldatenbank mit dem Namen der Prinzipaldatenbank übereinstimmt. 8. Klicken Sie auf dem Prinzipalserver in Microsoft SQL Server Management Studio mit der rechten Maustaste auf die Prinzipaldatenbank, und wählen Sie den Task Spiegeln aus. Klicken Sie auf der Seite Spiegelung auf Konfigurieren der Sicherheit, um den Assistenten zum Konfigurieren der Sicherheit für die Datenbankspiegelung zu starten. 9. Starten Sie die Spiegelung. Weitere Informationen finden Sie unter Einrichten der Datenbankspiegelung – SQL Server 2008 R2 oder Einrichten der Datenbankspiegelung – SQL Server 2012. 10. Fügen Sie der Spiegelungssitzung einen Zeugen hinzu, um die automatische Ausfallsicherung zu aktivieren. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder Datenbank-Spiegelungszeuge – SQL Server 2012. Wenn Sie fertig sind: • Um sich zu vergewissern, dass die Ausfallsicherung richtig funktioniert, führen Sie manuell eine Ausfallsicherung zur Spiegeldatenbank und zurück zur Prinzipaldatenbank durch. • Starten Sie die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu. Beenden Sie BlackBerry UEM - BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BlackBerry UEM - BlackBerry Affinity Manager-Diensts automatisch neu gestartet. • Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank. Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank Sie müssen diesen Schritt auf jedem Computer wiederholen, auf dem eine BlackBerry UEM-Instanz gehostet wird. Wenn der BlackBerry Router als einzige BlackBerry UEM-Komponente auf einem Computer vorhanden ist, müssen Sie diesen Schritt auf diesem Computer nicht ausführen. Bevor Sie beginnen: • Erstellen und Konfigurieren einer Spiegeldatenbank. • Vergewissern Sie sich, dass der Spiegelserver ausgeführt wird. • Sie können diese Aufgabe mithilfe des BlackBerry UEM-Konfigurationstools durchführen, oder Sie können die Datei mit den Datenbankeigenschaften manuell mithilfe der folgenden Anweisungen aktualisieren. Wenn Sie das BlackBerry UEM-Konfigurationstool verwenden möchten, lesen Sie den Artikel KB36443 unter http:// 81 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung support.blackberry.com/kb. Befolgen Sie die Anweisungen im Abschnitt „Aktualisieren der BlackBerry UEMDatenbankeigenschaften“, um die SQL-Spiegelung zu aktivieren und den FQDN des Spiegelservers bereitzustellen. 1. Navigieren Sie auf dem Computer, auf dem die BlackBerry UEM-Instanz gehostet wird, zu <Laufwerk>:\Programme \BlackBerry\UEM\common-settings. 2. Öffnen Sie DB.properties in einem Texteditor. 3. Geben Sie im Abschnitt Optionale Einstellungen für die Verwendung der Ausfallsicherung nach configuration.database.ng.failover.server= den FQDN des Spiegelservers ein (z. B. configuration.database.ng.failover.server=mirror_server.domain.net). 4. Falls erforderlich, führen Sie eine der folgenden Aktionen aus: 5. • Wenn Sie während der Installation eine benannte Instanz für die Prinzipaldatenbank festgelegt haben, die Spiegeldatenbank jedoch die Standardinstanz verwendet, löschen Sie den Wert nach configuration.database.ng.failover.instance=. • Wenn die Prinzipaldatenbank eine Standardinstanz und die Datenbank eine benannte Instanz verwendet, geben Sie nach configuration.database.ng.failover.instance= die benannte Instanz ein. Speichern und schließen Sie DB.properties. Wenn Sie fertig sind: • Starten Sie die BlackBerry UEM-Dienste neu. Beenden Sie BlackBerry UEM - BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BlackBerry UEM - BlackBerry Affinity Manager-Diensts automatisch neu gestartet. • Wiederholen Sie diesen Schritt auf jedem Computer, der eine BlackBerry UEM-Instanz hostet. • Überprüfen Sie, ob jeder Computer, auf dem eine Instanz von BlackBerry UEM gehostet wird, mithilfe des Serverkurznamens eine Verbindung zum Spiegelserver herstellen kann. Konfigurieren einer neuen Spiegeldatenbank Wenn Sie eine neue Spiegeldatenbank erstellen und konfigurieren nachdem ein Rollentausch stattgefunden hat (d. h. die BlackBerry UEM-Komponenten wurden im Zuge der Ausfallsicherung von der vorhandenen Spiegeldatenbank übernommen und die vorhandene Spiegeldatenbank wurde zur Prinzipaldatenbank), wiederholen Sie den Schritt Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank auf jedem Computer, auf dem eine BlackBerry UEM-Instanz gehostet wird. Konfigurieren Sie bei Bedarf die Komponenten, die BlackBerry OS-Geräte verwalten, sodass diese eine Verbindung zu dem neuen Spiegelserver herstellen können (siehe Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten). 82 Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen zu Exchange ActiveSync herzustellen Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen zu Exchange ActiveSync herzustellen 17 Wenn Sie den BlackBerry Secure Gateway Service aktivieren, um über BlackBerry UEM eine sichere Verbindung zwischen dem E-Mail-Server Ihres Unternehmens und iOS-Geräten mit der Aktivierungsart MDM-Steuerelemente zur Verfügung zu stellen, können Sie BlackBerry UEM so konfigurieren, dass TLS/SSL-Verbindungen zu Exchange ActiveSync hergestellt werden. Wenn Ihr Exchange ActiveSync-Server so konfiguriert ist, dass eine TLS-Verbindung erforderlich ist, müssen Sie das Exchange ActiveSync-Serverzertifikat (oder dessen Stammzertifikat) zu BlackBerry UEM hinzufügen. Der BlackBerry Secure Gateway Service verlangt das Zertifikat, damit der Exchange ActiveSync-Server als vertrauenswürdig erkannt wird, wenn die TLS/SSLVerbindung eingerichtet wird. Je nach den Sicherheitsanforderungen des Exchange ActiveSync-Servers müssen Sie möglicherweise auch die Liste der TLSVersionen und Chiffrierschlüssel aktualisieren, die der BlackBerry Secure Gateway Service für die Authentifizierung mit Exchange ActiveSync verwenden kann. Konfigurieren von BlackBerry UEM, sodass das Exchange ActiveSync-Serverzertifikat als vertrauenswürdig erkannt wird Bevor Sie beginnen: Exportieren Sie das Zertifikat vom Exchange ActiveSync-Server im X.509-Format (*.cer, *.der), und speichern Sie es in einem Netzwerkpfad, auf den Sie über die Verwaltungskonsole zugreifen können. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Vertrauenswürdige Zertifikate. 2. Click 3. Klicken Sie auf Durchsuchen. 4. Wählen Sie das zu verwendende E-Mail-Profil aus. 5. Klicken Sie auf Öffnen. 6. Geben Sie eine Beschreibung für das Zertifikat ein. 7. Klicken Sie auf Hinzufügen. neben Exchange ActiveSync-Server-Vertrauensstellungen. 83 Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen zu Exchange ActiveSync herzustellen Konfigurieren von BlackBerry UEM zur Verwendung der TLS-Versionen und der Chiffrierschlüssel, die Exchange ActiveSync unterstützt 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Secure Gateway Service. 2. Click 3. Klicken Sie auf die TLS-Version oder den Chiffrierschlüssel, den bzw. die Sie in der Liste Ausgewählt hinzufügen oder aus der Liste entfernen möchten. 4. Klicken Sie auf den Pfeil, um das Element in die gewünschte Liste zu verschieben. 5. Klicken Sie auf Zuweisen. in der Tabelle, an der Sie Änderungen vornehmen möchten. 84 Vereinfachung von Windows 10-Aktivierungen Vereinfachung von Windows 10Aktivierungen 18 Sie können eine Java-Webanwendung von BlackBerry als Suchdienst verwenden, um den Aktivierungsvorgang für Benutzer mit Windows 10-Geräten zu vereinfachen. Wenn Sie den Suchdienst verwenden, müssen Sie während des Aktivierungsvorgangs keine Serveradresse eingeben. Wenn Sie diese Webanwendung nicht bereitstellen möchten, können Benutzer Windows 10Geräte auch aktivieren, indem sie die Serveradresse bei Aufforderung eingeben. Sie können verschiedene Betriebssysteme und Webanwendungs-Tools zur Bereitstellung einer Suchdienst-Webanwendung verwenden. Dieser Abschnitt beinhaltet die Schritte der oberen Ebene. Unter Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen finden Sie ein Beispiel für die spezifischen Schritte für gängige Betriebssysteme und Tools. Wenn Sie eine Suchdienst-Webanwendung bereitstellen, führen Sie die folgenden Schritte aus: Schritt Aktion Erstellen Sie einen statischen DNS-Host-A-Datensatz für den Java-Anwendungsserver. Der Datensatz muss enterpriseenrollment.<E-Mail-Domäne> lauten. Dabei entspricht <E-Mail-Domäne> der E-MailAdresse der Benutzer. Wenn Sie Benutzern die Berechtigung erteilen möchten, Geräte zu aktivieren, wenn sie sich außerhalb des Unternehmensnetzwerks befinden, konfigurieren Sie den Computer, der den Suchdienst hostet, für den externen Empfang über Port 443. Erstellen und installieren Sie ein Zertifikat, um für sichere TLS-Verbindungen zwischen Windows 10Geräten und dem Suchdienst zu sorgen. Besuchen Sie BlackBerry UEM-Tools, um das Tool für die automatische Proxyermittlung herunterzuladen. Führen Sie die Datei aus, um eine .war-Datei zu extrahieren, und stellen Sie sie im Stamm des Java-Anwendungsservers bereit. Aktualisieren Sie die wdp.properties-Datei der Suchdienst-Webanwendung, um eine Liste der SRP-IDs Ihres Unternehmens hinzuzufügen. 85 Vereinfachung von Windows 10-Aktivierungen Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen Die folgenden Schritte zeigen, wie Sie die Suchdienst-Webanwendung in der unten beschriebenen Umgebung bereitstellen können. Bevor Sie beginnen: Stellen Sie sicher, dass die folgende Software in Ihrer Umgebung installiert ist und ausgeführt wird: 1. • Windows Server 2012 R2 • Java JRE 1.8 oder höher • Apache Tomcat 8 Version 8.0 oder höher Konfigurieren Sie eine statische IP-Adresse für den Computer, der den Suchdienst hostet. Hinweis: Wenn Sie Benutzern die Berechtigung erteilen möchten, Geräte zu aktivieren, wenn sie sich außerhalb des Unternehmensnetzwerks befinden, muss der Zugriff auf die IP-Adresse extern über Port 443 möglich sein. 2. Erstellen Sie einen DNS-Host-A-Datensatz für den Namen enterpriseenrollment.<E-Mail-Domäne>, der auf die in Schritt 1 konfigurierte statische IP-Adresse verweist. 3. Durchsuchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, die Datei „server.xml“ nach 8080, und wenden Sie Kommentar-Tags wie im folgenden Beispiel an: <!-<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> --> 4. Durchsuchen Sie server.xml, und ändern Sie alle Instanzen von 8443 zu 443. 5. Suchen Sie nach dem Abschnitt <Connector port= "443", entfernen Sie die Kommentar-Tags darüber und darunter, und ändern Sie sie wie im folgenden Beispiel: <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Users\<account name> \.keystore" /> 6. Generieren Sie, während Sie mit dem Konto angemeldet sind, das Sie im Beispiel oben angegeben haben, ein Zertifikat, indem Sie die zwei im folgenden Beispiel gezeigten Befehle ausführen. Wenn Sie aufgefordert werden, Ihren Vor- und Nachnamen einzugeben, geben Sie enterpriseenrollment.<email domain> wie unten angezeigt ein: C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 86 Vereinfachung von Windows 10-Aktivierungen C:\Program Files (x86)\Java\jre1.8.0_60\bin> keytool -certreq -alias tomcat -keyalg RSA -file <filename>.csr C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 Enter keystore password: changeit What is your first and last name? [Unknown]: enterpriseenrollment.example.com What is the name of your organizational unit? [Unknown]: IT Department What is the name of your organization? [Unknown]: Manufacturing Co. What is the name of your City or Locality? [Unknown]: Waterloo What is the name of your State or Province? [Unknown]: Ontario What is the two-letter country code for this unit? [Unknown]: CA Is CN=enterpriseenrollment.example.com, OU=Business Unit, O=Example Company, L=Waterloo, ST=Ontario, C=CA correct? [no]: yes C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -certreq -alias tomcat -keyalg RSA -file <enterpriseenrollment.example.com>.csr Enter key password for <enterpriseenrollment.example.com> (RETURN if same as keystore password): 7. 8. Senden Sie die Anforderung für die Zertifikatssignatur an eine Zertifizierungsstelle. Die Zertifizierungsstelle sendet eine .p7b-Datei zurück. Beim Beispiel oben würde die Zertifizierungsstelle die Datei enterpriseenrollment.example.com.p7b zurücksenden. • Wenn Sie die Anforderung für die Zertifikatssignatur an eine große, externe Zertifizierungsstelle senden, sollten Benutzer keine weiteren Schritte unternehmen müssen, um die Glaubwürdigkeit des Zertifikats bei der Aktivierung nicht zu gefährden. • Wenn Sie die Anforderung für die Zertifikatssignatur an eine interne Zertifizierungsstelle senden, müssen Sie das Zertifizierungsstellenzertifikat auf dem Gerät installieren, bevor Sie mit der Aktivierung beginnen. Installieren Sie das Zertifikat mithilfe des im folgenden Beispiel gezeigten Befehls: C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -import -trustcacerts -alias tomcat -file <filename>.p7b 9. Beenden Sie Apache Tomcat. 10. Besuchen Sie BlackBerry UEM-Tools, um das Tool für die automatische Proxyermittlung herunterzuladen. Extrahieren Sie den Inhalt der ZIP-Datei, und starten Sie W10AutoDiscovery-<Version>.exe. Die Datei W10AutoDiscovery-<Version>.war wird aus der EXE-Datei in das Verzeichnis C:\BlackBerry extrahiert. 11. Suchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, nach dem Ordner \webapps\ROOT. Wenn dieser bereits vorhanden ist, löschen Sie den Ordner \ROOT. 87 Vereinfachung von Windows 10-Aktivierungen 12. Benennen Sie W10AutoDiscovery-<Version>.war in ROOT.war um. Verschieben Sie die Datei in den Ordner \webapps in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben. 13. Starten Sie Apache Tomcat. Apache Tomcat stellt die neue Webanwendung bereit und erstellt einen \webapp\ROOT folder. 14. Führen Sie notepad.exe als Administrator aus. Öffnen Sie in dem Verzeichnis, in dem Apache Tomcat installiert wurde, \webapps\ROOT\WEB-INF\classes\config\wdp.properties. 15. Fügen Sie die Host-ID für Ihre BlackBerry UEM-Domäne, wie im Beispiel unten gezeigt wird, zur Zeile wdp.whitelisted.srpid hinzu. Sie finden die Host-ID für Ihre BlackBerry UEM-Domäne in der BlackBerry UEMVerwaltungskonsole. Wenn Sie über mehrere BlackBerry UEM-Domänen verfügen, geben Sie die Host-ID für jede Domäne ein. Führen Sie folgende Aktionen aus: a. Klicken Sie in der Menüleiste auf Einstellungen > Lizenzierung > Lizenzierungszusammenfassung. b. Klicken Sie auf Lizenzen aktivieren. c. Klicken Sie in der Dropdown-Liste Lizenz-Aktivierungsmethode auf Host-ID. wdp.whitelisted.srpid=<Host ID>, <Host ID>, <Host ID> 16. Starten Sie Apache Tomcat neu. 88 Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen 19 Wenn Sie Windows 10-Apps verwalten möchten, müssen Sie BlackBerry UEM zur Synchronisierung mit dem Windows Store für Unternehmen konfigurieren. Wenn Sie BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen konfigurieren, führen Sie die folgenden Schritte aus: Schritt Aktion Erstellen und Konfigurieren eines Microsoft Azure-Kontos. Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes. Erstellen eines Administrators für den Windows Store für Unternehmen. Erstellen und Konfigurieren eines Microsoft Azure-Kontos Zum Verwalten von Windows 10-Apps in BlackBerry UEM müssen Sie ein Microsoft Azure-Konto erstellen, und BlackBerry UEM muss sich bei Microsoft Azure authentifizieren. Bevor Sie beginnen: Geben Sie den freigegebenen Netzwerkpfad zum Speichern von Offline-Apps an. Weitere Informationen zum freigegebenen Netzwerkpfad finden Sie unter „Angeben des freigegebenen Netzwerkpfads zur Speicherung interner Apps“ in der Dokumentation für Administratoren. 1. Melden Sie sich mit Ihrem Microsoft-Konto bei https://azure.microsoft.com an. Wenn Sie nicht über ein Microsoft-Konto verfügen, klicken Sie auf Microsoft-Konto erstellen. 2. Wenn Sie nicht über ein Microsoft Azure-Abonnement verfügen, klicken Sie auf Bei Windows Azure anmelden. Kreditkartendaten sind erforderlich. 3. Erstellen Sie ein Microsoft Azure Active Directory. Optional können Sie das Standardverzeichnis verwenden. Es wird jedoch empfohlenen, ein neues Verzeichnis zu erstellen, damit Sie einen neuen Verzeichnisnamen festlegen können. 89 Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen a. Klicken Sie im linken Fensterbereich auf Active Directory. b. Klicken Sie auf Neu. Wählen Sie App-Services > Active Directory > Verzeichnis > Benutzerdefiniert erstellen aus. 4. c. Bitte füllen Sie die notwendigen Felder aus. d. Klicken Sie auf das Häkchen. Um eine virtuelle Darstellung von BlackBerry UEM im Microsoft Azure-Verzeichnis hinzuzufügen, führen Sie die folgenden Aktionen durch. Das Hinzufügen einer virtuellen Darstellung ermöglicht BlackBerry UEM die Authentifizierung mit Microsoft Azure. a. Klicken Sie in dem zuvor erstellten Verzeichnis auf Anwendungen. b. Klicken Sie auf Hinzufügen. c. Klicken Sie auf Eine von meinem Unternehmen entwickelte Anwendung hinzufügen. d. Geben Sie einen Namen für die Anwendung ein. Z. B. BUEM. e. Wählen Sie Webanwendung und/oder Web-API. f. Geben Sie im Feld Anmelde-URL eine beliebige gültige URL ein. Zum Beispiel http://beispiel. Dieses Feld wird in BlackBerry UEM nicht verwendet, muss aber in Microsoft Azure ausgefüllt werden. g. Geben Sie im Feld App-ID-URI eine gültige URI ein. Zum Beispiel http://beispiel. Dieses Feld wird in BlackBerry UEM nicht verwendet, muss aber in Microsoft Azure ausgefüllt werden. h. Klicken Sie auf das Häkchen. Wenn Sie fertig sind: Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes. Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes Bevor Sie beginnen: Erstellen und Konfigurieren eines Microsoft Azure-Kontos. 1. Klicken Sie in der Microsoft Azure-Konsole auf Konfigurieren. 2. Kopieren Sie die Client-ID. 90 Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen 3. Klicken Sie in der BlackBerry UEM-Verwaltungskonsole in der Menüleiste auf Einstellungen > App Management > Windows 10 Apps, und fügen Sie die Client-ID in das Feld Client-ID ein. 4. Wählen Sie in der Microsoft Azure-Konsole im Abschnitt Schlüssel in der Dropdown-Liste Dauer auswählen ein Dauer aus. 5. Klicken Sie auf Speichern. 6. Kopieren Sie den Schlüssel. 7. Fügen Sie den Schlüssel in der BlackBerry UEM-Verwaltungskonsole in das Feld Client-Schlüssel ein. 8. Klicken Sie in der Microsoft Azure-Konsole auf Endpunkte anzeigen. 9. Kopieren Sie die URL im Feld Token-Endpunkt-URL. 10. Fügen Sie in der BlackBerry UEM-Verwaltungskonsole die Token-Endpunkt-URL im Feld OAuth 2.0 Token-Endpunkt ein. 11. Klicken Sie in der BlackBerry UEM-Verwaltungskonsole auf Weiter. Wenn Sie fertig sind: Erstellen eines Administrators für den Windows Store für Unternehmen. Erstellen eines Administrators für den Windows Store für Unternehmen Um Windows 10-Apps auf Geräten zu verwalten, müssen Sie einen App-Katalog im Windows Store für Unternehmen erstellen und die Apps mit BlackBerry UEM synchronisieren. Zum Erstellen des Katalogs im Windows Store für Unternehmen müssen Sie mindestens ein Administratorkonto für die Anmeldung im Store einrichten. Bevor Sie beginnen: • Erstellen und Konfigurieren eines Microsoft Azure-Kontos. • Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes. 1. Navigieren Sie zum Microsoft Azure-Verzeichnis, und klicken Sie auf Benutzer. 2. Klicken Sie auf Benutzer hinzufügen. 3. Geben Sie die erforderlichen Benutzerdaten auf dem Bildschirm ein. 4. Klicken Sie auf den Pfeil „Weiter“. 5. Geben Sie die erforderlichen Benutzerdaten auf dem Bildschirm ein. 6. Wählen Sie in der Dropdown-Liste Rolle die Option Globaler Administrator aus. 7. Geben Sie eine alternative E-Mail-Adresse ein. 8. Klicken Sie auf den Pfeil „Weiter“. 9. Klicken Sie im Bildschirm auf Erstellen. 10. Kopieren Sie das temporäre Kennwort. 91 Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen 11. Klicken Sie auf das Häkchen. 12. Klicken Sie auf Anwendungen. 13. Klicken Sie in der virtuellen Darstellung von BlackBerry UEM auf Zuweisen, um die App dem Benutzer zuzuweisen. Aktivieren der App in Windows Store für Unternehmen Bevor Sie beginnen: • Erstellen und Konfigurieren eines Microsoft Azure-Kontos. • Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes. • Erstellen eines Administrators für den Windows Store für Unternehmen 1. Melden Sie sich mit dem von Ihnen erstellten globalen Administratorkonto beim Windows Store für Unternehmen an. 2. Klicken Sie auf Einstellungen > Verwaltungstool. 3. Wählen Sie die App aus, die Sie als MDM-Tool erstellt haben, das mit Windows Store für Unternehmen synchronisiert werden soll. 4. Klicken Sie auf Aktivieren. Entfernen der Verbindung zum Windows Store für Unternehmen Wenn Sie die Verbindung zum Windows Store für Unternehmen entfernen, werden alle Windows 10-Apps, die mit BlackBerry UEM synchronisiert wurden, entfernt, und die Zuweisung der Apps zu Benutzern und Gruppen wird aufgehoben. 1. Klicken Sie in der Menüleiste auf Einstellungen > App-Verwaltung > Windows 10-Apps. 2. Klicken Sie auf Verbindung entfernen. 3. Klicken Sie auf Entfernen. 92 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank 20 Über die BlackBerry UEM-Verwaltungskonsole können Sie Benutzer, Geräte, Gruppen und andere Daten von einer BES10Quelldatenbank oder einer lokalen BES12- oder BlackBerry UEM-Datenbank migrieren. Führen Sie zum Migrieren von Benutzern, Geräten, Gruppen und anderen Daten die folgenden Schritte durch: Schritt Aktion Überprüfen Sie die Migrationsvoraussetzungen. Herstellen einer Verbindung zu einer Quelldatenbank. Migrieren Sie optional IT-Richtlinien, Profilen und Gruppen. Migrieren Sie Benutzer. Migrieren Sie Geräte. Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie mit der Migration beginnen. Voraussetzung Details Anmelden Melden Sie sich bei BlackBerry UEM als Sicherheitsadministrator an. 93 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Voraussetzung Details Überprüfen der Softwareversion So migrieren Sie Daten zu BlackBerry UEM: • Die Instanz, aus der Sie Daten migrieren, muss in BES12 Version 12.4 oder 12.5 oder in BlackBerry UEM Version 12.6 oder höher vorliegen. • Die BES10-Instanz, aus der Sie Daten migrieren, muss in Version 10.2.3 oder höher vorliegen. Konfigurieren der Verbindung Konfigurieren Sie die Verbindung mit dem BlackBerry UEM-Zielunternehmensverzeichnis auf mit dem BlackBerry UEMdie gleiche Weise wie in der Quelle. Wenn die Quelle beispielsweise für die Active DirectoryUnternehmensverzeichnis Integration konfiguriert und mit der Domäne „beispiel.com“ verbunden ist, konfigurieren Sie das BlackBerry UEM-Ziel für die Active Directory-Integration und die Verbindung mit der Domäne „beispiel.com“. Defragmentieren der Datenbanken Defragmentieren Sie die Quelldatenbanken und die BlackBerry UEM-Zieldatenbank (sofern vorhanden), bevor Sie die Migration beginnen. Wenn Sie eine große Benutzerzahl migrieren, sollten Sie die BlackBerry UEM-Zieldatenbank nach jeder Migration einer Benutzergruppe defragmentieren. Weitere Informationen zur Defragmentierung einer Microsoft SQL Server 2012-Datenbank finden Sie unter www.technet.microsoft.com im Artikel „Neuorganisieren und Neuerstellen von Indizes“. Herstellen einer Verbindung zu einer Quelldatenbank Sie müssen eine Verbindung zwischen BlackBerry UEM und der Datenbank herstellen, von der aus Daten migriert werden. Sie können mehrere Quelldatenbanken hinzufügen, es kann jedoch immer nur eine aktive Quelldatenbank geben. Hinweis: Stellen Sie sicher, dass das mit den Anmeldeinformationen für die Datenbank verknüpfte Konto, das Sie für die Anmeldung bei der Datenbank verwenden, über Schreibrechte verfügt. 1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Konfiguration. 2. Klicken Sie auf 3. Wählen Sie in der Dropdown-Liste Quelltyp den Typ der Quelldatenbank aus. 4. Geben Sie im Feld Anzeigename einen beschreibenden Namen für die Quelldatenbank ein. 5. Geben Sie im Feld Datenbankserver den Namen des Computers ein, der die Quelldatenbank hostet. Verwenden Sie dabei für einen dynamischen Port das Format <Host>\<Instanz> und für einen statischen Port das Format <Host>:<Port>. 6. Wählen Sie in der Dropdown-Liste Datenbank-Authentifizierungstyp den Authentifizierungstyp aus, der für die Verbindung mit der Quelldatenbank verwendet werden soll. . 94 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank 7. Führen Sie einen der folgenden Schritte aus: Option Beschreibung BES10-Quelldatenbank 1. Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den Feldern Benutzername und Kennwort Ihre Anmeldeinformationen für die Verbindung mit der Quelldatenbank ein. 2. Geben Sie im Feld BDS-Datenbankname den Namen der Quelldatenbank (z. B. „BDSMgmt“) ein. 1. Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den Feldern SQL-Benutzername und SQL-Kennwort Ihre Anmeldeinformationen für die Verbindung mit der Quelldatenbank ein. 2. Geben Sie im Feld Datenbankname den Namen der Quelldatenbank ein. 3. Wählen Sie in der Dropdown-Liste BES12- oder UEMQuellauthentifizierungstyp den Authentifizierungstyp für die Anmeldung bei der BES12- oder BlackBerry UEM-Quellverwaltungskonsole aus. 4. Geben Sie in den Feldern Benutzername und Kennwort Ihre Anmeldeinformationen für die Anmeldung bei der Quellverwaltungskonsole ein. 5. Wenn Sie die Microsoft Active Directory-Authentifizierung ausgewählt haben, geben Sie im Feld Domäne den Namen der Domäne ein, in der sich die Quellverwaltungskonsole befindet. Bei Auswahl einer BES12- oder BlackBerry UEM-Quelldatenbank 8. Klicken Sie auf Speichern. 9. Klicken Sie zum Testen der Verbindung zwischen der Quelldatenbank und der Zieldatenbank auf Verbindung testen. 10. Klicken Sie auf Speichern. Wenn Sie fertig sind: • Informationen zur Migration von IT-Richtlinien, Profilen und Gruppen finden Sie unter Bewährte Verfahren im Abschnitt Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank. • Informationen zur Migration von Benutzern finden Sie unter Bewährte Verfahren im Abschnitt Migrieren von Benutzern aus der Quelldatenbank. • Informationen, die nach der Migration von Benutzern hilfreich sind, finden Sie unter Migrieren von Geräten aus der Quelldatenbank. 95 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Bewährte Verfahren: Migrieren von ITRichtlinien, Profilen und Gruppen aus einer Quelldatenbank Wenn SieBES10-IT-Richtlinien, -Profile und -Gruppen zuBlackBerry UEMmigrieren, beachten Sie folgende Richtlinien: Objekt Überlegungen Gruppen Migrierte Gruppen behalten die ihnen zugewiesenen IT-Richtlinien und Profile. Benutzer Migrierte Benutzer behalten die ihnen zugewiesenen IT-Richtlinien, Profile und Gruppen nicht. Nach der Migration müssen Sie jeder Gruppe in BlackBerry UEM Benutzer neu zuweisen. Kennwörter für IT-Richtlinien Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für iOS- oder Android-Geräte eine Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt, können keine BES10-IT-Richtlinien oder -Profile migriert werden. Heben Sie die Auswahl auf, oder aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu. Benutzerdefinierte Variablen Während der Migration ordnet BlackBerry UEM die benutzerdefinierten Variablen von BES10 %custom1% bis %custom5% den benutzerdefinierten Variablen für Kennwörter %custom_pswd1% bis %custom_pswd5% unter BlackBerry UEM zu. Um Fehler mit Kennwörtern bei Verwendung dieser Variablen in BES10 zu vermeiden, verwenden Sie diese auf die gleiche Weise wie in BlackBerry UEM. Wenn %custom1% beispielsweise als Kennwort für ein ActiveSync-E-Mail-Profil in BES10 verwendet wurde, muss %custom_pwd1% in BlackBerry UEM für den gleichen Zweck verwendet werden. Diese Variablen werden in der BlackBerry UEM-Datenbank verschlüsselt. Profile für freigegebenes Zertifikat Nach der Migration werden Profile für freigegebene Zertifikate, die ein SCEP-Zertifikat beinhalten, im SCEP-Abschnitt angezeigt. Aktivierungsprofile Aktivierungsprofile werden nicht migriert. Nach der Migration müssen Sie jedem Benutzer ein Aktivierungsprofil mit der gleichen Aktivierungsart zuweisen, die er in BES10 hatte. Zertifizierungsstellenzertifikat In BlackBerry UEM müssen Sie alle migrierten Zertifizierungsstellenzertifikate Geräten e manuell zuweisen (diese wurden in BES10 automatisch zugewiesen). Bevor Sie ein migriertes Zertifizierungsstellenzertifikat Benutzern oder einer Gruppe, die Benutzer mit iOS-, Androidoder Windows-Geräten enthält, zuweisen können, müssen Sie das Profil für Zertifizierungsstellenzertifikate in BlackBerry UEM öffnen und auf „Bearbeiten“ und dann auf „Speichern“ klicken. 96 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Objekt Überlegungen IT-Richtlinienregeln Die folgenden IT-Richtlinienregeln können nicht von BES10 nach BlackBerry UEM migriert werden: • Gerät sichern und wiederherstellen • Geschäftlichen Bereich sichern und wiederherstellen • Cloud-Speicherzugriff über den geschäftlichen Bereich • Hotspot WPA2-Personal-Sicherheitstyp • Erstellung eines Verschlüsselungsschlüssels für die Zwei-Faktor-Authentifizierung • WebGL Wenn Sie BES12- oder BlackBerry UEM-IT-Richtlinien, -Profile und -Gruppen in eine andere Domäne migrieren, beachten Sie Folgendes: Objekt Überlegungen Kennwörter für IT-Richtlinien Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für Android-Geräte eine Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt, können keine BES12- oder BlackBerry UEM-IT-Richtlinien oder -Profile migriert werden. Heben Sie die Auswahl auf, oder aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu. Profilnamen Nach der Migration müssen Sie sicherstellen, dass alle Profile für SCEP, Benutzeranmeldeinformationen, freigegebene Zertifikate und Zertifizierungsstellenzertifikate eindeutige Namen haben. Wenn zwei Profile des gleichen Typs den gleichen Namen haben, müssen Sie den Namen eines der Profile bearbeiten. Verzeichnisgruppen Für die Migration von Verzeichnisgruppen muss für die Quell- und Zieldatenbank jeweils ein Verzeichnis konfiguriert sein. Dieses Verzeichnis muss in der Quell- und Zieldatenbank auf die gleiche Weise konfiguriert sein. Wenn die Verzeichnisse nicht entsprechend eingerichtet sind, werden die Verzeichnisgruppen nicht migriert. Verschachtelte Gruppen Wenn die Quell- und Zieldatenbanken BES12- oder BlackBerry UEM-Datenbanken sind, die in BES5 integriert wurden, können verschachtelte Benutzergruppen nicht migriert werden. Wenn Sie versuchen, verschachtelte Gruppen zu migrieren, ist die Migration anderer Gruppen, Profile und PKI-Konfigurationsinformationen möglicherweise nicht möglich. Good Dynamics -Profile Sie können Good Dynamics-Profile in BES12 Version 12.4 und Version 12.5 erstellen, diese jedoch nur von BES12 Version 12.5 zu BES12 Version 12.5 oder BlackBerry UEM Version 12.6 oder höher migrieren. 97 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank IT-Richtlinien, Profile und Gruppen können optional aus einer Quelldatenbank migriert werden. Bei der Migration werden ausgewählte IT-Richtlinien, E-Mail-Profile, WLAN-Profile, VPN-Profile, Proxy-Profile, Profile für Zertifizierungsstellenzertifikate, Profile für freigegebene Zertifikate, SCEP-Profile, Benutzeranmeldeinformationen und Zertifizierungsstellen-Einstellungen in die Zieldatenbank kopiert. Alle Richtlinien und Profile, die mit den von Ihnen ausgewählten Richtlinien und Profilen verknüpft sind, werden auch migriert. Hinweis: Bei Migrationen von BES10 werden alle Gruppen migriert. Für Gruppen aus BES12 oder BlackBerry UEM werden Benutzer, Rollen, Softwarekonfigurationszuordnungen und Attribute von BlackBerry OS nicht migriert. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Wenn mehr als eine Quelldatenbank konfiguriert wurde, klicken Sie im linken Fensterbereich auf Migration > Konfiguration, und aktivieren Sie dann das Optionsfeld neben dem Namen der Datenbank, aus der die Daten migriert werden sollen. 3. Klicken Sie auf Migration > IT-Richtlinien, Profile, Gruppen. 4. Klicken Sie auf Weiter. 5. Aktivieren Sie die Kontrollkästchen für die Elemente, die Sie migrieren möchten. Der Name der Quelldatenbank ist für jede Richtlinie und jeden Profilnamen angehängt, wenn diese zur Zieldatenbank migriert wurden. 6. Klicken Sie auf Vorschau, um die von Ihnen ausgewählten Richtlinien und Profilen zu prüfen. 7. Klicken Sie auf Migrieren. Auf dem Bildschirm Migrationsstatus wird der Fortschritt der Migration angezeigt. 8. Um die IT-Richtlinien, Profile und Gruppen zu konfigurieren, klicken Sie auf IT-Richtlinien und -Profile konfigurieren. Der Bildschirm Richtlinien und Profile wird geöffnet. Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank Berücksichtigen Sie die folgenden Punkte, wenn Sie Benutzer in eine BlackBerry UEM-Zieldatenbank migrieren: 98 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Objekt Überlegungen Maximale Anzahl für die Migration Sie können maximal 2000 Benutzer gleichzeitig aus einer Quelldatenbank migrieren. Ist die Zieldatenbank eine von BlackBerry UEM aktualisierte BES5-Datenbank, können Sie maximal 300 Benutzer gleichzeitig migrieren. Wenn Sie mehr als die maximale Anzahl Benutzer für die Migration auswählen, wird nur die maximale Anzahl Benutzer in die BlackBerry UEM-Zieldatenbank migriert. Die verbleibenden Benutzer werden ausgelassen. Wiederholen Sie den Migrationsvorgang so häufig wie nötig, um alle Benutzer aus der Quelldatenbank zu migrieren. Hinweis: Wenn BlackBerry UEM das Zeitlimit während der Migration von 2000 Benutzern überschreitet, versuchen Sie die Migration mit weniger Benutzern (z. B. 1000). E-Mail-Adresse Gerät • Benutzer benötigen eine E-Mail-Adresse, bevor die Migration erfolgen kann. • Benutzer, die eine in der BlackBerry UEM-Zieldatenbank bereits vorhandene E-MailAdresse verwenden, können nicht migriert werden. • Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse haben, wird nur ein Benutzer auf dem Bildschirm „Migrieren von Benutzern“ angezeigt. • Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse aufweisen, können die auf dem Bildschirm „Migrieren von Geräten“ angezeigten Benutzerinformationen entweder von dem einen oder dem anderen Benutzer stammen. • Wenn zwei Benutzer in einem integriertenBES10-Unternehmensverzeichnis die gleiche E- Mail-Adresse haben, wird der zuerst erkannte Benutzer migriert. Dieser Benutzer ist möglicherweise nicht der gleiche Benutzer, der ursprünglich in der Quelldatenbank angelegt wurde. • Wenn ein Benutzer in der Quelldatenbank sowohl ein BlackBerry 10-Gerät als auch ein iOS- oder Android-Gerät aufweist und für die Geräte die gleiche E-Mail-Adresse mit unterschiedlichen Benutzernamen verwendet wird, werden nicht alle Geräte migriert. • Wenn ein Benutzer ein BlackBerry 10-Gerät sowie ein iOS-, Android-, Windows- oder OS X-Gerät hatte, muss er nach der Migration für BlackBerry UEM Self-Service dieselben Anmeldeinformationen verwenden wie zuvor für BES10 Self-Service, BES12 Self-Service oder BlackBerry UEM Self-Service. Kennwort Nach der Migration müssen lokale Benutzer nach der ersten Anmeldung bei BlackBerry UEM Self-Service ihr Kennwort ändern. Benutzer, die vor der Migration keine Zugriffsberechtigung für BES12 Self-Service oder BlackBerry UEM Self-Service hatten, erhalten nach der Migration nicht automatisch Berechtigung. Gruppen Sie können Benutzer ohne Gruppenzuordnung filtern, um diese Benutzergruppe bei einer Migration mit aufzunehmen. 99 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Objekt Überlegungen Good Dynamics Sie können Benutzer, denen Good Dynamics-Profile zugewiesen wurden, von BES12 Version 12.4 oder 12.5 zu BlackBerry UEM Version 12.6 oder höher migrieren. Migrieren von Benutzern aus der Quelldatenbank Sie können Benutzer aus der Quelldatenbank in die BlackBerry UEM-Zieldatenbank migrieren. Nach Abschluss der Migration sind die Benutzer in beiden Datenbanken vorhanden. 1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Benutzer. 2. Klicken Sie im Bildschirm Migrieren von Benutzern auf Weiter. 3. Wählen Sie im Bildschirm Migrieren von Benutzern die zu migrierenden Benutzer aus. 4. Klicken Sie auf Weiter. 5. Weisen Sie den ausgewählten Benutzern mindestens eine Gruppe, eine IT-Richtlinie und mindestens ein Profil zu. Weitere Informationen finden Sie in derDokumentation für Administratoren 6. Klicken Sie auf Vorschau. 7. Klicken Sie auf Migrieren. Wenn Sie fertig sind: Migrieren von Geräten aus der Quelldatenbank. Migrieren von Geräten aus der Quelldatenbank Nachdem Sie die Benutzer aus der Quelldatenbank in die BlackBerry UEM-Zieldatenbank migriert haben, können Sie deren Geräte migrieren. Die Geräte werden von der Quelldatenbank in die BlackBerry UEM-Zieldatenbank verschoben und sind nach der Migration in der Quelldatenbank nicht mehr vorhanden. Vergewissern Sie sich vor dem Migrieren von Geräten, dass folgende Bedingungen erfüllt sind: • Der Benutzer ist in der BlackBerry UEM-Zieldomäne vorhanden. • Auf den Android-Geräten ist die aktuelle Version von BlackBerry UEM Client installiert • Auf den iOS-Geräten ist die aktuelle Version von BlackBerry UEM Client installiert. • BlackBerry UEM unterstützt Gerätetyp und -betriebssystem. • Alle iOS-Geräte sind vertrauenswürdig (nicht vertrauenswürdige iOS-Geräte können nicht migriert werden). Hinweis: 100 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank • Pro Benutzer können Sie nicht mehr als fünf Geräte gleichzeitig migrieren. • Windows-Geräte oder OS X-Geräte können nicht migriert werden. • Android for Work-Geräte können nicht migriert werden. • Geräte, die auf dem Good Control-Server aktiviert sind, können nicht migriert werden. • Geräte, die über „MDM-Steuerelemente“ aktiviert wurden, können vorübergehend nicht auf E-Mails zugreifen, wenn die Migration beginnt. Der E-Mail-Dienst wird wiederhergestellt, wenn die Migration abgeschlossen ist. Bevor Sie beginnen: Benachrichtigen Sie Benutzer von iOS-Geräten darüber, dass der BlackBerry UEM Client zum Starten der Migration auf BlackBerry UEM geöffnet werden und der BlackBerry UEM Client bis zum Abschluss der Migration geöffnet bleiben muss. 1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Geräte. 2. Klicken Sie auf dem Bildschirm Migrieren von Geräten auf Weiter. 3. Wählen Sie die zu migrierenden Geräte aus. 4. Klicken Sie auf Vorschau. 5. Klicken Sie auf Migrieren. 6. Um den Status der zu migrierenden Geräte anzuzeigen, klicken Sie auf Migration > Status. Migrieren von DEP-Geräten Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind, aus einer BES12oder BlackBerry UEM-Quelldatenbank in eine andere BlackBerry UEM-Datenbank migrieren. Migrieren von DEP-Geräten mit installiertem BlackBerry UEM Client Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und über die Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ oder „MDM-Steuerelemente“ aktiviert werden, migrieren. Bevor Sie beginnen: Deaktivieren Sie in den App-Einstellungen für den BlackBerry UEM Client das Kontrollkästchen Die App vom Gerät entfernen, wenn das Gerät von BlackBerry UEM entfernt wird. 1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server. 2. Verbinden Sie die BlackBerry UEM-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie unter Konfigurieren von BlackBerry UEM für DEP. Stellen Sie sicher, dass das DEP-Profil der BlackBerry UEM-Zielinstanz dem der BES12- oder BlackBerry UEMQuellinstanz entspricht. 101 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank 3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server. 4. Migrieren Sie in der BlackBerry UEM-Verwaltungskonsole die DEP-Geräte aus der Quellinstanz zur BlackBerry UEMZielinstanz. Migrieren von DEP-Geräten ohne BlackBerry UEM Client iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und auf denen BlackBerry UEM Client nicht installiert ist, werden in der Liste der Geräte aufgeführt, deren Migration nicht unterstützt wird. 1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server. 2. Verbinden Sie die BlackBerry UEM-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie unter Konfigurieren von BlackBerry UEM für DEP. Stellen Sie sicher, dass die BlackBerry UEM-Zielinstanz das gleiche DEP-Profil hat wie die Quellinstanz. 3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server. 4. Setzen Sie alle DEP-Geräte auf die Werkseinstellungen zurück. 5. Aktivieren Sie alle DEP-Geräte erneut. 102 Konfigurieren von BlackBerry Control und BlackBerry Proxy Konfigurieren von BlackBerry Control und BlackBerry Proxy 21 Folgen Sie den Anweisungen in diesem Abschnitt, um BlackBerry Control und BlackBerry Proxy entsprechend den Standards und Anforderungen Ihres Unternehmens zu konfigurieren. Verwalten der Prioritätszuweisung von BlackBerry Control-Instanzen Sie können die Priorität der BlackBerry Control-Instanzen in der BlackBerry UEM-Domäne konfigurieren. Sie haben die Möglichkeit, jeder Instanz eine primäre, sekundäre oder tertiäre Priorität zuzuordnen. Standardmäßig weist jede Instanz eine primäre Priorität auf. BlackBerry Proxy gibt Verbindungen zu primären Instanzen den Vorrang. Wenn BlackBerry Proxy keine Verbindung zu einer primären Instanz herstellen kann, versucht er die Verbindung zu einer sekundären Instanz herzustellen. Wenn BlackBerry Proxy keine Verbindung zu einer sekundären Instanz herstellen kann, versucht er die Verbindung zu einer tertiären Instanz herzustellen. Ein BlackBerry Control-Cluster muss mindestens eine primäre Instanz aufweisen. Für jede BlackBerry Control-Instanz können Sie zudem das zu verwendende primäre und sekundäre BlackBerry Proxy-Cluster konfigurieren. 1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics. 2. Klicken Sie auf Cluster. 3. Klicken Sie in der Dropdown-Liste Serverclustertyp auf BlackBerry Control-Cluster. 4. Klicken Sie auf den Namen einer BlackBerry Control-Instanz. 5. Klicken Sie in der Dropdown-Liste Priorität auf die entsprechende Priorität. 6. Klicken Sie in der Dropdown-Liste Primäres Cluster auf das BlackBerry Proxy-Cluster, über das Verbindungen vorrangig hergestellt werden sollen. Das BlackBerry Proxy-Cluster muss mindestens eine BlackBerry Proxy-Instanz umfassen. 7. Klicken Sie in der Dropdown-Liste Sekundäres Cluster auf das BlackBerry Proxy-Cluster, mit dem BlackBerry Control die Verbindung herstellen soll, wenn das in Schritt 6 ausgewählte Cluster nicht verwendet werden kann. 8. Klicken Sie auf Speichern. 103 Konfigurieren von BlackBerry Control und BlackBerry Proxy Verwalten von BlackBerry Proxy-Clustern Wenn Sie die erste Instanz von BlackBerry Proxy installieren, erstellt BlackBerry UEM ein BlackBerry Proxy-Cluster mit dem Namen „First“. Wenn nur ein Cluster vorhanden ist, werden zusätzliche BlackBerry Proxy-Instanzen diesem Cluster standardmäßig hinzugefügt. Sie können weitere Cluster erstellen und BlackBerry Proxy-Instanzen zwischen allen verfügbaren Clustern verschieben. Wenn mehr als ein BlackBerry Proxy-Cluster verfügbar ist, werden neue Instanzen nicht automatisch zu einem Cluster hinzugefügt. Die neuen Cluster werden stattdessen als nicht zugeordnet betrachtet und müssen einem der verfügbaren Cluster manuell hinzugefügt werden. 1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics. 2. Klicken Sie auf Cluster. 3. Klicken Sie in der Dropdown-Liste Serverclustertyp auf BlackBerry Proxy-Cluster. 4. Führen Sie eine der folgenden Aufgaben aus: Aufgabe Schritte Erstellen Sie ein neues BlackBerry Proxy-Cluster. 1. Klicken Sie auf 2. Geben Sie einen Namen für das Cluster ein. 3. Klicken Sie auf Speichern. 1. Klicken Sie auf einen Clusternamen. 2. Ändern Sie den Namen des Clusters. Jedes Cluster muss über einen eindeutigen Namen verfügen. 3. Klicken Sie auf Speichern. 1. Klicken Sie in der Spalte Server auf den Namen einer BlackBerry ProxyInstanz. 2. Wählen Sie in der Dropdown-Liste BlackBerry ProxyCluster das Cluster aus, zu dem die Instanz hinzugefügt werden soll. 3. Klicken Sie auf Speichern. 1. Klicken Sie auf 2. Klicken Sie auf Entfernen. Benennen Sie ein BlackBerry ProxyCluster um. Verschieben Sie eine BlackBerry Proxy-Instanz in ein anderes BlackBerry Proxy-Cluster. Löschen Sie ein leeres BlackBerry Proxy-Cluster. . für das Cluster. 104 Konfigurieren von BlackBerry Control und BlackBerry Proxy Konfigurieren von Direct Connect oder eines Web-Proxy für BlackBerry Proxy-Verbindungen Die BlackBerry Dynamics-Apps auf den Geräten der Benutzer senden standardmäßig Daten an das BlackBerry Dynamics-NOC. Abhängig vom physischen Abstand zwischen den Geräten und dem BlackBerry Dynamics-NOC können bei einigen Verbindungen Netzwerklatenzen auftreten. Diese Probleme können durch die Aktivierung von BlackBerry Dynamics Direct Connect verringert werden. Direct Connect ermöglicht BlackBerry Dynamics-Apps das Umgehen der Verbindung zum NOC und das Herstellen einer direkten Verbindung zu einer BlackBerry Proxy-Instanz hinter der Firewall Ihres Unternehmens. Wenn Geräte physisch näher an den BlackBerry Proxy-Instanzen in Ihrer Domäne als am BlackBerry Dynamics NOC sind, kann Direct Connect die Netzwerklatenz reduzieren. Sie können BlackBerry Dynamics-Apps auch so konfigurieren, dass Daten über einen Web-Proxyserver in der DMZ gesendet werden, wenn sie die Verbindung zu einer BlackBerry Proxy-Instanz herstellen. Bevor Sie beginnen: • Wenn Sie Verbindungen von BlackBerry Dynamics-Apps über einen Web-Proxyserver weiterleiten möchten, muss der Proxyserver den HTTP Connect-Befehl unterstützen ohne eine Authentifizierung anzufordern. Die interne Firewall Ihres Unternehmens muss Verbindungen über Port 17533 zulassen. • Wenn Sie für eine BlackBerry Proxy-Instanz keinen Web-Proxyserver definieren, müssen die internen und externen Firewalls Ihres Unternehmens Verbindungen über Port 17533 zulassen. 1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics. 2. Klicken Sie auf Direct Connect. 3. Klicken Sie auf eine BlackBerry Proxy-Instanz. 4. Um Direct Connect zu aktivieren, markieren Sie das Kontrollkästchen Direct Connect aktivieren. Überprüfen Sie im Feld Good Proxy-Hostname den Hostnamen auf Richtigkeit. Wenn Sie den Hostnamen ändern, erzeugt die BlackBerry Proxy-Instanz ein neues Zertifikat für Clientverbindungen und sendet eine Anfrage zum Signieren des Zertifikats an die BlackBerry Dynamics-Zertifizierungsstelle. 5. Um einen Web-Proxy zu konfigurieren, aktivieren Sie das Kontrollkästchen Web-Proxy verwenden. Geben Sie den vollständig qualifizierten Hostnamen und die Portnummer an. 6. Klicken Sie auf Speichern. 105 Konfigurieren von BlackBerry Control und BlackBerry Proxy Konfigurieren von BlackBerry ControlEigenschaften Sie können die Eigenschaften der BlackBerry Control-Instanzen in der BlackBerry UEM-Domäne Ihres Unternehmens konfigurieren. Weitere Informationen zu den einzelnen Eigenschaften und zu den Auswirkungen von Änderungen an Standardeinstellungen finden Sie unter BlackBerry Control-Eigenschaften. 1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics. 2. Klicken Sie auf Eigenschaften. 3. Konfigurieren Sie die Eigenschaften nach Bedarf. 4. Klicken Sie auf Speichern. BlackBerry Control-Eigenschaften In den folgenden Tabellen werden die konfigurierbaren Eigenschaften von BlackBerry Control beschrieben. Die Spalte „Neustart“ gibt an, ob nach dem Ändern der jeweiligen Instanz von BlackBerry Control im Cluster erforderlich ist. Hinweis: Eigenschaften, die in der Verwaltungskonsole angezeigt, aber hier nicht dokumentiert werden, sind veraltet und werden nicht mehr verwendet. Zertifikatverwaltung Eigenschaft Beschreibung Standard Neu starten Gültigkeitsdauer des Schlüsselspeichers in Sekunden für PKCS12-Zertifikate einzelner Endbenutzer Die Lebensdauer (Gültigkeit) des Schlüsselspeichers der PKCS 12-Zertifikate, die Gerätebenutzer zum Signieren von E-Mail-Nachrichten und für die Client-Authentifizierung hochladen können, in Sekunden. 86400 — Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. Kommunikation Eigenschaft Beschreibung Standard Neu starten cap.soap.url De Endpunkt, der von BlackBerry Control für die Kommunikation mit dem Katalogserver verwendet wird. Aus Installation — 106 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. cntmgmt.external.port Der externe Port für den Containerverwaltungsdienst. Null Ja (Standardwe rt 17317) cntmgmt.internal.port Der interne Port für den Containerverwaltungsdienst. Null Ja (Standardwe rt 17317) cntmgmt.max.active.sessions Die maximale Anzahl der aktiven Sitzungen für die Containerverwaltung. 10000 Ja cntmgmt.max.conns.above.limit Die maximale Anzahl der Verbindungen, die über das in der Eigenschaft „cntmgmt.max.conns.persec“ definierte Limit hinaus zulässig sind. 3 Ja 30 Ja 0 Ja 500 Ja Die maximale Anzahl gleichzeitiger Schreibvorgänge für die 500 Containerverwaltung. Ja Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. cntmgmt.max.conns.persec Die maximale Anzahl der Verbindungen für die Containerverwaltung pro Sekunde. Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. cntmgmt.max.idle.count Die maximale Anzahl der für die Containerverwaltung zulässigen Verbindungen ohne Aktivität. Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. cntmgmt.max.read.throughput Die maximale Anzahl gleichzeitiger Lesevorgänge für die Containerverwaltung. Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. cntmgmt.max.write.throughput Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. 107 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten cntmgmt.ssl.external.enable Steuert die SSL-Aktivierung für die externe Containerverwaltung. Aktiviert Ja cntmgmt.ssl.internal.enable Steuert die SSL-Aktivierung für die interne Containerverwaltung. Aktiviert Ja gc.event.push.count Die Push-Anzahl für Ereignisse, die BlackBerry Control auslöst. 10 Ja 5 Ja Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. gc.event.push.interval Der Abstand zwischen Push-Vorgängen in Sekunden. Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. gc.krb5.config.file Die krb5.conf-Datei wird für die bereichsübergreifende Authentifizierung verwendet, wenn eine vertrauenswürdige CAPATH-Verbindung mit mehreren Kerberos-Domänen vorhanden ist. — Ja gc.krb5.debug Gibt an, ob BlackBerry Control Daten auf Fehlerbehebungsebene protokolliert. Deaktiviert Ja gc.krb5.enabled Gibt an, ob BlackBerry Control die eingeschränkte Kerberos-Delegierung unterstützt. Deaktiviert Ja gc.krb5.kdc Der FQDN des Servers, der den Dienst Kerberos Key Distribution Center (KDC) hostet. — Ja gc.krb5.keytab.file Der Speicherort der Kerberos-Schlüsseltabellendatei auf dem Computer, der BlackBerry Control hostet. — Ja gc.krb5.principal.name Der Benutzername des Kerberos-Kontos. Domäne oder Bereich dürfen nicht enthalten sein. — Ja gc.krb5.realm Der Bereich des Kerberos-Kontos. — Ja gc.smtp.host Der FQDN des Mailservers Ihres Unternehmens. — Ja gc.smtp.password Das Kennwort für den Benutzer des Mailservers. Das Kennwort wird durch Sternchen (*) angezeigt. Diese Eigenschaft wird nicht verwendet, wenn für den Mailserver keine Authentifizierung erforderlich ist. — Ja 108 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten gc.smtp.port Die Portnummer für den Mailserver. 25 Ja gc.smtp.ssl Gibt an, ob für die Verbindung zum Mailserver SSL erforderlich ist. Deaktiviert Ja gc.smtp.user Wenn erforderlich, das Benutzerkonto, das BlackBerry Control für die Anmeldung beim Mailserver verwendet. — Ja gcsvc.max.reqs.persec Die maximale Anzahl der Anfragen pro Sekunde. 30 Ja 10000 Ja Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. gcsvc.throttle.wait Das Drosselungsintervall für die Anfrageverarbeitung in Sekunden. Hinweis: Ändern Sie diese Einstellung nicht ohne Rücksprache mit dem BlackBerry Technical Support. gwy.push.connection.timeout Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. Darf nicht geändert werden. 45 — gwy.push.port Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. Darf nicht geändert werden. 443 — gwy.push.request.timeout Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. Darf nicht geändert werden. 45 — gwy.push.socket.timeout Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. Darf nicht geändert werden. 45 — gwy.push.uri Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. GDES1.0 — Anzeige in der Konsole — Anzeige in der Konsole — Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gwy.push.url Veraltete Eigenschaft, die zur Abwärtskompatibilität beibehalten wird. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. mdc.server.url Die URL des MDC-Servers (Mobile Data Conduit). 109 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. proxy.auth.domain Falls erforderlich, die Domäne des Benutzerkontos, das — BlackBerry Control für die Authentifizierung mit einem Proxyserver verwenden kann (nur NTLM-Authentifizierung). Ja proxy.auth.password Falls erforderlich, das Kennwort des Benutzerkontos, das — BlackBerry Control für die Authentifizierung mit einem Proxyserver verwenden kann (nur NTLM-Authentifizierung). Ja Das Kennwort wird durch Sternchen (*) angezeigt. Diese Eigenschaft wird nicht verwendet, wenn für den Proxyserver keine Authentifizierung erforderlich ist. proxy.auth.username Falls erforderlich, der Benutzername des Benutzerkontos, — das BlackBerry Control für die Authentifizierung mit einem Proxyserver verwenden kann (nur NTLM-Authentifizierung). Ja proxy.https.host Der FQDN des Proxyservers, der von BlackBerry Control verwendet werden soll. — Ja proxy.https.port Die Portnummer des Proxyservers, die von BlackBerry Control verwendet werden soll. — Ja proxy.urls Die Liste der Server oder Domänen, auf die BlackBerry Control oder BlackBerry Proxy über einen Proxyserver zugreifen. Platzhalterzeichen (*) werden unterstützt. Anzeige in der Konsole Ja proxy.use Gibt an, ob BlackBerry Control eine Verbindung zu einem Proxyserver herstellen kann. Deaktiviert Ja Doppelte Container Wenn BlackBerry Control doppelte Container auf Geräten erkennt, werden Batchaufträge geplant, um diese zu entfernen. Ein doppelter Container weist dieselbe Benutzer-ID und Berechtigungs-ID (auch als BlackBerry Dynamics-App-ID bezeichnet) auf wie ein anderer Container auf demselben Gerät. Wenn ein doppelter Container entfernt wird, wird dieser Vorgang in der BlackBerry Control-Protokolldatei erfasst. 110 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten Auftrag für automatisches Entfernen von doppelten Containern aktivieren (ein/aus) Gibt an, ob BlackBerry Control Aufträge zum Erkennen und Entfernen doppelter Container von Geräten automatisch plant. Aktiviert Nein Timeout nach Inaktivität in Sekunden vor dem Löschen doppelter Container Die Zeitspanne in Sekunden, über die ein doppelter Container inaktiv sein muss, bevor von BlackBerry Control ein Auftrag zum Entfernen des Containers geplant wird. 259200 Nein Häufigkeit der Ausführung des Auftrags zum Entfernen des Containers in Sekunden Gibt an, wie häufig (in Sekunden) BlackBerry Control einen Auftrag zum Erkennen und Entfernen doppelter Container ausführt. 86400 Nein Verschiedenes Eigenschaft Beschreibung Standard Neu starten config.command.expiry Gibt die Wartezeit von BlackBerry Control bis zum erneuten Senden einer nicht bestätigen Nachricht in Sekunden an. 60 Ja config.command.retry Gibt an, wie häufig (in Sekunden) BlackBerry Control den Vorgang zum Erkennen und erneuten Senden nicht bestätigter Nachrichten ausführt. Wenn diese Eigenschaft auf 0 gesetzt wird, führt BlackBerry Control den Vorgang nicht aus. 900 Ja gc.admin.domain Die Microsoft Active Directory-Domäne, die während der Installation angegeben wurde. Aus Installatio n — Aus Installatio n — Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gc.admin.user Der während der Installation angegebene Benutzername des Administrators. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gc.disable.emails Gibt an, ob BlackBerry Control E-Mail-Nachrichten an Geräte von Benutzern senden kann. Wenn diese Option deaktiviert ist, kann BlackBerry Control E-Mail-Nachrichten an Benutzer senden. Wenn diese 111 Deaktiviert Nein Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten Option aktiviert ist, kann BlackBerry Control keine E-MailNachrichten senden. gc.entgw.report.userinfo Gibt an, ob die Anzeigenamen von Benutzern an das BlackBerry Dynamics NOC weitergegeben werden. Deaktiviert Nein gc.health.check.enabled Gibt an, ob BlackBerry Control zusätzliche Zustandsprüfungen ausführt. Deaktiviert Ja gc.health.check.interval Gibt an, wie häufig (in Minuten) BlackBerry Control den eigenen Zustand überprüft. 60 Ja gc.logs.dir Der Speicherort der BlackBerry Control-Protokolldateien. C:\good — Aus Installatio n — Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gc.server.name Der Name des BlackBerry Control-Dienstes. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gc.transaction.max.duration.seconds Die maximale Transaktionsdauer in Sekunden. Wenn die Transaktionsdauer größer oder gleich diesem Wert ist, wird eine Warnmeldung protokolliert. 15 Nein gcs.logfiles.days Die Anzahl der Tage, über die BlackBerry ControlProtokolldateien aufbewahrt werden sollen. 10 Ja gd.product.capability Die Liste der Good Control-Funktionen. Anzeige in — der Konsole Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gd.product.domain Die Domäne, in der BlackBerry Control gehostet wird. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gd.product.enterprise.name Der Name Ihres Unternehmens, der während des Installationsvorgangs angegeben wurde. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. 112 Identisch mit der ADDomäne — Aus Installatio n — Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten gd.product.type Die Produktart (GMC oder GP). GMC — Aus Installatio n — Ja Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gd.product.version Die Version von BlackBerry Control. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. gd.security.keystore.alias Der Alias des BlackBerry Control-Schlüsselspeichers. gc gd.security.keystore.file Der Speicherort der BlackBerry ControlSchlüsselspeicherdatei. Anzeige in Nein der Konsole gd.security.rootcert.alias Der Alias des BlackBerry Control-Stammzertifikats. gdca — Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. log.upload.dir Das lokale Verzeichnis, das zum Hochladen von BlackBerry Control-Protokollen in das NOC verwendet wird. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. log.upload.url Die NOC-URL, unter der die BlackBerry Control-Protokolle hochgeladen werden. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. Anzeige in — der Konsole Anzeige in — der Konsole policy.app.interval Gibt an, wie häufig (in Minuten) BlackBerry Control Anwendungsrichtlinien für alle Richtliniendatensätze aus dem BlackBerry Dynamics NOC abruft. 1440 Ja policy.compliance.interval Gibt an, wie häufig (in Minuten) BlackBerry Control Konformitätsrichtlinien für alle Richtliniendatensätze aus dem BlackBerry Dynamics NOC abruft. 1440 Ja policy.compliance.url Die NOC-URL, unter der die Konformitätsrichtlinie heruntergeladen wird. Wenn die heruntergeladene Richtlinie größer als die aktuelle Richtlinie ist, wird die Anzeige in — der Konsole 113 Konfigurieren von BlackBerry Control und BlackBerry Proxy Eigenschaft Beschreibung Standard Neu starten aktuelle Richtlinie durch die heruntergeladene Richtlinie ersetzt. Hinweis: Diese Eigenschaft ist schreibgeschützt. Sie kann nicht geändert werden. Inaktive Container löschen Wenn BlackBerry Control inaktive Container auf Geräten erkennt, werden Batchaufträge geplant, um diese zu entfernen. BlackBerry Control stuft einen Container als inaktiv ein, wenn dieser über einen Standardzeitraum von 90 Tagen keine Verbindung zu BlackBerry Control hergestellt hat. Wenn ein inaktiver Container entfernt wird, wird dieser Vorgang in der BlackBerry Control-Protokolldatei erfasst. Eigenschaft Beschreibung Standard Neu starten Auftrag für automatisches Gibt an, ob BlackBerry Control Aufträge zum Erkennen und Entfernen von inaktiven Containern Entfernen inaktiver Container von Geräten automatisch aktivieren (ein/aus) plant. Deaktiviert Nein Intervall (in Sekunden) zur Anpassung der ContainerInaktivität, um eine Neuverbindung nach der Ausfallzeit zuzulassen Wenn BlackBerry Control über den hier festgelegten Zeitraum oder länger ausfällt, wird die Inaktivitätszeit der Geräte um die Länge der Ausfallzeit nach vorne angepasst. Das Intervall wird in Sekunden angegeben. 86400 Nein Intervall für die ContainerInaktivität in Sekunden Die Zeitspanne in Sekunden, bevor BlackBerry Control einen Container als inaktiv einstuft. 7776000 Nein Häufigkeit der Ausführung des Auftrags zum Entfernen von inaktiven Containern in Sekunden Gibt an, wie häufig (in Sekunden) BlackBerry Control einen Auftrag zum Erkennen und Entfernen inaktiver Container ausführt. 86400 Nein Maximale Anzahl der in einem einzelnen Auftrag zu entfernenden Container Die maximale Anzahl der inaktiven Container, die sich über einen einzelnen Auftrag von Geräten entfernen lassen. 100 Nein 114 Konfigurieren von BlackBerry Control und BlackBerry Proxy Berichte Eigenschaft Beschreibung Standard Neu starten Maximale Anzahl von Zeilen in Berichten Die maximale Anzahl von Zeilen, die in einen Bericht aufgenommen werden können. Der maximale Wert, der eingegeben werden kann, ist 1000000. 5000 Nein Richtlinie zur Aufbewahrung von Daten Eigenschaft Beschreibung Standard Neu starten Protokoll-Lesevorgänge in der Datenbank Gibt an, ob BlackBerry Control Lesevorgänge in der BlackBerry Control-Datenbank protokolliert. Aktiviert Ja Auditprotokolle löschen Gibt an, ob Auditdatensätze von BlackBerry Control in regelmäßigen Abständen automatisch gelöscht werden. Deaktiviert Ja Intervall zum Löschen von Auditprotokollen (in Tagen) Wenn „Auditprotokolle löschen“ aktiviert ist, legen Sie fest, 180 wie häufig (in Tagen) Auditprotokolle von BlackBerry Control gelöscht werden. Ja Serveraufträge löschen Gibt an, ob Serveraufträge von BlackBerry Control in regelmäßigen Abständen automatisch gelöscht werden. Ja Intervall zum Löschen von Serveraufträgen (in Tagen) Wenn „Serveraufträge löschen“ aktiviert ist, legen Sie fest, 30 wie häufig (in Tagen) Serveraufträge von BlackBerry Control gelöscht werden. Ja Eigenschaft Beschreibung Standard Neu starten Häufigkeit der Ausführung eines GC-Zustandsberichts in Sekunden Gibt an, wie häufig (in Sekunden) BlackBerry Control einen Auftrag zum Erzeugen eines Zustandsberichts ausführt. 86400 Ja Aktiviert Fehlerbehebung 115 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps 22 Wenn BlackBerry Dynamics-Apps auf Benutzergeräten Clientzertifikate verwenden sollen, können Sie Zertifikate auf einzelne Benutzerkonten hochladen oder eine PKI-Verbindung definieren, über die BlackBerry UEM Clientzertifikate von Ihrer Zertifizierungsstelle automatisch anmelden und an die Geräte senden kann. Wenn Sie Zertifikate auf einzelne Benutzerkonten hochladen, sollten Sie eine Gültigkeitsdauer für Benutzerzertifikate festlegen. Wenn die Gültigkeitsdauer abgelaufen ist, werden die Zertifikate vom Server gelöscht. Wenn die Registrierung der von Ihrer Zertifizierungsstelle ausgegebenen Zertifikate bei BlackBerry Dynamics-Apps automatisch erfolgen soll, müssen Sie einen PKI-Konnektor konfigurieren. Konfigurieren der Gültigkeitsdauer für Clientzertifikate Wenn Sie Zertifikate für BlackBerry Dynamics-Apps auf einzelne Benutzerkonten hochladen, sollten Sie eine Gültigkeitsdauer für Clientzertifikate festlegen. Wenn die Gültigkeitsdauer abgelaufen ist, werden die Zertifikate vom Server gelöscht. Damit wird verhindert, dass ein Clientzertifikat eine längere Zeit auf dem Server verbleibt, nachdem die Push-Übertragung auf das Gerät erfolgt ist. Die standardmäßige Gültigkeitsdauer liegt bei 24 Stunden. 1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Zertifikate. 2. Legen Sie die Gültigkeitsdauer für PKCS12-Zertifikate auf dem Server fest. Wenn Sie fertig sind: Wenn noch nicht erfolgt, fügen Sie den Benutzerkonten Clientzertifikate hinzu. Konfigurieren von PKI-Verbindungen für BlackBerry Dynamics-Apps Damit die Anmeldung der von Ihrer Zertifizierungsstelle ausgegebenen Zertifikate bei BlackBerry Dynamics-Apps automatisch erfolgen kann, muss die Kommunikation mit der Zertifizierungsstelle über einen PKI-Konnektor erfolgen. Ein PKI-Konnektor besteht aus einer Reihe von Java-Programmen und Webdiensten auf einem Back-End-Server, der BlackBerry UEM das Senden von Zertifikatanfragen und das Empfangen von Antworten von der Zertifizierungsstelle ermöglicht. 116 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps BlackBerry UEM verwendet das Benutzerzertifikat-Verwaltungsprotokoll von BlackBerry Dynamics für die Kommunikation mit dem PKI-Konnektor. Dieses Protokoll läuft über HTTPS und definiert Nachrichten im JSON-Format. Der PKI-Konnektor implementiert das Benutzerzertifikat-Verwaltungsprotokoll. Ein Beispiel für die Implementierung eines PKIKonnektors finden Sie unter PKI-Zertifikaterstellung über Good Control: Referenzimplementierung. Das Beispiel in diesem Dokument, das den Aufbau und die Bereitstellung des PKI-Konnektors beschreibt, gilt auch für BlackBerry UEM. Sie müssen jedoch die Verbindung zwischen BlackBerry UEM und dem PKI-Konnektor in der BlackBerry UEM-Verwaltungskonsole konfigurieren, wie in der Dokumentation für Administratoren beschrieben. PKI-Konnektorinteraktionen BlackBerry UEM führt API-Aufrufe zum PKI-Konnektor mithilfe der HTTP POST-Methode aus. Der PKI-Konnektor unterstützt die Authentifizierung per Kennwort und per Zertifikat. GetInfo-API Diese API erkennt die vom PKI-Konnektor implementierten Befehle. Der Befehl wird zudem zur Verifizierung der in BlackBerry UEM bereitgestellten Authentifizierungs-Anmeldedaten und zum Testen der Verbindung zwischen BlackBerry UEM und dem PKI-Konnektor verwendet. Wenn dieser Befehl nicht implementiert wird, geht BlackBerry UEM davon aus, dass nur „getUserKeyPair“ vom PKI-Konnektor unterstützt wird. Die Pfadkomponente der URI wird wie folgt gesendet: customerSpecifiedPrefix/pki?operation=getInfo customerSpecifiedPrefix ist hierbei optional. Es gibt an, wo der Dienst auf dem Server gehostet wird, wenn er sich nicht im Standardpfad befindet. Die im HTTP-Text erwartete Antwort im JSON-Format lautet wie folgt: Element oder Schlüssel Typ operations Array von Zeichenfolgen Erforderlich J Antwort Array mit allen Befehlen, die vom PKI-Konnektor implementiert werden Beispielanfrage/-antwort 117 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps Angenommen, dass die URL des PKI-Konnektors in der BlackBerry UEM-Verwaltungskonsole wie folgt lautet: https:// cert.example.com GET /pki?operation=getInfo HTTP/1.0 Host: cert.example.com Content-Type: application/json Content-Length: 0 Antwort HTTP/1.0 200 OK Host: cert.example.com Content-Type: application/json Content-Length: XYZ { } “operations” : [“getInfo”, “getUserKeyPair”] API für Anforderungsschlüsselpaar Diese API wird nach dem Erstellen des Schlüsselpaars für den Abruf eines Benutzerzertifikats verwendet. Diese Anfrage kann für erste Zertifikatanfragen verwendet werden. Die Pfadkomponente der URI wird wie folgt gesendet: customerSpecifiedPrefix/pki? operation=getUserKeyPair. customerSpecifiedPrefix ist hierbei optional. Es gibt an, wo der Dienst auf dem Server gehostet wird, wenn er sich nicht im Standardpfad befindet. Die im HTTP-Text gesendete Eingabe im JSON-Format lautet wie folgt: Typ Erforderlich Kommentar mType Zeichenfolge J {"initialCert"] user Zeichenfolge J E-Mail-Adresse des Benutzers oder andere Kennung Element oder Schlüssel Antragsteller für das vom Aussteller erzeugte Zertifikat authToken Zeichenfolge N OTP oder Kennwort (für initialCert) reqId Zeichenfolge J Hilfe für den Absender beim Antwortabgleich Die im HTTP-Text enthaltene Antwort im JSON-Format, eine möglicherweise verschlüsselte PKCS12-Payload, die wie folgt lautet: Typ Erforderlich status Zeichenfolge J {success, failure} failureInfo Zeichenfolge N Siehe Fehlerursachen weiter unten Element/Schlüssel Kommentare 118 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps Element/Schlüssel Typ Erforderlich Zeichenfolge N =pkcs12 payload Base64-Kodierung N PKCS12 mit dem privaten Schlüssel des Benutzers und einem öffentlichen Zertifikat. Kann verschlüsselt sein. decryptionPassword Base64-Kodierung N Wenn das Verschlüsselungskennwort mit dem vom Benutzer eingegebenen Einmalkennwort identisch ist, ist die Bereitstellung eines Kennworts für die Entschlüsselung nicht erforderlich. payloadType Kommentare Wenn PKCS12 per Kennwort verschlüsselt und kein Einmalkennwort verwendet wurde, kann das Kennwort über „decryptionPassword“ zurückgegeben werden. reqId Zeichenfolge J Die in der Anfrage empfangene erforderliche ID (reqID). Beispielanfrage/-antwort Angenommen, dass die URL des PKI-Konnektors in der BlackBerry UEM-Verwaltungskonsole wie folgt lautet: https:// cert.example.com Anfrage: Über die SSL-Verbindung zu Server cert.example.com wird die folgende Payload gesendet: POST /pki?operation=getUserKeyPair HTTP/1.0 Host: cert.example.com Content-Type: application/json Content-Length: XYZ { "mType": "initialCert", "user": "[email protected]", "authToken": "56ht12d0", "reqId": "12487" } Wenn die Server-URL in der BlackBerry Control-Konsole als https://cert.example.com/foo festgelegt wurde, sieht die Anfrage wie folgt aus: POST /foo/pki?operation=getUserKeyPair HTTP/1.0 Host: cert.example.com Content-Type: application/json Content-Length: XYZ Antwort: HTTP/1.0 200 OK Host: cert.example.com Content-Type: application/json Content-Length: XYZ { "status":"success", "reqId": "12487", 119 Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps } "payloadType":"pkcs12", "decryptionPassword":"NTZodDEyZDA=", "payload":"BASE64 Encoded PKCS#12" Fehlerursachen Die folgenden Fehler können von der Zertifizierungsstelle zurückgegeben werden: Fehler Beschreibung unknownUser Benutzer ist nicht vorhanden oder nicht zulässig. badRequest Das Anfrageformat weist Fehler auf. unknownRequest Die angeforderte Aktion wird nicht unterstützt. authFailure OTP oder Kennwort ist abgelaufen oder nicht korrekt. badAlg Es wird ein nicht unterstützter oder nicht erkannter Algorithmus verwendet. unknownCert Das in der Operation verwendete oder referenzierte Zertifikat wurde nicht gefunden. badMessageCheck Die Signatur- oder Integritätsprüfung ist fehlgeschlagen. badTime Die in der Signatur angegebene Zeit war nicht nahe genug an der geforderten Zeit. unknown Alle anderen Fehler, die als unbekannte Fehler behandelt werden. 120 Integrieren von BlackBerry UEM mit Cisco ISE Integrieren von BlackBerry UEM mit Cisco ISE 23 Cisco Identity Services Engine (ISE) ist eine Software zur Netzwerkverwaltung, die einem Unternehmen die Möglichkeit bietet, den Zugriff von Geräten auf das Unternehmensnetzwerk zu steuern (z. B. Zugriff auf Wi-Fi oder VPN-Verbindungen zulassen oder verweigern). Cisco ISE-Administratoren können Zugriffsrichtlinien erstellen und durchsetzen, um sicherzustellen, dass nur zugelassene Geräte auf das Unternehmensnetzwerk zugreifen können. Sie können eine Verbindung zwischen Cisco ISE und BlackBerry UEM herstellen, damit Cisco ISE auf Daten von Geräten zugreifen kann, die auf BlackBerry UEM aktiviert sind. Cisco ISE überprüft Gerätedaten, um festzustellen, ob die Geräte die Zugriffsrichtlinien erfüllen. Beispiel: • Cisco ISE überprüft, ob das Gerät eines Benutzers auf BlackBerry UEM aktiviert ist. Wenn das Gerät nicht aktiviert ist, kann eine Zugriffsrichtlinie verhindern, dass das Gerät eine Verbindung zu geschäftlichen Wi-Fi- oder zu -VPNZugriffspunkten herstellt. • Cisco ISE überprüft, ob das Gerät eines Benutzers mit BlackBerry UEM richtlinienkonform ist. Wenn das Gerät eine Richtlinie verletzt (z. B. wenn es entsperrt oder gehackt wurde), kann eine Zugriffsrichtlinie verhindern, dass das Gerät eine Verbindung zu Wi-Fi-Zugriffspunkten des Unternehmens oder zu -VPN-Zugriffspunkten herstellt. Cisco ISE-Administratoren können in der Cisco ISE-Verwaltungskonsole Daten von Geräten anzeigen, sortieren und filtern. Administratoren können außerdem die folgenden Geräteverwaltungsaufgaben durchführen: Sperren eines Geräts, Löschen von Unternehmensdaten von einem Gerät oder Löschen aller Gerätedaten. führen Sie die folgenden Aktionen aus, um BlackBerry UEM und Cisco ISE zu integrieren: Schritt Aktion Stellen Sie sicher, dass die Umgebung Ihres Unternehmens die Anforderungen an die Vernetzung von BlackBerry UEM mit Cisco ISE erfüllt. Erstellen Sie ein BlackBerry UEM-Administratorkonto, das Cisco ISE verwenden kann, um Gerätedaten abzurufen. Fügen Sie das BlackBerry Web Services-Zertifikat zum Cisco ISE-Zertifikatspeicher hinzu. Verbinden Sie BlackBerry UEM mit Cisco ISE, und richten Sie ein Autorisierungsprofil und Zugriffsrichtlinien ein. 121 Integrieren von BlackBerry UEM mit Cisco ISE Anforderungen: Integration von BlackBerry UEM und Cisco ISE Objekt Anforderungen Version von Cisco ISE BlackBerry UEM unterstützt sie Integration von Cisco ISE Version 1.2 und höher. Unterstütztes Betriebssystem Jedes Betriebssystem, das BlackBerry UEM unterstützt (siehe Kompatibilitätsmatrix), mit Ausnahme der folgenden: • BlackBerry 10 OS Version 10.3.2 oder älter (10.3.3 oder höher erforderlich) • Android 6.0 (Marshmallow) • BlackBerryOS (Version 7.1 und älter) • Windows 10 für Desktop Cisco ISE kann keine Daten für iOS-Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“ abrufen. Abhörport Cisco ISE verwendet den standardmäßigen BlackBerry Web ServicesÜberwachungsport 18084, um Gerätedaten aus BlackBerry UEM abzurufen. Wenn Port 18084 bei der Installation von BlackBerry UEM nicht verfügbar war, hat die Setupanwendung einen anderen verfügbaren Port für diesen Zweck ausgewählt. Um den richtigen Portwert zu überprüfen, suchen Sie in der BlackBerry UEM Core-Protokolldatei (CORE) nach (^/ciscoise/.*), und notieren Sie sich die vor diesem Text aufgeführte Portnummer. Firewall Falls eine Firewall zwischen BlackBerry UEM und Cisco ISE vorhanden ist, konfigurieren Sie die Firewall so, dass HTTPS-Sitzungen zwischen beiden Systemen zulässig sind. Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann. Cisco Identity Services Engine(ISE) erfordert ein dediziertesBlackBerry UEM-Administratorkonto, das Sie verwenden können, um Informationen über Geräte abzurufen. Sie können ein vorhandenes Administratorkonto verwenden oder ein neues Administratorkonto erzeugen. Es ist ein lokales Administratorkonto (kein Verzeichnisbenutzer) erforderlich. Das Administratorkonto erfordert eine Rolle mit den folgenden Berechtigungen: 122 Integrieren von BlackBerry UEM mit Cisco ISE • Benutzer und aktivierte Geräte anzeigen • Verwalten von Geräten • Gerät sperren und Nachricht einrichten • Nur Geschäftsdaten löschen • Alle Gerätedaten löschen Standardmäßig verfügen die Rollen „Sicherheitsadministrator“ und „Enterprise-Administrator“ über diese Berechtigungen. Um ein neues Administratorkonto mit einer benutzerdefinierten Rolle zu erstellen, führen Sie die folgenden Schritte über ein Administratorkonto mit der Rolle „Sicherheitsadministrator“ aus. Bevor Sie beginnen: Wenn Sie eine benutzerdefinierte Rolle für das Administratorkonto erstellen möchten, klicken Sie in der BlackBerry UEM-Verwaltungskonsole auf Einstellungen > Administratoren > Rollen > Berechtigungen aus. Klicken Sie auf Speichern. . Wählen Sie die erforderlichen 1. Klicken Sie in der Menüleiste der BlackBerry UEM-Verwaltungskonsole auf Benutzer. 2. Klicken Sie auf Benutzer hinzufügen. 3. Klicken Sie auf die Registerkarte Lokal. 4. Geben Sie einen Vornamen, Nachnamen, Anzeigenamen, Benutzernamen und eine E-Mail-Adresse an. 5. Geben Sie im Feld Konsolenkennwort das Kennwort für das Administratorkonto ein. 6. Aktivieren Sie die Option Aktivierungskennwort für das Gerät nicht festlegen. 7. Klicken Sie auf Speichern. 8. Klicken Sie in der Menüleiste auf Einstellungen. 9. Klicken Sie auf Administratoren > Benutzer. 10. Klicken Sie auf . 11. Suchen und klicken Sie auf das Benutzerkonto, das Sie erstellt haben. 12. Klicken Sie in der Dropdown-Liste Rolle auf die zuvor erstellte benutzerdefinierte Rolle, die standardmäßige Sicherheitsadministratorrolle oder die standardmäßige Enterprise-Administratorrolle. 13. Klicken Sie auf Speichern. Wenn Sie fertig sind: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher 123 Integrieren von BlackBerry UEM mit Cisco ISE Hinzufügen des BlackBerry Web ServicesZertifikats zum Cisco ISE-Zertifikatspeicher Um Cisco Identity Services Engine (ISE) für die Verbindung mit BlackBerry UEM zu aktivieren, müssen Sie das BlackBerry Web Services-Zertifikat exportieren und in den Cisco ISE-Zertifikatspeicher importieren. Wenn die BlackBerry UEM-Domain Ihres Unternehmens mehrere Instanzen von BlackBerry UEM aufweist, müssen Sie nur das Zertifikat von einer Instanz exportieren. Wenn Sie nicht über ein Cisco ISE-Administratorkonto verfügen, senden Sie diese Anweisungen an einen Cisco ISEAdministrator. Hinweis: Die Schritte ab Schritt 3 beziehen sich auf Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentation finden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide. Bevor Sie beginnen: Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann.-eigene Optionen zur Verfügung. 1. Navigieren Sie in einem Browser zu https://<server_name>:<BlackBerry_Web_Services_port>/enterprise/admin/util/ws? wsdl, wobei <server_name> der FQDN des Computers ist, der die BlackBerry UEM Core-Komponente hostet. Der <BlackBerry_Web_Services_port>-Standardwert ist 18084. 2. Exportieren Sie das BlackBerry Web Services-Zertifikat, und speichern Sie es auf Ihrem Desktop. Weitere Anleitungen finden Sie in der Dokumentation des verwendeten Browsers. Beispiel: Klicken Sie in Google Chrome auf das Schlosssymbol neben der URL. Klicken Sie auf der Registerkarte Verbindungen auf Zertifikatinformationen. Klicken Sie auf der Registerkarte Details auf Datei kopieren, und folgen Sie den Anweisungen auf dem Bildschirm. 3. Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an. 4. Klicken Sie in der Menüleiste auf Administration > System > Zertifikate. 5. Klicken Sie im linken Fensterbereich auf Vertrauenswürdige Zertifikate. 6. Klicken Sie auf Importieren. Navigieren Sie zu dem BlackBerry Web Services-Zertifikat, und wählen Sie es aus. 7. Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für Client-Authentifizierung und Syslog. 8. Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für die Authentifizierung von Cisco Services. 9. Klicken Sie auf Senden. Wenn Sie fertig sind: Verbinden von BlackBerry UEM mit Cisco ISE -eigene Optionen zur Verfügung. 124 Integrieren von BlackBerry UEM mit Cisco ISE Verbinden von BlackBerry UEM mit Cisco ISE Wenn Sie kein Cisco Identity Services Engine (ISE) Administratorkonto haben, senden Sie diese Anweisungen zusammen mit den erforderlichen Informationen zu BlackBerry UEM und dem BlackBerry UEM-Administratorkonto an einen Cisco ISEAdministrator. Hinweis: Die folgenden Schritte gelten für Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentation finden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide. Bevor Sie beginnen: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher-eigene Optionen zur Verfügung. 1. Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an. 2. Klicken Sie in der Menüleiste auf Verwaltung > Netzwerkressourcen > External MDM. 3. Klicken Sie auf Hinzufügen. 4. Geben Sie im Feld Name den Anzeigenamen für die Verbindung ein. 5. Geben Sie im Feld Hostname oder IP-Adresse den FQDN oder die IP-Adresse der BlackBerry UEM-Domäne ein. 6. Geben Sie in das Feld Port 18084 ein. Wenn Port 18084 bei der Installation von BlackBerry UEM nicht verfügbar war, hat die Setupanwendung einen anderen verfügbaren Port für diesen Zweck ausgewählt. Um den richtigen Portwert zu überprüfen, suchen Sie in der BlackBerry UEM Core-Protokolldatei (CORE) nach (^/ciscoise/.*), und notieren Sie sich die vor diesem Text aufgeführte Portnummer. 7. Geben Sie im Feld Benutzername den Benutzernamen des BlackBerry UEM-Administratorkontos ein. 8. Geben Sie im Feld Kennwort das Kennwort für das BlackBerry UEMAdministratorkonto ein. 9. Geben Sie im Feld Abfrageintervall ein, wie oft (in Minuten) Cisco ISE Gerätedaten von BlackBerry UEM abrufen soll. Es wird empfohlen, den Standardwert von 240 Minuten zu verwenden. Hinweis: Wenn Sie diesen Wert auf 60 Minuten oder weniger setzen, kann sich dies deutlich auf die Leistung Unternehmensumgebung auswirken. Wenn Sie diesen Wert auf 0 setzen, ruft Cisco ISE keine Daten von BlackBerry UEM ab. 10. Klicken Sie auf das Kontrollkästchen Aktivieren. 11. Klicken Sie auf Verbindung testen, um zu prüfen, ob Cisco ISE eine Verbindung zu BlackBerry UEM herstellen kann. 12. Klicken Sie auf Senden. Nachdem die Verbindung hergestellt wurde, können Sie die Wörterbuchattribute für BlackBerry UEM unter Richtlinie > Richtlinienelemente > Wörterbücher > System > MDM > Wörterbuchattribute abrufen. Protokolleinträge für die Cisco ISEAbfrage werden in die BlackBerry UEM Core (CORE)-Protokolldatei geschrieben. Wenn Sie fertig sind: Führen Sie die folgenden Konfigurationsaufgaben in der Cisco ISE-Verwaltungskonsole aus. Die neuesten Anweisungen finden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide (siehe Set Up MDM Servers With Cisco ISE). 125 Integrieren von BlackBerry UEM mit Cisco ISE • Konfigurieren Sie ACLs auf dem Wireless-LAN-Controller. • Konfigurieren Sie ein Berechtigungsprofil für die Umleitung von Geräten, die nicht unter BlackBerry UEM aktiviert wurden. Weitere Informationen finden Sie unter Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurden. • Konfigurieren Sie Richtlinienregeln für die Autorisierung, die bestimmen, wie Cisco ISE Geräte verarbeitet, die nicht unter BlackBerry UEM aktiviert wurden oder mit BlackBerry UEM nicht richtlinienkonform sind. Erstellen Sie unter Richtlinie > Richtliniensätze eine Richtlinie. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEM. Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEM Authentifizierungsrichtlinie Autorisierungsrichtlinie 126 Integrieren von BlackBerry UEM mit Cisco ISE Verwalten von Netzwerkzugriff und Gerätesteuerelementen über Cisco ISE Cisco Identity Services Engine (ISE) Administratoren können die folgenden Aktionen durchführen. Weitere Anweisungen finden Sie unter Set Up MDM Servers With Cisco ISE im Cisco Identity Services Engine Administrator Guide. Aktion Beschreibung Gerätedaten anzeigen Sie können Informationen über die mit BlackBerry UEM verknüpften Geräte anzeigen, z. B.: 127 Integrieren von BlackBerry UEM mit Cisco ISE Aktion Beschreibung • MAC-Adresse: die eindeutige MAC-Adresse des Geräts • Konformität: ob das Gerät mit BlackBerry UEM richtlinienkonform ist • Festplattenverschlüsselung: ob Gerätedaten verschlüsselt werden • Anmeldung: ob das Gerät unter BlackBerry UEM aktiviert ist • Jailbreak: ob das Gerät gegen eine der Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstößt • Pin-Sperre: ob das Gerät ein Kennwort verwendet • Hersteller • Modell • Seriennummer • Betriebssystemversion Konfigurieren von NAC-Richtlinien Konfigurieren Sie Zugriffsrichtlinien, die steuern, ob Geräte eine Verbindung zu geschäftlichen Wi-Fi- oder VPN-Zugriffpunkten herstellen können. Sie können zum Beispiel Zugriffsrichtlinie festlegen, die verhindert, dass Geräte, die nicht mit BlackBerry UEM richtlinienkonform sind, auf das Unternehmensnetzwerk zugreifen. Gerät sperren Sperren Sie das iOS-, Android- oder Windows-Gerät eines Benutzers (BlackBerry 10Geräte unterstützen diese Funktion nicht). Diese Funktion ist nützlich, wenn das Gerät eines Benutzers vorübergehend verlegt wurde. BlackBerry UEM sperrt das Gerät über einen IT-Administrationsbefehl. Der Benutzer muss das Gerätekennwort eingeben, um das Gerät zu entsperren. Gerätebenutzer können diese Aktion auch über das My Device portal ausführen. Geschäftliche Daten löschen Löschen Sie nur geschäftliche Daten und Apps von einem Gerät, sodass die persönlichen Daten und Anwendungen des Benutzers erhalten bleiben. Diese Funktion ist nützlich, wenn das Gerät eines Benutzers verloren gegangen ist oder der Benutzer nicht länger Angestellter des Unternehmens ist. BlackBerry UEM löscht geschäftliche Daten mithilfe eines IT-Administrationsbefehls. Gerätebenutzer können diese Aktion auch über das My Device portal ausführen. Alle Daten löschen Löschen Sie alle Daten und Anwendungen von einem Gerät, und setzen Sie das Gerät auf die Werkseinstellungen zurück. Diese Funktion ist nützlich, wenn das Gerät eines Benutzers verloren geht oder gestohlen wird, oder wenn das Gerät an einen anderen Benutzer zugeteilt wird. BlackBerry UEM löscht alle Gerätedaten mithilfe eines ITAdministrationsbefehls. Gerätebenutzer können diese Aktion auch über das My Device portal ausführen. 128 Integrieren von BlackBerry UEM mit Cisco ISE Weitere Informationen zu IT-Administrationsbefehlen und Aktivierungsarten, die Befehle zum Sperren, Löschen geschäftlicher Daten und Löschen aller Daten unterstützenfinden Sie in der Dokumentation für Administratoren. Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurden Wenn Cisco Identity Services Engine (ISE) ein Geräte erkennt, das auf das geschäftliche Netzwerk (Wi-Fi oder VPN) zuzugreifen versucht, und das Gerät nicht unter BlackBerry UEM aktiviert ist, öffnet Cisco ISE eine Anmeldungsseite im Gerätebrowser, die den Benutzer zur BlackBerry UEM Self-Service-Konsole umleitet. Der Benutzer benötigt ein BlackBerry UEM-Benutzerkonto für die Anmeldung bei BlackBerry UEM Self-Service und die Aktivierung des Geräts. Teilen Sie den Benutzern mit, dass sie sich an denBlackBerry UEM-Administrator wenden müssen, wenn sie von Cisco ISE auf die Anmeldungsseite umgeleitet werden. Weitere Informationen zum Hinzufügen und Aktivieren von Administratorkontenfinden Sie in der Dokumentation für Administratoren. Hinweis: Wenn das Gerät eines Benutzers zuvor mit BlackBerry UEM aktiviert war und dann deaktiviert wurde, wird der Benutzer nicht zu BlackBerry UEM Self-Service umgeleitet, falls er versucht, über das Gerät auf geschäftliche Netzwerk zuzugreifen. Um dieses Problem zu lösen, löschen Sie die Daten für das Gerät aus Cisco ISE, wenn Sie ein Gerät aus BlackBerry UEM entfernen. 129 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden 24 Der BlackBerry MDS Connection Service verbindet Apps auf BlackBerry 10-Geräten mit serverseitigen Push-Anwendungen. Push-Anwendungen werden auf Web- oder Anwendungsservern von Unternehmen gehostet und sind in der Lage, Daten an Apps zu übermitteln, die sich auf den Geräten befinden. Weitere Informationen über Push-Anwendungen finden Sie in der Entwicklerdokumentation unter developer.blackberry.com. Sie können Push-Auslöser und Push-Regeln konfigurieren, die definieren, welche serverseitigen Push-Anwendungen Anwendungsdaten und Aktualisierungen an Geräte senden können. Alle Instanzen des BlackBerry MDS Connection Service für BlackBerry 10-Geräte nutzen DNS-Round-Robin für den Lastausgleich des Datenverkehrs, der an die Geräte übermittelt wird. Der BlackBerry MDS Connection Service erzwingt eine Begrenzung der Push-Datengröße auf 8 KB. Für Push-Anforderungen, die 8 KB überschreiten, wird eine Fehlermeldung in der HTTP-Antwort ausgegeben. Bei Daten, die die Grenze von 8 KB überschreiten, können Apps die Push- und Pull-Methode verwenden, bei der eine Benachrichtigung über vorliegende Aktualisierungen an das Gerät per Push übermittelt wird, das dann die neuen Updates per Pull abrufen kann. Weitere Informationen zum Push- und Pull-Verfahren und der 8 KB Größenbeschränkung finden Sie im Entwickler-Blog von BlackBerry unter devblog.blackberry.com. Suchen Sie dort nach Enterprise Push and Pull. Schritte zum Konfigurieren des BlackBerry MDS Connection Service Zum Konfigurieren des BlackBerry MDS Connection Service führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren Sie die Einstellungen für die Komponenteninformationen. Konfigurieren Sie die Push-Informationen. Konfigurieren Sie den BlackBerry MDS Connection Service-Schlüsselspeicher. 130 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Schritt Aktion Konfigurieren Sie die Proxyzuordnungen, und legen Sie deren Rangfolge fest. Konfigurieren des BlackBerry MDS Connection Service Die von Ihnen festgelegten Einstellungen gelten für alle Instanzen des BlackBerry MDS Connection Service, die in der BlackBerry UEM-Domäne installiert sind. Es gibt keine Einstellungen, die nur für eine Instanz gelten. Einstellungen für Komponenteninformationen Einstellung Beschreibung Webserver – Abhörport Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS Connection Service HTTP-Anforderungen von serverseitigen Push-Anwendungen empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt mit einem anderen Dienst auf dem gleichen Computer besteht. Webserver – SSL-Abhörport Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS Connection Service-Webserver SSL-Anforderungen von serverseitigen PushAnwendungen empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt mit einem anderen Dienst auf dem gleichen Computer besteht. Threadpoolgröße Mit dieser Option legen Sie die maximale Anzahl der Threads fest, die von einer BlackBerry MDS Connection Service-Instanz zur Verarbeitung von Anforderungen von BlackBerry 10-Geräten verwendet werden. Maximale Anzahl von gleichzeitig skalierbaren Sockets Mit dieser Option legen Sie die maximale Anzahl der skalierbaren SocketVerbindungen fest, die zwischen BlackBerry 10-Geräten und Zielservern gleichzeitig geöffnet werden können. Je mehr Socket-Verbindungen zugelassen werden, umso höher ist der Verbrauch von Systemressourcen. Datenbankadministratorkonfiguration – Zyklustimer (in Minuten) Mit dieser Option legen Sie fest, wie häufig der BlackBerry MDS Connection Service die BlackBerry UEM-Datenbank auf Änderungen der Konfigurationseinstellungen abfragt. 131 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Maximale Anzahl gespeicherter PushNachrichten Mit dieser Option legen Sie die maximale Anzahl der Push-Nachrichten fest, die in einer BlackBerry UEM-Datenbank gespeichert werden können, wenn die Einstellung „Speichern von Push-Übermittlungen“ auf „Wahr“ gesetzt wird. Maximales Alter von Push-Nachrichten (Minuten) Mit dieser Option legen Sie den maximalen Zeitraum (in Minuten) fest, über den der BlackBerry MDS Connection Service eine Push-Anforderung speichern soll, bevor die Anforderung aus der BlackBerry UEM-Datenbank gelöscht wird. Konfigurieren von BlackBerry MDS Connection Service 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Ändern Sie im Abschnitt Komponenteninformationen die folgenden Einstellungen gemäß den Anforderungen Ihres Unternehmens: Option Standardwert Webserver – Abhörport 9080 Webserver – SSL-Abhörport 9443 Threadpoolgröße 400 Maximale Anzahl von gleichzeitig skalierbaren Sockets 20000 Datenbankadministratorkonfiguration – Zyklustimer 5 Minuten Maximale Anzahl gespeicherter PushNachrichten 100000 Maximales Alter von Push-Nachrichten 720 Minuten 3. Klicken Sie auf Speichern. 132 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service Der BlackBerry MDS Connection Service empfängt Anforderungen von serverseitigen Push-Anwendungen und sendet diese Anforderungen dann an die Anwendungen auf den BlackBerry 10-Geräten. Sie können steuern, wie BlackBerry MDS Connection Service Anforderungen von Push-Anwendungen verarbeitet, speichert und sendet. Standardmäßig sendet der BlackBerry MDS Connection Service Push-Anforderungen von serverseitigen Push-Anwendungen an Anwendungen auf den BlackBerry 10-Geräten. BlackBerry 10-Geräte können Anwendungsdaten und -updates empfangen, ohne dass Benutzer diese anfordern. Sie können die Umgebung Ihres Unternehmens so konfigurieren, dass nur bestimmte serverseitige Push-Anwendungen PushAnforderungen an BlackBerry 10-Geräte senden können. Sie können die Push-Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service Push-Anforderungen von nicht autorisierten Push-Auslösern sendet, und PushAuslöser erstellen, die es bestimmten serverseitigen Anwendungen ermöglichen, Push-Anforderungen an BlackBerry 10Geräte zu senden. Weitere Informationen über Push-Anwendungen finden Sie in der Entwicklerdokumentation unter https:// developer.blackberry.com. Einstellungen für Push-Informationen Der BlackBerry MDS Connection Service unterstützt sichere Enterprise-Push-Funktionen, die es Push-Auslösern ermöglichen, Push-Anforderungen sicher über HTTPS zu senden. Push-Informationen Einstellung Beschreibung Push-Authentifizierung Mit dieser Option legen Sie fest, ob Inhalte von serverseitigen Push-Anwendungen mit oder ohne Authentifizierung an BlackBerry 10-Geräte gesendet werden können. Wenn die Push-Authentifizierung aktiviert ist, können Push-Anwendungen keine Inhalte an BlackBerry 10-Geräte senden, bis Sie einen Push-Auslöser einrichten. Push-Verschlüsselung Mit dieser Option aktivieren Sie SSL, sodass der BlackBerry MDS Connection Service die Push-Anforderungen, die serverseitige Push-Anwendungen an den BlackBerry MDS Connection Service senden, verschlüsseln kann. Speichern von Push-Übermittlungen Mit dieser Option können Sie Push-Anforderungen in der BlackBerry UEMDatenbank speichern. 133 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Maximale Anzahl aktiver Verbindungen Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die von einem BlackBerry MDS Connection Service gleichzeitig verarbeitet werden können. Maximale Anzahl von Verbindungen in der Warteschlange Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die sich in der Warteschlange des BlackBerry MDS Connection Service befinden können. Push-Auslöser Ein Push-Auslöser ist eine Anwendung, die Anforderungsnachrichten (z. B. Push-Anforderungen, Abbruchanforderungen oder Anforderungen zur Statusabfrage) und Antwortnachrichten (z. B. Benachrichtigungen über Ergebnisse) mithilfe der serverseitigen Bibliothek erstellt und diese an den BlackBerry MDS Connection Service sendet. Wenn die Push-Authentifizierung aktiviert ist, verwenden Push-Anwendungen die für den Push-Auslöser festgelegten Anmeldeinformationen für die Authentifizierung beim BlackBerry MDS Connection Service. Einstellung Beschreibung Name Weisen Sie dem Push-Auslöser einen Namen zu. Es sollte der Benutzername für den Push-Auslöser sein. Beschreibung Geben Sie eine Beschreibung für den Push-Auslöser ein. Anmeldeinformationen Geben Sie das für den Push-Auslöser erforderliche Kennwort ein. Die Anmeldeinformationen müssen für jede Push-Anforderung einer App hinzugefügt werden, um zu bestätigen, dass die App Push-Inhalte an ein verwaltetes Gerät senden darf. Push-Auslöserzertifikate Einstellung Beschreibung Push-Auslöserzertifikate Ein Push-Auslöserzertifikat ist ein Server-SSL-Zertifikat, das von serverseitigen Push-Anwendungen verwendet wird. Dieses Zertifikat ermöglicht dem BlackBerry MDS Connection Service ggf. die Kommunikation mit serverseitigen PushAnwendungen über das SSL-Protokoll. Die Push-Auslöserzertifikate werden in den Java-Schlüsselspeicher importiert, der vom BlackBerry MDS Connection Service erstellt und verwaltet wird. Wenn Sie die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ aktiviert haben, wird erwartet, dass Sie die von Push-Anwendungen verwendeten SSL-Zertifikate in eine manuell erstellte und verwaltete Java-keystore-Datei importieren. 134 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Hinweis: Um ein Push-Auslöserzertifikat hinzuzufügen, benötigen Sie eine .certDatei. Konfigurieren von Push-Informationen 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Ändern Sie im Abschnitt Push-Informationen die folgenden Einstellungen entsprechend den Anforderungen Ihrer Umgebung: Option Standardwert Push-Authentifizierung Falsch Push-Verschlüsselung • Wahr: Aktiviert • Falsch: Deaktiviert Falsch • Wahr: Aktiviert ◦ • Speichern von Push-Übermittlungen Wenn die Push-Verschlüsselung aktiviert ist, stehen die Optionen Zertifikat generieren und Zertifikat neu generieren zur Verfügung, um das SSL-Zertifikat für die Java-keystore-Datei zu erstellen. Falsch: Deaktiviert Falsch • Wahr: Aktiviert • Falsch: Deaktiviert Maximale Anzahl aktiver Verbindungen 1000 Bereich: 1 bis 65535. Wenn Sie den Standardwert heraufsetzen, werden mehr Systemressourcen beansprucht. Maximale Anzahl von Verbindungen in der Warteschlange 100000 Bereich: 1 bis 10000000. Wenn Sie den Standardwert heraufsetzen, werden mehr Systemressourcen beansprucht. 135 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden 3. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen von Push-Auslösern für Push-Anwendungen. Erstellen von Push-Auslösern für Push-Anwendungen Wenn die Push-Authentifizierung aktiviert ist, muss sich jede serverseitige Push-Anwendung für eine Push-Anforderung beim BlackBerry MDS Connection Service authentifizieren. Sie können die Anmeldeinformationen für die Authentifizierung durch Erstellen eines Push-Auslöserkontos festlegen. Sie können mehrere serverseitige Push-Anwendungen für die Verwendung des gleichen Push-Auslösers konfigurieren (d. h., dass sie dasselbe Autorisierungskennwort verwenden), wenn dies in der Entwicklungsumgebung Ihres Unternehmens möglich ist. Stellen Sie sicher, dass der HTTP-Header für die Autorisierung in Push-Anforderungen aus serverseitigen Push-Anwendungen dem für den Push-Auslöser festgelegten Namen und Kennwort entspricht. Bevor Sie beginnen: Aktivieren Sie die Push-Authentifizierung für den BlackBerry MDS Connection Service. 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Klicken Sie unter 3. Geben Sie den Namen, die Beschreibung und die Anmeldeinformationen für den Push-Auslöser an. 4. Klicken Sie auf Hinzufügen. 5. Klicken Sie auf Speichern. auf das Symbol „Hinzufügen“ . Wenn Sie fertig sind: Erstellen Sie einen Push-Auslöser für jede serverseitige Push-Anwendung, die Push-Anforderungen an BlackBerry 10-Geräte senden soll. Hinzufügen von Push-Auslöserzertifikaten Push-Auslöserzertifikate sind nur erforderlich, wenn der serverseitige Listener für Push-Anwendungsbenachrichtigungen auf einem SSL-Port ausgeführt wird. Hinweis: Wenn Sie Manuelles Überschreiben der Schlüsselspeicherverwaltung im MDS Connection ServiceSchlüsselspeicher aktivieren, werden Sie nicht in der Lage sein, Push-Auslöser-Zertifikate hinzuzufügen. Bevor Sie beginnen: Setzen Sie Push-Verschlüsselung auf „Wahr“. 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Klicken Sie auf 3. Navigieren Sie zum Push-Zertifikat. Das Push-Zertifikat muss eine .cert-Datei sein. 4. Klicken Sie auf Hinzufügen. 5. Klicken Sie auf Speichern. unter Push-Auslöserzertifikate. 136 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers Push-Anwendungen können ein BlackBerry MDS Connection Service-Zertifikat zum Herstellen von HTTPS-Verbindungen mit dem BlackBerry MDS Connection Service verwenden, um Anwendungsdaten und -Updates auf BlackBerry 10-Geräte zu übertragen. Damit Push-Anwendungen vertrauenswürdige Verbindungen zu einem BlackBerry MDS Connection Service herstellen können, müssen Sie die Datei „webserver.keystore“ auf dem Host-Computer des BlackBerry MDS Connection Service erstellen. Dieser Schlüsselspeicher speichert die Zertifikate und lässt HTTPS-Verbindungen von Push-Anwendungen zu. Schlüsselspeichereinstellungen Es gibt zwei Möglichkeiten, SSL-Zertifikate für den BlackBerry MDS Connection Service bereitzustellen: • Verwendung der Option „Zertifikat generieren“, wenn die Push-Verschlüsselung aktiviert ist • Verwendung der Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“, um das SSL-Zertifikat und eine Java-keystore-Datei für die Verwaltung des SSL-Zertifikats manuell zu erstellen Der BlackBerry MDS Connection Service erwartet eine Java-keystore-Datei mit dem Namen „webserver.keystore“ unter dem Speicherort <drive>:\Program Files\BlackBerry\MDS\werbserver\. Wenn die Option „Zertifikat generieren“ verwendet wird, erzeugt der BlackBerry MDS Connection Service in dem Ordner eine Java-keystore-Datei mit dem SSL-Zertifikat. Wenn die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ verwendet wird, müssen Sie eine Java-keystore-Datei mit SSL-Zertifikat für den BlackBerry MDS Connection Service erstellen. Der BlackBerry MDS Connection Service kann das selbstsignierte Zertifikat verwenden, das beim Erstellen des Schlüsselspeichers erzeugt wird, oder Sie können mithilfe des Java-Keytools ein signiertes Zertifikat aus einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen. Wenn Sie die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ auswählen, muss das SSL-Zertifikat in der Java-keystore-Datei mit dem Alias-Namen mdscs_ssl bezeichnet werden, damit der BlackBerry MDS Connection Service den verschlüsselten Push erfolgreich aktivieren kann. Verwenden Sie das Java-Keytool, um das Zertifikat aus dem Schlüsselspeicher zu exportieren, und importieren Sie das Zertifikat in die von den Java-Push-Anwendungen verwendeten Schlüsselspeicher. Weitere Informationen zur Verwendung des Java-Keytools finden Sie unter java.sun.com/javase/6/docs/technotes/tools/ windows/keytool.html. Weitere Informationen zu den Anforderungen finden Sie unter tomcat.apache.org/tomcat-5.5-doc/sslhowto.html. Einstellung Beschreibung Manuelles Überschreiben der Schlüsselspeicherverwaltung Wenn Sie „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ auswählen, können Sie keine Push-Auslöserzertifikate verwenden. 137 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Der BlackBerry MDS Connection Service nutzt die Java-keystore-Datei als Truststore. Sie sollten die serverseitigen SSL-Zertifikate der Push-Anwendung in den Java-Schlüsselspeicher importieren, damit der BlackBerry MDS Connection Service bei Bedarf erfolgreich mit den serverseitigen Push-Anwendungen über einen SSL-Port kommunizieren kann. Kennwort für Schlüsselspeicher Geben Sie das Kennwort für den Schlüsselspeicher ein. Das Standardkennwort lautet „changeit“. Wenn eine manuell erstellte Javakeystore-Datei verwendet wird, muss für diese das Standardkennwort oder ein konfiguriertes Kennwort verwendet werden. Bestätigung des Kennworts für Schlüsselspeicher Bestätigen Sie das Kennwort für den Schlüsselspeicher. Konfigurieren des Schlüsselspeichers 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Ändern Sie im Abschnitt MDS Connection Service-Schlüsselspeicher die folgenden Einstellungen gemäß den Anforderungen Ihres Unternehmens: Option Beschreibung Manuelles Überschreiben der Schlüsselspeicherverwaltung Standard: Deaktiviert • Aktiviert: Push-Auslöserzertifikate können nicht hinzugefügt werden • Deaktiviert: Push-Auslöserzertifikate können hinzugefügt werden Kennwort für Schlüsselspeicher Geben Sie bei Bedarf das Kennwort für den Schlüsselspeicher ein. Bestätigung des Kennworts für Schlüsselspeicher Bestätigen Sie das Kennwort für den Schlüsselspeicher. 3. Klicken Sie auf Speichern. Wenn Sie fertig sind: Hinzufügen von Push-Auslöserzertifikaten, falls erforderlich. 138 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren von BlackBerry MDS Connection Service-Proxyzuordnungen 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Klicken Sie unter Proxyzuordnungen auf das 3. Konfigurieren Sie Proxyzuordnung hinzufügen, und ändern Sie die folgenden Einstellungen gemäß den Anforderungen Ihrer Umgebung: . Option Beschreibung Universal Resource Indicator Legen Sie den regulären Java-Ausdruck für die Webadressen fest, die von der Proxyzuordnungsregel gesteuert werden. Der Platzhalter * erzwingt, dass der Server den gesamten Verkehr an den festgelegten Proxy umleitet. Sie können auch Platzhalter für die jeweilige Domäne verwenden, z. B. *.example.com/*, um den gesamten Verkehr für einen Server und ein Verzeichnis der Domäne „beispiel.com“ an den festgelegten Proxy umzuleiten. Beschreibung Geben Sie eine Beschreibung Ihres Universal Resource Indicator ein. Beispiel: Diese Proxyzuordnung leitet den kompletten Verkehr der Domäne „beispiel.com“ an den primären Proxy-Server um. Anmeldeinformationen Legen Sie den Benutzernamen und das Kennwort fest, das der BlackBerry MDS Connection Service zum Herstellen der Verbindung zu dem Proxy-Server verwendet, der für die Webadresse definiert ist. Proxy-Typ Wählen Sie den Typ des Proxy-Servers aus: • Auto (Standard) • Direkt • PAC: Erfordert die Adresse einer PAC-Datei • Proxy: Erfordert den Host-Namen oder die IP-Adresse eines ProxyServers Fügen Sie ggf. zusätzliche Proxy-Typen hinzu. 4. Klicken Sie auf Hinzufügen. 5. Klicken Sie auf Speichern. 139 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Wenn Sie fertig sind: Wenn es mehrere Proxyzuordnungen gibt, lesen Sie Festlegen der Rangfolge der Proxyzuordnungen. Festlegen der Rangfolge der Proxyzuordnungen Wenn mehrere Proxyzuordnungen vorhanden sind, legen Sie deren Rangfolge fest, um die Reihenfolge zu bestimmen, in der Sie von BlackBerry UEM verwendet werden. 1. Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service. 2. Verwenden Sie die Pfeile, um die Rangfolge der Proxyzuordnungen zu bestimmen. 3. Klicken Sie auf Speichern. 140 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Überwachen von BlackBerry UEM mithilfe von SNMP-Tools 25 Mithilfe von SNMP-Tools von Drittanbietern können Sie die Aktivität von verschiedenen BlackBerry UEM-Komponenten überwachen. Die SNMP-Überwachung erfordert einen SNMP-Dienst und ein SNMP-Verwaltungstool. Sie führen den SNMPDienst auf den Computern aus, die BlackBerry UEM hosten. Der SNMP-Dienst befindet sich in den Windows-Diensten und umfasst einen SNMP-Agent, der Daten aus den BlackBerry UEM-Komponenten sammelt. Mithilfe eines SNMP-Verwaltungstools (z. B. eines MIB-Browsers) können Sie die Daten, die der Agent empfängt, anzeigen und analysieren. Das Verwaltungstool beinhaltet in der Regel ein SNMP-Trap-Verwaltungstool, das zum Abrufen und Interpretieren der Trap-Nachrichten vom Agent verwendet wird. Das Verwaltungstool kann auf dem Computer, der BlackBerry UEM hostet, oder auf einem separaten Computer installiert werden. Es gibt zwei Stellen, an denen Sie SNMP konfigurieren: • In der Verwaltungskonsole zur Überwachung von BlackBerry UEM Core, BlackBerry Secure Connect Plus, BlackBerry Secure Gateway Service und BlackBerry Cloud Connector. Siehe SNMP-Konfiguration für die Überwachung von Komponenten. • Im SNMP-Dienst zur Überwachung der Enterprise-Konnektivitätskomponenten von BlackBerry UEM Standardmäßig zeigt das Verwaltungstool die OID einer Bedingung an, die aus einer Folge von Ganzzahlen besteht, die einen Klassenwert in einer Klassenhierarchie bezeichnen. Alle SNMP-OIDs und SNMP-Traps für BlackBerry UEM beginnen mit dem Klassenwert 1.3.6.1.4.1.3530.8. Jeder OID-Wert wird durch ein Suffix (z. B. 25.1.1) eindeutig identifiziert. In MIBs sind die Bedingungen für die Überwachung durch den SNMP-Agent festgelegt. Eine MIB ist eine Datenbank, in der die Variablen und Verwaltungsdaten der BlackBerry UEM-Komponenten sowie die Bedeutung der jeweiligen SNMP-Trapwerte definiert und beschrieben werden. Die MIB legt die Datentypen fest, die der SNMP-Dienst über die Komponenten erfassen kann. Wenn Sie die SNMP-Überwachung konfigurieren, müssen Sie das Verwaltungstool zum Kompilieren der MIB verwenden. Weitere Informationen zur Netzwerksicherheit für SNMP finden Sie unter support.microsoft.com. Unterstützte SNMP-Vorgänge SNMP-Vorgänge können zur Erfassung von Daten des SNMP-Agents verwendet werden, der auf den Computern ausgeführt wird, auf denen BlackBerry UEM installiert ist. BlackBerry UEM unterstützt die folgenden SNMP-Vorgänge: Vorgang Beschreibung Get Dieser Vorgang ruft den Wert für ein bestimmtes MIB-Element ab. 141 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Vorgang Beschreibung Get next Dieser Vorgang ruft den Wert und die OID von Elementen in der Reihenfolge ab, in der sie in einer MIB-Datei aufgeführt sind. Trap Dieser Vorgang sendet SNMP-Trap-Nachrichten vom SNMP-Agent zum SNMP-TrapVerwaltungstool. SNMP-Trap-Nachrichten enthalten Daten zu bestimmten Aktionen, die eine BlackBerry UEM-Komponente durchführt. Systemanforderungen: SNMP-Überwachung Objekt Anforderungen Unterstützte BlackBerry UEM-Komponenten Sie können die SNMP-Überwachung für folgende BlackBerry UEM-Komponenten konfigurieren: • BlackBerry Affinity Manager • BlackBerry Cloud Connector • BlackBerry Dispatcher • BlackBerry MDS Connection Service • BlackBerry Router • BlackBerry Secure Connect Plus • BlackBerry Secure Gateway Service • BlackBerry UEM Core Andere BlackBerry UEM-Komponenten unterstützen die SNMP-Überwachung nicht. SNMP-Verwaltungstool Wenn das Verwaltungstool keinen MIB-Compiler aufweist, installieren Sie einen MIB-Compiler auf dem Computer, auf dem sich das Verwaltungstool befindet. Wenn der SNMP-Dienst Trap-Nachrichten für Berichte über Serveraktivitäten senden soll, prüfen Sie, ob das Verwaltungstool ein SNMP-Trap-Verwaltungstool umfasst. Sie können auch ein eigenständiges SNMP-Trap-Verwaltungstool auf einem Computer, auf dem BlackBerry UEM gehostet wird, oder einem separaten Computer installieren. Netzwerkzugriff Der Computer, auf dem das SNMP-Verwaltungstool oder ein eigenständiges SNMP-TrapVerwaltungstool gehostet wird, muss in der Lage sein, auf Daten der Computer, auf denen BlackBerry UEM installiert ist, zuzugreifen und diese zu empfangen. SNMP-Dienst Installieren Sie auf den Computern, auf denen BlackBerry UEM installiert ist, einen SNMPDienst mit SNMP-Agent und SNMP-Trap-Dienst. 142 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Objekt Anforderungen Ein SNMP-Dienst ist in den meisten Versionen von Windows enthalten. Weitere Informationen finden Sie unter support.microsoft.com. Einstellungen für den SNMP- Konfigurieren Sie auf den Computern, auf denen BlackBerry UEM installiert ist, in den Dienst Windows-Diensten die folgenden Einstellungen für den SNMP-Dienst: • Einen gültigen SNMP-Community-Namen • Mindestens die Leseberechtigung für die SNMP-Community • Die IP-Adressen der Computer, von denen der SNMP-Dienst SNMP-Daten annehmen kann. MIBs für BlackBerry UEM Die MIBs für BlackBerry UEM befinden sich standardmäßig auf dem Computer, auf dem BlackBerry UEM installiert ist, unter dem Pfad <Laufwerk> \Program Files\BlackBerry\UEM\Monitoring\bin\mib. BlackBerry UEM enthält die folgenden MIBs, die Sie verwenden können, um Daten von BlackBerry UEM-Komponenten zu analysieren: MIB-Datei Beschreibung BES-BCCMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMPSchnittstelle von BlackBerry Cloud Connector BES-BCCMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry Cloud ConnectorObjekte, die über das SNMP-Verwaltungstool zugänglich und abrufbar sind BES-BSCPMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMPSchnittstelle von BlackBerry Secure Connect Plus BES-BSCPMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry Secure Connect PlusObjekte, die über das SNMP-Verwaltungstool zugänglich und abrufbar sind BES-BSGMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMPSchnittstelle von BlackBerry Secure Gateway Service BES-BSGMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry Secure Gateway Service-Objekte, die über das SNMP-Verwaltungstool zugänglich und abrufbar sind 143 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools MIB-Datei Beschreibung BES-CoreEventingMIB-SMIV2 Enthält Definitionen der Traps und Benachrichtigungen, die von BlackBerry UEM Core ausgegeben werden BES-CoreMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMPSchnittstelle von BlackBerry UEM Core BES-CoreMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten Objekte, die über das SNMPVerwaltungstool zugänglich und abrufbar sind BES-EC-MIB-SMIV2 Enthält Definitionen verwalteter Objekte, Traps und Benachrichtigungen, die von folgenden EnterpriseKonnektivitätskomponenten von BlackBerry UEM ausgegeben werden: • BlackBerry Affinity Manager • BlackBerry Dispatcher • BlackBerry MDS Connection Service • BlackBerry Router Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools Damit die SNMP-Überwachungssoftware Ihres Unternehmens BlackBerry UEM-Komponenten überwachen kann, müssen Sie mithilfe des SNMP-Verwaltungstools die MIB-Dateien von BlackBerry UEM kompilieren. Wenn das Tool keinen MIB-Compiler umfasst, installieren Sie einen MIB-Compiler auf dem Computer, auf dem sich das Tool befindet. Bevor Sie beginnen: Weitere Informationen über die Verwendung des Tools zum Kompilieren einer MIB finden Sie in der Dokumentation zum SNMP-Verwaltungstool. 1. Öffnen Sie auf dem Computer, auf dem BlackBerry UEM gehostet wird, <Laufwerk>\Programme\BlackBerry\UEM \Monitoring\bin\mib. 2. Verwenden Sie das SNMP-Verwaltungstool (oder einen separat installierten MIB-Compiler) zum Kompilieren der MIBDateien. 144 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Verwenden von SNMP zur Überwachung von Komponenten Zur Überwachung der folgenden Komponenten mit SNMP müssen Sie die Einstellungen in der BlackBerry UEMVerwaltungskonsole konfigurieren: • BlackBerry UEM Core • BlackBerry Secure Connect Plus • BlackBerry Secure Gateway Service BlackBerry UEM Core umfasst verschiedene Unterkomponenten, die für die Verwaltung der Geräte zuständig sind. BlackBerry Secure Connect Plus stellt einen sicheren IP-Tunnel zwischen Apps für den geschäftlichen Bereich auf Geräten mit BlackBerry 10, KNOX Workspace oder Android for Work und dem Netzwerk des Unternehmens her. BlackBerry Secure Gateway Service stellt eine sichere Verbindung für iOS-Geräte zum E-Mail-Server Ihres Unternehmens über die BlackBerry Infrastructure zur Verfügung. SNMP-Konfiguration für die Überwachung von Komponenten Um SNMP für die Überwachung von BlackBerry UEM Core,BlackBerry Secure Connect Plus, BlackBerry Secure Gateway Service oder BlackBerry Cloud Connector zu verwenden, müssen Sie die Einstellungen in der Verwaltungskonsole konfigurieren. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > SMTP-Server. 2. Erweitern Sie Globale Einstellungen, und aktivieren Sie das Kontrollkästchen SNMP-Überwachung aktivieren. 3. Ersetzen Sie im Feld Community den Standardwert, indem Sie einen neuen Community-Namen eingeben. 4. Geben Sie im Feld „IP-Adresse“ die IPv4-UDP-Adresse des Servers ein, auf dem das Trap-Verwaltungstool installiert ist. 5. Geben Sie in das Feld Port die Portnummer für das Trap-Verwaltungstool ein. Standardmäßig ist die Portnummer 1620. 6. Klicken Sie auf Speichern. 7. Erweitern Sie den jeweiligen BlackBerry UEM-Instanznamen. Bei Bedarf können die Portnummern, die BlackBerry UEM zum Empfangen von SNMP-Datenanforderungen verwenden soll, geändert werden. Die folgenden Portnummern werden standardmäßig zugewiesen: • BlackBerry UEM Core: 1610 • BlackBerry Secure Connect Plus: 1611 • BlackBerry Secure Gateway Service: 1612 • BlackBerry Cloud Connector: 1613 145 Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Hinweis: Zum Ändern der Portnummer für den BlackBerry Cloud Connector, müssen Sie den Wert com.rim.platform.mdm.zed.snmp.monitoring.udpport in der BlackBerry UEM-Datenbank bearbeiten. 8. Klicken Sie auf Speichern. Wenn Sie fertig sind: Führen Sie eine der folgenden Aufgaben aus: • Wenn Sie für BlackBerry UEM Core die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM - UEM Core in den Windows-Diensten neu. • Wenn Sie für BlackBerry Secure Connect Plus die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM BlackBerry Secure Connect Plus in den Windows-Diensten neu. • Wenn Sie für BlackBerry Secure Gateway Service die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM - BlackBerry Secure Gateway in den Windows-Diensten neu. • Wenn Sie für BlackBerry Cloud Connector die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM BlackBerry Cloud Connector in den Windows-Diensten neu. 146 Glossar Glossar 26 ADSI Active Directory Service Interfaces (Active Directory-Dienstschnittstellen) APNs Apple Push Notification service (Apple Push Notification-Dienst) BES5 BlackBerry Enterprise Server 5 BES10 BlackBerry Enterprise Service 10 BlackBerry UEMInstanz Unter einer BlackBerry UEM-Instanz ist eine Installation des BlackBerry UEM Core sowie aller zugehörigen BlackBerry UEM-Komponenten, die mit diesem kommunizieren, zu verstehen. Die Komponenten können auf demselben oder auf mehreren Servern installiert werden. In einer BlackBerry UEM-Domäne können sich mehrere BlackBerry UEM-Instanzen befinden. BlackBerry UEMDomäne Eine BlackBerry UEM-Domäne besteht aus einer BlackBerry UEM-Datenbank, einer BlackBerry Control-Datenbank sowie sämtlichen BlackBerry UEM-Instanzen, die damit verbunden sind. BES12 BlackBerry Enterprise Service 12 BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind, mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet. CAS Client Access Server (Client-Zugriffsserver) CSR Certificate Signing Request (Anforderung für die Zertifikatssignatur) DEP Device Enrollment Program (Programm zur Geräteregistrierung) DNS Domain Name System (Domänennamensystem) FQDN Fully Qualified Domain Name (vollständiger Domänenname) HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL) IIS Internet Information Services (Internet-Informationsdienste) LDAP Lightweight Directory Access Protocol (Anwendungsprotokoll) MIB Management Information Base (Datenbasis für Netzwerkmanagement) MMC Microsoft Management Console OID Objektbezeichner PAC Proxy Auto Configuration (Proxy-Autokonfiguration) PAP Push Access Protocol (Protokoll für den Push-Zugriff) SCEP Simple Certificate Enrollment-Protokoll 147 Glossar SMTP Simple Mail Transfer Protocol (einfaches Nachrichtenübertragungsprotokoll) ist ein TCP/IP-Protokoll, das zusammen mit POP oder IMAP für das Senden und Empfangen von Nachrichten über ein Netzwerk wie das Internet verwendet wird. SNMP Simple Network Management Protocol (einfaches Netzwerkverwaltungsprotokoll) SPN Ein SPN (Service Principal Name - Dienstprinzipalname) ist ein Attribut eines Benutzers oder einer Gruppe in Microsoft Active Directory, das die gegenseitige Authentifizierung zwischen einem Client eines Kerberos-fähigen Diensts und einem Kerberos-fähigen Dienst unterstützt. Ein Microsoft Active Directory-Konto kann eine oder mehrere SPNs haben. SRP Server Routing Protocol SSL Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten) TCP Transmission Control Protocol (Übertragungssteuerungsprotokoll) TCP/IP Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll) bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über Netzwerke wie das Internet verwendet wird. TLS Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung) 148 Rechtliche Hinweise Rechtliche Hinweise 27 ©2017 BlackBerry Limited. Sämtliche Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BBM, BES, EMBLEM Design, ATHOC, MOVIRTU und SECUSMART, sind Marken oder eingetragene Marken von BlackBerry Limited, deren Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an diesen Marken wird ausdrücklich vorbehalten. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber. Microsoft, Active Directory, ActiveSync, Internet Explorer, Microsoft Edge, Microsoft Exchange, Microsoft Exchange Server, Microsoft Exchange Management Console, Microsoft Internet Information Services, SQL Server, Windows, Windows Phone, Windows PowerShell und Windows Server sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/ oder anderen Ländern. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet. Apple und OS X sind Marken von Apple Inc. Android und Google Chrome sind Marken von Google Inc. Mozilla und Firefox sind Marken der Mozilla Foundation. KNOX und Samsung KNOX sind Marken von Samsung Electronics Co., Ltd. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber. Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in Kenntnis zu setzen. Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry. SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE, 149 Rechtliche Hinweise HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD. MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG. DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER. ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER DOKUMENTATION. Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter 150 Rechtliche Hinweise bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird. Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT. BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp. BlackBerry Limited 2200 University Avenue East Waterloo, Ontario Canada N2K 0A7 BlackBerry UK Limited 200 Bath Road Slough, Berkshire SL1 3XE United Kingdom Veröffentlicht in Kanada 151