Konfigurationshandbuc h BES12 Version 12.2 Veröffentlicht: 2015-08-27 SWD-20150827132450404 Inhalt Info zu diesem Handbuch................................................................................................. 8 Erste Schritte....................................................................................................................9 Administratorberechtigungen, die für die Konfiguration von BES12 benötigt werden ......................................................... 9 Abrufen und Aktivieren von Lizenzen.................................................................................................................................9 Erstmalige Konfiguration von BES12 .................................................................................................................................9 Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten............................................................................. 12 Konfigurieren von Ports...................................................................................................16 Ausgehende Verbindungen: BES12 zur BlackBerry Infrastructure ...................................................................................16 Ausgehende Verbindungen: Geräte in einem Wi-Fi-Netzwerk...........................................................................................19 Intranetverbindungen..................................................................................................................................................... 20 Hinzufügen vertrauenswürdiger Zertifikate......................................................................22 Ändern des von den BES12-Konsolen verwendeten Zertifikats.........................................................................................22 Ändern des von den BES12-Konsolen verwendeten Zertifikats..................................................................................22 Ändern des von BES12 zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats.....................................23 Ändern des von BES12 zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats............................. 23 Konfigurieren von BES12 für die Verwendung eines Proxyservers.................................... 24 Konfigurieren eines Proxy-Servers bei der erstmaligen Anmeldung bei BES12 .................................................................24 Vergleichen von TCP-Proxys............................................................................................................................................ 25 Konfigurieren des TCP-Proxy-Servers.............................................................................................................................. 25 Konfigurieren von BES12 für die Verwendung eines transparenten TCP-Proxy-Servers.............................................. 26 Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server.............................................................................................. 26 Konfigurieren des BlackBerry Router ..............................................................................................................................27 Konfigurieren von BES12 für die Verwendung des BlackBerry Router .......................................................................27 Herstellen einer Verbindung zu Unternehmensverzeichnissen.........................................28 Schritte zum Konfigurieren einer Verbindung zum Unternehmensverzeichnis.................................................................. 28 Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält .................................................................................................................................29 Verbindung zu einer Microsoft Active Directory-Instanz................................................................................................... 29 Herstellen der Verbindung zu einem LDAP-Verzeichnis.................................................................................................... 32 Aktivieren von per Verzeichnis verknüpften Gruppen....................................................................................................... 35 Aktivieren von per Verzeichnis verknüpften Gruppen................................................................................................ 37 Synchronisieren einer UnternehmensverzeichnisVerbindung...........................................................................................39 Anzeigen eines Verzeichnis-Synchronisierungsberichts................................................................................................... 39 Hinzufügen eines Synchronisierungszeitplans................................................................................................................. 39 Hinzufügen eines Synchronisationsplans................................................................................................................. 40 Konfigurieren der einmaligen Anmeldung für BES12 ...................................................... 42 Schritte zum Konfigurieren der einmaligen Anmeldung für BES12 .................................................................................. 42 Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung................................................................................................................................................... 43 Konfigurieren der einmaligen Anmeldung für BES12 .......................................................................................................43 Konsolen-URLs für die einmalige Anmeldung.................................................................................................................. 44 Anforderungen an den Browser für die einmalige Anmeldung.......................................................................................... 45 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten................................. 46 Datenfluss: Senden von Daten an ein iOS-Gerät.............................................................................................................. 46 Schritte zum Verwalten von iOS-Geräten......................................................................................................................... 46 Abrufen einer signierten CSR von BlackBerry ..................................................................................................................47 Anfordern eines APNs-Zertifikats von Apple ....................................................................................................................47 Registrieren des APNs-Zertifikats.................................................................................................................................... 48 Erneuern des APNs-Zertifikats........................................................................................................................................ 48 Fehlerbehebung: APNs................................................................................................................................................... 49 Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR....................................................................................................................................... 49 Ich kann iOS-Geräte nicht aktivieren........................................................................................................................ 49 Konfigurieren von BES12 für DEP....................................................................................50 Anforderungen: DEP....................................................................................................................................................... 50 Schritte zur Konfiguration von BES12 für DEP..................................................................................................................50 Erstellen eines DEP-Kontos............................................................................................................................................. 51 Herunterladen eines öffentlichen Schlüssels................................................................................................................... 51 Generieren eines Server-Tokens...................................................................................................................................... 51 Registrieren des Server-Tokens bei BES12 ......................................................................................................................52 Hinzufügen einer Registrierungskonfiguration................................................................................................................. 52 Aktualisieren des Server-Tokens...................................................................................................................................... 53 Entfernen der DEP-Verbindung........................................................................................................................................53 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-MailBenachrichtigungen....................................................................................................... 55 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen................................... 55 Einrichten von BES12 Self-Service für Benutzer.............................................................. 57 Einrichten von BES12 Self-Service ................................................................................................................................. 57 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne...................................... 58 Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten.....................................................................59 Architektur: Hohe Verfügbarkeit für BES12 .....................................................................................................................59 Lastverteilungsdaten für BlackBerry 10-Geräte............................................................................................................... 61 Lastverteilung bei Geräteverbindungen von iOS- und Android-Geräten mit Secure Work Space ....................................... 62 Überprüfung des Zustands von Komponenten durch BES12 ........................................................................................... 62 Installieren einer zusätzlichen BES12-Instanz..................................................................................................................63 Konfigurieren von Hoher Verfügbarkeit für die Verwaltungskonsole.................................................................................. 64 Anzeigen des Status von BES12-Instanzen...................................................................................................................... 64 Entfernen einer BES12-Instanz aus der Datenbank..........................................................................................................65 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung .................................................................................................... 66 Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten................................... 67 Schritte zum Konfigurieren der Datenbankspiegelung..................................................................................................... 67 Systemanforderungen: Datenbankspiegelung................................................................................................................. 68 Voraussetzungen: Konfigurieren der Datenbankspiegelung..............................................................................................69 Erstellen und Konfigurieren einer Spiegeldatenbank........................................................................................................69 Herstellen der Verbindung von BES12 zur Spiegeldatenbank...........................................................................................70 Konfigurieren einer neuen Spiegeldatenbank.................................................................................................................. 71 Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space ........................................................................................................72 Konfigurieren von BlackBerry Work Connect Notification Service .................................................................................... 72 Aktivieren einer SSL-Verbindung mit Microsoft Exchange Server ..................................................................................... 73 Konfigurieren von BES12 zur Unterstützung von Android for Work .................................. 75 Schritte zur Konfiguration von BES12 zur Unterstützung von Android for Work ................................................................ 75 Erstellen eines Google-Dienstkontos................................................................................................................................75 Generieren eines Enterprise-Tokens und zulassen, dass das Google-Dienstkonto das Google-Benutzerverzeichnis aktualisiert......................................................................................................................................................................77 Konfigurieren von BES12 zur Unterstützung von Android for Work ...................................................................................78 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service .......................................................................................................................... 80 Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service ............................................ 80 Konfigurieren von Microsoft Exchange-Berechtigungen für Gatekeeping..........................................................................81 Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync ..... 83 Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping.....................................................................................83 Erstellen einer Microsoft Exchange-Gatekeeping-Konfiguration....................................................................................... 84 Testen einer Microsoft Exchange-Gatekeeping-Konfiguration................................................................................... 85 Konfigurieren von Microsoft Office 365 für Gatekeeping.................................................................................................. 85 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank.................................................................................................. 86 Schritte beim Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12Quelldatenbank.............................................................................................................................................................. 86 Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12Quelldatenbank.............................................................................................................................................................. 86 Herstellen einer Verbindung zu einer Quelldatenbank......................................................................................................87 Bewährte Verfahren: Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................88 Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................................................90 Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank.........................................................................91 Migrieren von Benutzern aus der Quelldatenbank............................................................................................................91 Migrieren von Geräten aus der Quelldatenbank............................................................................................................... 92 Migrieren von DEP-Geräten.............................................................................................................................................93 Migrieren von DEP-Geräten mit installiertem BES12 Client ...................................................................................... 93 Migrieren von DEP-Geräten ohne BES12 Client ....................................................................................................... 93 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden............ 94 Schritte zum Konfigurieren des BlackBerry MDS Connection Service .............................................................................. 94 Konfigurieren des BlackBerry MDS Connection Service .................................................................................................. 95 Einstellungen für Komponenteninformationen..........................................................................................................95 Konfigurieren von BlackBerry MDS Connection Service ........................................................................................... 96 Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service ........................................................97 Einstellungen für Push-Informationen...................................................................................................................... 97 Konfigurieren von Push-Informationen..................................................................................................................... 99 Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers.................................................................. 101 Schlüsselspeichereinstellungen.............................................................................................................................101 Konfigurieren des Schlüsselspeichers.................................................................................................................... 102 Konfigurieren von Proxyzuordnung für den BlackBerry MDS Connection Service ...........................................................103 Konfigurieren von Proxyzuordnungen.....................................................................................................................103 Überwachung von BES12 ............................................................................................ 105 Unterstützte SNMP-Vorgänge....................................................................................................................................... 105 Systemanforderungen: SNMP-Überwachung................................................................................................................ 106 MIBs für BES12 ........................................................................................................................................................... 107 Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools............................................................................. 108 Verwenden von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus ................................... 108 Konfigurieren von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus ........................ 108 Glossar.........................................................................................................................110 Rechtliche Hinweise..................................................................................................... 112 Info zu diesem Handbuch Info zu diesem Handbuch 1 BES12 unterstützt Sie bei der Verwaltung von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, Android und Windows Phone in Ihrem Unternehmen. In diesem Handbuch finden Sie Anweisungen, wie Sie BES12 nach dem Bedarf Ihres Unternehmens konfigurieren. Es ist für erfahrene IT-Mitarbeiter gedacht, die mit der Einrichtung und Bereitstellung des Produkts betraut sind. Bevor Sie die in diesem Handbuch beschriebenen Schritte ausführen können, müssen Sie das Produkt installieren und die Lizenzen aktivieren. Anweisungen finden Sie im Handbuch zu Installation und Lizenzierung unter help.blackberry.com/detectLang/ bes12/. Wenn Sie die in diesem Handbuch beschriebenen Schritte ausgeführt haben, lesen Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/ nach, wie Sie die BES12-Domäne verwalten. 8 Erste Schritte Erste Schritte 2 Administratorberechtigungen, die für die Konfiguration von BES12 benötigt werden Wenn Sie die in diesem Handbuch beschriebenen Konfigurationsschritte ausführen, melden Sie sich mit dem während der Installation von BES12 erstellten Administratorkonto bei der Verwaltungskonsole an. Wenn mehrere Personen Konfigurationsaufgaben durchführen sollen, können Sie zusätzliche Administratorkonten erstellen. Weitere Informationen zum Erstellen von Administratorkonten finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/ bes12/. Wenn Sie zusätzliche Administratorkonten für die Konfiguration von BES12 erstellen, müssen Sie den Konten die Sicherheitsadministratorrolle zuweisen. Die Standard-Sicherheitsadministratorrolle weist die erforderlichen Berechtigungen für die Ausführung aller Konfigurationsaufgaben auf. Abrufen und Aktivieren von Lizenzen Um die Geräte in der BES12-Domäne Ihres Unternehmens zu aktivieren, müssen Sie die erforderlichen Lizenzen abrufen und aktivieren. Die Lizenzen müssen aktiviert werden, bevor Sie die Konfigurationsanweisungen in diesem Handbuch ausführen und Benutzerkonten hinzufügen können. Weitere Informationen über die unterschiedlichen Lizenztypen finden Sie in der Dokumentation zur Lizenzierung unter help.blackberry.com/detectLang/bes12/. Erstmalige Konfiguration von BES12 In der folgenden Tabelle werden die in diesem Handbuch beschriebenen Konfigurationsaufgaben zusammengefasst. Der erste Schritt ist für alle Umgebungen erforderlich. Der Rest ist je nach Unternehmensanforderungen optional. Verwenden Sie diese Tabelle, um zu bestimmen, welche Konfigurationsschritte ausgeführt werden müssen. Nach Durchführung der entsprechenden Schritte sind Sie bereit, Administratoren und Gerätekontrollen einzurichten, Benutzer und Gruppen zu erstellen und Geräte zu aktivieren. 9 Erste Schritte Aufgabe Erforderlich Beschreibung oder optional Abschnitt Prüfen, ob die Erforderlich erforderlichen Ports in der Firewall geöffnet sind Sie müssen prüfen, ob die entsprechenden Ports verfügbar sind, die BES12 zum Herstellen der Verbindung zu externen und internen Ressourcen benötigt. Konfigurieren von Ports Standardzertifikate durch vertrauenswürdige Zertifikate ersetzen Optional Sie können das SSL-Zertifikat, das von den BES12-Konsolen verwendet wird, sowie das Zertifikat, das von BES12 zum Signieren des MDM-Profils für iOS-Geräte verwendet wird, durch vertrauenswürdige Zertifikate ersetzen. Hinzufügen vertrauenswürdiger Zertifikate BES12 zum Senden von Daten über einen ProxyServer konfigurieren Optional Sie können BES12 zum Senden von Daten über einen ProxyServer konfigurieren, der sich hinter der Firewall Ihres Unternehmens befindet. Konfigurieren von BES12 für die Verwendung eines Proxyservers Verbindung zwischen BES12 und Unternehmens‐ verzeichnissen herstellen Optional Sie können BES12 mit Unternehmensverzeichnissen verbinden, z. B. Microsoft Active Directory- oder ein LDAPVerzeichnis, sodass BES12 zum Erstellen von Benutzerkonten auf Benutzerdaten zugreifen kann. Herstellen einer Verbindung zu Unternehmensverz eichnissen Konfigurieren der Optional einmaligen Anmeldung für BES12 Wenn Sie eine Verbindung zwischen BES12 und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BES12 Self-Service zugreifen können. Konfigurieren der einmaligen Anmeldung für BES12 APNS-Zertifikat abrufen und registrieren Optional Wenn Sie iOS-Geräte verwalten und Daten an diese Geräte senden möchten, müssen Sie eine signierte CSR von BlackBerry abrufen, mit dieser ein APNs-Zertifikat von Apple abrufen und das APNs-Zertifikat bei der BES12-Domäne registrieren. Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten Konfigurieren von BES12 für das Programm zur Geräteregistrierung von Apple Optional Wenn Sie die BES12-Verwaltungskonsole zum Verwalten der iOS-Geräte, die von Ihrem Unternehmen von Apple für das Programm zur Geräteregistrierung (DEP) erworben wurden, verwenden möchten, müssen Sie BES12 konfigurieren. Konfigurieren von BES12 für DEP Verbindung zu einem SMTP-Server herstellen Optional Wenn Sie möchten, dass BES12 Aktivierungs-E-Mails und andere Benachrichtigungen an Benutzer sendet, müssen Sie die Einstellungen für den SMTP-Server festlegen, den BES12 verwenden kann. Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E- 10 Erste Schritte Aufgabe Erforderlich Beschreibung oder optional Abschnitt MailBenachrichtigunge n Einrichten von BES12 Self- Optional Service Wenn Sie die Ausführung bestimmter Verwaltungsaufgaben durch Benutzer zulassen möchten, z. B. Ändern von Kennwörtern, können Sie die BES12 Self-ServiceWebanwendung einrichten und verteilen. Einrichten von BES12 Self-Service für Benutzer Hohe Verfügbarkeit konfigurieren Optional Um Dienstunterbrechungen für Benutzer minimal zu halten, können Sie mehrere aktive BES12-Instanzen installieren. Konfigurieren der hohen Verfügbarkeit für eine BES12Domäne Datenbankspiegelung konfigurieren Optional Um den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BES12Datenbank auftreten, können Sie eine Failover-Datenbank als Sicherung der Prinzipaldatenbank installieren und konfigurieren. Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelu ng Konfigurieren von Secure Optional Work Space für iOS-Geräte Zur Unterstützung von Secure Work Space für iOS-Geräte müssen Sie den BlackBerry Work Connect Notification Service und eine SSL-Verbindung zwischen BES12 und dem Microsoft Exchange Server konfigurieren. Konfigurieren von BES12 zum Senden von Benachrichtigunge n an iOS-Geräte mit Secure Work Space Konfigurieren von BES12 zur Unterstützung von Android for Work Zur Unterstützung von Android for Work müssen Sie Ihre Google Apps for Work- bzw. Google for Work-Domäne zur Unterstützung der Verwaltung mobiler Geräte von Drittanbietern und BES12 für die Kommunikation mit Ihrer Google Apps for Work- bzw. Google for Work-Domäne konfigurieren. Konfigurieren von BES12 zur Unterstützung von Android for Work Wenn Sie Microsoft Exchange so konfiguriert haben, dass Geräten der Zugriff auf geschäftliche E-Mails und Terminplanerdaten nur dann gewährt wird, wenn die Geräte einer Positivliste hinzugefügt wurden, müssen Sie eine Microsoft Exchange-Konfiguration in BES12 erstellen. Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Optional Unterstützung für Optional Microsoft Exchange Gatekeeping konfigurieren 11 Erste Schritte Aufgabe Erforderlich Beschreibung oder optional Abschnitt Gatekeeping Service Benutzer, Gruppen und andere Daten aus BES10 migrieren Optional Wenn Ihr Unternehmen eine Umstellung von BES10 auf BES12 vornimmt, können Sie IT-Richtlinien, Profile, Gruppennamen und Geräte von BES10 migrieren. Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12Quelldatenbank Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Optional Sie können anpassen, wie BES12 Push-Daten an BlackBerry 10-Geräte sendet. Konfigurieren, wie Daten per Push auf BlackBerry 10Geräte übertragen werden SNMP-Überwachung konfigurieren Optional Mithilfe von SNMP-Tools von Drittherstellern können Sie die Aktivität von BES12-Komponenten überwachen. Überwachung von BES12 Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten Wenn die BES12-Domäne Ihres Unternehmens Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die Verwaltung von BlackBerry OS-Geräten individualisieren. Wenn Sie ein Upgrade von BES5 auf BES12 durchgeführt haben, bleiben die Konfigurationen der BES5-Komponenten nach dem Upgrade intakt, sodass keine weiteren Konfigurationsschritte erforderlich sind. Anweisungen für die jeweilige Aufgabe, die in der Tabelle beschrieben wird, finden Sie unter docs.blackberry.com/BES5 im Installations- und Konfigurationshandbuch für BlackBerry Enterprise Server 5 oder im Administratorhandbuch für BlackBerry Enterprise Server 5. Durchzuführende Aufgabe Ressource Festlegen, welcher Dienst Kalenderdaten verwaltet Installations- und Konfigurationshandbuch Standardmäßig übernimmt Microsoft Exchange Web Services die Verwaltung von Kalenderdaten für BlackBerry OS-Geräte. Wenn ein 12 Erste Schritte Durchzuführende Aufgabe Ressource Benutzer nicht die Berechtigung zum Verwenden dieses Dienstes aufweist, werden die Kalenderdaten des Benutzers mithilfe von MAPI- und CDOBibliotheken verwaltet. Sie können entscheiden, ob Kalenderdaten ausschließlich über Microsoft Exchange Web Services oder ausschließlich über MAPI- und CDO-Bibliotheken verwaltet werden sollen. • Aufgaben nach der Installation: Konfigurieren des BlackBerry Enterprise Server für die Verwendung von Microsoft Exchange Web Services Verwenden des SNMP-Diensts zur Überwachung der Komponenten, die BlackBerry OS-Geräte verwalten Installations- und Konfigurationshandbuch Mithilfe einer Enterprise Service Policy steuern, welche BlackBerry OSGeräte auf BES12 zugreifen können Administratorhandbuch Konfigurieren von BlackBerry MDS Connection Service, BlackBerry Collaboration Service und BlackBerry Administration Service, sodass Daten über einen Proxy-Server gesendet werden Administratorhandbuch Konfigurieren hoher Verfügbarkeit für Komponenten, die BlackBerry OSGeräte verwalten Administratorhandbuch Ändern der Handhabung von Push-Daten und des benutzerseiteigen Zugriffs auf Webinhalte durch BlackBerry MDS Connection Service für BlackBerry OS-Geräte 13 • • • Aufgaben nach der Installation: Konfigurieren eines Computers für die Überwachung Konfigurieren von Sicherheitsoptionen: Verwalten des Zugriffs von Geräten auf den BlackBerry Enterprise Server Konfiguration der BlackBerry Enterprise Server-Umgebung • Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise Server • Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise ServerKomponenten • Konfigurieren hoher Verfügbarkeit für BlackBerry Configuration Database Administratorhandbuch • Konfigurieren des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte • Verwalten des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte Erste Schritte Durchzuführende Aufgabe Ressource Verwenden von Erweiterungs-Plug-Ins für die Verarbeitung von und Änderungen an E-Mail-Nachrichten und Anlagen auf BlackBerry OSGeräten Administratorhandbuch Zulassen, dass BlackBerry OS-Geräte Zertifikate für die Authentifizierung bei Anwendungen oder Netzwerken anmelden Administratorhandbuch Zulassen, dass Benutzer von BlackBerry OS-Geräten Selbsthilfeaufgaben mithilfe des BlackBerry Web Desktop Manager ausführen Administratorhandbuch • • Einrichten der Nachrichtenumgebung: Erweiterungs-Plug-Ins für die Verarbeitung von Nachrichten Konfigurieren von BlackBerry-Geräten zur Zertifikatregistrierung über das Drahtlosnetzwerk • Bereitstellen von BlackBerry Web Desktop Manager für Benutzer • Konfigurieren des BlackBerry Web Desktop Manager Ändern, wie Apps, OS-Updates und Einstellungen an BlackBerry OSGeräte gesendet werden Administratorhandbuch Ändern der Synchronisierung von Terminplanerdaten für Benutzer von BlackBerry OS-Geräten Administratorhandbuch Ändern der Nachrichtenkonfiguration und der Anlagenunterstützung für Komponenten, die BlackBerry OS-Geräte verwalten Administratorhandbuch Ändern verschiedener Protokolldateieinstellungen, z. B. Speicherort, Detailebene und Maximalgröße Administratorhandbuch 14 • • • • Handhabung der Übermittlung von BlackBerry Java Applications, BlackBerry Device Software und Geräteeinstellungen an BlackBerryGeräte Verwalten der Synchronisierung von Terminplanerdaten Verwalten der Nachrichtenumgebung Ihres Unternehmens und Unterstützung von Anlagen BlackBerry Enterprise ServerProtokolldateien Erste Schritte Durchzuführende Aufgabe Ressource Überprüfen und ggf. Ändern der Ports, die von Komponenten verwendet werden, die BlackBerry OS-Geräte verwalten Administratorhandbuch 15 • BlackBerry Enterprise SolutionVerbindungstypen und -Portnummern Konfigurieren von Ports Konfigurieren von Ports 3 Die BES12-Komponenten nutzen verschiedene Ports für die Kommunikation mit der BlackBerry Infrastructure und internen Ressourcen (z. B. Messaging-Software des Unternehmens). In diesem Abschnitt wird erläutert, welche Standardports von BES12 für ausgehende Verbindungen verwendet werden, und beschrieben, welche internen Verbindungen von Ihnen überprüft werden sollten. Diese Portverbindungen sind unabhängig davon erforderlich, ob BES12 in einer DMZ installiert ist. Weitere Informationen über die Abhörports, die von BES12 während der Installation ausgewählt werden, finden Sie in der Dokumentation zur Installation unter help.blackberry.com/detectLang/bes12/ Ausgehende Verbindungen: BES12 zur BlackBerry Infrastructure BES12 muss eine Verbindung zur BlackBerry Infrastructure herstellen und von dieser Daten empfangen, um Aufgaben auszuführen. BES12 stellt eine Verbindung zur BlackBerry Infrastructure über den bidirektionalen Port 3101 (TCP) für ausgehenden Datenverkehr her. Die Firewall Ihres Unternehmens muss ausgehende bidirektionale Verbindungen über Port 3101 mit <region>.srp.blackberry.com, <region>.bbsecure.com und <region>.turnb.bbsecure.com zulassen. Weitere Informationen zu den Domänen und IP-Adressen für die Firewall-Konfiguration finden Sie in Artikel KB36470 unter www.blackberry.com/go/ kbhelp. Sie haben die Möglichkeit, Daten von BES12 über den TCP-Proxy-Server oder den BlackBerry Router Ihres Unternehmens an die BlackBerry Infrastructure weiterzuleiten. Wenn Sie Daten über einen Proxy-Server senden möchten, konfigurieren Sie die Firewall so, dass die folgenden ausgehenden bidirektionalen Verbindungen zugelassen werden: • Verwenden Sie Port 3102 als Standard-Abhörport für Verbindungen zwischen den BES12-Komponenten und dem TCP-Proxy-Server oder dem BlackBerry Router . • Verwenden Sie Port 3101 als Standard-Abhörport für Verbindungen zwischen den Komponenten, die BlackBerry OSGeräte verwalten, und dem TCP-Proxy-Server oder dem BlackBerry Router . Wenn Sie BES12 zur Verwendung eines TCP-Proxyservers oder von BlackBerry Router konfigurieren, prüfen Sie, ob der Proxyserver Verbindungen über Port 3101 mit <region>.srp.blackberry.com, <region>.bbsecure.com und <region>.turnb.bbsecure.com zulässt. 16 Konfigurieren von Ports Aktivitäten, die von BES12 Core über die Port-3101-Verbindung zur BlackBerry Infrastructure ausgelöst werden Zweck Beschreibung Authentifizieren von BES12 Die Verbindung zum Authentifizierungsdienst wird hergestellt, um die BES12-Installation zu authentifizieren und den Komponenten die Verwendung der BlackBerry Infrastructure-Dienste zu ermöglichen. Aktivieren der Lizenzen Stellen Sie eine Verbindung zur Lizenzierungsinfrastruktur her, um die Serverlizenzen Ihres Unternehmens zu aktivieren und Geräten mit BlackBerry 10, iOS, Android und Windows Phone die Verwendung der von Ihrem Dienstanbieter erhaltenen SIM-Lizenzen zu ermöglichen. Anfordern einer signierten CSR Stellen Sie eine Verbindung zur Signaturinfrastruktur her, damit Sie eine CSR (Certificate Signing Request) von BlackBerry anfordern können. Die signierte CSR wird benötigt, um ein APNs-Zertifikat (Apple Push Notification Service) zu erhalten und zu registrieren, das Sie für die Verwaltung der iOSGeräte benötigen. Aktivieren und Verwalten der BlackBerry 10-Geräte Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um folgende Aktionen auszuführen: Kommunikation mit APNs Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um Daten an den APNs zu senden. Diese Verbindung ist für die Verwaltung und Konfiguration der Einstellungen von iOS-Geräten erforderlich. Kommunikation mit GCM Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um Daten an den Google Cloud Messaging-Dienst (GCM) zu senden. Diese Verbindung ist für die Verwaltung und Konfiguration der Einstellungen von Android-Geräten erforderlich. Kommunikation mit dem BlackBerry-PushDatendienst Stellen Sie eine Verbindung zum BlackBerry-Push-Datendienst her, um Einstellungen für BlackBerry 10-Geräte zu verwalten und zu konfigurieren. Erkennen der Serververbindung Stellen Sie eine Verbindung zu einem Suchdienst her, damit BES12 die Serververbindung automatisch erkennen und verwenden kann, wenn Benutzer Geräte aktivieren. Wenn Sie diese • Aktivieren und Verwalten der BlackBerry 10-Geräte • Aktivieren des geschäftlichen Bereichs auf BlackBerry 10-Geräten 17 Konfigurieren von Ports Zweck Beschreibung während der Aktivierung Verbindung deaktivieren, müssen Benutzer bei der Aktivierung ihrer Geräte den Server manuell angeben. Aktivieren von Secure Work Space Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um Secure Work Space auf iOS- und Android-Geräten zu aktivieren. Steuern von Secure Work Space Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um Secure Work Space auf iOS- und Android-Geräten zu steuern. Verwalten von Secure Work Space-Daten Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um folgende Aktionen auszuführen: • Zulassen, dass iOS- und Android-Geräte mit Secure Work Space auf geschäftliche Daten zugreifen • Senden von Aktivierungs- und Verwaltungsdaten über eine sichere Verbindung zwischen iOS- und Android-Geräten und BES12 • Zulassen, dass iOS-Geräte für Gerätebenachrichtigungen eine Verbindung zu APNs herstellen Aktualisieren der Betriebssystemdaten des Geräts Täglich um Mitternacht erfolgt der Verbindungsaufbau zur BlackBerry Infrastructure, um eine gehostete Metadatendatei auf neue Geräte- oder Betriebssystemdaten zu überprüfen. Updates werden in die BES12-Datenbank heruntergeladen. Suchen nach Apps Stellen Sie eine Verbindung zur BlackBerry Infrastructure und dann zum App Store oder zu BlackBerry World her, um nach Apps zu suchen, die der verfügbaren App-Liste hinzugefügt werden. Erwerben von Apps und Stellen Sie eine Verbindung zur BlackBerry Infrastructure und dann zum App Store her, um Apps Übertragung per Push kaufen und per Push auf iOS-Geräte übertragen zu können. auf iOS-Geräte Aktivitäten, die von BlackBerry Affinity Manager über die Port-3101-Verbindung zur BlackBerry Infrastructure ausgelöst werden Zweck Beschreibung Empfangen und Senden von Daten für BlackBerry 10-Geräte Stellen Sie eine Verbindung zur BlackBerry Infrastructure her, um Daten für BlackBerry 10-Geräte zu senden und zu empfangen, einschließlich Daten zu Exchange ActiveSync und zur EnterpriseKonnektivität (z. B. Intranetsuche und Drittanbieter-Apps). Aktivitäten, die von BlackBerry Secure Connect Plus über die Port-3101-Verbindung zur BlackBerry Infrastructure ausgelöst werden 18 Konfigurieren von Ports Zweck Beschreibung Sichere Verbindung zwischen geschäftlichen Apps und geschäftlichen Ressourcen Herstellen einer sicheren Verbindung zwischen BlackBerry 10-, Android for Work- und KNOX Workspace-Geräten über BlackBerry Secure Connect Plus mit der BlackBerry Infrastructure Verwandte Informationen Konfigurieren von BES12 für die Verwendung eines Proxyservers, auf Seite 24 Ausgehende Verbindungen: Geräte in einem WiFi-Netzwerk BlackBerry 10-, iOS-, Android- und Windows Phone-Geräte, die Ihr geschäftliches Wi-Fi-Netzwerk verwenden, nutzen die folgenden ausgehenden Ports für Verbindungen zur BlackBerry Infrastructure und externen Diensten. Konfigurieren Sie die Firewall Ihres Unternehmens so, dass bidirektionale Verbindungen über diese Ports zulässig sind. Von An Zweck Protokoll BlackBerry 10 BlackBerry Infrastructure Herstellen der Verbindung zur Unterdomäne <region>.bbsecure.com bei der Aktivierung des Geräts. 1. 443 HTTP CONNECT zur BlackBerry Infrastructure; erstellt den Tunnel vom Gerät zu BES12 2. TLS-Sitzung zwischen Gerät und BES12 1. 443 HTTP CONNECT zur BlackBerry Infrastructure; erstellt den Tunnel vom Gerät zu BES12 2. TLS-Sitzung zwischen Gerät und BES12 iOS Android Windows Phone BlackBerry 10 Android iOS BlackBerry Infrastructure BlackBerry Infrastructure Herstellen der Verbindung zur Unterdomäne <region>.bbsecure.com für die Anwendung von Administrationsbefehlen auf Geräte. Herstellen der Verbindung zur Unterdomäne <region>.bbsecure.com für die Anwendung von Administrationsbefehlen auf Geräte. 19 TLS Port 443 Konfigurieren von Ports Von An Zweck Protokoll Port Windows Phone BlackBerry Infrastructure Herstellen der Verbindung zur Unterdomäne <region>.bbsecure.com für die Anwendung von Administrationsbefehlen auf Geräte. HTTPS; inklusive TLSHandshake über SNI 443 iOS BlackBerry Infrastructure Herstellen der Verbindung zur HTTPS Unterdomäne <region>.swsmanager.bbsecure.com zur Aktivierung von Secure Work Space. 443 iOS APNs Herstellen der Verbindung zu „gateway.push.apple.com“ für den Empfang von Benachrichtigungen von APNs. TCP 5223 Android GCM Herstellen der Verbindung zu „android.apis.google.com“ (Ports 5228 und 5229) und „android.googleapis.com“ (Port 5230) für den Empfang von Benachrichtigungen von GCM. TCP 5228 Android 5229 5230 Intranetverbindungen Verbindungen, die von BES12 Core eingeleitet werden Um die Verwaltung und Unterstützung verschiedener Gerätefunktionen zu vereinfachen, muss BES12 Core in der Lage sein, eine Verbindung zu den Intranetanwendungen Ihres Unternehmens herzustellen. Zu den Intranetanwendungen gehören u. a. Microsoft Active Directory, ein LDAP-Verzeichnis, Microsoft Exchange oder ein SMTP-Server. In der Dokumentation oder den Supportressourcen der Anwendungen Ihres Unternehmens finden Sie die Ports, auf die BES12 zugreifen können muss. Verbindungen, die von BlackBerry 10-Geräten und Geräten mit Secure Work Space eingeleitet werden BlackBerry 10-Geräte, iOS- und Android-Geräte mit Secure Work Space können unter Verwendung des bidirektionalen Ports 3101 (TCP) für ausgehenden Datenverkehr auf die internen Anwendungen Ihres Unternehmens über BES12 zugreifen. Beispiele für interne Anwendungen sind z. B. die Messaging-Software Ihres Unternehmens oder Zugriff des geschäftlichen Browsers auf Intranet-Seiten (HTTP/HTTPS). 20 Konfigurieren von Ports In der Dokumentation oder den Supportressourcen der Anwendungen Ihres Unternehmens finden Sie zusätzliche Ports, auf die BES12 zugreifen können muss. Zugriff auf interne Daten ohne Secure Work Space Für iOS- und Android-Geräte, die nicht über Secure Work Space verfügen, und für Windows Phone-Geräte sendet und empfängt BES12 nur Aktivierungs- und Verwaltungsdaten über die Port-3101-Verbindung für ausgehenden Datenverkehr. Alle anderen Daten, wie Messaging-Daten und Daten von Drittanbieteranwendungen, erfordern alternative eingehende Verbindungen von den Geräten direkt zur Anwendung. In der Dokumentation oder den Supportressourcen der MessagingSoftware und Drittanbieteranwendungen Ihres Unternehmens finden Sie die Ports, die offen sein müssen oder für die Sie alternative Zugriffsmethoden bereitstellen müssen, wie z. B. VPN. 21 Hinzufügen vertrauenswürdiger Zertifikate Hinzufügen vertrauenswürdiger Zertifikate 4 Während des Installationsvorgangs generiert die Setupanwendung zwei selbstsignierte Zertifikate: • Ein SSL-Zertifikat, das von den BES12-Konsolen zum Herstellen von HTTPS-Verbindungen verwendet wird • Ein Zertifikat, das von BES12 zum Signieren des an iOS-Geräte gesendeten MDM-Profils gesendet wird Da es sich bei diesen Zertifikaten um selbstsignierte Zertifikate handelt, erhalten die Benutzer eine Warnmeldung mit dem Hinweis, dass die Zertifikate nicht vertrauenswürdig sind. Sie können diese Zertifikate durch vertrauenswürdige Zertifikate ersetzen. Ändern des von den BES12-Konsolen verwendeten Zertifikats Wenn Sie BES12 installieren, erzeugt die Setupanwendung ein SSL-Zertifikat, mit dem sich die folgenden Komponenten bei Browsern authentifizieren können: • BES12-Verwaltungskonsole • BES12 Self-Service • BlackBerry Web Services Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen, sodass Administratoren und Benutzer keine Nachricht von ihren Browsern mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein selbstsigniertes SSL-Zertifikat oder vertrauenswürdiges Zertifikat importieren, das eine Zertifizierungsstelle signiert. Ändern des von den BES12-Konsolen verwendeten Zertifikats Bevor Sie beginnen: Generieren Sie ein vertrauenswürdiges Zertifikat, oder fordern Sie ein von einer Zertifizierungsstelle signiertes Zertifikat an. Das Zertifikat muss ein Schlüsselspeicher-Format (.pfx, .pkcs12) aufweisen. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat generieren, das den Namen der BES12-Domäne verwendet. Sie finden den BES12-Domänennamen in der Verwaltungskonsole unter Einstellungen > Infrastruktur > BES12-Instanzen. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > Server-Zertifikate. 3. Klicken Sie unter SSL-Zertifikat für Konsolen und BlackBerry Web Services auf Details anzeigen. 22 Hinzufügen vertrauenswürdiger Zertifikate 4. Klicken Sie auf Zertifikat ersetzen. 5. Navigieren Sie zur Zertifikatsdatei, und geben Sie das Kennwort ein. 6. Klicken Sie auf Ersetzen. 7. Starten Sie die BES12-Dienste neu. Beenden Sie BES12 - BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BES12 - BlackBerry Affinity Manager-Diensts automatisch neu gestartet. Ändern des von BES12 zum Signieren des MDMProfils auf iOS-Geräten verwendeten Zertifikats Wenn Sie BES12 installieren, erzeugt die Setupanwendung ein Zertifikat, das von BES12 zum Signieren eines MDM-Profils verwendet werden kann, das Benutzer zur Aktivierung der iOS-Geräte akzeptieren müssen. Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen und zu vermeiden, dass Benutzer eine Warnmeldung mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein selbstsigniertes Zertifikat oder ein vertrauenswürdiges Zertifikat mit Signatur einer Zertifizierungsstelle importieren. Ändern des von BES12 zum Signieren des MDM-Profils auf iOSGeräten verwendeten Zertifikats Bevor Sie beginnen: Erzeugen Sie ein selbstsigniertes SSL-Zertifikat oder ein vertrauenswürdiges Zertifikat mit Signatur einer Zertifizierungsstelle. Das Zertifikat muss ein Schlüsselspeicher-Format (.pfx, .pkcs12) aufweisen. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > Server-Zertifikate. 3. Klicken Sie unter Apple-Profil-Signaturzertifikat auf Details anzeigen. 4. Klicken Sie auf Zertifikat ersetzen. 5. Navigieren Sie zur Zertifikatsdatei, und geben Sie das Kennwort ein. 6. Klicken Sie auf Ersetzen. 23 Konfigurieren von BES12 für die Verwendung eines Proxyservers Konfigurieren von BES12 für die Verwendung eines Proxyservers 5 Sie können den BlackBerry Router in der BES12-Domäne so installieren, dass er als Proxy-Server fungiert, oder Sie können einen TCP-Proxy-Server nutzen, der bereits in der Umgebung installiert ist. Ein Proxy-Server leitet Daten zwischen BES12 und der BlackBerry Infrastructure weiter. Sie können einen Proxy-Server in der DMZ positionieren, sodass er sich außerhalb der internen Firewall Ihres Unternehmens befindet. Standardmäßig ist BES12 nicht für den Einsatz eines Proxy-Servers konfiguriert. Sie konfigurieren die BES12-Komponenten für die Unterstützung des Proxy-Server-Typs. Konfigurieren eines Proxy-Servers bei der erstmaligen Anmeldung bei BES12 Sie werden bei der erstmaligen Anmeldung an der Verwaltungskonsole möglicherweise aufgefordert, die ursprüngliche BlackBerry Router-Instanz oder TCP-Proxy-Serverinstanz zu konfigurieren. Wenn Sie den Proxy-Server konfigurieren, sind möglicherweise zusätzliche Konfigurationsschritte für den BlackBerry Router oder den TCP-Proxy-Server in der Verwaltungskonsole erforderlich. Weitere BlackBerry Router- oder TCP-Proxy-Serverinstanzen können nach der Anmeldung an der Verwaltungskonsole konfiguriert werden. 24 Konfigurieren von BES12 für die Verwendung eines Proxyservers Vergleichen von TCP-Proxys Proxy Beschreibung Transparenter TCP-Proxy • Fängt die normale Kommunikation auf Netzwerkebene ohne spezielle ClientKonfiguration ab • Keine Client-Browser-Konfiguration erforderlich • Befindet sich in der Regel zwischen Client und Internet • Führt Funktionen eines Gateways oder Routers aus • Wird häufig zur Durchsetzung von Richtlinien für die zulässige Nutzung verwendet • Wird von Internetdienstanbietern in einigen Ländern häufig verwendet, um Upstream-Bandbreite einzusparen und Kundenreaktionszeiten durch Zwischenspeicherung zu verbessern • Ein Internetprotokoll für die Verarbeitung von Internetdatenverkehr über einen Proxy-Server • Die Verarbeitung ist mit nahezu jeder TCP/UDP-Anwendung möglich, einschließlich Browsern und FTP-Clients, die SOCKS unterstützen • Kann eine gute Lösung für Internetanonymität und -sicherheit sein • Leitet Netzwerkpakete zwischen einem Client und einem Server über einen Proxy-Server weiter • Bietet Authentifizierungsmöglichkeiten, sodass nur autorisierte Benutzer auf einen Server zugreifen können • Leitet TCP-Verbindungen an eine beliebige IP-Adresse weiter • Ermöglicht die Anonymisierung von UDP- und TCP-Protokollen wie HTTP SOCKS v5-Proxy Konfigurieren des TCP-Proxy-Servers Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich. Sie können einen transparenten TCP-Proxy-Server für den BES12 Core-Dienst und einen weiteren transparenten TCP-ProxyServer für den BlackBerry Affinity Manager-Dienst konfigurieren. Diese Dienste erfordern eine ausgehende Verbindung, für die möglicherweise auch unterschiedliche Ports konfiguriert werden müssen. Sie können nicht mehrere transparente TCP-ProxyServerinstanzen für den jeweiligen Dienst installieren oder konfigurieren. 25 Konfigurieren von BES12 für die Verwendung eines Proxyservers Sie können jedoch mehrere TCP-Proxy-Serverinstanzen, die mit SOCKS v5 (keine Authentifizierung) konfiguriert wurden, für die Verbindung mit BES12 festlegen. Mehrere TCP-Proxy-Serverinstanzen mit SOCKS v5-Konfiguration (keine Authentifizierung) können Unterstützung bereitstellen, wenn eine der aktiven Proxy-Serverinstanzen nicht ordnungsgemäß funktioniert. Sie konfigurieren nur einen einzelnen Port, der von allen Dienstinstanzen mit SOCKS v5 (keine Authentifizierung) überwacht wird. Wenn Sie mehr als eine TCP-Proxy-Serverinstanz mit SOCKS v5 konfigurieren (keine Authentifizierung), muss der Überwachungsport für jede TCP-Proxy-Serverinstanz mit SOCKS v5 freigegeben werden. Konfigurieren von BES12 für die Verwendung eines transparenten TCP-Proxy-Servers Bevor Sie beginnen: Installieren Sie einen kompatiblen transparenten TCP-Proxy-Server in der BES12-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > BlackBerry-Router und -Proxy. 3. Wählen Sie die Option Proxy-Server. 4. Geben Sie die Host-IP-Adresse und die Portnummer ein, zu denen BES12 Core eine Verbindung herstellt. 5. Geben Sie die Host-IP-Adresse und die Portnummer ein, zu denen BlackBerry Affinity Manager eine Verbindung herstellt. 6. Klicken Sie auf Speichern. Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server Bevor Sie beginnen: Installieren Sie einen kompatiblen TCP-Proxy-Server mit SOCKS v5 (ohne Authentifizierung) in der BES12Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > BlackBerry-Router und -Proxy. 3. Wählen Sie die Option Proxy-Server. 4. Wählen Sie SOCKS v5 aktivieren. 5. Klicken Sie auf 6. Geben Sie in das Feld Serveradresse die IP-Adresse oder den Hostnamen des SOCKS v5-Proxy-Servers ein. 7. Klicken Sie auf Hinzufügen. 8. Wiederholen Sie die Schritte 1 bis 7 für jede SOCKS v5-Proxy-Server-Instanz, die Sie konfigurieren möchten. 9. Geben Sie im Feld Port die Portnummer ein. . 10. Klicken Sie auf Speichern. 26 Konfigurieren von BES12 für die Verwendung eines Proxyservers Konfigurieren des BlackBerry Router Sie können mehrere BlackBerry Router-Instanzen konfigurieren, die eine Verbindung zu BES12 herstellen können. Wenn eine der aktiven BlackBerry Router-Instanzen nicht korrekt funktioniert, können zusätzliche BlackBerry Router-Instanzen Unterstützung bieten. Sie konfigurieren nur einen Port für die Überwachung durch BlackBerry Router-Dienstinstanzen. BES12 bietet keine Unterstützung für BlackBerry Router, die ursprünglich mit BES5 verwendet wurden. Standardmäßig stellt BES12 die Verbindung zu BlackBerry Router wie folgt her: • Über Port 3102 für die Verbindung zu BES12-Diensten • Über Port 3101 für die Verbindung zu BES5-Diensten Wenn Sie BES12-Dienste mit dem BlackBerry Router verbinden, unterstützt der BlackBerry Router den kompletten ausgehenden Datenverkehr von BES12 Core- und BlackBerry Affinity Manager-Diensten. Hinweis: Wenn ein anderer Port als der Standardport für BlackBerry Router verwendet werden soll, finden Sie weitere Informationen unter www.blackberry.com/go/kbhelp im Artikel KB36385. Konfigurieren von BES12 für die Verwendung des BlackBerry Router Bevor Sie beginnen: Installieren Sie den BlackBerry Router in der BES12-Domäne. Weitere Informationen über die Installation von BlackBerry Router finden Sie unter help.blackberry.com/detectLang/bes12/. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > BlackBerry-Router und -Proxy. 3. Wählen Sie die Option BlackBerry Router. 4. Klicken Sie auf 5. Geben Sie in das Feld Routeradresse die IP-Adresse oder den Host-Namen der BlackBerry Router-Instanz ein, zu der BES12 eine Verbindung herstellen soll. 6. Klicken Sie auf Hinzufügen. 7. Wiederholen Sie die Schritte 1 bis 6 für jede BlackBerry Router-Instanz, die Sie konfigurieren möchten. 8. Geben Sie in das Feld Port die Portnummer ein, die von allen BlackBerry Router-Instanzen überwacht wird. Der Standardwert ist 3102. 9. Klicken Sie auf Speichern. . 27 Herstellen einer Verbindung zu Unternehmensverzeichnissen Herstellen einer Verbindung zu Unternehmensverzeichnissen 6 Sie können BES12 mit dem Microsoft Active Directory- oder LDAP-Verzeichnis Ihres Unternehmens verbinden, sodass der Zugriff auf die Benutzerliste Ihres Unternehmens möglich ist. Wenn die Verbindung zu Ihrem Unternehmensverzeichnis besteht, kann BES12 Administratoren für die Verwaltungskonsole und Benutzer für BES12 Self-Service authentifizieren. BES12 unterstützt zudem Verbindungen zu mehreren Verzeichnissen. Die Verzeichnisse können aus einer Kombination aus Microsoft Active Directory und LDAP bestehen. Wenn Sie BES12 nicht mit einem Unternehmensverzeichnis verbinden, ist es möglich, lokale Benutzerkonten manuell zu erstellen und Administratoren über die Standardauthentifizierung anzumelden. Schritte zum Konfigurieren einer Verbindung zum Unternehmensverzeichnis Führen Sie die folgenden Schritte aus, um ein Unternehmensverzeichnis mit BES12 zu verbinden: Schritt Aktion Erstellen einer Verbindung zu Ihrem Unternehmensverzeichnis Aktivieren von per Verzeichnis verknüpften Gruppen Erstellen eines Synchronisierungszeitplans 28 Herstellen einer Verbindung zu Unternehmensverzeichnissen Konfigurieren der Microsoft Active DirectoryAuthentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält Wenn Ihre Unternehmensumgebung eine Ressourcengesamtstruktur enthält, die für das Ausführen von Microsoft Exchange verwendet wird, können Sie die Microsoft Active Directory-Authentifizierung für Benutzerkonten konfigurieren, die sich in vertrauenswürdigen Kontengesamtstrukturen befinden. Wenn Ihre Umgebung eine Ressourcengesamtstruktur enthält, müssen Sie BES12 in dieser installieren. In der Ressourcengesamtstruktur erstellen Sie für jedes Benutzerkonto ein Postfach und weisen die Postfächer den Benutzerkonten zu. Wenn Sie die Postfächer in der Ressourcengesamtstruktur Benutzerkonten in den Kontengesamtstrukturen zuweisen, erhalten die Benutzerkonten vollen Zugriff auf die Postfächer, und es wird eine Verbindung zwischen den Benutzerkonten in den Kontengesamtstrukturen und dem Microsoft Exchange-Server hergestellt. Um Benutzer zu authentifizieren, die sich bei BES12 anmelden, muss BES12 die Benutzerinformationen lesen, die auf den zur Ressourcengesamtstruktur gehörenden globalen Katalogservern gespeichert sind. Um BES12 so zu konfigurieren, dass Benutzerkonten authentifiziert werden, die mit Postfächern in der Ressourcengesamtstruktur verknüpft sind, müssen Sie ein Microsoft Active Directory-Konto für BES12 erstellen, das sich in einer zur Ressourcengesamtstruktur gehörenden WindowsDomäne befindet. Sie geben die Windows-Domäne, den Benutzernamen und das Kennwort für das Microsoft Active DirectoryKonto an und ggf. auch die Namen der globalen Katalogserver, die BES12 verwenden kann. Weitere Informationen finden Sie auf technet.microsoft.com unter Verwalten verknüpfter Postfächer. Verbindung zu einer Microsoft Active DirectoryInstanz Bevor Sie beginnen: Erstellen Sie ein Microsoft Active Directory-Konto, das von BES12 verwendet werden kann. Das Konto muss die folgenden Anforderungen erfüllen: • Es muss sich in einer Windows-Domäne befinden, die Teil der Microsoft Exchange-Gesamtstruktur ist. • Es muss Berechtigungen für den Zugriff auf den Benutzercontainer und Leseberechtigungen für die Benutzerobjekte aufweisen, die in den globalen Katalogservern in der Microsoft Exchange-Gesamtstruktur gespeichert sind. • Konfigurieren Sie die Kennworteinstellungen für das Konto, sodass das Kennwort nicht abläuft und bei der nächsten Anmeldung nicht geändert werden muss. • Wenn Sie die einmalige Anmeldung aktivieren, konfigurieren Sie die eingeschränkte Delegierung für das Konto. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 29 Herstellen einer Verbindung zu Unternehmensverzeichnissen 3. Klicken Sie auf Hinzufügen einer Microsoft Active Directory-Verbindung. 4. Geben Sie im Feld Name der Verbindung des Verzeichnisses den Namen der Verzeichnisverbindung ein. 5. Geben Sie im Feld Benutzername den Benutzernamen des Microsoft Active Directory-Kontos ein. 6. Geben Sie im Feld Domäne den Namen der Windows-Domäne ein, die zur Microsoft Exchange-Gesamtstruktur gehört. Geben Sie den Domänennamen im DNS-Format ein (z. B. beispiel.com). 7. Geben Sie im Feld Kennwort das Kennwort für das Microsoft Active Directory-Konto ein. 8. Führen Sie in der Dropdown-Liste Erkennung des Domain Controllers eine der folgenden Aktionen aus: Option Beschreibung Zulassen, dass BES12 nach Domänencontrollern sucht 1. Klicken Sie auf Automatisch. Steuern, welche Domänencontroller von BES12 durchsucht werden 1. Klicken Sie auf Aus der Liste unten auswählen. 2. Geben Sie im Feld Servernamen den Namen des Domänencontrollers im DNS-Format (z. B. beispiel.com) ein. 3. Um weitere Domänencontroller hinzuzufügen, klicken Sie auf geben Sie den Namen des Domänencontrollers ein. 9. , und Führen Sie im Feld Suchbasis des globalen Katalogs eine der folgenden Aktionen aus: • Lassen Sie das Feld leer, um BES12 zu ermöglichen, den globalen Katalog zu durchsuchen. • Geben Sie den Distinguished Name des Benutzercontainers ein (z. B. OU=sales,DC=example,DC=com), um zu steuern, welche Benutzerkonten BES12 authentifizieren kann. 10. Führen Sie in der Dropdown-Liste Erkennung des globalen Katalogs eine der folgenden Aktionen aus: Option Beschreibung Ermöglichen, dass BES12 alle globalen 1. Katalogserver in der Microsoft Exchange-Gesamtstruktur automatisch findet Klicken Sie auf Automatisch. Steuern, welche Benutzerkonten BES12 authentifizieren kann 1. Klicken Sie auf Aus der Liste unten auswählen. 2. Geben Sie im Feld Servernamen den DNS-Namen des globalen Katalogservers ein, auf den BES12 zugreifen soll (z. B. globalcatalog01.beispiel.com). Sie müssen den DNS-Namen eines globalen Katalogservers eingeben, der sich in der Windows-Domäne befindet, in der das Microsoft Active Directory-Konto gespeichert ist. 30 Herstellen einer Verbindung zu Unternehmensverzeichnissen Option Beschreibung 3. Um weitere globale Katalogserver hinzuzufügen, klicken Sie auf geben Sie den DNS-Namen des globalen Katalogservers ein. , und 11. Führen Sie in der Dropdown-Liste Unterstützung für verknüpfte Microsoft Exchange-Postfächer eine der folgenden Aktionen aus: Option Beschreibung Unterstützung für verknüpfte Microsoft 1. Exchange-Postfächer deaktivieren Klicken Sie auf Nein. Unterstützung für verknüpfte Microsoft 1. Klicken Sie auf Ja. Exchange-Postfächer aktivieren Um das Microsoft Active Directory-Konto für die jeweilige Gesamtstruktur zu konfigurieren, auf die BES12 zugreifen soll, führen Sie die folgenden Aktionen aus: 1. Klicken Sie im Abschnitt Auflisten von Kontengesamtstrukturen auf 2. Geben Sie im Fenster Kontengesamtstrukturen hinzufügen im Feld Benutzerdomäne den Namen der Benutzerdomäne ein. Der Benutzer kann einer beliebigen Domäne in der Kontengesamtstruktur angehören. 3. Geben Sie im Feld Benutzername den Benutzernamen für das Microsoft Active Directory-Konto ein. 4. Geben Sie im Feld Kennwort das Kennwort für das Microsoft Active Directory-Konto ein. 5. Klicken Sie auf Hinzufügen. . 12. Zum Aktivieren der einmaligen Anmeldung wählen Sie das Kontrollkästchen Windows Single Sign-On aktivieren aus. 13. Führen Sie folgende Aktionen aus: a. Klicken Sie auf Speichern. b. Wenn Sie die einmalige Anmeldung aktiviert haben, klicken Sie auf Speichern. BES12 überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht gültig sind, werden Sie von BES12 aufgefordert, die richtigen Informationen anzugeben. 14. Klicken Sie auf Schließen. Wenn Sie fertig sind: Wenn Sie die einmalige Anmeldung aktiviert haben, führen Sie die folgenden Aktionen aus: • Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu. 31 Herstellen einer Verbindung zu Unternehmensverzeichnissen • Weisen Sie Administratoren und BES12 Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an BES12 zu konfigurieren. Verwandte Informationen Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 45 Herstellen der Verbindung zu einem LDAPVerzeichnis Bevor Sie beginnen: Erstellen Sie ein LDAP-Konto für BES12 im entsprechenden LDAP-Verzeichnis. Das Konto muss die folgenden Anforderungen erfüllen: • Der Benutzer benötigt Leseberechtigungen für alle Benutzer im Verzeichnis. • Der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern. • Das Kennwort des Benutzers läuft nie ab. Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAPVerbindung haben. Hinweis: Die LDAP-Attributwerte in den nachfolgenden Schritten können sich von den Attributen unterscheiden, die Sie eingeben müssen. Die von Ihnen einzugebenden Werte hängen von der LDAP-Umgebung ab, die Ihr Unternehmen verwendet. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 3. Klicken Sie auf Hinzufügen einer LDAP-Verbindung. 4. Geben Sie im Feld Name der Verbindung des Verzeichnisses einen Namen für die Verzeichnisverbindung ein. 5. Führen Sie in der Dropdown-Liste LDAP-Servererkennung eine der folgenden Aktionen aus: • Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf Automatisch. Geben Sie im Feld DNSDomänenname den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet. • Um die Liste der LDAP-Server festzulegen, klicken Sie auf Server aus der Liste auswählen. Geben Sie in das Feld LDAP-Server den Namen des LDAP-Servers ein. Um weitere LDAP-Server anzugeben, klicken Sie auf 6. Führen Sie in der Dropdown-Liste SSL aktivieren eine der folgenden Aktionen aus: Option Beschreibung Wenn die LDAP-Verbindung SSLVerschlüsselung aufweist 1. Klicken Sie auf Ja. 2. Klicken Sie neben dem Feld LDAP-Server-SSL-Zertifikat auf Durchsuchen. 32 . Herstellen einer Verbindung zu Unternehmensverzeichnissen Option Beschreibung 3. Wählen Sie das LDAP-Serverzertifikat aus. 4. Klicken Sie auf Öffnen. Wenn die LDAP-Verbindung keine SSL- 1. Verschlüsselung aufweist Klicken Sie auf Nein. 7. Geben Sie im Feld LDAP-Port die TCP-Portnummer für die Kommunikation ein (z. B. 636 für SSL aktiviert oder 389 für SSL deaktiviert). 8. Führen Sie in der Dropdown-Liste Autorisierung erforderlich eine der folgenden Aktionen aus: Option Beschreibung Wenn für die Verbindung eine Autorisierung erforderlich ist 1. Klicken Sie auf Ja. 2. Geben Sie im Feld Anmeldung den DN des Benutzers ein, der für die Anmeldung an LDAP autorisiert ist (z. B. an=admin,o=Org1). 3. Geben Sie im Feld Kennwort das Kennwort ein. 1. Klicken Sie auf Nein. Wenn für die Verbindung keine Autorisierung erforderlich ist 9. Geben Sie im Feld Benutzersuchbasis den Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden soll. 10. Geben Sie im Feld LDAP-Suchfilter nach Benutzer den LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie in IBM Domino Directory beispielsweise (objectClass=Person) ein. Hinweis: Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, müssen Sie (&(objectclass=user)(logindisabled=false)) eingeben. 11. Führen Sie in der Dropdown-Liste LDAP-Benutzer-Suchbereich eine der folgenden Aktionen aus: • Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf Alle Ebenen. Dieser Wert ist die Standardeinstellung. • Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf Eine Ebene. 12. Geben Sie im Feld Eindeutige Kennung den Namen des Attributs ein, das den jeweiligen Benutzer im LDAP-Verzeichnis Ihres Unternehmens eindeutig identifiziert. Dieses Attribut muss eine Zeichenfolge sein, die unveränderbar und global eindeutig ist. Geben Sie beispielsweise in IBM Domino LDAP 7 und höher dominoUNID und in Microsoft Active Directory objectGUID ein. 33 Herstellen einer Verbindung zu Unternehmensverzeichnissen 13. Geben Sie im Feld Vorname das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise givenName). 14. Geben Sie im Feld Nachname das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise sn). 15. Geben Sie im Feld Anmeldeattribute das für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweise uid). 16. Geben Sie im Feld E-Mail-Adresse das Attribut für die E-Mail-Adresse der einzelnen Benutzer ein (beispielsweise mail). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 17. Geben Sie im Feld Anzeigename das Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweise displayName). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 18. Geben Sie im Feld Kontoname des E-Mail-Profils das Attribut für den Kontonamen des E-Mail-Profils der einzelnen Benutzer ein (beispielsweise mail). 19. Geben Sie im Feld Benutzerprinzipalname den Benutzerprinzipalnamen für SCEP ein (beispielsweise mail). 20. Um Gruppen zu aktivieren, die per Verzeichnis verknüpft sind, aktivieren Sie das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen, und füllen Sie die folgenden Felder aus: Option Beschreibung Suchbasis für Gruppen Geben Sie den Wert an, der als Basis-DN für Gruppeninformationssuchen verwendet werden soll. LDAP-Suchfilter für Gruppen Geben Sie den LDAP-Suchfilter ein, der erforderlich ist, um Gruppenobjekte in Ihrem Unternehmensverzeichnis aufzufinden. Geben Sie z. B. für IBM Domino Directory (objectClass=dominoGroup) ein. Eindeutige Kennung der Gruppe Geben Sie das Attribut für die eindeutige Kennung der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (beispielsweise cn). Anzeigename der Gruppe Geben Sie das Attribut für den Anzeigenamen der einzelnen Gruppen ein (beispielsweise cn). Gruppenmitgliedschaftsattribut Geben Sie das Attribut für den Mitgliedschaftsbezeichner der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (beispielsweise member). Gruppennamen testen Geben Sie einen bestehenden Gruppennamen ein, um die festgelegten Gruppenattribute zu validieren. 21. Klicken Sie auf Speichern. 22. Klicken Sie auf Schließen. 34 Herstellen einer Verbindung zu Unternehmensverzeichnissen Aktivieren von per Verzeichnis verknüpften Gruppen Sie können Gruppen erstellen, die mit Gruppen in Ihrem Unternehmensverzeichnis verknüpft sind. Sie können BES12 so konfigurieren, dass die Mitgliedschaft einer mit einem Verzeichnis verknüpften Gruppe mit den zugehörigen Unternehmensverzeichnisgruppen automatisch synchronisiert wird. Wenn Sie per Verzeichnis verknüpfte Gruppen aktivieren, haben Sie die Möglichkeit, Onboarding und Offboarding zu nutzen, die Synchronisierung zu erzwingen, die maximale Anzahl an Änderungen je Synchronisierung und die Anzahl der Verschachtelungsebenen für die verknüpften Gruppen festzulegen. Objekt Beschreibung Onboarding aktivieren Onboarding bedeutet, dass Benutzerkonten basierend auf der Benutzermitgliedschaft in einer Unternehmensverzeichnisgruppe automatisch zu BES12 hinzugefügt werden können. Sie müssen die Unternehmensverzeichnisgruppen im Abschnitt „Onboarding-Verzeichnisgruppen“ hinzufügen. Benutzerkonten aus diesen Unternehmensverzeichnisgruppen werden während des Synchronisierungsvorgangs automatisch zu BES12 hinzugefügt. Sie können festlegen, dass integrierte Benutzer entweder eine E-Mail mit einem automatisch generierten Aktivierungskennwort für das Gerät erhalten, oder festlegen, dass kein Aktivierungskennwort für das Gerät erforderlich ist. Offboarding Optional können Sie Offboarding einrichten. Offboarding erfolgt, wenn ein Benutzer aus allen Unternehmensverzeichnisgruppen in der Liste „OnboardingVerzeichnisgruppen“ entfernt und Offboarding aktiviert wird. Sie können die folgenden Erzwingungsaktionen auswählen, die BES12 beim Offboarding eines Benutzers ausführen soll: • • Gerätedaten löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird ◦ Nur Geschäftsdaten löschen ◦ Alle Gerätedaten löschen ◦ Alle unternehmenseigenen Gerätedaten löschen/Nur Geschäftsdaten löschen, die privates Eigentum sind Benutzer löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird Je nach den Offboarding-Einstellungen, Unternehmensverzeichnisbenutzern und/ oder deren Geräten werden Benutzer automatisch aus BES12 gelöscht, wenn sie 35 Herstellen einer Verbindung zu Unternehmensverzeichnissen Objekt Beschreibung aus allen Unternehmensverzeichnisgruppen entfernt werden, die für Onboarding konfiguriert wurden. Sie werden aus BES12 entfernt, wenn sie keiner Unternehmensverzeichnisgruppe angehören, die für Onboarding konfiguriert wurde. Die Offboarding-Einstellungen gelten auch für bestehende Verzeichnisbenutzer in BES12. Es wird empfohlen, durch Klicken auf das Vorschausymbol einen Verzeichnissynchronisierungsbericht zum Überprüfen der Änderungen zu erzeugen. Synchronisierung erzwingen Mit „Synchronisierung erzwingen“ wird das Synchronisierungsverhalten festgelegt, das beim Löschen einer Unternehmensverzeichnisgruppe aus dem Unternehmensverzeichnis auftritt. Wenn eine Unternehmensverzeichnisgruppe nicht mehr vorhanden ist und „Synchronisierung erzwingen“ aktiviert ist, wird die Unternehmensverzeichnisgruppe während des Synchronisierungsvorgangs aus der Liste der Onboarding-Verzeichnisgruppen und aus allen mit einem Verzeichnis verknüpften Gruppen entfernt. Wenn „Synchronisierung erzwingen“ aktiviert ist und alle mit einem Unternehmensverzeichnis verknüpften Gruppen nicht mehr in Ihrem Unternehmensverzeichnis vorhanden sind, wird eine mit dem Verzeichnis verknüpfte Gruppe in eine lokale Gruppe umgewandelt. Wenn „Synchronisierung erzwingen“ deaktiviert ist und eine Unternehmensverzeichnisgruppe in Ihrem Unternehmensverzeichnis nicht gefunden werden kann, wird der Synchronisierungsvorgang abgebrochen. Synchronisierungsbeschränkung Wenn die Anzahl der Änderungen die maximale Anzahl der Änderungen je Synchronisation überschreitet, können Sie die Ausführung der Synchronisation verhindern. Vor Beginn des Synchronisierungsvorgangs wird die Gesamtzahl der Änderungen berechnet, indem die Anzahl der integrierten Benutzer, der entfernten Benutzer, der den Gruppen hinzugefügten Benutzer und der aus den Gruppen entfernten Benutzer addiert wird. Der Standardwert ist 5. Wenn Sie die Anzahl der Änderungen nicht einschränken möchten, müssen Sie 0 eingeben. Maximale Verschachtelung von Verzeichnisgruppen Sie können die Höchstanzahl der Ebenen in einer Unternehmensverzeichnisgruppe festlegen, mit denen die mit einem Verzeichnis verknüpften Gruppen verlinkt werden sollen. Sie können Verknüpfungen zu einer unbegrenzten Anzahl an Verschachtelungsebenen erstellen. Beispiele: 36 Herstellen einer Verbindung zu Unternehmensverzeichnissen Objekt Beschreibung • Der Standardwert ist „-1“. Bei diesem Wert werden alle Ebenen zurückgegeben. • Wenn Sie „0“ eingeben, wird nur die oberste Ebene zurückgegeben. • Wenn Sie „1“ eingeben, werden die oberste Ebene und die erste verschachtelte Ebene zurückgegeben. Wenn eine Unternehmensverzeichnisgruppe beispielsweise 5 Ebenen aufweist und Verknüpfungen zu allen Ebenen hergestellt werden sollen, geben Sie in das vorhandene Feld „-1“ ein. Wenn Sie nur eine Verknüpfung zur obersten Ebene wünschen, geben Sie „0“ ein. Wenn Sie eine Verknüpfung zur obersten Ebene und den ersten 4 Ebenen wünschen, geben Sie „4“ ein. Weitere Informationen zum Erstellen von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/. Aktivieren von per Verzeichnis verknüpften Gruppen Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der Synchronisierung speichern. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 3. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 4. Klicken Sie auf Synchronisierungseinstellungen. 5. Wenn per Verzeichnis verknüpfte Gruppen aktiviert werden sollen, wählen Sie Aktivieren von per Verzeichnis verknüpften Gruppen. 6. Wenn Sie Onboarding aktivieren möchten, wählen Sie Onboarding aktivieren, und führen Sie für die jeweilige Gruppe, die integriert werden soll, die folgenden Aktionen aus: Option Beschreibung Onboarding aktivieren 1. Klicken Sie im Abschnitt Onboarding-Verzeichnisgruppen auf 2. Geben Sie im Feld Gruppe aus Verzeichnis suchen den Namen der Unternehmensverzeichnisgruppe ein. 3. Klicken Sie auf . 37 . Herstellen einer Verbindung zu Unternehmensverzeichnissen Option 7. 8. Beschreibung 4. Wählen Sie die Unternehmensverzeichnisgruppe in der Liste mit den Suchergebnissen aus. 5. Klicken Sie auf Hinzufügen. 6. Wählen Sie ggf. Verschachtelte Gruppen verknüpfen. Wählen Sie im Abschnitt Geräteaktivierung eine der folgenden Optionen aus: • Um Benutzern eine E-Mail mit einem automatisch generierten Aktivierungskennwort zu senden, klicken Sie auf Automatisch ein Geräteaktivierungskennwort generieren und eine E-Mail mit Aktivierungsanweisungen senden. Geben Sie die Zeit an, während derer ein Aktivierungskennwort gültig bleibt, und wählen Sie eine Vorlage für die Aktivierungs-E-Mail aus. • Wenn kein Aktivierungskennwort für das Gerät eingerichtet werden soll, wählen Sie Aktivierungskennwort für das Gerät nicht festlegen. Wenn Gerätedaten beim Offboarding eines Benutzers gelöscht werden sollen, wählen Sie Gerätedaten löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird, und legen Sie eine der folgenden Optionen fest: Option Beschreibung Alle Daten auf dem Gerät eines Benutzers löschen, wenn er aus einer Gruppe entfernt wird 1. Benutzerkonto aus BES12 löschen, wenn ein Benutzer aus allen Onboarding-Gruppen entfernt wird 9. Wählen Sie eine der folgenden Optionen aus: a Nur Geschäftsdaten löschen b Alle Gerätedaten löschen c Alle Gerätedaten für Eigentum des Unternehmens löschen/Nur Geschäftsdaten für Privateigentum löschen Wählen Sie Benutzer löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird. Um die Synchronisierung von per Verzeichnis verknüpften Gruppen durchzusetzen, wählen Sie Synchronisierung erzwingen. 10. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl der Änderungen ein, die Sie für eine Verzeichnissynchronisierung zulassen möchten. Hinweis: Der Standardwert ist 5. Dies bedeutet, dass die Synchronisierung nicht ausgeführt wird, wenn es mehr als 5 Änderungen gibt. Wenn Sie diesen Wert beispielsweise stehen lassen, und es gibt mehr als 5 Änderungen, wird die Synchronisierung nicht ausgeführt. Wenn Sie den Wert 0 eingeben, bedeutet dies keine Obergrenze für die Anzahl der Änderungen, die bei einer Synchronisierung verarbeitet werden können. 38 Herstellen einer Verbindung zu Unternehmensverzeichnissen 11. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen für Unternehmensverzeichnisgruppen ein. Der Standardwert lautet „-1“ und bedeutet, dass alle Ebenen einbezogen werden. Wenn Sie die oberste Ebene einbeziehen möchten, geben Sie „0“ ein. Wenn Sie die oberste Ebene und die erste Ebene einbeziehen möchten, geben Sie „1“ ein usw. 12. Klicken Sie auf Speichern. Wenn Sie fertig sind: Informationen zum Erstellen von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/. Synchronisieren einer Unternehmensverzeichnis‐ Verbindung 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 3. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf . Anzeigen eines Verzeichnis-Synchroni‐ sierungsberichts 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 3. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses neben der Verzeichnisverbindung für den anzuzeigenden Bericht auf das Datum. Hinzufügen eines Synchronisierungszeitplans BES12 ermöglicht Ihnen die Einrichtung von Synchronisierungszeitplänen für eine automatische Synchronisierung von BES12 und Ihrem Unternehmensverzeichnis. Es gibt drei Arten von Synchronisierungszeitplänen, die hinzugefügt werden können: Art des Zeitplans Beschreibung Intervall Mit dieser Option können Sie die Zeitspanne zwischen jeder Synchronisierung und den Zeitrahmen festlegen, in dem die Synchronisierung stattfinden soll. Sie haben 39 Herstellen einer Verbindung zu Unternehmensverzeichnissen Art des Zeitplans Beschreibung die Möglichkeit, die Wochentage auszuwählen, an denen die Synchronisierungen erfolgen sollen. Sie können mehrere Tage auswählen. Einmal täglich Mit dieser Option können Sie die Tageszeit auswählen, zu der die Synchronisierung startet, und die Wochentage, an denen die Synchronisierungen stattfinden sollen. Sie können mehrere Tage auswählen. Keine Wiederholung Mit dieser Option können Sie eine einmalige Synchronisierung konfigurieren und den Tag und die Uhrzeit selbst festlegen. Im Bildschirm „Unternehmensverzeichnis“ unter dem Abschnitt „Konfigurierte Verbindungen des Verzeichnisses“ können Sie BES12 jederzeit manuell mit Ihrem Unternehmensverzeichnis synchronisieren. Hinzufügen eines Synchronisationsplans 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis. 3. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 4. Klicken Sie auf der Registerkarte Synchronisierungszeitplan auf 5. Führen Sie im Feld Wiederholung eine der folgenden Aktionen durch: . Option Beschreibung Intervall 1. Wählen Sie die Option Intervall aus. 2. Geben Sie den Abstand zwischen den Synchronisierungen in Minuten ein. 3. Wählen Sie im Feld Synchronisieren zwischen (UTC-Zeitzone) die Uhrzeiten für Start und Ende der Synchronisierungen aus. 4. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. 1. Wählen Sie Einmal täglich. 2. Wählen Sie die Uhrzeit aus, zu der die Synchronisierung gestartet werden soll. 3. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. 1. Wählen Sie Keine Wiederholung. Einmal täglich Keine Wiederholung 40 Herstellen einer Verbindung zu Unternehmensverzeichnissen Option 6. Beschreibung 2. Wählen Sie die Uhrzeit aus, zu der die Synchronisierung gestartet werden soll. 3. Wählen Sie den Tag aus, an dem die Synchronisierung stattfinden soll. Klicken Sie auf Hinzufügen. 41 Konfigurieren der einmaligen Anmeldung für BES12 Konfigurieren der einmaligen Anmeldung für BES12 7 Wenn Sie eine Verbindung zwischen BES12 und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BES12 Self-Service zugreifen können. Wenn Administratoren oder Benutzer sich bei einem Computer mit ihren Microsoft Active Directory-Anmeldeinformationen anmelden, verwendet der Browser diese Anmeldeinformationen zur automatischen Authentifizierung bei BES12. Wenn Sie ein Upgrade von BES5 durchgeführt haben und zuvor die einmalige Anmeldung aktiviert war, müssen Sie diese in BES12 für die Microsoft Active Directory-Verbindung, die aus BES5 migriert wurde, aktivieren. Bevor Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung aktivieren, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BES12 für die Verzeichnisverbindung verwendet wird. Hinweis: Wenn Sie die einmalige Anmeldung aktivieren, erfordern alle Änderungen, die Sie am Microsoft Active Directory-Konto vornehmen, einen Neustart der BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet. Administratoren und Benutzer müssen sich von ihrem Computer ab- und dann wieder anmelden, um die einmalige Anmeldung für BES12 zu verwenden. Schritte zum Konfigurieren der einmaligen Anmeldung für BES12 Zum Konfigurieren der einmaligen Anmeldung für BES12 führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto zum Unterstützen der einmaligen Anmeldung. Aktivieren Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung. Stellen Sie sicher, dass die von Administratoren und BES12 Self-Service-Benutzern verwendeten Browser die Anforderungen für die einmalige Anmeldung erfüllen. 42 Konfigurieren der einmaligen Anmeldung für BES12 Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung Damit die einmalige Anmeldung für BES12 unterstützt wird, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BES12 für die Verzeichnisverbindung verwendet wird. Die eingeschränkte Delegierung ermöglicht eine Authentifizierung von Administratoren oder Benutzern bei BES12 über den Browser, wenn diese auf die Verwaltungskonsole oder BES12 Self-Service zugreifen. 1. Fügen Sie dem Microsoft Active Directory-Konto mithilfe von Windows Server ADSI Edit die folgenden SPN für BES12 hinzu: • HTTP/<host_FQDN_or_pool_name> (z. B. HTTP/domäne123.beispiel.com) • BASPLUGIN111/<host_FQDN_or_pool_name> (z. B. BASPLUGIN111/domäne123.beispiel.com) Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einer BES12-Domäne konfiguriert haben, geben Sie den Poolnamen ein. Geben Sie andernfalls den FQDN des Computers ein, der die Verwaltungskonsole hostet. Hinweis: Vergewissern Sie sich, dass keine anderen Konten in der Microsoft Active Directory-Gesamtstruktur dieselben SPN haben. 2. Öffnen Sie Microsoft Active Directory Users and Computers. 3. Wählen Sie für die Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden Optionen aus: 4. • Benutzer bei Delegierungen angegebener Dienste vertrauen • Nur Kerberos verwenden Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu. Verwandte Informationen Konfigurieren von Hoher Verfügbarkeit für die Verwaltungskonsole, auf Seite 64 Konfigurieren der einmaligen Anmeldung für BES12 Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, gilt die Konfiguration für die Verwaltungskonsole und BES12 SelfService. 43 Konfigurieren der einmaligen Anmeldung für BES12 Bevor Sie beginnen: • Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das von BES12 für das Verzeichnis verwendet wird. • Wenn Sie die einmalige Anmeldung für mehrere Microsoft Active Directory-Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen den Microsoft Active Directory-Gesamtstrukturen gibt. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Erweitern Sie im linken Fensterbereich die Option Externe Integration. 3. Klicken Sie auf Unternehmensverzeichnis. 4. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf den Namen einer Microsoft Active DirectoryVerbindung. 5. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Windows Single Sign-On aktivieren. 6. Klicken Sie auf Speichern. 7. Klicken Sie auf Speichern. BES12 überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht gültig sind, werden Sie von BES12 aufgefordert, die richtigen Informationen anzugeben. 8. Klicken Sie auf Schließen. Wenn Sie fertig sind: • Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu. • Weisen Sie Administratoren und BES12 Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an BES12 zu konfigurieren. Verwandte Informationen Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 45 Konsolen-URLs für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, müssen Sie Administratoren und Benutzer anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BES12 Self-Service folgende URLs zu verwenden: Konsole URL für die einmalige Anmeldung BES12-Verwaltungskonsole https://<host_FQDN_or_pool_name>:<port>/admin BES12 Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice Die Authentifizierung über die einmalige Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden zur Anmeldung bei der Verwaltungskonsole durch Administratoren bzw. bei BES12 Self-Service durch Benutzer. Wenn die Sicherheitsstandards in 44 Konfigurieren der einmaligen Anmeldung für BES12 Ihrem Unternehmen es erfordern, dass Administratoren bzw. Benutzer eine andere Authentifizierungsmethode verwenden, müssen Sie sie anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BES12 Self-Service folgende URLs zu verwenden: Konsole URL für andere Authentifizierungsmethoden BES12-Verwaltungskonsole https://<host_FQDN_or_pool_name>:<port>/admin?sso=n BES12 Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice?sso=n Anforderungen an den Browser für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, müssen die von Administratoren und BES12 Self-ServiceBenutzern verwendeten Browser die nachfolgend aufgeführten Anforderungen erfüllen. Objekt Anforderungen Browser Einer der folgenden: • Internet Explorer • Mozilla Firefox • Google Chrome Informationen zu den unterstützten Versionen finden Sie in der Kompatibilitätsmatrix. Browsereinstellungen Internet Explorer mit folgenden Einstellungen: • Die URLs von Verwaltungskonsole und BES12 Self-Service sind der lokalen Intranetzone zugewiesen (Internetoptionen > Sicherheit). • „Integrierte Windows-Authentifizierung aktivieren“ ist ausgewählt (Internetoptionen > Erweitert). Firefox mit folgenden Einstellungen: • In der Liste „about:config“ wurde „https://<host_FQDN_or_pool_name>“ zur Einstellung „network.negotiate-auth.trusted-uris“ hinzugefügt. Weitere Informationen finden Sie unter kb.mozillazine.org/about:config. Google Chrome verwendet die Einstellungen der lokalen Intranetzone aus Internet Explorer. Die URLs von Verwaltungskonsole und BES12 Self-Service müssen der lokalen Intranetzone zugewiesen sein (Internetoptionen > Sicherheit). 45 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten 8 APNs ist der Apple Push Notification Service. Sie müssen das APNs-Zertifikat abrufen und registrieren, wenn Sie BES12 für die Verwaltung von iOS-Geräten verwenden möchten. Wenn Sie mehr als eine BES12-Domäne einrichten, ist für jede Domäne ein APNs-Zertifikat erforderlich. APNs-Zertifikate können mithilfe des Assistenten für die erstmalige Anmeldung oder unter Verwendung des Abschnitts „Externe Integration“ der Verwaltungskonsole abgerufen und registriert werden. Hinweis: Jedes APNs-Zertifikat ist ein Jahr lang gültig. Auf der Verwaltungskonsole wird das Ablaufdatum angezeigt. Sie müssen das APNs-Zertifikat vor dem Ablaufdatum erneuern. Verwenden Sie hierzu die Apple-ID, die Sie zum Abrufen des Zertifikats benötigen. Wenn das Zertifikat abläuft, empfangen iOS-Geräte von BES12 keine Daten mehr. Wenn Sie ein neues APNs-Zertifikat registrieren, müssen Benutzer von iOS-Geräten ihre Geräte neu aktivieren, um Daten zu empfangen. Weitere Informationen finden Sie unter https://developer.apple.com im Artikel TN2265 Probleme beim Senden von PushBenachrichtigungen. In der Praxis hat es sich bewährt, auf die Verwaltungskonsole und das Apple Push Certificates Portal über den Google ChromeBrowser oder den Safari-Browser zuzugreifen. Diese Browser bieten optimale Unterstützung bei der Anforderung und Registrierung von APNs-Zertifikaten. Datenfluss: Senden von Daten an ein iOS-Gerät 1. BES12 sendet eine Benachrichtigung an den APNs. 2. Der APNs authentifiziert BES12 mithilfe des von Ihnen registrierten APNs-Zertifikats. 3. Der APNs sendet die Benachrichtigung an das iOS-Gerät. 4. Das iOS-Gerät erhält die Benachrichtigung und ruft die Daten von BES12 ab. Schritte zum Verwalten von iOS-Geräten Führen Sie zum Abrufen und Registrieren eines APNs-Zertifikats die folgenden Aktionen aus: Schritt Aktion Rufen Sie eine signierte CSR von BlackBerry ab. 46 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten Schritt Aktion Fordern Sie mit der signierten CSR ein APNs-Zertifikat von Apple an. Registrieren Sie das APNs-Zertifikat. Abrufen einer signierten CSR von BlackBerry Sie müssen eine signierte CSR (Certificate Signing Request) von BlackBerry abrufen, bevor Sie ein APNs-Zertifikat anfordern können. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung. 3. Klicken Sie auf APNs-Zertifikat abrufen. Wenn Sie ein aktuell verwendetes APNs-Zertifikat erneuern möchten, klicken Sie stattdessen auf Zertifikat erneuern. 4. Klicken Sie im Abschnitt Schritt 1 von 3 – Signiertes CSR-Zertifikat von BlackBerry herunterladen auf Zertifikat herunterladen. 5. Klicken Sie auf Speichern, um die signierte CSR-Datei (.scsr) auf Ihrem Computer zu speichern. Wenn Sie fertig sind: Anfordern eines APNs-Zertifikats von Apple . Anfordern eines APNs-Zertifikats von Apple Bevor Sie beginnen: Laden Sie die von BlackBerry bereitgestellte CSR herunter, und speichern Sie sie. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung. 3. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 4. Melden Sie sich beim Apple Push Certificates Portal mit einer gültigen Apple-ID an. 5. Befolgen Sie die Anweisungen zum Hochladen der signierten CSR (.scsr). 6. Laden Sie das APNs-Zertifikat (.pem) auf Ihren Computer herunter, und speichern Sie es. Wenn Sie fertig sind: Registrieren des APNs-Zertifikats. 47 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten Registrieren des APNs-Zertifikats Bevor Sie beginnen: Fordern Sie ein APNs-Zertifikat von Apple unter Verwendung der signierten CSR von BlackBerry an, und speichern Sie das APNs-Zertifikat auf Ihrem Computer. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung. 3. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zum APNsZertifikat (.pem), und wählen Sie es aus. 4. Klicken Sie auf Senden. Wenn Sie fertig sind: • Zum Testen der Verbindung zwischen BES12 und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. • Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > iOS-Verwaltung. Weitere Informationen zur Erneuerung von APNs-Zertifikaten finden Sie unter Erneuern des APNs-Zertifikats. Erneuern des APNs-Zertifikats Das APNs-Zertifikat ist ein Jahr lang gültig. Sie müssen das APNs-Zertifikat jährlich vor dem Ablaufdatum erneuern. Bevor Sie beginnen: Rufen Sie eine neue signierte CSR von BlackBerry ab (siehe Abrufen einer signierten CSR von BlackBerry ). 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung. 3. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 4. Melden Sie sich beim Apple Push Certificates Portal mit derselben Apple-ID an, die Sie zum Abrufen des ursprünglichen APNs-Zertifikats verwendet haben. 5. Befolgen Sie die Anweisungen zum Erneuern des APNs-Zertifikats (.pem). Sie müssen die neue signierte CSR hochladen. 6. Laden Sie das erneuerte APNs-Zertifikat auf Ihren Computer herunter, und speichern Sie es. 7. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zu dem erneuerten APNs-Zertifikat, und wählen Sie es aus. 8. Klicken Sie auf Senden. Wenn Sie fertig sind: 48 Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten • Zum Testen der Verbindung zwischen BES12 und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. • Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > iOS-Verwaltung. Fehlerbehebung: APNs Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR. Beschreibung Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein APNs-Zertifikat zu registrieren und die neueste signierte CSR-Datei nicht von BlackBerry auf das Apple Push Certificates Portal hochgeladen haben. Mögliche Lösung Wenn Sie mehrere CSR-Dateien von BlackBerry heruntergeladen haben, ist nur die letzte heruntergeladene Datei gültig. Wenn Sie wissen, welche CSR die aktuellste ist, kehren Sie zum Apple Push Certificates Portal zurück, und laden Sie sie hoch. Wenn Sie nicht sicher sind, welche CSR die aktuellste ist, rufen Sie eine neue von BlackBerry ab. Kehren Sie dann zum Apple Push Certificates Portal zurück und laden Sie sie hoch. Ich kann iOS-Geräte nicht aktivieren Problemursache Wenn Sie iOS-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nicht ordnungsgemäß registriert. Mögliche Lösung Führen Sie eine oder mehrere der folgenden Aktionen aus: • Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > iOS-Verwaltung. Vergewissern Sie sich, dass das APNs-Zertifikat den Status „Installiert“ aufweist. Wenn der Status nicht korrekt ist, versuchen Sie, das APNs-Zertifikat erneut zu registrieren. • Klicken Sie auf APNS-Zertifikat testen, um die Verbindung zwischen BES12 und dem APNs-Server zu testen. • Rufen Sie ggf. eine neue signierte CSR von BlackBerry und ein neues APNs-Zertifikat ab. 49 Konfigurieren von BES12 für DEP Konfigurieren von BES12 für DEP 9 Sie müssen BES12 für die Verwendung des Programms zur Geräteregistrierung (DEP) von Apple konfigurieren, damit Sie BES12 mit DEP synchronisieren können. Nach der Konfiguration von BES12 können Sie die Aktivierung der von Ihrem Unternehmen für DEP erworbenen iOS-Geräte mit der BES12-Verwaltungskonsole verwalten. Anforderungen: DEP • BES12, Version 12.2 oder höher • iOS-Geräte, die von Apple für das Programm zur Geräteregistrierung erworben wurden Schritte zur Konfiguration von BES12 für DEP Beim Konfigurieren von BES12 für das Programm zur Geräteregistrierung von Apple führen Sie die folgenden Schritte aus: Schritt Aktion Erstellen Sie ein DEP-Konto. Laden Sie einen öffentlichen Schlüssel herunter. Generieren Sie ein Server-Token. Registrieren Sie das Server-Token bei BES12. Fügen Sie eine Registrierungskonfiguration hinzu. 50 Konfigurieren von BES12 für DEP Erstellen eines DEP-Kontos 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie in Schritt 1 von 4: Erstellen eines Apple DEP-Kontos auf Erstellen eines Apple DEP-Kontos. 4. Füllen Sie die Felder aus, und befolgen Sie die Anweisungen zum Erstellen des Kontos. Wenn Sie fertig sind: Laden Sie einen öffentlichen Schlüssel herunter. Herunterladen eines öffentlichen Schlüssels Bevor Sie beginnen: Erstellen Sie ein DEP-Konto. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie in Schritt 2 von 4: Herunterladen eines öffentlichen Schlüssels auf Herunterladen des öffentlichen Schlüssels von BES12. 4. Klicken Sie auf Speichern. Wenn Sie fertig sind: Generieren Sie ein Server-Token. Generieren eines Server-Tokens Bevor Sie beginnen: Laden Sie einen öffentlichen Schlüssel herunter. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie in Schritt 3 von 4: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 4. Melden Sie sich bei Ihrem DEP-Konto an. 5. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. Wenn Sie fertig sind: Registrieren Sie das Server-Token bei BES12. 51 Konfigurieren von BES12 für DEP Registrieren des Server-Tokens bei BES12 BES12 verwendet bei der Kommunikation mit dem Programm zur Geräteregistrierung von Apple ein Server-Token zur Authentifizierung. Bevor Sie beginnen: Generieren Sie ein Server-Token. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie in Schritt 4 von 4: Registrieren des Server-Tokens bei BES12 auf Durchsuchen. 4. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus. 5. Klicken Sie auf Öffnen. 6. Klicken Sie auf Weiter. Wenn Sie fertig sind: Fügen Sie eine Registrierungskonfiguration hinzu. Hinzufügen einer Registrierungskonfiguration Bevor Sie beginnen: Registrieren Sie ein Server-Token bei BES12, bevor Sie die erste Registrierungskonfiguration hinzufügen. Nachdem Sie ein Server-Token registriert haben, wird in BES12 automatisch das Fenster zum Hinzufügen der ersten Registrierungskonfiguration angezeigt. 1. Füllen Sie die Felder aus, und aktivieren Sie die Kontrollkästchen für die Elemente, die Ihre Registrierungskonfiguration enthalten soll. • Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ auswählen, weist BES12 die Registrierungskonfiguration iOS-Geräten bei deren Registrierung beim DEP von Apple automatisch zu. Wenn Sie die Registrierungskonfiguration nicht automatisch zuweisen lassen, können Sie die BES12Verwaltungskonsole verwenden, um beim DEP registrierten iOS-Geräten Registrierungskonfigurationen zuzuweisen. Weitere Informationen über die Zuweisung von Registrierungskonfigurationen finden Sie in der Dokumentation für Administratoren. • Wenn Sie im Bereich „Gerätekonfiguration“ weder „Beaufsichtigten Modus aktivieren“ noch „Entfernen des MDM-Profils zulassen“ auswählen, werden Sie von BES12 beim Speichern der Registrierungskonfiguration zur Auswahl eines dieser Elemente aufgefordert. Sie müssen mindestens eines dieser Elemente auswählen. Optional können Sie beide Elemente auswählen. 2. Klicken Sie auf Speichern. 3. Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben, klicken Sie auf Ja. 52 Konfigurieren von BES12 für DEP Wenn Sie fertig sind: Fügen Sie iOS-Geräte hinzu. Weitere Informationen zum Aktivieren von Geräten finden Sie in der Dokumentation für Administratoren. Aktualisieren des Server-Tokens Das Server-Token ist ein Jahr lang gültig. Sie müssen das Token jährlich vor dem Ablaufdatum erneuern. Den Status des Tokens finden Sie unter dem „Ablaufdatum“ im Programm zur Geräteregistrierung von Apple. Bevor Sie beginnen: Wenn der öffentliche Schlüssel geändert wurde, laden Sie einen neuen öffentlichen Schlüssel herunter. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie im Bereich Ablaufdatum auf Server-Token aktualisieren . 4. Klicken Sie in Schritt 1 von 2: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 5. Melden Sie sich bei Ihrem DEP-Konto an. 6. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. 7. Klicken Sie in Schritt 2 von 2: Registrieren des Server-Tokens bei BES12 auf Durchsuchen. 8. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus. 9. Klicken Sie auf Öffnen. 10. Klicken Sie auf Speichern. Entfernen der DEP-Verbindung VORSICHT: Wenn Sie die DEP-Verbindung entfernen, können Sie neue iOS-Geräte nicht im Programm zur Geräteregistrierung von Apple aktivieren. Wenn Sie Geräten Registrierungskonfigurationen zugewiesen haben und diese nicht angewendet wurden, entfernt BES12 die Registrierungskonfigurationen. Das Entfernen der Verbindung hat keine Auswirkungen auf Geräte, die in BES12 aktiv sind. Wenn in Ihrem Unternehmen keine weiteren iOS-Geräte bereitgestellt werden, die DEP verwenden, können Sie die Verbindung zwischen BES12 und DEP entfernen. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple. 3. Klicken Sie auf DEP-Verbindung entfernen. 4. Klicken Sie auf Entfernen. 53 Konfigurieren von BES12 für DEP 5. Klicken Sie auf OK. 54 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-MailBenachrichtigungen 10 Damit BES12 E-Mail-Benachrichtigungen senden kann, muss eine Verbindung zwischen BES12 und dem SMTP-Server bestehen. BES12 sendet über E-Mail-Benachrichtigungen Aktivierungsanweisungen an Benutzer. Sie können BES12 auch so konfigurieren, dass Kennwörter für BES12 Self-Service und Warnungen zu Vorschrifteneinhaltung auf Geräten oder E-MailNachrichten an Einzelpersonen gesendet werden. Wenn keine Verbindung zwischen BES12 und SMTP-Server besteht, ist BES12 nicht in der Lage, Kennwörter, Aktivierungsoder E-Mail-Nachrichten zu senden. Sie können BES12 jedoch trotzdem so konfigurieren, dass Warnmeldungen zur Vorschrifteneinhaltung direkt an Geräte gesendet werden. Weitere Informationen über Aktivierungsnachrichten, Warnmeldungen zur Vorschrifteneinhaltung auf Geräten und das Senden einzelner E-Mail-Nachrichten finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/ bes12/. Herstellen einer Verbindung zu einem SMTPServer zum Senden von E-Mail-Benach‐ richtigungen 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > SMTP-Server. 3. Klicken Sie auf 4. Geben Sie in das Feld Angezeigter Name des Absenders einen Namen ein, der für BES12-E-Mail-Benachrichtigungen verwendet werden soll. Beispiel: donotreply oder BES12 Admin. 5. Geben Sie in das Feld Absenderadresse die E-Mail-Adresse ein, die BES12 zum Senden von E-Mail-Benachrichtigungen verwenden soll. 6. Geben Sie in das Feld SMTP-Server den FQDN des SMTP-Servers ein. Beispiel: mail.example.com. 7. Geben Sie im Feld SMTP-Server-Port die Portnummer des SMTP-Servers ein. Die Standardportnummer ist 25. . 55 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen 8. Wählen Sie im Dropdown-Menü Unterstützte Verschlüsselungsmethode die Verschlüsselung aus, die auf E-MailNachrichten angewendet werden soll. 9. Wenn der SMTP-Server eine Authentifizierung erfordert, geben Sie im Feld Benutzername den Anmeldenamen des SMTPServers ein. Geben Sie im Feld Kennwort das Kennwort des SMTP-Servers ein. 10. Importieren Sie ggf. ein SMTP-Zertifizierungsstellenzertifikat: a. Kopieren Sie die SSL-Zertifikatsdatei für den SMTP-Server Ihres Unternehmens auf den von Ihnen verwendeten Computer. b. Klicken Sie auf Durchsuchen. c. Navigieren Sie zur SSL-Zertifikatsdatei, und klicken Sie auf Hochladen. 11. Klicken Sie auf Speichern. Wenn Sie fertig sind: Klicken Sie auf Verbindung testen, wenn Sie die Verbindung zum SMTP-Server testen und eine Test-EMail senden möchten. BES12 sendet die Nachricht an die von Ihnen im Feld Absenderadresse festgelegte E-Mail-Adresse. 56 Einrichten von BES12 Self-Service für Benutzer Einrichten von BES12 Self-Service für Benutzer 11 BES12 Self-Service ist eine webbasierte Anwendung, die Sie Benutzern für Verwaltungsaufgaben wie das Erstellen von Aktivierungskennwörtern, das Sperren von Geräten per Fernzugriff oder das Löschen von Daten von Geräten zur Verfügung stellen können. Eine Installation von Software auf den Geräten der Benutzer ist für die Verwendung von BES12 Self-Service nicht erforderlich. Sie müssen den Benutzern die Webadresse und die Anmeldeinformationen bereitstellen. Sie können Benutzer zwingen, eine Anmeldemitteilung zu lesen und anzunehmen, bevor sie sich bei BES12 Self-Service anmelden können. Weitere Informationen über die Mitteilung finden Sie unter help.blackberry.com/detectLang/bes12/ im Abschnitt zur Administration. Einrichten von BES12 Self-Service Richten Sie BES12 Self-Service so ein, dass Benutzer sich anmelden und Selbsthilfeaufgaben ausführen können. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Allgemeine Einstellungen > Self-Service. 3. Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist. 4. Wenn Sie möchten, dass Benutzer Aktivierungskennwörter erstellen können, aktivieren Sie Benutzern die Geräteaktivierung in der Selbstbedienungskonsole gestatten, und führen Sie die folgenden Aufgaben aus: 5. a. Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann. b. Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind. c. Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter erforderliche Komplexität aus. Klicken Sie auf Speichern. Wenn Sie fertig sind: Geben Sie die Webadresse für BES12 Self-Service und die Anmeldeinformationen für die Benutzer an. 57 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne 12 BES12 verwendet ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit, um Dienstausfälle für Gerätebenutzer möglichst gering zu halten. Zum Konfigurieren von hoher Verfügbarkeit installieren Sie mehrere Instanzen von BES12 jeweils auf einem separaten Computer. Jede Instanz stellt eine Verbindung zur BES12-Datenbank her und ermöglicht die aktive Verwaltung von Benutzerkonten und -geräten. Die hohe Verfügbarkeit in BES12 beinhaltet die folgenden Funktionen: Funktion Beschreibung BlackBerry 10-Geräte automatisch auf eine fehlerfreie Instanz von BES12 verschieben Wenn BlackBerry 10-Geräte einer BES12-Instanz nicht mithilfe der EnterpriseKonnektivität eine Verbindung zu geschäftlichen Ressourcen herstellen können, werden diese Geräte fehlerfreien Instanzen von BES12 neu zugewiesen. BlackBerry 10-Geräte können die Enterprise-Konnektivität für den Zugriff auf E-Mail- und Kalenderdaten, den geschäftlichen Browser und das Unternehmensnetzwerk verwenden. Die meisten Verwaltungsaufgaben (z. B. das Zuweisen von Profilen) erfordern die Enterprise-Konnektivität für eine erfolgreiche Durchführung. iOS-, Android- und Windows PhoneiOS- und Android-Geräte mit Secure Work Space können die EnterpriseGeräte können eine Verbindung zu einer Konnektivität für die Herstellung einer Verbindung mit einer beliebigen fehlerfreien beliebigen BES12-Instanz herstellen BES12-Instanz für den Zugriff auf E-Mail- und Kalenderdaten, den geschäftlichen Browser und das Unternehmensnetzwerk herstellen. Wenn eine oder mehrere BES12-Instanzen Fehler aufweisen, können iOS- und Android-Geräte (mit oder ohne Secure Work Space) sowie Windows Phone-Geräte eine Verbindung mit einer fehlerfreien Instanz herstellen. Auf diese Weise bleibt der Gerätedienst ohne Unterbrechung. BlackBerry Affinity ManagerAusfallsicherung Der BlackBerry Affinity Manager weist BlackBerry 10-Geräte einer BES12-Instanz zu, überwacht die Enterprise-Konnektivität für die jeweilige Instanz und verschiebt BlackBerry 10-Benutzer, wenn Probleme mit der Enterprise-Konnektivität auftreten. Hierbei ist nur ein BlackBerry Affinity Manager aktiv. Die anderen BlackBerry Affinity Manager-Instanzen sind im Standby. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, erfolgt ein Auswahlprozess, in dem bestimmt wird, welche Instanz aktiv werden soll. Die Instanz, in der der Auswahlprozess am schnellsten abgeschlossen wird, fungiert als aktive BlackBerry Affinity ManagerInstanz. 58 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Funktion Beschreibung Geräte von einer beliebigen BES12Instanz aus verwalten Wenn ein Problem mit der Verwaltungskonsole oder mit BES12 Core bei einer BES12-Instanz auftreten sollte, können Sie jedes Gerät (BlackBerry 10, iOS, Android und Windows Phone) mithilfe der Verwaltungskonsole und BES12 Core einer beliebigen fehlerfreien Instanz weiterhin verwalten. Roundrobin-DNS-Pool für die Verwaltungskonsole Mithilfe von Drittanbietersoftware können Sie einen Roundrobin-DNS-Pool konfigurieren, der eine Verbindung zur Verwaltungskonsole der jeweiligen BES12Instanz herstellt. Wenn ein Problem mit einer Konsole auftritt, sorgt der Pool für eine Verbindung zu einer funktionsfähigen Konsole. Während BES12 eine Wiederherstellungsaktion ausführt, nehmen die betroffenen Benutzer eine kurze Dienstunterbrechung wahr. Die Dauer hängt von mehreren Faktoren ab, z. B. der Anzahl der BlackBerry 10-Geräte und der Anzahl der BES12Instanzen. Wenn BlackBerry 10-Benutzer einer anderen Instanz zugewiesen werden, beträgt die durchschnittliche Ausfallzeit 3 Minuten. Wenn eine BlackBerry Affinity Manager-Ausfallsicherung erfolgt, beträgt die durchschnittliche Ausfallzeit 10 Minuten. Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten Wenn Sie hohe Verfügbarkeit für BES5 vor dem Upgrade von BES5 auf BES12 konfiguriert haben, funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Hochverfügbarkeitskonfiguration bezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind. Weitere Information zur Konfiguration hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten, finden Sie unter docs.blackberry.com/BES5 im Administratorhandbuch für BlackBerry Enterprise Server 5. Architektur: Hohe Verfügbarkeit für BES12 Im folgenden Diagramm wird eine Domäne mit hoher Verfügbarkeit dargestellt, die zwei BES12-Instanzen aufweist. Sie können eine beliebige Anzahl an BES12-Instanzen installieren. In diesem Kapitel wird erklärt, welche Rolle spezielle Komponenten bei der Konfiguration hoher Verfügbarkeit spielen. Weitere Informationen über die BES12-Architektur und -Komponenten finden Sie in der Übersicht unter help.blackberry.com/detectLang/bes12/. 59 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Komponenten Beschreibung BES12-Datenbank Jede BES12-Instanz stellt für den Zugriff auf Benutzer- und Gerätedaten eine Verbindung zur BES12-Datenbank her. Verwaltungskonsole und BES12 Core Sie können eine beliebige Verwaltungskonsole für die Verwaltung von Benutzerkonten und Geräten der Domäne verwenden. Der BES12 Core, der dieser Konsole zugeordnet ist, führt die Verwaltungsaufgaben durch. 60 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Komponenten Beschreibung Sie können einen Round-Robin-DNS-Pool konfigurieren, der die Verbindung zu der jeweiligen Konsole herstellt. Wenn ein Problem mit einer der Konsolen auftreten sollte, stellt der Pool die Verbindung zu einer funktionsfähigen Konsole her. Jede fehlerfreie BES12-Instanz kann die Enterprise-Konnektivität für iOS- und AndroidGeräte mit Secure Work Space verwalten. Jede Instanz verwaltet die EnterpriseKonnektivität für die BlackBerry 10-Geräte, die ihr von BlackBerry Affinity Manager zugewiesen wurden. Jede fehlerfreie Instanz kann Geräteverwaltungsaufgaben für alle Gerätetypen verarbeiten. BlackBerry MDS Connection Service und BlackBerry Dispatcher Diese Komponenten ermöglichen, dass BlackBerry 10-Geräte Verbindungen zu Geschäftsressourcen herstellen und diese nutzen. BlackBerry Affinity Manager Der BlackBerry Affinity Manager ist verantwortlich für: • Zuweisen von BlackBerry 10-Geräten zu BES12-Instanzen • Aufrechterhalten der Verbindung mit der BlackBerry Infrastructure • Konfigurieren und Starten des aktiven BlackBerry Work Connect Notification Service • Überprüfen des Zustands des BlackBerry MDS Connection Service und des BlackBerry Dispatcher in der jeweiligen Instanz zur Überwachung der Enterprise-Konnektivität Nur eine BlackBerry Affinity Manager-Instanz ist aktiv (die anderen sind im Standby). Wenn die aktive Instanz ein Problem mit der Enterprise-Konnektivität feststellt, weist sie BlackBerry 10-Benutzer den funktionsfähigen BES12-Instanzen neu zu. Jeder BlackBerry Affinity Manager, der im Standby ist, überwacht den aktiven BlackBerry Affinity Manager. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, erfolgt eine Ausfallsicherung, und eine der Standby-Instanzen wird aktiv. Lastverteilungsdaten für BlackBerry 10-Geräte Wenn Sie mehrere Instanzen von BES12 in einer Domäne installiert haben, verteilt der aktive BlackBerry Affinity Manager BlackBerry 10-Geräte gleichmäßig auf die fehlerfreien Instanzen. Wenn Sie beispielsweise drei Instanzen von BES12 installieren und die Domäne 3000 BlackBerry 10-Geräte umfasst, weist der aktive BlackBerry Affinity Manager jeder Instanz 1000 Geräte zu. Die Lastverteilung findet nur dann statt, wenn die Domäne mehr als 500 BlackBerry 10-Geräte umfasst. Es ist nicht möglich, BlackBerry 10-Geräte einer speziellen Instanz manuell zuzuweisen. Der BlackBerry Affinity Manager legt fest, welche Instanzen BlackBerry 10-Geräte verwalten. 61 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Jede BES12-Instanz ist mit der gleichen BES12-Datenbank verbunden. Die Komponenten jeder Instanz werden ausgeführt und verwalten aktiv Daten für alle Gerätetypen, außer für BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service. Nur eine Instanz von BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service ist aktiv. Sie können den Status der einzelnen Instanzen in der Verwaltungskonsole anzeigen. Wenn eine Instanz vorübergehend nicht verfügbar ist, werden die Benutzer- und Gerätedaten von den verbleibenden Instanzen verwaltet. Lastverteilung bei Geräteverbindungen von iOSund Android-Geräten mit Secure Work Space Wenn Sie mehrere Instanzen von BES12 installieren, werden die Verbindungen von iOS- und Android-Geräten mit Secure Work Space über die verfügbaren fehlerfreien Instanzen in der Domäne verteilt. Ist mindestens eine Instanz fehlerhaft, werden Geräteverbindungen von BlackBerry Infrastructure an fehlerfreie BES12-Instanzen weitergeleitet. Überprüfung des Zustands von Komponenten durch BES12 Für die folgenden BES12-Komponenten sind Integritätsbewertungen verfügbar, um festzustellen, ob eine Wiederherstellungsaktion erforderlich ist: Komponenten Zustandsüber‐ wachung BlackBerry MDS Aktiver BlackBerry Connection Service Affinity Manager und BlackBerry Dispatcher (aggregierte Integritätsbewertung) Aktiver BlackBerry Affinity Manager Faktoren für die Integritätsbewertung Aktion, wenn der Zustand unter den Schwellenwert fällt • Werden die Komponenten ausgeführt? • Können sie eine Verbindung zum aktiven BlackBerry Affinity Manager herstellen? Der BlackBerry Affinity Manager verschiebt BlackBerry 10-Geräte von einer fehlerhaften BES12Instanz auf fehlerfreie Instanzen. • Können sie eine Verbindung zu den BlackBerry 10-Geräten herstellen? • Können sie eine Verbindung zur Datenbank herstellen? Jede Standby-Instanz • des BlackBerry Affinity Manager Der Status des BlackBerry Affinity Manager (aktiv, standby oder durch Auswahlprozess aktiv werdend) 62 Die Standby-Instanzen leiten die Ausfallsicherung ein, und eine Instanz übernimmt die Aufgabe Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Komponenten Zustandsüberwachung Faktoren für die Integritätsbewertung Aktion, wenn der Zustand unter den Schwellenwert fällt • Kann eine Verbindung zum BlackBerry des aktiven BlackBerry Affinity Manager. Dispatcher hergestellt werden? • Können Aufrufe von BES12 Core und jeder Standby-Instanz von BlackBerry Affinity Manager empfangen werden? • Kann eine Verbindung zum BlackBerry Infrastructure hergestellt werden? • Kann eine Verbindung zu den Konfigurationseinstellungen der Datenbank hergestellt und können diese geladen werden? Installieren einer zusätzlichen BES12-Instanz Zum Installieren zusätzlicher BES12-Instanzen zur Bereitstellung einer Domäne mit hoher Verfügbarkeit befolgen Sie die Anweisungen in der Dokumentation zur Installation unter help.blackberry.com/detectLang/bes12/. Vergewissern Sie sich, dass der Computer die Systemanforderungen für die Installation einer BES12-Instanz erfüllt, und führen Sie die notwendigen Schritte vor und nach der Installation aus. Beachten Sie bei der Installation zusätzlicher BES12-Instanzen Folgendes: • Installieren Sie jede Instanz auf einem separaten Computer. • Wählen Sie in der Setupanwendung im Bildschirm Setuptyp die Option Bestehende Domäne verwenden. • Geben Sie im Bildschirm Datenbankinformationen die Informationen der BES12-Datenbank an, die Sie bei der Installation der ursprünglichen BES12-Instanz erstellt haben. Nachdem Sie die zusätzliche BES12-Instanz installiert und die nach der Installation erforderlichen Schritte ausgeführt haben, ist ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit in der Domäne vorhanden. Geräte- und Benutzerdaten werden mit Lastausgleich über die BES12-Instanzen hinweg verteilt, der aktive BlackBerry Affinity Manager überwacht die EnterpriseKonnektivität der jeweiligen Instanz, und die Standby-Instanzen von BlackBerry Affinity Manager überwachen die aktive Instanz, um festzustellen, ob eine Ausfallsicherung erforderlich ist. 63 Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Konfigurieren von Hoher Verfügbarkeit für die Verwaltungskonsole Um hohe Verfügbarkeit für die BES12-Verwaltungskonsolen zu konfigurieren, können Sie mithilfe des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens einen Round-Robin-Pool festlegen, der die Verbindung zu der jeweiligen Verwaltungskonsole in der Domäne herstellt. Wenn keine Verwaltungskonsole verfügbar ist, stellen der Lastausgleicher oder der DNS-Server eine Verbindung zu einer der verfügbaren Komponenten her. Weitere Informationen über die Einrichtung eines Round-Robin-Pools finden Sie in der Dokumentation des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens. Nach der Konfiguration eines Round-Robin-Pools empfiehlt es sich, die Variablen %AdminPortalURL% und %UserSelfServicePortalURL% in der Verwaltungskonsole (Einstellungen > Allgemeine Einstellungen > Standardvariablen) mit dem Poolnamen zu aktualisieren. Wenn Sie dies tun, können die E-Mail-Nachrichten, die diese Variablen für die Verknüpfung mit der Verwaltungskonsole und dem BES12 Self-Service nutzen, den Round-Robin-Pool verwenden. Wenn Sie die einmalige Anmeldung aktiviert haben, müssen Sie die SPN für das Microsoft Active Directory-Konto mit dem Poolnamen aktualisieren und die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu starten. Eine Instanz der BES12-Verwaltungskonsole im Round-Robin-Pool kann die Verbindung mit der BES12-Domäne verlieren, wenn ihr vom DNS-Server eine andere IP-Adresse zugewiesen wird. Die Verbindung wird getrennt, weil die neue IP-Adresse die Anmeldeinformationen des Benutzers nicht erkennt. In diesem Fall muss der Benutzer sich ab- und wieder anmelden. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 Anzeigen des Status von BES12-Instanzen 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > BES12-Instanzen. Für jede BES12-Instanz in der Domäne können die folgenden Informationen angezeigt werden: 3. • Ob die BES12-Komponente ausgeführt wird oder beendet wurde • Ob BlackBerry Affinity Manager die primäre oder eine Standby-Instanz ist • Ob der primäre BlackBerry Affinity Manager mit der BlackBerry Infrastructure verbunden ist • Ob BES12 Core mit der BlackBerry Infrastructure verbunden ist • Ob die Komponenten mit der BES12-Datenbank verbunden sind Um die Informationen auf der Seite zu aktualisieren, klicken Sie auf 64 . Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne Entfernen einer BES12-Instanz aus der Datenbank Wenn Sie eine BES12-Instanz deinstallieren, müssen Sie die folgenden Schritte ausführen, um die Daten dieser Instanz aus der BES12-Datenbank zu entfernen. Wenn Sie das nicht tun, wird in den BES12-Protokolldateien ein Hinweis angezeigt, dass die entfernte Instanz nicht verfügbar ist. Bevor Sie beginnen: Deinstallieren Sie die BES12-Instanz. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > BES12-Instanzen. 3. Klicken Sie neben der BES12-Instanz, die Sie entfernt haben, auf 4. Klicken Sie auf Löschen. 65 . Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 13 Sie können die Datenbankspiegelung verwenden, um hohe Verfügbarkeit für die BES12-Datenbank zu gewährleisten. Die Datenbankspiegelung ist eine Microsoft SQL Server-Funktion, die Ihnen ermöglicht, den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BES12-Datenbank auftreten. Hinweis: Microsoft plant die Einstellung der Datenbankspiegelung in zukünftigen Versionen von Microsoft SQL Server und empfiehlt stattdessen den Einsatz der AlwaysOn-Funktion für die Konfiguration hoher Verfügbarkeit bei Datenbanken. Für den Einsatz von AlwaysOn sind vor der Installation von BES12 Konfigurationsschritte erforderlich. Weitere Informationen über die Verwendung von AlwaysOn finden Sie in der Dokumentation zur Installation unter help.blackberry.com/detectLang/bes12/. AlwaysOn kann nicht verwendet werden, wenn Sie ein Upgrade von BES5 auf BES12 durchführen (d. h. ein Upgrade der BES5Datenbank auf eine BES12-Datenbank). AlwaysOn wird nicht für Komponenten unterstützt, die BlackBerry OS-Geräte verwalten. Wenn Sie die Datenbankspiegelung konfigurieren, erstellen Sie ein Backup der BES12-Prinzipaldatenbank (Datenbank, die während der Installation erstellt wird), und verwenden Sie die Backup-Dateien zum Erstellen einer Spiegeldatenbank auf einem anderen Computer. Anschließend konfigurieren Sie eine Spiegelungsbeziehung zwischen den beiden Datenbanken, sodass die Spiegeldatenbank die gleichen Aktionen ausführt und die gleichen Daten speichert. Um eine automatische Ausfallsicherung (Failover) zu aktivieren, richten Sie einen Zeugenserver für die Überwachung der Prinzipaldatenbank ein. Wenn die Prinzipaldatenbank nicht mehr reagieren sollte, startet der Zeuge eine automatische Ausfallsicherung über die Spiegeldatenbank. Die BES12-Komponenten stellen eine Verbindung zur Spiegeldatenbank her, und der Gerätedienst kann ohne Unterbrechung weitergeführt werden. Nun findet ein Rollentausch statt: die Spiegeldatenbank wird zur Prinzipaldatenbank, und die ursprüngliche Prinzipaldatenbank wird zur Spiegeldatenbank. Dieser Rollentausch kann während einer Spiegelungssitzung mehrmals stattfinden. 66 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung In diesem Abschnitt wird erläutert, wie Sie eine Spiegeldatenbank erstellen und die BES12-Komponenten für die Unterstützung der Datenbankspiegelung konfigurieren. Sie haben zudem die Möglichkeit, die Datenbankspiegelung für die Komponenten zu konfigurieren, die BlackBerry OS-Geräte verwalten. Weitere Informationen finden Sie unter Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten. Weitere Informationen zur Datenbankspiegelung finden Sie unter technet.microsoft.com/sqlserver im Artikel zur Datenbankspiegelung für SQL Server 2008 R2 oder Datenbankspiegelung für SQL Server 2012. Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten Die BES12-Komponenten, die Geräte mit BlackBerry 10, iOS, Android und Windows Phone verwalten, verwenden die gleiche Datenbank wie Komponenten, die BlackBerry OS-Geräte verwalten. Die Komponenten für die Verwaltung von BlackBerry OSGeräten nutzen eine unterschiedliche Methode, um die Verbindung zur Spiegeldatenbank herzustellen. Wenn Sie die Datenbankspiegelung für die Komponenten konfigurieren möchten, die BlackBerry OS-Geräte verwalten, können Sie nach Beendigung dieses Abschnitts zusätzliche Schritte ausführen. Weitere Informationen finden Sie unter docs.blackberry.com/BES5 im Administratorhandbuch für BlackBerry Enterprise Server 5 im Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“. In diesem Kapitel finden Sie Anweisungen, wie Sie die Komponenten für die Verwaltung von BlackBerry OS-Geräten mit der Spiegeldatenbank verbinden. Hinweis: Das Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“ beinhaltet Referenzen auf Microsoft SQL Server 2005. Microsoft SQL Server wird in dieser Version nicht mehr unterstützt. Wenn Sie die Datenbankspiegelung für BES5 vor dem Upgrade von BES5 auf BES12 konfiguriert haben, funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Konfiguration bezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind. Schritte zum Konfigurieren der Datenbank‐ spiegelung Führen Sie die folgenden Aktionen aus, um die Datenbankspiegelung zu konfigurieren: Schritt Aktion Vergewissern Sie sich, dass die BES12-Domäne die Systemanforderungen und -voraussetzungen erfüllt. 67 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Schritt Aktion Erstellen Sie eine Spiegeldatenbank, starten Sie eine Spiegelungssitzung, und richten Sie einen Zeugenserver ein. Konfigurieren Sie die jeweilige BES12-Instanz, die eine Verbindung zur Spiegeldatenbank herstellt. Systemanforderungen: Datenbankspiegelung Objekt Anforderungen Microsoft SQL Server BES12 unterstützt die Datenbankspiegelung mit: • Microsoft SQL Server 2008 R2 • Microsoft SQL Server 2012 SQL Server Native Client Der SQL Server 2012 Native Client muss auf jedem Computer verfügbar sein, der eine BES12Instanz hostet. Die Setupanwendung von BES12 installiert den SQL Server 2012 Native Client. Versionsgleichheit Der Microsoft SQL Server, der die Spiegeldatenbank hostet, muss die gleiche Version und Edition aufweisen, wie der Microsoft SQL Server, der die Prinzipaldatenbank hostet. Einheitliches Rechenzentrum Die Prinzipal- und die Spiegeldatenbank müssen sich im gleichen Rechenzentrum befinden. Speicherort der Datenbank Erstellen Sie die Spiegeldatenbank auf einem anderen Computer als die Prinzipaldatenbank. Betriebsmodus Konfigurieren Sie die Datenbankspiegelung im Modus für hohe Sicherheit mit automatischer Ausfallsicherung. Zeuge Ein Zeugenserver ist für die automatische Ausfallsicherung erforderlich. Der Zeugenserver muss ein anderer Server als der Prinzipalserver oder der Spiegelserver sein. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder Datenbank-Spiegelungszeuge – SQL Server 2012. 68 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Voraussetzungen: Konfigurieren der Datenbankspiegelung • Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass der Zugriff von Remote-Computern zulässig ist. • Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass sie die gleichen Berechtigungen aufweisen. • Richten Sie einen Zeugenserver ein, der für die Überwachung des Prinzipalservers verwendet wird. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder DatenbankSpiegelungszeuge – SQL Server 2012. • Konfigurieren Sie den Microsoft SQL Server-Agent so, dass ein Domänenbenutzerkonto mit den gleichen lokalen Administratorrechten wie für das Windows-Konto verwendet wird, das die BES12-Dienste ausführt. • Vergewissern Sie sich, dass das Domänenbenutzerkonto Berechtigungen für den Prinzipal- und den Spiegelserver aufweist. • Vergewissern Sie sich, dass der DNS-Server ausgeführt wird. • Deaktivieren Sie auf jedem Computer, der eine BES12-Datenbankinstanz hostet, im SQL Server 2012 Native Client die Option „Named Pipes“. Wenn Sie die Option „Named Pipes“ nicht deaktivieren möchten, lesen Sie Artikel KB34373 unter www.blackberry.com/go/kbhelp. • Informationen zu zusätzlichen Voraussetzungen, die die Microsoft SQL Server-Version Ihres Unternehmens erfüllen muss, finden Sie unter technet.microsoft.com/sqlserver im Artikel Datenbankspiegelung - SQL Server 2008 R2 oder Datenbankspiegelung - SQL Server 2012. • Wenn die Spiegeldatenbank die standardmäßige Instanz verwendet, können die BES12-Komponenten eine Verbindung mit dieser nur über den standardmäßigen Port 1433, nicht aber über einen benutzerdefinierten statischen Port herstellen. Dies wird bedingt durch eine Einschränkung von Microsoft SQL Server 2005 und höher. Weitere Informationen hierzu finden Sie unter SQL 2005 JDBC Driver and Database Mirroring. Erstellen und Konfigurieren einer Spiegeldatenbank Bevor Sie beginnen: Zur Pflege der Datenbankintegrität während der Erstellung und Konfiguration der Spiegeldatenbank sollten die BES12-Dienste auf allen Computern, die eine BES12-Instanz hosten, heruntergefahren werden. 1. Navigieren Sie in Microsoft SQL Server Management Studio zur Prinzipaldatenbank. 2. Ändern Sie die Eigenschaft Wiederherstellungsmodell in VOLLSTÄNDIG. 3. Führen Sie im Abfrageeditor die Abfrage -- ALTER DATABASE <BES_db> SET TRUSTWORTHY ON aus, wobei <BES_db> der Name der Prinzipaldatenbank ist. 69 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 4. Erstellen Sie eine Sicherungskopie der Prinzipaldatenbank. Ändern Sie die Option Art der Sicherungskopie in Vollständig. 5. Kopieren Sie die Sicherungsdateien auf den Spiegelserver. 6. Stellen Sie die Datenbank auf dem Spiegelserver wieder her, um die Spiegeldatenbank zu erstellen. Wählen Sie beim Wiederherstellen der Datenbank die Option KEINE NOTFALLWIEDERHERSTELLUNG. 7. Vergewissern Sie sich, dass der Name der Spiegeldatenbank mit dem Namen der Prinzipaldatenbank übereinstimmt. 8. Klicken Sie auf dem Prinzipalserver in Microsoft SQL Server Management Studio mit der rechten Maustaste auf die Prinzipaldatenbank, und wählen Sie den Task Spiegeln aus. Klicken Sie auf der Seite Spiegelung auf Sicherheit konfigurieren, um den Assistenten zum Konfigurieren der Sicherheit für die Datenbankspiegelung zu starten. 9. Starten Sie die Spiegelung. Weitere Informationen finden Sie unter Einrichten der Datenbankspiegelung – SQL Server 2008 R2 oder Einrichten der Datenbankspiegelung – SQL Server 2012. 10. Fügen Sie der Spiegelungssitzung einen Zeugen hinzu, um die automatische Ausfallsicherung zu aktivieren. Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder Datenbank-Spiegelungszeuge – SQL Server 2012. Wenn Sie fertig sind: • Um sich zu vergewissern, dass die Ausfallsicherung richtig funktioniert, führen Sie manuell eine Ausfallsicherung zur Spiegeldatenbank und zurück zur Prinzipaldatenbank durch. • Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu. Beenden Sie BES12 BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BES12 - BlackBerry Affinity Manager-Diensts automatisch neu gestartet. Herstellen der Verbindung von BES12 zur Spiegeldatenbank Sie müssen diesen Schritt auf jedem Computer wiederholen, auf dem eine BES12-Instanz gehostet wird. Wenn die einzige BES12-Komponente auf einem Computer der BlackBerry Router ist, müssen Sie diesen Schritt auf diesem Computer nicht ausführen. Bevor Sie beginnen: • Erstellen und Konfigurieren einer Spiegeldatenbankpro zugewiesener Aktivierungs-ID freigegeben haben. • Vergewissern Sie sich, dass der Spiegelserver ausgeführt wird. 1. Navigieren Sie auf dem Computer, auf dem die BES12-Instanz gehostet wird, zu <drive>:\Program Files\BlackBerry\BES \common-settings. 2. Öffnen Sie DB.properties in einem Texteditor. 70 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 3. Geben Sie im Abschnitt Optionale Einstellungen für die Verwendung der Ausfallsicherung nach configuration.database.ng.failover.server= den FQDN des Spiegelservers ein (z. B. configuration.database.ng.failover.server=mirror_server.domain.net). 4. Falls erforderlich, führen Sie eine der folgenden Aktionen aus: 5. • Wenn Sie während der Installation eine benannte Instanz für die Prinzipaldatenbank festgelegt haben, die Spiegeldatenbank jedoch die Standardinstanz verwendet, löschen Sie den Wert nach configuration.database.ng.failover.instance=. • Wenn die Prinzipaldatenbank eine Standardinstanz und die Datenbank eine benannte Instanz verwendet, geben Sie nach configuration.database.ng.failover.instance= die benannte Instanz ein. Speichern und schließen Sie DB.properties. Wenn Sie fertig sind: • Starten Sie die BES12-Dienste neu. Beenden Sie BES12 - BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BES12 - BlackBerry Affinity Manager-Diensts automatisch neu gestartet. • Wiederholen Sie diesen Schritt auf jedem Computer, der eine BES12-Instanz hostet. • Überprüfen Sie, ob jeder Computer, auf dem eine Instanz von BES12 gehostet wird, mithilfe des Serverkurznamens eine Verbindung zum Spiegelserver herstellen kann. Konfigurieren einer neuen Spiegeldatenbank Wenn Sie eine neue Spiegeldatenbank erstellen und konfigurieren nachdem ein Rollentausch stattgefunden hat (d. h. die BES12-Komponenten wurden im Zuge der Ausfallsicherung von der vorhandenen Spiegeldatenbank übernommen und die vorhandene Spiegeldatenbank wurde zur Prinzipaldatenbank), wiederholen Sie den Schritt Herstellen der Verbindung von BES12 zur Spiegeldatenbank auf jedem Computer, auf dem eine BES12-Instanz gehostet wird. Konfigurieren Sie bei Bedarf die Komponenten, die BlackBerry OS-Geräte verwalten, sodass diese eine Verbindung zu dem neuen Spiegelserver herstellen können (siehe Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten). 71 Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOSGeräte mit Secure Work Space 14 Der BlackBerry Work Connect Notification Service stellt E-Mail- und Terminplanerbenachrichtigungen für die Work ConnectApp auf iOS-Geräten mit Secure Work Space bereit. Zum Aktivieren der Benachrichtigungen müssen Sie die folgenden Schritte ausführen: • Konfigurieren von BlackBerry Work Connect Notification Service • Aktivieren einer SSL-Verbindung zwischen BES12 und dem Microsoft Exchange Server Ihres Unternehmens Konfigurieren von BlackBerry Work Connect Notification Service iOS-Geräte verhindern, dass Apps im Hintergrund ausgeführt werden (es gibt jedoch bestimmte Ausnahmen, wie die StandardMessaging-App). Apps des geschäftlichen Bereichs empfangen daher nur neue Daten, wenn die App geöffnet ist oder die Benachrichtigung vom APNs (Apple Push Notification service) stammt. Der BlackBerry Work Connect Notification Service nutzt Microsoft Exchange Web Services zum Empfangen von Benachrichtigungen vom Microsoft Exchange Server und sendet Benachrichtigungen über die BlackBerry Infrastructure an den APNs. Der APNs benachrichtigt die Work Connect-App auf dem Gerät. Bevor Sie beginnen: Konfigurieren Sie ein Microsoft Exchange-Konto mit Berechtigungen für die Identitätswechsel-Funktion aller Benutzer. BES12 kann dieses Konto verwenden, um Benachrichtigungen von Microsoft Exchange Server anzufordern und zu empfangen, wenn neue oder aktualisierte Elemente in der Mailbox des Benutzers verfügbar sind. Weitere Informationen über die Konfiguration eines Identitätswechselkontos unter Microsoft Exchange 2007, Microsoft Exchange 2010 oder Microsoft Exchange 2013 (CU2 oder höher) finden Sie unter www.blackberry.com/go/kbhelp im Artikel KB36432. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Work Connect Notification. 3. Führen Sie für jeden Microsoft Exchange Server, der überwacht werden soll, die folgenden Aktionen aus: a. Klicken Sie im Abschnitt Hinzufügen von Exchange Web Services und Import von Microsoft Exchange ServerZertifikaten auf . b. Geben Sie in das Feld Exchange Web Services-URL die Microsoft Exchange Web Services-URL ein. c. Wählen Sie in der Dropdown-Liste Microsoft Exchange Version die Version des Microsoft Exchange Server aus. 72 Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space d. Geben Sie in das Feld Benutzername den Domänennamen und den Benutzernamen für das Microsoft ExchangeKonto ein, das die Berechtigungen zum Identitätswechsel umfasst. Verwenden Sie folgendes Format: domain_name \username. e. Geben Sie in das Feld Kennwort das Kennwort für das Microsoft Exchange-Konto mit den Berechtigungen für den Identitätswechsel ein. f. Klicken Sie auf Speichern. Aktivieren einer SSL-Verbindung mit Microsoft Exchange Server BES12 registriert sich am Microsoft Exchange Server Ihres Unternehmens im Namen der Benutzer, um Benachrichtigungen über neue E-Mails zu erhalten. Um eine SSL-Verbindung zwischen BES12 und einem Microsoft Exchange Server zu aktivieren, müssen Sie die Stamm- und Zwischenzertifikate des BlackBerry Work Connect Notification Service (beide sind in einer .p7bDatei enthalten) exportieren und diese dann in die Zertifikatspeicher des Microsoft Exchange Server importieren. Wenn der Microsoft Exchange Server ein selbst signiertes oder ein von der Zertifizierungsstelle signiertes Zertifikat verwendet, müssen Sie das Zertifikat in den Zertifikatspeicher von BlackBerry Work Connect Notification Service importieren. 1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Work Connect Notification. 3. Klicken Sie unter Exportieren des Stammzertifikats des BlackBerry Work Connect Notification Service auf Exportieren. Speichern Sie die .p7b-Datei, die das Stammzertifikat und das Zwischenzertifikat enthält. 4. Übertragen Sie die .p7b-Datei auf den Computer, der Microsoft Exchange Server hostet. 5. Importieren Sie die .p7b -Datei mithilfe der Microsoft-Verwaltungskonsole in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen. Exportieren Sie dann das Zwischenzertifikat (.cer) aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen, und importieren Sie es in den Zertifikatspeicher für Zwischenzertifizierungsstellen (Ordner „Zertifikate“). Löschen Sie anschließend das Zwischenzertifikat aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen. Die entsprechenden Anweisungen finden Sie im Microsoft Developer Network in der Dokumentation zur Microsoft Management Console (MMC). Wenn Ihr Unternehmen Microsoft Exchange Server 2007 oder 2010 mit einem CAS-Array nutzt, wiederholen Sie diesen Schritt auf jedem Server im Array. Wenn Ihr Unternehmen Microsoft Exchange Server 2013 nutzt, wiederholen Sie diesen Schritt auf jedem Mailbox-Server. 6. Führen Sie für jeden Microsoft Exchange Server, der ein selbst signiertes Zertifikat oder ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet, die folgenden Aktionen aus: a. Exportieren Sie das Microsoft Exchange Server-Zertifikat in einem X.509-Format (*.cer, *.der). Die entsprechenden Anweisungen finden Sie im Microsoft Developer Network in der Dokumentation zur Microsoft Management Console 73 Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space (MMC). Speichern Sie das Zertifikat unter einem Pfad, auf den Sie von der BES12-Verwaltungskonsole aus zugreifen können. b. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen. c. Klicken Sie im linken Fensterbereich auf Externe Integration > Work Connect Notification. d. Klicken Sie unter Hinzufügen von Exchange Web Services und Import von Microsoft Exchange Server-Zertifikaten auf die entsprechende Exchange Web Services-URL. e. Klicken Sie auf f. Aktivieren Sie das Kontrollkästchen Importieren eines Microsoft Exchange Server-Zertifikats. g. Klicken Sie auf Durchsuchen. h. Wählen Sie das Microsoft Exchange Server-Zertifikat aus, das Sie im X.509-Format (*.cer, *.der) exportiert haben. i. Klicken Sie auf Speichern. . 74 Konfigurieren von BES12 zur Unterstützung von Android for Work Konfigurieren von BES12 zur Unterstützung von Android for Work 15 BES12 unterstützt Android for Work in Android 5.1 (Lollipop) und höher. Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, die Android-Geräte verwalten und die Verwendung ihrer Daten und Apps auf Android-Geräten zulassen möchten. Mit Android for Work können Sie geschäftliche und private Anforderungen auf Android-Geräten, die sich evtl. nicht im Besitz Ihrer Organisation befinden, vereinheitlichen. Sie können mit Android for Work beispielsweise geschäftliche E-Mail auf privaten Geräten so einrichten, dass Ihre Daten dennoch sicher sind. Zum Unterstützen von Android for Work in Ihrem Unternehmen müssen Sie über eine Google for Work- oder Google Apps for Work-Domäne verfügen, die die Verwaltung mobiler Geräte von Drittanbietern unterstützt, und BES12 so konfigurieren, dass die Kommunikation mit der Google for Work- bzw. Google Apps for Work-Domäne möglich ist. Hinweis: Sie können nur eine BES12-Instanz mit der Google for Work- bzw. Google Apps for Work-Domäne verbinden. Bevor Sie eine Verbindung mit einer anderen BES12-Instanz herstellen, müssen Sie die Verbindung mit der bestehenden BES12-Instanz trennen. Schritte zur Konfiguration von BES12 zur Unterstützung von Android for Work Führen Sie die folgenden Aktionen aus, um BES12 zur Unterstützung von Android for Work zu konfigurieren: Schritt Aktion Erstellen eines Google-Dienstkontos Generieren eines Enterprise-Tokens und zulassen, dass das Google-Dienstkonto auf das GoogleBenutzerverzeichnis zugreift Konfigurieren von BES12 zur Unterstützung von Android for Work Erstellen eines Google-Dienstkontos Bevor Sie beginnen: Überprüfen Sie, ob Sie über eine Google for Work- bzw. Google Apps for Work-Domäne verfügen. 75 Konfigurieren von BES12 zur Unterstützung von Android for Work Um BES12 zur Unterstützung von Android for Work zu konfigurieren, müssen Sie ein Google-Dienstkonto erstellen, mit dessen Hilfe BES12 die Verbindung mit der Google for Work- bzw. Google Apps for Work-Domäne herstellt. Zum Erstellen eines GoogleDienstkontos erstellen Sie ein Projekt in der Google Developers-Konsole und in diesem Projekt das Dienstkonto. Das GoogleDienstkonto ist einem Zertifikat zugewiesen, das von BES12 zur Authentifizierung bei der Google for Work- bzw. Google Apps for Work-Domäne verwendet wird. Gehen Sie zum Erstellen des Projekts, Google-Dienstkontos und Zertifikats folgendermaßen vor: 1. Melden Sie sich mit dem Google-Konto, das Sie für die Verwaltung Ihres Projekts verwenden möchten, unter https:// console.developers.google.com bei der Google Developers-Konsole an. Sie können beispielsweise das Google-Konto verwenden, mit dem Sie Ihre Google for Work- bzw. Google Apps for Work-Domäne verwalten. 2. Klicken Sie auf Projekt erstellen. 3. Geben Sie im Feld Projektname einen Namen für das Projekt ein. Beispiel:„BES12-Projekt“. 4. Klicken Sie auf Erstellen. 5. Nachdem das Projekt erstellt wurde, erweitern Sie im linken Fensterbereich den Bereich APIs und Authentifizierung. Klicken Sie auf Anmeldeinformationen. 6. Klicken Sie auf Neue Client-ID erstellen. 7. Wählen Sie Dienstkonto aus. Klicken Sie auf Client-ID erstellen. Von der Google Developers-Konsole wird ein öffentlich/privates JSON-Schlüsselpaar erstellt, und Sie werden aufgefordert, eine Datei herunterzuladen. Es ist nicht erforderlich, die Datei herunterzuladen. 8. Klicken Sie auf OK, erhalten. 9. Klicken Sie auf Neuen P12-Schlüssel generieren. 10. Kopieren Sie das Kennwort für den privaten Schlüssel. Öffnen Sie eine Textdatei, und fügen Sie das Kennwort für den privaten Schlüssel ein, damit Sie es später wieder aufrufen können. Von der Google Developers-Konsole wird ein öffentlich/privates P12-Schlüsselpaar erstellt, und Sie werden aufgefordert, eine Zertifikatsdatei herunterzuladen. Speichern Sie die Zertifikatsdatei auf Ihrem Computer. 11. Klicken Sie auf OK, erhalten. 12. Kopieren Sie die Client-ID und E-Mail-Adresse für das Dienstkonto. Fügen Sie diese Informationen zur späteren Verwendung in dieselbe Textdatei ein, in der Sie das Kennwort für den privaten Schlüssel gespeichert haben. 13. Sie müssen zwei APIs für das Dienstkonto aktivieren, um sicherzustellen, dass BES12 über die erforderlichen Berechtigungen verfügt. Klicken Sie im linken Fensterbereich auf APIs. 14. Klicken Sie unter Google Apps APIs auf Admin SDK. 15. Klicken Sie auf API aktivieren. 16. Klicken Sie auf die Schaltfläche Zurück neben API deaktivieren, um zur API-Bibliothek zurückzukehren. 17. Geben Sie im Suchfeld den Wert Google Play EMM API ein. Drücken Sie die Eingabetaste. 18. Klicken Sie auf Google Play EMM API. 19. Klicken Sie auf API aktivieren. 76 Konfigurieren von BES12 zur Unterstützung von Android for Work Sie haben damit das Google-Dienstkonto erstellt, das von BES12 zum Herstellen einer Verbindung mit Ihrer Google for Workbzw. Google Apps for Work-Domäne verwendet wird. Sie haben später benötigte Informationen erfasst und das P12-Zertifikat auf Ihrem Computer gespeichert. Wenn Sie fertig sind: • Generieren eines Enterprise-Tokens und zulassen, dass das Google-Dienstkonto auf das Google-Benutzerverzeichnis zugreift • Konfigurieren von BES12 zur Unterstützung von Android for Work Generieren eines Enterprise-Tokens und zulassen, dass das Google-Dienstkonto das Google-Benutzerverzeichnis aktualisiert Bevor Sie beginnen: • Überprüfen der Verfügbarkeit einer Google for Work- bzw. Google Apps for Work-Domäne • Erstellen eines Google-Dienstkontos Damit BES12 Android for Work unterstützt, müssen Sie Ihre Google for Work- bzw. Google Apps for Work-Domäne zur Unterstützung der Verwaltung mobiler Geräte konfigurieren. Sie müssen zudem ein Token erstellen, das von BES12 bei der Herstellung einer Verbindung mit der Google for Work- bzw. Google Apps for Work-Domäne verwendet wird. Soll BES12 außerdem Benutzerkonten in Ihrer Google for Work-Domäne erstellen können, müssen Sie dem Google-Dienstkonto Berechtigungen zur Aktualisierung des Benutzerverzeichnisses in der Google for Work-Domäne erteilen. 1. Melden Sie sich unter https://admin.google.com bei Ihrer Google for Work- bzw. Google Apps for Work-Domäne mit einem Administratorkonto für die Domäne an. 2. Klicken Sie auf Sicherheit. 3. Klicken Sie auf Mehr anzeigen. 4. Klicken Sie auf Einstellungen für Android for Work. 5. Klicken Sie auf Token erzeugen. 6. Kopieren Sie das Token. Fügen Sie das Token zur späteren Verwendung in dieselbe Textdatei ein, in der Sie das Kennwort für den privaten Schlüssel gespeichert haben. 7. Führen Sie folgende Schritte aus, wenn Sie zulassen möchten, dass BES12 Benutzerkonten in Ihrer Google for WorkDomäne erstellt. Wenn Sie eine Google Apps for Work-Domäne verwenden, müssen Sie diese Schritte nicht ausführen. 8. Klicken Sie auf Sicherheit. 9. Klicken Sie auf Mehr anzeigen. 10. Klicken Sie auf Erweiterte Einstellungen. 77 Konfigurieren von BES12 zur Unterstützung von Android for Work 11. Klicken Sie auf Client-Zugriff auf API verwalten. 12. Fügen Sie im Feld Client-Name die Client-ID des Google-Dienstkontos ein, die Sie zuvor erfasst haben. 13. Geben Sie im Feld Mindestens ein API-Bereich die folgende Adresse ein: https://www.googleapis.com/auth/ admin.directory.user. 14. Klicken Sie auf Autorisieren. Indem Sie diese API für das Dienstkonto autorisieren, kann BES12 auf das Benutzerverzeichnis Ihrer Google for Workbzw. Google Apps for Work-Domäne zugreifen. Sie haben ein Token erstellt, mit dessen Hilfe BES12 eine Verbindung mit Ihrer Google-Domäne herstellt. Optional haben Sie zudem die Google for Work-Domäne so konfiguriert, dass BES12 Ihrem Benutzerverzeichnis Benutzerkonten hinzufügen kann. Wenn Sie fertig sind: Konfigurieren von BES12 zur Unterstützung von Android for Work Konfigurieren von BES12 zur Unterstützung von Android for Work Bevor Sie beginnen: • Überprüfen der Verfügbarkeit einer Google for Work- bzw. Google Apps for Work-Domäne • Erstellen eines Google-Dienstkontos • Generieren eines Enterprise-Tokens und zulassen, dass das Google-Dienstkonto auf das Google-Benutzerverzeichnis zugreift Um BES12 zur Unterstützung von Android for Work zu konfigurieren, verwenden Sie die gesammelten Informationen zum Herstellen einer Verbindung zwischen BES12 und der Google for Work- bzw. Google Apps for Work-Domäne. Sie müssen das zuvor generierte Token, die E- Mail-Adresse sowie das Zertifikat für das Google-Dienstkonto und die E- Mail-Adresse für das Administratorkonto, das Sie zur Verwaltung der Google for Work- bzw. Google Apps for Work- Domäne in BES12 verwenden, eingeben. 1. Klicken Sie in BES12 auf Einstellungen. 2. Erweitern Sie Externe Integration. 3. Klicken Sie auf Android for Work. 4. Fügen Sie im Feld Kennwort des privaten Schlüssels das Kennwort ein, das Sie aus der Google Developer-Konsole kopiert haben. 5. Klicken Sie neben dem Feld P12-Zertifikatsdatei auf Durchsuchen. 6. Navigieren Sie zu der Zertifikatsdatei, die Sie von der Google Developer-Konsole erhalten haben. Klicken Sie auf Öffnen. 7. Fügen Sie im Feld E-Mail-Adresse des Dienstkontos die E-Mail-Adresse des Google-Dienstkontos ein, die Sie aus der Google Developer-Konsole kopiert haben. 78 Konfigurieren von BES12 zur Unterstützung von Android for Work 8. Geben Sie im Feld E-Mail-Adresse für Google-Domänenadministrator die E-Mail-Adresse des Administratorkontos ein, das Sie für die Verwaltung der Google for Work- bzw. Google Apps for Work-Domäne verwenden. 9. Fügen Sie im Feld Token das Token ein, das Sie in Ihrer Google for Work- bzw. Google Apps for Work-Domäne generiert haben. 10. Geben Sie im Abschnitt Wählen Sie den Google-Domänentyp für Ihre Android for Work-Geräte aus an, ob Sie über eine Google for Work- oder eine Google Apps for Work-Domäne verfügen. Wenn Sie eine Google for Work-Domäne angeben, wählen Sie eine der folgenden Optionen aus: • Nicht zulassen, dass BES Benutzer in der Domäne erstellt. Wenn Sie diese Option auswählen, müssen Sie Benutzer in Ihrer Google for Work-Domäne erstellen und in BES12 lokale Benutzer mit den gleichen E-MailAdressen. • Zulassen, dass BES Benutzer in der Domäne erstellt. Wenn Sie diese Option auswählen, können Sie Benutzern des BES12-Verzeichnisses eine Aktivierungsart für Android for Work zuweisen. Wenn ein Benutzer ein Gerät zum ersten Mal aktiviert, sucht BES12 nach einem Konto mit der gleichen E-Mail-Adresse in Ihrer Google for WorkDomäne. Ist kein entsprechendes Konto vorhanden, wird es von BES12 erstellt. 11. Klicken Sie auf Weiter. 12. Wählen Sie die Option Annehmen aus. Klicken Sie auf Weiter. 13. Wählen Sie die Option Annehmen aus. Klicken Sie auf Fertig. Sie können Aktivierungsprofilen Android for Work-Aktivierungsarten hinzufügen. Wenn ein Benutzer ein Gerät mit einer Android for Work-Aktivierungsart aktiviert, erhält das Gerät ein Geschäftsprofil, mit dem geschäftliche Daten von privaten getrennt und verschlüsselt werden. Mit einem Klick auf „Verbindung testen“ können Sie die Verbindung zwischen BES12 und der Google for Work- bzw. Google Apps for Work-Domäne testen. Zum Trennen der Verbindung zwischen BES12 und der Google for Work- bzw. Google Apps for Work-Domäne klicken Sie auf „Android for Work-Verbindung entfernen“. Hinweis: Wenn Sie die Android for Work-Verbindung in BES12 entfernen, deaktivieren Sie gleichzeitig auch alle Geräte, die mit einer Android for Work-Aktivierungsart aktiviert wurden. Wenn Sie fertig sind: Aktualisieren Sie die Liste der verfügbaren Apps, um sicherzustellen, dass Android-Apps funktionieren, wenn Sie sie einer Android for Work-App-Gruppe hinzufügen, auch wenn Sie die Autorisierung einer Android for WorkVerbindung zuvor aufgehoben und dann BES12 erneut zur Unterstützung von Android for Work konfiguriert haben. Informationen zum Aktualisieren der Informationen in der Liste verfügbarer Apps finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/. 79 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service 16 Sie können die unbefugte Nutzung von Exchange ActiveSync durch Geräte unterbinden, die nicht explizit auf einer Positivliste aufgeführt sind. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mail und Terminplanerdaten zugreifen. Mithilfe des BlackBerry Gatekeeping Service wird sichergestellt, dass nur die von BES12 verwalteten Geräte auf geschäftliche E-Mail und andere Geschäftsdaten auf dem Gerät zugreifen können. Für die Verwendung des BlackBerry Gatekeeping Service ist es erforderlich, eine Microsoft Exchange-Konfiguration zu erstellen und Benutzern, für die der automatische Gatekeeping-Server ausgewählt ist, ein E-Mail-Profil zuzuweisen. Wenn ein Gerät die Sicherheitsrichtlinien Ihres Unternehmens nicht erfüllt, wird es der Positivliste nicht hinzugefügt. Wenn ein Gerät nicht mehr richtlinienkonform mit den Sicherheitsrichtlinien Ihres Unternehmens ist, wird es automatisch aus der Positivliste entfernt. Wenn beispielsweise das E-Mail-Profil von einem Gerät entfernt wird, ist das Gerät nicht mehr konform mit dem Profil für die Vorschrifteneinhaltung. Wenn das Gerät deaktiviert werden sollte, wird es aus der Liste der zulässigen Geräte entfernt. Weitere Informationen über das Hinzufügen eines automatischen Gatekeeping-Servers zu einem E-Mail-Profil, das Anzeigen des Verbindungsstatus auf einem Gerät und das Zulassen oder Blockieren von Geräten, die der Positivliste nicht automatisch hinzugefügt werden, finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/. Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service Zum Konfigurieren des BlackBerry Gatekeeping Service führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren von Microsoft Exchange-Berechtigungen für Gatekeeping. Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping 80 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service Schritt Aktion Erstellen einer Microsoft Exchange-Konfiguration Erstellen eines E-Mail-Profils, für das ein automatischer Gatekeeping-Server ausgewählt wurde Zuweisen des E-Mail-Profils zu einem Benutzerkonto, einer Benutzergruppe oder einer Gerätegruppe Optionales Konfigurieren von Microsoft Office 365 für Gatekeeping Weitere Informationen zur Durchführung der Schritte vier und fünf finden Sie in der Dokumentation für Administratoren unter help.blackberry.com/detectLang/bes12/. Konfigurieren von Microsoft ExchangeBerechtigungen für Gatekeeping Für die Verwendung von Exchange ActiveSync-Gatekeeping müssen Verwaltungsrollen in Microsoft Exchange Server 2010 oder höher mit den richtigen Berechtigungen für die Verwaltung von Postfächern und den Client-Zugriff für Exchange ActiveSync konfiguriert werden. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Erstellen und Ändern von Verwaltungsrollen zu sein. Bevor Sie beginnen: Erstellen Sie auf dem Computer, der Microsoft Exchange hostet, ein Konto und ein Postfach für die Verwaltung von Gatekeeping in BES12 (z. B. BES12Admin). Sie müssen die Anmeldeinformationen für dieses Konto festlegen, wenn Sie eine Exchange ActiveSync-Konfiguration erstellen. WinRM muss mit den Standardeinstellungen auf dem Computer konfiguriert werden, der den Microsoft Exchange Server hostet, den Sie für Gatekeeping festlegen. Sie müssen den Befehl Winrm quickconfig von einer Eingabeaufforderung als Administrator ausführen. Wenn das Tool Make these changes [y/n] anzeigt, geben Sie y ein. Nach der erfolgreichen Ausführung des Befehls sehen Sie die folgende Meldung. WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on HTTP://* to accept WS-Man requests to any IP on this machine. 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange Management Shell. 81 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service 2. Geben Sie New-ManagementRole -Name "<new_role_mail>" -Parent "Mail Recipients" ein. Drücken Sie die Eingabetaste. 3. Geben Sie New-ManagementRole -Name "<new_role_ca>" -Parent "Organization Client Access" ein. Drücken Sie die Eingabetaste. 4. Geben Sie New-ManagementRole -Name "<new_role_exchange>" -Parent "Exchange Servers" ein. Drücken Sie die Eingabetaste. 5. Geben Sie Get-ManagementRoleEntry "<new_role_mail>\*" | Where {$_.Name -ne "Get-ADServerSettings"} | RemoveManagementRoleEntry ein. Drücken Sie die Eingabetaste. 6. Geben Sie Get-ManagementRoleEntry "<new_role_ca>\*" | Where {$_.Name -ne "Get-CasMailbox"} | RemoveManagementRoleEntry ein. Drücken Sie die Eingabetaste. 7. Geben Sie Get-ManagementRoleEntry "<new_role_exchange>\*" | Where {$_.Name -ne "Get-ExchangeServer"} | Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 8. Geben Sie Add-ManagementRoleEntry "<new_role_mail>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox ein. Drücken Sie die Eingabetaste. 9. Geben Sie Add-ManagementRoleEntry "<new_role_mail>\Get-ActiveSyncDevice" -Parameters Identity ein. Drücken Sie die Eingabetaste. 10. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie Type AddManagementRoleEntry “<new_role_mail>\Get-MobileDeviceStatistics” –Parameters Mailbox ein. Drücken Sie die Eingabetaste. 11. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie Type AddManagementRoleEntry “<new_role_mail>\Get-MobileDevice” –Parameters Mailbox ein. Drücken Sie die Eingabetaste. 12. Geben Sie Add-ManagementRoleEntry "<new_role_ca>\Set-CasMailbox" -Parameters Identity, ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs ein. Drücken Sie die Eingabetaste. 13. Geben Sie New-RoleGroup "<new_group>" -Roles "<new_role_mail>", "<new_role_ca>", "<new_role_exchange>" ein. Drücken Sie die Eingabetaste. 14. Geben Sie Add-RoleGroupMember -Identity "<new_group>" -Member "BES12Admin" ein. Drücken Sie die Eingabetaste. 82 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync Sie müssen Microsoft Exchange Server 2010 oder höher so konfigurieren, dass nur autorisierte Geräte Zugriff auf Exchange ActiveSync erhalten. Geräte bestehender Benutzer, die nicht explizit der Liste zulässiger Geräte in Microsoft Exchange hinzugefügt wurden, müssen unter Quarantäne gestellt werden, bis BES12 sie zulässt. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Konfigurieren des Parameters „Set-ActiveSyncOrganizationSettings“ zu sein. Informationen über die ausschließliche Zulassung autorisierter Geräte für den Zugriff auf Exchange ActiveSync finden Sie auf https:// technet.microsoft.com in dem Artikel Aktivieren eines Geräts für Exchange ActiveSync . Bevor Sie beginnen: • Überprüfen Sie zusammen mit dem Microsoft Exchange-Administrator, ob es Benutzer gibt, die Exchange ActiveSync verwenden. Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt ist und Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie von BES12 zugelassen werden. Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter http://www.blackberry.com/go/kbhelp im Artikel KB36800. 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange Management Shell. 2. Geben Sie Set-ActiveSyncOrganizationSettings –DefaultAccessLevel Quarantine ein. Drücken Sie die Eingabetaste. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping Unter BES12 werden Windows PowerShell-Befehle für die Verwaltung der Liste zulässiger Geräte in Microsoft Exchange verwendet. Um den BlackBerry Gatekeeping Service zu nutzen, müssen Sie Microsoft IIS-Berechtigungen konfigurieren. Führen Sie die folgenden Aktionen auf dem Computer aus, der die Microsoft-Client-Zugriffs-Serverrolle hostet. 1. Öffnen Sie den Microsoft Internet Information Services (IIS) Manager. 83 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service 2. Erweitern Sie im linken Fensterbereich den Server. 3. Erweitern Sie Websites > Standard-Website. 4. Klicken Sie mit der rechten Maustaste auf den PowerShell-Ordner. Wählen Sie Berechtigungen bearbeiten. 5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Hinzufügen, und geben Sie die <neue_Gruppe> ein, die bei der Konfiguration der Microsoft ExchangeBerechtigungen für Gatekeeping erstellt wurde. 7. Klicken Sie auf OK. 8. Vergewissern Sie sich, dass Lesen & Ausführen, Auflisten von Verzeichnisinhalten und Lesen ausgewählt sind. Klicken Sie auf OK. 9. Wählen Sie den PowerShell-Ordner aus. Doppelklicken Sie auf das Symbol Authentifizierung. 10. Wählen Sie Windows-Authentifizierung. Klicken Sie auf Aktivieren. 11. Schließen Sie den Microsoft Internet Information Services (IIS) Manager. Erstellen einer Microsoft Exchange-GatekeepingKonfiguration Sie können eine Microsoft Exchange-Konfiguration so erstellen, dass die den Sicherheitsrichtlinien Ihres Unternehmens entsprechenden Geräte eine Verbindung zum Microsoft Exchange Server herstellen können. Bevor Sie beginnen: • Konfigurieren von Microsoft Exchange-Berechtigungen für Gatekeeping • Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync • Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Microsoft Exchange Gatekeeping. 3. Klicken Sie auf 4. Geben Sie im Feld Servername den Namen des Microsoft Exchange Server ein, für den der Zugriff verwaltet werden soll. 5. Geben Sie den Benutzernamen und das Kennwort für das Microsoft Exchange-Konto ein, das Sie für die Verwaltung von Exchange ActiveSync-Gatekeeping erstellt haben. 6. Wählen Sie in der Dropdown-Liste Authentifizierungstyp die unter Microsoft Exchange Server verwendete Authentifizierung aus. 7. Wählen Sie SSL verwenden, um die SSL-Authentifizierung zwischen BES12 und dem Microsoft Exchange Server zu aktivieren. Optional können weitere Zertifikatprüfungen ausgewählt werden. . 84 Steuern des Gerätezugriffs auf Exchange ActiveSync mit dem BlackBerry Gatekeeping Service 8. Wählen Sie in der Dropdown-Liste Proxy-Typ ggf. die Art der Proxy-Konfiguration aus, die zwischen BES12 und dem Microsoft Exchange Server verwendet wird. 9. Wenn Sie im vorhergehenden Schritt eine Proxy-Konfiguration ausgewählt haben, wählen Sie den Authentifizierungstyp für den Proxy-Server aus. 10. Wählen Sie bei Bedarf Authentifizierung erforderlich, und geben Sie den Benutzernamen und das Kennwort ein. 11. Klicken Sie auf Verbindung testen, um zu prüfen, ob die Verbindung erfolgreich ist. 12. Klicken Sie auf Speichern. Testen einer Microsoft Exchange-Gatekeeping-Konfiguration Testen Sie eine Gatekeeping-Konfiguration für Microsoft Exchange, um zu prüfen, ob diese Konfiguration von BES12 zum Herstellen einer Verbindung mit Microsoft Exchange Server verwendet werden kann. Bevor Sie beginnen: Erstellen oder bearbeiten Sie eine Gatekeeping-Konfiguration für Microsoft Exchange. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Externe Integration > Microsoft Exchange Gatekeeping-Konfiguration. 3. Klicken Sie auf den Servernamen der zu testenden Microsoft Exchange Server-Konfiguration. 4. Klicken Sie auf Verbindung testen. Die Ergebnisse des Tests werden in der Konsole neben der Schaltfläche „Verbindung testen“ angezeigt. Konfigurieren von Microsoft Office 365 für Gatekeeping Zum Verwenden von BlackBerry Gatekeeping Service mit Microsoft Office 365 müssen Sie die Standardzugriffsrichtlinie für mobile Geräte in Microsoft Office 365 auf Quarantäne (Isolieren) festlegen. 1. Melden Sie sich beim Microsoft Office 365-Verwaltungsportal an. 2. Klicken Sie im Seitenmenü auf Admin. 3. Klicken Sie auf Exchange. 4. Klicken Sie auf im Bereich Mobil auf Zugriff auf mobile Geräte. 5. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll. 85 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank 17 Verwenden Sie nach der Installation einer neuen Instanz von BES12 die Verwaltungskonsole zum Migrieren von Benutzern, Geräten, Gruppen und anderer Daten aus einer BES10- bzw. BES12-Quelldatenbank. Schritte beim Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10bzw. BES12-Quelldatenbank Führen Sie zum Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank die folgenden Aktionen aus: Schritt Aktion Herstellen einer Verbindung zu einer Quelldatenbank Optionales Migrieren von IT-Richtlinien, Profilen und Gruppen Migrieren von Benutzern Migrieren von Geräten Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank • Melden Sie sich bei BES12 als Sicherheitsadministrator an. 86 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank • Vergewissern Sie sich, dass die BES12-Instanz, aus der Sie Daten migrieren, in BES12 Version 12.1 oder höher vorliegt und nicht in einer neueren Version als die der BES12-Zielinstanz. • Vergewissern Sie sich, dass die BES12-Zielinstanz in Version 12.1 oder höher vorliegt. • Vergewissern Sie sich, dass die BES10-Instanz, aus der Sie Daten migrieren, in Version 10.2.3 oder höher vorliegt. • Konfigurieren Sie die Verbindung mit dem BES12-Zielunternehmensverzeichnis auf die gleiche Weise wie in der BES10- bzw. BES12-Quelle. Wenn die BES10- bzw. BES12-Quelle beispielsweise für die Active Directory-Integration und die Verbindung mit der Domäne „beispiel.com“ konfiguriert wurde, konfigurieren Sie das BES12-Ziel ebenfalls für die Active Directory-Integration und die Verbindung mit der Domäne „beispiel.com“. • Defragmentieren Sie die Quelldatenbanken und die BES12-Zieldatenbank (sofern vorhanden), bevor Sie die Migration beginnen. Wenn Sie eine große Benutzerzahl migrieren, sollten Sie die BES12-Zieldatenbank nach jeder Migration einer Gruppe defragmentieren. Weitere Informationen zur Defragmentierung einer Microsoft SQL Server 2012Datenbank finden Sie unter www.technet.microsoft.com im Artikel „Neuorganisieren und Neuerstellen von Indizes“. • Wenn Sie Version 10 oder 11 von Internet Explorer für die Migration verwenden, aktivieren Sie auf der Registerkarte „Sicherheit“ der Internetoptionen „Programme und Dateien in einem IFRAME starten“ und „Active Scripting“. Herstellen einer Verbindung zu einer Quelldatenbank Sie müssen eine Verbindung zwischen BES12 und der BES10- bzw. BES12-Datenbank herstellen, von der aus Daten migriert werden. Sie können mehrere Quelldatenbanken hinzufügen, es kann jedoch immer nur eine aktive Quelldatenbank geben. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Migration > Konfiguration. 3. Klicken Sie auf 4. Wählen Sie in der Dropdown-Liste Quelltyp den Typ der Quelldatenbank aus – BES10 oder BES12. 5. Geben Sie im Feld Anzeigename einen beschreibenden Namen für die Quelldatenbank ein. 6. Geben Sie im Feld Datenbankserver den Namen des Computers ein, der die Quelldatenbank hostet. Verwenden Sie dabei für einen dynamischen Port das Format <Host>\<Instanz> und für einen statischen Port das Format <Host>:<Port>. 7. Wählen Sie in der Dropdown-Liste Datenbank-Authentifizierungstyp den Authentifizierungstyp aus, der für die Verbindung mit der Quelldatenbank verwendet werden soll. 8. Führen Sie einen der folgenden Schritte aus: . 87 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank Option Beschreibung BES10-Quelldatenbank 1. Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den Feldern Benutzername und Kennwort Ihre Anmeldeinformationen für die Verbindung mit der Quelldatenbank ein. 2. Geben Sie im Feld BDS-Datenbankname den Namen der Quelldatenbank (z. B. „BDSMgmt“) ein. 1. Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den Feldern SQL-Benutzername und SQL-Kennwort Ihre Anmeldeinformationen für die Verbindung mit der Quelldatenbank ein. 2. Geben Sie im Feld Datenbankname den Namen der Quelldatenbank ein. 3. Wählen Sie in der Dropdown-Liste BES12-Quellauthentifizierungstyp den Authentifizierungstyp zur Verwendung für die Anmeldung bei der BES12Quellverwaltungskonsole aus. 4. Geben Sie in den Feldern Benutzername und Kennwort Ihre Anmeldeinformationen für die Anmeldung bei der Quell-BES12Verwaltungskonsole ein. 5. Wenn Sie die Microsoft Active Directory-Authentifizierung ausgewählt haben, geben Sie im Feld Domäne den Namen der Domäne ein, in der sich die BES12-Quellverwaltungskonsole befindet. BES12-Quelldatenbank 9. Klicken Sie auf Speichern. 10. Auf Wunsch können Sie die Verbindung zwischen der Quelldatenbank und der Zieldatenbank testen, indem Sie auf Verbindung testen klicken. 11. Klicken Sie auf Speichern. Bewährte Verfahren: Migrieren von ITRichtlinien, Profilen und Gruppen aus einer Quelldatenbank Wenn Sie BES10-IT-Richtlinien, -Profile und -Gruppen zu BES12 migrieren, beachten Sie folgende Richtlinien: • Migrierte Gruppen behalten die ihnen zugewiesenen IT-Richtlinien und Profile. • Migrierte Benutzer behalten die ihnen zugewiesenen IT-Richtlinien, Profile und Gruppen nicht. 88 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank • Wenn eine IT-Quellrichtlinie für iOS- oder Android-Geräte eine Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt, können keine BES10-IT-Richtlinien oder -Profile migriert werden. Aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu. • Während der Migration ordnet BES12 die benutzerdefinierten Variablen von BES10 %custom1% bis %custom5% den benutzerdefinierten Variablen für Kennwörter %custom_pswd1% bis %custom_pswd5% unter BES12 zu. Um Fehler mit Kennwörtern bei Verwendung dieser Variablen in BES10 zu vermeiden, verwenden Sie diese auf die gleiche Weise wie in BES12. Wenn %custom1% beispielsweise als Kennwort für ein ActiveSync-E-Mail-Profil in BES10 verwendet wurde, muss %custom_pwd1% in BES12 für den gleichen Zweck verwendet werden. Diese Variablen werden in der BES12-Datenbank verschlüsselt. • Nach der Migration müssen Sie jeder Gruppe in BES12 Benutzer neu zuweisen. • Nach der Migration werden Profile für freigegebene Zertifikate, die ein SCEP-Zertifikat beinhalten, im SCEP-Abschnitt angezeigt. • Aktivierungsprofile werden nicht migriert. Nach der Migration müssen Sie jedem Benutzer ein Aktivierungsprofil mit der gleichen Aktivierungsart zuweisen, die er in BES10 hatte. • In BES12 müssen Sie alle migrierten Zertifizierungsstellenzertifikate Geräten manuell zuweisen (diese wurden in BES10 automatisch zugewiesen). Bevor Sie ein migriertes Zertifizierungsstellenzertifikat Benutzern oder einer Gruppe, die Benutzer mit iOS-, Android- oder Windows Phone-Geräten enthält, zuweisen können, müssen Sie das Profil für Zertifizierungsstellenzertifikate in BES12 öffnen und auf „Bearbeiten“ und dann auf „Speichern“ klicken. Die folgenden IT-Richtlinienregeln können nicht von BES10 nach BES12 migriert werden: • Gerät sichern und wiederherstellen • Geschäftlichen Bereich sichern und wiederherstellen • Cloud-Speicherzugriff über den geschäftlichen Bereich • Hotspot WPA2-Personal-Sicherheitstyp • Erstellung eines Verschlüsselungsschlüssels für die Zwei-Faktor-Authentifizierung • WebGL Wenn Sie BES12-IT-Richtlinien, -Profile und -Gruppen in eine andere BES12-Domäne migrieren, beachten Sie Folgendes: • Wenn eine IT-Quellrichtlinie für Android-Geräte eine Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt, können keine BES12-IT-Richtlinien oder -Profile migriert werden. Aktualisieren Sie die ITQuellrichtlinie, und starten Sie die Migration neu. • Ist bei IT-Richtlinien in BES12 Version 12.1 das Feld Kennwortanforderungen im Bereich KNOX MDM auf der Registerkarte Android auf „Nicht festgelegt“ oder „Eingabe erforderlich“ gesetzt, wird der Wert bei der Migration zu BES12 Version 12.2 in „Numerisch“ geändert. Die Werte „Nicht festgelegt“ und „Eingabe erforderlich“ sind in Version 12.2 von BES12 nicht verfügbar. • Nach der Migration müssen Sie sicherstellen, dass alle Profile für SCEP, Benutzeranmeldeinformationen, freigegebene Zertifikate und Zertifizierungsstellenzertifikate eindeutige Namen haben. Wenn zwei Profile des gleichen Typs den gleichen Namen haben, müssen Sie den Namen eines der Profile bearbeiten. 89 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank IT-Richtlinien, Profile und Gruppen können optional aus einer Quelldatenbank migriert werden. Bei der Migration aus BES10 werden alle BES10-IT-Richtlinien, -Profile und -Gruppen in die Zieldatenbank kopiert. Sie können sie nach der Migration konfigurieren. Bei der Migration aus BES12 in BES12 werden IT-Richtlinien, E-Mail-Profile, Wi-Fi-Profile, VPN-Profile, Proxyprofile, Profile für Zertifizierungsstellenzertifikate, Profile für freigegebene Zertifikate, SCEP-Profile und Zertifizierungsstellen-Einstellungen in die Zieldatenbank kopiert. Gruppen werden nicht aus BES12 in BES12 migriert. Sie können sie nach der Migration konfigurieren. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Wenn mehr als eine Quelldatenbank konfiguriert wurde, klicken Sie im linken Fensterbereich auf Migration > Konfiguration, und aktivieren Sie dann das Optionsfeld neben dem Namen der Datenbank, aus der die Daten migriert werden sollen. 3. Klicken Sie im linken Fensterbereich auf Migration > IT-Richtlinien, Profile, Gruppen. 4. Klicken Sie auf Weiter. 5. Führen Sie einen der folgenden Schritte aus: Option Beschreibung BES10-Quelldatenbank Überprüfen Sie die Angaben auf der Seite Zu migrierende IT-Richtlinien, Profile und Gruppen bestätigen. Auf dieser Seite werden die IT-Richtlinien, Profile und Gruppen in der Quelldatenbank und deren Namen aufgeführt, die sie nach der Migration zu BES12 aufweisen werden. BES12-Quelldatenbank Überprüfen Sie die Angaben auf der Seite IT-Richtlinien und Profile für die Migration bestätigen. Auf dieser Seite werden die IT-Richtlinien und Profile in der Quelldatenbank und deren Namen aufgeführt, die sie nach der Migration zu BES12 aufweisen werden. 6. Klicken Sie auf Migrieren. Auf dem Bildschirm Migrationsstatus wird der Fortschritt der Migration angezeigt. 7. Um die IT-Richtlinien, Profile und Gruppen zu konfigurieren, klicken Sie auf IT-Richtlinien und Profile konfigurieren. Der Bildschirm Richtlinien und Profile wird geöffnet. 90 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank Berücksichtigen Sie die folgenden Punkte, wenn Sie Benutzer in eine BES12-Zieldatenbank migrieren: • Sie können maximal 2000 Benutzer gleichzeitig aus einer Quelldatenbank migrieren. Ist die Zieldatenbank eine von BES5 aktualisierte BES12-Datenbank, können Sie maximal 300 Benutzer gleichzeitig migrieren. Wenn Sie mehr als die maximale Anzahl Benutzer für die Migration auswählen, wird nur die maximale Anzahl Benutzer in die BES12Zieldatenbank migriert. Die verbleibenden Benutzer werden ausgelassen. Wiederholen Sie den Migrationsvorgang so häufig wie nötig, um alle Benutzer aus der Quelldatenbank zu migrieren. • Benutzer benötigen eine E-Mail-Adresse, bevor die Migration erfolgen kann. • Benutzer, die eine in der BES12-Zieldatenbank bereits vorhandene E-Mail-Adresse verwenden, können nicht migriert werden. • Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse haben, wird nur ein Benutzer auf dem Bildschirm „Migrieren von Benutzern“ angezeigt. • Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse aufweisen, können die auf dem Bildschirm „Migrieren von Geräten“ angezeigten Benutzerinformationen entweder von dem einen oder dem anderen Benutzer stammen. • Wenn ein Benutzer in der Quelldatenbank sowohl ein BlackBerry 10-Gerät als auch ein iOS- oder Android-Gerät aufweist und für die Geräte die gleiche E-Mail-Adresse mit unterschiedlichen Benutzernamen verwendet wird, werden nicht alle Geräte migriert. • Wenn ein Benutzer ein BlackBerry 10-Gerät sowie ein iOS-, Android- oder Windows Phone-Gerät hatte, muss er nach der Migration für BES12 Self-Service dieselben Anmeldeinformationen verwenden wie zuvor für BES10 Self-Service bzw. BES12 Self-Service. • Nach der Migration müssen lokale Benutzer nach der ersten Anmeldung bei BES12 Self-Service ihr Kennwort ändern. Benutzer, die vor der Migration keine Zugriffsberechtigung für BES12 Self-Service hatten, erhalten nach der Migration nicht automatisch Berechtigung. Migrieren von Benutzern aus der Quelldatenbank Sie können Benutzer aus der Quelldatenbank in die BES12-Zieldatenbank migrieren. Nach Abschluss der Migration sind die Benutzer in beiden Datenbanken vorhanden. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Migration > Benutzer. 91 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank 3. Klicken Sie im Bildschirm Migrieren von Benutzern auf Weiter. 4. Wählen Sie im Bildschirm Migrieren von Benutzern die zu migrierenden Benutzer aus. 5. Klicken Sie auf Weiter. 6. Weisen Sie den ausgewählten Benutzern mindestens eine Gruppe, eine IT-Richtlinie und mindestens ein Profil zu. Weitere Informationen finden Sie in der Dokumentation für Administratoren. 7. Klicken Sie auf Vorschau. 8. Klicken Sie auf Migrieren. Migrieren von Geräten aus der Quelldatenbank Nachdem Sie die Benutzer aus der Quelldatenbank in die BES12-Zieldatenbank migriert haben, können Sie deren Geräte migrieren. Die Geräte werden von der Quelldatenbank in die BES12-Zieldatenbank verschoben und sind nach der Migration in der Quelldatenbank nicht mehr vorhanden. Vergewissern Sie sich vor dem Migrieren von Geräten, dass folgende Bedingungen erfüllt sind: • Der Benutzer ist in der BES12-Zieldomäne vorhanden. • Auf den Geräten ist die aktuelle Version von BES12 Client installiert. • BES12 unterstützt Gerätetyp und -betriebssystem. • Alle iOS-Geräte sind vertrauenswürdig (nicht vertrauenswürdige iOS-Geräte können nicht migriert werden). Hinweis: • Pro Benutzer können Sie nicht mehr als fünf Geräte gleichzeitig migrieren. • Geräte, die über „MDM-Steuerelemente“ aktiviert wurden, können vorübergehend nicht auf E-Mails zugreifen, wenn die Migration beginnt. Der E-Mail-Dienst wird wiederhergestellt, wenn die Migration abgeschlossen ist. Bevor Sie beginnen: Benachrichtigen Sie Benutzer von iOS-Geräten darüber, dass der BES12 Client zum Starten der Migration auf BES12 geöffnet werden und der BES12 Client bis zum Abschluss der Migration geöffnet bleiben muss. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Migration > Geräte. 3. Klicken Sie auf dem Bildschirm Migrieren von Geräten auf Weiter. 4. Wählen Sie die zu migrierenden Geräte aus. 5. Klicken Sie auf Vorschau. 6. Klicken Sie auf Migrieren. 7. Um den Status der zu migrierenden Geräte anzuzeigen, klicken Sie im linken Fensterbereich auf Migration > Status. 92 Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank Migrieren von DEP-Geräten Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind, aus einer BES12Quelldatenbank in eine andere BES12-Datenbank migrieren. Für die Migration von DEP-Geräten müssen beide BES12Instanzen in Version 12.2 oder höher vorliegen. Migrieren von DEP-Geräten mit installiertem BES12 Client Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und über die Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ oder „MDM-Steuerelemente“ aktiviert werden, migrieren. Bevor Sie beginnen: Deaktivieren Sie in den Einstellungen für den BES12 Client das Kontrollkästchen Die App vom Gerät entfernen, wenn das Gerät von BES12 entfernt wird. 1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server. 2. Verbinden Sie die BES12-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie in der Dokumentation zur Konfiguration. Stellen Sie sicher, dass das DEP-Profil der BES12-Zielinstanz dem der BES12-Quellinstanz entspricht. 3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server. 4. Migrieren Sie in der BES12-Verwaltungskonsole die DEP-Geräte aus der BES12-Quellinstanz zur BES12-Zielinstanz. Migrieren von DEP-Geräten ohne BES12 Client iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und auf denen der BES12 Client nicht installiert ist, werden in der Liste der Geräte aufgeführt, deren Migration nicht unterstützt wird. 1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server. 2. Verbinden Sie die BES12-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie in der Dokumentation zur Konfiguration. Stellen Sie sicher, dass die BES12-Zielinstanz das gleiche DEP-Profil hat wie die BES12-Quellinstanz. 3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server. 4. Setzen Sie alle DEP-Geräte auf die Werkseinstellungen zurück. 5. Aktivieren Sie alle DEP-Geräte erneut. 93 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden 18 Der BlackBerry MDS Connection Service verbindet Apps auf BlackBerry 10-Geräten mit serverseitigen Push-Anwendungen. Push-Anwendungen werden auf Web- oder Anwendungsservern von Unternehmen gehostet und sind in der Lage, Daten an Apps zu übermitteln, die sich auf den Geräten befinden. Weitere Informationen über Push-Anwendungen finden Sie in der Entwicklerdokumentation unter developer.blackberry.com. Sie können Push-Auslöser und Push-Regeln konfigurieren, die definieren, welche serverseitigen Push-Anwendungen Anwendungsdaten und Aktualisierungen an Geräte senden können. Alle Instanzen des BlackBerry MDS Connection Service für BlackBerry 10-Geräte nutzen DNS-Round-Robin für den Lastausgleich des Datenverkehrs, der an die Geräte übermittelt wird. Der BlackBerry MDS Connection Service erzwingt eine Begrenzung der Push-Datengröße auf 8 KB. Für Push-Anforderungen, die 8 KB überschreiten, wird eine Fehlermeldung in der HTTP-Antwort ausgegeben. Bei Daten, die die Grenze von 8 KB überschreiten, können Apps die Push- und Pull-Methode verwenden, bei der eine Benachrichtigung über vorliegende Aktualisierungen an das Gerät per Push übermittelt wird, das dann die neuen Updates per Pull abrufen kann. Weitere Informationen zum Push- und Pull-Verfahren und der 8 KB Größenbeschränkung finden Sie im Entwickler-Blog von BlackBerry unter devblog.blackberry.com. Suchen Sie dort nach Enterprise Push and Pull. Schritte zum Konfigurieren des BlackBerry MDS Connection Service Zum Konfigurieren des BlackBerry MDS Connection Service führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren Sie die Einstellungen für die Komponenteninformationen. Konfigurieren Sie die Push-Informationen. Konfigurieren Sie den BlackBerry MDS Connection Service-Schlüsselspeicher. 94 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Schritt Aktion Konfigurieren Sie die Proxyzuordnungen, und legen Sie deren Rangfolge fest. Konfigurieren des BlackBerry MDS Connection Service Die von Ihnen festgelegten Einstellungen gelten für alle Instanzen des BlackBerry MDS Connection Service, die in der BES12Domäne installiert sind. Es gibt keine Einstellungen, die nur für eine Instanz gelten. Einstellungen für Komponenteninformationen Einstellung Beschreibung Webserver – Abhörport Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS Connection Service HTTP-Anforderungen von serverseitigen Push-Anwendungen empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt mit einem anderen Dienst auf dem gleichen Computer besteht. Webserver – SSL-Abhörport Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS Connection Service-Webserver SSL-Anforderungen von serverseitigen PushAnwendungen empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt mit einem anderen Dienst auf dem gleichen Computer besteht. Threadpoolgröße Mit dieser Option legen Sie die maximale Anzahl der Threads fest, die von einer BlackBerry MDS Connection Service-Instanz zur Verarbeitung von Anforderungen von BlackBerry 10-Geräten verwendet werden. Maximale Anzahl von gleichzeitig skalierbaren Sockets Mit dieser Option legen Sie die maximale Anzahl der skalierbaren SocketVerbindungen fest, die zwischen BlackBerry 10-Geräten und Zielservern gleichzeitig geöffnet werden können. Je mehr Socket-Verbindungen zugelassen werden, umso höher ist der Verbrauch von Systemressourcen. Datenbankadministratorkonfiguration – Zyklustimer (in Minuten) Mit dieser Option legen Sie fest, wie häufig der BlackBerry MDS Connection Service die BES12-Datenbank auf Änderungen der Konfigurationseinstellungen abfragt. Maximale Anzahl gespeicherter PushNachrichten Mit dieser Option legen Sie die maximale Anzahl der Push-Nachrichten fest, die in einer BES12-Datenbank gespeichert werden können, wenn die Einstellung „Speichern von Push-Übermittlungen“ auf „Wahr“ gesetzt wird. 95 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Maximales Alter von Push-Nachrichten (Minuten) Mit dieser Option legen Sie den maximalen Zeitraum (in Minuten) fest, über den der BlackBerry MDS Connection Service eine Push-Anforderung speichern soll, bevor die Anforderung aus der BES12-Datenbank gelöscht wird. Konfigurieren von BlackBerry MDS Connection Service 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Ändern Sie im Abschnitt Komponenteninformationen die folgenden Einstellungen gemäß den Anforderungen Ihres Unternehmens: Option Standardwert Webserver – Abhörport 9080 Webserver – SSL-Abhörport 9443 Threadpoolgröße 400 Maximale Anzahl von gleichzeitig skalierbaren Sockets 20000 Datenbankadministratorkonfiguration – Zyklustimer 5 Minuten Maximale Anzahl gespeicherter PushNachrichten 100000 Maximales Alter von Push-Nachrichten 720 Minuten 4. Klicken Sie auf Speichern. 96 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service Der BlackBerry MDS Connection Service empfängt Anforderungen von serverseitigen Push-Anwendungen und sendet diese Anforderungen dann an die Anwendungen auf den BlackBerry 10-Geräten. Sie können steuern, wie BlackBerry MDS Connection Service Anforderungen von Push-Anwendungen verarbeitet, speichert und sendet. Standardmäßig sendet der BlackBerry MDS Connection Service Push-Anforderungen von serverseitigen Push-Anwendungen an Anwendungen auf den BlackBerry 10-Geräten. BlackBerry 10-Geräte können Anwendungsdaten und -updates empfangen, ohne dass Benutzer diese anfordern. Sie können die Umgebung Ihres Unternehmens so konfigurieren, dass nur bestimmte serverseitige Push-Anwendungen PushAnforderungen an BlackBerry 10-Geräte senden können. Sie können die Push-Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service Push-Anforderungen von nicht autorisierten Push-Auslösern sendet, und PushAuslöser erstellen, die es bestimmten serverseitigen Anwendungen ermöglichen, Push-Anforderungen an BlackBerry 10Geräte zu senden. Weitere Informationen über Push-Anwendungen finden Sie in der Entwicklerdokumentation unter https:// developer.blackberry.com. Einstellungen für Push-Informationen Der BlackBerry MDS Connection Service unterstützt sichere Enterprise-Push-Funktionen, die es Push-Auslösern ermöglichen, Push-Anforderungen sicher über HTTPS zu senden. Push-Informationen Einstellung Beschreibung Push-Authentifizierung Mit dieser Option legen Sie fest, ob Inhalte von serverseitigen Push-Anwendungen mit oder ohne Authentifizierung an BlackBerry 10-Geräte gesendet werden können. Wenn die Push-Authentifizierung aktiviert ist, können Push-Anwendungen keine Inhalte an BlackBerry 10-Geräte senden, bis Sie einen Push-Auslöser einrichten. Push-Verschlüsselung Mit dieser Option aktivieren Sie SSL, sodass der BlackBerry MDS Connection Service die Push-Anforderungen, die serverseitige Push-Anwendungen an den BlackBerry MDS Connection Service senden, verschlüsseln kann. Speichern von Push-Übermittlungen Mit dieser Option können Sie Push-Anforderungen in der BES12-Datenbank speichern. 97 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Maximale Anzahl aktiver Verbindungen Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die von einem BlackBerry MDS Connection Service gleichzeitig verarbeitet werden können. Maximale Anzahl von Verbindungen in der Warteschlange Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die sich in der Warteschlange des BlackBerry MDS Connection Service befinden können. Push-Auslöser Ein Push-Auslöser ist eine Anwendung, die Anforderungsnachrichten (z. B. Push-Anforderungen, Abbruchanforderungen oder Anforderungen zur Statusabfrage) und Antwortnachrichten (z. B. Benachrichtigungen über Ergebnisse) mithilfe der serverseitigen Bibliothek erstellt und diese an den BlackBerry MDS Connection Service sendet. Wenn die Push-Authentifizierung aktiviert ist, verwenden Push-Anwendungen die für den Push-Auslöser festgelegten Anmeldeinformationen für die Authentifizierung beim BlackBerry MDS Connection Service. Einstellung Beschreibung Name Weisen Sie dem Push-Auslöser einen Namen zu. Beschreibung Geben Sie eine Beschreibung für den Push-Auslöser ein. Anmeldeinformationen Geben Sie die für den Push-Auslöser erforderlichen Anmeldeinformationen ein. Diese müssen das folgende Format aufweisen: username:password. Die Anmeldeinformationen müssen für jede Push-Anforderung einer App hinzugefügt werden, um zu bestätigen, dass die App Push-Inhalte an ein verwaltetes Gerät senden darf. Push-Auslöserzertifikate Einstellung Beschreibung Push-Auslöserzertifikate Ein Push-Auslöserzertifikat ist ein Server-SSL-Zertifikat, das von serverseitigen Push-Anwendungen verwendet wird. Dieses Zertifikat ermöglicht dem BlackBerry MDS Connection Service ggf. die Kommunikation mit serverseitigen PushAnwendungen über das SSL-Protokoll. Die Push-Auslöserzertifikate werden in den Java-Schlüsselspeicher importiert, der vom BlackBerry MDS Connection Service erstellt und verwaltet wird. Wenn Sie die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ aktiviert haben, wird erwartet, dass Sie die von Push-Anwendungen verwendeten SSL-Zertifikate in eine manuell erstellte und verwaltete Java-keystore-Datei importieren. 98 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Einstellung Beschreibung Hinweis: Um ein Push-Auslöserzertifikat hinzuzufügen, benötigen Sie eine .certDatei. Konfigurieren von Push-Informationen 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Ändern Sie im Abschnitt Push-Informationen die folgenden Einstellungen entsprechend den Anforderungen Ihrer Umgebung: Option Standardwert Push-Authentifizierung Falsch Push-Verschlüsselung • Wahr: Aktiviert • Falsch: Deaktiviert Falsch • Wahr: Aktiviert ◦ • Speichern von Push-Übermittlungen Wenn die Push-Verschlüsselung aktiviert ist, stehen die Optionen Zertifikat generieren und Zertifikat neu generieren zur Verfügung, um das SSL-Zertifikat für die Java-keystore-Datei zu erstellen. Falsch: Deaktiviert Falsch • Wahr: Aktiviert • Falsch: Deaktiviert Maximale Anzahl aktiver Verbindungen 1000 Bereich: 1 bis 65535. Wenn Sie den Standardwert heraufsetzen, werden mehr Systemressourcen beansprucht. Maximale Anzahl von Verbindungen in der Warteschlange 100000 99 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Option Standardwert Bereich: 1 bis 10000000. Wenn Sie den Standardwert heraufsetzen, werden mehr Systemressourcen beansprucht. 4. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen von Push-Auslösern für Push-Anwendungenpro zugewiesener Aktivierungs-ID freigegeben haben. Erstellen von Push-Auslösern für Push-Anwendungen Wenn die Push-Authentifizierung aktiviert ist, muss sich jede serverseitige Push-Anwendung für eine Push-Anforderung beim BlackBerry MDS Connection Service authentifizieren. Sie können die Anmeldeinformationen für die Authentifizierung durch Erstellen eines Push-Auslöserkontos festlegen. Sie können mehrere serverseitige Push-Anwendungen für die Verwendung des gleichen Push-Auslösers konfigurieren (d. h., dass sie dasselbe Autorisierungskennwort verwenden), wenn dies in der Entwicklungsumgebung Ihres Unternehmens möglich ist. Stellen Sie sicher, dass der HTTP-Header für die Autorisierung in Push-Anforderungen aus serverseitigen Push-Anwendungen dem für den Push-Auslöser festgelegten Namen und Kennwort entspricht. Bevor Sie beginnen: Aktivieren Sie die Push-Authentifizierung für den BlackBerry MDS Connection Service. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Klicken Sie unter Push-Auslöser auf 4. Geben Sie den Namen, die Beschreibung und die Anmeldeinformationen für den Push-Auslöser an. 5. Klicken Sie auf Hinzufügen. 6. Klicken Sie auf Speichern. . Wenn Sie fertig sind: Erstellen Sie einen Push-Auslöser für jede serverseitige Push-Anwendung, die Push-Anforderungen an BlackBerry 10-Geräte senden soll. Hinzufügen von Push-Auslöserzertifikaten Push-Auslöserzertifikate sind nur erforderlich, wenn der serverseitige Listener für Push-Anwendungsbenachrichtigungen auf einem SSL-Port ausgeführt wird. Hinweis: Wenn Sie Manuelles Überschreiben der Schlüsselspeicherverwaltung im MDS Connection ServiceSchlüsselspeicher aktivieren, werden Sie nicht in der Lage sein, Push-Auslöser-Zertifikate hinzuzufügen. Bevor Sie beginnen: Setzen Sie Push-Verschlüsselung auf „Wahr“. 1. Klicken Sie in der Menüleiste auf Einstellungen. 100 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Klicken Sie auf 4. Navigieren Sie zum Push-Zertifikat. Das Push-Zertifikat muss eine .cert-Datei sein. 5. Klicken Sie auf Hinzufügen. 6. Klicken Sie auf Speichern. unter Push-Auslöserzertifikate. Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers Push-Anwendungen können ein BlackBerry MDS Connection Service-Zertifikat zum Herstellen von HTTPS-Verbindungen mit dem BlackBerry MDS Connection Service verwenden, um Anwendungsdaten und -Updates auf BlackBerry 10-Geräte zu übertragen. Damit Push-Anwendungen vertrauenswürdige Verbindungen zu einem BlackBerry MDS Connection Service herstellen können, müssen Sie die Datei „webserver.keystore“ auf dem Host-Computer des BlackBerry MDS Connection Service erstellen. Dieser Schlüsselspeicher speichert die Zertifikate und lässt HTTPS-Verbindungen von Push-Anwendungen zu. Schlüsselspeichereinstellungen Es gibt zwei Möglichkeiten, SSL-Zertifikate für den BlackBerry MDS Connection Service bereitzustellen: • Verwendung der Option „Zertifikat generieren“, wenn die Push-Verschlüsselung aktiviert ist • Verwendung der Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“, um das SSL-Zertifikat und eine Java-keystore-Datei für die Verwaltung des SSL-Zertifikats manuell zu erstellen Der BlackBerry MDS Connection Service erwartet eine Java-keystore-Datei mit dem Namen „webserver.keystore“ unter dem Speicherort <drive>:\Program Files\BlackBerry\MDS\werbserver\. Wenn die Option „Zertifikat generieren“ verwendet wird, erzeugt der BlackBerry MDS Connection Service in dem Ordner eine Java-keystore-Datei mit dem SSL-Zertifikat. Wenn die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ verwendet wird, müssen Sie eine Java-keystore-Datei mit SSL-Zertifikat für den BlackBerry MDS Connection Service erstellen. Der BlackBerry MDS Connection Service kann das selbstsignierte Zertifikat verwenden, das beim Erstellen des Schlüsselspeichers erzeugt wird, oder Sie können mithilfe des Java-Keytools ein signiertes Zertifikat aus einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen. Wenn Sie die Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ auswählen, muss das SSL-Zertifikat in der Java-keystore-Datei mit dem Alias-Namen mdscs_ssl bezeichnet werden, damit der BlackBerry MDS Connection Service den verschlüsselten Push erfolgreich aktivieren kann. Verwenden Sie das Java-Keytool, um das Zertifikat aus dem Schlüsselspeicher zu exportieren, und importieren Sie das Zertifikat in die von den Java-Push-Anwendungen verwendeten Schlüsselspeicher. 101 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Weitere Informationen zur Verwendung des Java-Keytools finden Sie unter java.sun.com/javase/6/docs/technotes/tools/ windows/keytool.html. Weitere Informationen zu den Anforderungen finden Sie unter tomcat.apache.org/tomcat-5.5-doc/sslhowto.html. Einstellung Beschreibung Manuelles Überschreiben der Schlüsselspeicherverwaltung Wenn Sie „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ auswählen, können Sie keine Push-Auslöserzertifikate verwenden. Der BlackBerry MDS Connection Service nutzt die Java-keystore-Datei als Truststore. Sie sollten die serverseitigen SSL-Zertifikate der Push-Anwendung in den Java-Schlüsselspeicher importieren, damit der BlackBerry MDS Connection Service bei Bedarf erfolgreich mit den serverseitigen Push-Anwendungen über einen SSL-Port kommunizieren kann. Kennwort für Schlüsselspeicher Geben Sie das Kennwort für den Schlüsselspeicher ein. Das Standardkennwort lautet „changeit“. Wenn eine manuell erstellte Javakeystore-Datei verwendet wird, muss für diese das Standardkennwort oder ein konfiguriertes Kennwort verwendet werden. Bestätigung des Kennworts für Schlüsselspeicher Bestätigen Sie das Kennwort für den Schlüsselspeicher. Konfigurieren des Schlüsselspeichers 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Ändern Sie im Abschnitt MDS Connection Service-Schlüsselspeicher die folgenden Einstellungen gemäß den Anforderungen Ihres Unternehmens: Option Beschreibung Manuelles Überschreiben der Schlüsselspeicherverwaltung Standard: Deaktiviert • Aktiviert: Push-Auslöserzertifikate können nicht hinzugefügt werden • Deaktiviert: Push-Auslöserzertifikate können hinzugefügt werden Kennwort für Schlüsselspeicher Geben Sie bei Bedarf das Kennwort für den Schlüsselspeicher ein. Bestätigung des Kennworts für Schlüsselspeicher Bestätigen Sie das Kennwort für den Schlüsselspeicher. 4. Klicken Sie auf Speichern. 102 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Wenn Sie fertig sind: Hinzufügen von Push-Auslöserzertifikaten, falls erforderlich. Konfigurieren von Proxyzuordnung für den BlackBerry MDS Connection Service Konfigurieren von Proxyzuordnungen 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie linken Fensterbereich auf Infrastruktur > MDS Connection Service. 3. Klicken Sie unter Proxyzuordnungen auf das 4. Konfigurieren Sie Proxyzuordnung hinzufügen, und ändern Sie die folgenden Einstellungen gemäß den Anforderungen Ihrer Umgebung: . Option Beschreibung Universal Resource Indicator Legen Sie den regulären Java-Ausdruck für die Webadressen fest, die von der Proxyzuordnungsregel gesteuert werden. Der Platzhalter * erzwingt, dass der Server den gesamten Verkehr an den festgelegten Proxy umleitet. Sie können auch Platzhalter für die jeweilige Domäne verwenden, z. B. *.example.com/*, um den gesamten Verkehr für einen Server und ein Verzeichnis der Domäne „beispiel.com“ an den festgelegten Proxy umzuleiten. Beschreibung Geben Sie eine Beschreibung Ihres Universal Resource Indicator ein. Beispiel: Diese Proxyzuordnung leitet den kompletten Verkehr der Domäne „beispiel.com“ an den primären Proxy-Server um. Anmeldeinformationen Legen Sie den Benutzernamen und das Kennwort fest, das der BlackBerry MDS Connection Service zum Herstellen der Verbindung zu dem Proxy-Server verwendet, der für die Webadresse definiert ist. Proxy-Typ Wählen Sie den Typ des Proxy-Servers aus: • Auto (Standard) • Direkt • PAC: Erfordert die Adresse einer PAC-Datei 103 Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Option Beschreibung • Proxy: Erfordert den Host-Namen oder die IP-Adresse eines ProxyServers Fügen Sie ggf. zusätzliche Proxy-Typen hinzu. 5. Klicken Sie auf Hinzufügen. 6. Klicken Sie auf Speichern. Wenn Sie fertig sind: Wenn es mehrere Proxyzuordnungen gibt, lesen Sie Festlegen der Rangfolge der Proxyzuordnungen. Festlegen der Rangfolge der Proxyzuordnungen Wenn mehrere Proxyzuordnungen vorhanden sind, legen Sie deren Rangfolge fest, um die Reihenfolge zu bestimmen, in der Sie von BES12 verwendet werden. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich im Abschnitt Infrastruktur auf MDS Connection Service. 3. Verwenden Sie die Pfeile, um die Rangfolge der Proxyzuordnungen zu bestimmen. 4. Klicken Sie auf Speichern. 104 Überwachung von BES12 Überwachung von BES12 19 Mithilfe von SNMP-Tools von Drittherstellern können Sie die Aktivität der Enterprise-Konnektivitätskomponenten BES12 Core, BlackBerry Secure Connect Plus und BES12 überwachen. Die SNMP-Überwachung erfordert einen SNMP-Dienst und ein SNMP-Verwaltungstool. Sie führen den SNMP-Dienst auf den Computern aus, die BES12 hosten. Der SNMP-Dienst befindet sich in den Windows-Diensten und umfasst einen SNMP-Agent, der Daten aus den BES12-Komponenten sammelt. Mithilfe eines SNMP-Verwaltungstools (z. B. eines MIB-Browsers) können Sie die Daten, die der Agent empfängt, anzeigen und analysieren. Das Verwaltungstool beinhaltet in der Regel ein SNMP-Trap-Verwaltungstool, das zum Abrufen und Interpretieren der Trap-Nachrichten vom Agent verwendet wird. Das Verwaltungstool kann auf dem Computer, der BES12 hostet, oder auf einem separaten Computer installiert werden. Es gibt zwei Stellen, an denen Sie SNMP konfigurieren: • In der Verwaltungskonsole zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus • Im SNMP-Dienst zur Überwachung der Enterprise-Konnektivitätskomponenten von BES12 Standardmäßig zeigt das Verwaltungstool die OID einer Bedingung an, die aus einer Folge von Ganzzahlen besteht, die einen Klassenwert in einer Klassenhierarchie bezeichnen. Alle SNMP-OIDs und SNMP-Traps für BES12 beginnen mit dem Klassenwert 1.3.6.1.4.1.3530.8. Jeder OID-Wert wird durch ein Suffix (z. B. 25.1.1) eindeutig identifiziert. In MIBs sind die Bedingungen für die Überwachung durch den SNMP-Agent festgelegt. Eine MIB ist eine Datenbank, in der die Variablen und Verwaltungsdaten der BES12-Komponenten sowie die Bedeutung der jeweiligen SNMP-Trapwerte definiert und beschrieben werden. Die MIB legt die Datentypen fest, die der SNMP-Dienst über die Komponenten erfassen kann. Wenn Sie die SNMP-Überwachung konfigurieren, müssen Sie das Verwaltungstool zum Kompilieren der MIB verwenden. Weitere Informationen zur Netzwerksicherheit für SNMP finden Sie unter support.microsoft.com in den Artikeln KB324261 und KB324263. Unterstützte SNMP-Vorgänge SNMP-Vorgänge können zur Erfassung von Daten des SNMP-Agents verwendet werden, der auf den Computern ausgeführt wird, auf denen BES12 installiert ist. BES12 unterstützt die folgenden SNMP-Vorgänge: Vorgang Beschreibung Get Dieser Vorgang ruft den Wert für ein bestimmtes MIB-Element ab. Get next Dieser Vorgang ruft den Wert und die OID von Elementen in der Reihenfolge ab, in der sie in einer MIB-Datei aufgeführt sind. 105 Überwachung von BES12 Vorgang Beschreibung Trap Dieser Vorgang sendet SNMP-Trap-Nachrichten vom SNMP-Agent zum SNMP-TrapVerwaltungstool. SNMP-Trap-Nachrichten enthalten Daten zu bestimmten Aktionen, die eine BES12-Komponente durchführt. Systemanforderungen: SNMP-Überwachung Objekt Anforderungen Unterstützte BES12Komponenten Sie können die SNMP-Überwachung für folgende BES12-Komponenten konfigurieren: • BES12 Core • BlackBerry Secure Connect Plus • BlackBerry Affinity Manager • BlackBerry Dispatcher • BlackBerry MDS Connection Service • BlackBerry Router Andere BES12-Komponenten unterstützen die SNMP-Überwachung nicht. SNMP-Verwaltungstool Wenn das Verwaltungstool keinen MIB-Compiler aufweist, installieren Sie einen MIB-Compiler auf dem Computer, auf dem sich das Verwaltungstool befindet. Wenn der SNMP-Dienst Trap-Nachrichten für Berichte über Serveraktivitäten senden soll, prüfen Sie, ob das Verwaltungstool ein SNMP-Trap-Verwaltungstool umfasst. Sie können auch ein eigenständiges SNMP-Trap-Verwaltungstool auf einem Computer, auf dem BES12 gehostet wird, oder einem separaten Computer installieren. Netzwerkzugriff Der Computer, auf dem das SNMP-Verwaltungstool oder ein eigenständiges SNMP-TrapVerwaltungstool gehostet wird, muss in der Lage sein, auf Daten der Computer, auf denen BES12 installiert ist, zuzugreifen und diese zu empfangen. SNMP-Dienst Installieren Sie auf den Computern, auf denen BES12 installiert ist, einen SNMP-Dienst mit SNMP-Agent und SNMP-Trap-Dienst. Ein SNMP-Dienst ist in den meisten Versionen von Windows enthalten. Weitere Informationen finden Sie unter support.microsoft.com. Einstellungen für den SNMP- Konfigurieren Sie auf den Computern, auf denen BES12 installiert ist, in den WindowsDienst Diensten die folgenden Einstellungen für den SNMP-Dienst: 106 Überwachung von BES12 Objekt Anforderungen • Einen gültigen SNMP-Community-Namen • Mindestens die Leseberechtigung für die SNMP-Community • Die IP-Adressen der Computer, von denen der SNMP-Dienst SNMP-Daten annehmen kann. MIBs für BES12 Die MIBs für BES12 befinden sich standardmäßig auf dem Computer, auf dem BES12 installiert ist, unter dem Pfad <Laufwerk> \Program Files\BlackBerry\BES\Monitoring\bin\mib. BES12 enthält sechs MIB-Dateien, die Sie verwenden können, um Daten von BES12-Komponenten zu analysieren. MIB-Datei Beschreibung BES-CoreMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BES12 Core BES-CoreMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten Objekte, die über das SNMP-Verwaltungstool zugänglich und abrufbar sind BES-CoreEventingMIB-SMIV2 Enthält Definitionen der Traps und Benachrichtigungen, die von BES12 Core ausgegeben werden BES-EC-MIB-SMIV2 Enthält Definitionen verwalteter Objekte, Traps und Benachrichtigungen, die von folgenden Enterprise-Konnektivitätskomponenten von BES12 ausgegeben werden: • BlackBerry Affinity Manager • BlackBerry Dispatcher • BlackBerry MDS Connection Service • BlackBerry Router BES-BSCPMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BlackBerry Secure Connect Plus BES-BSCPMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry Secure Connect Plus-Objekte, die über das SNMP-Verwaltungstool zugänglich und abrufbar sind 107 Überwachung von BES12 Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools Damit die SNMP-Überwachungssoftware Ihres Unternehmens BES12-Komponenten überwachen kann, müssen Sie mithilfe des SNMP-Verwaltungstools die MIB-Dateien von BES12 kompilieren. Wenn das Tool keinen MIB-Compiler umfasst, installieren Sie einen MIB-Compiler auf dem Computer, auf dem sich das Tool befindet. Bevor Sie beginnen: Weitere Informationen über die Verwendung des Tools zum Kompilieren einer MIB finden Sie in der Dokumentation zum SNMP-Verwaltungstool. 1. Öffnen Sie auf dem Computer, auf dem BES12 gehostet wird, <Laufwerk>\Program Files\BlackBerry\BES\Monitoring\bin \mib. 2. Verwenden Sie das SNMP-Verwaltungstool (oder einen separat installierten MIB-Compiler) zum Kompilieren der MIBDateien. Verwenden von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus BES12 Core umfasst verschiedene Unterkomponenten, die für die Verwaltung der Geräte zuständig sind. BlackBerry Secure Connect Plus stellt einen sicheren IP-Tunnel zwischen Apps für den geschäftlichen Bereich auf Geräten mit BlackBerry 10, KNOX Workspace oder Android for Work und dem Netzwerk des Unternehmens her. Zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus mithilfe von SNMP müssen Sie die Einstellungen in der BES12-Verwaltungskonsole konfigurieren. Konfigurieren von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus Um SNMP für die Überwachung von BES12 Core und BlackBerry Secure Connect Plus zu verwenden, müssen Sie die Einstellungen in der Verwaltungskonsole konfigurieren. 1. Klicken Sie in der Menüleiste auf Einstellungen. 2. Klicken Sie im linken Fensterbereich auf Infrastruktur > SNMP. 3. Erweitern Sie Globale Einstellungen, und aktivieren Sie das Kontrollkästchen SNMP-Überwachung aktivieren. Dieses Kontrollkästchen ist standardmäßig deaktiviert. 108 Überwachung von BES12 4. Ersetzen Sie im Feld Community den Standardwert, indem Sie einen neuen Community-Namen eingeben. 5. Geben Sie im Feld „IP-Adresse“ die IPv4-UDP-Adresse des Servers ein, auf dem das Trap-Verwaltungstool installiert ist. 6. Geben Sie in das Feld Port die Portnummer für das Trap-Verwaltungstool ein. Standardmäßig ist die Portnummer 1620. 7. Klicken Sie auf Speichern. 8. Erweitern Sie jeden BES12-Instanznamen, und führen Sie die folgenden Aufgaben aus: 9. • Überwachung von BES12 Core: Geben Sie in das Feld UDP-Port für den Zugriff auf SNMPÜberwachungsdaten für den BES12 Core-Dienst die Portnummer ein, über die BES12 SNMPDatenanforderungen empfangen soll. Standardmäßig ist die Portnummer 1610. • Überwachung von BlackBerry Secure Connect Plus: Geben Sie in das Feld UDP-Port für den Zugriff auf SNMPÜberwachungsdaten für den BlackBerry Secure Connect Plus-Dienst die Portnummer ein, über die BES12 SNMP-Datenanforderungen empfangen soll. Standardmäßig ist die Portnummer 1611. Klicken Sie auf Speichern. Wenn Sie fertig sind: Führen Sie eine der folgenden Aufgaben aus: • Wenn Sie für BES12 Core die Überwachung aktivieren, starten Sie BES12 Core in den Windows-Diensten neu. • Wenn Sie für BlackBerry Secure Connect Plus die Überwachung aktivieren, starten Sie BlackBerry Secure Connect Plus in den Windows-Diensten neu. 109 Glossar Glossar 20 ADSI Active Directory Service Interfaces (Active Directory-Dienstschnittstellen) APNs Apple Push Notification service (Apple Push Notification-Dienst) BES5 BlackBerry Enterprise Server 5 BES10 BlackBerry Enterprise Service 10 BES12 BlackBerry Enterprise Service 12 BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind, mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet. CAS Client Access Server (Client-Zugriffsserver) CSR Certificate Signing Request (Anforderung für die Zertifikatssignatur) DEP Device Enrollment Program (Programm zur Geräteregistrierung) DNS Domain Name System (Domänennamensystem) FQDN Fully Qualified Domain Name (vollständiger Domänenname) HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL) IIS Internet Information Services (Internet-Informationsdienste) LDAP Lightweight Directory Access Protocol (Anwendungsprotokoll) MIB Management Information Base (Datenbasis für Netzwerkmanagement) MMC Microsoft Management Console OID Objektbezeichner PAC Proxy Auto Configuration (Proxy-Autokonfiguration) PAP Push Access Protocol (Protokoll für den Push-Zugriff) SCEP Simple Certificate Enrollment-Protokoll SMTP Simple Mail Transfer Protocol (einfaches Nachrichtenübertragungsprotokoll) ist ein TCP/IP-Protokoll, das zusammen mit POP oder IMAP für das Senden und Empfangen von Nachrichten über ein Netzwerk wie das Internet verwendet wird. SNMP Simple Network Management Protocol (einfaches Netzwerkverwaltungsprotokoll) SPN Ein SPN (Service Principal Name - Dienstprinzipalname) ist ein Attribut eines Benutzers oder einer Gruppe in Microsoft Active Directory, das die gegenseitige Authentifizierung zwischen einem Client 110 Glossar eines Kerberos-fähigen Diensts und einem Kerberos-fähigen Dienst unterstützt. Ein Microsoft Active Directory-Konto kann eine oder mehrere SPNs haben. SRP Server Routing Protocol SSL Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten) TCP Transmission Control Protocol (Übertragungssteuerungsprotokoll) TCP/IP Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll) bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über Netzwerke wie das Internet verwendet wird. TLS Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung) 111 Rechtliche Hinweise Rechtliche Hinweise 21 © 2015 BlackBerry. Alle Rechte vorbehalten. BlackBerry® und zugehörige Marken, Namen und Logos sind Eigentum von BlackBerry Limited und sind in den USA und weiteren Ländern weltweit als Marken eingetragen und/oder werden dort als Marken verwendet. Microsoft, Active Directory, ActiveSync, Internet Explorer, Microsoft Exchange, Microsoft Exchange Server, Microsoft Exchange Management Console, Microsoft Internet Information Services, SQL Server, Windows, Windows Phone, Windows PowerShell und Windows Server sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet. Apple ist eine Marke von Apple Inc. Android und Google Chrome sind Marken von Google Inc. Mozilla und Firefox sind Marken der Mozilla Foundation. KNOX und Samsung KNOX sind Marken von Samsung Electronics Co., Ltd. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber. Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in Kenntnis zu setzen. Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry. SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE, HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD. 112 Rechtliche Hinweise MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG. DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER. ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER DOKUMENTATION. Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet 113 Rechtliche Hinweise Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird. Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT. BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp. BlackBerry Limited 2200 University Avenue East Waterloo, Ontario Canada N2K 0A7 BlackBerry UK Limited 200 Bath Road Slough, Berkshire SL1 3XE United Kingdom Veröffentlicht in Kanada 114