BES12-12.4-Configuration Guide

Werbung
Konfigurationshandbuc
h
BES12
Version 12.4
Veröffentlicht: 2016-03-01
SWD-20160301141414878
Inhalt
Info zu diesem Handbuch................................................................................................. 8
Erste Schritte....................................................................................................................9
Erstmaliges Konfigurieren von BES12 ............................................................................................................................... 9
Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten............................................................................. 11
Administratorberechtigungen, die für die Konfiguration von BES12 benötigt werden ....................................................... 14
Abrufen und Aktivieren von Lizenzen...............................................................................................................................14
Verwalten von WorkLife by BlackBerry ............................................................................................................................ 14
Was sind Mehrwertdienste?.............................................................................................................................................14
Hinzufügen vertrauenswürdiger Zertifikate......................................................................16
Ändern des von den BES12-Konsolen verwendeten Zertifikats.........................................................................................16
Ändern des von den BES12-Konsolen verwendeten Zertifikats..................................................................................16
Ändern des von den BlackBerry Web Services verwendeten Zertifikats............................................................................ 17
Ändern des von den BlackBerry Web Services verwendeten Zertifikats..................................................................... 17
Ändern des von BES12 zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats.....................................18
Ändern des von BES12 zum Signieren des MDM-Profils auf iOS-Geräten verwendeten Zertifikats............................. 18
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines ProxyServers...........................................................................................................................19
Konfigurieren eines Proxy-Servers bei der erstmaligen Anmeldung bei BES12 .................................................................20
Vergleichen von TCP-Proxys............................................................................................................................................ 20
Konfigurieren eines TCP-Proxy-Servers........................................................................................................................... 21
Konfigurieren von BES12 für die Verwendung eines transparenten TCP-Proxy-Servers.............................................. 22
Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server.............................................................................................. 22
Konfigurieren des BlackBerry Router ..............................................................................................................................23
Konfigurieren von BES12 für die Verwendung des BlackBerry Router .......................................................................23
Herstellen einer Verbindung zu Unternehmensverzeichnissen.........................................24
Schritte zum Konfigurieren einer Verbindung zum Unternehmensverzeichnis.................................................................. 24
Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine
Ressourcengesamtstruktur enthält .................................................................................................................................25
Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz............................................................................. 25
Herstellen der Verbindung zu einem LDAP-Verzeichnis.................................................................................................... 28
Aktivieren von per Verzeichnis verknüpften Gruppen....................................................................................................... 31
Aktivieren von per Verzeichnis verknüpften Gruppen................................................................................................ 33
Synchronisieren einer UnternehmensverzeichnisVerbindung...........................................................................................35
Anzeigen eines Verzeichnis-Synchronisierungsberichts................................................................................................... 35
Hinzufügen eines Synchronisierungszeitplans................................................................................................................. 35
Hinzufügen eines Synchronisationsplans................................................................................................................. 36
Konfigurieren der einmaligen Anmeldung für BES12 ...................................................... 38
Schritte zum Konfigurieren der einmaligen Anmeldung für BES12 .................................................................................. 38
Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der
einmaligen Anmeldung................................................................................................................................................... 39
Einmalige Anmeldung für BES12 einrichten.................................................................................................................... 39
Konsolen-URLs für die einmalige Anmeldung.................................................................................................................. 40
Anforderungen an den Browser für die einmalige Anmeldung.......................................................................................... 41
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten................................. 42
Datenfluss: Senden von Daten an ein iOS-Gerät.............................................................................................................. 42
Schritte zum Abrufen eines APNs-Zertifikats zur Verwaltung von iOS-Geräten.................................................................. 42
Abrufen einer signierten CSR von BlackBerry ..................................................................................................................43
Anfordern eines APNs-Zertifikats von Apple ....................................................................................................................43
Registrieren des APNs-Zertifikats.................................................................................................................................... 44
Erneuern des APNs-Zertifikats........................................................................................................................................ 44
Fehlerbehebung: APNs................................................................................................................................................... 45
Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder
senden Sie eine neue CSR....................................................................................................................................... 45
Ich kann iOS-Geräte nicht aktivieren........................................................................................................................ 45
Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-MailBenachrichtigungen....................................................................................................... 47
Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen................................... 47
Einrichten von BES12 Self-Service für Benutzer.............................................................. 49
BES12 Self-Service einrichten.........................................................................................................................................49
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne...................................... 50
Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten.....................................................................51
Architektur: Hohe Verfügbarkeit für BES12 .....................................................................................................................51
Lastverteilungsdaten für BlackBerry 10-Geräte............................................................................................................... 53
Lastverteilung bei Geräteverbindungen von iOS- und Android-Geräten mit Secure Work Space ....................................... 54
Überprüfung des Zustands von Komponenten durch BES12 ........................................................................................... 54
Installieren einer zusätzlichen BES12-Instanz..................................................................................................................55
Konfigurieren von Hoher Verfügbarkeit für die Verwaltungskonsole.................................................................................. 56
Anzeigen des Status von BES12-Instanzen...................................................................................................................... 56
Entfernen einer BES12-Instanz aus der Datenbank..........................................................................................................57
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der
Datenbankspiegelung .................................................................................................... 58
Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten................................... 59
Schritte zum Konfigurieren der Datenbankspiegelung..................................................................................................... 59
Systemanforderungen: Datenbankspiegelung................................................................................................................. 60
Voraussetzungen: Konfigurieren der Datenbankspiegelung..............................................................................................61
Erstellen und Konfigurieren einer Spiegeldatenbank........................................................................................................61
Herstellen der Verbindung von BES12 zur Spiegeldatenbank...........................................................................................62
Konfigurieren einer neuen Spiegeldatenbank.................................................................................................................. 63
Konfigurieren von BES12 zur Unterstützung von Android for Work .................................. 64
Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit
Secure Work Space ........................................................................................................65
Konfigurieren von BlackBerry Work Connect Notification Service .................................................................................... 65
Aktivieren einer SSL-Verbindung mit Microsoft Exchange Server ..................................................................................... 66
Konfigurieren von BES12 für DEP....................................................................................68
Schritte zur Konfiguration von BES12 für DEP..................................................................................................................68
Erstellen eines DEP-Kontos............................................................................................................................................. 68
Herunterladen eines öffentlichen Schlüssels................................................................................................................... 69
Generieren eines Server-Tokens...................................................................................................................................... 69
Registrieren des Server-Tokens bei BES12 ......................................................................................................................69
Hinzufügen einer Registrierungskonfiguration................................................................................................................. 70
Aktualisieren des Server-Tokens...................................................................................................................................... 70
Entfernen der DEP-Verbindung........................................................................................................................................71
Herstellen einer Verbindung zwischen BES12 und einem Good-Kontrollserver.................72
Vereinfachung von Windows 10-Aktivierungen................................................................ 73
Schritte zur Bereitstellung einer Suchdienst-Webanwendung.......................................................................................... 73
Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen........................................................ 74
Konfigurieren von BES12 für die Synchronisierung mit dem Windows Store für
Unternehmen.................................................................................................................77
Schritte zum Konfigurieren von BES12 für die Synchronisierung mit dem Windows Store für Unternehmen...................... 77
Erstellen und Konfigurieren eines Microsoft Azure-Kontos............................................................................................... 77
Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes........................................................ 78
Erstellen eines Administrators für den Windows Store für Unternehmen...........................................................................79
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen........................... 80
Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service ............................................ 80
Konfigurieren von Berechtigungen für Gatekeeping......................................................................................................... 81
Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen............................................................................ 82
Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange
ActiveSync ..............................................................................................................................................................83
Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365 ........................................................... 83
Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping.....................................................................................84
Erstellen einer Gatekeeping-Konfiguration.......................................................................................................................84
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw.
BES12-Quelldatenbank.................................................................................................. 86
Schritte beim Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12Quelldatenbank.............................................................................................................................................................. 86
Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12Quelldatenbank.............................................................................................................................................................. 87
Herstellen einer Verbindung zu einer Quelldatenbank......................................................................................................87
Bewährte Verfahren: Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................89
Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank..................................................................90
Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank.........................................................................91
Migrieren von Benutzern aus der Quelldatenbank............................................................................................................92
Migrieren von Geräten aus der Quelldatenbank............................................................................................................... 93
Migrieren von DEP-Geräten.............................................................................................................................................94
Migrieren von DEP-Geräten mit installiertem BES12 Client ...................................................................................... 94
Migrieren von DEP-Geräten ohne BES12 Client ....................................................................................................... 94
Integrieren von BES12 mit Cisco ISE .............................................................................. 95
Schritte zur Integration von BES12 und Cisco ISE ........................................................................................................... 95
Anforderungen: Integration von BES12 und Cisco ISE ..................................................................................................... 96
Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann.............................................................. 96
Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher.....................................................97
Verbinden von BES12 mit Cisco ISE ................................................................................................................................ 98
Beispiel: Richtlinienregeln für BES12 ............................................................................................................................. 99
Verwalten von Netzwerkzugriff und Gerätesteuerelementen über Cisco ISE ...................................................................101
Umleiten von Geräten, die nicht unter BES12 aktiviert wurden............................................................................... 102
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden.......... 103
Schritte zum Konfigurieren des BlackBerry MDS Connection Service ............................................................................ 103
Konfigurieren des BlackBerry MDS Connection Service ................................................................................................ 104
Einstellungen für Komponenteninformationen........................................................................................................104
Konfigurieren von BlackBerry MDS Connection Service ......................................................................................... 105
Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service ......................................................105
Einstellungen für Push-Informationen.................................................................................................................... 106
Konfigurieren von Push-Informationen................................................................................................................... 107
Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers.................................................................. 109
Schlüsselspeichereinstellungen.............................................................................................................................110
Konfigurieren des Schlüsselspeichers.................................................................................................................... 111
Konfigurieren von BlackBerry MDS Connection Service-Proxyzuordnungen................................................................... 111
Festlegen der Rangfolge der Proxyzuordnungen..................................................................................................... 112
Überwachung von BES12 ............................................................................................ 113
Unterstützte SNMP-Vorgänge....................................................................................................................................... 113
Systemanforderungen: SNMP-Überwachung................................................................................................................ 114
MIBs für BES12 ........................................................................................................................................................... 115
Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools............................................................................. 116
Verwenden von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus ................................... 116
Konfigurieren von SNMP zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus ........................ 116
Glossar.........................................................................................................................118
Rechtliche Hinweise..................................................................................................... 120
Info zu diesem Handbuch
Info zu diesem Handbuch
1
BES12 unterstützt Sie bei der Verwaltung von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, Android und
Windows in Ihrem Unternehmen. In diesem Handbuch finden Sie Anweisungen, wie Sie BES12 nach dem Bedarf Ihres
Unternehmens konfigurieren.
Es ist für erfahrene IT-Mitarbeiter gedacht, die mit der Einrichtung und Bereitstellung des Produkts betraut sind. Bevor Sie die
Schritte in diesem Handbuch abschließen können, müssen Sie das Produkt installieren und Lizenzen aktivieren.
Installationsanweisungen finden Sie in der Dokumentation zu Installation und Upgrade. Weitere Informationen zur Aktivierung
von Lizenzen finden Sie in der Dokumentation zur Lizenzierung.
Wenn Sie die in diesem Handbuch beschriebenen Schritte ausgeführt haben, lesen Sie in der Dokumentation für
Administratoren nach, wie Sie die BES12-Domäne verwalten.
8
Erste Schritte
Erste Schritte
2
Erstmaliges Konfigurieren von BES12
In der folgenden Tabelle werden die in diesem Handbuch beschriebenen Konfigurationsaufgaben zusammengefasst. Die
Schritte sind je nach Unternehmensanforderungen optional. Verwenden Sie diese Tabelle, um zu bestimmen, welche
Konfigurationsschritte ausgeführt werden müssen.
Nach Durchführung der entsprechenden Schritte sind Sie bereit, Administratoren und Gerätekontrollen einzurichten, Benutzer
und Gruppen zu erstellen und Geräte zu aktivieren.
Aufgabe
Erforderlich
oder optional
Beschreibung
Standardzertifikate durch
vertrauenswürdige Zertifikate
ersetzen
Optional
Sie können das Standard-SSL-Zertifikat, das von den BES12-Konsolen
verwendet wird, sowie das Standard-Zertifikat, das von BES12 zum
Signieren des MDM-Profils für iOS-Geräte verwendet wird, durch
vertrauenswürdige Zertifikate ersetzen.
BES12 zum Senden von Daten
über einen Proxy-Server
konfigurieren
Optional
Sie können BES12 zum Senden von Daten über einen Proxy-Server
konfigurieren, der sich hinter der Firewall Ihres Unternehmens
befindet.
Herstellen einer Verbindung
zwischen BES12 und
Unternehmensverzeichnissen
Optional
Sie können BES12 mit Unternehmensverzeichnissen verbinden, z. B.
Microsoft Active Directory oder ein LDAP-Verzeichnis, sodass BES12
zum Erstellen von Benutzerkonten auf Benutzerdaten zugreifen kann.
Konfigurieren der einmaligen
Anmeldung für BES12Administratoren
Optional
Wenn Sie eine Verbindung zwischen BES12 und Microsoft Active
Directory herstellen, können Sie die Authentifizierung per einmaliger
Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die
Webseite für die Anmeldung umgehen und direkt auf die
Verwaltungskonsole bzw. BES12 Self-Service zugreifen können.
APNS-Zertifikat abrufen und
registrieren
Optional
Wenn Sie iOS-Geräte verwalten und Daten an diese Geräte senden
möchten, müssen Sie eine signierte CSR von BlackBerry abrufen, mit
dieser ein APNs-Zertifikat von Apple abrufen und das APNs-Zertifikat
bei der BES12-Domäne registrieren.
9
Erste Schritte
Aufgabe
Erforderlich
oder optional
Beschreibung
Verbindung von BES12 zu einem
SMTP-Server herstellen
Optional
Wenn Sie möchten, dass BES12 Aktivierungs-E-Mails und andere
Benachrichtigungen an Benutzer sendet, müssen Sie die Einstellungen
für den SMTP-Server festlegen, den BES12 verwenden kann.
BES12 Self-Service einrichten
Optional
Wenn Sie die Ausführung bestimmter Verwaltungsaufgaben durch
Benutzer zulassen möchten, z. B. Ändern von Kennwörtern, können Sie
die BES12 Self-Service-Webanwendung einrichten und verteilen.
Hohe Verfügbarkeit konfigurieren
Optional
Um Dienstunterbrechungen für Benutzer minimal zu halten, können
Sie mehrere aktive BES12-Instanzen installieren.
Datenbankspiegelung
konfigurieren
Optional
Um den Datenbankdienst und die Datenintegrität aufrechtzuerhalten,
wenn Probleme mit der BES12-Datenbank auftreten, können Sie eine
Failover-Datenbank als Sicherung der Prinzipaldatenbank installieren
und konfigurieren.
BES12 zur Unterstützung von
Android for Work konfigurieren
Optional
Zur Unterstützung von Android for Work müssen Sie Ihre Google Apps
for Work- bzw. Google for Work-Domäne zur Unterstützung der
Verwaltung mobiler Geräte von Drittanbietern und BES12 für die
Kommunikation mit Ihrer Google Apps for Work- bzw. Google for WorkDomäne konfigurieren.
Konfigurieren von BES12 zum
Senden von Benachrichtigungen
an iOS-Geräte mit Secure Work
Space
Optional
Wenn Sie möchten, dass BES12 Benachrichtigungen an iOS-Geräte mit
Secure Work Space sendet, müssen Sie den BlackBerry Work Connect
Notification Service konfigurieren und eine SSL-Verbindung zwischen
BES12 und dem Microsoft Exchange Server einrichten.
BES12 für das Programm zur
Geräteregistrierung von Apple
konfigurieren
Optional
Wenn Sie die BES12-Verwaltungskonsole zum Verwalten der iOSGeräte, die von Ihrem Unternehmen von Apple für das Programm zur
Geräteregistrierung (DEP) erworben wurden, verwenden möchten,
müssen Sie BES12 konfigurieren.
Herstellen einer Verbindung
zwischen BES12 und einem Good
Control-Server
Optional
Wenn Sie den Gerätezugriff auf Good Dynamics-Produktivitäts-Apps,
wie z. B. Good Work, Good Access und Good Connect, verwalten
möchten, können Sie eine Verbindung zu einem Good Control-Server
herstellen.
Netzwerk zur Vereinfachung von
Windows 10-Aktivierungen
konfigurieren
Optional
Sie können diesen Vorgang zur Aktivierung von Windows 10-Geräten
vereinfachen, indem Sie Konfigurationsänderungen an Ihrem Netzwerk
vornehmen, sodass die Benutzer keine Serveradresse mehr eingeben
müssen.
10
Erste Schritte
Aufgabe
Erforderlich
oder optional
Beschreibung
Konfigurieren von BES12 zur
Synchronisierung mit dem
Windows Store für Unternehmen
Optional
Wenn Sie Windows 10-Apps verwalten möchten, müssen Sie BES12 zur
Synchronisierung mit dem Windows Store für Unternehmen
konfigurieren.
Steuern, welche Geräte Zugriff auf
Exchange ActiveSync haben
dürfen
Optional
Wenn Sie Microsoft Exchange so konfiguriert haben, dass Geräten der
Zugriff auf geschäftliche E-Mails und Terminplanerdaten nur dann
gewährt wird, wenn die Geräte einer Positivliste hinzugefügt wurden,
müssen Sie eine Microsoft Exchange-Konfiguration in BES12 erstellen.
Migrieren von Benutzern, Gruppen
und anderen Daten aus BES10
oder BES12
Optional
Wenn Sie eine neue Instanz von BES12 installieren, können Sie die
Verwaltungskonsole zum Migrieren von Benutzern, Geräten, Gruppen
und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
verwenden.
Integrieren von BES12 mit Cisco
ISE
Optional
Sie können eine Verbindung zwischen Cisco ISE und BES12 herstellen,
damit Cisco ISE Gerätedaten aus BES12 abrufen und die Steuerung
des Netzwerkzugriffs durchsetzen kann.
Konfigurieren, wie Daten per Push
auf BlackBerry 10-Geräte
übertragen werden
Optional
Sie können anpassen, wie BES12 Push-Daten an BlackBerry 10-Geräte
sendet.
SNMP-Überwachung
konfigurieren
Optional
Mithilfe von SNMP-Tools von Drittherstellern können Sie die Aktivität
von BES12-Komponenten überwachen.
Konfigurationsschritte für die Verwaltung von
BlackBerry OS-Geräten
Wenn die BES12-Domäne Ihres Unternehmens Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die
Verwaltung von BlackBerry OS-Geräten individualisieren. Wenn Sie ein Upgrade von BES5 auf BES12 durchgeführt haben,
bleiben die Konfigurationen der BES5-Komponenten nach dem Upgrade intakt, sodass keine weiteren Konfigurationsschritte
erforderlich sind.
Anweisungen für den jeweiligen Schritt, der in der Tabelle beschrieben wird, finden Sie unter help.blackberry.com/detectLang/
category/enterprise-services im BlackBerry Enterprise Server Installations- und Konfigurationshandbuch für 5 oder im
BlackBerry Enterprise Server Administratorhandbuch für 5.
11
Erste Schritte
Durchzuführende Aufgabe
Ressource
Festlegen, welcher Dienst Kalenderdaten verwaltet
Installations- und Konfigurationshandbuch
Standardmäßig übernimmt Microsoft Exchange Web Services
die Verwaltung von Kalenderdaten für BlackBerry OS-Geräte.
Wenn ein Benutzer nicht die Berechtigung zum Verwenden
dieses Dienstes aufweist, werden die Kalenderdaten des
Benutzers mithilfe von MAPI- und CDO-Bibliotheken
verwaltet. Sie können entscheiden, ob Kalenderdaten
ausschließlich über Microsoft Exchange Web Services oder
ausschließlich über MAPI- und CDO-Bibliotheken verwaltet
werden sollen.
•
Aufgaben nach der Installation: Konfigurieren des
BlackBerry Enterprise Server für die Verwendung
von Microsoft Exchange Web Services
Verwenden des SNMP-Diensts zur Überwachung der
Komponenten, die BlackBerry OS-Geräte verwalten
Installations- und Konfigurationshandbuch
Mithilfe einer Enterprise Service Policy steuern, welche
BlackBerry OS-Geräte auf BES12 zugreifen können
Administratorhandbuch
•
•
Aufgaben nach der Installation: Konfigurieren eines
Computers für die Überwachung
Konfigurieren von Sicherheitsoptionen: Verwalten
des Zugriffs von Geräten auf den BlackBerry
Enterprise Server
Konfigurieren von BlackBerry MDS Connection Service,
Administratorhandbuch
BlackBerry Collaboration Service und BlackBerry
•
Konfiguration der BlackBerry Enterprise ServerAdministration Service, sodass Daten über einen Proxy-Server
Umgebung
gesendet werden
Konfigurieren hoher Verfügbarkeit für Komponenten, die
BlackBerry OS-Geräte verwalten
Ändern der Handhabung von Push-Daten und des
benutzerseiteigen Zugriffs auf Webinhalte durch BlackBerry
MDS Connection Service für BlackBerry OS-Geräte
Administratorhandbuch
•
Konfigurieren hoher Verfügbarkeit für BlackBerry
Enterprise Server
•
Konfigurieren hoher Verfügbarkeit für BlackBerry
Enterprise Server-Komponenten
•
Konfigurieren hoher Verfügbarkeit für BlackBerry
Configuration Database
Administratorhandbuch
12
•
Konfigurieren des Zugriffs von Benutzern auf
Unternehmensanwendungen und Webinhalte
•
Verwalten des Zugriffs von Benutzern auf
Unternehmensanwendungen und Webinhalte
Erste Schritte
Durchzuführende Aufgabe
Ressource
Verwenden von Erweiterungs-Plug-Ins für die Verarbeitung
von und Änderungen an E-Mail-Nachrichten und Anlagen auf
BlackBerry OS-Geräten
Administratorhandbuch
Zulassen, dass BlackBerry OS-Geräte Zertifikate für die
Authentifizierung bei Anwendungen oder Netzwerken
anmelden
Administratorhandbuch
Zulassen, dass Benutzer von BlackBerry OS-Geräten
Selbsthilfeaufgaben mithilfe des BlackBerry Web Desktop
Manager ausführen
Administratorhandbuch
•
•
Einrichten der Nachrichtenumgebung:
Erweiterungs-Plug-Ins für die Verarbeitung von
Nachrichten
Konfigurieren von BlackBerry-Geräten zur
Zertifikatregistrierung über das Drahtlosnetzwerk
•
Bereitstellen von BlackBerry Web Desktop Manager
für Benutzer
•
Konfigurieren des BlackBerry Web Desktop Manager
Ändern, wie Apps, OS-Updates und Einstellungen an
BlackBerry OS-Geräte gesendet werden
Administratorhandbuch
Ändern der Synchronisierung von Terminplanerdaten für
Benutzer von BlackBerry OS-Geräten
Administratorhandbuch
Ändern der Nachrichtenkonfiguration und der
Anlagenunterstützung für Komponenten, die BlackBerry OSGeräte verwalten
Administratorhandbuch
Ändern verschiedener Protokolldateieinstellungen, z. B.
Speicherort, Detailebene und Maximalgröße
Administratorhandbuch
Überprüfen und ggf. Ändern der Ports, die von Komponenten
verwendet werden, die BlackBerry OS-Geräte verwalten
Administratorhandbuch
•
•
•
•
•
13
Handhabung der Übermittlung von BlackBerry Java
Applications, BlackBerry Device Software und
Geräteeinstellungen an BlackBerry-Geräte
Verwalten der Synchronisierung von
Terminplanerdaten
Verwalten der Nachrichtenumgebung Ihres
Unternehmens und Unterstützung von Anlagen
BlackBerry Enterprise Server-Protokolldateien
BlackBerry Enterprise Solution-Verbindungstypen
und -Portnummern
Erste Schritte
Administratorberechtigungen, die für die
Konfiguration von BES12 benötigt werden
Wenn Sie die in diesem Handbuch beschriebenen Konfigurationsschritte ausführen, melden Sie sich mit dem während der
Installation von BES12 erstellten Administratorkonto bei der Verwaltungskonsole an. Wenn mehrere Personen
Konfigurationsaufgaben durchführen sollen, können Sie zusätzliche Administratorkonten erstellen. Weitere Informationen zum
Erstellen von Administratorkonten finden Sie in der Dokumentation für Administratoren.
Wenn Sie zusätzliche Administratorkonten für die Konfiguration von BES12 erstellen, müssen Sie den Konten die
Sicherheitsadministratorrolle zuweisen. Die Standard-Sicherheitsadministratorrolle weist die erforderlichen Berechtigungen für
die Ausführung aller Konfigurationsaufgaben auf.
Abrufen und Aktivieren von Lizenzen
Um die Geräte in der BES12-Domäne Ihres Unternehmens zu aktivieren, müssen Sie die erforderlichen Lizenzen abrufen und
aktivieren. Die Lizenzen müssen aktiviert werden, bevor Sie die Konfigurationsanweisungen in diesem Handbuch ausführen
und Benutzerkonten hinzufügen können.
Weitere Informationen über die unterschiedlichen Lizenztypen und zur Aktivierung von Lizenzen finden Sie in der
Dokumentation zur Lizenzierung.
Verwalten von WorkLife by BlackBerry
WorkLife by BlackBerry ist eine virtuelle SIM-Plattform (VSP), die es Unternehmen ermöglicht, geschäftliche und private
Telefonnummern auf BlackBerry 10-, iOS- oder Android-Geräten voneinander zu trennen und so einfach die Kosten für Anrufe,
SMS und Daten zwischen einem Unternehmen und seinen Mitarbeitern aufzuteilen.
Weitere Informationen zum Verwalten von WorkLife by BlackBerry in BES12 finden Sie in der Dokumentation zu WorkLife by
BlackBerry.
Was sind Mehrwertdienste?
Neben den Sicherheit- und Produktivitätsfunktionen von BES12 bietet BlackBerry weitere Software, die den Mehrwert Ihrer
BES12-Domäne steigern, indem sie den Anforderungen Ihres Unternehmens gerecht werden. Die folgenden Dienste arbeiten
parallel mit BES12 oder funktionieren als Plug-Ins, die neue Funktionen zu Ihrer bestehenden BES12-Software bereitstellen:
14
Erste Schritte
Mehrwertdienst
Beschreibung
WatchDox by BlackBerry
Ermöglichen Sie Benutzern das sichere Zugreifen, Synchronisieren, Bearbeiten und
Freigeben von Dateien und Ordnern auf Windows- und Mac OS-Tablets und
Computern sowie auf Android-, iOS und BlackBerry 10-Geräten. Schützen Sie
Dateien durch die Anwendung von DRM-Steuerelemente, um den Zugriff auch bei
gemeinsamer Verwendung außerhalb Ihrer Organisation einzuschränken.
Enterprise Identity by BlackBerry
Verwalten Sie den Benutzer- und Administratorzugriff auf SaaS-Anbieter wie BBM
Protected, Box, Concur, Dropbox, Salesforce, WatchDox uvm. Sie können auch
Unterstützung für benutzerdefinierte Dienste hinzufügen.
Strong Authentication by BlackBerry
Nutzen Sie Android-, iOS-, BlackBerry 10- und BlackBerry OS-Geräte als zweite
Stufe der zweistufigen VPN-Authentifizierung, um eine VPN-Lösung zu erstellen,
die für Sicherheit, Benutzerfreundlichkeit und Kosteneinsparungen sorgt.
SecuSUITE für Unternehmen
Ermöglichen Sie eine durchgehende Verschlüsselung für Telefonanrufe und SMS
zum Schutz vor Lauschangriffen.
WorkLife by BlackBerry
Trennen Sie geschäftliche und private Telefonnummern auf Android-, iOS- oder
BlackBerry 10-Geräten voneinander, und teilen Sie so einfach die Kosten für
Anrufe, SMS und Daten zwischen einem Unternehmen und seinen Mitarbeitern auf.
BBM Protected
Fügen Sie eine zusätzliche Verschlüsselungsschicht zu dem bestehenden BBMSicherheitsmodell hinzu.
Enterprise IM
Verbinden Sie den Instant Messaging-Server Ihres Unternehmens und die
Enterprise IM-App auf BlackBerry 10-Geräten. Benutzer können sichere Instant
Messaging-Konversationen auf ihren Geräten starten und verwalten.
BlackBerry Email Compression für
Unternehmen
Implementieren Sie Funktionen für die Datenkomprimierung zur Verwaltung und
Reduzierung von Datenkosten.
15
Hinzufügen vertrauenswürdiger Zertifikate
Hinzufügen vertrauenswürdiger
Zertifikate
2
Wenn Sie BES12 installieren, erstellt die Setup-Anwendung die folgenden selbstsignierten Zertifikate:
•
Ein SSL-Zertifikat, das von den BES12-Konsolen zum Herstellen von HTTPS-Verbindungen mit Browsern verwendet
wird
•
Ein SSL-Zertifikat, das vom BlackBerry Web Services zum Herstellen von HTTPS-Verbindungen mit Anwendungen
verwendet wird
•
Ein Zertifikat, das von BES12 zum Signieren des an iOS-Geräte gesendeten MDM-Profils gesendet wird
Da es sich bei den Zertifikaten um selbstsignierte Zertifikate handelt, erhalten die Administratoren und Benutzer eine
Warnmeldung mit dem Hinweis, dass die Zertifikate nicht verifiziert werden können. Sie können die selbstsignierten Zertifikate
durch vertrauenswürdige Zertifikaten ersetzen, die von einer Zertifizierungsstelle signiert wurden.
Ändern des von den BES12-Konsolen
verwendeten Zertifikats
Wenn Sie BES12 installieren, erzeugt die Setupanwendung ein selbst-signiertes SSL-Zertifikat, mit dem sich die folgenden
Komponenten bei Browsern authentifizieren können:
•
BES12-Verwaltungskonsole
•
BES12 Self-Service
Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen, sodass Administratoren und Benutzer
keine Warnmeldung von ihren Browsern mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können
ein vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle
Ihres Unternehmens signiert wurde.
Ändern des von den BES12-Konsolen verwendeten Zertifikats
Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle
Ihres Unternehmens signiert wurde. BES12 unterstützt Zertifikate im PFX-Format entweder mit der
Dateinamenerweiterung .pfx oder .p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen,
das den Namen der BES12-Domäne verwendet. Sie finden den BES12-Domänennamen in der Verwaltungskonsole unter
Einstellungen > Infrastruktur > BES12-Instanzen.
16
Hinzufügen vertrauenswürdiger Zertifikate
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate und -Vertrauenswürdigkeiten.
2.
Klicken Sie im Abschnitt SSL-Zertifikat für Konsolen auf Details anzeigen.
3.
Klicken Sie auf Zertifikat ersetzen.
4.
Klicken Sie auf Durchsuchen.
5.
Wählen Sie das zu verwendende E-Mail-Profil aus.
6.
Klicken Sie auf Öffnen.
7.
Geben Sie das Verschlüsselungskennwort ein.
8.
Klicken Sie auf Ersetzen.
9.
Starten Sie den BES12 Core-Dienst auf allen Servern neu.
Ändern des von den BlackBerry Web Services
verwendeten Zertifikats
Wenn Sie BES12 installieren, generiert die Setupanwendung ein selbst signiertes SSL-Zertifikat, das der BlackBerry Web
Services zur Authentifizierung von Anwendungen verwendet, die die BlackBerry Web Services APIs zum Verwalten von BES12
nutzen.
Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen und zu vermeiden, dass Administratoren
eine Warnmeldung mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein
vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres
Unternehmens signiert wurde.
Ändern des von den BlackBerry Web Services verwendeten
Zertifikats
Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle
Ihres Unternehmens signiert wurde. BES12 unterstützt Zertifikate im PFX-Format entweder mit der
Dateinamenerweiterung .pfx oder .p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen,
das den Namen der BES12-Domäne verwendet. Sie finden den BES12-Domänennamen in der Verwaltungskonsole unter
Einstellungen > Infrastruktur > BES12-Instanzen.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate und -Vertrauenswürdigkeiten.
2.
Klicken Sie im Abschnitt SSL-Zertifikat für BlackBerry Web Services auf Details anzeigen.
3.
Klicken Sie auf Zertifikat ersetzen.
4.
Klicken Sie auf Durchsuchen.
17
Hinzufügen vertrauenswürdiger Zertifikate
5.
Wählen Sie das zu verwendende E-Mail-Profil aus.
6.
Klicken Sie auf Öffnen.
7.
Geben Sie das Verschlüsselungskennwort ein.
8.
Klicken Sie auf Ersetzen.
9.
Starten Sie den BES12 Core-Dienst auf allen Servern neu.
Wenn Sie fertig sind: Wenn Sie Anwendungen für BlackBerry Web Services entwickeln, fügen Sie das SSL-Zertifikat zu dem
Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf Ihrem Computer und ggf. den Java Keystore für Ihre
Anwendungen hinzu. Weitere Informationen finden Sie im Java Entwicklungshandbuch oder Microsoft .NET
Entwicklungshandbuch unter help.blackberry.com/detectLang/blackberry-web-services-for-bes12/.
Ändern des von BES12 zum Signieren des MDMProfils auf iOS-Geräten verwendeten Zertifikats
Wenn Sie BES12 installieren, erzeugt die Setupanwendung ein Zertifikat, das von BES12 zum Signieren eines MDM-Profils
verwendet werden kann, das Benutzer zur Aktivierung der iOS-Geräte akzeptieren müssen.
Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen und zu vermeiden, dass Benutzer eine
Warnmeldung mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann.
Sie können ein selbstsigniertes Zertifikat oder ein vertrauenswürdiges Zertifikat mit Signatur einer Zertifizierungsstelle
importieren.
Ändern des von BES12 zum Signieren des MDM-Profils auf iOSGeräten verwendeten Zertifikats
Bevor Sie beginnen: Erzeugen Sie ein selbstsigniertes SSL-Zertifikat oder ein vertrauenswürdiges Zertifikat mit Signatur einer
Zertifizierungsstelle. Das Zertifikat muss ein Schlüsselspeicher-Format (.pfx, .pkcs12) aufweisen.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate und -Vertrauenswürdigkeiten.
2.
Klicken Sie im Abschnitt Apple-Profil-Signaturzertifikat auf Details anzeigen.
3.
Klicken Sie auf Zertifikat ersetzen.
4.
Navigieren Sie zur Zertifikatsdatei, und geben Sie das Kennwort ein.
5.
Klicken Sie auf Ersetzen.
18
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines Proxy-Servers
Konfigurieren von BES12 für die
Verwendung des BlackBerry Router
oder eines Proxy-Servers
3
Um einen Proxy-Server mit BES12 zu verwenden, können Sie den BlackBerry Router als Proxy-Server installieren oder einen
bereits in der Umgebung installierten TCP-Proxy-Server verwenden.
Sie können den BlackBerry Router oder einen Proxy-Server außerhalb der Unternehmens-Firewall in einer DMZ installieren.
Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Servers in einer DMZ wird die Sicherheit für BES12
zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu
BES12 her. Alle Verbindungen zur BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry
Router oder den Proxy-Server geleitet.
Standardmäßig stellt BES12 über Port 3101 eine direkte Verbindung mit der BlackBerry Infrastructure her. Wenn die
Sicherheitsrichtlinie Ihres Unternehmens jedoch vorschreibt, dass interne Systeme keine direkten Verbindungen mit dem
Internet herstellen dürfen, können Sie den BlackBerry Router oder einen TCP-Proxy-Server installieren. Der BlackBerry Router
bzw. der TCP-Proxy-Server fungiert als Vermittler zwischen BES12 und der BlackBerry Infrastructure.
Bei BlackBerry OS-Geräten (Version 5.0 bis 7.1) sendet der BlackBerry Router Daten auch direkt an Geräte und empfängt
Daten von Geräten, die mit einem geschäftlichen Wi-Fi-Netzwerk oder mit einem Computer mit BlackBerry Device Manager
verbunden sind.
Diese Abbildung zeigt die folgenden Optionen für die Konfiguration von BES12 zur Proxy-Server-Verwendung: kein ProxyServer, TCP-Proxy-Server in einer DMZ und BlackBerry Router in einer DMZ.
19
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines Proxy-Servers
Konfigurieren eines Proxy-Servers bei der
erstmaligen Anmeldung bei BES12
Sie werden möglicherweise aufgefordert, die ursprüngliche BlackBerry Router-Instanz oder den TCP-Proxy-Server zu
konfigurieren, wenn Sie sich erstmals bei der Verwaltungskonsole anmelden. Wenn Sie den Proxy-Server konfigurieren, sind
möglicherweise zusätzliche Konfigurationsschritte für den BlackBerry Router oder den TCP-Proxy-Server in der
Verwaltungskonsole erforderlich. Weitere BlackBerry Router- oder TCP-Proxy-Serverinstanzen können nach der Anmeldung an
der Verwaltungskonsole konfiguriert werden .
Vergleichen von TCP-Proxys
Proxy
Beschreibung
Transparenter TCP-Proxy
•
Fängt die normale Kommunikation auf Netzwerkebene ohne spezielle ClientKonfiguration ab
•
Keine Client-Browser-Konfiguration erforderlich
•
Befindet sich in der Regel zwischen Client und Internet
20
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines Proxy-Servers
Proxy
SOCKS v5-Proxy
Beschreibung
•
Führt Funktionen eines Gateways oder Routers aus
•
Wird häufig zur Durchsetzung von Richtlinien für die zulässige Nutzung
verwendet
•
Wird von Internetdienstanbietern in einigen Ländern häufig verwendet, um
Upstream-Bandbreite einzusparen und Kundenreaktionszeiten durch
Zwischenspeicherung zu verbessern
•
Ein Internetprotokoll für die Verarbeitung von Internetdatenverkehr über einen
Proxy-Server
•
Die Verarbeitung ist mit nahezu jeder TCP/UDP-Anwendung möglich,
einschließlich Browsern und FTP-Clients, die SOCKS unterstützen
•
Kann eine gute Lösung für Internetanonymität und -sicherheit sein
•
Leitet Netzwerkpakete zwischen einem Client und einem Server über einen
Proxy-Server weiter
•
Bietet Authentifizierungsmöglichkeiten, sodass nur autorisierte Benutzer auf
einen Server zugreifen können
•
Leitet TCP-Verbindungen an eine beliebige IP-Adresse weiter
•
Ermöglicht die Anonymisierung von UDP- und TCP-Protokollen wie HTTP
Konfigurieren eines TCP-Proxy-Servers
Sie können einen transparenten TCP-Proxy-Server für den BES12 Core-Dienst und einen weiteren transparenten TCP-ProxyServer für den BlackBerry Affinity Manager-Dienst konfigurieren. Diese Dienste erfordern eine ausgehende Verbindung, für die
möglicherweise auch unterschiedliche Ports konfiguriert werden müssen. Sie können nicht mehrere transparente TCP-ProxyServer für den jeweiligen Dienst installieren oder konfigurieren.
Sie können jedoch mehrere TCP-Proxy-Server, die mit SOCKS v5 (keine Authentifizierung) konfiguriert wurden, für die
Verbindung mit BES12 festlegen. Mehrere TCP-Proxy-Server mit SOCKS v5-Konfiguration (keine Authentifizierung) können
Unterstützung bereitstellen, wenn eine der aktiven Proxy-Serverinstanzen nicht ordnungsgemäß funktioniert.
Sie konfigurieren nur einen einzelnen Port, der von allen Dienstinstanzen mit SOCKS v5 (keine Authentifizierung) überwacht
wird. Wenn Sie mehr als einen TCP-Proxy-Server mit SOCKS v5 konfigurieren (keine Authentifizierung), muss der
Überwachungsport für jeden TCP-Proxy-Server mit SOCKS v5 freigegeben werden.
21
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines Proxy-Servers
Konfigurieren von BES12 für die Verwendung eines
transparenten TCP-Proxy-Servers
Bevor Sie beginnen: Installieren Sie einen kompatiblen transparenten TCP-Proxy-Server in der BES12-Domäne.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie auf Infrastruktur > BlackBerry-Router und -Proxy.
3.
Wählen Sie die Option Proxy-Server.
4.
Führen Sie eine der folgenden Aufgaben aus:
Aufgabe
Schritte
Weiterleiten von TCP-Daten über Geben Sie in den Feldern BES12 Core den FQDN oder die IP-Adresse und die
einen TCP-Proxy-Server
Portnummer des Proxy-Servers ein.
Weiterleiten von SRPDatenverkehr über einen TCPProxy-Server
5.
Geben Sie in den Feldern BlackBerry Affinity Manager den FQDN oder die IP-Adresse
und die Portnummer des Proxy-Servers ein.
Klicken Sie auf Speichern.
Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server
Bevor Sie beginnen: Installieren Sie einen kompatiblen TCP-Proxy-Server mit SOCKS v5 (ohne Authentifizierung) in der BES12Domäne.
1.
Klicken Sie in der Menüleiste auf Einstellungen >
2.
Klicken Sie auf Infrastruktur > BlackBerry-Router und -Proxy.
3.
Wählen Sie die Option Proxy-Server.
4.
Aktivieren Sie das Kontrollkästchen SOCKS v5 aktivieren.
5.
Klicken Sie auf
6.
Geben Sie in das Feld Serveradresse die IP-Adresse oder den Hostnamen des SOCKS v5-Proxy-Servers ein.
7.
Klicken Sie auf Hinzufügen.
8.
Wiederholen Sie die Schritte 1 bis 7 für jede SOCKS v5-Proxy-Server-Instanz, die Sie konfigurieren möchten.
9.
Geben Sie im Feld Port die Portnummer ein.
.
10. Klicken Sie auf Speichern.
22
Konfigurieren von BES12 für die Verwendung des BlackBerry Router oder eines Proxy-Servers
Konfigurieren des BlackBerry Router
Sie können mehrere BlackBerry Router-Instanzen zur Verbindung mit BES12 konfigurieren, um hohe Verfügbarkeit für den
BlackBerry Router zu bieten. Sie konfigurieren nur einen Port für die Überwachung durch BlackBerry Router-Instanzen.
BES12 bietet keine Unterstützung für eine BlackBerry Router-Instanz, die ursprünglich mit BES5 verwendet wurde.
BES12 stellt standardmäßig eine Verbindung zum BlackBerry Router her und stellt über Port 3102 eine Verbindung zu BES12Diensten her und stellt über Port 3101 eine Verbindung zu BES5-Diensten her.
Wenn Sie BES12-Dienste mit dem BlackBerry Router verbinden, unterstützt der BlackBerry Router den kompletten
ausgehenden Datenverkehr von den - BES12 Core- und BlackBerry Affinity Manager -Diensten.
Hinweis: Wenn ein anderer Port als der Standardport für den BlackBerry Router verwendet werden soll, finden Sie weitere
Informationen unter http://support.blackberry.com/kb im Artikel KB36385.
Konfigurieren von BES12 für die Verwendung des BlackBerry
Router
Bevor Sie beginnen: Installieren Sie den BlackBerry Router in der BES12-Domäne. Weitere Informationen zur Installation des
BlackBerry Router finden Sie in der Dokumentation zu Installation und Upgrade.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie auf Infrastruktur > BlackBerry-Router und -Proxy.
3.
Wählen Sie die Option BlackBerry Router.
4.
Klicken Sie auf
5.
Geben Sie in das Feld Routeradresse die IP-Adresse oder den Host-Namen der BlackBerry Router-Instanz ein, zu der
BES12 eine Verbindung herstellen soll.
6.
Klicken Sie auf Hinzufügen.
7.
Wiederholen Sie die Schritte 1 bis 6 für jede BlackBerry Router-Instanz, die Sie konfigurieren möchten.
8.
Geben Sie in das Feld Port die Portnummer ein, die von allen BlackBerry Router-Instanzen überwacht wird. Der
Standardwert ist 3102.
9.
Klicken Sie auf Speichern.
.
23
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Herstellen einer Verbindung zu
Unternehmensverzeichnissen
4
Sie können BES12 mit dem Microsoft Active Directory- oder LDAP-Verzeichnis Ihres Unternehmens verbinden, sodass der
Zugriff auf die Benutzerliste Ihres Unternehmens möglich ist. Wenn Ihr Unternehmensverzeichnis verbunden ist, können Sie in
BES12 mit Benutzerdaten aus dem Verzeichnis Benutzerkonten erstellen, und BES12 kann Administratoren für die
Verwaltungskonsole und Benutzer für BES12 Self-Service authentifizieren. Sie können BES12 mit mehreren Verzeichnissen
verbinden. Die Verzeichnisse können aus einer Kombination aus Microsoft Active Directory und LDAP bestehen.
Wenn Sie BES12 nicht mit einem Unternehmensverzeichnis verbinden, ist es möglich, lokale Benutzerkonten manuell zu
erstellen und Administratoren über die Standardauthentifizierung anzumelden.
Schritte zum Konfigurieren einer Verbindung
zum Unternehmensverzeichnis
Führen Sie die folgenden Schritte aus, um ein Unternehmensverzeichnis mit BES12 zu verbinden:
Schritt
Aktion
Stellen Sie eine Verbindung mit einer Microsoft Active Directory-Instanz oder einem LDAP-Verzeichnis
her.
Wenn in Ihrer Umgebung eine Ressourcengesamtstruktur enthalten ist, lesen Sie Konfigurieren der
Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur
enthält .
Aktivieren Sie per Verzeichnis verknüpfte Gruppen.
Erstellen Sie einen Synchronisierungszeitplan.
24
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Konfigurieren der Microsoft Active DirectoryAuthentifizierung in einer Umgebung, die eine
Ressourcengesamtstruktur enthält
Wenn Ihre Unternehmensumgebung eine Ressourcengesamtstruktur enthält, die für das Ausführen von Microsoft Exchange
verwendet wird, können Sie die Microsoft Active Directory-Authentifizierung für Benutzerkonten konfigurieren, die sich in
vertrauenswürdigen Kontengesamtstrukturen befinden.
Wenn Ihre Umgebung eine Ressourcengesamtstruktur enthält, müssen Sie BES12 in dieser installieren. In der
Ressourcengesamtstruktur erstellen Sie für jedes Benutzerkonto ein Postfach und weisen die Postfächer den Benutzerkonten
zu. Wenn Sie die Postfächer in der Ressourcengesamtstruktur Benutzerkonten in den Kontengesamtstrukturen zuweisen,
erhalten die Benutzerkonten vollen Zugriff auf die Postfächer, und es wird eine Verbindung zwischen den Benutzerkonten in
den Kontengesamtstrukturen und dem Microsoft Exchange-Server hergestellt.
Um Benutzer zu authentifizieren, die sich bei BES12 anmelden, muss BES12 die Benutzerinformationen lesen, die auf den zur
Ressourcengesamtstruktur gehörenden globalen Katalogservern gespeichert sind. Um BES12 so zu konfigurieren, dass
Benutzerkonten authentifiziert werden, die mit Postfächern in der Ressourcengesamtstruktur verknüpft sind, müssen Sie ein
Microsoft Active Directory-Konto für BES12 erstellen, das sich in einer zur Ressourcengesamtstruktur gehörenden WindowsDomäne befindet. Sie geben die Windows-Domäne, den Benutzernamen und das Kennwort für das Microsoft Active DirectoryKonto an und ggf. auch die Namen der globalen Katalogserver, die BES12 verwenden kann.
Weitere Informationen finden Sie auf technet.microsoft.com unter Verwalten verknüpfter Postfächer.
Herstellen der Verbindung zu einer Microsoft
Active Directory-Instanz
Bevor Sie beginnen: Erstellen Sie ein Microsoft Active Directory-Konto, das von BES12 verwendet werden kann. Das Konto
muss die folgenden Anforderungen erfüllen:
•
Es muss sich in einer Windows-Domäne befinden, die Teil der Microsoft Exchange-Gesamtstruktur ist.
•
Es muss Berechtigungen für den Zugriff auf den Benutzercontainer und Leseberechtigungen für die Benutzerobjekte
aufweisen, die in den globalen Katalogservern in der Microsoft Exchange-Gesamtstruktur gespeichert sind.
•
Konfigurieren Sie die Kennworteinstellungen für das Konto, sodass das Kennwort nicht abläuft und bei der nächsten
Anmeldung nicht geändert werden muss.
•
Wenn Sie die einmalige Anmeldung aktivieren, konfigurieren Sie die eingeschränkte Delegierung für das Konto.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.
2.
Klicken Sie auf Hinzufügen einer Microsoft Active Directory-Verbindung.
25
Herstellen einer Verbindung zu Unternehmensverzeichnissen
3.
Geben Sie im Feld Name der Verbindung des Verzeichnisses den Namen der Verzeichnisverbindung ein.
4.
Geben Sie im Feld Benutzername den Benutzernamen des Microsoft Active Directory-Kontos ein.
5.
Geben Sie im Feld Domäne den Namen der Windows-Domäne ein, die zur Microsoft Exchange-Gesamtstruktur gehört.
Geben Sie den Domänennamen im DNS-Format ein (z. B. beispiel.com).
6.
Geben Sie im Feld Kennwort das Kennwort für das Microsoft Active Directory-Konto ein.
7.
Führen Sie in der Dropdown-Liste Erkennung des Domain Controllers eine der folgenden Aktionen aus:
Option
Beschreibung
Zulassen, dass BES12 nach
Domänencontrollern sucht
1.
Klicken Sie auf Automatisch.
Steuern, welche Domänencontroller
von BES12 durchsucht werden
1.
Klicken Sie auf Aus der Liste unten auswählen.
2.
Geben Sie im Feld Servernamen den Namen des Domänencontrollers im
DNS-Format (z. B. beispiel.com) ein.
3.
Um weitere Domänencontroller hinzuzufügen, klicken Sie auf
geben Sie den Namen des Domänencontrollers ein.
8.
9.
, und
Führen Sie im Feld Suchbasis des globalen Katalogs eine der folgenden Aktionen aus:
•
Lassen Sie das Feld leer, um BES12 zu ermöglichen, den globalen Katalog zu durchsuchen.
•
Geben Sie den Distinguished Name des Benutzercontainers ein (z. B. OU=sales,DC=example,DC=com), um zu
steuern, welche Benutzerkonten BES12 authentifizieren kann.
Führen Sie in der Dropdown-Liste Erkennung des globalen Katalogs eine der folgenden Aktionen aus:
Option
Beschreibung
Ermöglichen, dass BES12 alle globalen 1.
Katalogserver in der Microsoft
Exchange-Gesamtstruktur
automatisch findet
Klicken Sie auf Automatisch.
Steuern, welche Benutzerkonten
BES12 authentifizieren kann
1.
Klicken Sie auf Aus der Liste unten auswählen.
2.
Geben Sie im Feld Servernamen den DNS-Namen des globalen
Katalogservers ein, auf den BES12 zugreifen soll (z. B.
globalcatalog01.beispiel.com). Sie müssen den DNS-Namen eines
globalen Katalogservers eingeben, der sich in der Windows-Domäne
befindet, in der das Microsoft Active Directory-Konto gespeichert ist.
26
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Option
Beschreibung
3.
Um weitere globale Katalogserver hinzuzufügen, klicken Sie auf
geben Sie den DNS-Namen des globalen Katalogservers ein.
, und
10. Führen Sie in der Dropdown-Liste Unterstützung für verknüpfte Microsoft Exchange-Postfächer eine der folgenden
Aktionen aus:
Option
Beschreibung
Unterstützung für verknüpfte Microsoft 1.
Exchange-Postfächer deaktivieren
Klicken Sie auf Nein.
Unterstützung für verknüpfte Microsoft 1. Klicken Sie auf Ja.
Exchange-Postfächer aktivieren
Um das Microsoft Active Directory-Konto für die jeweilige Gesamtstruktur zu
konfigurieren, auf die BES12 zugreifen soll, führen Sie die folgenden Aktionen
aus:
1.
Klicken Sie im Abschnitt Auflisten von Kontengesamtstrukturen auf
2.
Geben Sie im Fenster Kontengesamtstrukturen hinzufügen im Feld
Benutzerdomäne den Namen der Benutzerdomäne ein. Der Benutzer
kann einer beliebigen Domäne in der Kontengesamtstruktur angehören.
3.
Geben Sie im Feld Benutzername den Benutzernamen für das Microsoft
Active Directory-Konto ein.
4.
Geben Sie im Feld Kennwort das Kennwort für das Microsoft Active
Directory-Konto ein.
5.
Klicken Sie auf Hinzufügen.
.
11. Zum Aktivieren der einmaligen Anmeldung wählen Sie das Kontrollkästchen Windows Single Sign-On aktivieren aus.
12. Führen Sie folgende Aktionen aus:
a.
Klicken Sie auf Speichern.
b.
Wenn Sie die einmalige Anmeldung aktiviert haben, klicken Sie auf Speichern.
BES12 überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht
gültig sind, werden Sie von BES12 aufgefordert, die richtigen Informationen anzugeben.
13. Klicken Sie auf Schließen.
Wenn Sie fertig sind: Wenn Sie die einmalige Anmeldung aktiviert haben, führen Sie die folgenden Aktionen aus:
•
Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu.
27
Herstellen einer Verbindung zu Unternehmensverzeichnissen
•
Weisen Sie Administratoren und BES12 Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an
BES12 zu konfigurieren.
Verwandte Informationen
Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen
Anmeldung, auf Seite 39
Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 41
Herstellen der Verbindung zu einem LDAPVerzeichnis
Bevor Sie beginnen: Erstellen Sie ein LDAP-Konto für BES12 im entsprechenden LDAP-Verzeichnis. Das Konto muss die
folgenden Anforderungen erfüllen:
•
Der Benutzer benötigt Leseberechtigungen für alle Benutzer im Verzeichnis.
•
Der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern.
•
Das Kennwort des Benutzers läuft nie ab.
Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAPVerbindung haben.
Hinweis: Die LDAP-Attributwerte in den nachfolgenden Schritten können sich von den Attributen unterscheiden, die Sie
eingeben müssen. Die von Ihnen einzugebenden Werte hängen von der LDAP-Umgebung ab, die Ihr Unternehmen verwendet.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.
2.
Klicken Sie auf Hinzufügen einer LDAP-Verbindung.
3.
Geben Sie im Feld Name der Verbindung des Verzeichnisses einen Namen für die Verzeichnisverbindung ein.
4.
Führen Sie in der Dropdown-Liste LDAP-Servererkennung eine der folgenden Aktionen aus:
•
Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf Automatisch. Geben Sie im Feld DNSDomänenname den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet.
•
Um die Liste der LDAP-Server festzulegen, klicken Sie auf Server aus der Liste auswählen. Geben Sie in das
Feld LDAP-Server den Namen des LDAP-Servers ein. Um weitere LDAP-Server anzugeben, klicken Sie auf
5.
Führen Sie in der Dropdown-Liste SSL aktivieren eine der folgenden Aktionen aus:
Option
Beschreibung
Wenn die LDAP-Verbindung SSLVerschlüsselung aufweist
1.
Klicken Sie auf Ja.
2.
Klicken Sie neben dem Feld LDAP-Server-SSL-Zertifikat auf
Durchsuchen.
28
.
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Option
Beschreibung
3.
Wählen Sie das LDAP-Serverzertifikat aus.
4.
Klicken Sie auf Öffnen.
Wenn die LDAP-Verbindung keine SSL- 1.
Verschlüsselung aufweist
Klicken Sie auf Nein.
6.
Geben Sie im Feld LDAP-Port die TCP-Portnummer für die Kommunikation ein (z. B. 636 für SSL aktiviert oder 389 für SSL
deaktiviert).
7.
Führen Sie in der Dropdown-Liste Autorisierung erforderlich eine der folgenden Aktionen aus:
Option
Beschreibung
Wenn für die Verbindung eine
Autorisierung erforderlich ist
1.
Klicken Sie auf Ja.
2.
Geben Sie im Feld Anmeldung den DN des Benutzers ein, der für die
Anmeldung an LDAP autorisiert ist (z. B. an=admin,o=Org1).
3.
Geben Sie im Feld Kennwort das Kennwort ein.
1.
Klicken Sie auf Nein.
Wenn für die Verbindung keine
Autorisierung erforderlich ist
8.
Geben Sie im Feld Benutzersuchbasis den Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden
soll.
9.
Geben Sie im Feld LDAP-Suchfilter nach Benutzer den LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf
Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie in IBM Domino Directory beispielsweise
(objectClass=Person) ein.
Hinweis: Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, müssen Sie
(&(objectclass=user)(logindisabled=false)) eingeben.
10. Führen Sie in der Dropdown-Liste LDAP-Benutzer-Suchbereich eine der folgenden Aktionen aus:
•
Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf Alle Ebenen. Dieser Wert ist die
Standardeinstellung.
•
Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf Eine
Ebene.
11. Geben Sie im Feld Eindeutige Kennung den Namen des Attributs ein, das den jeweiligen Benutzer im LDAP-Verzeichnis
Ihres Unternehmens eindeutig identifiziert. Dieses Attribut muss eine Zeichenfolge sein, die unveränderbar und global
eindeutig ist. Geben Sie beispielsweise in IBM Domino LDAP 7 und höher dominoUNID und in Microsoft Active Directory
objectGUID ein.
29
Herstellen einer Verbindung zu Unternehmensverzeichnissen
12. Geben Sie im Feld Vorname das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise givenName).
13. Geben Sie im Feld Nachname das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise sn).
14. Geben Sie im Feld Anmeldeattribute das für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweise
uid).
15. Geben Sie im Feld E-Mail-Adresse das Attribut für die E-Mail-Adresse der einzelnen Benutzer ein (beispielsweise mail).
Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
16. Geben Sie im Feld Anzeigename das Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweise
displayName). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
17. Geben Sie im Feld Kontoname des E-Mail-Profils das Attribut für den Kontonamen des E-Mail-Profils der einzelnen
Benutzer ein (beispielsweise mail).
18. Geben Sie im Feld Benutzerprinzipalname den Benutzerprinzipalnamen für SCEP ein (beispielsweise mail).
19. Um Gruppen zu aktivieren, die per Verzeichnis verknüpft sind, aktivieren Sie das Kontrollkästchen Aktivieren von per
Verzeichnis verknüpften Gruppen, und füllen Sie die folgenden Felder aus:
Option
Beschreibung
Suchbasis für Gruppen
Geben Sie den Wert an, der als Basis-DN für Gruppeninformationssuchen
verwendet werden soll.
LDAP-Suchfilter für Gruppen
Geben Sie den LDAP-Suchfilter ein, der erforderlich ist, um Gruppenobjekte in
Ihrem Unternehmensverzeichnis aufzufinden. Geben Sie z. B. für IBM Domino
Directory (objectClass=dominoGroup) ein.
Eindeutige Kennung der Gruppe
Geben Sie das Attribut für die eindeutige Kennung der einzelnen Gruppen ein.
Dieses Attribut muss unveränderbar und global eindeutig sein (beispielsweise
cn).
Anzeigename der Gruppe
Geben Sie das Attribut für den Anzeigenamen der einzelnen Gruppen ein
(beispielsweise cn).
Gruppenmitgliedschaftsattribut
Geben Sie das Attribut für den Mitgliedschaftsbezeichner der einzelnen
Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein
(beispielsweise member).
Gruppennamen testen
Geben Sie einen bestehenden Gruppennamen ein, um die festgelegten
Gruppenattribute zu validieren.
20. Klicken Sie auf Speichern.
21. Klicken Sie auf Schließen.
30
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Aktivieren von per Verzeichnis verknüpften
Gruppen
Sie können Gruppen erstellen, die mit Gruppen in Ihrem Unternehmensverzeichnis verknüpft sind. Sie können BES12 so
konfigurieren, dass die Mitgliedschaft einer mit einem Verzeichnis verknüpften Gruppe mit den zugehörigen
Unternehmensverzeichnisgruppen automatisch synchronisiert wird. Wenn Sie per Verzeichnis verknüpfte Gruppen aktivieren,
haben Sie die Möglichkeit, Onboarding und Offboarding zu nutzen, die Synchronisierung zu erzwingen, die maximale Anzahl an
Änderungen je Synchronisierung und die Anzahl der Verschachtelungsebenen für die verknüpften Gruppen festzulegen.
Objekt
Beschreibung
Onboarding aktivieren
Onboarding bedeutet, dass Benutzerkonten basierend auf der Benutzer‐
mitgliedschaft in einer Unternehmensverzeichnisgruppe automatisch zu BES12
hinzugefügt werden können. Sie müssen die Unternehmensverzeichnisgruppen im
Abschnitt „Onboarding-Verzeichnisgruppen“ hinzufügen. Benutzerkonten aus
diesen Unternehmensverzeichnisgruppen werden während des
Synchronisierungsvorgangs automatisch zu BES12 hinzugefügt.
Sie können festlegen, dass integrierte Benutzer entweder eine E-Mail mit einem
automatisch generierten Aktivierungskennwort für das Gerät erhalten, oder
festlegen, dass kein Aktivierungskennwort für das Gerät erforderlich ist.
Offboarding
Optional können Sie Offboarding einrichten. Offboarding erfolgt, wenn ein Benutzer
aus allen Unternehmensverzeichnisgruppen in der Liste „OnboardingVerzeichnisgruppen“ entfernt und Offboarding aktiviert wird.
Sie können die folgenden Erzwingungsaktionen auswählen, die BES12 beim
Offboarding eines Benutzers ausführen soll:
•
•
Gerätedaten löschen, wenn der Benutzer von allen integrierten
Verzeichnisgruppen entfernt wird
◦
Nur Geschäftsdaten löschen
◦
Alle Gerätedaten löschen
◦
Alle unternehmenseigenen Gerätedaten löschen/Nur
Geschäftsdaten löschen, die privates Eigentum sind
Benutzer löschen, wenn der Benutzer von allen integrierten
Verzeichnisgruppen entfernt wird
Je nach den Offboarding-Einstellungen, Unternehmensverzeichnisbenutzern und/
oder deren Geräten werden Benutzer automatisch aus BES12 gelöscht, wenn sie
31
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Objekt
Beschreibung
aus allen Unternehmensverzeichnisgruppen entfernt werden, die für Onboarding
konfiguriert wurden. Sie werden aus BES12 entfernt, wenn sie keiner
Unternehmensverzeichnisgruppe angehören, die für Onboarding konfiguriert
wurde. Die Offboarding-Einstellungen gelten auch für bestehende
Verzeichnisbenutzer in BES12. Es wird empfohlen, durch Klicken auf das
Vorschausymbol einen Verzeichnissynchronisierungsbericht zum Überprüfen der
Änderungen zu erzeugen.
Synchronisierung erzwingen
Mit „Synchronisierung erzwingen“ wird das Synchronisierungsverhalten festgelegt,
das beim Löschen einer Unternehmensverzeichnisgruppe aus dem
Unternehmensverzeichnis auftritt. Wenn eine Unternehmensverzeichnisgruppe
nicht mehr vorhanden ist und „Synchronisierung erzwingen“ aktiviert ist, wird die
Unternehmensverzeichnisgruppe während des Synchronisierungsvorgangs aus der
Liste der Onboarding-Verzeichnisgruppen und aus allen mit einem Verzeichnis
verknüpften Gruppen entfernt.
Wenn „Synchronisierung erzwingen“ aktiviert ist und alle mit einem
Unternehmensverzeichnis verknüpften Gruppen nicht mehr in Ihrem
Unternehmensverzeichnis vorhanden sind, wird eine mit dem Verzeichnis
verknüpfte Gruppe in eine lokale Gruppe umgewandelt.
Wenn „Synchronisierung erzwingen“ deaktiviert ist und eine Unter‐
nehmensverzeichnisgruppe in Ihrem Unternehmensverzeichnis nicht gefunden
werden kann, wird der Synchronisierungsvorgang abgebrochen.
Synchronisierungsbeschränkung
Wenn die Anzahl der Änderungen die maximale Anzahl der Änderungen je
Synchronisation überschreitet, können Sie die Ausführung der Synchronisation
verhindern.
Vor Beginn des Synchronisierungsvorgangs wird die Gesamtzahl der Änderungen
berechnet, indem die Anzahl der integrierten Benutzer, der entfernten Benutzer,
der den Gruppen hinzugefügten Benutzer und der aus den Gruppen entfernten
Benutzer addiert wird.
Der Standardwert ist 5. Wenn Sie die Anzahl der Änderungen nicht einschränken
möchten, müssen Sie 0 eingeben.
Maximale Verschachtelung von
Verzeichnisgruppen
Sie können die Höchstanzahl der Ebenen in einer Unternehmensverzeichnisgruppe
festlegen, mit denen die mit einem Verzeichnis verknüpften Gruppen verlinkt
werden sollen. Sie können Verknüpfungen zu einer unbegrenzten Anzahl an
Verschachtelungsebenen erstellen.
Beispiele:
32
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Objekt
Beschreibung
•
Der Standardwert ist „-1“. Bei diesem Wert werden alle Ebenen
zurückgegeben.
•
Wenn Sie „0“ eingeben, wird nur die oberste Ebene zurückgegeben.
•
Wenn Sie „1“ eingeben, werden die oberste Ebene und die erste
verschachtelte Ebene zurückgegeben.
Wenn eine Unternehmensverzeichnisgruppe beispielsweise 5 Ebenen aufweist und
Verknüpfungen zu allen Ebenen hergestellt werden sollen, geben Sie in das
vorhandene Feld „-1“ ein. Wenn Sie nur eine Verknüpfung zur obersten Ebene
wünschen, geben Sie „0“ ein. Wenn Sie eine Verknüpfung zur obersten Ebene und
den ersten 4 Ebenen wünschen, geben Sie „4“ ein.
Weitere Informationen zum Erstellen von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation für
Administratoren.
Aktivieren von per Verzeichnis verknüpften Gruppen
Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie
können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der
Synchronisierung speichern.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis.
3.
Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses.
4.
Klicken Sie auf Synchronisierungseinstellungen.
5.
Wenn per Verzeichnis verknüpfte Gruppen aktiviert werden sollen, wählen Sie Aktivieren von per Verzeichnis verknüpften
Gruppen.
6.
Wenn Sie Onboarding aktivieren möchten, wählen Sie Onboarding aktivieren, und führen Sie für die jeweilige Gruppe, die
integriert werden soll, die folgenden Aktionen aus:
Option
Beschreibung
Onboarding aktivieren
1.
Klicken Sie im Abschnitt Onboarding-Verzeichnisgruppen auf
2.
Geben Sie im Feld Gruppe aus Verzeichnis suchen den Namen der
Unternehmensverzeichnisgruppe ein.
3.
Klicken Sie auf
.
33
.
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Option
7.
8.
Beschreibung
4.
Wählen Sie die Unternehmensverzeichnisgruppe in der Liste mit den
Suchergebnissen aus.
5.
Klicken Sie auf Hinzufügen.
6.
Wählen Sie ggf. Verschachtelte Gruppen verknüpfen.
Wählen Sie im Abschnitt Geräteaktivierung eine der folgenden Optionen aus:
•
Um Benutzern eine E-Mail mit einem automatisch generierten Aktivierungskennwort zu senden, klicken Sie auf
Automatisch ein Geräteaktivierungskennwort generieren und eine E-Mail mit Aktivierungsanweisungen
senden. Geben Sie die Zeit an, während derer ein Aktivierungskennwort gültig bleibt, und wählen Sie eine
Vorlage für die Aktivierungs-E-Mail aus.
•
Wenn kein Aktivierungskennwort für das Gerät eingerichtet werden soll, wählen Sie Aktivierungskennwort für
das Gerät nicht festlegen.
Wenn Gerätedaten beim Offboarding eines Benutzers gelöscht werden sollen, wählen Sie Gerätedaten löschen, wenn der
Benutzer von allen integrierten Verzeichnisgruppen entfernt wird, und legen Sie eine der folgenden Optionen fest:
Option
Beschreibung
Alle Daten auf dem Gerät eines
Benutzers löschen, wenn er aus einer
Gruppe entfernt wird
1.
Benutzerkonto aus BES12 löschen,
wenn ein Benutzer aus allen
Onboarding-Gruppen entfernt wird
9.
Wählen Sie eine der folgenden Optionen aus:
a
Nur Geschäftsdaten löschen
b
Alle Gerätedaten löschen
c
Alle Gerätedaten für Eigentum des Unternehmens löschen/Nur
Geschäftsdaten für Privateigentum löschen
Wählen Sie Benutzer löschen, wenn der Benutzer von allen integrierten
Verzeichnisgruppen entfernt wird aus.
Um die Synchronisierung von per Verzeichnis verknüpften Gruppen durchzusetzen, wählen Sie Synchronisierung
erzwingen.
10. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl der Änderungen ein, die Sie für eine
Verzeichnissynchronisierung zulassen möchten.
Hinweis: Der Standardwert ist 5. Dies bedeutet, dass die Synchronisierung nicht ausgeführt wird, wenn es mehr als 5
Änderungen gibt. Wenn Sie diesen Wert beispielsweise stehen lassen, und es gibt mehr als 5 Änderungen, wird die
Synchronisierung nicht ausgeführt. Wenn Sie den Wert 0 eingeben, bedeutet dies keine Obergrenze für die Anzahl der
Änderungen, die bei einer Synchronisierung verarbeitet werden können.
34
Herstellen einer Verbindung zu Unternehmensverzeichnissen
11. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen für
Unternehmensverzeichnisgruppen ein. Der Standardwert lautet „-1“ und bedeutet, dass alle Ebenen einbezogen werden.
Wenn Sie die oberste Ebene einbeziehen möchten, geben Sie „0“ ein. Wenn Sie die oberste Ebene und die erste Ebene
einbeziehen möchten, geben Sie „1“ ein usw.
12. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Informationen zum Erstellen von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation
für Administratoren.
Synchronisieren einer Unternehmensverzeichnis‐
Verbindung
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis.
3.
Klicken Sie in der Spalte Synchronisierung auf
.
Anzeigen eines Verzeichnis-Synchroni‐
sierungsberichts
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis.
3.
Klicken Sie in der Spalte Letzter Bericht auf das Datum.
Hinzufügen eines Synchronisierungszeitplans
BES12 ermöglicht Ihnen die Einrichtung von Synchronisierungszeitplänen für eine automatische Synchronisierung von BES12
und Ihrem Unternehmensverzeichnis. Es gibt drei Arten von Synchronisierungszeitplänen, die hinzugefügt werden können:
Art des Zeitplans
Beschreibung
Intervall
Mit dieser Option können Sie die Zeitspanne zwischen jeder Synchronisierung und
den Zeitrahmen festlegen, in dem die Synchronisierung stattfinden soll. Sie haben
35
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Art des Zeitplans
Beschreibung
die Möglichkeit, die Wochentage auszuwählen, an denen die Synchronisierungen
erfolgen sollen. Sie können mehrere Tage auswählen.
Einmal täglich
Mit dieser Option können Sie die Tageszeit auswählen, zu der die Synchronisierung
startet, und die Wochentage, an denen die Synchronisierungen stattfinden sollen.
Sie können mehrere Tage auswählen.
Keine Wiederholung
Mit dieser Option können Sie eine einmalige Synchronisierung konfigurieren und
den Tag und die Uhrzeit selbst festlegen.
Im Bildschirm „Unternehmensverzeichnis“ können Sie BES12 jederzeit manuell mit Ihrem Unternehmensverzeichnis
synchronisieren.
Hinzufügen eines Synchronisationsplans
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Firmenverzeichnis.
3.
Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses.
4.
Klicken Sie auf der Registerkarte Synchronisierungszeitplan auf
5.
Führen Sie im Feld Wiederholung eine der folgenden Aktionen durch:
.
Option
Beschreibung
Intervall
1.
Wählen Sie die Option Intervall aus.
2.
Geben Sie den Abstand zwischen den Synchronisierungen in Minuten ein.
3.
Wählen Sie im Feld Synchronisieren zwischen (UTC-Zeitzone) die
Uhrzeiten für Start und Ende der Synchronisierungen aus.
4.
Wählen Sie die Wochentage aus, an denen die Synchronisierungen
erfolgen sollen.
1.
Wählen Sie Einmal täglich aus.
2.
Wählen Sie die Uhrzeit aus, zu der die Synchronisierung gestartet werden
soll.
3.
Wählen Sie die Wochentage aus, an denen die Synchronisierungen
erfolgen sollen.
1.
Wählen Sie Keine Wiederholung aus.
Einmal täglich
Keine Wiederholung
36
Herstellen einer Verbindung zu Unternehmensverzeichnissen
Option
6.
Beschreibung
2.
Wählen Sie die Uhrzeit aus, zu der die Synchronisierung gestartet werden
soll.
3.
Wählen Sie den Tag aus, an dem die Synchronisierung stattfinden soll.
Klicken Sie auf Hinzufügen.
37
Konfigurieren der einmaligen Anmeldung für BES12
Konfigurieren der einmaligen
Anmeldung für BES12
5
Wenn Sie eine Verbindung zwischen BES12 und Microsoft Active Directory herstellen, können Sie die Authentifizierung per
einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und
direkt auf die Verwaltungskonsole bzw. BES12 Self-Service zugreifen können. Wenn Administratoren oder Benutzer sich bei
Windows anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei BES12.
Windows-Anmeldeinformationen können Microsoft Active Directory-Anmeldeinformationen oder abgeleitete
Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen.
Wenn Sie ein Upgrade von BES5 durchgeführt haben und zuvor die einmalige Anmeldung aktiviert war, müssen Sie diese in
BES12 für die Microsoft Active Directory-Verbindung, die aus BES5 migriert wurde, aktivieren.
Bevor Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung aktivieren, müssen Sie die eingeschränkte
Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BES12 für die Verzeichnisverbindung verwendet
wird.
Hinweis: Wenn Sie die einmalige Anmeldung aktivieren, erfordern alle Änderungen, die Sie am Microsoft Active Directory-Konto
vornehmen, einen Neustart der BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet. Administratoren und
Benutzer müssen sich von ihrem Computer ab- und dann wieder anmelden, um die einmalige Anmeldung für BES12 zu
verwenden.
Schritte zum Konfigurieren der einmaligen
Anmeldung für BES12
Zum Konfigurieren der einmaligen Anmeldung für BES12 führen Sie die folgenden Aktionen aus:
Schritt
Aktion
Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur
Unterstützung der einmaligen Anmeldung.
Aktivieren Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung.
Überprüfen Sie die Browseranforderungen für die einmalige Anmeldung.
38
Konfigurieren der einmaligen Anmeldung für BES12
Konfigurieren der eingeschränkten Delegierung
für das Microsoft Active Directory-Konto zur
Unterstützung der einmaligen Anmeldung
Damit die einmalige Anmeldung für BES12 unterstützt wird, müssen Sie die eingeschränkte Delegierung für das Microsoft
Active Directory-Konto konfigurieren, das von BES12 für die Verzeichnisverbindung verwendet wird. Die eingeschränkte
Delegierung ermöglicht eine Authentifizierung von Administratoren oder Benutzern bei BES12 über den Browser, wenn diese
auf die Verwaltungskonsole oder BES12 Self-Service zugreifen.
1.
Fügen Sie dem Microsoft Active Directory-Konto mithilfe von Windows Server ADSI Edit oder dem Befehlszeilentool
„setspn“ die folgenden SPN für BES12 hinzu:
•
HTTP/<host_FQDN_or_pool_name> (z. B. HTTP/domäne123.beispiel.com)
•
BASPLUGIN111/<host_FQDN_or_pool_name> (z. B. BASPLUGIN111/domäne123.beispiel.com)
Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einer BES12-Domäne konfiguriert haben, geben Sie den
Poolnamen ein. Geben Sie andernfalls den FQDN des Computers ein, der die Verwaltungskonsole hostet.
Hinweis: Vergewissern Sie sich, dass keine anderen Konten in der Microsoft Active Directory-Gesamtstruktur dieselben
SPN haben.
2.
Öffnen Sie Microsoft Active Directory Users and Computers.
3.
Wählen Sie für die Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden
Optionen aus:
4.
•
Benutzer bei Delegierungen angegebener Dienste vertrauen
•
Nur Kerberos verwenden
Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu.
Verwandte Informationen
Konfigurieren von Hoher Verfügbarkeit für die Verwaltungskonsole, auf Seite 56
Einmalige Anmeldung für BES12 einrichten
Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, gilt die Konfiguration für die Verwaltungskonsole und BES12 SelfService.
Bevor Sie beginnen:
39
Konfigurieren der einmaligen Anmeldung für BES12
•
Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das von BES12 für das
Verzeichnis verwendet wird.
•
Wenn Sie die einmalige Anmeldung für mehrere Microsoft Active Directory-Verbindungen aktivieren, stellen Sie
sicher, dass es keine Vertrauensbeziehungen zwischen den Microsoft Active Directory-Gesamtstrukturen gibt.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.
2.
Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf den Namen einer Microsoft Active DirectoryVerbindung.
3.
Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Windows Single Sign-On aktivieren.
4.
Klicken Sie auf Speichern.
5.
Klicken Sie auf Speichern.
BES12 überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht
gültig sind, werden Sie von BES12 aufgefordert, die richtigen Informationen anzugeben.
6.
Klicken Sie auf Schließen.
Wenn Sie fertig sind:
•
Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu.
•
Weisen Sie Administratoren und BES12 Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an
BES12 zu konfigurieren.
Verwandte Informationen
Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen
Anmeldung, auf Seite 39
Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 41
Konsolen-URLs für die einmalige Anmeldung
Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, müssen Sie Administratoren und Benutzer anweisen, für den
Zugriff auf die Verwaltungskonsole bzw. auf BES12 Self-Service folgende URLs zu verwenden:
Konsole
URL für die einmalige Anmeldung
BES12-Verwaltungskonsole
https://<host_FQDN_or_pool_name>:<port>/admin
BES12 Self-Service
https://<host_FQDN_or_pool_name>:<port>/mydevice
Die Authentifizierung über die einmalige Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden zur Anmeldung bei
der Verwaltungskonsole durch Administratoren bzw. bei BES12 Self-Service durch Benutzer. Wenn die Sicherheitsstandards in
Ihrem Unternehmen es erfordern, dass Administratoren bzw. Benutzer eine andere Authentifizierungsmethode verwenden,
müssen Sie sie anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BES12 Self-Service folgende URLs zu verwenden:
40
Konfigurieren der einmaligen Anmeldung für BES12
Konsole
URL für andere Authentifizierungsmethoden
BES12-Verwaltungskonsole
https://<host_FQDN_or_pool_name>:<port>/admin?sso=n
BES12 Self-Service
https://<host_FQDN_or_pool_name>:<port>/mydevice?sso=n
Anforderungen an den Browser für die einmalige
Anmeldung
Wenn Sie die einmalige Anmeldung für BES12 konfigurieren, müssen die von Administratoren und BES12 Self-ServiceBenutzern verwendeten Browser die nachfolgend aufgeführten Anforderungen erfüllen.
Objekt
Anforderungen
Browser
Einer der folgenden:
•
Internet Explorer
•
Microsoft Edge
•
Mozilla Firefox
•
Google Chrome
Weitere Informationen zu den unterstützten Versionen finden Sie in der
Kompatibilitätsmatrix.
Browsereinstellungen
Internet Explorer mit folgenden Einstellungen:
•
Die URLs von Verwaltungskonsole und BES12 Self-Service sind der lokalen
Intranetzone zugewiesen (Internetoptionen > Sicherheit).
•
„Integrierte Windows-Authentifizierung aktivieren“ ist ausgewählt (Internetoptionen
> Erweitert).
Firefox mit folgenden Einstellungen:
•
In der Liste „about:config“ wurde „https://<host_FQDN_or_pool_name>“ zur
Einstellung „network.negotiate-auth.trusted-uris“ hinzugefügt. Weitere
Informationen finden Sie unter kb.mozillazine.org/about:config.
Google Chrome verwendet die Einstellungen der lokalen Intranetzone aus Internet
Explorer. Die URLs von Verwaltungskonsole und BES12 Self-Service müssen der lokalen
Intranetzone zugewiesen sein (Internetoptionen > Sicherheit).
41
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten
Abrufen eines APNs-Zertifikats für die
Verwaltung von iOS-Geräten
6
APNs ist der Apple Push Notification Service. Sie müssen das APNs-Zertifikat abrufen und registrieren, wenn Sie BES12 für die
Verwaltung von iOS-Geräten verwenden möchten. Wenn Sie mehr als eine BES12-Domäne einrichten, ist für jede Domäne ein
APNs-Zertifikat erforderlich.
APNs-Zertifikate können mithilfe des Assistenten für die erstmalige Anmeldung oder unter Verwendung des Abschnitts
„Externe Integration“ der Verwaltungskonsole abgerufen und registriert werden.
Hinweis: Jedes APNs-Zertifikat ist ein Jahr lang gültig. Auf der Verwaltungskonsole wird das Ablaufdatum angezeigt. Sie
müssen das APNs-Zertifikat vor dem Ablaufdatum erneuern. Verwenden Sie hierzu die Apple-ID, die Sie zum Abrufen des
Zertifikats benötigen. Wenn das Zertifikat abläuft, empfangen iOS-Geräte von BES12 keine Daten mehr. Wenn Sie ein neues
APNs-Zertifikat registrieren, müssen Benutzer von iOS-Geräten ihre Geräte neu aktivieren, um Daten zu empfangen.
Weitere Informationen finden Sie unter https://developer.apple.com im Artikel TN2265 Probleme beim Senden von PushBenachrichtigungen.
In der Praxis hat es sich bewährt, auf die Verwaltungskonsole und das Apple Push Certificates Portal über den Google ChromeBrowser oder den Safari-Browser zuzugreifen. Diese Browser bieten optimale Unterstützung bei der Anforderung und
Registrierung von APNs-Zertifikaten.
Datenfluss: Senden von Daten an ein iOS-Gerät
1.
BES12 sendet eine Benachrichtigung an den APNs.
2.
Der APNs authentifiziert BES12 mithilfe des von Ihnen registrierten APNs-Zertifikats.
3.
Der APNs sendet die Benachrichtigung an das iOS-Gerät.
4.
Das iOS-Gerät erhält die Benachrichtigung und ruft die Daten von BES12 ab.
Schritte zum Abrufen eines APNs-Zertifikats zur
Verwaltung von iOS-Geräten
Führen Sie zum Abrufen und Registrieren eines APNs-Zertifikats die folgenden Aktionen aus:
42
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten
Schritt
Aktion
Rufen Sie eine signierte CSR von BlackBerry ab.
Fordern Sie mit der signierten CSR ein APNs-Zertifikat von Apple an.
Registrieren Sie das APNs-Zertifikat.
Abrufen einer signierten CSR von BlackBerry
Sie müssen eine signierte CSR (Certificate Signing Request) von BlackBerry abrufen, bevor Sie ein APNs-Zertifikat anfordern
können.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung.
3.
Klicken Sie auf APNs-Zertifikat abrufen.
Wenn Sie ein aktuell verwendetes APNs-Zertifikat erneuern möchten, klicken Sie stattdessen auf Zertifikat erneuern.
4.
Klicken Sie im Abschnitt Schritt 1 von 3 – Signiertes CSR-Zertifikat von BlackBerry herunterladen auf Zertifikat
herunterladen.
5.
Klicken Sie auf Speichern, um die signierte CSR-Datei (.scsr) auf Ihrem Computer zu speichern.
Wenn Sie fertig sind: Anfordern eines APNs-Zertifikats von Apple .
Anfordern eines APNs-Zertifikats von Apple
Bevor Sie beginnen: Laden Sie die von BlackBerry bereitgestellte CSR herunter, und speichern Sie sie.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung.
3.
Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie
werden zum Apple Push Certificates Portal weitergeleitet.
4.
Melden Sie sich beim Apple Push Certificates Portal mit einer gültigen Apple-ID an.
5.
Befolgen Sie die Anweisungen zum Hochladen der signierten CSR (.scsr).
6.
Laden Sie das APNs-Zertifikat (.pem) auf Ihren Computer herunter, und speichern Sie es.
43
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten
Wenn Sie fertig sind: Registrieren des APNs-Zertifikats.
Registrieren des APNs-Zertifikats
Bevor Sie beginnen: Fordern Sie ein APNs-Zertifikat von Apple unter Verwendung der signierten CSR von BlackBerry an, und
speichern Sie das APNs-Zertifikat auf Ihrem Computer.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung.
3.
Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zum APNsZertifikat (.pem), und wählen Sie es aus.
4.
Klicken Sie auf Senden.
Wenn Sie fertig sind:
•
Zum Testen der Verbindung zwischen BES12 und dem APNs-Server klicken Sie auf APNS-Zertifikat testen.
•
Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe
Integration > iOS-Verwaltung. Weitere Informationen zur Erneuerung von APNs-Zertifikaten finden Sie unter Erneuern
des APNs-Zertifikats.
Erneuern des APNs-Zertifikats
Das APNs-Zertifikat ist ein Jahr lang gültig. Sie müssen das APNs-Zertifikat jährlich vor dem Ablaufdatum erneuern.
Bevor Sie beginnen: Rufen Sie eine neue signierte CSR von BlackBerry ab (siehe Abrufen einer signierten CSR von
BlackBerry ).
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > iOS-Verwaltung.
3.
Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie
werden zum Apple Push Certificates Portal weitergeleitet.
4.
Melden Sie sich beim Apple Push Certificates Portal mit derselben Apple-ID an, die Sie zum Abrufen des ursprünglichen
APNs-Zertifikats verwendet haben.
5.
Befolgen Sie die Anweisungen zum Erneuern des APNs-Zertifikats (.pem). Sie müssen die neue signierte CSR hochladen.
6.
Laden Sie das erneuerte APNs-Zertifikat auf Ihren Computer herunter, und speichern Sie es.
7.
Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zu dem
erneuerten APNs-Zertifikat, und wählen Sie es aus.
8.
Klicken Sie auf Senden.
44
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten
Wenn Sie fertig sind:
•
Zum Testen der Verbindung zwischen BES12 und dem APNs-Server klicken Sie auf APNS-Zertifikat testen.
•
Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe
Integration > iOS-Verwaltung.
Fehlerbehebung: APNs
Dieser Abschnitt hilft Ihnen bei der Behebung von APNs-Problemen.
Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen
Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine
neue CSR.
Beschreibung
Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein APNs-Zertifikat zu registrieren und die neueste
signierte CSR-Datei nicht von BlackBerry auf das Apple Push Certificates Portal hochgeladen haben.
Mögliche Lösung
Wenn Sie mehrere CSR-Dateien von BlackBerry heruntergeladen haben, ist nur die letzte heruntergeladene Datei gültig. Wenn
Sie wissen, welche CSR die aktuellste ist, kehren Sie zum Apple Push Certificates Portal zurück, und laden Sie sie hoch. Wenn
Sie nicht sicher sind, welche CSR die aktuellste ist, rufen Sie eine neue von BlackBerry ab. Kehren Sie dann zum Apple Push
Certificates Portal zurück und laden Sie sie hoch.
Ich kann iOS-Geräte nicht aktivieren
Problemursache
Wenn Sie iOS-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nicht ordnungsgemäß registriert.
Mögliche Lösung
Führen Sie eine oder mehrere der folgenden Aktionen aus:
•
Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > iOS-Verwaltung.
Vergewissern Sie sich, dass das APNs-Zertifikat den Status „Installiert“ aufweist. Wenn der Status nicht korrekt ist,
versuchen Sie, das APNs-Zertifikat erneut zu registrieren.
45
Abrufen eines APNs-Zertifikats für die Verwaltung von iOS-Geräten
•
Klicken Sie auf APNS-Zertifikat testen, um die Verbindung zwischen BES12 und dem APNs-Server zu testen.
•
Rufen Sie ggf. eine neue signierte CSR von BlackBerry und ein neues APNs-Zertifikat ab.
46
Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen
Herstellen einer Verbindung zu einem
SMTP-Server zum Senden von E-MailBenachrichtigungen
7
Damit BES12 E-Mail-Benachrichtigungen senden kann, muss eine Verbindung zwischen BES12 und dem SMTP-Server
bestehen.
BES12 sendet über E-Mail-Benachrichtigungen Aktivierungsanweisungen an Benutzer. Sie können BES12 auch so
konfigurieren, dass Kennwörter für BES12 Self-Service und Warnungen zu Vorschrifteneinhaltung auf Geräten oder E-MailNachrichten an Einzelpersonen gesendet werden.
Wenn keine Verbindung zwischen BES12 und SMTP-Server besteht, ist BES12 nicht in der Lage, Kennwörter, Aktivierungsoder E-Mail-Nachrichten zu senden. Sie können BES12 jedoch trotzdem so konfigurieren, dass Warnmeldungen zur
Vorschrifteneinhaltung direkt an Geräte gesendet werden.
Weitere Informationen zu Aktivierungsnachrichten, Warnmeldungen zur Vorschrifteneinhaltung auf Geräten und zum Senden
einzelner E-Mail-Nachrichten finden Sie in der Dokumentation für Administratoren.
Herstellen einer Verbindung zu einem SMTPServer zum Senden von E-Mail-Benach‐
richtigungen
1.
Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > SMTP-Server.
2.
Klicken Sie auf
3.
Geben Sie in das Feld Angezeigter Name des Absenders einen Namen ein, der für BES12-E-Mail-Benachrichtigungen
verwendet werden soll. Beispiel: donotreply oder BES12 Admin.
4.
Geben Sie in das Feld Absenderadresse die E-Mail-Adresse ein, die BES12 zum Senden von E-Mail-Benachrichtigungen
verwenden soll.
5.
Geben Sie in das Feld SMTP-Server den FQDN des SMTP-Servers ein. Beispiel: mail.example.com.
6.
Geben Sie im Feld SMTP-Server-Port die Portnummer des SMTP-Servers ein. Die Standardportnummer ist 25.
7.
Wählen Sie im Dropdown-Menü Unterstützte Verschlüsselungsmethode die Verschlüsselung aus, die auf E-MailNachrichten angewendet werden soll.
.
47
Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen
8.
Wenn der SMTP-Server eine Authentifizierung erfordert, geben Sie im Feld Benutzername den Anmeldenamen des SMTPServers ein. Geben Sie im Feld Kennwort das Kennwort des SMTP-Servers ein.
9.
Importieren Sie ggf. ein SMTP-Zertifizierungsstellenzertifikat:
a.
Kopieren Sie die SSL-Zertifikatsdatei für den SMTP-Server Ihres Unternehmens auf den von Ihnen verwendeten
Computer.
b.
Klicken Sie auf Durchsuchen.
c.
Navigieren Sie zur SSL-Zertifikatsdatei, und klicken Sie auf Hochladen.
10. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Klicken Sie auf Verbindung testen, wenn Sie die Verbindung zum SMTP-Server testen und eine Test-EMail senden möchten. BES12 sendet die Nachricht an die von Ihnen im Feld Absenderadresse festgelegte E-Mail-Adresse.
48
Einrichten von BES12 Self-Service für Benutzer
Einrichten von BES12 Self-Service für
Benutzer
8
BES12 Self-Service ist eine webbasierte Anwendung, die Sie Benutzern für Verwaltungsaufgaben wie das Erstellen von
Aktivierungskennwörtern, das Sperren von Geräten per Fernzugriff oder das Löschen von Daten von Geräten zur Verfügung
stellen können. Eine Installation von Software auf den Geräten der Benutzer ist für die Verwendung von BES12 Self-Service
nicht erforderlich. Sie müssen den Benutzern die Webadresse und die Anmeldeinformationen bereitstellen.
Sie können Benutzer zwingen, eine Anmeldemitteilung zu lesen und anzunehmen, bevor sie sich bei BES12 Self-Service
anmelden können. Weitere Informationen zur Mitteilung finden Sie in der Dokumentation für Administratoren.
BES12 Self-Service einrichten
Richten Sie BES12 Self-Service so ein, dass Benutzer sich anmelden und Selbsthilfeaufgaben ausführen können.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Allgemeine Einstellungen > Self-Service.
3.
Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist.
4.
Wenn Sie möchten, dass Benutzer Aktivierungskennwörter erstellen können, aktivieren Sie Benutzern die
Geräteaktivierung in der Selbstbedienungskonsole gestatten, und führen Sie die folgenden Aufgaben aus:
5.
a.
Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des
Aktivierungskennworts aktivieren kann.
b.
Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind.
c.
Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter erforderliche
Komplexität aus.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Geben Sie die Webadresse für BES12 Self-Service und die Anmeldeinformationen für die Benutzer an.
49
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Konfigurieren der hohen Verfügbarkeit
für eine BES12-Domäne
9
BES12 verwendet ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit, um Dienstausfälle für Gerätebenutzer möglichst gering zu
halten. Zum Konfigurieren von hoher Verfügbarkeit installieren Sie mehrere Instanzen von BES12 jeweils auf einem separaten
Computer. Jede Instanz stellt eine Verbindung zur BES12-Datenbank her und ermöglicht die aktive Verwaltung von
Benutzerkonten und -geräten.
Die hohe Verfügbarkeit in BES12 beinhaltet die folgenden Funktionen:
Funktion
Beschreibung
BlackBerry 10-Geräte automatisch auf
eine fehlerfreie Instanz von BES12
verschieben
Wenn BlackBerry 10-Geräte einer BES12-Instanz nicht mithilfe der EnterpriseKonnektivität eine Verbindung zu geschäftlichen Ressourcen herstellen können,
werden diese Geräte fehlerfreien Instanzen von BES12 neu zugewiesen. BlackBerry
10-Geräte können die Enterprise-Konnektivität für den Zugriff auf E-Mail- und
Kalenderdaten, den geschäftlichen Browser und das Unternehmensnetzwerk
verwenden. Die meisten Verwaltungsaufgaben (z. B. das Zuweisen von Profilen)
erfordern die Enterprise-Konnektivität für eine erfolgreiche Durchführung.
iOS-, Android- und Windows-Geräte
können eine Verbindung zu einer
beliebigen BES12-Instanz herstellen
iOS- und Android-Geräte mit Secure Work Space können die EnterpriseKonnektivität für die Herstellung einer Verbindung mit einer beliebigen fehlerfreien
BES12-Instanz für den Zugriff auf E-Mail- und Kalenderdaten, den geschäftlichen
Browser und das Unternehmensnetzwerk herstellen. Wenn eine oder mehrere
BES12-Instanzen Fehler aufweisen, können iOS- und Android-Geräte (mit oder
ohne Secure Work Space) sowie Windows-Geräte eine Verbindung mit einer
fehlerfreien Instanz herstellen. Auf diese Weise bleibt der Gerätedienst ohne
Unterbrechung.
BlackBerry Affinity ManagerAusfallsicherung
Der BlackBerry Affinity Manager weist BlackBerry 10-Geräte einer BES12-Instanz
zu, überwacht die Enterprise-Konnektivität für die jeweilige Instanz und verschiebt
BlackBerry 10-Benutzer, wenn Probleme mit der Enterprise-Konnektivität
auftreten. Der BlackBerry Affinity Manager kann keine iOS-, Android- oder
Windows-Geräte zu einer bestimmten BES12-Instanz zuweisen.
Hierbei ist nur ein BlackBerry Affinity Manager aktiv. Die anderen BlackBerry
Affinity Manager-Instanzen sind im Standby. Wenn ein Problem mit dem aktiven
BlackBerry Affinity Manager auftritt, erfolgt ein Auswahlprozess, in dem bestimmt
wird, welche Instanz aktiv werden soll. Die Instanz, in der der Auswahlprozess am
schnellsten abgeschlossen wird, fungiert als aktive BlackBerry Affinity ManagerInstanz.
50
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Funktion
Beschreibung
Geräte von einer beliebigen BES12Instanz aus verwalten
Wenn ein Problem mit der Verwaltungskonsole oder mit BES12 Core bei einer
BES12-Instanz auftreten sollte, können Sie jedes Gerät (BlackBerry 10, iOS,
Android und Windows) mithilfe der Verwaltungskonsole und BES12 Core einer
beliebigen fehlerfreien Instanz weiterhin verwalten.
Round-Robin-DNS-Pool für die
Verwaltungskonsole
Mithilfe von Drittanbietersoftware können Sie einen Roundrobin-DNS-Pool
konfigurieren, der eine Verbindung zur Verwaltungskonsole der jeweiligen BES12Instanz herstellt. Wenn ein Problem mit einer Konsole auftritt, sorgt der Pool für
eine Verbindung zu einer funktionsfähigen Konsole.
Während BES12 eine Wiederherstellungsaktion ausführt, nehmen die betroffenen Benutzer eine kurze Dienstunterbrechung
wahr. Die Dauer hängt von mehreren Faktoren ab, z. B. der Anzahl der BlackBerry 10-Geräte und der Anzahl der BES12Instanzen. Wenn BlackBerry 10-Benutzer einer anderen Instanz zugewiesen werden, beträgt die durchschnittliche Ausfallzeit 3
Minuten. Wenn eine BlackBerry Affinity Manager-Ausfallsicherung erfolgt, beträgt die durchschnittliche Ausfallzeit 10 Minuten.
Hohe Verfügbarkeit für Komponenten, die
BlackBerry OS-Geräte verwalten
Wenn Sie hohe Verfügbarkeit für BES5 vor dem Upgrade von BES5 auf BES12 konfiguriert haben, funktioniert diese
Konfiguration auch nach dem Upgrade wie erwartet. Die Hochverfügbarkeitskonfiguration bezieht sich nur auf die
Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind.
Weitere Informationen zur Konfiguration hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten, finden Sie
unter help.blackberry.com/detectLang/category/enterprise-services im BlackBerry Enterprise Server Administratorhandbuch
für 5.
Architektur: Hohe Verfügbarkeit für BES12
Im folgenden Diagramm wird eine Domäne mit hoher Verfügbarkeit dargestellt, die zwei BES12-Instanzen aufweist. Sie können
eine beliebige Anzahl an BES12-Instanzen installieren. In diesem Kapitel wird erklärt, welche Rolle spezielle Komponenten bei
der Konfiguration hoher Verfügbarkeit spielen. Weitere Informationen über die BES12-Architektur und -Komponenten finden
Sie im Abschnitt „Architektur“.
51
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Komponenten
Beschreibung
BES12-Datenbank
Jede BES12-Instanz stellt für den Zugriff auf Benutzer- und Gerätedaten eine Verbindung
zur BES12-Datenbank her.
Verwaltungskonsole und BES12
Core
Sie können eine beliebige Verwaltungskonsole für die Verwaltung von Benutzerkonten
und Geräten der Domäne verwenden. Der BES12 Core, der dieser Konsole zugeordnet ist,
führt die Verwaltungsaufgaben durch.
52
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Komponenten
Beschreibung
Sie können einen Round-Robin-DNS-Pool konfigurieren, der die Verbindung zu der
jeweiligen Konsole herstellt. Wenn ein Problem mit einer der Konsolen auftreten sollte,
stellt der Pool die Verbindung zu einer funktionsfähigen Konsole her.
Jede fehlerfreie BES12-Instanz kann die Enterprise-Konnektivität für iOS- und AndroidGeräte mit Secure Work Space verwalten. Jede Instanz verwaltet die EnterpriseKonnektivität für die BlackBerry 10-Geräte, die ihr von BlackBerry Affinity Manager
zugewiesen wurden. Jede fehlerfreie Instanz kann Geräteverwaltungsaufgaben für alle
Gerätetypen verarbeiten.
BlackBerry MDS Connection
Service und BlackBerry
Dispatcher
Diese Komponenten ermöglichen, dass BlackBerry 10-Geräte Verbindungen zu
Geschäftsressourcen herstellen und diese nutzen.
BlackBerry Affinity Manager
Der BlackBerry Affinity Manager ist verantwortlich für:
•
Zuweisen von BlackBerry 10-Geräten zu BES12-Instanzen
•
Aufrechterhalten der Verbindung mit der BlackBerry Infrastructure
•
Konfigurieren und Starten des aktiven BlackBerry Work Connect Notification
Service
•
Überprüfen des Zustands des BlackBerry MDS Connection Service und des
BlackBerry Dispatcher in der jeweiligen Instanz zur Überwachung der
Enterprise-Konnektivität
Nur eine BlackBerry Affinity Manager-Instanz ist aktiv (die anderen sind im Standby).
Wenn die aktive Instanz ein Problem mit der Enterprise-Konnektivität feststellt, weist sie
BlackBerry 10-Benutzer den funktionsfähigen BES12-Instanzen neu zu.
Jeder BlackBerry Affinity Manager, der im Standby ist, überwacht den aktiven BlackBerry
Affinity Manager. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt,
erfolgt eine Ausfallsicherung, und eine der Standby-Instanzen wird aktiv.
Lastverteilungsdaten für BlackBerry 10-Geräte
Wenn Sie mehrere Instanzen von BES12 in einer Domäne installiert haben, verteilt der aktive BlackBerry Affinity Manager
BlackBerry 10-Geräte gleichmäßig auf die fehlerfreien Instanzen. Wenn Sie beispielsweise drei Instanzen von BES12
installieren und die Domäne 3000 BlackBerry 10-Geräte umfasst, weist der aktive BlackBerry Affinity Manager jeder Instanz
1000 Geräte zu. Die Lastverteilung findet nur dann statt, wenn die Domäne mehr als 500 BlackBerry 10-Geräte umfasst.
Es ist nicht möglich, BlackBerry 10-Geräte einer speziellen Instanz manuell zuzuweisen. Der BlackBerry Affinity Manager legt
fest, welche Instanzen BlackBerry 10-Geräte verwalten.
53
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Jede BES12-Instanz ist mit der gleichen BES12-Datenbank verbunden. Die Komponenten jeder Instanz werden ausgeführt und
verwalten aktiv Daten für alle Gerätetypen, außer für BlackBerry Affinity Manager und BlackBerry Work Connect Notification
Service. Nur eine Instanz von BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service ist aktiv. Sie
können den Status der einzelnen Instanzen in der Verwaltungskonsole anzeigen.
Wenn eine Instanz vorübergehend nicht verfügbar ist, werden die Benutzer- und Gerätedaten von den verbleibenden Instanzen
verwaltet.
Lastverteilung bei Geräteverbindungen von iOSund Android-Geräten mit Secure Work Space
Wenn Sie mehrere Instanzen von BES12 installieren, werden die Verbindungen von iOS- und Android-Geräten mit Secure Work
Space über die verfügbaren fehlerfreien Instanzen in der Domäne verteilt. Ist mindestens eine Instanz fehlerhaft, werden
Geräteverbindungen von BlackBerry Infrastructure an fehlerfreie BES12-Instanzen weitergeleitet.
Überprüfung des Zustands von Komponenten
durch BES12
Für die folgenden BES12-Komponenten sind Integritätsbewertungen verfügbar, um festzustellen, ob eine
Wiederherstellungsaktion erforderlich ist:
Komponenten
Zustandsüber‐
wachung
BlackBerry MDS
Aktiver BlackBerry
Connection Service
Affinity Manager
und BlackBerry
Dispatcher
(aggregierte
Integritätsbewertung)
Aktiver BlackBerry
Affinity Manager
Faktoren für die Integritätsbewertung
Aktion, wenn der Zustand unter
den Schwellenwert fällt
•
Werden die Komponenten ausgeführt?
•
Können sie eine Verbindung zum
aktiven BlackBerry Affinity Manager
herstellen?
Der BlackBerry Affinity Manager
verschiebt BlackBerry 10-Geräte
von einer fehlerhaften BES12Instanz auf fehlerfreie Instanzen.
•
Können sie eine Verbindung zu den
BlackBerry 10-Geräten herstellen?
•
Können sie eine Verbindung zur
Datenbank herstellen?
Jede Standby-Instanz •
des BlackBerry
Affinity Manager
Der Status des BlackBerry Affinity
Manager (aktiv, standby oder durch
Auswahlprozess aktiv werdend)
54
Die Standby-Instanzen leiten die
Ausfallsicherung ein, und eine
Instanz übernimmt die Aufgabe
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Komponenten
Zustandsüberwachung
Faktoren für die Integritätsbewertung
Aktion, wenn der Zustand unter
den Schwellenwert fällt
•
Kann eine Verbindung zum BlackBerry des aktiven BlackBerry Affinity
Manager.
Dispatcher hergestellt werden?
•
Können Aufrufe von BES12 Core und
jeder Standby-Instanz von BlackBerry
Affinity Manager empfangen werden?
•
Kann eine Verbindung zum BlackBerry
Infrastructure hergestellt werden?
•
Kann eine Verbindung zu den
Konfigurationseinstellungen der
Datenbank hergestellt und können
diese geladen werden?
Installieren einer zusätzlichen BES12-Instanz
Informationen zur Installation zusätzlicher BES12-Instanzen, um eine Domäne mit hoher Verfügbarkeit zu erstellen, finden Sie
in der Dokumentation zu Installation und Upgrade. Vergewissern Sie sich, dass der Computer die Systemanforderungen für die
Installation einer BES12-Instanz erfüllt, und führen Sie die notwendigen Schritte vor und nach der Installation aus. Ausführliche
Informationen zur Kompatibilität finden Sie in der Kompatibilitätsmatrix.
Beachten Sie bei der Installation zusätzlicher BES12-Instanzen Folgendes:
•
Installieren Sie jede Instanz auf einem separaten Computer.
•
Wählen Sie in der Setupanwendung im Bildschirm Setuptyp die Option Bestehende Domäne verwenden.
•
Geben Sie im Bildschirm Datenbankinformationen die Informationen der BES12-Datenbank an, die Sie bei der
Installation der ursprünglichen BES12-Instanz erstellt haben.
Nachdem Sie die zusätzliche BES12-Instanz installiert und die nach der Installation erforderlichen Schritte ausgeführt haben,
ist ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit in der Domäne vorhanden. Geräte- und Benutzerdaten werden mit
Lastausgleich über die BES12-Instanzen hinweg verteilt, der aktive BlackBerry Affinity Manager überwacht die EnterpriseKonnektivität der jeweiligen Instanz, und die Standby-Instanzen von BlackBerry Affinity Manager überwachen die aktive
Instanz, um festzustellen, ob eine Ausfallsicherung erforderlich ist.
55
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Konfigurieren von Hoher Verfügbarkeit für die
Verwaltungskonsole
Um hohe Verfügbarkeit für die BES12-Verwaltungskonsolen zu konfigurieren, können Sie mithilfe des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens einen Round-Robin-Pool festlegen, der die Verbindung zu der
jeweiligen Verwaltungskonsole in der Domäne herstellt. Wenn keine Verwaltungskonsole verfügbar ist, stellen der
Lastausgleicher oder der DNS-Server eine Verbindung zu einer der verfügbaren Komponenten her.
Weitere Informationen über die Einrichtung eines Round-Robin-Pools finden Sie in der Dokumentation des HardwareLastausgleichers oder des DNS-Servers Ihres Unternehmens.
Nach der Konfiguration eines Round-Robin-Pools empfiehlt es sich, die Variablen %AdminPortalURL%
und %UserSelfServicePortalURL% in der Verwaltungskonsole (Einstellungen > Allgemeine Einstellungen > Standardvariablen)
mit dem Poolnamen zu aktualisieren. Wenn Sie dies tun, können die E-Mail-Nachrichten, die diese Variablen für die
Verknüpfung mit der Verwaltungskonsole und dem BES12 Self-Service nutzen, den Round-Robin-Pool verwenden.
Wenn Sie die einmalige Anmeldung aktiviert haben, müssen Sie die SPN für das Microsoft Active Directory-Konto mit dem
Poolnamen aktualisieren und die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu starten.
Eine Instanz der BES12-Verwaltungskonsole im Round-Robin-Pool kann die Verbindung mit der BES12-Domäne verlieren, wenn
ihr vom DNS-Server eine andere IP-Adresse zugewiesen wird. Die Verbindung wird getrennt, weil die neue IP-Adresse die
Anmeldeinformationen des Benutzers nicht erkennt. In diesem Fall muss der Benutzer sich ab- und wieder anmelden.
Verwandte Informationen
Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen
Anmeldung, auf Seite 39
Anzeigen des Status von BES12-Instanzen
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BES12-Instanzen.
Für jede BES12-Instanz in der Domäne können die folgenden Informationen angezeigt werden:
2.
•
Ob die BES12-Komponente ausgeführt wird oder beendet wurde
•
Ob BlackBerry Affinity Manager die primäre oder eine Standby-Instanz ist
•
Ob der primäre BlackBerry Affinity Manager mit der BlackBerry Infrastructure verbunden ist
•
Ob BES12 Core mit der BlackBerry Infrastructure verbunden ist
•
Ob die Komponenten mit der BES12-Datenbank verbunden sind
Um die Informationen auf der Seite zu aktualisieren, klicken Sie auf
56
.
Konfigurieren der hohen Verfügbarkeit für eine BES12-Domäne
Entfernen einer BES12-Instanz aus der
Datenbank
Wenn Sie eine BES12-Instanz deinstallieren, müssen Sie die folgenden Schritte ausführen, um die Daten dieser Instanz aus der
BES12-Datenbank zu entfernen. Wenn Sie das nicht tun, wird in den BES12-Protokolldateien ein Hinweis angezeigt, dass die
entfernte Instanz nicht verfügbar ist.
Bevor Sie beginnen: Deinstallieren Sie die BES12-Instanz.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BES12-Instanzen.
2.
Klicken Sie neben der BES12-Instanz, die Sie entfernt haben, auf
3.
Klicken Sie auf Löschen.
57
.
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
Konfigurieren von hoher Verfügbarkeit
der Datenbank mithilfe der
Datenbankspiegelung
10
Sie können die Datenbankspiegelung verwenden, um hohe Verfügbarkeit für die BES12-Datenbank zu gewährleisten. Die
Datenbankspiegelung ist eine Microsoft SQL Server-Funktion, die Ihnen ermöglicht, den Datenbankdienst und die
Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BES12-Datenbank auftreten.
Hinweis: Microsoft plant die Einstellung der Datenbankspiegelung in zukünftigen Versionen von Microsoft SQL Server und
empfiehlt stattdessen den Einsatz der AlwaysOn-Funktion für die Konfiguration hoher Verfügbarkeit bei Datenbanken. Für den
Einsatz von AlwaysOn sind vor der Installation von BES12 Konfigurationsschritte erforderlich. Weitere Informationen zur
Verwendung von AlwaysOn finden Sie im Abschnitt zu Installation und Upgrade. AlwaysOn kann nicht verwendet werden, wenn
Sie ein Upgrade von BES5 auf BES12 durchführen (d. h. ein Upgrade der BES5-Datenbank auf eine BES12-Datenbank).
AlwaysOn wird nicht für Komponenten unterstützt, die BlackBerry OS-Geräte verwalten.
Wenn Sie die Datenbankspiegelung konfigurieren, erstellen Sie ein Backup der BES12-Prinzipaldatenbank (Datenbank, die
während der Installation erstellt wird), und verwenden Sie die Backup-Dateien zum Erstellen einer Spiegeldatenbank auf einem
anderen Computer. Anschließend konfigurieren Sie eine Spiegelungsbeziehung zwischen den beiden Datenbanken, sodass die
Spiegeldatenbank die gleichen Aktionen ausführt und die gleichen Daten speichert.
Um eine automatische Ausfallsicherung (Failover) zu aktivieren, richten Sie einen Zeugenserver für die Überwachung der
Prinzipaldatenbank ein. Wenn die Prinzipaldatenbank nicht mehr reagieren sollte, startet der Zeuge eine automatische
Ausfallsicherung über die Spiegeldatenbank. Die BES12-Komponenten stellen eine Verbindung zur Spiegeldatenbank her, und
der Gerätedienst kann ohne Unterbrechung weitergeführt werden. Nun findet ein Rollentausch statt: die Spiegeldatenbank wird
zur Prinzipaldatenbank, und die ursprüngliche Prinzipaldatenbank wird zur Spiegeldatenbank. Dieser Rollentausch kann
während einer Spiegelungssitzung mehrmals stattfinden.
58
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
In diesem Abschnitt wird erläutert, wie Sie eine Spiegeldatenbank erstellen und die BES12-Komponenten für die Unterstützung
der Datenbankspiegelung konfigurieren. Sie haben zudem die Möglichkeit, die Datenbankspiegelung für die Komponenten zu
konfigurieren, die BlackBerry OS-Geräte verwalten. Weitere Informationen finden Sie unter Datenbank mit hoher Verfügbarkeit
für Komponenten zur Verwaltung von BlackBerry OS-Geräten.
Weitere Informationen zur Datenbankspiegelung finden Sie unter technet.microsoft.com/sqlserver im Artikel zur
Datenbankspiegelung für SQL Server 2008 R2 oder Datenbankspiegelung für SQL Server 2012.
Datenbank mit hoher Verfügbarkeit für
Komponenten zur Verwaltung von BlackBerry
OS-Geräten
Die BES12-Komponenten, die Geräte mit BlackBerry 10, iOS, Android und Windows verwalten, verwenden die gleiche
Datenbank wie Komponenten, die BlackBerry OS-Geräte verwalten. Die Komponenten für die Verwaltung von BlackBerry OSGeräten nutzen eine unterschiedliche Methode, um die Verbindung zur Spiegeldatenbank herzustellen. Wenn Sie die
Datenbankspiegelung für die Komponenten konfigurieren möchten, die BlackBerry OS-Geräte verwalten, können Sie nach
Beendigung dieses Abschnitts zusätzliche Schritte ausführen.
Weitere Informationen finden Sie unter help.blackberry.com/detectLang/category/enterprise-services im
Administratorhandbuch für BlackBerry Enterprise Server 5 im Kapitel „Konfigurieren der BlackBerry Configuration Database für
hohe Verfügbarkeit“. In diesem Kapitel finden Sie Anweisungen, wie Sie die Komponenten für die Verwaltung von BlackBerry
OS-Geräten mit der Spiegeldatenbank verbinden.
Hinweis: Das Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“ beinhaltet Referenzen auf
Microsoft SQL Server 2005. Microsoft SQL Server wird in dieser Version nicht mehr unterstützt.
Wenn Sie die Datenbankspiegelung für BES5 vor dem Upgrade von BES5 auf BES12 konfiguriert haben, funktioniert diese
Konfiguration auch nach dem Upgrade wie erwartet. Die Konfiguration bezieht sich nur auf die Komponenten, die für die
Verwaltung von BlackBerry OS-Geräten zuständig sind.
Schritte zum Konfigurieren der Datenbank‐
spiegelung
Führen Sie die folgenden Aktionen aus, um die Datenbankspiegelung zu konfigurieren:
Schritt
Aktion
Vergewissern Sie sich, dass die BES12-Domäne die Systemanforderungen und -voraussetzungen erfüllt.
59
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
Schritt
Aktion
Erstellen Sie eine Spiegeldatenbank, starten Sie eine Spiegelungssitzung, und richten Sie einen
Zeugenserver ein.
Konfigurieren Sie jede BES12-Instanz, um eine Verbindung zur Spiegeldatenbank herzustellen.
Systemanforderungen: Datenbankspiegelung
Objekt
Anforderungen
Microsoft SQL Server
BES12 unterstützt die Datenbankspiegelung mit:
•
Microsoft SQL Server 2008 R2
•
Microsoft SQL Server 2012
SQL Server Native Client
Der SQL Server 2012 Native Client muss auf jedem Computer verfügbar sein, der eine BES12Instanz hostet. Die Setupanwendung von BES12 installiert den SQL Server 2012 Native Client.
Versionsgleichheit
Der Microsoft SQL Server, der die Spiegeldatenbank hostet, muss die gleiche Version und
Edition aufweisen, wie der Microsoft SQL Server, der die Prinzipaldatenbank hostet.
Einheitliches Rechenzentrum
Die Prinzipal- und die Spiegeldatenbank müssen sich im gleichen Rechenzentrum befinden.
Speicherort der Datenbank
Erstellen Sie die Spiegeldatenbank auf einem anderen Computer als die Prinzipaldatenbank.
Betriebsmodus
Konfigurieren Sie die Datenbankspiegelung im Modus für hohe Sicherheit mit automatischer
Ausfallsicherung.
Zeuge
Ein Zeugenserver ist für die automatische Ausfallsicherung erforderlich. Der Zeugenserver
muss ein anderer Server als der Prinzipalserver oder der Spiegelserver sein.
Weitere Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2
oder Datenbank-Spiegelungszeuge – SQL Server 2012.
60
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
Voraussetzungen: Konfigurieren der
Datenbankspiegelung
•
Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass der Zugriff von Remote-Computern zulässig ist.
•
Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass sie die gleichen Berechtigungen aufweisen.
•
Richten Sie einen Zeugenserver ein, der für die Überwachung des Prinzipalservers verwendet wird. Weitere
Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder DatenbankSpiegelungszeuge – SQL Server 2012.
•
Konfigurieren Sie den Microsoft SQL Server-Agent so, dass ein Domänenbenutzerkonto mit den gleichen lokalen
Administratorrechten wie für das Windows-Konto verwendet wird, das die BES12-Dienste ausführt.
•
Vergewissern Sie sich, dass das Domänenbenutzerkonto Berechtigungen für den Prinzipal- und den Spiegelserver
aufweist.
•
Vergewissern Sie sich, dass der DNS-Server ausgeführt wird.
•
Deaktivieren Sie auf jedem Computer, der eine BES12-Datenbankinstanz hostet, im SQL Server 2012 Native Client
die Option „Named Pipes“. Wenn Sie die Option „Named Pipes“ nicht deaktivieren möchten, lesen Sie Artikel
KB34373 unter http://support.blackberry.com/kb.
•
Informationen zu zusätzlichen Voraussetzungen, die die Microsoft SQL Server-Version Ihres Unternehmens erfüllen
muss, finden Sie unter technet.microsoft.com/sqlserver im Artikel Datenbankspiegelung - SQL Server 2008 R2 oder
Datenbankspiegelung - SQL Server 2012.
•
Wenn die Spiegeldatenbank die standardmäßige Instanz verwendet, können die BES12-Komponenten eine
Verbindung mit dieser nur über den standardmäßigen Port 1433, nicht aber über einen benutzerdefinierten
statischen Port herstellen. Dies wird bedingt durch eine Einschränkung von Microsoft SQL Server 2005 und höher.
Weitere Informationen hierzu finden Sie unter SQL 2005 JDBC Driver and Database Mirroring.
Erstellen und Konfigurieren einer
Spiegeldatenbank
Bevor Sie beginnen: Zur Pflege der Datenbankintegrität während der Erstellung und Konfiguration der Spiegeldatenbank
sollten die BES12-Dienste auf allen Computern, die eine BES12-Instanz hosten, heruntergefahren werden.
1.
Navigieren Sie in Microsoft SQL Server Management Studio zur Prinzipaldatenbank.
2.
Ändern Sie die Eigenschaft Wiederherstellungsmodell in VOLLSTÄNDIG.
3.
Führen Sie im Abfrageeditor die Abfrage -- ALTER DATABASE <BES_db> SET TRUSTWORTHY ON aus, wobei <BES_db>
der Name der Prinzipaldatenbank ist.
61
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
4.
Erstellen Sie eine Sicherungskopie der Prinzipaldatenbank. Ändern Sie die Option Art der Sicherungskopie in Vollständig.
5.
Kopieren Sie die Sicherungsdateien auf den Spiegelserver.
6.
Stellen Sie die Datenbank auf dem Spiegelserver wieder her, um die Spiegeldatenbank zu erstellen. Wählen Sie beim
Wiederherstellen der Datenbank die Option KEINE NOTFALLWIEDERHERSTELLUNG.
7.
Vergewissern Sie sich, dass der Name der Spiegeldatenbank mit dem Namen der Prinzipaldatenbank übereinstimmt.
8.
Klicken Sie auf dem Prinzipalserver in Microsoft SQL Server Management Studio mit der rechten Maustaste auf die
Prinzipaldatenbank, und wählen Sie den Task Spiegeln aus. Klicken Sie auf der Seite Spiegelung auf Konfigurieren der
Sicherheit, um den Assistenten zum Konfigurieren der Sicherheit für die Datenbankspiegelung zu starten.
9.
Starten Sie die Spiegelung. Weitere Informationen finden Sie unter Einrichten der Datenbankspiegelung – SQL Server
2008 R2 oder Einrichten der Datenbankspiegelung – SQL Server 2012.
10. Fügen Sie der Spiegelungssitzung einen Zeugen hinzu, um die automatische Ausfallsicherung zu aktivieren. Weitere
Informationen finden Sie unter Datenbank-Spiegelungszeuge – SQL Server 2008 R2 oder Datenbank-Spiegelungszeuge –
SQL Server 2012.
Wenn Sie fertig sind:
•
Um sich zu vergewissern, dass die Ausfallsicherung richtig funktioniert, führen Sie manuell eine Ausfallsicherung zur
Spiegeldatenbank und zurück zur Prinzipaldatenbank durch.
•
Starten Sie die BES12-Dienste auf jedem Computer, der eine BES12-Instanz hostet, neu. Beenden Sie BES12 BlackBerry Work Connect Notification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart
des BES12 - BlackBerry Affinity Manager-Diensts automatisch neu gestartet.
Herstellen der Verbindung von BES12 zur
Spiegeldatenbank
Sie müssen diesen Schritt auf jedem Computer wiederholen, auf dem eine BES12-Instanz gehostet wird. Wenn die einzige
BES12-Komponente auf einem Computer der BlackBerry Router ist, müssen Sie diesen Schritt auf diesem Computer nicht
ausführen.
Bevor Sie beginnen:
•
Erstellen und Konfigurieren einer Spiegeldatenbank.
•
Vergewissern Sie sich, dass der Spiegelserver ausgeführt wird.
1.
Navigieren Sie auf dem Computer, auf dem die BES12-Instanz gehostet wird, zu <drive>:\Program Files\BlackBerry\BES
\common-settings.
2.
Öffnen Sie DB.properties in einem Texteditor.
62
Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung
3.
Geben Sie im Abschnitt Optionale Einstellungen für die Verwendung der Ausfallsicherung nach
configuration.database.ng.failover.server= den FQDN des Spiegelservers ein (z. B.
configuration.database.ng.failover.server=mirror_server.domain.net).
4.
Falls erforderlich, führen Sie eine der folgenden Aktionen aus:
5.
•
Wenn Sie während der Installation eine benannte Instanz für die Prinzipaldatenbank festgelegt haben, die
Spiegeldatenbank jedoch die Standardinstanz verwendet, löschen Sie den Wert nach
configuration.database.ng.failover.instance=.
•
Wenn die Prinzipaldatenbank eine Standardinstanz und die Datenbank eine benannte Instanz verwendet, geben
Sie nach configuration.database.ng.failover.instance= die benannte Instanz ein.
Speichern und schließen Sie DB.properties.
Wenn Sie fertig sind:
•
Starten Sie die BES12-Dienste neu. Beenden Sie BES12 - BlackBerry Work Connect Notification Service nicht zum
Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BES12 - BlackBerry Affinity Manager-Diensts
automatisch neu gestartet.
•
Wiederholen Sie diesen Schritt auf jedem Computer, der eine BES12-Instanz hostet.
•
Überprüfen Sie, ob jeder Computer, auf dem eine Instanz von BES12 gehostet wird, mithilfe des Serverkurznamens
eine Verbindung zum Spiegelserver herstellen kann.
Konfigurieren einer neuen Spiegeldatenbank
Wenn Sie eine neue Spiegeldatenbank erstellen und konfigurieren nachdem ein Rollentausch stattgefunden hat (d. h. die
BES12-Komponenten wurden im Zuge der Ausfallsicherung von der vorhandenen Spiegeldatenbank übernommen und die
vorhandene Spiegeldatenbank wurde zur Prinzipaldatenbank), wiederholen Sie den Schritt Herstellen der Verbindung von
BES12 zur Spiegeldatenbank auf jedem Computer, auf dem eine BES12-Instanz gehostet wird.
Konfigurieren Sie bei Bedarf die Komponenten, die BlackBerry OS-Geräte verwalten, sodass diese eine Verbindung zu dem
neuen Spiegelserver herstellen können (siehe Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von
BlackBerry OS-Geräten).
63
Konfigurieren von BES12 zur Unterstützung von Android for Work
Konfigurieren von BES12 zur
Unterstützung von Android for Work
11
BES12 unterstützt Android for Work in Android 5.1 (Lollipop) und höher. Android for Work ist eine von Google entwickelte
Funktion, die zusätzliche Sicherheit für Unternehmen bietet, die Android-Geräte verwalten und die Verwendung ihrer Daten
und Apps auf Android-Geräten zulassen möchten. Mit Android for Work können Sie geschäftliche und private Anforderungen
auf Android-Geräten, die sich evtl. nicht im Besitz Ihrer Organisation befinden, vereinheitlichen. Sie können mit Android for
Work beispielsweise geschäftliche E-Mail auf privaten Geräten einrichten und sicherstellen, dass Ihre Daten sicher sind.
Zur Unterstützung von Android for Work in Ihrem Unternehmen müssen Sie über eine Google for Work-Domäne oder Google
Apps for Work-Domäne für die Verwaltung mobiler Geräte von Drittanbietern verfügen. Um BES12 zur Unterstützung von
Android for Work zu konfigurieren, müssen Sie folgende Schritte ausführen:
•
Erstellen Sie ein Google-Dienstkonto, das BES12 zum Herstellen einer Verbindung mit Ihrer Google for Work- bzw.
Google Apps for Work-Domäne verwenden kann.
•
Konfigurieren Sie Ihre Google for Work- oder Google Apps for Work-Domäne zur Unterstützung der Verwaltung mobiler
Geräte.
•
Erstellen Sie ein Token, das von BES12 bei der Herstellung einer Verbindung mit der Google for Work- bzw. Google
Apps for Work-Domäne verwendet wird.
•
Wenn BES12 Benutzerkonten in Ihrer Google for Work-Domäne erstellen soll, erteilen Sie dem Google-Dienstkonto
Berechtigungen zur Aktualisierung des Benutzerverzeichnisses.
•
Stellen Sie eine Verbindung zwischen BES12 und der Google for Work- oder Google Apps for Work-Domäne her,
Nach Abschluss dieser Aufgaben können Sie die Android for Work-Aktivierungsarten zu Ihren Aktivierungsprofilen hinzufügen.
Wenn ein Benutzer ein Gerät mit einer Android for Work-Aktivierungsart aktiviert, erhält das Gerät ein Geschäftsprofil, mit dem
geschäftliche Daten von privaten getrennt und verschlüsselt werden. Wenn Sie die Android for Work-Verbindung in BES12
entfernen, deaktivieren Sie auch alle Geräte, die mit einer Android for Work-Aktivierungsart aktiviert wurden.
Anweisungen zum Durchführen der erforderlichen Aufgaben finden Sie unter http://support.blackberry.com/kb im Artikel
37748. Weitere Informationen zu Google for Work finden Sie unter https://www.google.com/work/.
Hinweis: Sie können nur eine BES12-Instanz mit der Google for Work- bzw. Google Apps for Work-Domäne verbinden. Bevor Sie
eine Verbindung mit einer anderen BES12-Instanz herstellen, müssen Sie die Verbindung mit der bestehenden Instanz trennen.
Trennen Sie die Verbindung, bevor Sie BES12 deinstallieren oder den Snapshot des virtuellen Computers vom Zustand vor der
Verbindungsherstellung wiederherstellen. Wenn Sie die Verbindung nicht trennen, können Sie möglicherweise keine
Verbindung zwischen Ihrer Google-Domäne und einer neuen BES12-Instanz herstellen.
64
Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space
Konfigurieren von BES12 zum Senden
von Benachrichtigungen an iOSGeräte mit Secure Work Space
12
Der BlackBerry Work Connect Notification Service kommuniziert mit Microsoft Exchange, um für die Work Connect-App auf
iOS-Geräten mit Secure Work Space-E-Mail- und Terminplanerbenachrichtigungen bereitzustellen. Zum Aktivieren der
Benachrichtigungen müssen Sie die folgenden Schritte ausführen:
•
Konfigurieren von BlackBerry Work Connect Notification Service
•
Aktivieren einer SSL-Verbindung zwischen BES12 und dem Microsoft Exchange Server Ihres Unternehmens
Konfigurieren von BlackBerry Work Connect
Notification Service
iOS-Geräte verhindern, dass Apps im Hintergrund ausgeführt werden (es gibt jedoch bestimmte Ausnahmen, wie die StandardMessaging-App). Apps des geschäftlichen Bereichs empfangen daher nur neue Daten, wenn die App geöffnet ist oder die
Benachrichtigung vom APNs (Apple Push Notification service) stammt. Der BlackBerry Work Connect Notification Service nutzt
Microsoft Exchange Web Services zum Empfangen von Benachrichtigungen vom Microsoft Exchange Server und sendet
Benachrichtigungen über die BlackBerry Infrastructure an den APNs. Der APNs benachrichtigt die Work Connect-App auf dem
Gerät.
Bevor Sie beginnen:
•
Jede Firewall zwischen BES12 und dem Microsoft Exchange-CAS muss eine SSL-Verbindung über Port 8091
zulassen.
•
Konfigurieren Sie ein Microsoft Exchange-Konto mit Berechtigungen für die Identitätswechsel-Funktion aller
Benutzer. BES12 kann dieses Konto verwenden, um Benachrichtigungen von Microsoft Exchange Server anzufordern
und zu empfangen, wenn neue oder aktualisierte Elemente in der Mailbox des Benutzers verfügbar sind. Weitere
Informationen über die Konfiguration eines Identitätswechselkontos unter Microsoft Exchange 2007, Microsoft
Exchange 2010 oder Microsoft Exchange 2013 (CU2 oder höher) finden Sie unter http://support.blackberry.com/kb
im Artikel KB36432 (Teil 2).
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Externe Integration > Work Connect Notification.
2.
Führen Sie für jeden Microsoft Exchange Server, der überwacht werden soll, die folgenden Aktionen aus:
a.
Klicken Sie im Abschnitt Hinzufügen von Exchange Web Services und Import von Microsoft Exchange ServerZertifikaten auf
.
65
Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space
b.
Geben Sie in das Feld Exchange Web Services-URL die Microsoft Exchange Web Services-URL (z. B. https://
cas.domain.com/EWS/Exchange.asmx) ein.
c.
Wählen Sie in der Dropdown-Liste Microsoft Exchange Version die Version des Microsoft Exchange Server aus.
d.
Geben Sie in das Feld Benutzername den Domänennamen und den Benutzernamen für das Microsoft ExchangeKonto ein, das die Berechtigungen zum Identitätswechsel umfasst. Verwenden Sie folgendes Format: domain_name
\username.
e.
Geben Sie in das Feld Kennwort das Kennwort für das Microsoft Exchange-Konto mit den Berechtigungen für den
Identitätswechsel ein.
f.
Klicken Sie auf Speichern.
Aktivieren einer SSL-Verbindung mit Microsoft
Exchange Server
BES12 registriert sich am Microsoft Exchange Server Ihres Unternehmens im Namen der Benutzer, um Benachrichtigungen
über neue E-Mails zu erhalten. Um eine SSL-Verbindung zwischen BES12 und einem Microsoft Exchange Server zu aktivieren,
müssen Sie die Stamm- und Zwischenzertifikate des BlackBerry Work Connect Notification Service (beide sind in einer .p7bDatei enthalten) exportieren und diese dann in die Zertifikatspeicher des Microsoft Exchange Server importieren.
Wenn der Microsoft Exchange Server ein selbst signiertes oder ein von der Zertifizierungsstelle signiertes Zertifikat verwendet,
müssen Sie das Zertifikat in den Zertifikatspeicher von BlackBerry Work Connect Notification Service importieren.
1.
Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Work Connect
Notification.
2.
Klicken Sie unter Exportieren des Stammzertifikats des BlackBerry Work Connect Notification Service auf Exportieren.
Speichern Sie die .p7b-Datei, die das Stammzertifikat und das Zwischenzertifikat enthält.
3.
Übertragen Sie die .p7b-Datei auf den Computer, der Microsoft Exchange Server hostet.
4.
Importieren Sie die .p7b -Datei mithilfe der Microsoft-Verwaltungskonsole in den Zertifikatspeicher für vertrauenswürdige
Stammzertifizierungsstellen. Exportieren Sie dann das Zwischenzertifikat (.cer) aus dem Zertifikatspeicher für
vertrauenswürdige Stammzertifizierungsstellen, und importieren Sie es in den Zertifikatspeicher für
Zwischenzertifizierungsstellen (Ordner „Zertifikate“). Löschen Sie anschließend das Zwischenzertifikat aus dem
Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen. Die entsprechenden Anweisungen finden Sie im
Microsoft Developer Network in der Dokumentation zur Microsoft Management Console (MMC).
Wenn Ihr Unternehmen Microsoft Exchange Server 2007 oder 2010 mit einem CAS-Array nutzt, wiederholen Sie diesen
Schritt auf jedem Server im Array. Wenn Ihr Unternehmen Microsoft Exchange Server 2013 nutzt, wiederholen Sie diesen
Schritt auf jedem Mailbox-Server.
5.
Führen Sie für jeden Microsoft Exchange Server, der ein selbst signiertes Zertifikat oder ein von einer Zertifizierungsstelle
signiertes Zertifikat verwendet, die folgenden Aktionen aus:
66
Konfigurieren von BES12 zum Senden von Benachrichtigungen an iOS-Geräte mit Secure Work Space
a.
Exportieren Sie das Microsoft Exchange Server-Zertifikat in einem X.509-Format (*.cer, *.der). Die entsprechenden
Anweisungen finden Sie im Microsoft Developer Network in der Dokumentation zur Microsoft Management Console
(MMC). Speichern Sie das Zertifikat unter einem Pfad, auf den Sie von der BES12-Verwaltungskonsole aus zugreifen
können.
b.
Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Work Connect
Notification.
c.
Klicken Sie unter Hinzufügen von Exchange Web Services und Import von Microsoft Exchange Server-Zertifikaten
auf die entsprechende Exchange Web Services-URL.
d.
Klicken Sie auf
e.
Aktivieren Sie das Kontrollkästchen Importieren eines Microsoft Exchange Server-Zertifikats.
f.
Klicken Sie auf Durchsuchen.
g.
Wählen Sie das Microsoft Exchange Server-Zertifikat aus, das Sie im X.509-Format (*.cer, *.der) exportiert haben.
h.
Klicken Sie auf Speichern.
.
67
Konfigurieren von BES12 für DEP
Konfigurieren von BES12 für DEP
13
Sie müssen BES12 für die Verwendung des Programms zur Geräteregistrierung (DEP) von Apple konfigurieren, damit Sie
BES12 mit DEP synchronisieren können. Nach der Konfiguration von BES12 können Sie die Aktivierung der von Ihrem
Unternehmen für DEP erworbenen iOS-Geräte mit der BES12-Verwaltungskonsole verwalten.
Schritte zur Konfiguration von BES12 für DEP
Beim Konfigurieren von BES12 für das Programm zur Geräteregistrierung von Apple führen Sie die folgenden Schritte aus:
Schritt
Aktion
Erstellen eines DEP-Kontos.
Herunterladen eines öffentlichen Schlüssels.
Generieren eines Server-Tokens.
Registrieren des Server-Tokens bei BES12.
Hinzufügen einer Registrierungskonfiguration.
Erstellen eines DEP-Kontos
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie in Schritt 1 von 4: Erstellen eines Apple DEP-Kontos auf Erstellen eines Apple DEP-Kontos.
4.
Füllen Sie die Felder aus, und befolgen Sie die Anweisungen zum Erstellen des Kontos.
Wenn Sie fertig sind: Herunterladen eines öffentlichen Schlüssels.
68
Konfigurieren von BES12 für DEP
Herunterladen eines öffentlichen Schlüssels
Bevor Sie beginnen: Erstellen eines DEP-Kontos.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie in Schritt 2 von 4: Herunterladen eines öffentlichen Schlüssels auf Herunterladen des öffentlichen
Schlüssels.
4.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Generieren eines Server-Tokens.
Generieren eines Server-Tokens
Bevor Sie beginnen: Herunterladen eines öffentlichen Schlüssels.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie in Schritt 3 von 4: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von
Apple.
4.
Melden Sie sich bei Ihrem DEP-Konto an.
5.
Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens.
Wenn Sie fertig sind: Registrieren des Server-Tokens bei BES12 .
Registrieren des Server-Tokens bei BES12
BES12 verwendet bei der Kommunikation mit dem Programm zur Geräteregistrierung von Apple ein Server-Token zur
Authentifizierung.
Bevor Sie beginnen: Generieren eines Server-Tokens.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie in Schritt 4 von 4: Registrieren des Server-Tokens bei BES12 auf Durchsuchen.
4.
Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus.
69
Konfigurieren von BES12 für DEP
5.
Klicken Sie auf Öffnen.
6.
Klicken Sie auf Weiter.
Wenn Sie fertig sind: Hinzufügen einer Registrierungskonfiguration.
Hinzufügen einer Registrierungskonfiguration
Bevor Sie beginnen: Registrieren des Server-Tokens bei BES12 , bevor Sie Ihre erste Registrierungskonfiguration hinzufügen.
Nachdem Sie ein Server-Token registriert haben, wird in BES12 automatisch das Fenster zum Hinzufügen der ersten
Registrierungskonfiguration angezeigt.
1.
Füllen Sie die Felder aus, und aktivieren Sie die Kontrollkästchen für die Elemente, die Ihre Registrierungskonfiguration
enthalten soll.
•
Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ auswählen, weist BES12
die Registrierungskonfiguration iOS-Geräten bei deren Registrierung beim DEP von Apple automatisch zu. Wenn
Sie die Registrierungskonfiguration nicht automatisch zuweisen lassen, können Sie die BES12Verwaltungskonsole verwenden, um beim DEP registrierten iOS-Geräten Registrierungskonfigurationen
zuzuweisen. Weitere Informationen über die Zuweisung von Registrierungskonfigurationen finden Sie in der
Dokumentation für Administratoren.
•
Wenn Sie im Bereich „Gerätekonfiguration“ weder „Beaufsichtigten Modus aktivieren“ noch „Entfernen des
MDM-Profils zulassen“ auswählen, werden Sie von BES12 beim Speichern der Registrierungskonfiguration zur
Auswahl eines dieser Elemente aufgefordert. Sie müssen mindestens eines dieser Elemente auswählen.
Optional können Sie beide Elemente auswählen.
2.
Klicken Sie auf Speichern.
3.
Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben, klicken Sie auf
Ja.
Wenn Sie fertig sind: Aktivieren Sie iOS-Geräte. Weitere Informationen zum Aktivieren von Geräten finden Sie in der
Dokumentation für Administratoren.
Aktualisieren des Server-Tokens
Das Server-Token ist ein Jahr lang gültig. Sie müssen das Token jährlich vor dem Ablaufdatum erneuern. Den Status des Tokens
finden Sie unter dem „Ablaufdatum“ im Programm zur Geräteregistrierung von Apple.
Bevor Sie beginnen: Wenn der öffentliche Schlüssel geändert wurde, laden Sie einen neuen öffentlichen Schlüssel herunter.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
70
Konfigurieren von BES12 für DEP
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie im Bereich Ablaufdatum auf Server-Token aktualisieren .
4.
Klicken Sie in Schritt 1 von 2: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von
Apple.
5.
Melden Sie sich bei Ihrem DEP-Konto an.
6.
Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens.
7.
Klicken Sie in Schritt 2 von 2: Registrieren des Server-Tokens bei BES12 auf Durchsuchen.
8.
Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus.
9.
Klicken Sie auf Öffnen.
10. Klicken Sie auf Speichern.
Entfernen der DEP-Verbindung
VORSICHT: Wenn Sie die DEP-Verbindung entfernen, können Sie neue iOS-Geräte nicht im Programm zur Geräteregistrierung
von Apple aktivieren. Wenn Sie Geräten Registrierungskonfigurationen zugewiesen haben und diese nicht angewendet wurden,
entfernt BES12 die Registrierungskonfigurationen. Das Entfernen der Verbindung hat keine Auswirkungen auf Geräte, die in
BES12 aktiv sind.
Wenn in Ihrem Unternehmen keine weiteren iOS-Geräte bereitgestellt werden, die DEP verwenden, können Sie die Verbindung
zwischen BES12 und DEP entfernen.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3.
Klicken Sie auf DEP-Verbindung entfernen.
4.
Klicken Sie auf Entfernen.
5.
Klicken Sie auf OK.
71
Herstellen einer Verbindung zwischen BES12 und einem Good-Kontrollserver
Herstellen einer Verbindung zwischen
BES12 und einem GoodKontrollserver
14
Sie können eine Verbindung zwischen BES12 und einer Good Control-Serverinstanz herstellen, um iOS- und Android-Geräten
den Zugriff auf Good Dynamics-Produktivitäts-Apps wie Good Work, Good Access und Good Connect zu ermöglichen.
Weitere Informationen zur Integration von BES12 und Good Dynamics finden Sie in der Dokumentation zur Integration von
BES12 und Good Dynamics.
72
Vereinfachung von Windows 10-Aktivierungen
Vereinfachung von Windows 10Aktivierungen
15
Sie können eine Java-Webanwendung von BlackBerry als Suchdienst verwenden, um den Aktivierungsvorgang für Benutzer mit
Windows 10-Geräten zu vereinfachen. Wenn Sie den Suchdienst verwenden, müssen Sie während des Aktivierungsvorgangs
keine Serveradresse eingeben. Wenn Sie diese Webanwendung nicht bereitstellen möchten, können Benutzer Windows 10Geräte auch aktivieren, indem sie die Serveradresse bei Aufforderung eingeben.
Schritte zur Bereitstellung einer SuchdienstWebanwendung
Sie können verschiedene Betriebssysteme und Webanwendungs-Tools zur Bereitstellung einer Suchdienst-Webanwendung
verwenden. Dieser Abschnitt beinhaltet die Schritte der oberen Ebene. Unter Bereitstellen eines Suchdienstes zur
Vereinfachung von Windows 10-Aktivierungen finden Sie ein Beispiel für die für bestimmte Betriebssysteme und Tools
spezifischen Schritte.
Wenn Sie eine Suchdienst-Webanwendung bereitstellen, führen Sie die folgenden Schritte aus:
Schritt
Aktion
Erstellen Sie einen statischen DNS-Host-A-Datensatz für den Java-Anwendungsserver. Der Datensatz
muss enterpriseenrollment.<emaildomain> lauten, wobei <emaildomain> den E-Mail-Adressen Ihrer
Benutzer entspricht.
Wenn Sie Benutzern die Berechtigung erteilen möchten, dass diese Aktivierungen auch vornehmen
können, wenn sie sich außerhalb Ihres Netzwerks befinden, konfigurieren Sie den Computer, der den
Suchdienst hostet, für den externen Empfang über Port 443.
Erstellen und installieren Sie ein Zertifikat, um für sichere TLS-Verbindungen zwischen dem Windows 10Gerät und dem Suchdienst zu sorgen.
Besuchen Sie http://help.blackberry.com/bes12tools, um das BES12 Tool für die automatische ProxyErmittlung herunterzuladen. Führen Sie die Datei aus, um eine .war-Datei zu extrahieren, und stellen Sie
sie im Stamm des Java-Anwendungsservers bereit.
Aktualisieren Sie die wdp.properties-Datei der Suchdienst-Webanwendung, um eine Liste der SRP-IDs
Ihres Unternehmens hinzuzufügen.
73
Vereinfachung von Windows 10-Aktivierungen
Bereitstellen eines Suchdienstes zur
Vereinfachung von Windows 10-Aktivierungen
Die folgenden Schritte zeigen, wie Sie die Suchdienst-Webanwendung in der unten beschriebenen Umgebung bereitstellen
können.
Bevor Sie beginnen: Stellen Sie sicher, dass die folgende Software in Ihrer Umgebung installiert ist und ausgeführt wird:
1.
•
Windows Server 2012 R2
•
Java JRE 1.8 oder höher
•
Apache Tomcat 8 Version 8.0 oder höher
Konfigurieren Sie eine statische IP-Adresse für den Computer, der den Suchdienst hostet.
Hinweis: Wenn Sie möchten, dass Benutzer dazu berechtigt sind, Geräte zu aktivieren, die sich außerhalb Ihres
Unternehmensnetzwerks befinden, muss man von extern über Port 443 auf die IP-Adresse zugreifen können.
2.
Erstellen Sie einen DNS-Host-A-Datensatz für den Namen enterpriseenrollment.<email domain>, der auf die
in Schritt 1 konfigurierte statische IP-Adresse verweist.
3.
Durchsuchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, die Datei „server.xml“ nach 8080, und
wenden Sie Kommentar-Tags wie im folgenden Beispiel an:
<!-<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
-->
4.
Durchsuchen Sie server.xml, und ändern Sie alle Instanzen von 8443 zu 443.
5.
Suchen Sie nach dem Abschnitt <Connector port= "443", entfernen Sie die Kommentar-Tags darüber und darunter, und
ändern Sie sie wie im folgenden Beispiel:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Users\<account name>
\.keystore" />
6.
Generieren Sie, während Sie mit dem Konto angemeldet sind, das Sie im Beispiel oben angegeben haben, ein Zertifikat,
indem Sie die zwei im folgenden Beispiel gezeigten Befehle ausführen. Wenn Sie aufgefordert werden, Ihren Vor- und
Nachnamen einzugeben, geben Sie enterpriseenrollment.<email domain> wie unten angezeigt ein:
C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg
RSA -keysize 2048
74
Vereinfachung von Windows 10-Aktivierungen
C:\Program Files (x86)\Java\jre1.8.0_60\bin> keytool -certreq -alias tomcat -keyalg
RSA -file <filename>.csr
C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg
RSA -keysize 2048
Enter keystore password: changeit
What is your first and last name?
[Unknown]: enterpriseenrollment.example.com
What is the name of your organizational unit?
[Unknown]: IT Department
What is the name of your organization?
[Unknown]: Manufacturing Co.
What is the name of your City or Locality?
[Unknown]: Waterloo
What is the name of your State or Province?
[Unknown]: Ontario
What is the two-letter country code for this unit?
[Unknown]: CA
Is CN=enterpriseenrollment.example.com, OU=Business Unit, O=Example Company,
L=Waterloo, ST=Ontario, C=CA correct?
[no]: yes
C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -certreq -alias tomcat -keyalg
RSA -file <enterpriseenrollment.example.com>.csr
Enter key password for <enterpriseenrollment.example.com>
(RETURN if same as keystore password):
7.
8.
Senden Sie die Anforderung für die Zertifikatssignatur an eine Zertifizierungsstelle. Die Zertifizierungsstelle sendet
eine .p7b-Datei zurück. Beim Beispiel oben würde die Zertifizierungsstelle die Datei
enterpriseenrollment.example.com.p7b zurücksenden.
•
Wenn Sie die Anforderung für die Zertifikatssignatur an eine große, externe Zertifizierungsstelle senden, sollten
Benutzer keine weiteren Schritte unternehmen müssen, um die Glaubwürdigkeit des Zertifikats bei der
Aktivierung nicht zu gefährden.
•
Wenn Sie die Anforderung für die Zertifikatssignatur an eine interne Zertifizierungsstelle senden, müssen Sie das
Zertifizierungsstellenzertifikat auf dem Gerät installieren, bevor Sie mit der Aktivierung beginnen.
Installieren Sie das Zertifikat mithilfe des im folgenden Beispiel gezeigten Befehls:
C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -import -trustcacerts -alias
tomcat -file <filename>.p7b
9.
Beenden Sie Apache Tomcat.
10. Besuchen Sie http://help.blackberry.com/bes12tools, um das BES12 Tool für die automatische Proxy-Ermittlung
herunterzuladen. Extrahieren Sie den Inhalt der ZIP-Datei, und starten Sie W10AutoDiscovery-<version>.exe.
Die Datei W10AutoDiscovery-<version>.war wird unter C:\BlackBerry extrahiert.
11. Suchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, nach dem Ordner \webapps\ROOT. Wenn
dieser bereits vorhanden ist, löschen Sie den Ordner \ROOT.
75
Vereinfachung von Windows 10-Aktivierungen
12. Benennen Sie W10AutoDiscovery-<version>.war in ROOT.war um. Verschieben Sie die Datei in den Ordner
\webapps im Verzeichnis, in dem Sie Apache Tomcat installiert haben.
13. Starten Sie Apache Tomcat.
Apache Tomcat stellt die neue Webanwendung bereit und erstellt einen \webapp\ROOT folder.
14. Führen Sie notepad.exe als Administrator aus. Öffnen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben,
\webapps\ROOT\WEB-INF\classes\config\wdp.properties.
15. Fügen Sie die Host-ID für Ihre BES12-Domäne, wie im Beispiel unten gezeigt wird, zur Zeile wdp.whitelisted.srpid
hinzu. Sie finden die Host-ID für Ihre BES12-Domäne in der BES12-Verwaltungskonsole. Wenn Sie über mehrere BES12Domänen verfügen, geben Sie die Host-ID für jede Domäne ein. Führen Sie folgende Aktionen aus:
a.
Erweitern Sie auf der Registerkarte Einstellungen Lizenzierung > Lizenzübersicht.
b.
Klicken Sie auf Lizenzen aktivieren.
c.
Klicken Sie in der Dropdown-Liste Lizenz-Aktivierungsmethode auf Host-ID.
wdp.whitelisted.srpid=<Host ID>, <Host ID>, <Host ID>
16. Starten Sie Apache Tomcat neu.
76
Konfigurieren von BES12 für die Synchronisierung mit dem Windows Store für Unternehmen
Konfigurieren von BES12 für die
Synchronisierung mit dem Windows
Store für Unternehmen
16
Wenn Sie Windows 10-Apps verwalten möchten, müssen Sie BES12 zur Synchronisierung mit dem Windows Store für
Unternehmen konfigurieren.
Schritte zum Konfigurieren von BES12 für die
Synchronisierung mit dem Windows Store für
Unternehmen
Wenn Sie BES12 für die Synchronisierung mit dem Windows Store für Unternehmen konfigurieren, führen Sie die folgenden
Aktionen aus:
Schritt
Aktion
Erstellen und Konfigurieren eines Microsoft Azure-Kontos-eigene Optionen zur Verfügung.
Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes-eigene Optionen zur
Verfügung.
Erstellen eines Administrators für den Windows Store für Unternehmen-eigene Optionen zur Verfügung.
Erstellen und Konfigurieren eines Microsoft
Azure-Kontos
Zum Verwalten von Windows 10-Apps in BES12 müssen Sie ein Microsoft Azure-Konto erstellen, und BES12 muss sich bei
Microsoft Azure authentifizieren.
77
Konfigurieren von BES12 für die Synchronisierung mit dem Windows Store für Unternehmen
1.
Melden Sie sich mit Ihrem Microsoft-Konto bei https://azure.microsoft.com an. Wenn Sie nicht über ein Microsoft-Konto
verfügen, klicken Sie auf Microsoft-Konto erstellen.
2.
Wenn Sie nicht über ein Microsoft Azure-Abonnement verfügen, klicken Sie auf Bei Windows Azure anmelden.
Kreditkartendaten sind erforderlich.
3.
Erstellen Sie ein Microsoft Azure Active Directory. Optional können Sie das Standardverzeichnis verwenden. Es wird
jedoch empfohlenen, ein neues Verzeichnis zu erstellen, damit Sie einen neuen Verzeichnisnamen festlegen können.
4.
a.
Klicken Sie im linken Fensterbereich auf Active Directory.
b.
Klicken Sie auf Verzeichnis erstellen.
c.
Bitte füllen Sie die notwendigen Felder aus.
d.
Klicken Sie auf das Häkchen.
Um eine virtuelle Darstellung von BES12 im Microsoft Azure-Verzeichnis hinzuzufügen, führen Sie die folgenden Aktionen
durch. Das Hinzufügen einer virtuellen Darstellung ermöglicht BES12 die Authentifizierung mit Microsoft Azure.
a.
Klicken Sie in dem zuvor erstellten Verzeichnis auf Anwendungen.
b.
Klicken Sie auf Hinzufügen.
c.
Klicken Sie auf Eine von meinem Unternehmen entwickelte Anwendung hinzufügen.
d.
Geben Sie einen Namen für die Anwendung ein. Z. B. BES12.
e.
Wählen Sie Webanwendung und/oder Web-API.
f.
Geben Sie im Feld Anmelde-URL eine beliebige gültige URL ein. Zum Beispiel http://beispiel. Dieses Feld wird in
BES12 nicht verwendet, muss aber in Microsoft Azure ausgefüllt werden.
g.
Geben Sie im Feld App-ID-URI eine gültige URI ein. Zum Beispiel http://beispiel. Dieses Feld wird in BES12 nicht
verwendet, muss aber in Microsoft Azure ausgefüllt werden.
h.
Wählen Sie Ihr Land oder Ihre Region aus.
i.
Klicken Sie auf das Häkchen.
Erhalten der Client-ID, des Client-Schlüssels und
des OAuth 2.0-Token-Endpunktes
Bevor Sie beginnen: Erstellen und Konfigurieren eines Microsoft Azure-Kontos
78
Konfigurieren von BES12 für die Synchronisierung mit dem Windows Store für Unternehmen
1.
Klicken Sie in der Microsoft Azure-Konsole auf Konfigurieren.
2.
Kopieren Sie die Client-ID.
3.
Klicken Sie in der BES12-Verwaltungskonsole in der Menüleiste auf Einstellungen > App Management > Windows 10
Apps, und fügen Sie die Client-ID in das Feld Client-ID ein.
4.
Wählen Sie in der Microsoft Azure-Konsole im Abschnitt Schlüssel in der Dropdown-Liste Dauer auswählen ein Dauer aus.
5.
Kopieren Sie den Schlüssel.
6.
Fügen Sie den Schlüssel in der BES12-Verwaltungskonsole in das Feld Clientschlüssel ein.
7.
Klicken Sie in der Microsoft Azure-Konsole auf Endpunkte anzeigen.
8.
Kopieren Sie die URL im Feld Token-Endpunkt-URL.
9.
Fügen Sie in der BES12-Verwaltungskonsole die Token-Endpunkt-URL im Feld OAuth 2.0 Token-Endpunkt ein.
Erstellen eines Administrators für den Windows
Store für Unternehmen
Um Windows 10-Apps auf Geräten zu verwalten, müssen Sie einen App-Katalog im Windows Store für Unternehmen erstellen
und die Apps mit BES12 synchronisieren. Zum Erstellen des Katalogs im Windows Store für Unternehmen müssen Sie
mindestens ein Administratorkonto für die Anmeldung im Store einrichten.
Bevor Sie beginnen: Erstellen und Konfigurieren eines Microsoft Azure-Kontos-eigene Optionen zur Verfügung.
1.
Klicken Sie im Microsoft Azure-Verzeichnis auf Benutzer.
2.
Klicken Sie auf Benutzer hinzufügen.
3.
Geben Sie die erforderlichen Benutzerdaten auf dem Bildschirm ein.
4.
Klicken Sie auf den Pfeil „Weiter“.
5.
Geben Sie die erforderlichen Benutzerdaten auf dem Bildschirm ein.
6.
Wählen Sie in der Dropdown-Liste Rolle die Option Globaler Administrator aus.
7.
Klicken Sie auf den Pfeil „Weiter“.
8.
Klicken Sie im Bildschirm auf Erstellen.
9.
Klicken Sie auf das Häkchen.
Der Benutzer erhält eine E-Mail mit dem Benutzernamen und dem temporären Kennwort.
79
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
Steuern, welche Geräte Zugriff auf
Exchange ActiveSync haben dürfen
17
Sie können die unbefugte Nutzung von Exchange ActiveSync durch Geräte unterbinden, die nicht explizit auf einer Positivliste
aufgeführt sind. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mail und Terminplanerdaten
zugreifen. Mithilfe des BlackBerry Gatekeeping Service wird sichergestellt, dass nur die von BES12 verwalteten Geräte auf
geschäftliche E-Mail und andere Geschäftsdaten auf dem Gerät zugreifen können.
Für die Verwendung des BlackBerry Gatekeeping Service ist es erforderlich, eine Gatekeeping-Konfiguration für Microsoft
Exchange Server oder Microsoft Office 365 zu erstellen und Benutzern, für die der automatische Gatekeeping-Server
ausgewählt ist, ein E-Mail-Profil zuzuweisen.
Wenn ein Gerät die Sicherheitsrichtlinien Ihres Unternehmens nicht erfüllt, wird es der Positivliste nicht hinzugefügt. Wenn ein
Gerät nicht mehr richtlinienkonform mit den Sicherheitsrichtlinien Ihres Unternehmens ist, wird es automatisch aus der
Positivliste entfernt. Wenn beispielsweise das E-Mail-Profil von einem Gerät entfernt wird, ist das Gerät nicht mehr konform mit
dem Profil für die Vorschrifteneinhaltung. Wenn das Gerät deaktiviert werden sollte, wird es aus der Liste der zulässigen Geräte
entfernt.
Weitere Informationen über das Hinzufügen eines automatischen Gatekeeping-Servers zu einem E-Mail-Profil, das Anzeigen
des Verbindungsstatus auf einem Gerät und das Zulassen oder Blockieren von Geräten, die der Positivliste nicht automatisch
hinzugefügt werden, finden Sie in der Dokumentation für Administratoren.
Schritte zum Konfigurieren von Exchange
ActiveSync und BlackBerry Gatekeeping Service
Zum Konfigurieren des BlackBerry Gatekeeping Service führen Sie die folgenden Aktionen aus:
Schritt
Aktion
Konfigurieren von Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung.
Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung.
Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung.
80
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
Schritt
Aktion
Erstellen einer Gatekeeping-Konfiguration-eigene Optionen zur Verfügung.
Erstellen Sie ein E-Mail-Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen
Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Weitere Informationen finden Sie in der
Dokumentation für Administratoren.
Konfigurieren von Berechtigungen für
Gatekeeping
Zur Verwendung von Exchange ActiveSync Gatekeeping müssen Sie ein Benutzerkonto in Microsoft Exchange Server oder
Microsoft Office 365 erstellen und diesem die erforderlichen Gatekeeping-Berechtigungen zuweisen.
Wenn Sie Microsoft Office 365 verwenden, erstellen Sie ein Microsoft Office 365-Benutzerkonto, und ordnen Sie es den E-MailEmpfänger- und Clientzugriffsrollen des Unternehmens zu.
Wenn Sie Microsoft Exchange Server 2010 oder höher verwenden, folgen Sie den nachstehenden Anweisungen zum
Konfigurieren der Verwaltungsrollen mit den korrekten Berechtigungen zum Verwalten der Postfächer und des Clientzugriffs für
Exchange ActiveSync. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den
entsprechenden Berechtigungen zum Erstellen und Ändern von Verwaltungsrollen zu sein.
Bevor Sie beginnen: Erstellen Sie auf dem Computer, der Microsoft Exchange hostet, ein Konto und ein Postfach für die
Verwaltung von Gatekeeping in BES12 (z. B. BES12Admin). Sie müssen die Anmeldeinformationen für dieses Konto festlegen,
wenn Sie eine Exchange ActiveSync-Konfiguration erstellen.
WinRM muss mit den Standardeinstellungen auf dem Computer konfiguriert werden, der den Microsoft Exchange Server
hostet, den Sie für Gatekeeping festlegen. Sie müssen den Befehl Winrm quickconfig von einer Eingabeaufforderung als
Administrator ausführen. Wenn das Tool Make these changes [y/n] anzeigt, geben Sie y ein. Nach der erfolgreichen
Ausführung des Befehls sehen Sie die folgende Meldung.
WinRM has been updated for remote management.
WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on HTTP://* to accept WS-Man requests to any IP on this
machine.
1.
Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange
Management Shell.
2.
Geben Sie New-ManagementRole -Name "<new_role_mail>" -Parent "Mail Recipients" ein. Drücken Sie die
Eingabetaste.
81
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
3.
Geben Sie New-ManagementRole -Name "<new_role_ca>" -Parent "Organization Client Access" ein. Drücken Sie die
Eingabetaste.
4.
Geben Sie New-ManagementRole -Name "<new_role_exchange>" -Parent "Exchange Servers" ein. Drücken Sie die
Eingabetaste.
5.
Geben Sie Get-ManagementRoleEntry "<new_role_mail>\*" | Where {$_.Name -ne "Get-ADServerSettings"} | RemoveManagementRoleEntry ein. Drücken Sie die Eingabetaste.
6.
Geben Sie Get-ManagementRoleEntry "<new_role_ca>\*" | Where {$_.Name -ne "Get-CasMailbox"} | RemoveManagementRoleEntry ein. Drücken Sie die Eingabetaste.
7.
Geben Sie Get-ManagementRoleEntry "<new_role_exchange>\*" | Where {$_.Name -ne "Get-ExchangeServer"} |
Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste.
8.
Geben Sie Add-ManagementRoleEntry "<new_role_mail>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox ein.
Drücken Sie die Eingabetaste.
9.
Geben Sie Add-ManagementRoleEntry "<new_role_mail>\Get-ActiveSyncDevice" -Parameters Identity ein. Drücken
Sie die Eingabetaste.
10. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie AddManagementRoleEntry “<new_role_mail>\Get-MobileDeviceStatistics” –Parameters Mailbox ein. Drücken Sie die
Eingabetaste.
11. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie AddManagementRoleEntry “<new_role_mail>\Get-MobileDevice” –Parameters Mailbox ein. Drücken Sie die Eingabetaste.
12. Geben Sie Add-ManagementRoleEntry "<new_role_ca>\Set-CasMailbox" -Parameters Identity,
ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs ein. Drücken Sie die Eingabetaste.
13. Geben Sie New-RoleGroup "<new_group>" -Roles "<new_role_mail>", "<new_role_ca>", "<new_role_exchange>" ein.
Drücken Sie die Eingabetaste.
14. Geben Sie Add-RoleGroupMember -Identity "<new_group>" -Member "BES12Admin" ein. Drücken Sie die
Eingabetaste.
Zugriff auf Exchange ActiveSync nur über
autorisierte Geräte zulassen
Wenn Ihr Unternehmen Microsoft Exchange Server 2010 oder höher verwendet, lesen Sie die Informationen unter
Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync .
Wenn Ihr Unternehmen Microsoft Office 365 verwendet, lesen Sie die Informationen unter Konfigurieren der Zugriffsrichtlinie
für mobile Geräte in Microsoft Office 365 .
82
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
Konfigurieren von Microsoft Exchange für den ausschließlichen
Zugriff autorisierter Geräte auf Exchange ActiveSync
Sie müssen Microsoft Exchange Server 2010 oder höher so konfigurieren, dass nur autorisierte Geräte Zugriff auf Exchange
ActiveSync erhalten. Geräte bestehender Benutzer, die nicht explizit der Liste zulässiger Geräte in Microsoft Exchange
hinzugefügt wurden, müssen unter Quarantäne gestellt werden, bis BES12 sie zulässt.
Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden
Berechtigungen zum Konfigurieren des Parameters „Set-ActiveSyncOrganizationSettings“ zu sein. Informationen über die
ausschließliche Zulassung autorisierter Geräte für den Zugriff auf Exchange ActiveSync finden Sie auf https://
technet.microsoft.com in dem Artikel Aktivieren eines Geräts für Exchange ActiveSync .
Bevor Sie beginnen: Überprüfen Sie zusammen mit dem Microsoft Exchange-Administrator, ob es Benutzer gibt, die Exchange
ActiveSync verwenden.
Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt ist und Sie Benutzer
eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser
Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen.
Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie
von BES12 zugelassen werden.
Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter
http://support.blackberry.com/kb im Artikel KB33531.
1.
Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange
Management Shell.
2.
Geben Sie Set-ActiveSyncOrganizationSettings –DefaultAccessLevel Quarantine ein. Drücken Sie die Eingabetaste.
Konfigurieren der Zugriffsrichtlinie für mobile Geräte in
Microsoft Office 365
Zum Verwenden von BlackBerry Gatekeeping Service mit Microsoft Office 365 müssen Sie die Standardzugriffsrichtlinie für
mobile Geräte in Microsoft Office 365 auf Quarantäne (Isolieren) festlegen.
1.
Melden Sie sich beim Microsoft Office 365-Verwaltungsportal an.
2.
Klicken Sie im Seitenmenü auf Admin.
3.
Klicken Sie auf Exchange.
4.
Klicken Sie auf im Bereich Mobil auf Zugriff auf mobile Geräte.
5.
Klicken Sie auf Bearbeiten.
6.
Klicken Sie auf Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll.
83
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
Konfigurieren von Microsoft IIS-Berechtigungen
für Gatekeeping
Unter BES12 werden Windows PowerShell-Befehle für die Verwaltung der Liste zulässiger Geräte verwendet. Um den
BlackBerry Gatekeeping Service zu nutzen, müssen Sie Microsoft IIS-Berechtigungen konfigurieren. Führen Sie die folgenden
Aktionen auf dem Computer aus, der die Microsoft-Client-Zugriffs-Serverrolle hostet.
1.
Öffnen Sie den Microsoft Internet Information Services (IIS) Manager.
2.
Erweitern Sie im linken Fensterbereich den Server.
3.
Erweitern Sie Websites > Standard-Website.
4.
Klicken Sie mit der rechten Maustaste auf den PowerShell-Ordner. Wählen Sie Berechtigungen bearbeiten.
5.
Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie auf Bearbeiten.
6.
Klicken Sie auf Hinzufügen, und geben Sie die <neue_Gruppe> ein, die bei der Konfiguration der Microsoft ExchangeBerechtigungen für Gatekeeping erstellt wurde.
7.
Klicken Sie auf OK.
8.
Vergewissern Sie sich, dass Lesen & Ausführen, Auflisten von Verzeichnisinhalten und Gelesen ausgewählt sind. Klicken
Sie auf OK.
9.
Wählen Sie den PowerShell-Ordner aus. Doppelklicken Sie auf das Symbol Authentifizierung.
10. Wählen Sie Windows-Authentifizierung. Klicken Sie auf Aktivieren.
11. Schließen Sie den Microsoft Internet Information Services (IIS) Manager.
Erstellen einer Gatekeeping-Konfiguration
Sie können eine Gatekeeping-Konfiguration so erstellen, dass die den Sicherheitsrichtlinien Ihres Unternehmens
entsprechenden Geräte eine Verbindung zu Microsoft Exchange Server oder Microsoft Office 365 herstellen können.
Bevor Sie beginnen:
•
Konfigurieren von Berechtigungen für Gatekeeping.
•
Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung.
•
Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Microsoft Exchange.
2.
Klicken Sie auf
.
84
Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen
3.
Geben Sie im Feld Servername den Namen der Microsoft Exchange Server- oder Microsoft Office 365-Umgebung ein, für
die der Zugriff verwaltet werden soll.
4.
Geben Sie den Benutzernamen und das Kennwort für das Konto ein, das Sie für die Verwaltung von Exchange ActiveSyncGatekeeping erstellt haben.
5.
Wählen Sie in der Dropdown-Liste Authentifizierungstyp die unter Microsoft Exchange Server oder Microsoft Office 365
verwendete Authentifizierung aus.
6.
Aktivieren Sie das Kontrollkästchen SSL verwenden, um die SSL-Authentifizierung zwischen BES12 und dem Microsoft
Exchange Server oder Microsoft Office 365 zu aktivieren. Optional können weitere Zertifikatprüfungen ausgewählt
werden.
7.
Wählen Sie in der Dropdown-Liste Proxy-Typ ggf. die Art der Proxy-Konfiguration aus, die zwischen BES12 und dem
Microsoft Exchange Server oder Microsoft Office 365 verwendet wird.
8.
Wenn Sie im vorhergehenden Schritt eine Proxy-Konfiguration ausgewählt haben, wählen Sie den Authentifizierungstyp
für den Proxy-Server aus.
9.
Wählen Sie bei Bedarf Authentifizierung erforderlich, und geben Sie den Benutzernamen und das Kennwort ein.
10. Klicken Sie auf Verbindung testen, um zu prüfen, ob die Verbindung erfolgreich ist.
11. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Erstellen Sie ein E-Mail-Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen
Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Weitere Informationen finden Sie in der Dokumentation für
Administratoren.
85
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Migrieren von Benutzern, Geräten,
Gruppen und anderen Daten aus einer
BES10- bzw. BES12-Quelldatenbank
18
Verwenden Sie nach der Installation einer neuen Instanz von BES12 die Verwaltungskonsole zum Migrieren von Benutzern,
Geräten, Gruppen und anderer Daten aus einer BES10- bzw. BES12-Quelldatenbank.
Schritte beim Migrieren von Benutzern, Geräten,
Gruppen und anderen Daten aus einer BES10bzw. BES12-Quelldatenbank
Führen Sie zum Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
die folgenden Aktionen aus:
Schritt
Aktion
Herstellen einer Verbindung zu einer Quelldatenbank-eigene Optionen zur Verfügung.
Migrieren Sie optional IT-Richtlinien, Profilen und Gruppen.
Migrieren Sie Benutzer.
Migrieren Sie Geräte.
86
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Voraussetzungen: Migrieren von Benutzern,
Geräten, Gruppen und anderen Daten aus einer
BES10- bzw. BES12-Quelldatenbank
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie mit der Migration beginnen.
Voraussetzung
Details
Anmelden
Melden Sie sich bei BES12 als Sicherheitsadministrator an.
Überprüfen der
Softwareversion
Zum Migrieren von Daten auf BES12 Version 12.4:
•
Die BES12-Instanz, aus der Sie Daten migrieren, muss in BES12 Version 12.2 oder höher
vorliegen.
•
Die BES10-Instanz, aus der Sie Daten migrieren, muss in Version 10.2.3 oder höher
vorliegen.
Konfigurieren der Verbindung Konfigurieren Sie die Verbindung mit dem BES12-Zielunternehmensverzeichnis auf die
mit dem BES12gleiche Weise wie in der BES10- bzw. BES12-Quelle. Wenn die BES10- bzw. BES12-Quelle
Unternehmensverzeichnis
beispielsweise für die Active Directory-Integration und die Verbindung mit der Domäne
„beispiel.com“ konfiguriert wurde, konfigurieren Sie das BES12-Ziel ebenfalls für die Active
Directory-Integration und die Verbindung mit der Domäne „beispiel.com“.
Defragmentieren der
Datenbanken
Defragmentieren Sie die Quelldatenbanken und die BES12-Zieldatenbank (sofern
vorhanden), bevor Sie die Migration beginnen. Wenn Sie eine große Benutzerzahl migrieren,
sollten Sie die BES12-Zieldatenbank nach jeder Migration einer Benutzergruppe
defragmentieren. Weitere Informationen zur Defragmentierung einer Microsoft SQL Server
2012-Datenbank finden Sie unter www.technet.microsoft.com im Artikel „Neuorganisieren
und Neuerstellen von Indizes“.
Herstellen einer Verbindung zu einer
Quelldatenbank
Sie müssen eine Verbindung zwischen BES12 und der BES10- bzw. BES12-Datenbank herstellen, von der aus Daten migriert
werden. Sie können mehrere Quelldatenbanken hinzufügen, es kann jedoch immer nur eine aktive Quelldatenbank geben.
Hinweis: Stellen Sie sicher, dass das mit den Anmeldeinformationen für die Datenbank verknüpfte Konto, das Sie für die
Anmeldung bei der Datenbank verwenden, über Schreibrechte verfügt.
87
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
1.
Klicken Sie in der Menüleiste auf Einstellungen > Migration > Konfiguration.
2.
Klicken Sie auf
3.
Wählen Sie in der Dropdown-Liste Quelltyp den Typ der Quelldatenbank aus – BES10 oder BES12.
4.
Geben Sie im Feld Anzeigename einen beschreibenden Namen für die Quelldatenbank ein.
5.
Geben Sie im Feld Datenbankserver den Namen des Computers ein, der die Quelldatenbank hostet. Verwenden Sie dabei
für einen dynamischen Port das Format <Host>\<Instanz> und für einen statischen Port das Format <Host>:<Port>.
6.
Wählen Sie in der Dropdown-Liste Datenbank-Authentifizierungstyp den Authentifizierungstyp aus, der für die
Verbindung mit der Quelldatenbank verwendet werden soll.
7.
Führen Sie einen der folgenden Schritte aus:
.
Option
Beschreibung
BES10-Quelldatenbank
1.
Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den
Feldern Benutzername und Kennwort Ihre Anmeldeinformationen für die
Verbindung mit der Quelldatenbank ein.
2.
Geben Sie im Feld BDS-Datenbankname den Namen der Quelldatenbank
(z. B. „BDSMgmt“) ein.
1.
Wenn Sie die SQL-Authentifizierung gewählt haben, geben Sie in den
Feldern SQL-Benutzername und SQL-Kennwort Ihre
Anmeldeinformationen für die Verbindung mit der Quelldatenbank ein.
2.
Geben Sie im Feld Datenbankname den Namen der Quelldatenbank ein.
3.
Wählen Sie in der Dropdown-Liste BES12-Quellauthentifizierungstyp den
Authentifizierungstyp zur Verwendung für die Anmeldung bei der BES12Quellverwaltungskonsole aus.
4.
Geben Sie in den Feldern Benutzername und Kennwort Ihre
Anmeldeinformationen für die Anmeldung bei der Quell-BES12Verwaltungskonsole ein.
5.
Wenn Sie die Microsoft Active Directory-Authentifizierung ausgewählt
haben, geben Sie im Feld Domäne den Namen der Domäne ein, in der
sich die BES12-Quellverwaltungskonsole befindet.
BES12-Quelldatenbank
8.
Klicken Sie auf Speichern.
9.
Auf Wunsch können Sie die Verbindung zwischen der Quelldatenbank und der Zieldatenbank testen, indem Sie auf
Verbindung testen klicken.
10. Klicken Sie auf Speichern.
88
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Bewährte Verfahren: Migrieren von ITRichtlinien, Profilen und Gruppen aus einer
Quelldatenbank
Wenn Sie BES10-IT-Richtlinien, -Profile und -Gruppen zu BES12 migrieren, beachten Sie folgende Richtlinien:
Objekt
Überlegungen
Gruppen
Migrierte Gruppen behalten die ihnen zugewiesenen IT-Richtlinien und Profile.
Benutzer
Migrierte Benutzer behalten die ihnen zugewiesenen IT-Richtlinien, Profile und Gruppen
nicht.
Nach der Migration müssen Sie jeder Gruppe in BES12 Benutzer neu zuweisen.
Kennwörter für IT-Richtlinien
Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für iOS- oder Android-Geräte eine
Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt,
können keine BES10-IT-Richtlinien oder -Profile migriert werden. Heben Sie die Auswahl auf,
oder aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu.
Benutzerdefinierte Variablen
Während der Migration ordnet BES12 die benutzerdefinierten Variablen von
BES10 %custom1% bis %custom5% den benutzerdefinierten Variablen für
Kennwörter %custom_pswd1% bis %custom_pswd5% unter BES12 zu. Um Fehler mit
Kennwörtern bei Verwendung dieser Variablen in BES10 zu vermeiden, verwenden Sie diese
auf die gleiche Weise wie in BES12. Wenn %custom1% beispielsweise als Kennwort für ein
ActiveSync-E-Mail-Profil in BES10 verwendet wurde, muss %custom_pwd1% in BES12 für
den gleichen Zweck verwendet werden. Diese Variablen werden in der BES12-Datenbank
verschlüsselt.
Profile für freigegebenes
Zertifikat
Nach der Migration werden Profile für freigegebene Zertifikate, die ein SCEP-Zertifikat
beinhalten, im SCEP-Abschnitt angezeigt.
Aktivierungsprofile
Aktivierungsprofile werden nicht migriert. Nach der Migration müssen Sie jedem Benutzer ein
Aktivierungsprofil mit der gleichen Aktivierungsart zuweisen, die er in BES10 hatte.
Zertifizierungsstellenzertifikat In BES12 müssen Sie alle migrierten Zertifizierungsstellenzertifikate Geräten manuell
e
zuweisen (diese wurden in BES10 automatisch zugewiesen). Bevor Sie ein migriertes
Zertifizierungsstellenzertifikat Benutzern oder einer Gruppe, die Benutzer mit iOS-, Androidoder Windows-Geräten enthält, zuweisen können, müssen Sie das Profil für
Zertifizierungsstellenzertifikate in BES12 öffnen und auf „Bearbeiten“ und dann auf
„Speichern“ klicken.
89
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Objekt
Überlegungen
IT-Richtlinienregeln
Die folgenden IT-Richtlinienregeln können nicht von BES10 nach BES12 migriert werden:
•
Gerät sichern und wiederherstellen
•
Geschäftlichen Bereich sichern und wiederherstellen
•
Cloud-Speicherzugriff über den geschäftlichen Bereich
•
Hotspot WPA2-Personal-Sicherheitstyp
•
Erstellung eines Verschlüsselungsschlüssels für die Zwei-Faktor-Authentifizierung
•
WebGL
Wenn Sie BES12-IT-Richtlinien, -Profile und -Gruppen in eine andere BES12-Domäne migrieren, beachten Sie Folgendes:
Objekt
Überlegungen
Kennwörter für IT-Richtlinien
Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für Android-Geräte eine
Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über 16 vorschreibt,
können keine BES12-IT-Richtlinien oder -Profile migriert werden. Heben Sie die Auswahl auf,
oder aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu.
Ist bei IT-Richtlinien in BES12 Version 12.1 das Feld Kennwortanforderungen im Bereich
KNOX MDM auf der Registerkarte Android auf „Nicht festgelegt“ oder „Eingabe erforderlich“
gesetzt, wird der Wert bei der Migration zu BES12 Version 12.2 in „Numerisch“ geändert. Die
Werte „Nicht festgelegt“ und „Eingabe erforderlich“ sind in Version 12.2 von BES12 nicht
verfügbar.
Profilnamen
Nach der Migration müssen Sie sicherstellen, dass alle Profile für SCEP,
Benutzeranmeldeinformationen, freigegebene Zertifikate und Zertifizierungsstellenzertifikate
eindeutige Namen haben. Wenn zwei Profile des gleichen Typs den gleichen Namen haben,
müssen Sie den Namen eines der Profile bearbeiten.
Verzeichnisgruppen
Für die Migration von Verzeichnisgruppen muss für die Quell- und Zieldatenbank jeweils ein
Verzeichnis konfiguriert sein. Dieses Verzeichnis muss in der Quell- und Zieldatenbank auf die
gleiche Weise konfiguriert sein. Wenn die Verzeichnisse nicht entsprechend eingerichtet sind,
werden die Verzeichnisgruppen nicht migriert.
Migrieren von IT-Richtlinien, Profilen und
Gruppen aus einer Quelldatenbank
IT-Richtlinien, Profile und Gruppen können optional aus einer Quelldatenbank migriert werden.
90
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Bei der Migration werden ausgewählte IT-Richtlinien, E-Mail-Profile, WLAN-Profile, VPN-Profile, Proxy-Profile, Profile für
Zertifizierungsstellenzertifikate, Profile für freigegebene Zertifikate, SCEP-Profile, Benutzeranmeldeinformationen und
Zertifizierungsstellen-Einstellungen in die Zieldatenbank kopiert. Alle Richtlinien und Profile, die mit den von Ihnen
ausgewählten Richtlinien und Profilen verknüpft sind, werden auch migriert.
Hinweis: Bei Migrationen von BES10 werden alle Gruppen migriert. Für Gruppen von BES12 werden Benutzer, Rollen,
Softwarekonfigurationszuordnungen und Attribute von BlackBerry OS nicht migriert.
1.
Klicken Sie in der Menüleiste auf Einstellungen.
2.
Wenn mehr als eine Quelldatenbank konfiguriert wurde, klicken Sie im linken Fensterbereich auf Migration >
Konfiguration, und aktivieren Sie dann das Optionsfeld neben dem Namen der Datenbank, aus der die Daten migriert
werden sollen.
3.
Klicken Sie auf Migration > IT-Richtlinien, Profile, Gruppen.
4.
Klicken Sie auf Weiter.
5.
Aktivieren Sie die Kontrollkästchen für die Elemente, die Sie migrieren möchten.
Der Name der Quelldatenbank ist für jede Richtlinie und jeden Profilnamen angehängt, wenn diese zur Zieldatenbank
migriert wurden.
6.
Klicken Sie auf Vorschau, um die von Ihnen ausgewählten Richtlinien und Profilen zu prüfen.
7.
Klicken Sie auf Migrieren.
Auf dem Bildschirm Migrationsstatus wird der Fortschritt der Migration angezeigt.
8.
Um die IT-Richtlinien, Profile und Gruppen zu konfigurieren, klicken Sie auf IT-Richtlinien und -Profile konfigurieren. Der
Bildschirm Richtlinien und Profile wird geöffnet.
Bewährte Verfahren: Migrieren von Benutzern
aus einer Quelldatenbank
Berücksichtigen Sie die folgenden Punkte, wenn Sie Benutzer in eine BES12-Zieldatenbank migrieren:
Objekt
Überlegungen
Maximale Anzahl für die
Migration
Sie können maximal 2000 Benutzer gleichzeitig aus einer Quelldatenbank migrieren. Ist die
Zieldatenbank eine von BES5 aktualisierte BES12-Datenbank, können Sie maximal 300
Benutzer gleichzeitig migrieren.
Wenn Sie mehr als die maximale Anzahl Benutzer für die Migration auswählen, wird nur die
maximale Anzahl Benutzer in die BES12-Zieldatenbank migriert. Die verbleibenden Benutzer
werden ausgelassen. Wiederholen Sie den Migrationsvorgang so häufig wie nötig, um alle
Benutzer aus der Quelldatenbank zu migrieren.
91
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Objekt
Überlegungen
Hinweis: Wenn BES12 das Zeitlimit während der Migration von 2000 Benutzern überschreitet,
versuchen Sie die Migration mit weniger Benutzern (z. B. 1000).
E-Mail-Adresse
Gerät
•
Benutzer benötigen eine E-Mail-Adresse, bevor die Migration erfolgen kann.
•
Benutzer, die eine in der BES12-Zieldatenbank bereits vorhandene E-Mail-Adresse
verwenden, können nicht migriert werden.
•
Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse haben, wird nur
ein Benutzer auf dem Bildschirm „Migrieren von Benutzern“ angezeigt.
•
Wenn zwei Benutzer in der Quelldatenbank die gleiche E-Mail-Adresse aufweisen,
können die auf dem Bildschirm „Migrieren von Geräten“ angezeigten
Benutzerinformationen entweder von dem einen oder dem anderen Benutzer stammen.
•
Wenn zwei Benutzer in einem integrierten BES10-Unternehmensverzeichnis die gleiche
E- Mail-Adresse haben, wird der zuerst erkannte Benutzer migriert. Dieser Benutzer ist
möglicherweise nicht der gleiche Benutzer, der ursprünglich in der Quelldatenbank
angelegt wurde.
•
Wenn ein Benutzer in der Quelldatenbank sowohl ein BlackBerry 10-Gerät als auch ein
iOS- oder Android-Gerät aufweist und für die Geräte die gleiche E-Mail-Adresse mit
unterschiedlichen Benutzernamen verwendet wird, werden nicht alle Geräte migriert.
•
Wenn ein Benutzer ein BlackBerry 10-Gerät sowie ein iOS-, Android-, Windows- oder OS
X-Gerät hatte, muss er nach der Migration für BES12 Self-Service dieselben
Anmeldeinformationen verwenden wie zuvor für BES10 Self-Service bzw. BES12 SelfService.
Kennwort
Nach der Migration müssen lokale Benutzer nach der ersten Anmeldung bei BES12 SelfService ihr Kennwort ändern. Benutzer, die vor der Migration keine Zugriffsberechtigung für
BES12 Self-Service hatten, erhalten nach der Migration nicht automatisch Berechtigung.
Gruppen
Sie können Benutzer ohne Gruppenzuordnung filtern, um diese Benutzergruppe bei einer
Migration mit aufzunehmen.
Migrieren von Benutzern aus der
Quelldatenbank
Sie können Benutzer aus der Quelldatenbank in die BES12-Zieldatenbank migrieren. Nach Abschluss der Migration sind die
Benutzer in beiden Datenbanken vorhanden.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Migration > Benutzer.
92
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
2.
Klicken Sie im Bildschirm Migrieren von Benutzern auf Weiter.
3.
Wählen Sie im Bildschirm Migrieren von Benutzern die zu migrierenden Benutzer aus.
4.
Klicken Sie auf Weiter.
5.
Weisen Sie den ausgewählten Benutzern mindestens eine Gruppe, eine IT-Richtlinie und mindestens ein Profil zu.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
6.
Klicken Sie auf Vorschau.
7.
Klicken Sie auf Migrieren.
Migrieren von Geräten aus der Quelldatenbank
Nachdem Sie die Benutzer aus der Quelldatenbank in die BES12-Zieldatenbank migriert haben, können Sie deren Geräte
migrieren. Die Geräte werden von der Quelldatenbank in die BES12-Zieldatenbank verschoben und sind nach der Migration in
der Quelldatenbank nicht mehr vorhanden.
Vergewissern Sie sich vor dem Migrieren von Geräten, dass folgende Bedingungen erfüllt sind:
•
Der Benutzer ist in der BES12-Zieldomäne vorhanden.
•
Auf den Android- und Windows 8-Geräten ist die aktuelle Version von BES12 Client installiert.
•
Auf den iOS-Geräten ist die aktuelle Version von Good for BES12 installiert.
•
BES12 unterstützt Gerätetyp und -betriebssystem.
•
Alle iOS-Geräte sind vertrauenswürdig (nicht vertrauenswürdige iOS-Geräte können nicht migriert werden).
Hinweis:
•
Pro Benutzer können Sie nicht mehr als fünf Geräte gleichzeitig migrieren.
•
Windows-Geräte oder OS X-Geräte können nicht migriert werden.
•
Geräte, die über „MDM-Steuerelemente“ aktiviert wurden, können vorübergehend nicht auf E-Mails zugreifen, wenn
die Migration beginnt. Der E-Mail-Dienst wird wiederhergestellt, wenn die Migration abgeschlossen ist.
Bevor Sie beginnen: Benachrichtigen Sie Benutzer von iOS-Geräten darüber, dass der Good for BES12 zum Starten der
Migration auf BES12 geöffnet werden und der Good for BES12 bis zum Abschluss der Migration geöffnet bleiben muss.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Migration > Geräte.
2.
Klicken Sie auf dem Bildschirm Migrieren von Geräten auf Weiter.
3.
Wählen Sie die zu migrierenden Geräte aus.
4.
Klicken Sie auf Vorschau.
5.
Klicken Sie auf Migrieren.
6.
Um den Status der zu migrierenden Geräte anzuzeigen, klicken Sie auf Migration > Status.
93
Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer BES10- bzw. BES12-Quelldatenbank
Migrieren von DEP-Geräten
Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind, aus einer BES12Quelldatenbank in eine andere BES12-Datenbank migrieren. Für die Migration von DEP-Geräten müssen beide BES12Instanzen in Version 12.2 oder höher vorliegen.
Migrieren von DEP-Geräten mit installiertem BES12 Client
Sie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und über die
Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ oder „MDM-Steuerelemente“ aktiviert werden,
migrieren.
Bevor Sie beginnen: Deaktivieren Sie in den Einstellungen für Good for BES12 das Kontrollkästchen Die App vom Gerät
entfernen, wenn das Gerät von BES12 entfernt wird.
1.
Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server.
2.
Verbinden Sie die BES12-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie unter
Konfigurieren von BES12 für DEP.
Stellen Sie sicher, dass das DEP-Profil der BES12-Zielinstanz dem der BES12-Quellinstanz entspricht.
3.
Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server.
4.
Migrieren Sie in der BES12-Verwaltungskonsole die DEP-Geräte aus der BES12-Quellinstanz zur BES12-Zielinstanz.
Migrieren von DEP-Geräten ohne BES12 Client
iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und auf denen Good for BES12
nicht installiert ist, werden in der Liste der Geräte aufgeführt, deren Migration nicht unterstützt wird.
1.
Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server.
2.
Verbinden Sie die BES12-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen finden Sie unter
Konfigurieren von BES12 für DEP.
Stellen Sie sicher, dass die BES12-Zielinstanz das gleiche DEP-Profil hat wie die BES12-Quellinstanz.
3.
Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server.
4.
Setzen Sie alle DEP-Geräte auf die Werkseinstellungen zurück.
5.
Aktivieren Sie alle DEP-Geräte erneut.
94
Integrieren von BES12 mit Cisco ISE
Integrieren von BES12 mit Cisco ISE
19
Cisco Identity Services Engine (ISE) ist eine Software zur Netzwerkverwaltung, die einem Unternehmen die Möglichkeit bietet,
den Zugriff von Geräten auf das Unternehmensnetzwerk zu steuern (z. B. Zugriff auf Wi-Fi oder VPN-Verbindungen zulassen
oder verweigern). Cisco ISE-Administratoren können Zugriffsrichtlinien erstellen und durchsetzen, um sicherzustellen, dass nur
zugelassene Geräte auf das Unternehmensnetzwerk zugreifen können.
Sie können eine Verbindung zwischen Cisco ISE und BES12 herstellen, damit Cisco ISE auf Daten von Geräten zugreifen kann,
die auf BES12 aktiviert sind. Cisco ISE überprüft Gerätedaten, um festzustellen, ob die Geräte die Zugriffsrichtlinien erfüllen.
Beispiel:
•
Cisco ISE überprüft, ob das Gerät eines Benutzers auf BES12 aktiviert ist. Wenn das Gerät nicht aktiviert ist, kann eine
Zugriffsrichtlinie verhindern, dass das Gerät eine Verbindung zu geschäftlichen Wi-Fi- oder zu -VPN-Zugriffspunkten
herstellt.
•
Cisco ISE überprüft, ob das Gerät eines Benutzers mit BES12 richtlinienkonform ist. Wenn das Gerät eine Richtlinie
verletzt (z. B. wenn es entsperrt oder gehackt wurde), kann eine Zugriffsrichtlinie verhindern, dass das Gerät eine
Verbindung zu Wi-Fi-Zugriffspunkten des Unternehmens oder zu -VPN-Zugriffspunkten herstellt.
Cisco ISE-Administratoren können in der Cisco ISE-Verwaltungskonsole Daten von Geräten anzeigen, sortieren und filtern.
Administratoren können außerdem die folgenden Geräteverwaltungsaufgaben durchführen: Sperren eines Geräts, Löschen von
Unternehmensdaten von einem Gerät oder Löschen aller Gerätedaten.
Schritte zur Integration von BES12 und Cisco ISE
führen Sie die folgenden Aktionen aus, um BES12 und Cisco ISE zu integrieren:
Schritt
Aktion
Stellen Sie sicher, dass die Umgebung Ihres Unternehmens die Anforderungen an die Integration von
BES12 mit Cisco ISE erfüllt.
Erstellen Sie ein BES12-Administratorkonto, das Cisco ISE verwenden kann, um Gerätedaten abzurufen.
Fügen Sie das BlackBerry Web Services-Zertifikat zum Cisco ISE-Zertifikatspeicher hinzu.
Verbinden Sie BES12 mit Cisco ISE, und richten Sie ein Autorisierungsprofil und Zugriffsrichtlinien ein.
95
Integrieren von BES12 mit Cisco ISE
Anforderungen: Integration von BES12 und
Cisco ISE
Objekt
Anforderungen
Version von Cisco ISE
BES12 unterstützt sie Integration von Cisco ISE Version 1.2 und höher.
Unterstütztes Betriebssystem
Jedes Betriebssystem, das BES12 unterstützt (siehe Kompatibilitätsmatrix), mit
Ausnahme der folgenden:
•
BlackBerry 10 OS Version 10.3.2 oder älter (10.3.3 oder höher erforderlich)
•
Android 6.0 (Marshmallow)
•
BlackBerryOS (Version 7.1 und älter)
•
Windows 10 für Desktop
Cisco ISE kann keine Daten für iOS-Geräte mit der Aktivierungsart „Geschäftlich und
persönlich – Benutzer-Datenschutz“ abrufen.
Abhörport
Cisco ISE verwendet den standardmäßigen BlackBerry Web ServicesÜberwachungsport 18084, um Gerätedaten aus BES12 abzurufen.
Wenn Port 18084 bei der Installation von BES12 nicht verfügbar war, hat die
Setupanwendung einen anderen verfügbaren Port für diesen Zweck ausgewählt. Um den
richtigen Portwert zu überprüfen, suchen Sie in der BES12 Core-Protokolldatei (CORE)
nach (^/ciscoise/.*), und notieren Sie sich die vor diesem Text aufgeführte Portnummer.
Firewall
Falls eine Firewall zwischen BES12 und Cisco ISE vorhanden ist, konfigurieren Sie die
Firewall so, dass HTTPS-Sitzungen zwischen beiden Systemen zulässig sind.
Erstellen Sie ein Administratorkonto, das von
Cisco ISE verwendet werden kann.
Cisco Identity Services Engine(ISE) erfordert ein dediziertesBES12-Administratorkonto, das Sie verwenden können, um
Informationen über Geräte abzurufen. Sie können ein vorhandenes Administratorkonto verwenden oder ein neues
Administratorkonto erzeugen. Es ist ein lokales Administratorkonto (kein Verzeichnisbenutzer) erforderlich. Das
Administratorkonto erfordert eine Rolle mit den folgenden Berechtigungen:
•
Benutzer und aktivierte Geräte anzeigen
96
Integrieren von BES12 mit Cisco ISE
•
Verwalten von Geräten
•
Gerät sperren und Nachricht einrichten
•
Nur Geschäftsdaten löschen
•
Alle Gerätedaten löschen
Standardmäßig verfügen die Rollen „Sicherheitsadministrator“ und „Enterprise-Administrator“ über diese Berechtigungen. Um
ein neues Administratorkonto mit einer benutzerdefinierten Rolle zu erstellen, führen Sie die folgenden Schritte über ein
Administratorkonto mit der Rolle „Sicherheitsadministrator“ aus.
Bevor Sie beginnen: Wenn Sie eine benutzerdefinierte Rolle für das Administratorkonto erstellen möchten, klicken Sie in der
BES12-Verwaltungskonsole auf Einstellungen > Administratoren > Rollen >
aus. Klicken Sie auf Speichern.
. Wählen Sie die erforderlichen Berechtigungen
1.
Klicken Sie in der Menüleiste der BES12-Verwaltungskonsole auf Benutzer.
2.
Klicken Sie auf Benutzer hinzufügen.
3.
Klicken Sie auf die Registerkarte Lokal.
4.
Geben Sie einen Vornamen, Nachnamen, Anzeigenamen, Benutzernamen und eine E-Mail-Adresse an.
5.
Geben Sie im Feld Konsolenkennwort das Kennwort für das Administratorkonto ein.
6.
Aktivieren Sie die Option Aktivierungskennwort für das Gerät nicht festlegen.
7.
Klicken Sie auf Speichern.
8.
Klicken Sie in der Menüleiste auf Einstellungen.
9.
Klicken Sie auf Administratoren > Benutzer.
10. Klicken Sie auf
.
11. Suchen und klicken Sie auf das Benutzerkonto, das Sie erstellt haben.
12. Klicken Sie in der Dropdown-Liste Rolle auf die zuvor erstellte benutzerdefinierte Rolle, die standardmäßige
Sicherheitsadministratorrolle oder die standardmäßige Enterprise-Administratorrolle.
13. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher
Hinzufügen des BlackBerry Web ServicesZertifikats zum Cisco ISE-Zertifikatspeicher
Um Cisco Identity Services Engine (ISE) für die Verbindung mit BES12 zu aktivieren, müssen Sie das BlackBerry Web ServicesZertifikat exportieren und in den Cisco ISE-Zertifikatspeicher importieren. Wenn die BES12-Domain Ihres Unternehmens
mehrere Instanzen von BES12 aufweist, müssen Sie nur das Zertifikat von einer Instanz exportieren.
97
Integrieren von BES12 mit Cisco ISE
Wenn Sie nicht über ein Cisco ISE-Administratorkonto verfügen, senden Sie diese Anweisungen an einen Cisco ISEAdministrator.
Hinweis: Die Schritte ab Schritt 3 beziehen sich auf Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentation finden Sie
unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide.
Bevor Sie beginnen: Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann.-eigene Optionen zur
Verfügung.
1.
Navigieren Sie in einem Browser zu https://<server_name>:<BlackBerry_Web_Services_port>/enterprise/admin/util/ws?
wsdl, wobei <server_name> der FQDN des Computers ist, der die BES12 Core-Komponente hostet. Der
<BlackBerry_Web_Services_port>-Standardwert ist 18084.
2.
Exportieren Sie das BlackBerry Web Services-Zertifikat, und speichern Sie es auf Ihrem Desktop. Weitere Anleitungen
finden Sie in der Dokumentation des verwendeten Browsers.
Beispiel: Klicken Sie in Google Chrome auf das Schlosssymbol neben der URL. Klicken Sie auf der Registerkarte
Verbindungen auf Zertifikatinformationen. Klicken Sie auf der Registerkarte Details auf Datei kopieren, und folgen Sie
den Anweisungen auf dem Bildschirm.
3.
Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an.
4.
Klicken Sie in der Menüleiste auf Administration > System > Zertifikate.
5.
Klicken Sie im linken Fensterbereich auf Vertrauenswürdige Zertifikate.
6.
Klicken Sie auf Importieren. Navigieren Sie zu dem BlackBerry Web Services-Zertifikat, und wählen Sie es aus.
7.
Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für Client-Authentifizierung und Syslog.
8.
Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für die Authentifizierung von Cisco Services.
9.
Klicken Sie auf Senden.
Wenn Sie fertig sind: Verbinden von BES12 mit Cisco ISE -eigene Optionen zur Verfügung.
Verbinden von BES12 mit Cisco ISE
Wenn Sie kein Cisco Identity Services Engine (ISE) Administratorkonto haben, senden Sie diese Anweisungen zusammen mit
den erforderlichen Informationen zu BES12 und dem BES12-Administratorkonto an einen Cisco ISE-Administrator.
Hinweis: Die folgenden Schritte gelten für Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentation finden Sie unter Cisco
ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide.
Bevor Sie beginnen: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher-eigene Optionen zur
Verfügung.
1.
Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an.
2.
Klicken Sie in der Menüleiste auf Verwaltung > Netzwerkressourcen > External MDM.
98
Integrieren von BES12 mit Cisco ISE
3.
Klicken Sie auf Hinzufügen.
4.
Geben Sie im Feld Name den Anzeigenamen für die Verbindung ein.
5.
Geben Sie im Feld Hostname oder IP-Adresse den FQDN oder die IP-Adresse der BES12-Domäne ein.
6.
Geben Sie in das Feld Port 18084 ein.
Wenn Port 18084 bei der Installation von BES12 nicht verfügbar war, hat die Setupanwendung einen anderen verfügbaren
Port für diesen Zweck ausgewählt. Um den richtigen Portwert zu überprüfen, suchen Sie in der BES12 Core-Protokolldatei
(CORE) nach (^/ciscoise/.*), und notieren Sie sich die vor diesem Text aufgeführte Portnummer.
7.
Geben Sie im Feld Benutzername den Benutzernamen des BES12-Administratorkontos ein.
8.
Geben Sie im Feld Kennwort das Kennwort für das BES12Administratorkonto ein.
9.
Geben Sie im Feld Abfrageintervall ein, wie oft (in Minuten) Cisco ISE Gerätedaten von BES12 abrufen soll. Es wird
empfohlen, den Standardwert von 240 Minuten zu verwenden.
Hinweis: Wenn Sie diesen Wert auf 60 Minuten oder weniger setzen, kann sich dies deutlich auf die Leistung
Unternehmensumgebung auswirken. Wenn Sie diesen Wert auf 0 setzen, ruft Cisco ISE keine Daten von BES12 ab.
10. Klicken Sie auf das Kontrollkästchen Aktivieren.
11. Klicken Sie auf Verbindung testen, um zu prüfen, ob Cisco ISE eine Verbindung zu BES12 herstellen kann.
12. Klicken Sie auf Senden.
Nachdem die Verbindung hergestellt wurde, können Sie die Wörterbuchattribute für BES12 unter Richtlinie >
Richtlinienelemente > Wörterbücher > System > MDM > Wörterbuchattribute abrufen. Protokolleinträge für die Cisco ISEAbfrage werden in die BES12 Core (CORE)-Protokolldatei geschrieben.
Wenn Sie fertig sind: Führen Sie die folgenden Konfigurationsaufgaben in der Cisco ISE-Verwaltungskonsole aus. Die neuesten
Anweisungen finden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide (siehe Set
Up MDM Servers With Cisco ISE).
•
Konfigurieren Sie ACLs auf dem Wireless-LAN-Controller.
•
Konfigurieren Sie ein Berechtigungsprofil für die Umleitung von Geräten, die nicht unter BES12 aktiviert wurden.
Weitere Informationen finden Sie unter Umleiten von Geräten, die nicht unter BES12 aktiviert wurden.
•
Konfigurieren Sie Richtlinienregeln für die Autorisierung, die bestimmen, wie Cisco ISE Geräte verarbeitet, die nicht
unter BES12 aktiviert wurden oder mit BES12 nicht richtlinienkonform sind. Erstellen Sie unter Richtlinie >
Richtliniensätze eine Richtlinie. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel: Richtlinienregeln für BES12 .
Beispiel: Richtlinienregeln für BES12
Authentifizierungsrichtlinie
99
Integrieren von BES12 mit Cisco ISE
Autorisierungsrichtlinie
100
Integrieren von BES12 mit Cisco ISE
Verwalten von Netzwerkzugriff und
Gerätesteuerelementen über Cisco ISE
Cisco Identity Services Engine (ISE) Administratoren können die folgenden Aktionen durchführen. Weitere Anweisungen finden
Sie unter Set Up MDM Servers With Cisco ISE im Cisco Identity Services Engine Administrator Guide.
Aktion
Beschreibung
Gerätedaten anzeigen
Sie können Informationen über die mit BES12 verknüpften Geräte anzeigen, z. B.:
•
MAC-Adresse: die eindeutige MAC-Adresse des Geräts
•
Konformität: ob das Gerät mit BES12 richtlinienkonform ist
•
Festplattenverschlüsselung: ob Gerätedaten verschlüsselt werden
•
Anmeldung: ob das Gerät unter BES12 aktiviert ist
•
Jailbreak: ob das Gerät gegen eine der Bedingungen für Richtlinientreue (z. B.
im Hinblick auf Jailbreak oder Rooting) verstößt
•
Pin-Sperre: ob das Gerät ein Kennwort verwendet
•
Hersteller
•
Modell
•
Seriennummer
•
Betriebssystemversion
Konfigurieren von NAC-Richtlinien Konfigurieren Sie Zugriffsrichtlinien, die steuern, ob Geräte eine Verbindung zu
geschäftlichen Wi-Fi- oder VPN-Zugriffpunkten herstellen können. Sie können zum
Beispiel Zugriffsrichtlinie festlegen, die verhindert, dass Geräte, die nicht mit BES12
richtlinienkonform sind, auf das Unternehmensnetzwerk zugreifen.
Gerät sperren
Sperren Sie das iOS-, Android- oder Windows-Gerät eines Benutzers (BlackBerry 10Geräte unterstützen diese Funktion nicht). Diese Funktion ist nützlich, wenn das Gerät
eines Benutzers vorübergehend verlegt wurde. BES12 sperrt das Gerät über einen ITAdministrationsbefehl. Der Benutzer muss das Gerätekennwort eingeben, um das Gerät
zu entsperren.
Gerätebenutzer können diese Aktion auch über das My Device portal ausführen.
Geschäftliche Daten löschen
Löschen Sie nur geschäftliche Daten und Apps von einem Gerät, sodass die persönlichen
Daten und Anwendungen des Benutzers erhalten bleiben. Diese Funktion ist nützlich,
wenn das Gerät eines Benutzers verloren gegangen ist oder der Benutzer nicht länger
Angestellter des Unternehmens ist. BES12 löscht geschäftliche Daten mithilfe eines ITAdministrationsbefehls.
101
Integrieren von BES12 mit Cisco ISE
Aktion
Beschreibung
Gerätebenutzer können diese Aktion auch über das My Device portal ausführen.
Alle Daten löschen
Löschen Sie alle Daten und Anwendungen von einem Gerät, und setzen Sie das Gerät auf
die Werkseinstellungen zurück. Diese Funktion ist nützlich, wenn das Gerät eines
Benutzers verloren geht oder gestohlen wird, oder wenn das Gerät an einen anderen
Benutzer zugeteilt wird. BES12 löscht alle Gerätedaten mithilfe eines ITAdministrationsbefehls.
Gerätebenutzer können diese Aktion auch über das My Device portal ausführen.
Weitere Informationen zu IT-Administrationsbefehlen und Aktivierungsarten, die Befehle zum Sperren, Löschen geschäftlicher
Daten und Löschen aller Daten unterstützen finden Sie in der Dokumentation für Administratoren.
Umleiten von Geräten, die nicht unter BES12 aktiviert wurden
Wenn Cisco Identity Services Engine (ISE) ein Geräte erkennt, das auf das geschäftliche Netzwerk (Wi-Fi oder VPN) zuzugreifen
versucht, und das Gerät nicht unter BES12 aktiviert ist, öffnet Cisco ISE eine Anmeldungsseite im Gerätebrowser, die den
Benutzer zur BES12 Self-Service-Konsole umleitet.
Der Benutzer benötigt ein BES12-Benutzerkonto für die Anmeldung bei BES12 Self-Service und die Aktivierung des Geräts.
Teilen Sie den Benutzern mit, dass sie sich an denBES12-Administrator wenden müssen, wenn sie von Cisco ISE auf die
Anmeldungsseite umgeleitet werden.
Weitere Informationen zum Hinzufügen und Aktivieren von Administratorkonten finden Sie in der Dokumentation für
Administratoren.
Hinweis: Wenn das Gerät eines Benutzers zuvor mit BES12 aktiviert war und dann deaktiviert wurde, wird der Benutzer nicht zu
BES12 Self-Service umgeleitet, falls er versucht, über das Gerät auf geschäftliche Netzwerk zuzugreifen. Um dieses Problem zu
lösen, löschen Sie die Daten für das Gerät aus Cisco ISE, wenn Sie ein Gerät aus BES12 entfernen.
102
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Konfigurieren, wie Daten per Push auf
BlackBerry 10-Geräte übertragen
werden
20
Der BlackBerry MDS Connection Service verbindet Apps auf BlackBerry 10-Geräten mit serverseitigen Push-Anwendungen.
Push-Anwendungen werden auf Web- oder Anwendungsservern von Unternehmen gehostet und sind in der Lage, Daten an
Apps zu übermitteln, die sich auf den Geräten befinden. Weitere Informationen über Push-Anwendungen finden Sie in der
Entwicklerdokumentation unter developer.blackberry.com.
Sie können Push-Auslöser und Push-Regeln konfigurieren, die definieren, welche serverseitigen Push-Anwendungen
Anwendungsdaten und Aktualisierungen an Geräte senden können.
Alle Instanzen des BlackBerry MDS Connection Service für BlackBerry 10-Geräte nutzen DNS-Round-Robin für den
Lastausgleich des Datenverkehrs, der an die Geräte übermittelt wird.
Der BlackBerry MDS Connection Service erzwingt eine Begrenzung der Push-Datengröße auf 8 KB. Für Push-Anforderungen,
die 8 KB überschreiten, wird eine Fehlermeldung in der HTTP-Antwort ausgegeben. Bei Daten, die die Grenze von 8 KB
überschreiten, können Apps die Push- und Pull-Methode verwenden, bei der eine Benachrichtigung über vorliegende
Aktualisierungen an das Gerät per Push übermittelt wird, das dann die neuen Updates per Pull abrufen kann.
Weitere Informationen zum Push- und Pull-Verfahren und der 8 KB Größenbeschränkung finden Sie im Entwickler-Blog von
BlackBerry unter devblog.blackberry.com. Suchen Sie dort nach Enterprise Push and Pull.
Schritte zum Konfigurieren des BlackBerry MDS
Connection Service
Zum Konfigurieren des BlackBerry MDS Connection Service führen Sie die folgenden Aktionen aus:
Schritt
Aktion
Konfigurieren Sie die Einstellungen für die Komponenteninformationen.
Konfigurieren Sie die Push-Informationen.
Konfigurieren Sie den BlackBerry MDS Connection Service-Schlüsselspeicher.
103
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Schritt
Aktion
Konfigurieren Sie die Proxyzuordnungen, und legen Sie deren Rangfolge fest.
Konfigurieren des BlackBerry MDS Connection
Service
Die von Ihnen festgelegten Einstellungen gelten für alle Instanzen des BlackBerry MDS Connection Service, die in der BES12Domäne installiert sind. Es gibt keine Einstellungen, die nur für eine Instanz gelten.
Einstellungen für Komponenteninformationen
Einstellung
Beschreibung
Webserver – Abhörport
Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS
Connection Service HTTP-Anforderungen von serverseitigen Push-Anwendungen
empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt mit einem
anderen Dienst auf dem gleichen Computer besteht.
Webserver – SSL-Abhörport
Mit dieser Option legen Sie die Portnummer fest, über die der BlackBerry MDS
Connection Service-Webserver SSL-Anforderungen von serverseitigen PushAnwendungen empfängt. Ändern Sie den Standardport nur, wenn ein Portkonflikt
mit einem anderen Dienst auf dem gleichen Computer besteht.
Threadpoolgröße
Mit dieser Option legen Sie die maximale Anzahl der Threads fest, die von einer
BlackBerry MDS Connection Service-Instanz zur Verarbeitung von Anforderungen
von BlackBerry 10-Geräten verwendet werden.
Maximale Anzahl von gleichzeitig
skalierbaren Sockets
Mit dieser Option legen Sie die maximale Anzahl der skalierbaren SocketVerbindungen fest, die zwischen BlackBerry 10-Geräten und Zielservern
gleichzeitig geöffnet werden können. Je mehr Socket-Verbindungen zugelassen
werden, umso höher ist der Verbrauch von Systemressourcen.
Datenbankadministratorkonfiguration –
Zyklustimer (in Minuten)
Mit dieser Option legen Sie fest, wie häufig der BlackBerry MDS Connection Service
die BES12-Datenbank auf Änderungen der Konfigurationseinstellungen abfragt.
Maximale Anzahl gespeicherter PushNachrichten
Mit dieser Option legen Sie die maximale Anzahl der Push-Nachrichten fest, die in
einer BES12-Datenbank gespeichert werden können, wenn die Einstellung
„Speichern von Push-Übermittlungen“ auf „Wahr“ gesetzt wird.
104
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Einstellung
Beschreibung
Maximales Alter von Push-Nachrichten
(Minuten)
Mit dieser Option legen Sie den maximalen Zeitraum (in Minuten) fest, über den der
BlackBerry MDS Connection Service eine Push-Anforderung speichern soll, bevor
die Anforderung aus der BES12-Datenbank gelöscht wird.
Konfigurieren von BlackBerry MDS Connection Service
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Ändern Sie im Abschnitt Komponenteninformationen die folgenden Einstellungen gemäß den Anforderungen Ihres
Unternehmens:
Option
Standardwert
Webserver – Abhörport
9080
Webserver – SSL-Abhörport
9443
Threadpoolgröße
400
Maximale Anzahl von gleichzeitig
skalierbaren Sockets
20000
Datenbankadministratorkonfiguration
– Zyklustimer
5 Minuten
Maximale Anzahl gespeicherter PushNachrichten
100000
Maximales Alter von Push-Nachrichten 720 Minuten
3.
Klicken Sie auf Speichern.
Konfigurieren der Push-Informationen für den
BlackBerry MDS Connection Service
Der BlackBerry MDS Connection Service empfängt Anforderungen von serverseitigen Push-Anwendungen und sendet diese
Anforderungen dann an die Anwendungen auf den BlackBerry 10-Geräten. Sie können steuern, wie BlackBerry MDS
Connection Service Anforderungen von Push-Anwendungen verarbeitet, speichert und sendet.
105
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Standardmäßig sendet der BlackBerry MDS Connection Service Push-Anforderungen von serverseitigen Push-Anwendungen
an Anwendungen auf den BlackBerry 10-Geräten. BlackBerry 10-Geräte können Anwendungsdaten und -updates empfangen,
ohne dass Benutzer diese anfordern.
Sie können die Umgebung Ihres Unternehmens so konfigurieren, dass nur bestimmte serverseitige Push-Anwendungen PushAnforderungen an BlackBerry 10-Geräte senden können. Sie können die Push-Authentifizierung aktivieren, um zu verhindern,
dass der BlackBerry MDS Connection Service Push-Anforderungen von nicht autorisierten Push-Auslösern sendet, und PushAuslöser erstellen, die es bestimmten serverseitigen Anwendungen ermöglichen, Push-Anforderungen an BlackBerry 10Geräte zu senden.
Weitere Informationen über Push-Anwendungen finden Sie in der Entwicklerdokumentation unter https://
developer.blackberry.com.
Einstellungen für Push-Informationen
Der BlackBerry MDS Connection Service unterstützt sichere Enterprise-Push-Funktionen, die es Push-Auslösern ermöglichen,
Push-Anforderungen sicher über HTTPS zu senden.
Push-Informationen
Einstellung
Beschreibung
Push-Authentifizierung
Mit dieser Option legen Sie fest, ob Inhalte von serverseitigen Push-Anwendungen
mit oder ohne Authentifizierung an BlackBerry 10-Geräte gesendet werden
können. Wenn die Push-Authentifizierung aktiviert ist, können Push-Anwendungen
keine Inhalte an BlackBerry 10-Geräte senden, bis Sie einen Push-Auslöser
einrichten.
Push-Verschlüsselung
Mit dieser Option aktivieren Sie SSL, sodass der BlackBerry MDS Connection
Service die Push-Anforderungen, die serverseitige Push-Anwendungen an den
BlackBerry MDS Connection Service senden, verschlüsseln kann.
Speichern von Push-Übermittlungen
Mit dieser Option können Sie Push-Anforderungen in der BES12-Datenbank
speichern.
Maximale Anzahl aktiver Verbindungen
Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die
von einem BlackBerry MDS Connection Service gleichzeitig verarbeitet werden
können.
Maximale Anzahl von Verbindungen in
der Warteschlange
Mit dieser Option legen Sie die maximale Anzahl der Push-Verbindungen fest, die
sich in der Warteschlange des BlackBerry MDS Connection Service befinden
können.
106
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Push-Auslöser
Ein Push-Auslöser ist eine Anwendung, die Anforderungsnachrichten (z. B. Push-Anforderungen, Abbruchanforderungen oder
Anforderungen zur Statusabfrage) und Antwortnachrichten (z. B. Benachrichtigungen über Ergebnisse) mithilfe der
serverseitigen Bibliothek erstellt und diese an den BlackBerry MDS Connection Service sendet.
Wenn die Push-Authentifizierung aktiviert ist, verwenden Push-Anwendungen die für den Push-Auslöser festgelegten
Anmeldeinformationen für die Authentifizierung beim BlackBerry MDS Connection Service.
Einstellung
Beschreibung
Name
Weisen Sie dem Push-Auslöser einen Namen zu. Es sollte der Benutzername für
den Push-Auslöser sein.
Beschreibung
Geben Sie eine Beschreibung für den Push-Auslöser ein.
Anmeldeinformationen
Geben Sie das für den Push-Auslöser erforderliche Kennwort ein.
Die Anmeldeinformationen müssen für jede Push-Anforderung einer App
hinzugefügt werden, um zu bestätigen, dass die App Push-Inhalte an ein
verwaltetes Gerät senden darf.
Push-Auslöserzertifikate
Einstellung
Beschreibung
Push-Auslöserzertifikate
Ein Push-Auslöserzertifikat ist ein Server-SSL-Zertifikat, das von serverseitigen
Push-Anwendungen verwendet wird. Dieses Zertifikat ermöglicht dem BlackBerry
MDS Connection Service ggf. die Kommunikation mit serverseitigen PushAnwendungen über das SSL-Protokoll. Die Push-Auslöserzertifikate werden in den
Java-Schlüsselspeicher importiert, der vom BlackBerry MDS Connection Service
erstellt und verwaltet wird. Wenn Sie die Option „Manuelles Überschreiben der
Schlüsselspeicherverwaltung“ aktiviert haben, wird erwartet, dass Sie die von
Push-Anwendungen verwendeten SSL-Zertifikate in eine manuell erstellte und
verwaltete Java-keystore-Datei importieren.
Hinweis: Um ein Push-Auslöserzertifikat hinzuzufügen, benötigen Sie eine .certDatei.
Konfigurieren von Push-Informationen
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Ändern Sie im Abschnitt Push-Informationen die folgenden Einstellungen entsprechend den Anforderungen Ihrer
Umgebung:
107
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Option
Standardwert
Push-Authentifizierung
Falsch
Push-Verschlüsselung
•
Wahr: Aktiviert
•
Falsch: Deaktiviert
Falsch
•
Wahr: Aktiviert
◦
•
Speichern von Push-Übermittlungen
Wenn die Push-Verschlüsselung aktiviert ist, stehen die Optionen
Zertifikat generieren und Zertifikat neu generieren zur
Verfügung, um das SSL-Zertifikat für die Java-keystore-Datei zu
erstellen.
Falsch: Deaktiviert
Falsch
•
Wahr: Aktiviert
•
Falsch: Deaktiviert
Maximale Anzahl aktiver Verbindungen 1000
Bereich: 1 bis 65535. Wenn Sie den Standardwert heraufsetzen, werden mehr
Systemressourcen beansprucht.
Maximale Anzahl von Verbindungen in
der Warteschlange
3.
100000
Bereich: 1 bis 10000000. Wenn Sie den Standardwert heraufsetzen, werden
mehr Systemressourcen beansprucht.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Erstellen von Push-Auslösern für Push-Anwendungen.
Erstellen von Push-Auslösern für Push-Anwendungen
Wenn die Push-Authentifizierung aktiviert ist, muss sich jede serverseitige Push-Anwendung für eine Push-Anforderung beim
BlackBerry MDS Connection Service authentifizieren. Sie können die Anmeldeinformationen für die Authentifizierung durch
Erstellen eines Push-Auslöserkontos festlegen. Sie können mehrere serverseitige Push-Anwendungen für die Verwendung des
gleichen Push-Auslösers konfigurieren (d. h., dass sie dasselbe Autorisierungskennwort verwenden), wenn dies in der
Entwicklungsumgebung Ihres Unternehmens möglich ist. Stellen Sie sicher, dass der HTTP-Header für die Autorisierung in
Push-Anforderungen aus serverseitigen Push-Anwendungen dem für den Push-Auslöser festgelegten Namen und Kennwort
entspricht.
108
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Bevor Sie beginnen: Aktivieren Sie die Push-Authentifizierung für den BlackBerry MDS Connection Service.
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Klicken Sie unter
3.
Geben Sie den Namen, die Beschreibung und die Anmeldeinformationen für den Push-Auslöser an.
4.
Klicken Sie auf Hinzufügen.
5.
Klicken Sie auf Speichern.
auf das Symbol „Hinzufügen“ .
Wenn Sie fertig sind: Erstellen Sie einen Push-Auslöser für jede serverseitige Push-Anwendung, die Push-Anforderungen an
BlackBerry 10-Geräte senden soll.
Hinzufügen von Push-Auslöserzertifikaten
Push-Auslöserzertifikate sind nur erforderlich, wenn der serverseitige Listener für Push-Anwendungsbenachrichtigungen auf
einem SSL-Port ausgeführt wird.
Hinweis: Wenn Sie Manuelles Überschreiben der Schlüsselspeicherverwaltung im MDS Connection ServiceSchlüsselspeicher aktivieren, werden Sie nicht in der Lage sein, Push-Auslöser-Zertifikate hinzuzufügen.
Bevor Sie beginnen: Setzen Sie Push-Verschlüsselung auf „Wahr“.
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Klicken Sie auf
3.
Navigieren Sie zum Push-Zertifikat. Das Push-Zertifikat muss eine .cert-Datei sein.
4.
Klicken Sie auf Hinzufügen.
5.
Klicken Sie auf Speichern.
unter Push-Auslöserzertifikate.
Konfigurieren des BlackBerry MDS Connection
Service-Schlüsselspeichers
Push-Anwendungen können ein BlackBerry MDS Connection Service-Zertifikat zum Herstellen von HTTPS-Verbindungen mit
dem BlackBerry MDS Connection Service verwenden, um Anwendungsdaten und -Updates auf BlackBerry 10-Geräte zu
übertragen.
Damit Push-Anwendungen vertrauenswürdige Verbindungen zu einem BlackBerry MDS Connection Service herstellen können,
müssen Sie die Datei „webserver.keystore“ auf dem Host-Computer des BlackBerry MDS Connection Service erstellen. Dieser
Schlüsselspeicher speichert die Zertifikate und lässt HTTPS-Verbindungen von Push-Anwendungen zu.
109
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Schlüsselspeichereinstellungen
Es gibt zwei Möglichkeiten, SSL-Zertifikate für den BlackBerry MDS Connection Service bereitzustellen:
•
Verwendung der Option „Zertifikat generieren“, wenn die Push-Verschlüsselung aktiviert ist
•
Verwendung der Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“, um das SSL-Zertifikat und eine
Java-keystore-Datei für die Verwaltung des SSL-Zertifikats manuell zu erstellen
Der BlackBerry MDS Connection Service erwartet eine Java-keystore-Datei mit dem Namen „webserver.keystore“ unter dem
Speicherort <drive>:\Program Files\BlackBerry\MDS\werbserver\. Wenn die Option „Zertifikat generieren“ verwendet wird,
erzeugt der BlackBerry MDS Connection Service in dem Ordner eine Java-keystore-Datei mit dem SSL-Zertifikat. Wenn die
Option „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ verwendet wird, müssen Sie eine Java-keystore-Datei mit
SSL-Zertifikat für den BlackBerry MDS Connection Service erstellen.
Der BlackBerry MDS Connection Service kann das selbstsignierte Zertifikat verwenden, das beim Erstellen des
Schlüsselspeichers erzeugt wird, oder Sie können mithilfe des Java-Keytools ein signiertes Zertifikat aus einer
vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen. Wenn Sie die Option „Manuelles Überschreiben der
Schlüsselspeicherverwaltung“ auswählen, muss das SSL-Zertifikat in der Java-keystore-Datei mit dem Alias-Namen mdscs_ssl
bezeichnet werden, damit der BlackBerry MDS Connection Service den verschlüsselten Push erfolgreich aktivieren kann.
Verwenden Sie das Java-Keytool, um das Zertifikat aus dem Schlüsselspeicher zu exportieren, und importieren Sie das Zertifikat
in die von den Java-Push-Anwendungen verwendeten Schlüsselspeicher.
Weitere Informationen zur Verwendung des Java-Keytools finden Sie unter java.sun.com/javase/6/docs/technotes/tools/
windows/keytool.html. Weitere Informationen zu den Anforderungen finden Sie unter tomcat.apache.org/tomcat-5.5-doc/sslhowto.html.
Einstellung
Beschreibung
Manuelles Überschreiben der
Schlüsselspeicherverwaltung
Wenn Sie „Manuelles Überschreiben der Schlüsselspeicherverwaltung“ auswählen,
können Sie keine Push-Auslöserzertifikate verwenden.
Der BlackBerry MDS Connection Service nutzt die Java-keystore-Datei als
Truststore. Sie sollten die serverseitigen SSL-Zertifikate der Push-Anwendung in
den Java-Schlüsselspeicher importieren, damit der BlackBerry MDS Connection
Service bei Bedarf erfolgreich mit den serverseitigen Push-Anwendungen über
einen SSL-Port kommunizieren kann.
Kennwort für Schlüsselspeicher
Geben Sie das Kennwort für den Schlüsselspeicher ein.
Das Standardkennwort lautet „changeit“. Wenn eine manuell erstellte Javakeystore-Datei verwendet wird, muss für diese das Standardkennwort oder ein
konfiguriertes Kennwort verwendet werden.
Bestätigung des Kennworts für
Schlüsselspeicher
Bestätigen Sie das Kennwort für den Schlüsselspeicher.
110
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Konfigurieren des Schlüsselspeichers
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Ändern Sie im Abschnitt MDS Connection Service-Schlüsselspeicher die folgenden Einstellungen gemäß den
Anforderungen Ihres Unternehmens:
Option
Beschreibung
Manuelles Überschreiben der
Schlüsselspeicherverwaltung
Standard: Deaktiviert
•
Aktiviert: Push-Auslöserzertifikate können nicht hinzugefügt werden
•
Deaktiviert: Push-Auslöserzertifikate können hinzugefügt werden
Kennwort für Schlüsselspeicher
Geben Sie bei Bedarf das Kennwort für den Schlüsselspeicher ein.
Bestätigung des Kennworts für
Schlüsselspeicher
Bestätigen Sie das Kennwort für den Schlüsselspeicher.
3.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Hinzufügen von Push-Auslöserzertifikaten, falls erforderlich.
Konfigurieren von BlackBerry MDS Connection
Service-Proxyzuordnungen
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Klicken Sie unter Proxyzuordnungen auf das
3.
Konfigurieren Sie Proxyzuordnung hinzufügen, und ändern Sie die folgenden Einstellungen gemäß den Anforderungen
Ihrer Umgebung:
.
Option
Beschreibung
Universal Resource Indicator
Legen Sie den regulären Java-Ausdruck für die Webadressen fest, die von der
Proxyzuordnungsregel gesteuert werden.
Der Platzhalter * erzwingt, dass der Server den gesamten Verkehr an den
festgelegten Proxy umleitet. Sie können auch Platzhalter für die jeweilige
Domäne verwenden, z. B. *.example.com/*, um den gesamten Verkehr für
einen Server und ein Verzeichnis der Domäne „beispiel.com“ an den
festgelegten Proxy umzuleiten.
111
Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden
Option
Beschreibung
Beschreibung
Geben Sie eine Beschreibung Ihres Universal Resource Indicator ein. Beispiel:
Diese Proxyzuordnung leitet den kompletten Verkehr der Domäne
„beispiel.com“ an den primären Proxy-Server um.
Anmeldeinformationen
Legen Sie den Benutzernamen und das Kennwort fest, das der BlackBerry MDS
Connection Service zum Herstellen der Verbindung zu dem Proxy-Server
verwendet, der für die Webadresse definiert ist.
Proxy-Typ
Wählen Sie den Typ des Proxy-Servers aus:
•
Auto (Standard)
•
Direkt
•
PAC: Erfordert die Adresse einer PAC-Datei
•
Proxy: Erfordert den Host-Namen oder die IP-Adresse eines ProxyServers
Fügen Sie ggf. zusätzliche Proxy-Typen hinzu.
4.
Klicken Sie auf Hinzufügen.
5.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Wenn es mehrere Proxyzuordnungen gibt, lesen Sie Festlegen der Rangfolge der Proxyzuordnungen.
Festlegen der Rangfolge der Proxyzuordnungen
Wenn mehrere Proxyzuordnungen vorhanden sind, legen Sie deren Rangfolge fest, um die Reihenfolge zu bestimmen, in der Sie
von BES12 verwendet werden.
1.
Klicken Sie im linken Fensterbereich auf Einstellungen > Infrastruktur > MDS Connection Service.
2.
Verwenden Sie die Pfeile, um die Rangfolge der Proxyzuordnungen zu bestimmen.
3.
Klicken Sie auf Speichern.
112
Überwachung von BES12
Überwachung von BES12
21
Mithilfe von SNMP-Tools von Drittherstellern können Sie die Aktivität der Enterprise-Konnektivitätskomponenten BES12 Core,
BlackBerry Secure Connect Plus und BES12 überwachen.
Die SNMP-Überwachung erfordert einen SNMP-Dienst und ein SNMP-Verwaltungstool. Sie führen den SNMP-Dienst auf den
Computern aus, die BES12 hosten. Der SNMP-Dienst befindet sich in den Windows-Diensten und umfasst einen SNMP-Agent,
der Daten aus den BES12-Komponenten sammelt.
Mithilfe eines SNMP-Verwaltungstools (z. B. eines MIB-Browsers) können Sie die Daten, die der Agent empfängt, anzeigen und
analysieren. Das Verwaltungstool beinhaltet in der Regel ein SNMP-Trap-Verwaltungstool, das zum Abrufen und Interpretieren
der Trap-Nachrichten vom Agent verwendet wird. Das Verwaltungstool kann auf dem Computer, der BES12 hostet, oder auf
einem separaten Computer installiert werden.
Es gibt zwei Stellen, an denen Sie SNMP konfigurieren:
•
In der Verwaltungskonsole zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus
•
Im SNMP-Dienst zur Überwachung der Enterprise-Konnektivitätskomponenten von BES12
Standardmäßig zeigt das Verwaltungstool die OID einer Bedingung an, die aus einer Folge von Ganzzahlen besteht, die einen
Klassenwert in einer Klassenhierarchie bezeichnen. Alle SNMP-OIDs und SNMP-Traps für BES12 beginnen mit dem
Klassenwert 1.3.6.1.4.1.3530.8. Jeder OID-Wert wird durch ein Suffix (z. B. 25.1.1) eindeutig identifiziert.
In MIBs sind die Bedingungen für die Überwachung durch den SNMP-Agent festgelegt. Eine MIB ist eine Datenbank, in der die
Variablen und Verwaltungsdaten der BES12-Komponenten sowie die Bedeutung der jeweiligen SNMP-Trapwerte definiert und
beschrieben werden. Die MIB legt die Datentypen fest, die der SNMP-Dienst über die Komponenten erfassen kann. Wenn Sie
die SNMP-Überwachung konfigurieren, müssen Sie das Verwaltungstool zum Kompilieren der MIB verwenden.
Weitere Informationen zur Netzwerksicherheit für SNMP finden Sie unter support.microsoft.com in den Artikeln KB324261 und
KB324263.
Unterstützte SNMP-Vorgänge
SNMP-Vorgänge können zur Erfassung von Daten des SNMP-Agents verwendet werden, der auf den Computern ausgeführt
wird, auf denen BES12 installiert ist. BES12 unterstützt die folgenden SNMP-Vorgänge:
Vorgang
Beschreibung
Get
Dieser Vorgang ruft den Wert für ein bestimmtes MIB-Element ab.
Get next
Dieser Vorgang ruft den Wert und die OID von Elementen in der Reihenfolge ab, in der sie
in einer MIB-Datei aufgeführt sind.
113
Überwachung von BES12
Vorgang
Beschreibung
Trap
Dieser Vorgang sendet SNMP-Trap-Nachrichten vom SNMP-Agent zum SNMP-TrapVerwaltungstool. SNMP-Trap-Nachrichten enthalten Daten zu bestimmten Aktionen, die
eine BES12-Komponente durchführt.
Systemanforderungen: SNMP-Überwachung
Objekt
Anforderungen
Unterstützte BES12Komponenten
Sie können die SNMP-Überwachung für folgende BES12-Komponenten konfigurieren:
•
BES12 Core
•
BlackBerry Secure Connect Plus
•
BlackBerry Affinity Manager
•
BlackBerry Dispatcher
•
BlackBerry MDS Connection Service
•
BlackBerry Router
Andere BES12-Komponenten unterstützen die SNMP-Überwachung nicht.
SNMP-Verwaltungstool
Wenn das Verwaltungstool keinen MIB-Compiler aufweist, installieren Sie einen MIB-Compiler
auf dem Computer, auf dem sich das Verwaltungstool befindet.
Wenn der SNMP-Dienst Trap-Nachrichten für Berichte über Serveraktivitäten senden soll,
prüfen Sie, ob das Verwaltungstool ein SNMP-Trap-Verwaltungstool umfasst. Sie können auch
ein eigenständiges SNMP-Trap-Verwaltungstool auf einem Computer, auf dem BES12 gehostet
wird, oder einem separaten Computer installieren.
Netzwerkzugriff
Der Computer, auf dem das SNMP-Verwaltungstool oder ein eigenständiges SNMP-TrapVerwaltungstool gehostet wird, muss in der Lage sein, auf Daten der Computer, auf denen
BES12 installiert ist, zuzugreifen und diese zu empfangen.
SNMP-Dienst
Installieren Sie auf den Computern, auf denen BES12 installiert ist, einen SNMP-Dienst mit
SNMP-Agent und SNMP-Trap-Dienst.
Ein SNMP-Dienst ist in den meisten Versionen von Windows enthalten. Weitere Informationen
finden Sie unter support.microsoft.com.
Einstellungen für den SNMP- Konfigurieren Sie auf den Computern, auf denen BES12 installiert ist, in den WindowsDienst
Diensten die folgenden Einstellungen für den SNMP-Dienst:
114
Überwachung von BES12
Objekt
Anforderungen
•
Einen gültigen SNMP-Community-Namen
•
Mindestens die Leseberechtigung für die SNMP-Community
•
Die IP-Adressen der Computer, von denen der SNMP-Dienst SNMP-Daten
annehmen kann.
MIBs für BES12
Die MIBs für BES12 befinden sich standardmäßig auf dem Computer, auf dem BES12 installiert ist, unter dem Pfad <drive>
\Programme\BlackBerry\BES\Monitoring\bin\mib.
BES12 enthält sechs MIB-Dateien, die Sie verwenden können, um Daten von BES12-Komponenten zu analysieren.
MIB-Datei
Beschreibung
BES-CoreMIB-SMIV2
Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BES12
Core
BES-CoreMonitoringMIB-SMIV2
Enthält Definitionen der verwalteten Objekte, die über das SNMP-Verwaltungstool
zugänglich und abrufbar sind
BES-CoreEventingMIB-SMIV2
Enthält Definitionen der Traps und Benachrichtigungen, die von BES12 Core
ausgegeben werden
BES-EC-MIB-SMIV2
Enthält Definitionen verwalteter Objekte, Traps und Benachrichtigungen, die von
folgenden Enterprise-Konnektivitätskomponenten von BES12 ausgegeben werden:
•
BlackBerry Affinity Manager
•
BlackBerry Dispatcher
•
BlackBerry MDS Connection Service
•
BlackBerry Router
BES-BSCPMIB-SMIV2
Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von
BlackBerry Secure Connect Plus
BES-BSCPMonitoringMIB-SMIV2
Enthält Definitionen der verwalteten BlackBerry Secure Connect Plus-Objekte, die über
das SNMP-Verwaltungstool zugänglich und abrufbar sind
115
Überwachung von BES12
Kompilieren der MIB und Konfigurieren des
SNMP-Verwaltungstools
Damit die SNMP-Überwachungssoftware Ihres Unternehmens BES12-Komponenten überwachen kann, müssen Sie mithilfe
des SNMP-Verwaltungstools die MIB-Dateien von BES12 kompilieren. Wenn das Tool keinen MIB-Compiler umfasst, installieren
Sie einen MIB-Compiler auf dem Computer, auf dem sich das Tool befindet.
Bevor Sie beginnen: Weitere Informationen über die Verwendung des Tools zum Kompilieren einer MIB finden Sie in der
Dokumentation zum SNMP-Verwaltungstool.
1.
Navigieren Sie auf dem Computer, auf dem BES12 gehostet wird, zu <drive>\Programme\BlackBerry\BES\Monitoring\bin
\mib.
2.
Verwenden Sie das SNMP-Verwaltungstool (oder einen separat installierten MIB-Compiler) zum Kompilieren der MIBDateien.
Verwenden von SNMP zur Überwachung von
BES12 Core und BlackBerry Secure Connect
Plus
BES12 Core umfasst verschiedene Unterkomponenten, die für die Verwaltung der Geräte zuständig sind. BlackBerry Secure
Connect Plus stellt einen sicheren IP-Tunnel zwischen Apps für den geschäftlichen Bereich auf Geräten mit BlackBerry 10,
KNOX Workspace oder Android for Work und dem Netzwerk des Unternehmens her.
Zur Überwachung von BES12 Core und BlackBerry Secure Connect Plus mithilfe von SNMP müssen Sie die Einstellungen in der
BES12-Verwaltungskonsole konfigurieren.
Konfigurieren von SNMP zur Überwachung von BES12 Core
und BlackBerry Secure Connect Plus
Um SNMP für die Überwachung von BES12 Core und BlackBerry Secure Connect Plus zu verwenden, müssen Sie die
Einstellungen in der Verwaltungskonsole konfigurieren.
1.
Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > SMTP-Server.
2.
Erweitern Sie Globale Einstellungen, und aktivieren Sie das Kontrollkästchen SNMP-Überwachung aktivieren. Dieses
Kontrollkästchen ist standardmäßig deaktiviert.
3.
Ersetzen Sie im Feld Community den Standardwert, indem Sie einen neuen Community-Namen eingeben.
116
Überwachung von BES12
4.
Geben Sie im Feld „IP-Adresse“ die IPv4-UDP-Adresse des Servers ein, auf dem das Trap-Verwaltungstool installiert ist.
5.
Geben Sie in das Feld Port die Portnummer für das Trap-Verwaltungstool ein. Standardmäßig ist die Portnummer 1620.
6.
Klicken Sie auf Speichern.
7.
Erweitern Sie jeden BES12-Instanznamen, und führen Sie die folgenden Aufgaben aus:
8.
•
Überwachung von BES12 Core: Geben Sie in das Feld UDP-Port für den Zugriff auf SNMPÜberwachungsdaten für den BES12 Core-Dienst die Portnummer ein, über die BES12 SNMPDatenanforderungen empfangen soll. Standardmäßig ist die Portnummer 1610.
•
Überwachung von BlackBerry Secure Connect Plus: Geben Sie in das Feld UDP-Port für den Zugriff auf SNMPÜberwachungsdaten für den BlackBerry Secure Connect Plus-Dienst den Port ein, über den BES12 SNMPDatenanforderungen empfangen soll. Standardmäßig ist die Portnummer 1611.
Klicken Sie auf Speichern.
Wenn Sie fertig sind: Führen Sie eine der folgenden Aufgaben aus:
•
Wenn Sie für BES12 Core die Überwachung aktivieren, starten Sie den Dienst BES12 - BES12 Core in den Windows
Services neu.
•
Wenn Sie für BlackBerry Secure Connect Plus die Überwachung aktivieren, starten Sie den Dienst BES12 BlackBerry Secure Connect Plus in den Windows Services neu.
117
Glossar
Glossar
22
ADSI
Active Directory Service Interfaces (Active Directory-Dienstschnittstellen)
APNs
Apple Push Notification service (Apple Push Notification-Dienst)
BES5
BlackBerry Enterprise Server 5
BES10
BlackBerry Enterprise Service 10
BES12
BlackBerry Enterprise Service 12
BES12-Instanz
BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind,
mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale
Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.
CAS
Client Access Server (Client-Zugriffsserver)
CSR
Certificate Signing Request (Anforderung für die Zertifikatssignatur)
DEP
Device Enrollment Program (Programm zur Geräteregistrierung)
DNS
Domain Name System (Domänennamensystem)
FQDN
Fully Qualified Domain Name (vollständiger Domänenname)
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)
IIS
Internet Information Services (Internet-Informationsdienste)
LDAP
Lightweight Directory Access Protocol (Anwendungsprotokoll)
MIB
Management Information Base (Datenbasis für Netzwerkmanagement)
MMC
Microsoft Management Console
OID
Objektbezeichner
PAC
Proxy Auto Configuration (Proxy-Autokonfiguration)
PAP
Push Access Protocol (Protokoll für den Push-Zugriff)
SCEP
Simple Certificate Enrollment-Protokoll
SMTP
Simple Mail Transfer Protocol (einfaches Nachrichtenübertragungsprotokoll) ist ein TCP/IP-Protokoll,
das zusammen mit POP oder IMAP für das Senden und Empfangen von Nachrichten über ein
Netzwerk wie das Internet verwendet wird.
SNMP
Simple Network Management Protocol (einfaches Netzwerkverwaltungsprotokoll)
SPN
Ein SPN (Service Principal Name - Dienstprinzipalname) ist ein Attribut eines Benutzers oder einer
Gruppe in Microsoft Active Directory, das die gegenseitige Authentifizierung zwischen einem Client
118
Glossar
eines Kerberos-fähigen Diensts und einem Kerberos-fähigen Dienst unterstützt. Ein Microsoft Active
Directory-Konto kann eine oder mehrere SPNs haben.
SRP
Server Routing Protocol
SSL
Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)
TCP
Transmission Control Protocol (Übertragungssteuerungsprotokoll)
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TLS
Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)
119
Rechtliche Hinweise
Rechtliche Hinweise
23
©2016 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BES, EMBLEM Design, GOOD,
GOOD WORK, LOCK Design, MANYME, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, SECUVOICE, VIRTUAL
SIM PLATFORM, WATCHDOX und WORKLIFE sind Marken oder eingetragene Marken von BlackBerry Limited, seinen
Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an
diesen Marken wird ausdrücklich vorbehalten. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Microsoft, Active Directory, ActiveSync, Internet Explorer, Microsoft Edge, Microsoft Exchange, Microsoft Exchange Server,
Microsoft Exchange Management Console, Microsoft Internet Information Services, SQL Server, Windows, Windows Phone,
Windows PowerShell und Windows Server sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/
oder anderen Ländern. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA
und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet. Apple ist eine Marke von Apple Inc. Android
und Google Chrome sind Marken von Google Inc. Mozilla und Firefox sind Marken der Mozilla Foundation. KNOX und Samsung
KNOX sind Marken von Samsung Electronics Co., Ltd. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die
BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die
entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited
und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für
eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten
Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das
Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält
sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht
verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in
Kenntnis zu setzen.
Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder
Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von
Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine
Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze,
Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine
besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.
SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN
HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN,
ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN,
BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG
FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT,
NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS
ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER
GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER
120
Rechtliche Hinweise
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE,
HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD.
MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER
AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT
ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN
ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN,
SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES
ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET
BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE,
HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN,
EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN
SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE
SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ
BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER
EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER
GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU
ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT
BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN,
NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE
VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN,
UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT
BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER,
DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER
DELIKTSHAFTUNG.
DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN:
(A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH,
ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG
ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN
GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND
GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN,
VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE,
ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.
ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE,
ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY
ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER
DOKUMENTATION.
121
Rechtliche Hinweise
Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr
Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter
bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet
Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen
und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von
BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht
verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und
festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder
verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste,
die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne
ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von
BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von
Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender
Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry
behandelt wird.
Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder
anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN
SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON
BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.
BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese
Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
United Kingdom
Veröffentlicht in Kanada
122
Herunterladen