Embed Size (px)
Citation preview
AdministratorhandbuchBES12
Version 12.5
Veröffentlicht: 2016-08-04SWD-20160804125708238
InhaltInfo zu diesem Handbuch............................................................................................... 15
Erste Schritte................................................................................................................. 16Schritte zur Verwaltung von BES12 .................................................................................................................................16
Beispiele für die alltäglichen Administrationsszenarien.............................................................................................17
Informationen zu Good Dynamics und BES12 .................................................................................................................18
Informationen zu PRIV und BES12 ................................................................................................................................. 18
Schritte zur Bereitstellung von PRIV in Ihrer BES12-Umgebung................................................................................ 19
Optionen der Geräteverwaltung.......................................................................................................................................19
MDM-Steuerelemente............................................................................................................................................. 20
Geschäftlich und persönlich.....................................................................................................................................20
Nur geschäftlicher Bereich...................................................................................................................................... 21
Einrichten von Secure Work Space für iOS- und Android-Geräte...................................................................................... 21
Enterprise-Konnektivität und Proxy-Server............................................................................................................... 22
Verwalten von Geräten mit einem geschäftlichen Bereich.........................................................................................22
Aktualisieren von Apps für den geschäftlichen Bereich.............................................................................................23
Testen der Secure Work Space-Verbindung.............................................................................................................. 23
Anmelden bei BES12 ..................................................................................................................................................... 23
Info über BES12 Self-Service ..........................................................................................................................................24
Was sind Mehrwertdienste?.............................................................................................................................................25
Unterstützte Leistungsmerkmale nach Gerätetyp............................................................26
Administratoren............................................................................................................. 34Schritte zum Einrichten von Administratoren...................................................................................................................34
Anpassen des Erscheinungsbilds der Konsolen............................................................................................................... 35
Erstellen von Website-Lesezeichen in den Konsolen........................................................................................................ 35
Ändern der Sprache für automatisierte E-Mail-Nachrichten............................................................................................. 36
Erstellen eines Anmeldungshinweises für die Konsolen....................................................................................................36
Erstellen und Verwalten von Rollen..................................................................................................................................37
Vorkonfigurierte Rollen............................................................................................................................................ 37
Erstellen einer benutzerdefinierten Rolle.................................................................................................................. 49
Anzeigen einer Rolle................................................................................................................................................ 51
Ändern der Rolleneinstellungen............................................................................................................................... 51
Löschen einer Rolle................................................................................................................................................. 52
So wählt BES12 die zuzuweisende Rolle aus.............................................................................................................53
Festlegen der Mindestkomplexität des Kennworts für lokale Administratoren................................................................... 53
Erstellen eines Administrators......................................................................................................................................... 54
Rollenmitgliedschaft für Administratoren ändern.............................................................................................................55
Löschen eines Administrators......................................................................................................................................... 56
Profile............................................................................................................................ 57Zuweisen von Profilen..................................................................................................................................................... 57
So wählt BES12 die zuzuweisenden Profile aus................................................................................................................59
Verwalten von Profilen.....................................................................................................................................................60
Kopieren eines Profils.............................................................................................................................................. 60
Anzeigen eines Profils..............................................................................................................................................60
Ändern der Profileinstellungen.................................................................................................................................61
Entfernen eines Profils aus Benutzerkonten oder Benutzergruppen.......................................................................... 61
Löschen eines Profils............................................................................................................................................... 62
Profilen einen Rang zuweisen.................................................................................................................................. 62
Variablen........................................................................................................................64Verwenden von Variablen in Profilen................................................................................................................................64
Standardvariablen.......................................................................................................................................................... 64
Benutzerdefinierte Variablen...........................................................................................................................................67
Definieren von benutzerdefinierten Variablen........................................................................................................... 67
Verwenden von benutzerdefinierten Variablen..........................................................................................................68
Zertifikate.......................................................................................................................69Schritte zum Verwenden von Zertifikaten auf Geräten......................................................................................................69
Vernetzung von BES12 und der PKI-Software Ihrer Organisation...................................................................................... 70
Herstellen einer Verbindung zwischen BES12 und der Entrust-Software Ihres Unternehmens................................... 70
Herstellen einer Verbindung zwischen BES12 und der OpenTrust-Software Ihres Unternehmens...............................71
Bereitstellen von Client-Zertifikaten für Geräte................................................................................................................ 72
Mithilfe von Profilen Zertifikate an Geräte senden............................................................................................................ 73
Auswählen von Profilen, über die Clientzertifikate an Geräte gesendet werden sollen................................................ 74
Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................75
Senden von Clientzertifikaten auf Geräte mit SCEP...................................................................................................76
Mithilfe von Profilen für Benutzeranmeldeinformationen Zertifikate an Geräte senden.............................................. 78
Senden des gleichen Clientzertifikats an mehrere Geräte......................................................................................... 79
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen...................................................81
Schritte zum Einrichten von Geschäftsverbindungen für Geräte....................................................................................... 81
Verwalten von geschäftlichen Verbindungen mithilfe von Profilen.....................................................................................81
Bewährtes Verfahren: Erstellen von Profilen für Geschäftsverbindungen.......................................................................... 83
Einrichten des geschäftlichen E-Mail-Kontos für Geräte...................................................................................................84
Erstellen eines E-Mail-Profils....................................................................................................................................84
Erstellen eines IMAP/POP3-E-Mail-Profils.................................................................................................................86
Erweitern der E-Mail-Sicherheit mithilfe von S/MIME................................................................................................ 87
Erweitern der E-Mail-Sicherheit mit PGP ..................................................................................................................93
Erzwingen von sicherer E-Mail mithilfe der Nachrichtenklassifizierung......................................................................93
Einrichten von Proxy-Profilen für Geräte.......................................................................................................................... 94
Erstellen eines Proxy-Profils..................................................................................................................................... 96
Einrichten von geschäftlichen Wi-Fi-Netzwerken für Geräte............................................................................................. 98
Erstellen eines Wi-Fi-Profils......................................................................................................................................99
Einrichten von geschäftlichen VPNs für Geräte.............................................................................................................. 100
Erstellen eines VPN-Profils.....................................................................................................................................101
Aktivieren von VPN auf Abruf für iOS- oder OS X-Geräte..........................................................................................102
Per App VPN aktivieren..........................................................................................................................................102
Einrichten von Enterprise-Konnektivität für Geräte.........................................................................................................103
Erstellen eines Enterprise-Konnektivitäts-Profils.....................................................................................................104
Einrichten einer Authentifizierung bei einmaliger Anmeldung für Geräte........................................................................ 105
Voraussetzungen: Verwenden der Kerberos-Authentifizierung für Geräte................................................................ 105
Zertifikatbasierte Authentifizierung für iOS Version 8 und höher..............................................................................106
Erstellen eines Profils für die einmalige Anmeldung................................................................................................ 106
Einrichten vonCardDAV- undCalDAV-Profilen füriOS - undOS X -Geräte..........................................................................108
Erstellen eines CardDAV-Profils..............................................................................................................................108
Erstellen eines CalDAV-Profils................................................................................................................................ 109
Einrichten von Good Dynamics für Geräte..................................................................................................................... 110
Einrichten von Unternehmensdatenschutz für Windows 10-Geräte................................................................................110
Erstellen eines Unternehmensdatenschutzprofils...................................................................................................111
Verwenden von Strong Authentication by BlackBerry für sichere Verbindungen mit kritischen Ressourcen.....................112
Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen....................112
Schritte zum Aktivieren von BlackBerry Secure Connect Plus ................................................................................ 113
Anforderungen an Server und Geräte..................................................................................................................... 113
Lastverteilung und hohe Verfügbarkeit für BlackBerry Secure Connect Plus ........................................................... 115
BlackBerry Secure Connect Plusund die BlackBerry Connectivity Node..................................................................115
Aktivieren und Konfigurieren von BlackBerry Secure Connect Plus ........................................................................ 116
Fehlerbehebung BlackBerry Secure Connect Plus ................................................................................................. 120
Gerätestandards...........................................................................................................124Schritte zum Einrichten der Gerätestandards für Ihre Organisation................................................................................ 124
Verwalten der Gerätestandards mithilfe von Profilen...................................................................................................... 124
Durchsetzen von Kompatibilitätsregeln für Geräte......................................................................................................... 125
Erstellen eines Kompatibilitätsprofils......................................................................................................................126
Erstellen einer Vorlage für E-Mail-Benachrichtigungen zur Vorschrifteneinhaltung.................................................. 129
Filtern von Webinhalten auf iOS-Geräten....................................................................................................................... 130
Erstellen von Webinhaltsfilter-Profilen.................................................................................................................... 130
Begrenzung von Geräten auf eine einzelne App............................................................................................................. 132
Erstellen eines Profils für den App-Sperrmodus...................................................................................................... 132
Steuern der Softwareversionen, die Benutzer auf BlackBerry 10-Geräten installieren können........................................ 133
Erstellen eines Profils für Gerätedienstanforderungen............................................................................................ 134
Benutzer anzeigen, die eine widerrufene Softwareversion ausführen...................................................................... 135
Verwalten von E-Mail- und Webdomänen für iOS 8-Geräte............................................................................................. 135
Erstellen eines Profils für verwaltete Domänen....................................................................................................... 136
Konfigurieren von zugelassenen und gesperrten Domänen auf Geräten mit einem geschäftlichen Bereich..................... 137
Konfigurieren von zugelassenen und gesperrten Domänen im geschäftlichen Bereich............................................ 137
Erstellen von Organisationshinweisen zur Anzeige auf Geräten...................................................................................... 138
Erstellen von Organisationshinweisen.................................................................................................................... 138
Anzeigen von Organisationsinformationen auf Geräten ................................................................................................. 139
Erstellen eines Geräteprofils.................................................................................................................................. 139
Durch das Erstellen von Websymbolen füriOS - undOS X -Geräte wendet....................................................................... 141
Erstellen von Websymbol-Profilen.......................................................................................................................... 141
Verwenden von Standortdiensten auf Geräten............................................................................................................... 142
Konfigurieren der Einstellungen für die Standortbestimmung................................................................................. 143
Erstellen eines Profils für die Standortbestimmung.................................................................................................143
Verwalten von iOS-Funktionen mit benutzerdefinierten Payload-Profilen........................................................................ 144
Benutzerdefiniertes Payload-Profil erstellen........................................................................................................... 145
Erstellen eines AirPrint-Profils....................................................................................................................................... 146
Konfigurieren von AirPlay-Profilen für iOS-Geräte.......................................................................................................... 147
Erstellen eines AirPlay-Profils.................................................................................................................................147
Kontrollieren der Netzwerknutzung von geschäftlichen Apps auf iOS-Geräten................................................................148
Erstellen eines Netzwerknutzungsprofils................................................................................................................ 148
Konfigurieren, wann Geräte Kontakt zu BES12 aufnehmen............................................................................................149
Erstellen eines Enterprise Management Agent-Profils.............................................................................................149
IT-Richtlinien................................................................................................................151
Schritte zum Verwalten von IT-Richtlinien......................................................................................................................151
Einschränken und Zulassen von Gerätefunktionen........................................................................................................ 152
Einrichten der Anforderungen für Gerätekennwörter......................................................................................................152
Einrichten der BlackBerry 10 Kennwortanforderungen...........................................................................................152
Einrichten der iOS Kennwortanforderungen........................................................................................................... 154
Einrichten der OS X Kennwortanforderungen......................................................................................................... 158
Einrichten der Android Kennwortanforderungen.....................................................................................................159
Einrichten der Windows Kennwortanforderungen................................................................................................... 168
So wählt BES12 die zuzuweisenden IT-Richtlinien aus................................................................................................... 169
Erstellen und Verwalten von IT-Richtlinien..................................................................................................................... 170
Erstellen einer IT-Richtlinie.................................................................................................................................... 170
Kopieren einer IT-Richtlinie....................................................................................................................................170
IT-Richtlinien einen Rang zuweisen........................................................................................................................171
Anzeigen einer IT-Richtlinie................................................................................................................................... 171
Ändern einer IT-Richtlinie...................................................................................................................................... 172
Entfernen einer IT-Richtlinie aus den Benutzerkonten oder Benutzergruppen.........................................................172
Löschen einer IT-Richtlinie.....................................................................................................................................173
IT-Richtlinien exportieren.......................................................................................................................................173
Steuern von BlackBerry OS-Gerätefunktionen mithilfe von IT-Richtlinien....................................................................... 174
Schritte zum Verwalten von BlackBerry OS-IT-Richtlinien....................................................................................... 174
Einschränken und Zulassen von BlackBerry OS-Gerätefunktionen..........................................................................175
Vorkonfigurierte BlackBerry OS-IT-Richtlinien........................................................................................................ 175
Zuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-Richtlinien............................ 176
Deaktivieren von BlackBerry OS-Geräten, auf die keine IT-Richtlinien angewendet wurden.....................................178
Erstellen und Verwalten von BlackBerry OS IT-Richtlinien.......................................................................................178
Apps............................................................................................................................ 181Hinzufügen und Löschen von Apps aus der Liste der Apps.............................................................................................181
Hinzufügen von öffentlichen Apps zur App-Liste.....................................................................................................181
Hinzufügen von internen Apps zur App-Liste.......................................................................................................... 188
Hinzufügen von gesicherten Apps zur App-Liste.....................................................................................................194
Löschen einer App aus der App-Liste..................................................................................................................... 195
App-Verhalten auf Android-Geräten....................................................................................................................... 195
App-Verhalten auf iOS-Geräten.............................................................................................................................. 202
App-Verhalten auf BlackBerry-Geräten.................................................................................................................. 204
App-Verhalten auf Windows 10-Geräten.................................................................................................................205
Verhindern, dass Benutzer bestimmte iOS-, Android- und Windows Phone-Apps installieren..........................................207
Schritte zur Hinderung von Benutzern an der Installation von Apps.........................................................................207
Hinzufügen einer App zur Liste der gesperrten Apps.............................................................................................. 208
Verwalten von App-Gruppen......................................................................................................................................... 209
Erstellen einer App-Gruppe....................................................................................................................................209
Bearbeiten einer App-Gruppe................................................................................................................................ 210
Verwalten von Apple VPP-Konten.................................................................................................................................. 210
Hinzufügen eines Apple VPP-Kontos...................................................................................................................... 211
Bearbeiten eines Apple VPP-Kontos.......................................................................................................................211
Aktualisieren der Apple VPP-Kontodaten................................................................................................................212
Löschen eines Apple VPP-Kontos...........................................................................................................................212
Zuweisen von Apple VPP-Lizenzen auf Geräten............................................................................................................. 212
Anzeigen der zugewiesenen VPP-Lizenzen von Apple............................................................................................. 213
Ändern, ob die App erforderlich oder optional ist........................................................................................................... 213
Anzeigen des Status von Benutzerkonten zugewiesenen Apps und App-Gruppen.......................................................... 214
Anzeigen, welche Apps Benutzergruppen zugewiesen wurden...................................................................................... 214
Aktualisieren der Daten in der Liste der Apps................................................................................................................ 215
Aktualisieren von App-Berechtigungen für Android for Work-Apps................................................................................. 215
Akzeptieren von App-Berechtigungen für Android for Work-Apps...................................................................................216
Festlegen des Organisationsnamens für BlackBerry World ............................................................................................ 217
Anpassen des Symbols für geschäftliche Apps für iOS-Geräte........................................................................................217
Anpassen des Symbols für geschäftliche Anwendungen......................................................................................... 217
Verwalten von Apps auf BlackBerry OS-Geräten............................................................................................................ 218
Vorbereiten der Verteilung von BlackBerry Java Applications ................................................................................. 219
Konfigurieren von Anwendungssteuerungsrichtlinien............................................................................................. 220
Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen.................................................................. 223
Erstellen von Softwarekonfigurationen................................................................................................................... 225
Installieren von BlackBerry Java Applications auf einem BlackBerry OS-Gerät über einen zentralen Computer........228
Anzeigen der Benutzer, die eine BlackBerry Java Application auf ihren BlackBerry OS-Geräten installiert haben.....228
Synchronisierungsregeln für miteinander in Konflikt stehende Einstellungen in Softwarekonfigurationen.................229
Benutzer und Gruppen................................................................................................. 236Schritte zur Erstellung von Gruppen und Benutzerkonten.............................................................................................. 236
Erstellen von Benutzerrollen..........................................................................................................................................236
BES12 Self-Service-Funktionen............................................................................................................................. 237
Erstellen einer Benutzerrolle.................................................................................................................................. 237
So wählt BES12 die zuzuweisende Benutzerrolle aus..............................................................................................238
Benutzerrollen nach Rang sortieren....................................................................................................................... 238
Zuweisen einer Benutzerrolle zu einer Gruppe........................................................................................................238
Zuweisen eine Benutzerrolle zu einem Benutzer.....................................................................................................239
Erstellen und Verwalten von Benutzergruppen...............................................................................................................239
Erstellen einer per Verzeichnis verknüpften Gruppe................................................................................................240
Erstellen einer lokalen Gruppe............................................................................................................................... 242
Anzeigen einer Benutzergruppe.............................................................................................................................243
Klicken Sie auf den Namen einer Benutzergruppe..................................................................................................244
Löschen einer Benutzergruppe.............................................................................................................................. 244
Hinzufügen von verschachtelten Gruppen zu einer Benutzergruppe....................................................................... 244
Entfernen von verschachtelten Gruppen aus einer Benutzergruppe........................................................................245
Zuweisen einer IT-Richtlinie zu einer Benutzergruppe............................................................................................ 245
Zuweisen eines Profils zu einer Benutzergruppe.....................................................................................................246
Zuweisen einer App zu einer Benutzergruppe........................................................................................................ 246
Zuweisen einer App-Gruppe zu einer Benutzergruppe............................................................................................248
Zuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einer
Benutzergruppe.................................................................................................................................................... 250
Erstellen von Gerätegruppen.........................................................................................................................................251
Erstellen einer Gerätegruppe................................................................................................................................. 251
Bearbeiten einer Gerätegruppe ............................................................................................................................. 253
Festlegen von Parametern für Gerätegruppen........................................................................................................ 253
Anzeigen einer Gerätegruppe................................................................................................................................ 254
Klicken Sie auf den Namen einer Gerätegruppe..................................................................................................... 255
Löschen einer Gerätegruppe..................................................................................................................................255
Erstellen und Verwalten von Benutzerkonten.................................................................................................................255
Erstellen eines Benutzerkontos.............................................................................................................................. 256
Erstellen von Benutzerkonten aus einer .csv-Datei..................................................................................................258
Anzeigen eines Benutzerkontos............................................................................................................................. 262
Gleichzeitige Verwaltung mehrerer Benutzerkonten............................................................................................... 262
Senden einer E-Mail an Benutzer........................................................................................................................... 263
Bearbeiten von Benutzerkontodaten......................................................................................................................264
Synchronisieren der Informationen für einen Verzeichnisbenutzer.......................................................................... 264
Entfernen von Diensten eines Benutzers................................................................................................................ 265
Aktivieren von Diensten für einen Benutzer............................................................................................................ 266
Löschen eines Benutzerkontos.............................................................................................................................. 267
Hinzufügen von Benutzern zu Benutzergruppen.....................................................................................................268
Entfernen eines Benutzers aus einer Benutzergruppe............................................................................................ 268
Ändern der Benutzerzuweisung zu Benutzergruppen............................................................................................. 268
Zuweisen einer IT-Richtlinie zu einem Benutzerkonto.............................................................................................269
Zuweisen eines Profils zu einem Benutzerkonto..................................................................................................... 269
Hinzufügen eines Client-Zertifikats zu einem Benutzerkonto...................................................................................270
Hinzufügen eines Client-Zertifikats für ein Benutzerkonto.......................................................................................271
Zuweisen einer App zu einem Benutzerkonto......................................................................................................... 271
Zuweisen einer App oder App-Gruppe zu einem Benutzerkonto..............................................................................273
Zuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einem
Benutzerkonto.......................................................................................................................................................275
Anzeigen der aufgelösten BlackBerry OS-IT-Richtlinienregeln, die einem Benutzerkonto zugewiesen sind.............. 276
Anzeigen und Anpassen der Benutzerlist.......................................................................................................................276
Einrichten der standardmäßigen oder erweiterten Ansicht......................................................................................277
Auswählen der Informationen, die in der Benutzerliste angezeigt werden................................................................277
Filtern der Benutzerliste.........................................................................................................................................277
Exportieren der Benutzerliste in eine .csv-Datei ..................................................................................................... 278
Geräteaktivierung.........................................................................................................279Schritte zur Aktivierung von Geräten............................................................................................................................. 279
Voraussetzungen: Aktivierung....................................................................................................................................... 280
Verwalten des Standardablaufs und der Länge des Aktivierungskennworts.................................................................... 281
Aktivieren der Benutzerregistrierung bei der BlackBerry Infrastructure ......................................................................... 281
Unterstützen von Android for Work-Aktivierungen..........................................................................................................282
Unterstützen von Android for Work-Aktivierungen mit einer Google Apps for Work-Domäne.................................... 282
Unterstützen von Android for Work-Aktivierungen mit einer Google for Work-Domäne............................................. 283
Wählen Sie, welche Produktivitäts-Apps auf PRIV-Geräten, die Android for Work verwenden, genutzt werden......... 284
Unterstützen von Windows 10-Aktivierungen.................................................................................................................285
Verwalten von Vorlagen für die Aktivierungs-E-Mail........................................................................................................ 286
Erstellen einer Vorlage für Aktivierungs-E-Mail........................................................................................................287
Erstellen einer Vorlage für Windows 10-Aktivierungs-E-Mails.................................................................................. 288
Erstellen einer Aktivierungs-E-Mail-Vorlage für Android for Work............................................................................. 290
Bearbeiten einer Vorlage für Aktivierungs-E-Mail.................................................................................................... 291
Erstellen von Aktivierungsprofilen..................................................................................................................................291
Aktivierungsarten: BlackBerry 10-Geräte............................................................................................................... 292
Aktivierungsarten: iOS-Geräte................................................................................................................................292
Aktivierungsarten: OS X-Geräte..............................................................................................................................294
Aktivierungsarten: Android-Geräte.........................................................................................................................294
Aktivierungsarten: Windows-Geräte....................................................................................................................... 299
Erstellen eines Aktivierungsprofils.......................................................................................................................... 299
Einrichten eines Aktivierungskennworts und Senden einer Aktivierungs-E-Mail-Nachricht..............................................300
Senden einer Aktivierungs-E-Mail an mehrere Benutzer................................................................................................ 301
Zulassen, dass Benutzer Aktivierungskennwörter festlegen in BES12 Self-Service......................................................... 302
Aktivieren eines BlackBerry 10-Geräts.......................................................................................................................... 303
Aktivieren eines BlackBerry OS-Geräts..........................................................................................................................304
Aktivieren eines iOS-Geräts...........................................................................................................................................304
Aktivieren eines OS X-Geräts.........................................................................................................................................305
Aktivieren eines Android-Geräts.................................................................................................................................... 306
Aktivieren eines Windows Phone-Geräts........................................................................................................................306
Aktivieren eines Windows 10 Mobile-Geräts.................................................................................................................. 307
Aktivieren eines Windows 10-Geräts..............................................................................................................................308
Aktivieren von mehreren Geräten mit KNOX Mobile Enrollment......................................................................................310
Aktivieren von BlackBerry 10-Geräten mithilfe von BlackBerry Wired Activation Tool .....................................................310
Installieren des BlackBerry Wired Activation Tool ...................................................................................................311
Konfigurieren Sie das BlackBerry Wired Activation Tool, und melden Sie sich bei einer BES12-Instanz an............... 311
Aktivieren von BlackBerry 10-Geräten mit dem BlackBerry Wired Activation Tool ...................................................312
Tipps zur Fehlersuche bei der Geräteaktivierung........................................................................................................... 313
Die Geräteaktivierung kann nicht abgeschlossen werden, da der Server keine Lizenzen hat. Wenden Sie sich bitte
an Ihren Administrator........................................................................................................................................... 315
Überprüfen Sie Ihren Benutzernamen und Ihr Kennwort, und versuchen Sie es erneut............................................315
Das Profil konnte nicht installiert werden. Das Zertifikat „AutoMDMCert.pfx“ konnte nicht importiert werden.......... 315
Fehler 3007: Server nicht verfügbar....................................................................................................................... 316
Serververbindung konnte nicht hergestellt werden, bitte überprüfen Sie die Konnektivität und die Serveradresse... 316
iOS- oder OS X-Geräteaktivierungen schlagen bei ungültigen APNs-Zertifikaten fehl............................................... 317
Die Benutzer erhalten keine Aktivierungs-E-Mail.................................................................................................... 317
Aktivieren von beim DEP registrierten iOS-Geräten........................................................................................................ 318
Voraussetzungen: Verwendung der Good for BES12-App für beim DEP registrierte Geräte...................................... 318
Schritte zum Aktivieren von Geräten, die beim DEP registriert sind......................................................................... 318
Registrieren von iOS-Geräten beim DEP und Zuweisen eines MDM-Servers............................................................ 319
Zuweisen von Registrierungskonfigurationen zu iOS-Geräten..................................................................................319
Entfernen einer iOS-Geräten zugewiesenen Registrierungskonfiguration................................................................ 320
Verwalten von Registrierungskonfigurationen......................................................................................................... 320
Anzeigen der Einstellungen einer zugewiesenen Registrierungskonfiguration..........................................................322
Anzeigen der Benutzerdetails für ein aktiviertes Gerät............................................................................................ 322
Verwenden von Aktivierungssperren auf iOS-Geräten.................................................................................................... 322
Aktivierungssperre aktivieren.................................................................................................................................323
Aktivierungssperre deaktivieren............................................................................................................................. 323
Umgehungscode für Aktivierungssperre anzeigen.................................................................................................. 323
Befehle und Steuerelemente für Geräte........................................................................ 324Senden von Befehlen an Geräte.................................................................................................................................... 324
Senden von Befehlen an Geräte............................................................................................................................. 324
Festlegen einer Ablaufzeit für Befehle.................................................................................................................... 325
Befehle................................................................................................................................................................. 325
Überprüfen, ob ein Gerät für den Zugriff auf geschäftliche E-Mails und Terminplanerdaten zugelassen ist...................... 334
Überprüfen, ob ein Gerät zugelassen ist................................................................................................................. 335
Verwenden von Exchange Gatekeeping......................................................................................................................... 335
Ermöglichen des Zugriffs eines Geräts auf Microsoft ActiveSync ............................................................................ 336
Sperren eines Geräts für den Zugriff auf Microsoft ActiveSync ................................................................................336
Anzeigen verfügbarer Updates für iOS-Geräte............................................................................................................... 336
Deaktivieren von Geräten..............................................................................................................................................337
Standort eines Geräts bestimmen................................................................................................................................. 337
Zulassen, dass BlackBerry 10-Benutzern Gerätedaten sichern...................................................................................... 338
Generieren von Verschlüsselungsschlüsseln...........................................................................................................339
Exportieren von Verschlüsselungsschlüsseln.......................................................................................................... 339
Importieren von Verschlüsselungsschlüsseln..........................................................................................................339
Entfernen von Verschlüsselungsschlüsseln.............................................................................................................340
Entfernen von Secure Work Space von Geräten............................................................................................................. 340
Wartung, Überwachung und Berichterstellung.............................................................. 341Verwendung von Protokolldateien................................................................................................................................. 341
Verwalten von BES12-Protokolldateien.................................................................................................................. 341
Auffinden der Protokolldateien...............................................................................................................................344
Lesen der Protokolldateien.................................................................................................................................... 345
Überwachen der App-Aktivitäten auf BlackBerry 10 und BlackBerry OS- Geräte.....................................................352
Anzeigen der Geräteaktionen.................................................................................................................................353
Auslesen von Protokolldateien aus Geräten............................................................................................................ 354
Überwachungsereignisse in BES12...............................................................................................................................356
Konfigurieren von Überwachungseinstellungen......................................................................................................356
Anzeigen und Filtern von Administrator-Überwachungsereignissen........................................................................ 358
Exportieren der Administrator-Überwachungsereignisse in eine CSV-Datei............................................................. 358
Exportieren von Sicherheitsüberwachungsereignissen in eine CSV-Datei................................................................ 358
Löschen von Überwachungsdatensätzen............................................................................................................... 359
Verwenden von SNMP zur Überwachung von BES12 .................................................................................................... 359
SNMP-Zähler für Enterprise-Konnektivität..............................................................................................................359
SNMP-Zähler für BES12 Core ................................................................................................................................382
SNMP-Zähler für BlackBerry Secure Connect Plus ................................................................................................ 386
Verwenden von Dashboard-Berichten........................................................................................................................... 388
Ändern des Grafiktyps........................................................................................................................................... 389
Exportieren eines Dashboard-Berichts in eine .csv-Datei........................................................................................ 389
Anzeigen und Speichern eines Geräteberichts...............................................................................................................389
Profileinstellungen........................................................................................................391E-Mail-Profileinstellungen............................................................................................................................................. 391
Allgemein: E-Mail-Profileinstellungen.....................................................................................................................391
BlackBerry 10: E-Mail-Profileinstellungen.............................................................................................................. 392
iOS: E-Mail-Profileinstellungen...............................................................................................................................403
OS X: E-Mail-Profileinstellungen.............................................................................................................................408
Android: E-Mail-Profileinstellungen........................................................................................................................ 408
Windows: E-Mail-Profileinstellungen...................................................................................................................... 415
IMAP/POP3-E-Mail-Profileinstellungen..........................................................................................................................417
Allgemein: IMAP/POP3-E-Mail-Profileinstellungen..................................................................................................417
iOSundOS X: IMAP/POP3-E-Mail-Profileinstellungen.............................................................................................. 419
Android: IMAP/POP3-E-Mail-Profileinstellungen.....................................................................................................421
Windows: IMAP/POP3-E-Mail-Profileinstellungen................................................................................................... 422
SCEP-Profileinstellungen.............................................................................................................................................. 423
Allgemein: SCEP-Profileinstellungen...................................................................................................................... 424
BlackBerry 10: SCEP-Profileinstellungen............................................................................................................... 426
iOS: SCEP-Profileinstellungen................................................................................................................................ 430
OS X: SCEP-Profileinstellungen.............................................................................................................................. 432
Android: SCEP-Profileinstellungen......................................................................................................................... 434
Windows 10: SCEP-Profileinstellungen...................................................................................................................439
Wi-Fi-Profileinstellungen............................................................................................................................................... 442
Allgemein: Wi-Fi-Profileinstellungen.......................................................................................................................442
BlackBerry 10: Wi-Fi-Profileinstellungen................................................................................................................ 443
iOS und OS X: Wi-Fi-Profileinstellungen..................................................................................................................449
Android: Wi-Fi-Profileinstellungen.......................................................................................................................... 455
Windows: Wi-Fi-Profileinstellungen........................................................................................................................ 460
VPN-Profileinstellungen................................................................................................................................................ 465
BlackBerry 10: VPN-Profileinstellungen................................................................................................................. 465
iOS und OS X: VPN-Profileinstellungen...................................................................................................................481
Android: VPN-Profileinstellungen...........................................................................................................................491
Windows 10: VPN-Profileinstellungen ....................................................................................................................496
Enterprise Management Agent-Profileinstellungen........................................................................................................ 501
BlackBerry 10: Enterprise Management Agent-Profileinstellungen......................................................................... 501
iOS: Enterprise Management Agent-Profileinstellungen..........................................................................................503
Android: Enterprise Management Agent-Profileinstellungen................................................................................... 503
Windows: Enterprise Management Agent-Profileinstellungen................................................................................. 504
Einstellungen für das Unternehmensdatenschutzprofil.................................................................................................. 504
Windows 10: Einstellungen für das Unternehmensdatenschutzprofil...................................................................... 504
Richtlinien-Referenztabelle.......................................................................................... 507
Glossar.........................................................................................................................508
Rechtliche Hinweise.....................................................................................................511
Info zu diesem Handbuch
BES12 unterstützt Sie bei der Verwaltung der Geräte in Ihrer Organisation. Dieses Handbuch beschreibt die Verwaltung von BES12 von der Erstellung von Administratoren über die Einrichtung der Benutzer und Geräte bis hin zur Wartung und Überwachung von BES12.
Die Aufgaben in diesem Handbuch sind in einer bestimmten Reihenfolge dargestellt, damit Sie schon nach kurzer Zeit und auf die effektivste Art und Weise Ihren Verwaltungsaufgaben nachgehen können, insbesondere wenn die Verwaltung von BES12 für Sie Neuland ist.
Sie müssen möglicherweise nicht alle in diesem Handbuch beschriebenen Aufgaben ausführen. Sie können sich dazu entscheiden, nur bestimmte Gerätetypen zu aktivieren, geschäftliche und persönliche Daten auf unterschiedliche Weise zu trennen oder verschiedene Konformitätsregeln, Gerätefunktionen und Verbindungen zu erzwingen.
Es ist für erfahrene und neue IT-Mitarbeiter gedacht, die für die Einrichtung und Verwaltung vonBES12verantwortlich sind. Bevor Sie dieses Handbuch verwenden, sollte ein erfahrener IT-Profi dieBES12-Umgebung konfigurieren. Weitere Informationen finden Sie in derDokumentation zur Konfiguration.
1
Info zu diesem Handbuch
15
Erste Schritte
Schritte zur Verwaltung von BES12Zur Verwaltung von BES12 führen Sie die folgenden Aktionen aus:
Schritt Aktion
Wenn Sie Verwaltungsaufgaben mit anderen IT-Mitarbeitern teilen möchten, erstellen Sie Administratoren.
Einrichten der Geschäftsverbindungen Zum Beispiel E-Mail, Wi-Fi und VPN.
Einrichten der Gerätestandards. Zum Beispiel Konformitätsregeln.
Aktualisieren Sie die Standard-IT-Richtlinie, oder erstellen Sie neue IT-Richtlinien.
Legen Sie fest, welche Apps an die Geräte gesendet werden.
Erstellen Sie Benutzer und Gruppen.
Weisen Sie den Benutzern und Gruppen Geschäftsverbindungen, Gerätestandards, IT-Richtlinien und Apps zu.
Unterstützen Sie die Benutzer bei der Aktivierung ihrer Geräte.
Wartung und Überwachung von BES12 mit Protokolldateien, Audit-Protokolldateien und SNMP.
2
Erste Schritte
16
Beispiele für die alltäglichen AdministrationsszenarienDie folgenden Szenarien sind Beispiele für unterschiedliche Optionen, die Sie bei der Einrichtung verschiedener Geräte für unterschiedliche Benutzer wählen können.
Szenario Mögliche Aufgaben
BlackBerry 10-Geräte für die geschäftliche und persönliche Verwendung verwalten
• Profile für Zertifikate erstellen
• Ein Profil für die einmalige Anmeldung zur Sicherung von Geschäftsdomänen erstellen
• Ein Profil für einen Proxy-Server erstellen
• Die Aktivierungsart „Geschäftlich und persönlich – Unternehmen“ oder „Geschäftlich und persönlich – Reguliert“ auswählen
Die grundlegende Geräteverwaltung von iOS-, Android- oder Windows-Geräten anwenden
• Profile für geschäftliche E-Mails und geschäftliches Wi-Fi erstellen
• Die Standard-IT-Richtlinie ändern, um ein Gerätekennwort zu erzwingen
• Eine geschäftliche App auswählen, um sie an das Gerät zu senden
• Die Aktivierungsart „MDM-Steuerelemente“ auswählen
Geräte mit BlackBerry OS (Version 5.0 bis 7.1) verwalten
• Die Standard-IT-Richtlinie im BlackBerry OS ändern, um ein Gerätekennwort zu erzwingen
• Die IT-Richtlinie im BlackBerry OS erneut an die Geräte senden
iOS- oder Android-Geräte mit einer zusätzlichen Sicherheit für geschäftliche Daten einrichten
• Profil für die Enterprise-Konnektivität erstellen, um Datenübertragungen zusätzlich zu schützen
• S/MIME für zusätzliche E-Mail-Sicherheit aktivieren
• Kompatibilitätsprofil erstellen, um bei einem entsperrten oder gehackten Gerät den Zugriff auf geschäftliche Ressourcen zu verhindern
• Ein Webinhaltsfilter-Profil erstellen, um die Websites einzuschränken, die ein Gerätebenutzer aufrufen kann.
• Secure Work Space einrichten, um geschäftliche Daten zu trennen und zu sichern
• Eine App sichern, um sie an das Gerät zu senden
BlackBerry 10-Geräte nur für die geschäftliche Verwendung einrichten
• Profile für Zertifikate und VPN erstellen
• S/MIME für zusätzliche E-Mail-Sicherheit aktivieren
Erste Schritte
17
Szenario Mögliche Aufgaben
• IT-Richtlinie erstellen, um die Verwendung der Gerätekamera zu verhindern
• Wählen Sie die Aktivierungsart „Nur geschäftlicher Bereich“ aus
Richten Sie ein iOS-Gerät ein, das für Softwaredemos auf eine App begrenzt ist
• Erstellen eines Profils für den App-Sperrmodus
Informationen zu Good Dynamics und BES12Sie können BES12 verwenden, um iOS- und Android-Geräten den Zugriff auf Good Dynamics-Produktivität-Apps, wie Good Work, Good Access und Good Connect, zu ermöglichen.
DieGood Work-App bietet sicheren Zugriff auf geschäftliche E-Mails und ermöglicht Benutzern das Anzeigen und Senden von Anlagen, Erstellen benutzerdefinierter Benachrichtigungen und das Verwalten ihrer Nachrichten. Good Access ist ein sicherer Browser, der Benutzern den sicheren Zugriff auf das geschäftliche Intranet und Webanwendungen ermöglicht. Good Access ermöglicht Ihnen zudem den Zugang zu Ressourcen an Ihrem Arbeitsplatz oder das Erstellen und Bereitstellen von HTML5-Apps, während gleichzeitig ein hohes Maß an Sicherheit und Richtlinientreue gewährleistet wird. Good Connect unterstützt Kommunikation und Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers.
Weitere Informationen finden Sie in der Dokumentation zur Integration von BES12 und Good Dynamics.
Informationen zu PRIV und BES12PRIV ist ein sicheres Gerät, auf dem Android OS ausgeführt wird. Zur Verwaltung von PRIV mit BES12 folgen Sie den Anweisungen für die Android-Geräte.
Die folgenden Aktivierungsarten sind verfügbar für PRIV:
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
• Nur geschäftlicher Bereich (Android for Work)
• Nur geschäftlicher Bereich (Android for Work – Premium)
• MDM-Steuerelemente
Hinweis: Für diese Aktivierungsart muss PRIV die TouchDown-App verwenden, damit das E-Mail-Konto automatisch konfiguriert wird.
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Erste Schritte
18
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
• Datenschutz für Benutzer
Es empfiehlt sich, dass Sie PRIV mithilfe einer Android for Work-Aktivierungsart aktivieren, um optimale Leistung zu erzielen.
Schritte zur Bereitstellung von PRIV in Ihrer BES12-UmgebungFühren Sie die Bereitstellung von PRIV in Ihrer BES12-Umgebung wie folgt durch:
Schritt Aktion
Wenn Sie die Verwendung einerAndroid for Work-Aktivierungsart planen:
• Konfigurieren SieBES12zur Unterstützung vonAndroid for Work. Weitere Informationen finden Sie in derDokumentation zur Konfiguration.
• Richten Sie BES12 zur Unterstützung von Android for Work-Aktivierungen ein. Siehe Unterstützen von Android for Work-Aktivierungen.
Erstellen Sie ein Aktivierungsprofil. Weitere Informationen finden Sie unter Erstellen eines Aktivierungsprofils. BES12 verfügt über einige Profileinstellungen speziell für PRIV. Zusammen mit den regulären E-Mail-Profileinstellungen von Android gelten die BlackBerry Productivity Suite-Einstellungen und die S/MIME-Einstellungen nur für PRIV.
Weisen Sie die PRIV-Produktivitäts-Apps zu. Siehe Wählen Sie, welche Produktivitäts-Apps auf PRIV-Geräten, die Android for Work verwenden, genutzt werden.
Der Benutzer aktiviert das Gerät. Siehe Aktivieren eines Android-Geräts.
Hinweis: Der Benutzer muss unbedingt das Benachrichtigungsfenster hinsichtlich der Benachrichtigung über die Kontosynchronisierung überprüfen und das E-Mail-Kennwort eingeben. Andernfalls wird die E-Mail nicht an PRIV gesendet.
Weitere Informationen zur Aktivierung vonPRIVfinden Sie in den Informationen zu Datenflüssenim Abschnitt „Architektur“.
Weitere Informationen zur Aktivierung von PRIV finden Sie unter https://www.youtube.com/watch?v=9ogKNLV2NMI. Dort können Sie das Video „Aktivieren eines PRIV-Geräts mit Android for Work“ ansehen.
Optionen der GeräteverwaltungBES12 unterstützt verschiedene Optionen für die Verwaltung von Geräten. Die gewählten Optionen hängen von der Art der verwalteten Geräte und den Sicherheitsanforderungen des Unternehmens ab.
Erste Schritte
19
BES12 unterstützt die folgenden Verwaltungsoptionen:
• MDM-Steuerelemente
• Geschäftlich und persönlich
• Nur geschäftlicher Bereich
Für jede Verwaltungsoption müssen Sie die richtigen Lizenzen haben, und den Benutzern müssen die entsprechenden Aktivierungsprofile zugewiesen sein.
Weitere Informationen zuBES12-Lizenzenfinden Sie in der Dokumentation zur Lizenzierung.
Weitere Informationen über die Sicherheit der unterschiedlichen Verwaltungsoptionenfinden Sie in der Dokumentation zur Sicherheit.
MDM-SteuerelementeMDM-Steuerelemente sind die Verwaltungsmöglichkeiten, die standardmäßig über das Gerätebetriebssystem verfügbar sind. Es wird kein separater, verschlüsselter Container auf dem Gerät erstellt und die geschäftlichen Apps und Daten werden nicht von den persönlichen getrennt.
Mithilfe der MDM-Steuerelemente können die folgenden Geräte verwaltet werden:
• iOS
• Android
• Windows
Informationen zur Aktivierung von Geräten mit MDM-Steuerelementen finden Sie unter Schritte zur Aktivierung von Geräten.
Geschäftlich und persönlichAuf geschäftlichen und persönlichen Geräten sind geschäftliche und persönliche Inhalte voneinander getrennt. Je nach der Art des Geräts und der Aktivierung können Sie mehr oder weniger Kontrolle über den geschäftlichen und persönlichen Bereich haben. Sie könnten dem Benutzer die Steuerung des persönlichen Bereichs ermöglichen, während Sie weiterhin die Kontrolle über den geschäftlichen Bereich haben.
Sie können einen geschäftlichen und persönlichen Bereich auf den folgenden Geräten verwalten:
• BlackBerry 10-Geräte mit BlackBerry Balance
• Android-Geräte mit Android for Work
• Samsung-Geräte mit Samsung KNOX Workspace
• iOS- und Android-Geräte mit Secure Work Space
Informationen zur Aktivierung von Geräten mit geschäftlichen und persönlichen Bereichen finden Sie unter Schritte zur Aktivierung von Geräten.
Erste Schritte
20
Nur geschäftlicher BereichGeräte, die nur über einen geschäftlichen Bereich verfügen, weisen keinen separaten Bereich für persönliche Daten auf. Geschäftliche Daten sind über Verschlüsselungsverfahren und die Authentifizierung durch ein Kennwort oder andere Mittel geschützt.
Sie können die folgenden Geräte verwalten, die nur über einen geschäftlichen Bereich verfügen:
• BlackBerry 10
• Samsung-Geräte mit Samsung KNOX Workspace
• Android for Work
Informationen zur Aktivierung von Geräten, die nur einen geschäftlichen Bereich aufweisen, finden Sie unter Schritte zur Aktivierung von Geräten.
Einrichten von Secure Work Space für iOS- und Android-GeräteSecure Work Space ist eine Option, durch die zusätzliche Sicherheit für geschäftliche Daten auf iOS- und Android-Geräten erzielt wird. Secure Work Space ähnelt der BlackBerry Balance-Funktion auf BlackBerry 10-Geräten.
Mithilfe von Containerisierung und App-Wrapping trennt Secure Work Space durch Erstellung eines persönlichen und eines geschäftlichen Bereichs auf Geräten persönliche und geschäftliche Informationen voneinander. Sie können entscheiden, ob Sie die administrative Kontrolle über das gesamte Gerät oder nur über den geschäftlichen Bereich auf dem Gerät eines Benutzers haben möchten.
Um Secure Work Space so einzurichten, dass Benutzer Geräte mit einem geschäftlichen Bereich aktivieren können, müssen Sie die folgenden Aufgaben erfüllen:
• Erwerben von Gold-Lizenzen für Secure Work Space
• Erstellen Sie ein Aktivierungsprofil mit einer der Aktivierungsarten für Secure Work Space, und weisen Sie es Benutzern oder Gruppen zu. Weitere Informationen finden Sie unter Erstellen von Aktivierungsprofilen.
• Senden von Aktivierungsinformationen an Benutzer
Wenn Benutzer ihre Geräte aktivieren, werden sie aufgefordert, einen geschäftlichen Bereich einzurichten, ein Kennwort für den geschäftlichen Bereich festzulegen und die Standard-Apps für den geschäftlichen Bereich zu installieren. Nachdem Benutzer die standardmäßigen Apps für den geschäftlichen Bereich installiert haben, können sie gesicherte Apps installieren. Gesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work Space entwickelt. Werden gesicherte Apps vor Abschluss der Einrichtung von Secure Work Space installiert, können sie nicht geöffnet werden und müssen deinstalliert werden.
Erste Schritte
21
Enterprise-Konnektivität und Proxy-ServerMithilfe eines Enterprise-Konnektivitäts-Profils können Sie steuern, wie Apps auf iOS- und Android-Geräten eine Verbindung mit den Ressourcen Ihres Unternehmens herstellen. Die Enterprise-Konnektivität sendet den gesamten Datenverkehr über die BlackBerry Infrastructure an BES12. Wenn Sie für Apps im geschäftlichen Bereich einen Proxy für den Zugriff auf Webdienste im Internet oder einem Unternehmensnetzwerk verwenden, müssen Sie das Proxy-Profil dem Enterprise-Konnektivitäts-Profil zuweisen.
Enterprise-Konnektivität ist standardmäßig aktiviert. Wenn Sie Enterprise-Konnektivität deaktivieren, stellen die Apps im geschäftlichen Bereich von iOS- oder Android-Geräten die Verbindung mit den Ressourcen des Unternehmens über das interne Wi-Fi-Netzwerk oder eine auf dem Gerät konfigurierte VPN-Verbindung her.
Verwalten von Geräten mit einem geschäftlichen BereichEin geschäftlicher Bereich auf Geräten hilft dabei, geschäftliche Informationen getrennt und sicher aufzubewahren, und ermöglicht die Verwaltung der geschäftlichen Daten auf Geräten. Daten im geschäftlichen Bereich werden sicher gespeichert und können nicht von außerhalb des geschäftlichen Bereichs abgerufen werden.
Weitere Informationen zur Sicherheit von geschäftlichen Bereichen finden Sie in der Dokumentation zur Sicherheit.
Wenn Benutzer ihre Geräte aktivieren, wird ein geschäftlicher Bereich auf den Geräten installiert, und die Benutzer werden aufgefordert, ein Kennwort für den geschäftlichen Bereich festzulegen. Um die Einrichtung des geschäftlichen Bereichs abzuschließen, müssen Benutzer die folgenden Apps auf ihre Geräte herunterladen:
Gerätetyp Apps
iOS • Work Connect: für E-Mail, Kalender, Kontakte, Notizen und Aufgaben
• Work Browser: für Browsing
• Documents To Go: für die sichere Anzeige und Bearbeitung von geschäftlichen Dokumenten
Android • Work Space Manager: für das Ausführen der sonstigen Apps im geschäftlichen Bereich auf dem Gerät erforderlich
• Secure Work Space: für E-Mail, Kalender, Kontakte und Browsing
• Documents To Go: für die sichere Anzeige und Bearbeitung von geschäftlichen Dokumenten
Der geschäftliche Bereich gestattet Ihnen die Nutzung der folgenden Funktionen:
• Konvertieren Sie die internen Apps Ihrer Organisation in gesicherte Apps, die im geschäftlichen Bereich ausgeführt werden können, oder zum Abrufen von gesicherten Apps aus dem App Store oder von Google Play. Nutzen Sie App-Listen und App-Gruppen zur Installation von gesicherten Apps.
Erste Schritte
22
• Steuern Sie bestimmte Verhaltensweisen des geschäftlichen Bereichs auf Geräten, wie die Kennwortanforderungen und Verbindungvoreinstellungen, indem Sie eine IT-Richtlinie mit Benutzerkonten verknüpfen.
• Nutzen Sie IT-Administrationsbefehle zum Zurücksetzen des Kennworts für den geschäftlichen Bereich oder Löschen des geschäftlichen Bereichs auf Geräten.
Aktualisieren von Apps für den geschäftlichen BereichZur Unterstützung neuer Funktionen und weiterer Betriebssysteme veröffentlicht BlackBerry neue Versionen der Apps für den geschäftlichen Bereich im App Store und in Google Play.
Benutzer sollten die Apps für den geschäftlichen Bereich aktualisieren, sobald neue Versionen verfügbar sind. Wenn Benutzer das Betriebssystem ihres Geräts aktualisieren und nicht auf die aktuelle Version der Apps für den geschäftlichen Bereich aktualisieren, funktioniert der geschäftliche Bereich möglicherweise nicht wie erwartet.
Weitere Informationen zu den auf Geräten unterstützten Betriebssystemen finden Sie in der Kompatibilitätsmatrix.
Testen der Secure Work Space-VerbindungSie können die Verbindung zwischen BES12 und der Secure Work Space-Infrastruktur jederzeit testen, um sicherzustellen, dass Secure Work Space aktiviert ist.
1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration.
2. Klicken Sie auf Secure Work Space.
3. Stellen Sie sicher, dass Secure Work Space aktiviert und die Verbindung zur Secure Work Space-Infrastruktur Erfolgreich ist.
4. Klicken Sie optional auf Verbindung testen, um die Verbindung des geschäftlichen Bereichs zu testen.
Anmelden bei BES12Die Verwaltungskonsole ermöglicht das Ausführen administrativer Aufgaben für Geräte in Ihrer Organisation, die von BES12 verwaltet werden.
Bevor Sie beginnen:
• Suchen Sie die Webadresse (z. B. https://<hostname>/admin/index.jsp) und die Anmeldeinformationen für die Verwaltungskonsole. Sie finden die Informationen im Posteingang des E-Mail-Kontos, das mit Ihrem BES12-Konto verknüpft ist.
• Die Authentifizierungsmethode und die Domäne müssen Ihnen bekannt sein (gilt nur für Microsoft Active Directory-Authentifizierung).
1. Geben Sie im Browser die Webadresse für die BES12-Verwaltungskonsole Ihrer Organisation ein.
Erste Schritte
23
2. Geben Sie im Feld Benutzername Ihren Benutzernamen ein.
3. Geben Sie im Feld Kennwort Ihr Kennwort ein.
4. Führen Sie in der Dropdown-Liste Anmelden mit ggf. eine der folgenden Aktionen aus:
• Klicken Sie auf Direkte Authentifizierung.
• Klicken Sie auf LDAP-Authentifizierung.
• Klicken Sie auf Microsoft Active Directory-Authentifizierung. Geben Sie im Feld Domäne die Microsoft Active Directory-Domäne ein.
5. Klicken Sie auf Anmelden.
Wenn Sie fertig sind: Sie können Ihr Anmeldekennwort ändern, indem Sie auf das Benutzersymbol oben rechts in der Verwaltungskonsole klicken.
Info über BES12 Self-ServiceBES12 Self-Service ist eine Webanwendung, die Sie den Benutzern zur Verfügung stellen können, damit diese bestimmte Vorgänge durchführen können, beispielsweise Kennwörter erstellen, Geräte sperren oder Daten von den Geräten löschen. Eine Installation von Software auf den Geräten der Benutzer ist für die Verwendung von BES12 Self-Service nicht erforderlich.
Sie müssen den Benutzern die BES12 Self-Service-Anmeldedaten zur Verfügung stellen. Diese Daten können Sie entweder per E-Mail senden oder die E-Mail-Vorlage für die Aktivierung so ändern, dass sie die Daten enthält. Folgende Informationen sind erforderlich:
• Webadresse: Die Webadresse für BES12 Self-Service wird auf der Verwaltungskonsole unter „Einstellungen > Self-Service“ angezeigt.
• Benutzername und Kennwort: Unternehmensverzeichnisbenutzer können sich mit ihren Unternehmensbenutzernamen und -kennwörtern anmelden. Für lokale Benutzer müssen Sie die Benutzernamen und temporären Kennwörter erstellen.
• Domänenname: Microsoft Active Directory-Benutzer benötigen den Domänennamen.
Sie können ebenfalls einen Anmeldungshinweis erstellen, den Benutzer lesen und annehmen müssen, bevor sie sich bei BES12 Self-Service anmelden können.
Weitere Informationen zur Verwendung von BES12 Self-Service finden Sie im BES12 Self-Service-Benutzerhandbuch.
Verwandte InformationenErstellen eines Anmeldungshinweises für die Konsolen, auf Seite 36
Erste Schritte
24
Was sind Mehrwertdienste?Neben den Sicherheits- und Produktivitätsfunktionen von BES12 bietet BlackBerry weitere Softwarelösungen, die den Wert Ihrer BES12-Domäne steigern, indem sie die individuellen Anforderungen Ihres Unternehmens erfüllen. Die folgenden Dienste arbeiten parallel mit BES12 oder funktionieren als Plug-Ins, die neue Funktionen zu Ihrer bestehenden BES12-Software bereitstellen:
Mehrwertdienst Beschreibung
WatchDox by BlackBerry Ermöglichen Sie Benutzern das sichere Zugreifen, Synchronisieren, Bearbeiten und Freigeben von Dateien und Ordnern auf Windows- und Mac OS-Tablets und Computern sowie auf Android-, iOS und BlackBerry 10-Geräten. Schützen Sie Dateien durch die Anwendung von DRM-Steuerelemente, um den Zugriff auch bei gemeinsamer Verwendung außerhalb Ihrer Organisation einzuschränken.
Enterprise Identity by BlackBerry Bietet Benutzern per Single Sign-on Zugriff auf Dienstanbieter wie Box, Concur, Dropbox, Salesforce, WatchDox und weitere. Sie können auch Unterstützung für benutzerdefinierte SaaS-Dienste hinzufügen.
Strong Authentication by BlackBerry Schützt den Zugriff auf die wichtigen Ressourcen Ihres Unternehmens mithilfe der Zwei-Faktor-Authentifizierung. Dabei wird ein von Benutzern eingegebenes Kennwort verwendet sowie eine Sicherheitsabfrage auf den Android-, iOS- und BlackBerry 10-Geräten bei jedem Versuch, auf Ressourcen zuzugreifen.
SecuSUITE für Unternehmen Ermöglichen Sie eine durchgehende Verschlüsselung für Telefonanrufe und SMS zum Schutz vor Lauschangriffen.
WorkLife by BlackBerry Trennen Sie geschäftliche und private Telefonnummern auf Android-, iOS- oder BlackBerry 10-Geräten voneinander, und teilen Sie so einfach die Kosten für Anrufe, SMS und Daten zwischen einem Unternehmen und seinen Mitarbeitern auf.
BBM Protected Fügen Sie eine zusätzliche Verschlüsselungsschicht zu dem bestehenden BBM-Sicherheitsmodell hinzu.
Enterprise IM Verbinden Sie den Instant Messaging-Server Ihres Unternehmens und die Enterprise IM-App auf BlackBerry 10-Geräten. Benutzer können sichere Instant Messaging-Konversationen auf ihren Geräten starten und verwalten.
BlackBerry Email Compression für Unternehmen
Implementieren Sie Funktionen für die Datenkomprimierung zur Verwaltung und Reduzierung von Datenkosten.
Erste Schritte
25
Unterstützte Leistungsmerkmale nach Gerätetyp
In dieser Kurzanleitung werden die in BES12 Version 12.4 unterstützten Funktionen von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, OS X, Android und Windows miteinander verglichen.
Für die Unterstützung von BlackBerry OS-Geräten wird ein Upgrade von Version BES5 auf BES12 benötigt.
Informationen zu den unterstützten Betriebssystemversionen finden Sie in der Kompatibilitätsmatrix.
Gerätefunktionen
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Drahtlose Aktivierung
√ √ √ √ √ √
Kabelgebundene Aktivierung mit dem BlackBerry Wired Activation Tool
√
Client-App zur Aktivierung erforderlich
√ 1 √ √ 2
Anpassen der Nutzungsbedingungen für die Aktivierung
√ √ √ √ √ 3
Aktivierung nach Gerätemodell einschränken
√ √ √ √ √ 4
Gerätebericht anzeigen und exportieren (z. B.
√ √ √ √ √ √
2
Unterstützte Leistungsmerkmale nach Gerätetyp
26
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Details zur Hardware)
1 Für iOS-Geräte, die beim DEP angemeldet sind, muss die Client-App Benutzern oder Gruppen zugewiesen werden.
2 Nur für Windows Phone 8-Geräte.
3 Nur für Windows 10-Geräte.
4 Nur für Windows Phone 8.x- und Windows 10 Mobile-Geräte.
Sicherheitsmerkmale
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Trennung von geschäftlichen und persönlichen Daten
√ √ √ 1 √ 2 √ 4
Benutzer-Datenschutz für persönliche Daten
√ √ √ 1 √ 2
Verschlüsselung von geschäftlichen Daten im Ruhezustand
√ √ √ 1 √ 2 √ 4
Schutz von Geräten durch Senden von IT-Befehlen
√ √ √ √ √ √
Kontrolle von Gerätefunktionen mithilfe von IT-Richtlinien
√ √ √ √ √ √
Geschäftliche Daten nach einem Zeitraum der Inaktivität löschen
√ √ 1 √ 1
Unterstützte Leistungsmerkmale nach Gerätetyp
27
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Durchsetzung von Kennwortanforderungen
√ √ √ √ √ √
Erzwingen der Verschlüsselung von Medienkarten
√ √ √ 3
Erzwingen der Verschlüsselung des internen Speichers
√ √ √ √
1 Erfordert Secure Work Space oder Good Dynamics-Apps.
2 Erfordert Secure Work Space, Samsung KNOX Workspace, Android for Work oder Good Dynamics-Apps.
3 Nur für Samsung KNOX-Geräte.
4 Nur für Windows 10-Geräte.
Senden von Zertifikaten an Geräte
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Profile für Zertifizierungsstellenzertifikate
√ √ √ √ √
SCEP-Profile √ √ √ √ √ 1
Profile für freigegebenes Zertifikat
√ √ √
Profile für Benutzeranmelde-informationen
√ √ √ √
1 Nur für Windows 10-Geräte.
Unterstützte Leistungsmerkmale nach Gerätetyp
28
Verwaltung von Geschäftsverbindungen für Geräte
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
CalDAV-Profile √ √
CardDAV-Profile √ √
Zertifikats-abrufprofile
√ √ 1 √ 1
Enterprise-Konnektivität
√ √ 1 √ 1
BlackBerry Secure Connect Plus
√ √ 2 √ 3
Exchange ActiveSync E-Mail-Profile
√ √ √ √ 4 √
BlackBerry Secure Gateway Service
√
IMAP/POP3 E-Mail-Profile
√ √ √ √
Proxy-Profile √ √ √ √ √ 5
Profile für die einmalige Anmeldung
√ √
VPN-Profile √ √ √ √ √ 6 √ 7
Wi-Fi-Profile √ √ √ √ √ √
Andere OS-spezifische Profile
• CRL-Profile
• OCSP-Profile
• EDP-Profile (Unternehmensdatenschutzprofile)7
1 Nur für Geräte mit Secure Work Space.
Unterstützte Leistungsmerkmale nach Gerätetyp
29
2 Nur für Geräte mit iOS 9.0 und höher.
3 Nur für Android for Work- und KNOX Workspace-Geräte.
4 Nur für Geräte, auf denen die TouchDown-App installiert ist, Motorola-Geräte, die EDM-API unterstützen, Android for Work-Geräte und KNOX-Geräte.
5 Nur für Windows 10-Geräte (Proxy-Einstellungen in VPN-Profilen konfigurieren) und Windows 10 Mobile-Geräte (Proxy-Einstellungen in Wi-Fi-Profilen konfigurieren).
6 Nur für KNOX Workspace-Geräte.
7 Nur für Windows 10-Geräte.
Verwalten der Gerätestandards für Ihre Organisation
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Aktivierungsprofile √ √ √ √ √
Profile für App-Sperrmodus
√ 1 √ 1
Profile für die Vorschriften-einhaltung
√ √ √ √ 2
Geräteprofile √ √ √ √ 3
Enterprise Management Agent-Profile
√ √ √ √
Good Dynamics-Profile
√ √
Profile für die Standort-bestimmung
√ √ √ 4
Websymbol-Profile √ √
Andere OS-spezifische Profile
• Profil für Gerätedienst-anforderungen
• Zugriffs-steuerungsregeln
• AirPlay-Profile
• AirPrint-Profile
Unterstützte Leistungsmerkmale nach Gerätetyp
30
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
• Softwarekonfiguration
• Benutzerdefinierte Payload-Profile
• Profile mit verwalteten Domänen
• Netzwerknutzungsprofile
• Webinhaltsfilter-Profile
1 Nur für überwachte iOS-Geräte und KNOX-Geräte, die mit MDM-Steuerelemente aktiviert werden.
2 Nur für Windows Phone 8-Geräte.
3 Nur für Windows 10-Geräte.
4 Nur für Windows 10 Mobile-Geräte.
Schützen von verlorenen oder gestohlenen Geräten
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Angeben des Gerätekennworts
√ √ √ √ 1
Gerät sperren √ √ √ √ √ √ 1
Aktivierungssperre √
2
Gerät entsperren und Kennwort löschen
√ √
Unterstützte Leistungsmerkmale nach Gerätetyp
31
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Alle Gerätedaten löschen
√ √ √ √ √ 3 √
Nur Geschäftsdaten löschen
√ √ √ √ √ √
1 Nur für Windows Phone 8.x- und Windows 10 Mobile-Geräte.
2 Nur für Geräte mit iOS 7 und höher.
3 Bei Motorola-Geräten, die die EDM API unterstützen, werden die Informationen auf der Medienkarte ebenfalls gelöscht. Bei Geräten mit KNOX Workspace können Sie optional ebenfalls die Daten auf der Medienkarte löschen.
Konfigurieren des Roaming
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Deaktivieren der automatischen Synchronisierung beim Roaming
√ 1 √ √ 2
Deaktivieren von Daten während des Roaming
√ √ 2 √
1 Nur bei Synchronisierung mit dem E-Mail-Server.
2 Nur für KNOX-Geräte.
Apps verwalten
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
Verteilen von öffentlichen Apps von der Verkaufsplattform (BlackBerry World,
√ √ √ √
Unterstützte Leistungsmerkmale nach Gerätetyp
32
Funktion BlackBerry 10 BlackBerry Betriebssystem
iOS OS X Android Windows
App Store, Google Play, Windows Store)
Verwalten des Katalogs geschäftlicher Apps
√ √ √ √ √
Markenkatalog geschäftlicher Apps
√ √
Gesperrte Apps verwalten
√ √ 1 √ 1
Verteilen interner Apps
√ √ √ √ √
1 Eine Liste mit den gesperrten Apps ist für Android for Work- KNOX Workspace- oder Windows 10-Geräte nicht erforderlich, da nur Apps, die ein Administrator zuweist, im geschäftlichen Bereich installiert werden können.
Unterstützte Leistungsmerkmale nach Gerätetyp
33
Administratoren
Administratoren sind Benutzer, denen über ihre Benutzergruppe oder ihr Benutzerkonto eine Verwaltungsrolle zugewiesen wird. Die Aktionen, die Administratoren durchführen können, hängen von der Rolle ab, die ihnen zugewiesen ist. Sie können eine vorkonfigurierte Rolle oder eine von Ihnen erstellte benutzerdefinierte Rolle zuweisen. Jede Rolle verfügt über einen Satz Berechtigungen, mit denen die Informationen und Aufgaben festgelegt werden, die Administratoren in der BES12-Verwaltungskonsole anzeigen bzw. ausführen können.
Mit Rollen kann Ihre Organisation Folgendes erreichen:
• Geringere Sicherheitsrisiken in Zusammenhang mit der Gewährung von Zugriff auf alle Verwaltungsoptionen für alle Administratoren
• Definieren verschiedener Typen von Administratoren, um Auftragsverantwortlichkeiten besser delegieren zu können
• Höhere Effizienz für Administratoren durch die Einschränkung der verfügbaren Optionen je nach Aufgabenbereich
Schritte zum Einrichten von AdministratorenBeim Einrichten von Administratoren führen Sie die folgenden Aktionen aus:
Schritt Aktion
Passen Sie das Erscheinungsbild der Konsolen an, falls erforderlich.
Erstellen Sie Lesezeichen in den Konsolen, falls erforderlich.
Falls erforderlich, ändern Sie die Sprache für automatisierte E-Mail-Nachrichten.
Falls erforderlich, erstellen Sie einen Anmeldungshinweis für die Konsolen.
Prüfen Sie die vorkonfigurierten Rollen, und, falls erforderlich, erstellen Sie eine benutzerdefinierte Rolle.
Zuweisen eines Rangs zu Rollen.
3
Administratoren
34
Schritt Aktion
Erstellen eines Administrators.
Anpassen des Erscheinungsbilds der KonsolenSie können das Aussehen der Konsolen durch Auswahl eines individuellen Farbschemas anpassen. Die in BES12 ausgewählten Farben werden sowohl auf die Verwaltungskonsole als auch auf die BES12 Self-Service-Konsole angewendet. Das Farbschema kann nicht in der BES12 Self-Service-Konsole ausgewählt werden.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen.
2. Klicken Sie auf Konsole anpassen.
3. Wählen Sie zwei Farben für die Konsole aus. Führen Sie eine der folgenden Aktionen aus:
• Klicken Sie auf das Feld links neben der Farbkodierung, und wählen Sie eine Farbe in der Farbpalette aus.
• Geben Sie eine Farbkodierung in die Auswahlfelder ein.
• Wählen Sie eine Farbe in den Farbbeispielfeldern rechts neben der Farbkodierung aus.
Sie können das Aussehen des Farbschemas im angezeigten Beispiel prüfen.
4. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Melden Sie sich ab und wieder an, um das aktualisierte Farbschema anzuzeigen.
Erstellen von Website-Lesezeichen in den KonsolenSie können Website-Lesezeichen in der BES12-Verwaltungskonsole und in der BES12 Self-Service-Konsole erstellen. Für jede Konsole können unterschiedliche Lesezeichen erstellt werden. Sie können beispielsweise ein Lesezeichen in BES12 Self-Service erstellen, das auf benutzerdefinierte Hilfedateien für die Geräte der Benutzer verweist.
Bevor Sie beginnen: Sie müssen Sicherheitsadministrator sein, um Lesezeichen in den Konsolen erstellen oder bearbeiten zu können.
1. Melden Sie sich bei BES12 oder BES12 Self-Service an.
2. Klicken Sie in der oberen rechten Ecke auf .
3. Fügen Sie unter Webadresse hinzufügen die Lesezeicheninformationen hinzu:
a. Geben Sie einen Namen für das Lesezeichen ein.
Administratoren
35
b. Geben Sie die URL für die Website ein. Die URL muss mit „http://“ oder „https://“ beginnen.
4. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Klicken Sie auf zum Anzeigen Ihrer Lesezeichen. Alle Benutzer können auf die Lesezeichen zugreifen, aber nur ein Sicherheitsadministrator kann Lesezeichen erstellen oder bearbeiten.
Ändern der Sprache für automatisierte E-Mail-NachrichtenIn der Verwaltungskonsole können Sie die Sprache für die automatisierten E-Mail-Nachrichten ändern. BES12 verwendet die Sprache, die Sie angeben, in E-Mails, die Sie nicht bearbeiten können (z. B. Benachrichtigungen über Kennwörter für den Administratorzugriff und Konsolenkennwörter).
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Sprache.
4. In der Dropdown-Liste klicken Sie auf die Sprache, die Sie in automatisierten E-Mail-Nachrichten von BES12 verwenden möchten.
5. Klicken Sie auf Speichern.
Erstellen eines Anmeldungshinweises für die KonsolenSie können einen Anmeldungshinweis für Administratoren oder Benutzer erstellen, der angezeigt wird, wenn diese sich bei der Verwaltungskonsole oder dem BES12 Self-Service anmelden. Der Hinweis informiert die Administratoren oder Benutzer über die an die Verwendung der Verwaltungskonsole oder des BES12 Self-Service geknüpften Geschäftsbedingungen, die diese akzeptieren müssen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Anmeldungshinweise.
4. Klicken Sie auf .
5. Führen Sie eine der folgenden Aufgaben aus:
Administratoren
36
Aufgabe Schritte
Konfigurieren des Anmeldungshinweises für die Verwaltungskonsole
1. Aktivieren Sie das Kontrollkästchen Anmeldungshinweis für die Verwaltungskonsole aktivieren.
2. Geben Sie die Daten ein, die den Administratoren angezeigt werden sollen, wenn diese auf die Verwaltungskonsole zugreifen.
Konfigurieren eines Anmeldungshinweises für BES12 Self-Service
1. Aktivieren Sie das Kontrollkästchen Anmeldungshinweis für die Selbstbedienungskonsole aktivieren.
2. Geben Sie die Daten ein, die den Benutzern angezeigt werden sollen, wenn diese auf den BES12 Self-Service zugreifen.
6. Klicken Sie auf Speichern.
Erstellen und Verwalten von RollenSie können die vorkonfigurierten Rollen, die in BES12 verfügbar sind, prüfen, um zu bestimmen, ob Sie benutzerdefinierte Rollen erstellen oder die Einstellungen einer Rolle ändern müssen, damit sie die Anforderungen Ihres Unternehmens erfüllt. Sie müssen ein Sicherheitsadministrator sein, um benutzerdefinierte Rollen erstellen, Informationen zu einer Rolle anzeigen, Rolleneinstellungen ändern, Rollen löschen und Rollen eine Rangordnung zuweisen zu können.
Vorkonfigurierte RollenDie Rolle des Sicherheitsadministrators in BES12 verfügt über volle Berechtigungen für die Verwaltungskonsole – einschließlich der Erstellung und Verwaltung von Rollen und Administratoren. Mindestens ein Administrator muss ein Sicherheitsadministrator sein.
BES12 enthält neben der Rolle des Sicherheitsadministrators vorkonfigurierte Rollen. Sie können alle Rollen – mit Ausnahme der Rolle des Sicherheitsadministrators – bearbeiten oder löschen.
Bei einem Upgrade von BES5 wird die Rollenkonfiguration in BES5 nach BES12 kopiert.
Falls kein Upgrade von BES5 erfolgt ist, stehen die folgenden vorkonfigurierten Rollen zur Verfügung:
Aufgabenbereich Beschreibung
Sicherheitsadministrator Volle Berechtigungen
Enterprise-Administrator Alle Berechtigungen außer die für die Erstellung und Verwaltung von Rollen und Administratoren
Administratoren
37
Aufgabenbereich Beschreibung
Senior Helpdesk Berechtigungen zur Durchführung fortgeschrittener administrativer Aufgaben
Junior Helpdesk Berechtigungen zur Durchführung grundlegender administrativer Aufgaben
Berechtigungen für vorkonfigurierte RollenIn den folgenden Tabellen werden die Berechtigungen aufgeführt, die für jede vorkonfigurierte Rolle standardmäßig in BES12 eingeschaltet werden. Die Rolle des Sicherheitsadministrators in BES12 verfügt über volle Berechtigungen für die Verwaltungskonsole – einschließlich der Erstellung und Verwaltung von Rollen und Administratoren.
Hinweis: Bei einem Upgrade von BES5 wird die Rollenkonfiguration in BES5 nach BES12 kopiert. Kopierte Rollen haben unter Umständen ähnliche Namen, aber unterschiedliche Berechtigungen. Sie sollten die Berechtigungen für jede Rolle prüfen, um zu bestimmen, ob Sie Berechtigungen aktivieren oder deaktivieren müssen.
Rollen und Administratoren
Standardmäßig enthält die Sicherheitsadministratorrolle in BES12 Berechtigungen zur Erstellung und Verwaltung von Rollen und Administratoren. Diese Berechtigungen sind nicht in der Verwaltungskonsole verfügbar und können nicht für eine andere Rolle eingeschaltet werden.
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Rollen anzeigen √ NA NA NA
Erstellen und Bearbeiten von Rollen
√ NA NA NA
Löschen von Rollen √ NA NA NA
Zuweisen eines Rangs zu Rollen
√ NA NA NA
Administratoren erstellen √ NA NA NA
Administratoren löschen √ NA NA NA
Nicht-administrative Attribute von Administratoren bearbeiten
√ NA NA NA
Kennwort für andere Administratoren ändern
√ NA NA NA
Administratoren
38
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Rollenmitgliedschaft für Administratoren ändern
√ NA NA NA
Benutzer und Geräte
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Benutzer und aktivierte Geräte anzeigen
√ √ √ √
Benutzer erstellen √ √ √
Benutzer bearbeiten √ √ √ √
Benutzerrollen zuweisen √ √ √ √
Benutzer löschen √ √ √
Benutzerliste exportieren √ √
Ein Aktivierungskennwort generieren und E-Mail senden
√ √ √ √
Ein Aktivierungskennwort festlegen
√ √ √ √
Konsolenkennwort festlegen
√ √ √ √
Verwalten von Geräten √ √ √ √
Geschäftlichen Bereich aktivieren
√ √ √ √
Geschäftlichen Bereich deaktivieren
√ √ √ √
Geschäftlichen Bereich sperren
√ √ √ √
Administratoren
39
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Kennwort für geschäftlichen Bereich zurücksetzen
√ √ √ √
Angeben des Gerätekennworts
√ √ √ √
Gerät sperren und Nachricht einrichten
√ √ √ √
Gerät entsperren und Kennwort löschen
√ √ √ √
Nur Geschäftsdaten löschen
√ √ √ √
Alle Gerätedaten löschen √ √ √ √
Geschäftliches Kennwort festlegen und sperren
√ √ √ √
Geräteprotokolle abrufen √ √ √
Aktivierungssperre aktivieren
√ √ √ √
Aktivierungssperre deaktivieren
√ √ √ √
Details zum Gerätestandort anzeigen
√ √ √
Verlauf des Gerätestandorts anzeigen
√ √
Informationen zu Exchange Gatekeeping anzeigen
√ √
Apple DEP-Geräteinformationen anzeigen
√ √ √ √
Administratoren
40
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Registrierungskonfigura-tionen zuweisen
√ √
E-Mail an Benutzer senden √ √ √
Senden einer Aktivierungs-E-Mail an Benutzer
√ √ √
Umgehungsverlauf der Aktivierungssperre anzeigen
√ √
Good Dynamics-Apps verwalten
√ √ √ √
App sperren √ √ √
App entsperren √ √ √ √
App-Daten löschen √ √ √ √
App-Protokollierung steuern
√ √ √
Gruppen
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Gruppeneinstellungen anzeigen
√ √ √ √
Benutzergruppen erstellen und bearbeiten
√ √ √
Benutzerrollen zuweisen √ √ √
Benutzer zu Benutzergruppen hinzufügen oder aus ihnen entfernen
√ √ √
Administratoren
41
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Benutzergruppen löschen √ √
Gerätegruppen erstellen und bearbeiten
√ √ √
Gerätegruppen löschen √ √
Richtlinien und Profile
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
IT-Richtlinien und Profile anzeigen
√ √ √ √
IT-Richtlinien und Profile erstellen und bearbeiten
√ √
IT-Richtlinien und Profile löschen
√ √
Benutzern IT-Richtlinien und Profile zuweisen
√ √ √
Benutzergruppen IT-Richtlinien und Profile zuweisen
√ √ √
Gerätegruppen IT-Richtlinien und Profile zuweisen
√ √ √
IT-Richtlinien und Profilen einen Rang zuweisen
√ √
Administratoren
42
Apps
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Apps und App-Gruppen anzeigen
√ √ √ √
Apps und App-Gruppen erstellen und bearbeiten
√ √
Apps und App-Gruppen löschen
√ √
Benutzern Apps und App-Gruppen zuweisen
√ √ √
Benutzergruppen Apps und App-Gruppen zuweisen
√ √ √
Gerätegruppen Apps und App-Gruppen zuweisen
√ √ √
App-Lizenzen anzeigen √ √ √ √
App-Lizenzen erstellen √ √
App-Lizenzen bearbeiten √ √
App-Lizenzen löschen √ √
Apps oder App-Gruppen eine App-Lizenz zuweisen
√ √ √
Gesperrte Apps
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Gesperrte Apps anzeigen √ √ √ √
Gesperrte Apps erstellen √ √
Gesperrte Apps löschen √ √
Administratoren
43
Einstellungen
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Allgemeine Einstellungen anzeigen
√ √ √
Standards der Aktivierung bearbeiten
√ √
E-Mail-Vorlagen erstellen und bearbeiten
√ √
E-Mail-Vorlagen löschen √ √
Konsolenkennworteinstel-lungen bearbeiten
√ √
Sprache für automatisierte E-Mails bearbeiten
√ √
Einstellung der Selbstbedienungskonsole bearbeiten
√ √
Arbeitsbereichssicherung erstellen und Einstellungen wiederherstellen
√ √
Arbeitsbereichssicherung löschen und Einstellungen wiederherstellen
√ √
Standardvariablen bearbeiten
√ √
Anmeldungshinweise bearbeiten
√ √
Benutzerdefinierte Variablen bearbeiten
√ √
Organisationshinweise bearbeiten
√ √
Administratoren
44
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Einstellungen für Standortbestimmung bearbeiten
√ √
Einstellungen für Farbschema bearbeiten
√ √
Einstellungen zum Ablauf des Löschbefehls bearbeiten
√ √
Nachweiseinstellungen bearbeiten
√ √
App-Verwaltung anzeigen √ √ √ √
BlackBerry World for Work bearbeiten
√ √
Speicher für interne Apps bearbeiten
√ √
Windows Phone 8-Apps bearbeiten
√ √
Bearbeiten von Work Apps für iOS
√ √
Windows 10-Apps bearbeiten
√ √
Externe Integrationseinstellungen anzeigen
√ √ √
Einstellungen für Apple-Push-Benachrichtigungen bearbeiten
√ √
SMTP-Servereinstellungen bearbeiten
√ √
Administratoren
45
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Apple DEP-Einstellungen bearbeiten
√ √
Einstellungen für Unternehmensverzeichnis bearbeiten
√ √
Einstellungen zumMicrosoft Exchange-Gatekeeping bearbeiten
√ √
Android for Work-Einstellungen bearbeiten
√ √
Einstellungen für Zertifizierungsstelle bearbeiten
√ √
Einstellungen für die Samsung KNOX-Massenregistrierung bearbeiten
√ √
Vertrauenswürdige Zertifikate anzeigen
√ √
Vertrauenswürdige Zertifikate hinzufügen
√ √
Vertrauenswürdige Zertifikate löschen
√ √
BlackBerry Connectivity Node-Server anzeigen
√ √
BlackBerry Connectivity Node-Server erstellen und bearbeiten
√ √
BlackBerry Connectivity Node-Server löschen
√ √
Administratoren
46
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
BlackBerry Secure Gateway Service-Einstellungen anzeigen
√ √
BlackBerry Secure Gateway Service-Einstellungen bearbeiten
√ √
Administratorbenutzer und -rollen anzeigen
√ √ √
Lizenzierungszusammen-fassung anzeigen
√ √ √
Lizenzeinstellungen bearbeiten
√ √
Migrationseinstellungen anzeigen
√ √
Migrationseinstellungen bearbeiten
√ √
BlackBerry Work Connect Notification Service-Einstellungen anzeigen
√ √ √
BlackBerry Work Connect Notification Service-Einstellungen bearbeiten
√ √
Infrastruktureinstellungen anzeigen
√ √ √
Protokollierungseinstel-lungen bearbeiten
√ √
Serverseitige Proxyeinstellungen bearbeiten
√ √
Server anzeigen √ √
Administratoren
47
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Server bearbeiten √ √
Server löschen √ √
Server verwalten √ √
Überwachungseinstellun-gen anzeigen
√ √
Überwachungseinstellun-gen bearbeiten und Daten entfernen
√ √
BlackBerry Secure Connect Plus-Einstellungen anzeigen
√ √
BlackBerry Secure Connect Plus-Einstellungen bearbeiten
√ √
Serverzertifikate anzeigen √ √
Serverzertifikate aktualisieren
√ √
Good Control-Einstellungen anzeigen
√ √ √
Good Control-Einstellungen bearbeiten
√ √
SNMP-Einstellungen bearbeiten
√ √
Einstellungen für Collaboration Service anzeigen
√ √ √
Einstellungen für Collaboration Service bearbeiten
√ √
Administratoren
48
Dashboard
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Dashboard anzeigen √ √ √ √
Überwachung
Berechtigung Sicherheitsadminis-trator
Enterprise-Administrator
Senior Helpdesk Junior Helpdesk
Überwachungsinformatio-nen anzeigen
√ √
BlackBerry OS-Berechtigungen
Bei einem Upgrade von BES5 stehen die folgenden zusätzlichen Berechtigungen zur Verfügung:
• BlackBerry OS-IT-Richtlinien anzeigen
• BlackBerry OS-IT-Richtlinien erstellen und bearbeiten
• BlackBerry OS-IT-Richtlinien löschen
• Aufträge anzeigen
• Aufträge bearbeiten
• Standardverteilungseinstellungen für Aufträge anzeigen
• Standardverteilungseinstellungen für Aufträge bearbeiten
• Aufträge verwalten
• Status von Aufträgen ändern
Erstellen einer benutzerdefinierten RolleWenn die vorkonfigurierten Rollen, die in BES12 verfügbar sind, nicht die Anforderungen Ihres Unternehmens erfüllen, können Sie benutzerdefinierte Rollen für Administratoren erstellen. Außerdem können Sie benutzerdefinierte Rollen erstellen, um administrative Aufgaben auf eine definierte Liste von Benutzergruppen zu beschränken. So können Sie beispielsweise eine Rolle für neue Administratoren erstellen, die deren Berechtigungen auf eine Benutzergruppe nur zu Schulungszwecken beschränkt.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können eine benutzerdefinierte Rolle erstellen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
Administratoren
49
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Klicken Sie auf Rollen.
4. Klicken Sie auf .
5. Geben Sie einen Namen und eine Beschreibung für die Rolle ein.
6. Um Berechtigungen einer anderen Rolle zu kopieren, klicken Sie auf eine Rolle in der Dropdown-Liste Berechtigungen von Rolle übernommen.
7. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Administratoren in dieser Rolle ermöglichen, alle Firmenverzeichnisse zu durchsuchen
1. Wählen Sie die Option Alle Firmenverzeichnisse aus.
Administratoren in dieser Rolle ermöglichen, ausgewählte Unternehmensverzeichnisse zu durchsuchen
1. Wählen Sie die Option Nur ausgewählte Unternehmensverzeichnisse aus.
2. Klicken Sie auf Verzeichnisse auswählen.
3. Wählen Sie ein oder mehrere Verzeichnisse aus, und klicken Sie auf .
4. Klicken Sie auf Speichern.
8. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Administratoren in dieser Rolle ermöglichen, alle Benutzer und Gruppen zu verwalten
1. Wählen Sie die Option Alle Gruppen und Benutzer aus.
Administratoren in dieser Rolle ermöglichen, ausgewählte Gruppen zu verwalten
1. Wählen Sie die Option Nur ausgewählte Gruppen aus.
2. Klicken Sie auf Gruppen auswählen.
3. Wählen Sie eine oder mehrere Gruppen aus, und klicken Sie auf .
4. Klicken Sie auf Speichern.
9. Konfigurieren Sie die Berechtigungen für Administratoren in dieser Rolle.
10. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Weisen Sie den Rollen einen Rang zu.
Verwandte InformationenZuweisen eines Rangs zu Rollen, auf Seite 53
Administratoren
50
Anzeigen einer RolleSie können die folgenden Informationen zu einer Rolle anzeigen:
• Unternehmensverzeichnisse, die Administratoren in der Rolle suchen können.
• Benutzergruppen, die Administratoren in der Rolle verwalten können.
• Berechtigungen für Administratoren in der Rolle.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können Rollen ansehen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Klicken Sie auf Rollen.
4. Klicken Sie auf den Namen der Rolle, die Sie anzeigen möchten.
Ändern der RolleneinstellungenSie können die Einstellungen aller Rollen – mit Ausnahme der Rolle des Sicherheitsadministrators – ändern.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können die Rolleneinstellungen ändern.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Klicken Sie auf Rollen.
4. Klicken Sie auf den Namen der Rolle, die Sie ändern möchten.
5. Klicken Sie auf .
6. Um in ein anderes Verzeichnis zu wechseln, führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Administratoren in dieser Rolle ermöglichen, alle Firmenverzeichnisse zu durchsuchen
1. Wählen Sie die Option Alle Firmenverzeichnisse aus.
Administratoren in dieser Rolle ermöglichen, ausgewählte Unternehmensverzeichnisse zu durchsuchen
1. Wählen Sie die Option Nur ausgewählte Unternehmensverzeichnisse aus.
2. Klicken Sie auf Verzeichnisse auswählen.
3. Wählen Sie ein oder mehrere Verzeichnisse aus, und klicken Sie auf .
4. Klicken Sie auf Speichern.
Administratoren
51
7. Um die Gruppenverwaltung zu ändern, führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Administratoren in dieser Rolle ermöglichen, alle Benutzer und Gruppen zu verwalten
1. Wählen Sie die Option Alle Gruppen und Benutzer aus.
Administratoren in dieser Rolle ermöglichen, ausgewählte Gruppen zu verwalten
1. Wählen Sie die Option Nur ausgewählte Gruppen aus.
2. Klicken Sie auf Gruppen auswählen.
3. Wählen Sie eine oder mehrere Gruppen aus, und klicken Sie auf .
4. Klicken Sie auf Speichern.
8. Ändern Sie die Berechtigungen für Administratoren in dieser Rolle.
9. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Ändern Sie ggf. die Rangfolge der Rollen.
Verwandte InformationenZuweisen eines Rangs zu Rollen, auf Seite 53
Löschen einer RolleSie können alle Rollen – mit Ausnahme der Rolle des Sicherheitsadministrators – löschen.
Bevor Sie beginnen:
• Nur Sicherheitsadministratoren können Rollen löschen.
• Entfernen Sie die Rolle aus allen Benutzerkonten und Benutzergruppen, denen sie zugeordnet ist.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Klicken Sie auf Rollen.
4. Klicken Sie auf den Namen der Rolle, die Sie löschen möchten.
5. Klicken Sie auf .
Verwandte InformationenSo wählt BES12 die zuzuweisende Rolle aus, auf Seite 53
Administratoren
52
So wählt BES12 die zuzuweisende Rolle ausJedem Administrator wird nur eine Rolle zugewiesen. BES12 verwendet die folgenden Regeln, um zu bestimmen, welche Rolle einem Administrator zugewiesen wird:
• Eine Rolle, die einem Benutzerkonto direkt zugewiesen wird, hat Vorrang vor einer indirekt von einer Benutzergruppe zugewiesenen Rolle.
• Wenn ein Administrator Mitglied mehrerer Benutzergruppen mit verschiedenen Rollen ist, weist BES12 die Rolle mit der höchsten Rangordnung zu.
Zuweisen eines Rangs zu RollenDie Rangordnung legt fest, welche Rolle BES12 einem Administrator zuweist, wenn er Mitglied mehrerer Benutzergruppen ist, die verschiedene Rollen haben.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können Rollen einen Rang zuweisen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Klicken Sie auf Rollen.
4. Verwenden Sie die Pfeile, um die Rollen in der Rangordnung nach oben oder unten zu verschieben.
5. Klicken Sie auf Speichern.
Festlegen der Mindestkomplexität des Kennworts für lokale AdministratorenSie können die Mindestlänge und Komplexität von Kennwörtern für lokale Administratorkonten festlegen. Die Einstellung wird wirksam, wenn Administratoren ihr Konsolenkennwort ändern.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Standortbestimmung.
2. Geben Sie im Feld Mindestzahl von Zeichen an, wie viele Zeichen ein Konsolenkennwort mindestens aufweisen muss.
3. Wählen Sie im Feld Mindestkomplexität des Kennworts aus, welche Komplexität das Konsolenkennwort aufweisen muss:
• Keine Einschränkung
• 1 Buchstabe, 1 Zahl
• 1 Buchstabe, 1 Zahl, 1 Sonderzeichen
• 1 Großbuchstabe und 1 Kleinbuchstabe, 1 Zahl, 1 Sonderzeichen
Administratoren
53
4. Klicken Sie auf Speichern.
Erstellen eines AdministratorsSie können einen Administrator erstellen, indem Sie einem Benutzerkonto oder einer Benutzergruppe eine Rolle hinzufügen. Die Benutzergruppe kann eine per Verzeichnis verknüpften Gruppe oder lokale Gruppe sein. Sie können eine Rolle einem Benutzer und jeder Gruppe hinzufügen, der er angehört, und BES12 weist nur eine der Rollen dem Benutzer zu.
Bevor Sie beginnen:
• Nur Sicherheitsadministratoren können Administratoren erstellen.
• Erstellen Sie ein Benutzerkonto, mit dem eine E-Mail-Adresse verknüpft ist.
• Erstellen Sie bei Bedarf eine Benutzergruppe.
• Erstellen Sie bei Bedarf eine benutzerdefinierte Rolle.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Hinzufügen einer Rolle zu einem Benutzerkonto
1. Klicken Sie auf Benutzer.
2. Klicken Sie auf .
3. Suchen Sie bei Bedarf nach einem Benutzerkonto.
4. Klicken Sie auf den Namen des Benutzerkontos.
5. Klicken Sie in der Dropdown-Liste Rolle auf die Rolle, die Sie hinzufügen möchten.
6. Klicken Sie auf Speichern.
Eine Rolle zu einer Benutzergruppe hinzufügen
1. Klicken Sie auf Gruppen.
2. Klicken Sie auf .
3. Suchen Sie bei Bedarf nach einer Benutzergruppe.
4. Klicken Sie auf den Namen der Benutzergruppe.
5. Klicken Sie in der Dropdown-Liste Rolle auf die Rolle, die Sie hinzufügen möchten.
6. Klicken Sie auf Speichern.
Administratoren
54
BES12 sendet den Administratoren eine E-Mail mit deren Benutzernamen und einem Link zur Verwaltungskonsole. BES12 sendet den Administratoren zudem eine separate E-Mail mit deren Kennwort für die Verwaltungskonsole. Wenn ein Administrator noch kein Konsolenkennwort hat, generiert BES12 ein temporäres Kennwort und sendet es an den Administrator.
Wenn Sie fertig sind: Fügen Sie bei Bedarf Benutzerkonten zu einer Benutzergruppe hinzu, der eine Rolle zugewiesen wurde. Nur Sicherheitsadministratoren können Mitglieder hinzufügen oder aus einer Benutzergruppe entfernen, der eine Rolle zugewiesen ist.
Verwandte InformationenSo wählt BES12 die zuzuweisende Rolle aus, auf Seite 53Erstellen einer benutzerdefinierten Rolle, auf Seite 49Erstellen und Verwalten von Benutzergruppen, auf Seite 239Erstellen und Verwalten von Benutzerkonten, auf Seite 255
Rollenmitgliedschaft für Administratoren ändernSie können die Rolle, die direkt anderen Administratoren zugewiesen ist, ändern. Sie können Ihre eigene Rolle nicht ändern.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können die Rollenmitgliedschaft für Administratoren ändern.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Ändern der Rolle, die einem Benutzerkonto zugewiesen ist
1. Klicken Sie auf Benutzer.
2. Suchen Sie bei Bedarf nach einem Benutzerkonto.
3. Klicken Sie auf den Namen des Benutzerkontos.
4. Klicken Sie in der Dropdown-Liste Rolle auf die Rolle, die Sie zuweisen möchten.
5. Klicken Sie auf Speichern.
Ändern der Rolle, die einer Benutzergruppe zugewiesen ist
1. Klicken Sie auf Gruppen.
2. Suchen Sie bei Bedarf nach einer Benutzergruppe.
3. Klicken Sie auf den Namen der Benutzergruppe.
4. Klicken Sie in der Dropdown-Liste Rolle auf die Rolle, die Sie zuweisen möchten.
5. Klicken Sie auf Speichern.
Verwandte Informationen
Administratoren
55
So wählt BES12 die zuzuweisende Rolle aus, auf Seite 53
Löschen eines AdministratorsSie können einen Administrator löschen, indem Sie eine Rolle entfernen, die direkt einem Benutzerkonto oder einer Benutzergruppe zugewiesen ist. Wenn Sie eine Rolle aus einer Benutzergruppe entfernen, wird die Rolle von jedem Benutzer entfernt, der der Gruppe angehört. Wenn keine weiteren Rollen zugewiesen wurden, ist der Benutzer kein Administrator mehr. Benutzerkonten und Benutzergruppen bleiben in der Verwaltungskonsole, und Geräte sind nicht betroffen.
Hinweis: Mindestens ein Administrator muss ein Sicherheitsadministrator sein.
Bevor Sie beginnen: Nur Sicherheitsadministratoren können Administratoren löschen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Administratoren.
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Entfernen einer Rolle aus einem Benutzerkonto
1. Klicken Sie auf Benutzer.
2. Wählen Sie das Benutzerkonto aus, aus welchem Sie die Rolle entfernen möchten.
3. Klicken Sie auf .
4. Klicken Sie auf Löschen.
Entfernen einer Rolle aus einer Benutzergruppe
1. Klicken Sie auf Gruppen.
2. Wählen Sie die Benutzergruppe aus, aus welcher Sie die Rolle entfernen möchten.
3. Klicken Sie auf .
4. Klicken Sie auf Löschen.
Administratoren
56
Profile
Profile enthalten Konfigurationsinformationen für Geräte; jeder Profiltyp unterstützt eine spezifische Konfiguration, z. B. Zertifikate, Einstellungen für Geschäftsverbindungen oder Einstellungen, die bestimmte Standards für Geräte durchsetzen. Sie können Einstellungen für BlackBerry 10-, iOS-, OS X-, Android- und Windows-Geräte im selben Profil angeben und die Konfigurationsinformationen dann an Geräte verteilen, indem Sie Benutzerkonten, Benutzergruppen oder Gerätegruppen das Profil zuweisen.
Profile tragen dazu bei, die Geräte in Ihrem Unternehmen effizient zu konfigurieren. Wenn Sie viele verschiedene Einstellungen definieren oder eine große Anzahl von Geräten konfigurieren müssen, ermöglichen Ihnen Profile das Speichern aller Einstellungen für eine Konfiguration an einem Ort sowie eine schnelle Bereitstellung der Einstellungen an die entsprechenden Geräte.
Zuweisen von ProfilenSie können Benutzerkonten, Benutzergruppen und Gerätegruppen Profile zuweisen. Einige Profiltypen verfügen möglicherweise über eine Rangfolge, um zu bestimmen, welches Profil an ein Gerät gesendet wird.
• Profiltyp mit Rangfolge: Sie können einem Benutzer ein Profil und den einzelnen Gruppen, denen der Betreffende angehört, ebenfalls ein Profil zuweisen. BES12 sendet nur eines der zugewiesenen Profile an das Benutzergerät.
• Profiltyp ohne Rangfolge: Sie können einem Benutzer mehrere Profile und den einzelnen Gruppen, denen der Betreffende angehört, ebenfalls mehrere Profile zuweisen. BES12 sendet alle zugewiesenen Profile an das Benutzergerät.
Hinweis: Sie können einer Gerätegruppe kein Aktivierungsprofil zuweisen.
Benutzer- oder Gruppenzuweisung Profiltypen
Ein Profil jedes Typs kann zugewiesen werden
Die folgenden Profiltypen mit Rangfolge stehen in BES12 zur Verfügung:
• Aktivierung
• App-Sperrmodus
• Zertifikatsabruf
• Kompatibilität
• CRL
• Gerät
• Gerätedienstanforderungen
4
Profile
57
Benutzer- oder Gruppenzuweisung Profiltypen
• Enterprise-Konnektivität
• Enterprise Management Agent
• Good Dynamics
• Standortbestimmung
• Netzwerknutzung
• OCSP
• Proxy
• Einmalige Anmeldung
• Strong Authentication
Mehrere Profile jedes Typs können zugewiesen werden
Die folgenden Profiltypen ohne Rangfolge stehen in BES12 zur Verfügung:
• AirPlay
• AirPrint
• Zertifizierungsstellenzertifikat
• CalDAV
• CardDAV
• Benutzerdefinierte Payload
• IMAP/POP3-E-Mail
• Verwaltete Domänen
• SCEP
• Freigegebenes Zertifikat
• Benutzeranmeldeinformationen
• VPN
• Webinhaltsfilter
• Websymbol
• Wi-Fi
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269So wählt BES12 die zuzuweisenden Profile aus, auf Seite 59Profilen einen Rang zuweisen, auf Seite 62
Profile
58
So wählt BES12 die zuzuweisenden Profile ausFür Profiltypen mit Rangfolge sendet BES12 nur ein Profil jedes Typs an ein Gerät und verwendet vordefinierte Regeln, um zu bestimmen, welches Profil einem Benutzer und den Geräten, die der Benutzer aktiviert, zugewiesen werden soll.
Zugewiesen zu Regeln
Benutzerkonto
(Registerkarte „Zusammenfassung“)
1. Ein direkt einem Benutzerkonto zugewiesenes Profil hat Vorrang vor einem Profil desselben Typs, das indirekt nach Benutzergruppe zugewiesen ist.
2. Wenn ein Benutzer ein Mitglied mehrerer Benutzergruppen ist, die verschiedene Profile desselben Typs haben, weist BES12 das Profil mit der höchsten Rangordnung zu.
3. Falls zutreffend, wird das vorkonfigurierte Standardprofil zugewiesen, wenn einem Benutzerkonto kein Profil direkt oder durch Gruppenmitgliedschaft zugewiesen wird.
Hinweis: BES12 umfasst ein Standard-Aktivierungsprofil, ein Standard-Kompatibilitätsprofil, ein Standardprofil für die Enterprise-Konnektivität und ein Enterprise Management Agent-Standardprofil mit vorkonfigurierten Einstellungen für jeden Gerätetyp.
Gerät
(Registerkarte „Gerät anzeigen“)
Standardmäßig erbt ein Gerät das Profil, das BES12 dem Benutzer zuweist, der das Gerät aktiviert. Wenn ein Gerät einer Gerätegruppe angehört, gelten die folgenden Regeln:
1. Ein einer Gerätegruppe zugewiesenes Profil hat Vorrang vor dem Profil desselben Typs, das BES12 einem Benutzerkonto zuweist.
2. Wenn ein Gerät ein Mitglied mehrerer Gerätegruppen ist, die verschiedene Profile desselben Typs haben, weist BES12 das Profil mit der höchsten Rangordnung zu.
BES12 muss unter Umständen in Konflikt stehende Profile auflösen, falls Sie eine der folgenden Aktionen ausführen:
• Zuweisen eines Profils zu einem Benutzerkonto, zu einer Benutzergruppe oder Gerätegruppe
• Entfernen eines Profils aus einem Benutzerkonto, aus einer Benutzergruppe oder Gerätegruppe
• Ändern der Rangordnung von Profilen
• Löschen eines Profils
• Ändern der Zugehörigkeit in einer Benutzergruppe (Benutzerkonten und verschachtelte Gruppen)
• Ändern von Geräteattributen
• Ändern der Mitgliedschaft in einer Gerätegruppe
Profile
59
• Löschen einer Benutzergruppe oder Gerätegruppe
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Zuweisen von Profilen, auf Seite 57Profilen einen Rang zuweisen, auf Seite 62
Verwalten von ProfilenIn der Bibliothek „Richtlinien und Profile“ können Sie die Profile verwalten, die Ihre Organisation verwendet. Sie können Profile kopieren, Informationen zu einem Profil anzeigen, die Profileinstellungen ändern, ein Profil aus Benutzerkonten oder Benutzergruppen entfernen, Profile löschen und Profile nach Rang sortieren.
Kopieren eines ProfilsSie können bestehende Profile zur schnellen Erstellung ähnlicher Profile für verschiedene Gruppen in Ihrem Unternehmen kopieren.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
3. Klicken Sie auf den Namen des Profils, das Sie kopieren möchten.
4. Klicken Sie auf .
5. Geben Sie einen Namen und eine Beschreibung für das neue Profil ein.
6. Nehmen Sie die gewünschten Änderungen für jeden Gerätetyp auf der entsprechenden Registerkarte vor.
7. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Anzeigen eines ProfilsSie können die folgenden Informationen zu einem Profil anzeigen:
• Einstellungen, die für alle Gerätetypen gelten und die für jeden Gerätetyp individuell sind
• Liste und Anzahl der Benutzerkonten, denen das Profil zugewiesen ist (direkt und indirekt)
• Liste und Anzahl der Benutzergruppen, denen das Profil zugewiesen ist (direkt)
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
Profile
60
3. Klicken Sie auf den Namen des Profils, das Sie anzeigen möchten.
Ändern der ProfileinstellungenWenn Sie ein Aktivierungsprofil aktualisieren, gelten die neuen Profileinstellungen nur für zusätzliche Geräte, die ein Benutzer aktiviert. Bereits aktivierte Geräte verwenden die neuen Profileinstellungen erst, nachdem sie der Benutzer erneut aktiviert hat.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
3. Klicken Sie auf den Namen des Profils, das Sie ändern möchten.
4. Klicken Sie auf .
5. Nehmen Sie Änderungen an allen allgemeinen Einstellungen vor.
6. Nehmen Sie die gewünschten Änderungen für jeden Gerätetyp auf der entsprechenden Registerkarte vor.
7. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Entfernen eines Profils aus Benutzerkonten oder BenutzergruppenWenn ein Profil direkt den Benutzerkonten oder Benutzergruppen zugewiesen wurde, können Sie es aus den Benutzern oder Gruppen entfernen. Wenn ein Profil indirekt durch die Benutzergruppe zugewiesen ist, können Sie das Profil oder die Benutzerkonten aus der Gruppe entfernen. Wenn Sie ein Profil aus Benutzergruppen entfernen, wird das Profil aus jedem Benutzer entfernt, der den ausgewählten Gruppen angehört.
Hinweis: Das Standard-Aktivierungsprofil, Standard-Kompatibilitätsprofil, das Standardprofil für Enterprise-Konnektivität und das Enterprise Management Agent-Standardprofil können nur aus einem Benutzerkonto gelöscht werden, wenn die Profile dem Benutzer direkt zugewiesen wurden.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
3. Klicken Sie auf den Namen des Profils, das Sie aus Benutzerkonten oder Benutzergruppen löschen möchten.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Entfernen eines Profils aus Benutzerkonten
1. Klicken Sie auf die Registerkarte Benutzern zugewiesen.
2. Suchen Sie ggf. nach den Benutzerkonten.
Profile
61
Aufgabe Schritte
3. Wählen Sie die Benutzerkonten aus, aus denen Sie das Profil entfernen möchten.
4. Klicken Sie auf .
Entfernen eines Profils aus Benutzergruppen
1. Klicken Sie auf die Registerkarte Gruppen zugewiesen.
2. Suchen Sie ggf. nach den Benutzergruppen.
3. Wählen Sie die Benutzergruppen aus, aus denen Sie das Profil entfernen möchten.
4. Klicken Sie auf .
Verwandte InformationenSo wählt BES12 die zuzuweisenden Profile aus, auf Seite 59
Löschen eines ProfilsWenn Sie ein Profil löschen, entfernt BES12 das Profil aus den Benutzern und Geräten, mit denen eine Verknüpfung besteht. Um ein Profil zu löschen, das anderen Profilen zugewiesen ist, müssen Sie zuvor alle vorhandenen Verknüpfungen entfernen. Bevor Sie beispielsweise ein Proxy-Profil löschen können, das mit einem VPN-Profil und einem Wi-Fi-Profil verknüpft ist, müssen Sie den Wert des verknüpften Proxy-Profils sowohl im VPN-Profil als auch im Wi-Fi-Profil ändern.
Hinweis: Sie können das Standard-Aktivierungsprofil, das Standard-Kompatibilitätsprofil, das Standardprofil für Enterprise-Konnektivität oder das Standard-Enterprise Management Agent-Profil nicht löschen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
3. Klicken Sie auf den Namen des Profils, das Sie löschen möchten.
4. Klicken Sie auf .
5. Klicken Sie auf Löschen.
Verwandte InformationenSo wählt BES12 die zuzuweisenden Profile aus, auf Seite 59
Profilen einen Rang zuweisenMithilfe der Rangordnung lässt sich festlegen, welches Profil in den folgenden Szenarien BES12 an ein Gerät sendet:
• Ein Benutzer ist Mitglied in mehreren Benutzergruppen, die unterschiedliche Profile des gleichen Typs aufweisen.
Profile
62
• Ein Gerät ist Mitglied in mehreren Gerätegruppen, die unterschiedliche Profile des gleichen Typs aufweisen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie einen Profiltyp.
3. Klicken Sie auf Rank <profile_type> Profile.
4. Mit den Pfeiltasten können Sie die Profile in der Rangordnung nach oben oder unten verschieben.
5. Klicken Sie auf Speichern.
Verwandte InformationenZuweisen von Profilen, auf Seite 57So wählt BES12 die zuzuweisenden Profile aus, auf Seite 59
Profile
63
Variablen
BES12 unterstützt Standardvariablen und benutzerdefinierte Variablen. Standardvariablen stehen für standardmäßige Kontoattribute (z. B. Benutzername) und andere vordefinierte Attribute (z. B. die zur Geräteaktivierung verwendete Serveradresse). Sie können benutzerdefinierte Variablen verwenden, um zusätzliche Attribute zu definieren.
Sie können Variablen in Profilen verwenden sowie Benachrichtigungen zur Vorschrifteneinhaltung und Aktivierungs-E-Mail-Nachrichten individuell anpassen. Sie können Variablen verwenden, um anstatt der Angabe der tatsächlichen Werte diese zu referenzieren. Wenn das Profil, die Benachrichtigung zur Vorschrifteneinhaltung oder die Aktivierungs-E-Mail-Nachricht an die Geräte gesendet werden, werden alle Variablen durch die Werte ersetzt, die diese darstellen.
Hinweis: IT-Richtlinien unterstützen keine Variablen.
Verwenden von Variablen in ProfilenVariablen tragen in Profilen dazu bei, die Profile für die Benutzer in Ihrer Organisation effizient zu verwalten. Variablen bieten den Profilen mehr Flexibilität und können dazu beitragen, die Anzahl der Profile zu begrenzen, die Sie für jeden Profiltyp benötigen. Beispielsweise können Sie ein einzelnes VPN-Profil für mehrere Benutzer erstellen, in dem die Variable „%UserName%“ festgelegt ist, anstatt für jeden Benutzer ein separates VPN-Profil anzulegen, in dem der tatsächliche Wert des Benutzernamen angegeben wird.
Abgesehen von den Feldern „Name“ und „Beschreibung“ können Sie in jedem Textfeld eines Profils eine Variable verwenden. Beispielsweise können Sie „%UserName%@example.com“ in einem E-Mail-Profil im Feld „E-Mail-Adresse“ verwenden.
In Kompatibilitätsprofilen können Sie Variablen verwenden, um die Benachrichtigungen zur Vorschrifteneinhaltung anzupassen, die BES12 an die Benutzer versendet.
StandardvariablenDie folgenden Standardvariablen sind in BES12 verfügbar:
Name der Variablen Beschreibung Primäre Nutzung
%ActivationPassword% Das Aktivierungskennwort, das automatisch generiert wird, oder das Sie für einen Benutzer festlegen
Aktivierungs-E-Mail-Nachrichten
%ActivationPasswordExpiry% Datum und Uhrzeit, an dem ein Aktivierungskennwort abläuft
Aktivierungs-E-Mail-Nachrichten
5
Variablen
64
Name der Variablen Beschreibung Primäre Nutzung
%ActivationURL% Webadresse des Servers, der Aktivierungsanfragen erhält
Aktivierungs-E-Mail-Nachrichten
%ActivationUserName% Benutzername für Aktivierungsanfragen
Entspricht %UserEmailAddress% (falls verfügbar für einen Benutzer) oder SRP ID\%UserName%
Aktivierungs-E-Mail-Nachrichten
%AdminPortalURL% Webadresse der BES12-Verwaltungskonsole E-Mail-Nachrichten Administratorzugriff (kann nicht vom Benutzer definiert werden)
%ClientlessActivationURL% Webadresse des Servers, der Aktivierungsanfragen von Geräten mit Windows 10 und höher erhält
Aktivierungs-E-Mail-Nachrichten
%ComplianceApplicationList% Liste der Apps, die gegen Kompatibilitätsregeln verstoßen (nicht zugewiesene Apps sind installiert, erforderliche Apps sind nicht installiert oder gesperrte Apps sind installiert)
Benachrichtigungen zur Vorschrifteneinhaltung
%ComplianceEnforcementAction% Erzwingungsaktion, die BES12 durchführt, wenn ein Gerät nicht konform ist
Benachrichtigungen zur Vorschrifteneinhaltung
%ComplianceEnforcementActionWithDescription%
Erzwingungsaktion, die BES12 durchführt, wenn ein Gerät nicht konform ist, ergänzt durch eine Beschreibung der Erzwingungsaktion
Benachrichtigungen zur Vorschrifteneinhaltung
%ComplianceRuleViolated% Kompatibilitätsregel, die ein Gerät verletzt hat Benachrichtigungen zur Vorschrifteneinhaltung
%DeviceIMEI% International Mobile Equipment Identity-Nummer (IMEI) eines Geräts
Profile
%DeviceModel% Modellnummer eines Geräts Benachrichtigungen zur Vorschrifteneinhaltung
%RsaRootCaCertUrl% Webadresse des RSA-Root-Zertifizierungsstellenzertifikats
Aktivierungs-E-Mail-Nachrichten
%SerialNumber% Seriennummer eines Geräts Betreffeinstellung in SCEP-Profilen
%SSLCertName% Gemeinsamer Name des Zertifikats für sichere Kommunikation
Aktivierungs-E-Mail-Nachrichten
Variablen
65
Name der Variablen Beschreibung Primäre Nutzung
%SSLCertSHA% Fingerabdruck des Zertifikats für sichere Kommunikation
Aktivierungs-E-Mail-Nachrichten
%UserDisplayName% Anzeigename eines Benutzers Aktivierungs-E-Mail-Nachrichten, Profile
%UserDisplayName_RDNValue% Anzeigename eines Benutzers mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Betreffeinstellung in SCEP-Profilen
%UserDistinguishedName% Definierter Name eines Verzeichnisbenutzers mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Bei lokalen Benutzern identisch mit %UserName_RDNValue%
Betreffeinstellung in SCEP-Profilen
%Benutzerdomäne% Microsoft Active Directory-Domäne, der ein Verzeichnisbenutzer angehört
Profile
%UserDomain_RDNValue% Microsoft Active Directory-Domäne, der ein Benutzerverzeichnis angehört, mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Betreffeinstellung in SCEP-Profilen
%Benutzer-E-Mail-Adresse% E-Mail-Adresse eines Benutzers Aktivierungs-E-Mail-Nachrichten, Profile
%UserEmailAddress_RDNValue% E-Mail-Adresse eines Benutzers mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Betreffeinstellung in SCEP-Profilen
%Benutzername% Benutzername eines Benutzers Aktivierungs-E-Mail-Nachrichten, Profile
%UserName_RDNValue% Benutzername eines Benutzers mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Betreffeinstellung in SCEP-Profilen
%UserPrincipalName% Prinzipalname des Verzeichnisbenutzers
Bei einem lokalen Benutzer identisch mit %UserEmailAddress%
Profile
Variablen
66
Name der Variablen Beschreibung Primäre Nutzung
%UserPrincipalName_RDNValue% Prinzipalname eines Verzeichnisbenutzers mit Sonderzeichen-Maskierung gemäß LDAP-DN-Spezifikation
Bei lokalen Benutzern identisch mit %UserEmailAddress_RDNValue%
Betreffeinstellung in SCEP-Profilen
%UserSelfServicePortalURL% Webadresse von BES12 Self-Service Aktivierungs-E-Mail-Nachrichten
Wenn Sie eine hohe Verfügbarkeit für die Verwaltungskonsole in derBES12-Domäne konfigurieren, empfiehlt es sich, die Variablen %AdminPortalURL% und %UserSelfServicePortal% zu aktualisieren. Weitere Informationenfinden Sie in der Dokumentation zur Konfiguration.
Benutzerdefinierte VariablenSie verwenden Kennzeichen, um die Attribute und Kennwörter zu definieren, die von den benutzerdefinierten Variablen dargestellt werden. Beispielsweise können Sie „VPN-Kennwort“ als Kennzeichen für die Variable „%custom_pswd1%“ verwenden. Wenn Sie ein Benutzerkonto erstellen oder aktualisieren, werden die Kennzeichen als Feldnamen verwendet, und Sie legen die entsprechenden Werte für die benutzerdefinierten Variablen fest, die Ihre Organisation verwendet. Alle Benutzerkonten, einschließlich der Administrator-Benutzerkonten, unterstützen benutzerdefinierte Variablen.
Benutzerdefinierte Variablen unterstützen Textwerte oder maskierte Textwerte. Aus Sicherheitsgründen sollten Sie benutzerdefinierte Variablen verwenden, die maskierte Textwerte zur Darstellung von Kennwörtern unterstützen.
Die folgenden benutzerdefinierten Variablen sind in BES12 verfügbar:
Name der Variablen Beschreibung
%custom1%, %custom2%, %custom3%, %custom4%, %custom5%
Sie können bis zu fünf verschiedene Variablen für die von Ihnen definierten Attribute nutzen (Textwerte).
%custom_pswd1%, %custom_pswd2%, %custom_pswd3%, %custom_pswd4%, %custom_pswd5%
Sie können bis zu fünf verschiedene Variablen für die von Ihnen definierten Kennwörter nutzen (maskierte Textwerte).
Definieren von benutzerdefinierten VariablenBevor Sie benutzerdefinierte Variablen verwenden können, müssen Sie diese definieren. Wenn Sie ein Benutzerkonto erstellen oder aktualisieren werden nur die benutzerdefinierten Variablen angezeigt, die über ein Kennzeichen verfügen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
Variablen
67
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Benutzerdefinierte Variablen.
4. Aktivieren Sie das Kontrollkästchen Benutzerdefinierte Variablen beim Hinzufügen oder Bearbeiten eines Benutzers anzeigen.
5. Legen Sie ein Kennzeichen für jede benutzerdefinierte Variable fest, die Sie verwenden möchten. Die Kennzeichen werden als Feldnamen im Abschnitt Benutzerdefinierte Variablen verwendet, wenn Sie ein Benutzerkonto erstellen oder aktualisieren.
6. Klicken Sie auf Speichern.
Verwenden von benutzerdefinierten VariablenNachdem Sie die benutzerdefinierten Variablen definiert haben, müssen Sie die entsprechenden Werte festlegen, wenn Sie ein Benutzerkonto erstellen oder aktualisieren. Sie können die benutzerdefinierten Variablen dann auf die gleiche Weise wie Standardvariablen verwenden. Sie legen den Namen der Variablen fest, wenn Sie Profile oder Benachrichtigungen zur Vorschrifteneinhaltung sowie Aktivierungs-E-Mail-Nachrichten anpassen oder erstellen.
Beispiel: Verwendung des gleichen VPN-Profils für mehrere Benutzer, die jeweils eigene VPN-Kennwörter haben
In dem folgenden Beispiel ist „VPN-Kennwort“ das Kennzeichen, das Sie für die Variable „%custom_pswd1%“ festgelegt haben. Wenn Sie ein Benutzerkonto aktualisieren, wird dieses Kennzeichen als Feldname im Abschnitt „Benutzerdefinierte Variablen“ verwendet.
1. Klicken Sie in der Menüleiste auf Benutzer > Verwaltete Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf .
5. Erweitern Sie Benutzerdefinierte Variablen.
6. Geben Sie im Feld VPN-Kennwort ein VPN-Kennwort für einen Benutzer ein.
7. Klicken Sie auf Speichern.
8. Wiederholen Sie die Schritte 2 bis 7 für alle Benutzer, die das VPN-Profil verwenden werden.
9. Wenn Sie das VPN-Profil erstellen, geben Sie im Feld Kennwort %custom_pswd1% ein.
Variablen
68
Zertifikate
Ein Zertifikat ist ein digitales Dokument, das von einer Zertifizierungsstelle erstellt wurde, die Identität eines Zertifikatempfängers überprüft und diese mit einem öffentlichen Schlüssel verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Der öffentliche Schlüssel und der private Schlüssel bilden ein asymmetrisches Schlüsselpaar, das zur Datenverschlüsselung und zur Identitätsauthentifizierung verwendet werden kann. Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt, dass Institutionen, die der Zertifizierungsstelle vertrauen, auch dem Zertifikat vertrauen können.
Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:
• Authentifizieren mittels SSL/TLS, wenn eine Verbindung zu Webseiten hergestellt wird, die HTTPS verwenden
• Authentifizieren mit einem geschäftlichen Mailserver
• Authentifizieren mit einem geschäftlichen Wi-Fi Netzwerk oder einem VPN
• Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz
Mehrfachzertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können auch Zertifikatsprofile verwenden, um Zertifizierungsstellenzertifikate und Client-Zertifikate an Geräte zu senden.
Schritte zum Verwenden von Zertifikaten auf GerätenWenn Sie Zertifikate mit Geräten verwenden, führen Sie die folgenden Aktionen durch:
Schritt Aktion
Verbinden Sie bei BedarfBES12mit Entrust oder der OpenTrust PKI-Software Ihres Unternehmens.
Erstellen Sie mindestens ein Profil für Zertifizierungsstellenzertifikate, über das Zertifizierungsstellenzertifikate an Geräte gesendet werden sollen.
Erstellen Sie Profile für SCEP, Benutzerberechtigungen oder gemeinsam genutzte Zertifikate, um Client-Zertifikate an Geräte zu senden.
Verknüpfen Sie die Zertifikatprofile ggf. mit Wi-Fi-, VPN- oder E-Mail-Profilen.
6
Zertifikate
69
Schritt Aktion
Weisen Sie Benutzerkonten, Benutzergruppen oder Gerätegruppen ggf. Zertifikatprofile zu.
Vernetzung von BES12 und der PKI-Software Ihrer OrganisationWenn Ihre Organisation zur Bereitstellung von PKI-Diensten die Entrust- oder OpenTrust-Software verwendet, können Sie die zertifikatsbasierte Authentifizierung auf die Geräte erweitern, die mithilfe von BES12 verwaltet werden.
Entrust-Produkte (z. B. Entrust IdentityGuard und Entrust Authority Administration Services) sowie OpenTrust-Produkte (z. B. OpenTrust PKI und OpenTrust CMS) stellen Client-Zertifikate aus. Sie können eine Verbindung mit der PKI-Software Ihrer Organisation konfigurieren und Profile verwenden, um das Zertifizierungsstellenzertifikat und Clientzertifikate an Geräte zu senden.
Herstellen einer Verbindung zwischen BES12 und der Entrust-Software Ihres UnternehmensUm die zertifikatbasierte Authentifizierung von Entrust auf Geräten zu erweitern, müssen Sie eine Verbindung mit der Entrust-Software Ihrer Organisation hinzufügen (zum Beispiel Entrust IdentityGuard oder Entrust Authority Administration Services).
Bevor Sie beginnen: Kontaktieren Sie den Entrust-Administrator Ihrer Organisation, um Folgendes zu erhalten:
• URL des Entrust MDM Web Service
• Anmeldeinformationen für ein Entrust-Administratorkonto, das zum Herstellen der Verbindung zwischen BES12 und der Entrust-Software verwendet werden kann
• Entrust-Zertifizierungsstellenzertifikat, das den öffentlichen Schlüssel (.der, .pem oder .cert) enthält; BES12 verwendet dieses Zertifikat zum Aufbau von SSL-Verbindungen zum Entrust-Server
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Klicken Sie auf Externe Integration > Zertifizierungsstelle.
3. Klicken Sie auf Hinzufügen einer Entrust-Verbindung.
4. Geben Sie im Feld Verbindungsname einen Namen für die Verbindung ein.
5. Geben Sie im Feld URL die URL für den Entrust MDM Web Service ein.
6. Geben Sie im Feld Benutzername den Benutzernamen des Entrust-Administratorkontos ein.
7. Geben Sie im Feld Kennwort das Kennwort für das Entrust-Administratorkonto ein.
Zertifikate
70
8. Um ein Zertifizierungsstellenzertifikat hochzuladen, das BES12 den Aufbau von SSL-Verbindungen zum Entrust-Server ermöglicht, klicken Sie auf Durchsuchen. Navigieren Sie zu dem CA-Zertifikat, und wählen Sie es aus.
9. Um die Verbindung zu testen, klicken Sie auf Verbindung testen.
10. Klicken Sie auf Speichern.
Wenn Sie fertig sind:
• Um eine Verbindung zu bearbeiten, klicken Sie auf den Verbindungsnamen.
• Um eine Verbindung zu entfernen, klicken Sie auf .
Herstellen einer Verbindung zwischen BES12 und der OpenTrust-Software Ihres UnternehmensUm die zertifikatbasierte Authentifizierung von OpenTrust auf Geräten zu erweitern, müssen Sie eine Verbindung mit der OpenTrust-Software Ihrer Organisation hinzufügen. BES12 unterstützt die Integration von OpenTrust PKI 4.8.0 und höher und OpenTrust CMS 2.0.4 und höher.
Bevor Sie beginnen: Wenden Sie sich an den OpenTrust-Administrator Ihrer Organisation, um die URL des OpenTrust-Servers, das Clientzertifikat mit dem privaten Schlüssel (PFX- oder P12-Format) und das Zertifikatkennwort zu erhalten.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Klicken Sie auf Externe Integration > Zertifizierungsstelle.
3. Klicken Sie auf OpenTrust-Verbindung hinzufügen.
4. Geben Sie im Feld Verbindungsname einen Namen für die Verbindung ein.
5. Geben Sie im Feld URL die URL für die OpenTrust-Software ein.
6. Klicken Sie auf Durchsuchen. Navigieren Sie zu dem clientseitigen Zertifikat, das BES12 für die Verbindungsauthentifizierung mit dem OpenTrust-Server verwenden kann, und wählen Sie es aus.
7. Geben Sie im Feld Zertifikatskennwort das Kennwort für das OpenTrust-Serverzertifikat ein.
8. Um die Verbindung zu testen, klicken Sie auf Verbindung testen.
9. Klicken Sie auf Speichern.
Wenn Sie fertig sind:
• Wenn Sie die BES12-Verbindung mit der OpenTrust-Software zur Verteilung der Zertifikate auf Geräte verwenden, kann eine kurze Verzögerung auftreten, bevor die Zertifikate als gültig erkannt werden. Diese Verzögerung kann zu Problemen bei der E-Mail-Authentifizierung während des Vorgangs der Geräteaktivierung führen. Um dieses Problem zu beheben, konfigurieren Sie in der OpenTrust-Software die OpenTrust-Zertifizierungsstelle, und legen Sie „Zertifikate rückdatieren (Sekunden)“ auf 180 fest.
• Um eine Verbindung zu bearbeiten, klicken Sie auf den Verbindungsnamen.
• Um eine Verbindung zu entfernen, klicken Sie auf .
Zertifikate
71
Bereitstellen von Client-Zertifikaten für GeräteViele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können Client-Zertifikate auf verschiedene Arten auf Geräten bereitstellen.
So wird das Zertifikat hinzugefügt
Beschreibung Unterstützte Geräte
Während der Geräteaktivierung
BES12 sendet während des Aktivierungsprozesses Zertifikate an Geräte. Die Geräte verwenden diese Zertifikate, um sichere Verbindungen zwischen dem Gerät und BES12 herzustellen.
Alle
SCEP-Profile Sie können SCEP-Profile erstellen, mit denen Geräte Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEP-Diensts abrufen. Die Geräte können diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver verwenden.
• BlackBerry 10
• iOS
• OS X
• Secure Work Space
• Samsung KNOX Workspace
• Android for Work
• Windows 10
Profile für Benutzeranmelde-informationen
Wenn Ihr Unternehmen Entrust- oder OpenTrust-Softwareprodukte verwendet, um Zertifikate auszustellen und zu verwalten, können Sie Profile für Benutzeranmeldeinformationen erstellen, die von Geräten verwendet werden, um Zertifikate von der Zertifizierungsstelle Ihres Unternehmens zu erhalten. Die Geräte verwenden diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver.
• BlackBerry 10
• iOS
• OS X
• Android
Profile für freigegebenes Zertifikat
Ein Profil für ein freigegebenes Zertifikat legt ein Clientzertifikat fest, das BES12 an iOS-, OS X- und Android-Geräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer, dem das Profil zugewiesen ist.
Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um ein Profil für ein freigegebenes Zertifikat zu erstellen.
• iOS
• OS X
• Android
Zertifikate
72
So wird das Zertifikat hinzugefügt
Beschreibung Unterstützte Geräte
Senden von Client-Zertifikaten an einzelne Benutzerkonten
Zum Senden eines Client-Zertifikats an die Geräte einzelner Benutzer können Sie einem Benutzerkonto ein Client-Zertifikat hinzufügen. BES12 sendet das Zertifikat an die iOS- und Android-Geräte des Benutzers.
Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um das Client-Zertifikat an den Benutzer zu senden.
• iOS
• Android
Benutzerimport Benutzer können Clientzertifikate in den Zertifikatsspeicher des Geräts im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" importieren. Zertifikate für die Verwendung durch den geschäftlichen Browser oder zum Senden von S/MIME-geschützten Nachrichten vom geschäftlichen E-Mail-Konto können aus dem Dateisystem auf dem Gerät oder aus einem Netzwerkpfad, der vom geschäftlichen Bereich zugänglich ist, importiert werden.
BlackBerry 10
Smartcards Benutzer können S/MIME- und SSL-Zertifikate von einer Smartcard auf ihre Geräte importieren.
BlackBerry 10
Mithilfe von Profilen Zertifikate an Geräte sendenSie können Zertifikate mithilfe der folgenden Profile, die in der Bibliothek der Richtlinien und Profile verfügbar sind, an Geräte senden:
Profil Beschreibung
Zertifizierungsstellenzertifikat Ein Zertifizierungsstellenzertifikat-Profil legt ein Zertifizierungsstellenzertifikat fest, das jedes Client- oder Serverzertifikat als vertrauenswürdig ausweist, das von der Zertifizierungsstelle signiert wurde.
SCEP Ein SCEP-Profil gibt an, wie Geräte Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEP-Diensts abrufen.
Benutzeranmeldeinformationen Mit einem Profil für Benutzeranmeldeinformationen können Sie festlegen, wie Clientzertifikate an Geräte gesendet werden, wenn im Unternehmen die Entrust-Software oder die OpenTrust-Software für PKI-Dienste verwendet wird.
Zertifikate
73
Profil Beschreibung
Freigegebenes Zertifikat Ein Profil für ein freigegebenes Zertifikat legt ein Clientzertifikat fest, das BES12 an iOS- und Android-Geräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer, dem das Profil zugewiesen ist.
Für iOS- und Android-Geräte können Client-Zertifikate auch gesendet werden, indem sie über die Registerkarte „Zusammenfassung“ einem Benutzerkonto hinzugefügt werden. Weitere Informationen finden Sie unter Hinzufügen eines Client-Zertifikats zu einem Benutzerkonto.
Für BlackBerry 10- ,iOS- und Android-Geräte gilt: Wenn Ihr Unternehmen Zertifikate für S/MIME verwendet, können Sie auch Profile verwenden, um mit den Geräten öffentliche Schlüssel abzurufen und den Zertifikatstatus zu prüfen. Weitere Informationen finden Sie unter Erweitern der E-Mail-Sicherheit mithilfe von S/MIME.
Verwandte InformationenErweitern der E-Mail-Sicherheit mithilfe von S/MIME, auf Seite 87Hinzufügen eines Client-Zertifikats zu einem Benutzerkonto, auf Seite 270
Auswählen von Profilen, über die Clientzertifikate an Geräte gesendet werden sollenSie können zum Senden von Clientzertifikaten an Geräte verschiedene Profiltypen verwenden. Die Auswahl des Profiltyps wird durch die Verwendungsart der Zertifikate in Ihrem Unternehmen und die von Ihrem Unternehmen unterstützten Gerätetypen bestimmt. Beachten Sie die folgenden Richtlinien:
• Für die Verwendung von SCEP-Profilen benötigen Sie eine Zertifizierungsstelle, die SCEP unterstützt. Wenn Ihr Unternehmen eine Entrust- oder OpenTrust-Zertifizierungsstelle verwendet, werden SCEP-Profile für Windows 10-Geräte nicht unterstützt.
• Für die Verwendung von Profilen für Benutzeranmeldeinformationen benötigen Sie eine Entrust- oder OpenTrust-Zertifizierungsstelle. Profile für Benutzeranmeldeinformationen werden auf Windows 10-Geräten nicht unterstützt.
• Um Clientzertifikate für die Wi-Fi-, VPN- und E-Mail-Server-Authentifizierung zu verwenden, müssen Sie das Zertifikatprofil mit einem Wi-Fi-, VPN- oder E-Mail-Profil verknüpfen.
• Bei iOS- und Android-Geräten werden bei Profilen mit freigegebenem Zertifikat und Zertifikaten, die Benutzerkonten hinzugefügt werden, private Schlüssel nicht geheim gehalten, weil Sie Zugriff auf den privaten Schlüssel benötigen. SCEP und Profile für Benutzeranmeldeinformationen sind sicherer, weil damit der private Schlüssel nur an das Gerät gesendet wird, auf dem das Zertifikat ausgestellt wurde.
• OpenTrust-Clientzertifikate werden für die Mailserver-Authentifizierung für Geräte mit Secure Work Space nicht unterstützt.
• Wenn Sie ein SCEP-Profil zur Verteilung vonOpenTrust-Clientzertifikaten auf Geräten verwenden, müssen Sie einen Hotfix auf dieOpenTrust-Software anwenden. Um weitere Informationen zu erhalten, wenden Sie sich bitte an IhrenOpenTrust-Kundendienstmitarbeiter, und verweisen Sie auf Support-Fall SUPPORT-798.
Zertifikate
74
Senden von Zertifizierungsstellenzertifikaten an GeräteSie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte senden, wenn Ihre Organisation S/MIME verwendet oder wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Organisationsumgebung verwenden.
Wenn Sie ein Zertifizierungsstellenzertifikat an ein Gerät senden, vertraut das Gerät dem mit einem von der Zertifizierungsstelle erstellten Cyber- oder Serverzertifikat. Wenn die von der Zertifizierungsstelle ausgegebenen Netzwerk- und Serverzertifikate Ihrer Organisation auf Geräten gespeichert werden, ist die Vertrauenswürdigkeit beim Aufbau sicherer Verbindungen zu Ihren Netzwerken und Servern gewährleistet. Wenn das Zertifizierungsstellenzertifikat, das die S/MIME-Zertifikate Ihrer Organisation unterzeichnet hat, auf Geräten gespeichert wird, können die Geräte dem Zertifikat des Senders vertrauen, wenn eine E-Mail eingeht.
Es können mehrere Zertifizierungsstellenzertifikate für verschiedene Zwecke auf einem Gerät gespeichert werden. Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden.
Erstellen eines Profils mit ZertifizierungsstellenzertifikatBevor Sie beginnen: Sie müssen eine Zertifizierungsstellen-Zertifikatdatei abrufen, die Sie an die Geräte senden möchten.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Zertifizierungsstellenzertifikat.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Profil mit Zertifizierungsstellenzertifikat muss über einen eindeutigen Namen verfügen. Einige Namen (z. B. ca_1) sind reserviert.
4. Klicken Sie im Feld Zertifikatsdatei auf Durchsuchen, um die Zertifikatsdatei zu finden.
5. Wenn das Zertifizierungsstellenzertifikat an BlackBerry-Geräte gesendet wird, geben Sie einen oder mehrere der folgenden Zertifikatspeicher an, um das Zertifikat an das Gerät zu senden:
• Browser-Zertifikatspeicher
• VPN-Zertifikatspeicher
• Wi-Fi-Zertifikatspeicher
• Unternehmens-Zertifikatspeicher
6. Wählen Sie auf der Registerkarte OS X in der Dropdown-Liste Profil anwenden auf den Eintrag Benutzer oder Gerät aus.
7. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246
Zertifikate
75
Speicher für Zertifizierungsstellenzertifikate auf BlackBerry 10-GerätenZertifizierungsstellenzertifikate, die an BlackBerry 10-Geräte gesendet werden, können je nach dem Zweck in unterschiedlichen Zertifikatspeichern gespeichert werden.
Speicher Beschreibung
Browser-Zertifikatspeicher Der geschäftliche Browser auf BlackBerry 10-Geräten nutzt die Zertifikate in diesem Speicher, um SSL-Verbindungen zu Servern in Ihrer Organisationsumgebung herzustellen.
VPN-Zertifikatspeicher BlackBerry 10-Geräte nutzen Zertifikate in diesem Speicher für VPN-Verbindungen. Sie müssen die Einstellung „Quelle des vertrauenswürdigen Zertifikats“ im VPN-Profil auf „Speicher vertrauenswürdiger Zertifikate“ festlegen, um die Zertifikate in diesem Speicher für geschäftliche VPN-Verbindungen nutzen zu können.
Wi-Fi-Zertifikatspeicher BlackBerry 10-Geräte nutzen Zertifikate in diesem Speicher für Wi-Fi-Verbindungen. Sie müssen die Einstellung „Quelle des vertrauenswürdigen Zertifikats“ im Wi-Fi-Profil auf „Speicher vertrauenswürdiger Zertifikate“ festlegen, um die Zertifikate in diesem Speicher für Wi-Fi-Geschäftsverbindungen nutzen zu können.
Unternehmens-Zertifikatspeicher
BlackBerry 10-Geräte nutzen die Zertifikate in diesem Speicher, um eingehende S/MIME-geschützte E-Mail-Nachrichten zu authentifizieren.
Senden von Clientzertifikaten auf Geräte mit SCEPSie können SCEP-Profile verwenden, um anzugeben, wie BlackBerry 10-, iOS-, Windows 10- und Android-Geräte mit Secure Work Space-, Android for Work-, KNOX Workspace- oder KNOX MDM-Aktivierungen Client-Zertifikate über einen SCEP-Dienst aus der Zertifizierungsstelle Ihres Unternehmens abrufen sollen. SCEP ist ein IETF-Protokoll, das das Anmelden von Client-Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können SCEP verwenden, um Client-Zertifikate von einer SCEP-kompatiblen Zertifizierungsstelle, die Ihr Unternehmen verwendet, anzufordern und abzurufen. Die von Ihnen verwendete Zertifizierungsstelle muss Challenge-Kennwörter unterstützen. Die Zertifizierungsstelle verifiziert mithilfe von Challenge-Kennwörtern, dass das Gerät zum Senden einer Zertifikatsanforderung autorisiert ist.
Je nach Gerätefunktionen und Aktivierungsart können Geräte die über SCEP abgerufenen Clientzertifikate für die zertifikatbasierte Authentifizierung in einem Browser oder zum Herstellen einer Verbindung mit einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem E-Mail-Server verwenden.
Auf iOS- und Android-Geräten mit Secure Work Space muss das SCEP-Profil einem E-Mail Profil oder einem Wi-Fi-Profil zugewiesen sein, damit es per Push auf das Gerät übertragen wird. Auf Android for Work-Geräten können über ein SCEP-Profil empfangene Zertifikate nicht für die zertifikatbasierte Authentifizierung beim geschäftlichen Wi-Fi-Netzwerk oder dem E-Mail-Server verwendet werden.
Wenn Ihr Unternehmen eine Entrust- oder OpenTrust-Zertifizierungsstelle verwendet, werden SCEP-Profile für Windows 10-Geräte nicht unterstützt.
Zertifikate
76
Erstellen eines SCEP-ProfilsDie erforderlichen Profileinstellungen variieren je nach Gerätetyp und hängen von der SCEP-Dienstkonfiguration in der Umgebung Ihres Unternehmens ab.
Hinweis: Wenn Sie ein SCEP-Profil für die Verteilung vonOpenTrust-Clientzertifikate auf Geräten verwenden möchten, müssen Sie ein Hotfix auf IhreOpenTrust-Software anwenden. Um weitere Informationen zu erhalten, wenden Sie sich bitte an IhrenOpenTrust-Kundendienstmitarbeiter, und verweisen Sie auf Support-Fall SUPPORT-798
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben SCEP.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Profil für ein Zertifizierungsstellenzertifikat muss über einen eindeutigen Namen verfügen.
4. Geben Sie im Feld URL die URL für den SCEP-Dienst ein. Die URL sollte das Protokoll, den FQDN, die Portnummer und den SCEP-Pfad enthalten.
5. Geben Sie im Feld Instanzname den Instanznamen der Zertifizierungsstelle ein.
6. Führen Sie in der Dropdown-Liste Zertifizierungsstellenverbindung eine der folgenden Aktionen aus:
• Um eine von Ihnen konfigurierte Entrust-Verbindung zu verwenden, klicken Sie auf die entsprechende Verbindung. Klicken Sie in der Dropdown-Liste Profil auf ein Profil. Geben Sie die Werte für das Profil an.
• Um eine von Ihnen konfigurierteOpenTrust-Verbindung zu verwenden, klicken Sie auf die entsprechende Verbindung. Klicken Sie in der Dropdown-ListeProfilauf ein Profil. Geben Sie die Werte für das Profil an.
◦ Die folgenden Einstellungen im SCEP-Profil gelten nicht für die OpenTrust-Clientzertifikate: Schlüsselnutzung, Erweiterte Schlüsselnutzung, Antragsteller und SAN.
◦ OpenTrust-Clientzertifikate werden für die Mailserver-Authentifizierung für Geräte mit Secure Work Space nicht unterstützt.
• Um eine andere Zertifizierungsstelle zu verwenden, klicken Sie auf Generisch. Wählen Sie in der Dropdown-Liste SCEP-Abfragetyp entweder Statisch oder Dynamisch aus, und geben Sie die erforderlichen Einstellungen für den Abfragetyp an.
Hinweis: Für Windows-Geräte werden nur „statische“ Kennwörter unterstützt.
7. Deaktivieren Sie optional das Kontrollkästchen für alle Gerätetypen, für die Sie das Profil nicht konfigurieren möchten.
8. Führen Sie folgende Aktionen aus:
a. Klicken Sie auf die Registerkarte eines Gerätetyps.
b. Konfigurieren Sie die entsprechenden Werte für jede Profileinstellung so, dass sie der SCEP-Dienstkonfiguration in der Umgebung Ihres Unternehmens entsprechen.
9. Wiederholen Sie Schritt 8 für jeden Gerätetyp in Ihrer Organisation.
Zertifikate
77
10. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Wenn Geräte das Clientzertifikat zur Authentifizierung bei einem geschäftlichen Wi-Fi-Netzwerk, geschäftlichen VPN oder einem geschäftlichen Mailserver verwenden, verknüpfen Sie das SCEP-Profil mit einem Wi-Fi-, VPN- oder E-Mail-Profil.
Verwandte InformationenSCEP-Profileinstellungen, auf Seite 423
Mithilfe von Profilen für Benutzeranmeldeinformationen Zertifikate an Geräte sendenProfile für Benutzeranmeldeinformationen ermöglichen das Abrufen von Client-Zertifikaten über Geräte von einer Entrust- oder OpenTrust-Zertifizierungsstelle. Profile für Benutzeranmeldeinformationen werden von iOS-, OS X- und Android-Geräten sowie Geräten mit BlackBerry 10 OS Version 10.3.1 und höher unterstützt.
Entrust- oder OpenTrust-Client-Zertifikate können auch mithilfe von SCEP-Profilen an Geräte gesendet werden (siehe Senden von Clientzertifikaten auf Geräte mit SCEP). Der ausgewählte Profiltyp hängt von der Verwendungsart der PKI-Software, den von Ihrem Unternehmen unterstützten Geräten und den zu verwaltenden Zertifikaten ab.
Erstellen eines Profils mit BenutzeranmeldeinformationenBevor Sie beginnen:
• Kontaktieren Sie den Entrust- oder OpenTrust-Administrator Ihres Unternehmens, um zu klären, welches PKI-Profil Sie auswählen sollten. BES12 erhält eine Liste der Profile von der PKI-Software.
• Wenn Ihre Organisation eine Entrust-Zertifizierungsstelle verwendet, unterstützen Profile für Benutzeranmeldeinformationen keine Profile, die Signatur- und Verschlüsselungsschlüssel für S/MIME enthalten. Der Entrust-Administrator muss zwei separate Profile konfigurieren; ein Profil für die Signatur und ein Profil für die Verschlüsselung.
• OpenTrust-Clientzertifikate werden für die Mailserver-Authentifizierung von Secure Work Space-Geräten nicht unterstützt.
• Fragen Sie den Entrust- oder OpenTrust-Administrator nach den Profilwerten, die Sie angeben müssen. beispielsweise die Werte für Gerätetypen (devicetype), Entrust IdentityGuard-Gruppen (iggroup) und Entrust IdentityGuard-Benutzernamen (igusername).
• Wenn dasOpenTrust-System Ihrer Organisation nur zur Rückgabe von Escrowed-Schlüsseln konfiguriert ist, muss derOpenTrust-Administrator sicherstellen, dass für jeden Benutzer imOpenTrust-System Zertifikate vorhanden sind. Wenn Sie Benutzern inBES12ein Profil für Benutzeranmeldedaten zuweisen, werden die Zertifikate für Benutzer inOpenTrustnicht automatisch erstellt. In diesem Szenario können über das Profil für Benutzeranmeldedaten nur Zertifikate an Benutzer verteilt werden, die ein bestehendes Zertifikat imOpenTrust-System aufweisen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben den Benutzeranmeldeinformationen.
Zertifikate
78
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Profil für ein Zertifizierungsstellenzertifikat muss über einen eindeutigen Namen verfügen.
4. Klicken Sie in der Dropdown-Liste Zertifizierungsstellenverbindung auf die von Ihnen konfigurierte Entrust- oder OpenTrust-Verbindung.
5. Klicken Sie in der Dropdown-Liste Profil auf das entsprechende Profil.
6. Geben Sie die Werte für das Profil an.
7. Bei Bedarf können Sie den Namenstyp und -wert des alternativen Antragstellers für ein Entrust Clientzertifikat angeben.
a. Klicken Sie in der SAN-Tabelle auf .
b. Klicken Sie in der Dropdown-Liste SAN-Typ auf den entsprechenden Typ.
c. Geben Sie im Feld SAN-Wert den SAN-Wert ein.
Wenn „RFC 822-Name“ als SAN-Typ festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn "URI" festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn "NT-Prinzipalname" festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn "DNS-Name" festgelegt ist, muss der Wert ein gültiger FQDN sein.
8. Wenn BlackBerry 10-Geräte für die Verschlüsselung von E-Mail-Nachrichten mittels S/MIME Clientzertifikate verwenden und der Zugriff auf abgelaufene Zertifikate beibehalten werden soll, sodass Benutzer ältere E-Mail-Nachrichten weiterhin öffnen können, aktivieren Sie das Kontrollkästchen Zertifikatsverlauf einschließen.
9. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind:
• Weisen Sie die Profile Benutzerkonten und Benutzergruppen zu. Android-Benutzer werden beim Empfang des Profils zur Eingabe eines Kennworts aufgefordert (das Kennwort wird auf dem Bildschirm angezeigt).
• Wenn Geräte Clientzertifikate zur Authentifizierung bei einem Wi-Fi-Netzwerk, VPN oder Mailserver verwenden, verknüpfen Sie das Profil für Benutzeranmeldeinformationen mit einem Wi-Fi-, VPN- oder E-Mail-Profil.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Senden des gleichen Clientzertifikats an mehrere GeräteSie können Profile für freigegebene Zertifikate verwenden, um Client-Zertifikate an iOS-, OS X-, und Android-Geräte, die mit MDM-Steuerelemente aktiviert wurden, sowie an Samsung KNOX- und Android for Work-Geräte zu senden.
Profile für freigegebene Zertifikate senden das gleiche Schlüsselpaar an jeden Benutzer, dem das Profil zugeordnet ist. Sie sollten Profile für freigegebene Zertifikate nur dann nutzen, wenn Sie mehr als einem Benutzer die gemeinsame Nutzung eines Client-Zertifikats ermöglichen möchten.
Bei OS X gelten Profile für Benutzerkonten oder Geräte. Sie können Profile für freigegebene Zertifikate konfigurieren, die entweder für Benutzerkonten oder Geräte gelten.
Zertifikate
79
Verwandte InformationenHinzufügen eines Client-Zertifikats zu einem Benutzerkonto, auf Seite 270
Erstellen eines Profils für ein freigegebenes ZertifikatBevor Sie beginnen: Sie müssen die Client-Zertifikatdatei abrufen, die Sie an die Geräte senden möchten. Die Zertifikatdatei muss die Dateierweiterung .pfx oder .p12 aufweisen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Freigegebenes Zertifikat.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Profil für ein Zertifizierungsstellenzertifikat muss über einen eindeutigen Namen verfügen. Einige Namen (z. B. ca_1) sind reserviert.
4. Geben Sie im Feld Kennwort ein Kennwort für das Profil des freigegebenen Zertifikats ein.
5. Klicken Sie im Feld Zertifikatsdatei auf Durchsuchen, um die Zertifikatsdatei zu finden.
6. Wählen Sie auf der Registerkarte OS X in der Dropdown-Liste Profil anwenden auf den Eintrag Benutzer oder Gerät aus.
7. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Zertifikate
80
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
Sie können Profile verwenden, um Geschäftsverbindungen für Geräte in Ihrer Organisation einzurichten und zu verwalten. Geschäftsverbindungen legen fest, wie die Geräte eine Verbindung zu den geschäftlichen Ressourcen in Ihrem Unternehmensnetzwerk aufbauen, z. B. zu Mailservern, Proxy-Servern, Wi-Fi-Netzwerken und VPNs. Sie können Einstellungen für BlackBerry 10-, iOS-, Android- und Windows-Geräte in dem gleichen Profil festlegen und das Profil dann Benutzerkonten, Benutzergruppen oder Gerätegruppen zuweisen.
Schritte zum Einrichten von Geschäftsverbindungen für GeräteFühren Sie zum Einrichten der Geschäftsverbindungen für Geräte die folgenden Aktionen aus:
Schritt Aktion
Erstellen Sie Konfigurationen, die festlegen, wie die Geräte eine Verbindung zu geschäftlichen Ressourcen aufbauen. Erstellen Sie beispielsweise ein E-Mail-Profil, ein Wi-Fi-Profil oder ein VPN-Profil.
Legen Sie ggf. eine Rangfolge für die Profile fest.
Weisen Sie Benutzerkonten, Benutzergruppen oder Gerätegruppen Profile zu.
Verwalten von geschäftlichen Verbindungen mithilfe von ProfilenSie können mithilfe der folgenden Profile, die in der Bibliothek „Richtlinien und Profile“ verfügbar sind, konfigurieren, wie Geräte eine Verbindung zu Arbeitsressourcen herstellen.
7
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
81
Profil Beschreibung
CalDAV EinCalDAV-Profil gibt die Servereinstellungen an, dieiOS - undOS X -Geräte zum Synchronisieren von Kalenderdaten verwenden können.
CardDAV EinCardDAV-Profil gibt die Servereinstellungen an, dieiOS - undOS X -Geräte zum Synchronisieren von Kontaktdaten verwenden können.
Zertifikatsabruf Ein Zertifikatsabrufprofil legt fest, wie Geräte Zertifikate von LDAP-Servern abrufen.
CRL Ein CRL-Profil legt die CRL-Konfigurationen fest, die die BES12 verwenden können, um den Status der Zertifikate zu überprüfen.
E-Mail E-Mail-Profile legen fest, wie Geräte eine Verbindung zum geschäftlichen E-Mail-Server herstellen und E-Mail-Nachrichten und Kalendereinträge mithilfe von Exchange ActiveSync oder IBM Notes Traveler synchronisieren.
Enterprise-Konnektivität Ein Enterprise-Konnektivitäts-Profil legt fest, ob gesicherte Apps aufiOS- undAndroid-Geräten mitSecure Work SpaceüberBlackBerry Infrastructureeine Verbindung zu einem geschäftlichen Netzwerk herstellen müssen. Geschäftliche Apps aufBlackBerry 10-Geräten verwendenBlackBerry Infrastructurewenn ein geschäftliches VPN oder eineWi-Fi-Verbindung nicht zur Verfügung steht.
Das Profil legt auch fest, ob BlackBerry 10-, Samsung KNOX Workspace-, Android for Work- und iOS-Geräte BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen hinter der Firewall verwenden können, wenn keine geschäftliche VPN- oder Wi-Fi-Verbindung verfügbar ist.
BES12 enthält ein Standardprofil für die Enterprise-Konnektivität.
Good Dynamics Mit einem Good Dynamics-Profil können iOS- und Android-Geräte auf Good Dynamics-Apps wie Good Work, Good Access und Good Connect zugreifen.
Weitere Informationen über die Integration von BES12 und Good Dynamics
IMAP/POP3-E-Mail Ein IMAP/POP3-E-Mail-Profil legt fest, wie Geräte eine Verbindung mit einem IMAP- bzw. POP3-E-Mail-Server aufbauen und E-Mail-Nachrichten synchronisieren.
OCSP Ein OCSP-Profil legt die OCSP-Responder fest, die von den BlackBerry 10-Geräten verwendet werden können, um den Status der Zertifikate zu überprüfen.
Proxy Ein Proxy-Profil legt fest, wie die Geräte einen Proxy-Server nutzen, um auf Webdienste im Internet oder auf ein geschäftliches Netzwerk zuzugreifen.
Einmalige Anmeldung Ein Profil für die einmalige Anmeldung legt fest, wie die Geräte bei sicheren Domänen automatisch eine Authentifizierung durchführen, nachdem die Benutzer zum ersten Mal ihren Benutzernamen und ihr Kennwort eingegeben haben.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
82
Profil Beschreibung
Strong Authentication Ein Strong Authentication-Profil ermöglicht den Einsatz der Zwei-Faktor-Authentifizierung für Benutzer und legt die Konfiguration der Funktionen für die Vorauthentifizierung und Wiederherstellung fest.
Weitere Informationen finden Sie unter Verwenden von Strong Authentication by BlackBerry für sichere Verbindungen mit kritischen Ressourcen.
VPN Ein VPN-Profil legt fest, wie die Geräte eine Verbindung zu einem geschäftlichen VPN aufbauen.
Wi-Fi Ein Wi-Fi-Profil legt fest, wie die Geräte eine Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk aufbauen.
Bewährtes Verfahren: Erstellen von Profilen für GeschäftsverbindungenEinige Geschäftsverbindungsprofile können ein oder mehrere verknüpfte Profile enthalten. Wenn Sie ein angeschlossenes Profil festlegen, verknüpfen Sie ein vorhandenes Profil mit einem Geschäftsverbindungsprofil, und die Geräte müssen das angeschlossene Profil verwenden, wenn sie das Verbindungsprofil nutzen.
Beachten Sie die folgenden Richtlinien:
• Legen Sie fest, welche geschäftlichen Verbindungen für die Geräte in Ihrer Organisation erforderlich sind.
• Erstellen Sie Profile, die Sie mit anderen Profilen verknüpfen können, bevor Sie die Verbindungsprofile erstellen, die diese Profile nutzen.
• Verwenden Sie wenn möglich Variablen.
Sie können Zertifikatsprofile und Proxyprofile diversen Profilen für geschäftliche Verbindungen zuweisen. Profile müssen in der folgenden Reihenfolge erstellt werden:
1. Zertifikatsprofile
2. Proxy-Profile
3. Profile für geschäftliche Verbindungen, z. B. E-Mail, VPN und Wi-Fi
Wenn Sie beispielsweise zuerst ein Wi-Fi-Profil erstellen, können Sie bei der Erstellung eines Proxy-Profils dieses nicht mit dem Wi-Fi-Profil verknüpfen. Nach dem Erstellen eines Proxy-Profils müssen Sie das Wi-Fi-Profil ändern, um es mit dem Proxy-Profil verknüpfen zu können.
Verwandte InformationenMithilfe von Profilen Zertifikate an Geräte senden, auf Seite 73Verwenden von Variablen in Profilen, auf Seite 64
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
83
Einrichten des geschäftlichen E-Mail-Kontos für GeräteSie können E-Mail-Profile verwenden, um festzulegen, wie Geräte eine Verbindung zum Mailserver Ihrer Organisation herstellen und E-Mail-Nachrichten und Terminplanerdaten mithilfe von Exchange ActiveSync oder IBM Notes Traveler synchronisieren.
Wenn Sie Exchange ActiveSync verwenden möchten, sollten Sie Folgendes beachten:
• Zur Erhöhung der E-Mail-Sicherheit können Sie S/MIME für iOS- und Android-Geräte aktivieren. Sie können S/MIME oder PGP für BlackBerry 10-Geräte aktivieren. PGP wird von BlackBerry 10 OS Version 10.3.1 und höher unterstützt.
• Wenn Sie S/MIME aktivieren, können Sie andere Profile verwenden, um S/MIME-Zertifikate automatisch mit den Geräten abzurufen und den Zertifikatstatus zu prüfen.
Wenn Sie Notes Traveler verwenden möchten, sollten Sie Folgendes beachten:
• Um Notes Traveler mit iOS-Geräten zu nutzen, müssen Sie Secure Work Space aktivieren.
• Um Notes Traveler mit AndroidGeräten zu nutzen, müssen Sie Samsung KNOX Workspace oder Secure Work Space verwenden.
• Die Synchronisierung von Aufgabendaten wird nur auf BlackBerry 10-Geräten unterstützt. Sie nutzt das SyncML-Kommunikationsprotokoll auf dem Notes Traveler-Server.
• Zur Erhöhung der E-Mail-Sicherheit auf BlackBerry 10-Geräten wird nur die IBM Notes-Verschlüsselung unterstützt (nicht aber S/MIME).
Mithilfe von IMAP/POP3-E-Mail-Profilen können Sie auch festlegen, wie iOS-, OS X-, Android- und Windows-Geräte eine Verbindung zu IMAP- oder POP3-Mailservern herstellen und E-Mail-Nachrichten synchronisieren. Geräte, die für die Verwendung von KNOX MDM aktiviert wurden, unterstützen weder IMAP noch POP3.
Erstellen eines E-Mail-ProfilsDie erforderlichen Profileinstellungen sind je nach Gerätetyp unterschiedlich und hängen von dem in der Umgebung Ihrer Organisation genutzten E-Mail-Server ab.
Bevor Sie beginnen:
• Wenn Sie die zertifikatbasierte Authentifizierung zwischen Geräten und Ihrem E-Mail-Server verwenden, müssen Sie ein Profil für ein Zertifizierungsstellenzertifikat erstellen und Benutzern zuweisen. Sie müssen außerdem sicherstellen, dass die Geräte über ein vertrauenswürdiges Clientzertifikat verfügen.
• Damit ein E-Mail-Profil automatisch auf Android-Geräte angewendet werden kann, müssen die Geräte eines der nachfolgend aufgeführten Kriterien erfüllen. Wenn das Gerät keines dieser Kriterien erfüllt, sendet BES12 das E-Mail-Profil zwar an Android-Geräte, aber der Benutzer muss die Verbindung zum E-Mailserver manuell konfigurieren:
◦ Geräte mit Secure Work Space
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
84
◦ Android for Work-Geräte
◦ Samsung KNOX- und Samsung KNOX Workspace-Geräte
◦ Motorola-Geräte
◦ Geräte, auf denen die TouchDown-App installiert ist. Weitere Informationen zur TouchDown-App finden Sie unter nitrodesk.com.
• Wenn Sie planen, den BlackBerry Secure Gateway Service für eine sichere Verbindung zum E-Mail-Server Ihres Unternehmens über die BlackBerry Infrastructure und BES12 für iOS-Geräte mit der Aktivierungsart MDM-Steuerelemente zu verwenden, vergewissern Sie sich, dass Ihre Organisation über die entsprechenden BES12-Lizenzen verfügt. Weitere Informationen finden Sie in der Dokumentation zur Lizenzierung.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben E-Mail.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Geben Sie bei Bedarf den Domänennamen des Mailservers an. Wenn das Profil für mehrere Benutzer gilt, die sich in unterschiedlichen Microsoft Active Directory-Domänen befinden können, können Sie die Variable %UserDomain% verwenden.
5. Führen Sie im Feld E-Mail-Adresse eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie die E-Mail-Adresse des Benutzers ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserEmailAddress% ein.
6. Geben Sie den Hostnamen oder die IP-Adresse des Mailservers ein.
7. Führen Sie im Feld Benutzername eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie den Benutzernamen ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserName% ein.
• Wenn Sie das Profil für mehrere Benutzer in einer IBM Notes Traveler-Umgebung erstellen, geben Sie %UserDisplayName% ein.
8. Wenn Sie automatisches Gatekeeping nutzen, klicken Sie auf Server auswählen, wählen Sie die entsprechenden Microsoft Exchange-Server aus der Liste der verfügbaren Server aus, und klicken Sie dann auf Speichern.
9. Klicken Sie auf die Registerkarte für jeden Gerätetyp in Ihrer Organisation, und konfigurieren Sie die entsprechenden Werte für jede Profileinstellung. Weitere Einzelheiten zu den Profileinstellungen finden Sie unter E-Mail-Profileinstellungen.
10. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
85
Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269E-Mail-Profileinstellungen, auf Seite 391Mithilfe von Profilen Zertifikate an Geräte senden, auf Seite 73
Erstellen eines IMAP/POP3-E-Mail-ProfilsDie erforderlichen Profileinstellungen sind je nach Gerätetyp unterschiedlich und hängen von den Einstellungen ab, die Sie ausgewählt haben.
Hinweis: BES12 sendet das E-Mail-Profil an Android-Geräte; der Benutzer muss die Verbindung zum Mailserver jedoch manuell konfigurieren.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben IMAP/POP3-E-Mail.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Geben Sie im Feld E-Mail-Typ den Typ des E-Mail-Protokolls ein.
5. Führen Sie im Feld E-Mail-Adresse eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie die E-Mail-Adresse des Benutzers ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserEmailAddress% ein.
6. Geben Sie im Abschnitt Einstellungen für eingehende E-Mail-Nachrichten den Hostnamen oder die IP-Adresse des Mailservers ein, um E-Mail-Nachrichten zu empfangen.
7. Geben Sie ggf. den Port für den Empfang von E-Mail-Nachrichten ein.
8. Führen Sie im Feld Benutzername eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie den Benutzernamen ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserName% ein.
9. Geben Sie im Abschnitt Einstellungen für ausgehende E-Mail-Nachrichten den Hostnamen oder die IP-Adresse des Mailservers ein, um E-Mail-Nachrichten zu senden.
10. Geben Sie ggf. den Port zum Senden von E-Mail-Nachrichten ein.
11. Wählen Sie ggf. die Option Authentifizierung für ausgehende E-Mail-Nachrichten erforderlich aus, und geben Sie die Anmeldeinformationen zum Senden von E-Mail-Nachrichten ein.
12. Klicken Sie auf die Registerkarte für jeden Gerätetyp in Ihrer Organisation, und konfigurieren Sie die entsprechenden Werte für jede Profileinstellung. Weitere Einzelheiten zu den Profileinstellungen finden Sie unter IMAP/POP3-E-Mail-Profileinstellungen.
13. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
86
Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269IMAP/POP3-E-Mail-Profileinstellungen, auf Seite 417
Erweitern der E-Mail-Sicherheit mithilfe von S/MIMESie können die E-Mail-Sicherheit für die Benutzer von BlackBerry 10-, iOS- und Android-Geräten durch Aktivierung von S/MIME erhöhen. Mit S/MIME steht ein Standardverfahren zur Verschlüsselung und zum Signieren von E-Mail-Nachrichten zur Verfügung. Die Benutzer können E-Mail-Nachrichten mit dem S/MIME-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn sie E-Mail-Nachrichten von einem geschäftlichen E-Mail-Konto senden, das S/MIME-geschützte Nachrichten auf Geräten unterstützt. S/MIME kann für persönliche E-Mail-Adressen nicht aktiviert werden.
Die Benutzer können die S/MIME-Zertifikate der Empfänger auf ihren Geräten speichern. Benutzer können ihre privaten Schlüssel auf ihren Geräten oder einer Smartcard speichern.
Sie können S/MIME für Benutzer in einem E-Mail-Profil aktivieren. Sie können die Benutzer von BlackBerry 10-Geräten zum Einsatz von S/MIME zwingen, aber nicht die Benutzer von iOS- oder Android-Geräten. Wenn die Nutzung von S/MIME optional ist, kann ein Benutzer S/MIME auf dem Gerät aktivieren und angeben, ob E-Mail-Nachrichten verschlüsselt, signiert oder verschlüsselt und signiert werden sollen.
Die S/MIME-Einstellungen haben Vorrang vor den PGP-Einstellungen. Wenn die S/MIME-Unterstützung auf „Erforderlich“ gesetzt wird, werden die PGP-Einstellungen ignoriert.
Weitere Informationen zu S/MIME finden Sie in der Dokumentation zur Sicherheit.
Abrufen von S/MIME-ZertifikatenSie können Zertifikatsabrufprofile verwenden, um den Geräten zu ermöglichen, die S/MIME-Zertifikate von LDAP-Servern zu suchen und abzurufen. Wenn sich ein erforderliches S/MIME-Zertifikat nicht bereits im Zertifikatspeicher des Geräts befindet, wird es von dem Gerät automatisch vom Server abgerufen und importiert.
Gerätetyp Beschreibung
BlackBerry 10 Die Geräte durchsuchen jeden LDAP-Zertifikatserver, den Sie im Profil festlegen, und rufen das S/MIME-Zertifikat ab. Wenn mehr als ein S/MIME-Zertifikat vorliegt und ein Gerät nicht ermitteln kann, welches zu bevorzugen ist, zeigt das Gerät alle S/MIME-Zertifikate an, sodass der Benutzer auswählen kann, welches davon verwendet werden soll.
Sie können verlangen, dass die Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden, um sich bei LDAP-Zertifikatservern zu authentifizieren. Wenn Sie verlangen, dass die Geräte eine einfache Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die Zertifikatsabrufprofile einbinden, sodass sich die Geräte automatisch bei den LDAP-Zertifikatservern authentifizieren können. Wenn Sie verlangen, dass die Geräte eine Kerberos-Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
87
Gerätetyp Beschreibung
Zertifikatsabrufprofile einbinden, sodass sich die Geräte, auf denen BlackBerry 10 OS ab Version 10.3.1 ausgeführt wird, automatisch bei den LDAP-Zertifikatservern authentifizieren können. Andernfalls fordert das Gerät bei der ersten Authentifizierung bei einem LDAP-Zertifikatserver den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf. Bei Geräten, auf denen BlackBerry 10 OS Version 10.2.1 bis 10.3 ausgeführt wird, fordert das Gerät bei der ersten Authentifizierung bei einem LDAP-Zertifikatserver den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf.
Wenn Sie die Kerberos-Authentifizierung über S/MIME-Zertifikatabruf implementieren, müssen Sie den entsprechenden Benutzern oder Benutzergruppen ein Profil für die einmalige Anmeldung (Single Sign-On) zuweisen. Weitere Informationen zum Erstellen und Zuweisen eines Profils für die einmalige Anmeldung finden Sie unter Einrichten einer Authentifizierung bei einmaliger Anmeldung für Geräte.
iOS und Android Die Geräte durchsuchen den LDAP-Zertifikatserver, den Sie im Profil festlegen, und rufen das S/MIME-Zertifikat ab.
Bei der Authentifizierung der Geräte beim LDAP-Zertifikatserver wird die Kennwortauthentifizierung verwendet. Sie geben das erforderliche Kennwort im Zertifikatsabrufprofil an, sodass Geräte eine automatische Authentifizierung beim LDAP-Zertifikatserver durchführen können.
Wenn Sie kein Zertifikatsabrufprofil erstellen und es den Benutzerkonten, Benutzergruppen oder Gerätegruppen zuweisen, müssen die Benutzer die S/MIME-Zertifikate aus dem Anhang einer geschäftlichen E-Mail oder von einem Computer manuell importieren.
Erstellen eines ZertifikatsabrufprofilsBevor Sie beginnen:
• Damit die Geräte den LDAP-Zertifikatservern vertrauen können, wenn sie sichere Verbindungen herstellen, müssen Sie die Zertifizierungsstellenzertifikate ggf. an die Geräte versenden. Falls erforderlich, erstellen Sie Profile für Zertifizierungsstellenzertifikate, und weisen sie den Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Weitere Informationen zu Zertifizierungsstellenzertifikaten finden Sie unter Senden von Zertifizierungsstellenzertifikaten an Geräte.
• Wenn Sie die Kerberos-Authentifizierung über S/MIME-Zertifikatabruf implementieren, müssen Sie den entsprechenden Benutzern oder Benutzergruppen ein Profil für die einmalige Anmeldung (Single Sign-On) zuweisen. Weitere Informationen zu Profilen für die einmalige Anmeldung finden Sie unter Einrichten einer Authentifizierung bei einmaliger Anmeldung für Geräte.
Ein Beispiel für ein Zertifikatsabrufprofil finden Sie unter http://support.blackberry.com/ in KB-Artikel KB38249.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
88
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Zertifikatsabruf.
3. Geben Sie einen Namen und eine Beschreibung für das Profil des Zertifizierungsstellenzertifikats ein.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Verwenden von LDAP für BlackBerry 10
1. Klicken Sie in der Tabelle auf .
2. Geben Sie im Feld Dienst-URL den FQDN eines LDAP-Zertifikatservers in folgendem Format ein: ldap://<fqdn>:<port>. (Beispiel: ldap://server01.beispiel.com:389).
3. Geben Sie im Feld Basissuche die Basis-DN ein, die bei der Suche der LDAP-Zertifikatserver der Ausgangspunkt ist.
4. Führen Sie in der Dropdown-Liste Suchbereich eine der folgenden Aktionen aus:
• Um nur das Basisobjekt (Basis-DN) zu suchen, klicken Sie auf Basis. Diese Option ist der Standardwert.
• Um nicht das Basisobjekt, sondern eine Ebene unter dem Basisobjekt zu suchen, klicken Sie auf Eine Ebene.
• Um das Basisobjekt und alle Ebenen darunter zu suchen, klicken Sie auf Unterstruktur.
• Um alle Ebenen unter dem Basisobjekt zu suchen, aber nicht das Basisobjekt selbst, klicken Sie auf Untergeordnet.
5. Wenn eine Authentifizierung erforderlich ist, führen Sie die folgenden Aktionen aus:
a Klicken Sie in der Dropdown-Liste Authentifizierungstyp auf Einfach oder Kerberos.
b Geben Sie im Feld LDAP-Benutzer-ID die DN eines Kontos ein, das Suchberechtigungen auf dem LDAP-Zertifikatserver hat (zum Beispiel cn=admin, dc=beispiel, dc=com).
c Geben Sie im Feld LDAP-Kennwort das Kennwort für das Konto ein, das Suchberechtigungen auf dem LDAP-Zertifikatserver hat.
6. Aktivieren Sie ggf. das Kontrollkästchen Sichere Verbindung verwenden.
7. Geben Sie im Feld Verbindungs-Timeout die Zeit in Sekunden ein, die das Gerät auf eine Antwort des LDAP-Zertifikatservers wartet.
8. Klicken Sie auf Hinzufügen.
9. Wiederholen Sie die Schritte 4.2 bis 4.8 für jeden LDAP-Zertifikatserver.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
89
Aufgabe Schritte
Verwenden von LDAP für iOS- und Android-Geräte
1. Wählen LDAP verwenden aus.
2. Geben Sie im Feld Dienst-URL den FQDN eines LDAP-Zertifikatservers in folgendem Format ein: ldap://<fqdn>:<port>. (Beispiel: ldap://server01.beispiel.com:389)
3. Geben Sie im Feld Basis-DN die Stamm-DN in dem Verzeichnis ein, wo die Suche durch das Gerät stattfinden soll. (Beispiel: ou=users, de=beispiel, dc=com)
4. Geben Sie im Feld Verbindungs-DN die DN eines Kontos ein, das Suchberechtigungen auf dem LDAP-Zertifikatserver hat. (Beispiel: cn=admin,dc=beispiel,dc=com).
5. Geben Sie im Feld LDAP-Kennwort das Kennwort für die Verbindungs-DN ein.
6. Aktivieren Sie ggf. das Kontrollkästchen Sichere Verbindung verwenden.
Verwendung von Exchange ActiveSync für iOS- und Android-Geräte
1. Wählen Sie Exchange ActiveSync verwenden aus.
5. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind:
• Um BlackBerry 10-Geräten zu erlauben, den Zertifikatstatus zu überprüfen, erstellen Sie ein OCSP- oder CRL-Profil.
• Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenErstellen eines OCSP-Profils, auf Seite 91Erstellen eines CRL-Profils, auf Seite 91Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Ermitteln des Status von S/MIME-Zertifikaten auf GerätenSie können OCSP- und CRL-Profile verwenden, um den BlackBerry 10-Geräten zu erlauben, den Status der S/MIME-Zertifikate zu überprüfen. Sie können den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen ein OCSP-Profil und ein CRL-Profil zuweisen.
BlackBerry 10-Geräte durchsuchen jeden OCSP-Responder, den Sie im OCSP-Profil vorgeben, und rufen den Status des S/MIME-Zertifikats ab. Geräte, auf denen BlackBerry 10 OS Version ab 10.3.1 ausgeführt wird, können Zertifikat-Statusabfragen an BES12 senden, und Sie können CRL-Profile zur Konfiguration von BES12 verwenden, um den Status der S/MIME-Zertifikate mit HTTP, HTTPS oder LDAP zu suchen.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
90
Wenn Sie Exchange ActiveSync für den Zertifikatabruf verwenden, verwenden iOS- und Android-Geräte Exchange ActiveSync, um den Status von S/MIME-Zertifikaten zu prüfen. Wenn Sie LDAP für den Zertifikatabruf verwenden, verwenden iOS- und Android-Geräte OCSP, um den Status von Zertifikaten zu prüfen. iOS- und Android-Geräte unterstützen keine OCSP-Profile. Die Geräte prüfen den OCSP-Responder innerhalb des Zertifikats.
Weitere Informationen zu Zertifikatstatusanzeigen finden Sie im Benutzerhandbuch im Abschnitt zu den Symbolen für sichere E-Mail.
Erstellen eines OCSP-Profils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben OCSP.
3. Geben Sie einen Namen und eine Beschreibung für das OCSP-Profil ein.
4. Führen Sie folgende Aktionen aus:
a. Klicken Sie in der Tabelle auf .
b. Geben Sie im Feld Dienst-URL die Webadresse eines OCSP-Responders ein.
c. Geben Sie im Feld Verbindungs-Timeout die Zeit in Sekunden ein, die das Gerät auf eine OCSP-Antwort wartet.
d. Klicken Sie auf Hinzufügen.
5. Wiederholen Sie Schritt 4 für jeden OCSP-Responder.
6. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Erstellen eines CRL-Profils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben CRL.
3. Geben Sie einen Namen und eine Beschreibung für das CRL-Profil ein.
4. Damit die Geräte die Responder-URLs verwenden können, die im Zertifikat definiert sind, aktivieren Sie das Kontrollkästchen Zertifikaterweiterungen des Responders verwenden.
5. Führen Sie eine der folgenden Aufgaben aus:
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
91
Aufgabe Schritte
Festlegen einer HTTP CRL-Konfiguration
1. Klicken Sie im Abschnitt HTTP für CRL auf .
2. Geben Sie einen Namen und eine Beschreibung für die HTTP CRL-Konfiguration ein.
3. Geben Sie im Feld Dienst-URL die Webadresse eines HTTP- oder HTTPS-Servers ein.
4. Klicken Sie auf Hinzufügen.
5. Wiederholen Sie die Schritte 1 bis 4 für jeden HTTP- oder HTTPS-Server.
Festlegen einer LDAP CRL-Konfiguration
1. Klicken Sie im Abschnitt LDAP für CRL auf .
2. Geben Sie einen Namen und eine Beschreibung für die LDAP CRL-Konfiguration ein.
3. Geben Sie im Feld Dienst-URL den FQDN eines LDAP-Servers gemäß dem folgenden Format ein: ldap://<fqdn>:<port> (zum Beispiel ldap://server01.example.com:389). Um sichere Verbindungen herzustellen, verwenden Sie das Format ldaps://<fqdn>:<port>.
4. Geben Sie im Feld Basissuche die Basis-DN ein, die bei der Suche der LDAP-Server der Ausgangspunkt ist.
5. Aktivieren Sie ggf. das Kontrollkästchen Sichere Verbindung verwenden.
6. Geben Sie im Feld LDAP-Benutzer-ID die DN eines Kontos ein, der Suchberechtigungen auf dem LDAP-Server hat (zum Beispiel cn=admin,dc=example,dc=com).
7. Geben Sie im Feld LDAP-Kennwort das Kennwort für das Konto ein, das Suchberechtigungen auf dem LDAP-Server besitzt.
8. Klicken Sie auf Hinzufügen.
9. Wiederholen Sie die Schritte 1 bis 8 für jeden LDAP-Server.
6. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
92
Erweitern der E-Mail-Sicherheit mit PGPBei Geräten mit einer BlackBerry 10 OS Version ab 10.3.1 können Sie die E-Mail-Sicherheit für Gerätebenutzer erweitern, indem Sie PGP aktivieren. PGP schützt E-Mail-Nachrichten auf Geräten mit dem OpenPGP-Format. Benutzer können E-Mail-Nachrichten mit dem PGP-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, sofern sie eine geschäftliche E-Mail-Adresse verwenden. PGP kann nicht für persönliche E-Mail-Adressen verwendet werden.
Sie können PGP für Benutzer in einem E-Mail-Profil aktivieren. Sie können BlackBerry 10-Gerätebenutzer zwingen, PGP zu verwenden, die Nutzung von PGP untersagen oder ihnen die Nutzung freistellen. Wenn die Nutzung von PGP optional ist (Standardeinstellung), kann ein Benutzer PGP auf dem Gerät aktivieren und angeben, ob E-Mail-Nachrichten verschlüsselt, signiert oder verschlüsselt und signiert werden sollen.
Um E-Mail-Nachrichten zu signieren und zu verschlüsseln, müssen Benutzer PGP-Schlüssel für jeden Empfänger auf ihren Geräten speichern. Benutzer können PGP-Schlüssel speichern, indem sie die Dateien aus einer geschäftlichen E-Mail-Nachricht importieren.
Sie können PGP mit den entsprechenden E-Mail-Profileinstellungen konfigurieren.
Weitere Informationen zu PGP finden Sie in der Dokumentation zur Sicherheit.
Verwandte InformationenBlackBerry 10: E-Mail-Profileinstellungen, auf Seite 392
Erzwingen von sicherer E-Mail mithilfe der NachrichtenklassifizierungDie Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12 verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen:
• Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich)
• Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C])
• Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. „Diese Nachricht wurde als vertraulich eingestuft“)
• S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln)
• Eine Standardklassifizierung einstellen
Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Mithilfe von E-Mail-Profilen können Sie Konfigurationsdateien zur Nachrichtenklassifizierung (mit der Dateierweiterung .json) angeben, die an die Geräte der Benutzer gesendet werden. Wenn Benutzer E-Mail-Nachrichten beantworten, für die eine
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
93
Nachrichtenklassifizierung festgelegt wurde, oder sichere E-Mail-Nachrichten erstellen, bestimmt die Konfiguration der Nachrichtenklassifizierung, welche Klassifizierungsregeln von den Geräten bei ausgehenden Nachrichten erzwungen werden müssen.
Die Nachrichtenschutzoptionen auf einem Gerät sind auf die Arten der Verschlüsselung und digitalen Signatur beschränkt, die auf dem Gerät zugelassen sind. Wenn ein Benutzer eine Nachrichtenklassifizierung für eine E-Mail-Nachricht auf einem Gerät anwendet, muss der Benutzer eine Nachrichtenschutzart auswählen, die die betreffende Nachrichtenklassifizierung zulässt, oder den Standardschutz akzeptieren. Wenn ein Benutzer eine Nachrichtenklassifizierung auswählt, die eine Signatur und/oder Verschlüsselung der E-Mail-Nachricht erfordert, und auf dem Gerät S/MIME oder PGP nicht konfiguriert ist, kann der Benutzer die E-Mail-Nachricht nicht senden.
Die S/MIME- und PGP-Einstellungen haben Vorrang vor der Nachrichtenklassifizierung. Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt.
Wenn die Nachrichtenklassifizierung aktiviert ist, können Benutzer keine E-Mail-Nachrichten mithilfe von BlackBerry Assistant von ihren Geräten senden.
Sie können die Nachrichtenklassifizierung mit den entsprechenden E-Mail-Profileinstellungen konfigurieren.
Weitere Informationen über das Erstellen von Konfigurationsdateien zur Nachrichtenklassifizierung finden Sie unter support.blackberry.com/kb im Artikel KB36736.
Verwandte InformationenBlackBerry 10: E-Mail-Profileinstellungen, auf Seite 392
Einrichten von Proxy-Profilen für GeräteSie können festlegen, wie die Geräte einen Proxy-Server nutzen, um auf Webdienste im Internet oder auf ein geschäftliches Netzwerk zuzugreifen. Erstellen Sie für BlackBerry 10-, iOS-, OS X- und Android-Geräte ein Proxy-Profil. Fügen Sie für Windows 10-Geräte die Proxy-Einstellungen im Wi-Fi- oder VPN-Profil hinzu.
Wenn nicht anders dargestellt, unterstützen Proxy-Profile Proxy-Server, die nur eine allgemeine Authentifizierung oder gar keine Authentifizierung verwenden.
Gerät Proxy-Konfiguration
BlackBerry 10 Erstellen Sie ein Proxy-Profil, und ordnen Sie es den von Ihrer Organisation verwendeten Profilen zu, zu denen folgende gehören können:
• Wi-Fi
• VPN
• Enterprise-Konnektivität
iOS Erstellen Sie ein Proxy-Profil, und ordnen Sie es den von Ihrer Organisation verwendeten Profilen zu, zu denen folgende gehören können:
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
94
Gerät Proxy-Konfiguration
• Wi-Fi
• VPN
• Enterprise-Konnektivität (wenn Sie Geräte mit Secure Work Space verwalten und die Enterprise-Konnektivität aktiviert ist, unterstützen Proxy-Profile Proxy-Server, die eine allgemeine Authentifizierung, NTLM oder keine Authentifizierung verwenden)
Sie können auch den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen ein Proxy-Profil zuweisen.
Hinweis: Ein Proxy-Profil, das Benutzerkonten, Benutzergruppen oder Gerätegruppen zugewiesen wird, ist nur ein globaler Proxy für überwachte Geräte und hat Vorrang vor einem Proxy-Profil, das mit einem VPN- oder Wi-Fi-Profil verknüpft ist. Wenn die Enterprise-Konnektivität aktiviert ist, nutzen die gesicherten Apps die Proxy-Einstellungen, die mit einem Enterprise-Konnektivitätsprofil verknüpft sind, während geschäftliche und persönliche Apps die globalen Proxy-Einstellungen verwenden. Andernfalls verwenden die überwachten Geräte die globalen Proxy-Einstellungen für alle HTTP-Verbindungen.
OS X Erstellen Sie ein Proxy-Profil, und verknüpfen Sie es mit einem Wi-Fi- oder VPN-Profil.
Bei OS X gelten Profile für Benutzerkonten oder Geräte. Proxy-Profile gelten für Geräte.
Android mit Secure Work Space
Wenn die Enterprise-Konnektivität aktiviert ist, erstellen Sie ein Proxy-Profil und verknüpfen dieses mit einem Enterprise-Konnektivitätsprofil. Proxy-Profile unterstützen Proxy-Server, die nur eine allgemeine Authentifizierung, NTML oder gar keine Authentifizierung verwenden.
Android for Work Erstellen Sie ein Proxy-Profil, und verknüpfen Sie es mit einem Wi-Fi-Profil.
Samsung KNOX Erstellen Sie ein Proxy-Profil, und verknüpfen Sie es mit den Profilen, die Ihr Unternehmen nutzt. Es gelten folgende Bedingungen:
• Für die Wi-Fi-Profile werden nur Proxy-Profile mit manueller Konfiguration auf KNOX-Geräten unterstützt. Proxy-Profile, die Sie mit Wi-Fi-Profilen verknüpfen, unterstützen Proxy-Server, die eine allgemeine Authentifizierung, NTLM oder gar keine Authentifizierung verwenden.
• Für VPN- und Enterprise-Konnektivitätsprofile werden Proxy-Profile mit manueller Konfiguration auf Samsung KNOX Workspace-Geräten mit KNOX 2.5 und höher unterstützt. Proxy-Profile mit PAC-Konfiguration werden auf KNOX Workspace-Geräten mit einer Version von KNOX, die höher als 2.5 ist, unterstützt.
Hinweis: Für die Verwendung eines Proxy-Profils mit einem Enterprise-Konnektivitätsprofil mussBlackBerry Secure Connect Plusaktiviert sein.
Sie können auch den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen ein Proxy-Profil zuweisen. Es gelten folgende Bedingungen:
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
95
Gerät Proxy-Konfiguration
• Auf KNOX Workspace-Geräten bestimmt die Profilkonfiguration die Browser-Proxy-Einstellungen des geschäftlichen Bereichs.
• Auf Samsung KNOX-MDM-Geräten bestimmt die Profilkonfiguration die Browser-Proxy-Einstellungen des Geräts.
Hinweis: PAC-Konfiguration wird auf KNOX Workspace-Geräten mit KNOX 2.5 und früher und KNOX-MDM-Geräten nicht unterstützt.
Windows 10 Erstellen Sie ein Wi-Fi- oder VPN-Profil, und geben Sie die Proxy-Serverinformationen in den Profileinstellungen an. Es gelten folgende Bedingungen:
• Wi-Fi-Proxy unterstützt nur manuelle Konfiguration und ist nur mit Windows 10 Mobile-Geräten kompatibel.
• VPN-Proxy unterstützt PAC oder manuelle Konfiguration.
Erstellen eines Proxy-ProfilsWenn Ihre Organisation eine PAC-Datei zur Definition von Proxy-Regeln verwendet, können Sie die PAC-Konfiguration auswählen, um die Einstellungen des Proxy-Servers aus der von Ihnen festgelegten PAC-Datei zu verwenden. Andernfalls können Sie die manuelle Konfiguration auswählen und die Einstellungen des Proxy-Servers direkt im Profil festlegen.
Ein Beispiel für ein Proxy-Profil finden Sie unter http://support.blackberry.com/ in KB-Artikel KB38250.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Proxy.
3. Geben Sie einen Namen und eine Beschreibung für das Proxy-Profil ein.
4. Klicken Sie auf die Registerkarte eines Gerätetyps.
5. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Festlegen der Einstellungen für die PAC-Konfiguration
1. Vergewissern Sie sich, dass in der Dropdown-Liste Typ die Option PAC-Konfiguration ausgewählt ist.
2. Geben Sie im Feld PAC-URL die URL für den Webserver an, der die PAC-Datei hostet, sowie den PAC-Dateinamen (zum Beispiel http://www.example.com/PACfile.pac).
3. Führen Sie auf der Registerkarte BlackBerry die folgenden Aktionen aus:
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
96
Aufgabe Schritte
a Wenn Ihre Organisation erfordert, dass Benutzer einen Benutzernamen und ein Kennwort für die Verbindung zum Proxy-Server eingeben, und das Profil für mehrere Benutzer gilt, geben Sie im Feld Benutzername %UserName% ein. Wenn der Proxy-Server den Domänennamen zur Authentifizierung benötigt, verwenden Sie das Format <domain>\<username>.
b Klicken Sie in der Dropdown-Liste Benutzerdefinierbar auf die Proxy-Einstellungen, die die Benutzer von BlackBerry 10-Geräten ändern können. Die Standardeinstellung ist Schreibgeschützt.
Festlegen der Einstellungen zur manuellen Konfiguration
1. Klicken Sie in der Dropdown-Liste Typ auf Manuelle Konfiguration.
2. Geben Sie im Feld Host den FQDN oder die IP-Adresse des Proxy-Servers ein.
3. Geben Sie im Feld Port die Portnummer des Proxy-Servers ein.
4. Wenn Ihre Organisation erfordert, dass Benutzer einen Benutzernamen und ein Kennwort für die Verbindung zum Proxy-Server eingeben, und das Profil für mehrere Benutzer gilt, geben Sie im Feld Benutzername %UserName% ein. Wenn der Proxy-Server den Domänennamen zur Authentifizierung benötigt, verwenden Sie das Format <domain>\<username>.
5. Führen Sie auf der Registerkarte BlackBerry die folgenden Aktionen aus:
a Klicken Sie in der Dropdown-Liste Benutzerdefinierbar auf die Proxy-Einstellungen, die die Benutzer von BlackBerry 10-Geräten ändern können. Die Standardeinstellung ist Schreibgeschützt.
b Optional können Sie eine Liste der Adressen festlegen, auf die die Benutzer über ihre BlackBerry 10-Geräte direkt zugreifen können, ohne dazu den Proxy-Server zu verwenden. Geben Sie im Feld Ausschlussliste die Adressen (FQDN oder IP) ein, und trennen Sie die einzelnen Werte in der Liste mit einem Semikolon (;). Sie können das Platzhalterzeichen (*) in einem FQDN oder einer IP-Adresse (z. B. *.beispiel.com oder 192.0.2.*) verwenden.
6. Wiederholen Sie die Schritte 4 und 5 für jeden Gerätetyp in Ihrer Organisation.
7. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind:
• Verknüpfen Sie das Proxy-Profil mit einem Wi-Fi-, VPN- oder Enterprise-Konnektivitätsprofil.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
97
• Legen Sie ggf. eine Rangfolge für die Profile fest. Die von Ihnen festgelegte Reihenfolge gilt nur, wenn Sie den Benutzergruppen oder Gerätegruppen ein Proxy-Profil zuweisen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Einrichten von geschäftlichen Wi-Fi-Netzwerken für GeräteSie können Wi-Fi-Profile verwenden, um festzulegen, wie Geräte eine Verbindung zu geschäftlichen Wi-Fi-Netzwerken hinter der Firewall herstellen. Sie können den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen ein Wi-Fi-Profil zuweisen.
Gerät App- und Netzwerkverbindungen
BlackBerry 10 Standardmäßig können sowohl geschäftliche als auch persönliche Apps die auf dem Gerät gespeicherten Wi-Fi-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen. Geschäftliche Apps können zum Herstellen einer Verbindung zum Netzwerk Ihrer Organisation auch BlackBerry Infrastructure-Profile verwenden. Wenn die Sicherheitsrichtlinien Ihrer Organisation nicht zulassen, dass persönliche Apps auf das Netzwerk Ihrer Organisation zugreifen, können Sie die Verbindungsoptionen einschränken.
iOS Die folgenden Apps können die auf dem Gerät gespeicherten Wi-Fi-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen.
• Geschäftliche und persönliche Apps
• Gesicherte Apps (auf Geräten mit Secure Work Space)
OS X Geschäftliche Apps und persönliche Apps können die auf dem Gerät gespeicherten Wi-Fi-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen.
Android Die folgenden Apps können die auf dem Gerät gespeicherten Wi-Fi-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen.
• Geschäftliche und persönliche Apps
• Gesicherte Apps (auf Geräten mit Secure Work Space)
Windows Geschäftliche Apps und persönliche Apps können die auf dem Gerät gespeicherten Wi-Fi-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
98
Erstellen eines Wi-Fi-ProfilsDie erforderlichen Profileinstellungen sind je nach Gerätetyp unterschiedlich und hängen vom Wi-Fi-Sicherheitstyp und dem Authentifizierungsprotokoll ab, die Sie ausgewählt haben.
Bevor Sie beginnen:
• Wenn die Geräte eine zertifikatbasierte Authentifizierung für Wi-Fi-Geschäftsverbindungen verwenden, erstellen Sie ein Profil mit Zertifizierungsstellenzertifikat, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Um Client-Zertifikate an Geräte zu senden, erstellen Sie ein SCEP-Profil, ein Profil für Benutzeranmeldeinformationen oder ein Profil für ein freigegebenes Zertifikat, das Sie mit dem Wi-Fi-Profil verknüpfen.
• Für BlackBerry 10-, iOS-, OS X-, Android for Work- oder Samsung KNOX-Geräte, die einen Proxy-Server für geschäftliche Wi-Fi-Verbindungen verwenden, müssen Sie ein Proxy-Profil erstellen, das mit dem Wi-Fi-Profil verknüpft werden soll.
• Wenn BlackBerry 10-Geräte ein VPN für geschäftliche Wi-Fi-Verbindungen verwenden, erstellen Sie ein VPN-Profil, das Sie mit dem Wi-Fi-Profil verknüpfen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Wi-Fi.
3. Geben Sie einen Namen und eine Beschreibung für das Wi-Fi-Profil ein. Diese Informationen werden auf den Geräten angezeigt.
4. Geben Sie im Feld SSID den Netzwerknamen eines Wi-Fi-Netzwerks ein.
5. Wenn das Wi-Fi-Netzwerk die SSID nicht sendet, aktivieren Sie das Kontrollkästchen Verborgenes Netzwerk.
6. Deaktivieren Sie optional das Kontrollkästchen für alle Gerätetypen, für die Sie das Profil nicht konfigurieren möchten.
7. Führen Sie folgende Aktionen aus:
a. Klicken Sie auf die Registerkarte eines Gerätetyps.
b. Konfigurieren Sie die entsprechenden Werte für jede Profileinstellung so, dass sie der Wi-Fi-Konfiguration in Ihrer Organisationsumgebung entsprechen. Wenn Ihre Organisation erfordert, dass Benutzer einen Benutzernamen und ein Kennwort für den Zugriff auf das Wi-Fi-Netzwerk eingeben, und das Profil für mehrere Benutzer gilt, geben Sie im Feld Benutzername %UserName% ein.
Weitere Einzelheiten zu den Profileinstellungen finden Sie unter Wi-Fi-Profileinstellungen.
8. Wiederholen Sie Schritt 7 für jeden Gerätetyp in Ihrer Organisation.
9. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Mithilfe von Profilen Zertifikate an Geräte senden, auf Seite 73Wi-Fi-Profileinstellungen, auf Seite 442
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
99
Einrichten von geschäftlichen VPNs für GeräteMithilfe von VPN-Profilen können Sie festlegen, wie BlackBerry 10-, iOS-, OS X-, Samsung KNOX Workspace- und Windows 10-Geräte eine Verbindung zu einem geschäftlichen VPN aufbauen. Sie können Benutzerkonten, Benutzergruppen oder Gerätegruppen ein VPN-Profil zuweisen. Bei BlackBerry 10-Geräten können Sie auch ein VPN-Profil mit einem Wi-Fi-Profil verknüpfen.
Zum Herstellen einer Verbindung zu einem geschäftlichen VPN müssen Benutzer von Android- und Windows Phone-Geräten die VPN-Einstellungen auf ihren Geräten manuell konfigurieren.
Gerät App- und Netzwerkverbindungen
BlackBerry 10 • Standardmäßig können sowohl geschäftliche als auch persönliche Apps die auf dem Gerät gespeicherten VPN-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen. Geschäftliche Apps können zum Herstellen einer Verbindung zum Netzwerk Ihrer Organisation auch BlackBerry Infrastructure-Profile verwenden. Wenn die Sicherheitsrichtlinien Ihrer Organisation nicht zulassen, dass persönliche Apps auf das Netzwerk Ihrer Organisation zugreifen, können Sie die Verbindungsoptionen einschränken.
iOS • Geschäftliche und private Apps können die auf dem Gerät gespeicherten VPN-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen. Sie können Per App VPN für ein VPN-Profil aktivieren, um das Profil nur auf die festgelegten geschäftlichen Apps anzuwenden.
• Bei Geräten mit Secure Work Space nutzen gesicherte Apps standardmäßig die Enterprise-Konnektivität, um eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen. Sie können die Enterprise-Konnektivität deaktivieren, wenn die gesicherten Apps die auf dem Gerät verfügbaren Verbindungen nutzen sollen.
OS X • Konfigurieren Sie VPN-Profile, um das Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk über Apps zu ermöglichen.
KNOX Workspace • Geschäftliche Apps können die auf dem Gerät gespeicherten VPN-Profile verwenden, um eine Verbindung zum Netzwerk Ihrer Organisation herzustellen.
• Auf dem Gerät muss eine unterstützte VPN-Client-App installiert sein. Cisco AnyConnect und Juniper werden unterstützt.
Hinweis: Die Juniper-App unterstützt nur SSL VPN.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
100
Gerät App- und Netzwerkverbindungen
Windows 10 • Konfigurieren Sie VPN-Profile, um das Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk über Apps zu ermöglichen. Im VPN-Profil können Sie eine Liste von Apps angeben, die das VPN verwenden müssen.
Erstellen eines VPN-ProfilsDie erforderlichen Profileinstellungen sind je nach Gerätetyp unterschiedlich und hängen vom VPN-Verbindungstyp und dem Authentifizierungstyp ab, die Sie ausgewählt haben.
Hinweis: Auf einigen Geräten kann das xAuth-Kennwort nicht gespeichert werden. Weitere Informationen finden Sie im Artikel KB30353 unter support.blackberry.com/kb.
Bevor Sie beginnen:
• Wenn Geräte die zertifikatbasierte Authentifizierung für geschäftliche VPN-Verbindungen nutzen, erstellen Sie ein Profil mit Zertifizierungsstellenzertifikat, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Um Client-Zertifikate an Geräte zu senden, erstellen Sie ein SCEP-Profil, ein Profil für Benutzeranmeldeinformationen oder ein Profil für ein freigegebenes Zertifikat, das Sie mit dem VPN-Profil verknüpfen.
• Erstellen Sie für BlackBerry 10-, iOS-, OS X- und Samsung KNOX Workspace-Geräte, die einen Proxy-Server verwenden, ein Proxy-Profil, das mit dem VPN-Profil verknüpft werden soll. (Der Proxy-Server für Windows 10-Geräte wird im VPN-Profil konfiguriert.)
• Fügen Sie für KNOX Workspace-Geräte die geeignete VPN-Client-App der App-Liste hinzu, und weisen Sie sie Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Als VPN-Client-Apps werden Cisco AnyConnect und Juniper unterstützt.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben VPN.
3. Geben Sie einen Namen und eine Beschreibung für das VPN-Profil ein. Diese Informationen werden auf den Geräten angezeigt.
4. Deaktivieren Sie optional das Kontrollkästchen für alle Gerätetypen, für die Sie das Profil nicht konfigurieren möchten.
5. Führen Sie folgende Aktionen aus:
a. Klicken Sie auf die Registerkarte eines Gerätetyps.
b. Konfigurieren Sie die entsprechenden Werte für jede Profileinstellung so, dass sie der VPN-Konfiguration in Ihrer Organisationsumgebung entsprechen. Wenn Ihre Organisation erfordert, dass Benutzer einen Benutzernamen und ein Kennwort für den Zugriff auf das VPN-Netzwerk eingeben, und das Profil für mehrere Benutzer gilt, geben Sie im Feld Benutzername %UserName% ein.
Weitere Einzelheiten zu den Profileinstellungen finden Sie unter VPN-Profileinstellungen.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
101
6. Wiederholen Sie Schritt 5 für jeden Gerätetyp in Ihrer Organisation.
7. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Mithilfe von Profilen Zertifikate an Geräte senden, auf Seite 73VPN-Profileinstellungen, auf Seite 465
Aktivieren von VPN auf Abruf für iOS- oder OS X-GeräteMit VPN auf Abruf können Sie festlegen, ob ein iOS- oder OS X-Gerät automatisch eine Verbindung zu einem VPN in einer bestimmten Domäne aufbaut. Client-Zertifikate liefern dem Benutzergerät die Authentifizierung, wenn auf diese bestimmte Domäne zugegriffen wird. Sie können z. B. die Domäne Ihres Unternehmens angeben, um Benutzern den Zugriff auf den Inhalt Ihres Intranets mithilfe von VPN bei Bedarf zu gestatten.
Verwandte InformationeniOS und OS X: VPN-Profileinstellungen, auf Seite 481
Per App VPN aktivierenSie können Per App VPN auf iOS- und Windows 10-Geräten einrichten, um zu bestimmen, welche Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN freigegeben wird (z. B. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche Datenverkehr nicht über das VPN gesendet wird.
Für iOS-Geräte sind Apps mit einem VPN-Profil verknüpft, wenn Sie die App oder App-Gruppe einem Benutzer, einer Benutzergruppe oder einer Gerätegruppe zuweisen.
Für Windows 10-Geräte werden im VPN-Profil Apps der App-Auslöserliste hinzugefügt.
Verwandte InformationenWindows 10: VPN-Profileinstellungen, auf Seite 496iOS und OS X: VPN-Profileinstellungen, auf Seite 481
So wählt BES12 die Per App VPN-Einstellungen für die Zuweisung ausEiner App oder einer App-Gruppe kann nur ein VPN-Profil zugewiesen werden. BES12 verwendet die folgenden Regeln, um zu bestimmen, welche Per App VPN-Einstellungen einer App auf iOS-Geräten zugewiesen werden:
• Per App VPN-Einstellungen, die direkt mit einer App verknüpft sind, haben Vorrang vor Per App VPN-Einstellungen, die indirekt durch eine App-Gruppe verknüpft sind.
• Per App VPN-Einstellungen, die direkt mit einem Benutzer verknüpft sind, haben Vorrang vor Per App VPN-Einstellungen, die indirekt durch eine Benutzergruppe verknüpft sind.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
102
• Per App VPN-Einstellungen, die mit einer benötigten App verknüpft sind, haben Vorrang vor Per App VPN-Einstellungen, die einer optionalen Instanz der gleichen App zugewiesen sind.
• Per App VPN-Einstellungen, die mit dem Benutzergruppennamen verknüpft sind, der weiter oben in der alphabetischen Liste angezeigt wird, haben Vorrang, wenn die folgenden Bedingungen erfüllt werden:
◦ Eine App ist mehreren Benutzergruppen zugewiesen
◦ Die gleiche App wird in den Benutzergruppen angezeigt
◦ Die App wird auf die gleiche Art zugewiesen, entweder als einzelne App oder als App-Gruppe
◦ Die App hat in allen Zuweisungen die gleiche Verfügbarkeit, entweder erforderlich oder optional
Beispielsweise ist Cisco WebEx Meetings den Benutzergruppen Entwicklung und Marketing als optionale App zugewiesen. Ist ein Benutzer in beiden Gruppen vorhanden, werden die Per App VPN-Einstellungen für die Entwicklungsgruppe auf die WebEx Meetings-App für diesen Benutzer angewendet.
Wenn das Per App VPN-Profil einer Gerätegruppe zugewiesen ist, hat es für alle Geräte, die dieser Gerätegruppe angehören, Vorrang vor dem Per App VPN-Profil, das dem Benutzerkonto zugewiesen ist.
Einrichten von Enterprise-Konnektivität für GeräteMithilfe eines Enterprise-Konnektivitäts-Profils können Sie steuern, wie BlackBerry 10-, Android- und iOS-Geräte eine Verbindung mit den Ressourcen Ihres Unternehmens herstellen. Wenn Sie die Enterprise-Konnektivität aktivieren, vermeiden Sie es, eine direkte Internetverbindung über die Firewall Ihres Unternehmens für die Geräteverwaltung und Apps zu öffnen, die Verbindungen zu Ihrem E-Mail-Server, internen Zertifizierungsstellen und anderen Web- oder Inhaltsservern aufbauen. Die Enterprise-Konnektivität sendet den gesamten Datenverkehr über die BlackBerry Infrastructure an BES12.
Enterprise-Konnektivitätsprofile dienen überdies zum Aktivieren von BlackBerry Secure Connect Plus für BlackBerry 10-, Samsung KNOX Workspace- und Android for Work-Geräte sowie iOS-Geräte mit der Aktivierungsart MDM-Steuerelemente. Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen.
Wenn Sie einem Benutzer oder einer Gruppe kein Profil für die Enterprise-Konnektivität zuweisen, wird das Standardprofil für die Enterprise-Konnektivität zugewiesen. Für unterstützte Geräte wird die Enterprise-Konnektivität im Standardprofil für die Enterprise-Konnektivität aktiviert. BlackBerry Secure Connect Plus ist im Standardprofil für die Enterprise-Konnektivität für BlackBerry 10- und unterstützte Android-Geräte aktiviert. Sie können das Standardprofil für die Enterprise-Konnektivität bearbeiten, aber Sie können es nicht löschen.
Wenn die Enterprise-Konnektivität nicht aktiviert ist, greifen Apps aufiOS- oderAndroid-Geräten mitSecure Work Spaceüber das interneWi-Fi-Netzwerk oder eine auf dem Gerät konfigurierte VPN-Verbindung auf Ihre Organisationsressourcen zu.
Für BlackBerry 10-Geräte ist die Enterprise-Konnektivität immer aktiviert. Diese Geräte wählen den effektivsten Pfad basierend auf der Netzwerkverfügbarkeit.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
103
Erstellen eines Enterprise-Konnektivitäts-ProfilsBES12 weist allen Benutzern standardmäßig das Standardprofil für die Enterprise-Konnektivität zu. Sie können das Standardprofil bearbeiten oder neue Enterprise-Konnektivitäts-Profile erstellen. Die folgenden Geräte verwenden Enterprise-Konnektivität:
• BlackBerry 10
• iOS-Geräte mit Secure Work Space
• Android-Geräte mit Secure Work Space
Enterprise-Konnektivitäts-Profile dienen überdies zum Aktivieren von BlackBerry Secure Connect Plus für iOS-Geräte mit der Aktivierungsart MDM-Steuerelemente, BlackBerry 10-, Samsung KNOX Workspace und Android for Work-Geräte. Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen.
Bevor Sie beginnen: Erstellen Sie bei Bedarf ein Proxyprofil.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Enterprise-Konnektivität.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Enterprise-Konnektivitäts-Profil muss über einen eindeutigen Namen verfügen.
4. Führen Sie folgende Aktionen aus:
a. Klicken Sie auf die Registerkarte eines Gerätetyps.
b. Wenn Sie nicht möchten, dass ein iOS- oder ein Android-Gerät mit Enterprise-Konnektivität arbeitet, deaktivieren Sie die Enterprise-Konnektivität für das Gerät.
c. Wenn Enterprise-Konnektivität aktiviert ist und Sie einen Proxy verwenden, wählen Sie ein Proxyprofil.
d. Wenn Sie BlackBerry Secure Connect Plus für BlackBerry 10-, KNOX Workspace-, Android for Work- oder iOS-Geräte aktivieren möchten, stellen Sie sicher, dass das Kontrollkästchen BlackBerry Secure Connect Plus aktivieren ausgewählt ist. Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen.
5. Wiederholen Sie Schritt 4 für jeden unterstützten Gerätetyp in Ihrer Organisation.
6. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
104
Einrichten einer Authentifizierung bei einmaliger Anmeldung für GeräteMithilfe einer einmaligen Anmeldung können Sie es BlackBerry 10-Geräten und bestimmten iOS-Geräten ermöglichen, sich bei Domänen und Webdiensten Ihres Unternehmensnetzwerks automatisch zu authentifizieren. Nach Zuweisung einer einmaligen Anmeldung wird der Benutzer aufgefordert, beim erstmaligen Zugriff auf eine von Ihnen festgelegte sichere Domäne einen Benutzernamen und ein Kennwort einzugeben. Die Anmeldeinformationen werden auf dem Gerät des Benutzers gespeichert und automatisch verwendet, wenn er versucht, auf die in seinem Profil festgelegten sicheren Domänen zuzugreifen. Wenn der Benutzer das Kennwort ändert, wird er beim nächsten Zugriff auf eine sichere Domäne zur Eingabe aufgefordert.
Sie können auch mithilfe eines Profils für die einmalige Anmeldung vertrauenswürdige Domänen für Zertifikate angeben, die Sie mit einem SCEP-Profil an BlackBerry 10-Geräte senden. Wenn Sie vertrauenswürdige Domänen festlegen, können BlackBerry 10-Benutzer die erforderlichen Zertifikate beim Zugriff auf eine vertrauenswürdige Domäne auswählen.
Profile für die einmalige Anwendung unterstützen die folgenden Authentifizierungstypen:
Authentifizierungstyp Geräte-OS Gilt für
• Kerberos iOS • Browser und Apps
• Kann einschränken, von welchen Apps das Profil verwendet werden kann
BlackBerry 10 OS • Browser und Apps im geschäftlichen Bereich
• NTLM
• Festlegen vertrauenswürdiger Domänen für SCEP-Zertifikate
BlackBerry 10 OS • Browser und Apps im geschäftlichen Bereich
Voraussetzungen: Verwenden der Kerberos-Authentifizierung für GeräteBei der Verwendung von Kerberos mit Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf die internen Ressourcen Ihres Unternehmens zugreifen.
Zur Konfiguration der Kerberos-Authentifizierung für bestimmte Domänen können Sie die Kerberos-Konfigurationsdatei Ihrer Organisation (krb5.conf) hochladen. BES12 unterstützt die Heimdal-Implementierung von Kerberos.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
105
Stellen Sie sicher, dass die Konfigurationsdatei die folgenden Anforderungen erfüllt:
• Die Kerberos-Konfiguration muss standardmäßig TCP anstelle von UDP verwenden. Verwenden Sie das Präfix tcp/ für KDC-Hosts.
• Wenn Ihre Organisation VPN verwendet, muss der VPN-Gateway Verkehr zu den KDCs zulassen.
Zertifikatbasierte Authentifizierung für iOS Version 8 und höherBei Geräten, auf denen iOS Version 8.0 und höher ausgeführt wird, können Sie Zertifikate zum Authentifizieren von iOS-Geräten mit Domänen und Webdiensten in Ihrem Unternehmensnetzwerk verwenden. Sie können einem Profil zur einmaligen Anmeldung ein freigegebenes Zertifikatprofil, ein SCEP-Profil oder ein Profil für Benutzeranmeldeinformationen hinzufügen. Wenn der Browser oder die Apps auf iOS-Geräten die zertifikatbasierte einmalige Anmeldung verwenden, werden die Benutzer automatisch authentifiziert (solange das Zertifikat gültig ist). Sie müssen keine Anmeldeinformationen eingeben, wenn sie auf die von Ihnen festgelegten sicheren Domänen zugreifen.
Verwandte InformationenSenden des gleichen Clientzertifikats an mehrere Geräte, auf Seite 79Senden von Clientzertifikaten auf Geräte mit SCEP, auf Seite 76
Erstellen eines Profils für die einmalige AnmeldungBevor Sie beginnen:
• Wenn Sie die Kerberos-Authentifizierung für BlackBerry 10-Geräte konfigurieren möchten, suchen Sie die Kerberos-Konfigurationsdatei Ihrer Organisation (krb5.conf).
• Wenn Sie die zertifikatbasierte Authentifizierung für Geräte verwenden möchten, auf denen iOS Version 8.0 und höher ausgeführt wird, erstellen Sie das erforderliche Profil für ein freigegebenes Zertifikat oder das SCEP-Profil.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Einmalige Anmeldung.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Konfigurieren der Kerberos-Authentifizierung für iOS-Geräte
1. Klicken Sie auf die Registerkarte iOS.
2. Klicken Sie unter Kerberos auf .
3. Geben Sie im Feld Name einen Namen für die Konfiguration ein.
4. Geben Sie im Feld Prinzipalname den Namen des Kerberos-Prinzipals im Format <primary>/<instance>@<realm> (z. B. user/[email protected]) ein.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
106
Aufgabe Schritte
5. Geben Sie im Feld Bereich den Kerberos-Bereich in Großbuchstaben (z. B. EXAMPLE.COM) ein.
6. Geben Sie im Feld URL-Präfixe das URL-Präfix für die Websites ein, mit dem sich Geräte authentifizieren sollen. Das Präfix muss mit http:// oder https:// beginnen und kann Platzhalterwerte (*) enthalten (z. B. https://www.blackberry.example.com/*).
7. Um mehr URL-Präfixe festzulegen, klicken Sie auf , um weitere Felder hinzuzufügen.
8. Wenn Sie die Konfiguration auf bestimmte Apps einschränken möchten, klicken
Sie auf neben App-Bezeichner. Geben Sie die App-Bundle-ID ein. Sie können einen Platzhalterwert (*) verwenden, um die ID mit mehreren Apps abzugleichen. (z. B. com.company.*).
9. Um mehr App-Bezeichner festzulegen, klicken Sie auf , um weitere Felder hinzuzufügen.
10. Wenn Geräte, auf denen iOS Version 8.0 und höher ausgeführt wird, die zertifikatbasierte Authentifizierung verwenden sollen, klicken Sie in der Dropdown-Liste Anmeldeinformationen auf Zertifikat, SCEP oder Benutzeranmeldeinformationen. Klicken Sie in der Dropdown-Liste „Zertifikat“ auf das Zertifikatprofil, das Sie verwenden möchten.
11. Klicken Sie auf Hinzufügen.
12. Wiederholen Sie ggf. die Schritte 2 bis 11, um eine weitere Kerberos-Konfiguration hinzuzufügen.
Konfigurieren der Kerberos-Authentifizierung für BlackBerry 10-Geräte
1. Klicken Sie auf die Registerkarte BlackBerry.
2. Klicken Sie auf Durchsuchen. Navigieren Sie zur Kerberos-Konfigurationsdatei Ihrer Organisation (krb5.conf), und wählen Sie diese aus.
Konfigurieren der NTLM-Authentifizierung oder vertrauenswürdiger Domänen für SCEP-Zertifikate für BlackBerry 10-Geräte
1. Klicken Sie auf die Registerkarte BlackBerry.
2. Klicken Sie unter Vertrauenswürdige Domänen auf .
3. Geben Sie im Feld Name einen Namen für die Konfiguration ein.
4. Geben Sie im Feld Domäne eine vertrauenswürdige Unterdomäne oder einen einzelnen Host ein, auf dem die Anmeldeinformationen für die Domäne zur automatischen Authentifizierung verwendet werden können. Geben Sie den Servernamen als einen FQDN, Hostnamen, Alias-Namen oder eine IP-Adresse ein. DNS-Namen können Platzhalter (*) enthalten.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
107
Aufgabe Schritte
5. Um mehr Unterdomänen festzulegen, klicken Sie auf , um weitere Felder hinzuzufügen.
6. Klicken Sie auf Hinzufügen.
7. Wiederholen Sie ggf. die Schritte 2 bis 6, um eine weitere vertrauenswürdige Domäne hinzuzufügen.
5. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Senden des gleichen Clientzertifikats an mehrere Geräte, auf Seite 79Senden von Clientzertifikaten auf Geräte mit SCEP, auf Seite 76
Einrichten vonCardDAV- undCalDAV-Profilen füriOS - undOS X -GeräteSie könnenCardDAV- undCalDAV-Profile verwenden, umiOS - undOS X -Geräten den Zugriff auf Kontakt- und Kalenderdaten auf einem Remoteserver zu gestatten. Sie können Benutzerkonten, Benutzergruppen oder GerätegruppenCardDAV- undCalDAV-Profile zuweisen. Mehrere Geräte können auf dieselben Informationen zugreifen.
OS X wendet Profile auf Benutzerkonten oder -geräte an. CardDAV- und CalDAV-Profile werden auf Benutzerkonten angewendet.
Erstellen eines CardDAV-ProfilsBevor Sie beginnen:
• Stellen Sie sicher, dass das Gerät auf einen aktiven CardDAV-Server zugreifen kann.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben dem CardDAV-Profil.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Geben Sie die Serveradresse für das Profil ein. Hierbei handelt es sich um den FQDN des Computers, der die Kalenderanwendung hostet.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
108
5. Führen Sie im Feld Benutzername eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie den Benutzernamen ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserName% ein.
6. Falls erforderlich, geben Sie den Port für den CardDAV-Server an.
7. Falls erforderlich, wählen Sie das Kontrollkästchen SSL verwenden aus und geben die URL für den SSL-Server ein.
8. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Weisen Sie das Profil Benutzern, Benutzergruppen oder Gerätegruppen zu.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Erstellen eines CalDAV-ProfilsBevor Sie beginnen:
• Stellen Sie sicher, dass das Gerät auf einen aktiven CalDAV-Server zugreifen kann.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben dem CalDAV-Profil.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Geben Sie die Serveradresse für das Profil ein. Hierbei handelt es sich um den FQDN des Computers, der die Kalenderanwendung hostet.
5. Führen Sie im Feld Benutzername eine der folgenden Aktionen aus:
• Wenn Sie das Profil für einen Benutzer erstellen, geben Sie den Benutzernamen ein.
• Wenn Sie das Profil für mehrere Benutzer erstellen, geben Sie %UserName% ein.
6. Falls erforderlich, geben Sie den Port für den CalDAV-Server an.
7. Falls erforderlich, wählen Sie das Kontrollkästchen SSL verwenden aus und geben die URL für den SSL-Server ein.
8. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Weisen Sie das Profil Benutzern, Benutzergruppen oder Gerätegruppen zu.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
109
Einrichten von Good Dynamics für GeräteSie können das Good Dynamics-Profil verwenden, um iOS- und Android-Geräten den Zugriff auf Good Dynamics-Produktivität-Apps wie Good Work, Good Access, und Good Connect zu ermöglichen. Sie können den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen das Good Dynamics-Profil zuweisen. Mehrere Geräte können auf dieselben Apps zugreifen.
Das Good Dynamics-Profil wird der BES12-Verwaltungskonsole hinzugefügt, wenn die Kommunikation zwischen der BES12 und dem Good Control-Server konfiguriert wird. Das Profil ermöglicht Ihnen, Good Dynamics für Benutzer zu aktivieren, die noch nicht für Good aktiviert sind.
Weitere Informationen finden Sie in der Dokumentation zur Integration von BES12 und Good Dynamics.
Einrichten von Unternehmensdatenschutz für Windows 10-GeräteSie können den Unternehmensdatenschutz (EDP) für Windows 10-Geräte einrichten, wenn Sie Folgendes erreichen möchten:
• Trennen von persönlichen und geschäftlichen Daten auf Geräten mit der Möglichkeit, nur geschäftliche Daten zu löschen
• Verhindern, dass Benutzer geschäftliche Daten außerhalb der geschützten geschäftlichen Apps oder für Personen außerhalb Ihres Unternehmens freigeben
• Schützen von Daten, auch wenn diese auf andere Geräte verschoben oder auf diesen freigegeben werden, z. B. USB-Sticks
• Überwachen des Benutzerverhaltens und Ergreifen von entsprechenden Maßnahmen zur Vermeidung von Datenlecks
Wenn Sie den Datenschutz für Unternehmen auf Geräten einrichten, legen Sie fest, welche Apps mit EDP geschützt werden sollen. Geschützte Apps gelten als vertrauenswürdig und können zum Erstellen von und für den Zugriff auf geschäftliche Daten genutzt werden, während der Zugriff nicht geschützter Apps auf geschäftliche Dateien gesperrt werden kann. Sie können das erforderliche Maß an Schutz für geschützte Apps basierend darauf festlegen, wie Benutzer sich bei der Freigabe von geschäftlichen Daten verhalten sollen. Wenn EDP aktiviert ist, werden alle Datenfreigabepraktiken überwacht. Weitere Informationen zu EDP finden Sie unter https://technet.microsoft.com/en-us/itpro/windows/keep-secure/protect-enterprise-data-using-edp.
Die von Ihnen angegebenen Apps können uneingeschränkt oder eingeschränkt EDP-fähig sein. Uneingeschränkt EDP-fähige Apps können geschäftliche und persönliche Daten erstellen und auf diese zugreifen. Eingeschränkt EDP-fähige Apps können nur geschäftliche Daten erstellen und auf diese zugreifen. Weitere Informationen zu uneingeschränkt oder eingeschränkt EDP-fähigen Apps finden Sie unter https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enlightened-microsoft-apps-and-edp.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
110
Erstellen eines Unternehmensdatenschutzprofils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Unternehmensdatenschutz.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Wählen Sie unter Einstellungen für Unternehmensdatenschutzprofil eine der folgenden Schutzebenen aus:
• Deaktiviert
• Im Hintergrund
• Außer Kraft setzen
• Sperren
5. Geben Sie im Feld Geschützte Domänennamen im Unternehmen die Namen der geschäftlichen Domänen ein. Trennen Sie mehrere Domänen mit einem senkrechten Strich (|).
6. Wählen Sie bei Bedarf Datenentschlüsselung durch Benutzer zulassen aus.
7. Wählen Sie bei Bedarf Schutz unter Sperrkonfiguration erzwingen.
8. Klicken Sie im Feld Zertifikatdatei zur Datenwiederherstellung (.der, .cer) auf Durchsuchen, und wählen Sie eine Zertifikatdatei für die Datenwiederherstellung aus.
9. Wählen Sie bei Bedarf Unternehmensdatenschutz-Einstellungen entfernen, wenn ein Gerät aus BES12 entfernt wird aus.
10. Wählen Sie bei Bedarf Unternehmensdatenschutz-Symboleinblendungen in geschützten Dateien und Apps anzeigen, die Unternehmensinhalte erstellen können aus.
11. Geben Sie bei Bedarf unter IP-Bereich des geschäftlichen Netzwerks eine Liste mit geschäftlichen IP-Adressen an. Verwenden Sie einen Gedankenstrich (-) zum Kennzeichnen von Bereichen und ein Komma (,) zum Trennen von Adressen.
12. Legen Sie im Feld Payload-Code für Desktop-App die Desktop-Apps fest, die auf durch EDP geschützte Daten zugreifen dürfen bzw. nicht zugreifen dürfen.
13. Legen Sie im Feld Payload-Code für universelle Windows-Plattform-App die Apps fest, die auf durch EDP geschützte Daten zugreifen dürfen bzw. nicht zugreifen dürfen.
14. Klicken Sie auf Hinzufügen.
Verwandte InformationenEinstellungen für das Unternehmensdatenschutzprofil, auf Seite 504
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
111
Verwenden von Strong Authentication by BlackBerry für sichere Verbindungen mit kritischen RessourcenStrong Authentication by BlackBerry schützt den Zugang auf die kritischen Ressourcen Ihres Unternehmens mithilfe der Zwei-Faktor-Authentifizierung. Strong Authentication verlangt ein Kennwort von Benutzern und zeigt jedes Mal, wenn sie Ressourcen öffnen möchten, eine Sicherheitsaufforderung auf dem Mobilgerät an.
Die Verwaltung von Strong Authentication erfolgt über die BES12-Verwaltungskonsole, in der Sie ein Strong Authentication-Profil zum Aktivieren der Zwei-Faktor-Authentifizierung für Ihre Benutzer verwenden. Um die neueste Version von Strong Authentication und die zugehörigen Funktionen nutzen zu können, z. B. Vorauthentifizierung und Wiederherstellung, muss den Benutzern das Strong Authentication-Profil zugewiesen werden. Weitere Informationen finden Sie in der Dokumentation zu Profilen für Strong Authentication.
Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen RessourcenBlackBerry Secure Connect Plusist eineBES12-Komponente, die einen sicheren IP-Tunnel zwischen Apps und dem Netzwerk des Unternehmens bereitstellt.
• Auf BlackBerry 10-, Samsung KNOX Workspace und Android for Work-Geräten verwenden alle Apps des geschäftlichen Bereichs den sicheren Tunnel.
• FüriOS-Geräte können Sie zulassen, dass alle Apps den Tunnel nutzen oder festlegen, welche Apps „Per App VPN“ verwenden.
Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall Ihres Unternehmens, wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.
BlackBerry Secure Connect Plus und unterstützte Geräte erstellen einen sicheren IP-Tunnel, wenn dies die beste Wahl für eine Verbindung mit dem Netzwerk des Unternehmens ist. Ist einem Gerät ein Wi-Fi oder VPN-Profil zugewiesen, und das Gerät hat Zugriff auf das geschäftliche Wi-Fi- bzw. VPN-Netzwerk, wird diese Methode zum Herstellen einer Verbindung verwendet. Stehen diese Möglichkeiten nicht zur Verfügung (z. B. wenn der Benutzer sich außerhalb des geschäftlichen Wi-Fi-Funkbereichs befindet), stellen BlackBerry Secure Connect Plus und das Gerät einen sicheren IP-Tunnel her.
Wenn Sie aufiOS-Geräten „Per App VPN“ fürBlackBerry Secure Connect Pluskonfigurieren, verwenden die konfigurierten Apps immer eine sicher Tunnelverbindung überBlackBerry Secure Connect Plus, auch wenn die App eine Verbindung zum geschäftlichenWi-FiNetzwerk oder VPN herstellen kann, das in einemWi-Fi- oder VPN-Profil festgelegt ist.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
112
Unterstützte Geräte kommunizieren zur Herstellung des sicheren Tunnels über die BlackBerry Infrastructure mit BES12. Für jedes Gerät wird ein Tunnel erstellt. Der Tunnel unterstützt Standard-IPv4-Protokolle (TCP und UDP). Solange der Tunnel geöffnet ist, haben die Apps Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er geschlossen.
BlackBerry Secure Connect Plus bietet die folgenden Vorteile:
• IP-Datenverkehr zwischen Geräten und BES12 wird komplett mithilfe von AES256 verschlüsselt, wodurch die Sicherheit geschäftlicher Daten gewährleistet wird.
• BlackBerry Secure Connect Plus bietet eine sichere, zuverlässige Verbindung mit geschäftlichen Ressourcen, wenn ein Benutzer nicht auf das geschäftliche Wi-Fi-Netzwerk oder VPN zugreifen kann.
• BlackBerry Secure Connect Plus wird hinter der Firewall des Unternehmens installiert, sodass Daten in einem vertrauenswürdigen Bereich übertragen werden, der die Sicherheitsstandards des Unternehmens erfüllt.
Weitere Informationen darüber, wie BlackBerry Secure Connect Plus Daten zu und von Geräten überträgt, finden Sie in der Dokumentation zur Architektur.
Schritte zum Aktivieren von BlackBerry Secure Connect PlusBeim Aktivieren von BlackBerry Secure Connect Plus führen Sie die folgenden Aktionen aus:
Schritt Aktion
Stellen Sie sicher, dass die BES12-Domäne im Unternehmen die Anforderungen zur Verwendung von BlackBerry Secure Connect Plus erfüllt.
Stellen Sie sicher, dass BlackBerry Secure Connect Plus im Standard-Enterprise-Konnektivitätsprofil oder in einem von Ihnen erstellten benutzerdefinierten Enterprise-Konnektivitätsprofil aktiviert ist.
Optional: Legen Sie die DNS-Einstellungen für die BES12 Secure Connect Plus-App fest.
Weisen Sie das Enterprise-Konnektivitätsprofil Benutzern und Gruppen zu.
Anforderungen an Server und GeräteZur Verwendung von BlackBerry Secure Connect Plus muss die Umgebung des Unternehmens folgende Anforderungen erfüllen.
BES12-Domäne:
• Die Firewall muss ausgehende Verbindungen über Port 3101 mit <region>.turnb.bbsecure.com und <region>.bbsecure.com zulassen. Wenn Sie BES12 zur Verwendung eines Proxyservers konfigurieren, muss dieser
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
113
Verbindungen über Port 3101 mit diesen Unterdomänen zulassen. Weitere Informationen zu den Domänen und IP-Adressen für die Firewall-Konfiguration finden Sie in Artikel KB36470 unter http://support.blackberry.com/kb.
• In jeder BES12-Instanz muss die BlackBerry Secure Connect Plus-Komponente ausgeführt werden.
• Standardmäßig sind Android for Work-Geräte für die Verwendung von BlackBerry Secure Connect Plus zum Aufbau einer Verbindung zu Google Play und zugrunde liegenden Diensten (com.android.providers.media, com.android.vending und com.google.android.apps.gcs) gesperrt. Google Play weist keine Proxy-Unterstützung auf. Android for Work-Geräte stellen die Verbindung zu Google Play über eine direkte Internetverbindung her.
Diese Einschränkungen sind im Standardprofil für die Enterprise-Konnektivität sowie in allen von Ihnen neu erstellten Enterprise-Konnektivitätsprofilen konfiguriert. Es wird empfohlen, diese Einschränkungen beizubehalten. Wenn Sie die Einschränkungen entfernen, müssen Sie sich an den Google Play-Support wenden, um zu erfahren, welche Firewall-Konfiguration erforderlich ist, um Verbindungen zu Google Play über BlackBerry Secure Connect Plus zuzulassen.
Unterstützte Geräte:
Gerät Anforderungen
BlackBerry 10 • BlackBerry 10 OS Version 10.3.2 oder höher
• Eine der folgenden Aktivierungsarten:
◦ Geschäftlich und persönlich – Unternehmen
◦ Nur geschäftlicher Bereich
◦ Geschäftlich und persönlich – Reguliert
Samsung KNOX Workspace • Android Version 5.0 oder höher
• Samsung KNOX MDM Version 5.0 oder höher
• Samsung KNOX Version 2.3 oder höher
• Eine der folgenden Aktivierungsarten:
◦ Nur geschäftlicher Bereich (Samsung KNOX)
◦ Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
◦ Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX)
Android for Work • Android Version 5.1 oder höher
• Eine der folgenden Aktivierungsarten:
◦ Nur geschäftlicher Bereich (Android for Work – Premium)
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
114
Gerät Anforderungen
◦ Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
iOS • iOS Version 9 oder höher
• Geräte müssen mit der Good for BES12-App aus dem App Store aktiviert werden.
• MDM-Steuerelemente-Aktivierungsart
Weitere Informationen zu den Lizenzen, die für die Verwendung vonBlackBerry Secure Connect Pluserforderlich sind,finden Sie in der Dokumentation zur Lizenzierung.
Lastverteilung und hohe Verfügbarkeit für BlackBerry Secure Connect PlusWenn es in einer Domäne mehrere BES12-Instanzen gibt, wird die BlackBerry Secure Connect Plus-Komponente in jeder Instanz ausgeführt und verarbeitet Daten. Für die Daten erfolgt eine Lastverteilung über alle BlackBerry Secure Connect Plus-Komponenten in der Domäne.
Failover für hohe Verfügbarkeit ist für BlackBerry 10-, Samsung KNOX Workspace-, Android for Work- und iOS-Geräte verfügbar. Wenn ein Gerät einen sicheren Tunnel verwendet und die aktuelle BlackBerry Secure Connect Plus-Komponente unverfügbar wird, weist die BlackBerry Infrastructure das Gerät einer BlackBerry Secure Connect Plus-Komponente einer anderen BES12-Instanz zu. Das Gerät nimmt die Verwendung des sicheren Tunnels mit minimaler Unterbrechung wieder auf.
BlackBerry Secure Connect Plusund die BlackBerry Connectivity NodeSie können BlackBerry Connectivity Node-Instanzen installieren, um zusätzliche Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Jeder BlackBerry Connectivity Node umfasst eine aktive Instanz von BlackBerry Secure Connect Plus zur Verarbeitung von Gerätedaten und zum Aufbau sicherer Verbindungen.
Weitere Informationen zur Planung und Installation von BlackBerry Connectivity Node finden Sie in der Dokumentation zur Planung und in der Dokumentation zur Installation und zu Upgrades.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
115
Aktivieren und Konfigurieren von BlackBerry Secure Connect PlusSie können BlackBerry Secure Connect Plus über ein Enterprise-Konnektivitätsprofil aktivieren.
• Im Fall von BlackBerry 10-Geräten ist BlackBerry Secure Connect Plus in die Enterprise-Konnektivitätsfunktion integriert. Sie können die Enterprise-Konnektivität für BlackBerry 10-Geräte nicht deaktivieren.
• Im Fall von Android-Geräten gilt die Enterprise-Konnektivität spezifisch für Geräte mit Secure Work Space, und BlackBerry Secure Connect Plus spezifisch für Samsung KNOX Workspace- und Android for Work-Geräte.
• Im Fall von iOS-Geräten muss die Enterprise-Konnektivität für die Verwendung von BlackBerry Secure Connect Plus aktiviert werden. Sie können BlackBerry Secure Connect Plus für alle Anwendungen auf iOS-Geräten aktivieren, oder Sie konfigurieren Per App VPN, sodass nur bestimmte Anwendungen BlackBerry Secure Connect Plus verwenden können.
Hinweis: Wenn Sie ein E-Mail-Profil zum Aktivieren von BlackBerry Secure Gateway Service für iOS-Geräte verwenden, die mit MDM-Steuerelementen aktiviert sind, empfiehlt es sich, Per App VPN für BlackBerry Secure Connect Plus zu konfigurieren. Weitere Informationen zum BlackBerry Secure Gateway Service finden Sie unter iOS: E-Mail-Profileinstellungen.
Verwandte InformationenEinrichten von Enterprise-Konnektivität für Geräte, auf Seite 103
Aktivieren von BlackBerry Secure Connect PlusWenn Sie zulassen möchten, dass Geräte BlackBerry Secure Connect Plus verwenden, müssen Sie BlackBerry Secure Connect Plus in einem Enterprise-Konnektivitätsprofil aktivieren und das Profil Benutzern und Gruppen zuweisen. BlackBerry Secure Connect Plus ist standardmäßig für BlackBerry 10- und unterstützte Android-Geräte aktiviert. Für iOS-Geräte ist BlackBerry Secure Connect Plus standardmäßig nicht aktiviert.
Folgende Optionen sind möglich:
• Überprüfen Sie, ob BlackBerry Secure Connect Plus im Standardprofil für Enterprise-Konnektivität für die entsprechenden Gerätetypen aktiviert ist. Wird einem Benutzerkonto kein benutzerdefiniertes Enterprise-Konnektivitätsprofil direkt oder per Gruppenmitgliedschaft zugewiesen, weist BES12 das Standardprofil zu.
• Erstellen Sie ein benutzerdefiniertes Enterprise-Konnektivitätsprofil anhand der nachfolgenden Anweisungen, und weisen Sie es den Benutzern und Gruppen zu.
Wenn das Enterprise-Konnektivitäts-Profil auf ein Gerät nach dessen Aktivierung angewendet wird, sendet BES12 das zur Verwendung von BlackBerry Secure Connect Plus erforderliche SCEP- und VPN-Profil an das Gerät. BES12 installiert zudem die BES12 Secure Connect Plus-App auf dem Gerät (auf Android for Work-Geräten wird die App automatisch aus Google Play installiert; auf iOS-Geräten wird die App automatisch aus dem App Store installiert). Auf BlackBerry 10-Geräten ist die App verborgen und erfordert keine Benutzerinteraktion.
1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Richtlinien und Profile.
2. Klicken Sie auf neben Enterprise-Konnektivität.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
116
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Für BlackBerry 10-Geräte aktivieren
1. Vergewissern Sie sich, dass auf der Registerkarte BlackBerry das Kontrollkästchen BlackBerry Secure Connect Plus aktivieren ausgewählt ist.
2. Wenn Sie Datenverkehr über einen sicheren Tunnel von BlackBerry 10-Geräten über einen Proxyserver zum geschäftlichen Netzwerk weiterleiten möchten, wählen Sie in der Dropdownliste Proxy-Profil das entsprechende Proxy-Profil aus.
Für unterstützte Android-Geräte aktivieren
1. Vergewissern Sie sich, dass auf der Registerkarte Android das Kontrollkästchen BlackBerry Secure Connect Plus aktivieren ausgewählt ist.
2. Wenn Sie Datenverkehr über einen sicheren Tunnel von Geräten mit Samsung KNOX 2.5 oder höher über einen Proxyserver zum geschäftlichen Netzwerk weiterleiten möchten, wählen Sie in der Dropdown-Liste Proxy-Profil das entsprechende Proxy-Profil aus.
Hinweis: Die Proxyprofileinstellung gilt auch für Enterprise-Konnektivität der Android-Geräte, die Secure Work Space nutzen. Die Proxyprofileinstellung gilt nicht für Android for Work-Geräte oder Geräte mit Samsung KNOX Version 2.4 oder früher.
3. Wenn Sie verhindern möchten, dass eine bestimmte geschäftliche App auf Android for Work-Geräten BlackBerry Secure Connect Plus verwendet, klicken Sie im Abschnitt Enterprise-Konnektivität für Android for Work-Container auf
, und geben Sie die App-Paket-ID ein. Wiederholen Sie den Vorgang bei Bedarf, um weitere Apps zu sperren.
Hinweis: Google Play und die zugrunde liegenden Dienste (com.android.providers.media, com.android.vending und com.google.android.apps.gcs) sind standardmäßig gesperrt, da Google Play keine Proxy-Verbindungen unterstützt. Es wird empfohlen, diese Einschränkungen beizubehalten. Wenn Sie eine dieser Einschränkungen entfernen, müssen Sie sich an den Google Play-Support wenden, um zu erfahren, welche Firewall-Konfiguration erforderlich ist, um Verbindungen zu Google Play über BlackBerry Secure Connect Plus zuzulassen.
Für iOS-Geräte aktivieren 1. Aktivieren Sie auf der Registerkarte iOS das Kontrollkästchen BlackBerry Secure Connect Plus aktivieren.
2. Wenn Sie Per App VPN so konfigurieren möchten, dass nur bestimmte Anwendungen BlackBerry Secure Connect Plus verwenden können, aktivieren Sie das Kontrollkästchen Aktivieren der Funktion „Per App VPN“. Wenn Sie die
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
117
Aufgabe Schritte
Domains angeben möchten, die eine VPN-Verbindung in Safari starten dürfen,
klicken Sie auf . Wenn Sie möchten, dass Apps die VPN-Verbindung automatisch starten können, wählen Sie aktivieren Sie das Kontrollkästchen Zulassen, dass Apps automatisch eine Verbindung herstellen.
3. Wenn Sie zulassen möchten, dass alle Apps BlackBerry Secure Connect Plus verwenden können, deaktivieren Sie das Kontrollkästchen Aktivieren der Funktion „Per App VPN“.
Hinweis: Wenn Sie diese Option auswählen, müssen Benutzer die VPN-Verbindung für die Verwendung von BlackBerry Secure Connect Plus auf ihren Geräten manuell aktivieren. Solange die VPN-Verbindung aktiv ist, verwendet das Gerät BlackBerry Secure Connect Plus für die Verbindung zum Unternehmensnetzwerk. Die Benutzer müssen die VPN-Verbindung ausschalten, wenn sie eine andere Verbindung, z. B. das Wi-Fi-Unternehmensnetzwerk, verwenden möchten. Weisen Sie die Benutzer an, wenn es angebracht ist, die VPN-Verbindung zu ein- bzw. auszuschalten (die VPN-Verbindung kann beispielsweise aktiviert werden, wenn Benutzer sich nicht im Abdeckungsbereich des geschäftlichen Wi-Fi-Netzwerks aufhalten).
4. Wenn Sie Regeln für BlackBerry Secure Connect Plus-Verbindungen festlegen möchten, klicken Sie auf VPN auf Abruf aktivieren, und geben Sie die entsprechenden Domänen oder Hostnamen, Aktionen und Regeln an. Weitere Informationen zu den Einstellungen finden Sie unter iOS und OS X: VPN-Profileinstellungen.
Hinweis: Wenn Sie zulassen, dass alle Apps auf iOS-Geräten BlackBerry Secure Connect Plus verwenden, vermeiden Sie Regeln für „VPN auf Abruf“ wie „Verbinden“, um zu verhindern, dass die VPN-Verbindung immer eingeschaltet ist. Andernfalls versucht das Gerät möglicherweise während der Aktivierung, eine VPN-Verbindung herzustellen, bevor die erforderlichen Profile und Zertifikate von BES12 empfangen wurden. Dann kann das Gerät keine Verbindung herstellen, und der Benutzer die VPN-Verbindung aus- und wieder einschalten, um das Problem zu beheben. Es wird empfohlen, stattdessen Regeln für „VPN auf Abruf“ wie „Verbindung bewerten“ zu verwenden, damit das Gerät die erforderlichen Profile und Zertifikate empfangen kann, bevor es versucht, eine VPN-Verbindung zu angegebenen Domains herzustellen.
Derzeit kann ein Proxy-Profil auf der Registerkarte iOS nur für Geräte mit Secure Work Space festgelegt werden. Das Proxy-Profil gilt aufgrund eines bekannten Problems in der BlackBerry Secure Connect Plus-Software nicht für iOS.
4. Klicken Sie auf Hinzufügen.
5. Weisen Sie das Profil Benutzergruppen bzw. Benutzerkonten zu.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
118
6. Wenn Sie „Per App VPN“ für iOS-Geräte konfiguriert haben, verknüpfen Sie dies mit dem entsprechenden Enterprise-Konnektivitätsprofil, wenn Sie eine App oder App-Gruppe zuweisen.
Auf Samsung KNOX Workspace- und Android for Work-Geräten werden Benutzer von der BES12 Secure Connect Plus-App aufgefordert, die Ausführung als VPN und den Zugriff auf private Schlüssel auf dem Gerät zuzulassen. Weisen Sie die Benutzer an, dieser Aufforderung nachzukommen. Die Benutzer von Samsung KNOX Workspace- Android for Work und iOSGeräten können die App zum Anzeigen des Status der Verbindung öffnen. Es sind keine weiteren Maßnahmen von den Benutzern erforderlich.
Wenn Sie fertig sind:
• Wenn Sie mehrere Enterprise-Konnektivitäts-Profile erstellt haben, weisen Sie ihnen eine Rangordnung zu.
• Wenn Sie ein Verbindungsproblem mit einem KNOX Workspace-, Android for Work- oder iOS-Gerät beheben müssen, kann der Benutzer Geräteprotokolle an die E-Mail-Adresse eines Administrators senden (der Benutzer gibt eine von Ihnen bereitgestellte E-Mail-Adresse an). Beachten Sie, dass die Anzeige der Protokolle mit Winzip nicht möglich ist. Es ist daher empfehlenswert, ein anderes Tool wie z. B. 7-Zip zu verwenden.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Profilen einen Rang zuweisen, auf Seite 62
Festlegen der DNS-Einstellungen für die BES12 Secure Connect Plus-AppSie können den DNS-Server festlegen, der von der BES12 Secure Connect Plus-App für sichere Tunnelverbindungen verwendet werden soll. Sie können außerdem Suffixe für die DNS-Suche angeben. Wenn Sie keine DNS-Einstellungen festlegen, bezieht die App DNS-Adressen von dem Computer, der die BlackBerry Secure Connect Plus-Komponente hostet, und als standardmäßigen Suchsuffix wird die DNS-Domäne dieses Computers verwendet.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Klicken Sie auf Infrastruktur > BlackBerry Secure Connect Plus.
3. Aktivieren Sie das Kontrollkästchen DNS-Server manuell konfigurieren, und klicken Sie auf .
4. Geben Sie die Adresse des DNS-Servers in Dezimalschreibweise mit Punkt ein (zum Beispiel: 192.0.2.0). Klicken Sie auf Hinzufügen.
5. Wiederholen Sie ggf. die Schritte 3 und 4, um weitere DNS-Server hinzuzufügen. Klicken Sie in der Tabelle DNS-Server auf die Pfeile in der Spalte Rangordnung, um die Rangordnung der DNS-Server festzulegen.
6. Wenn Sie Suffixe für die DNS-Suche festlegen möchten, führen Sie die folgenden Schritte aus:
a. Aktivieren Sie das Kontrollkästchen DNS-Suchsuffixe manuell verwalten, und klicken Sie auf .
b. Geben Sie die das DNS-Suchsuffix ein (z. B. domain.com). Klicken Sie auf Hinzufügen.
7. Wiederholen Sie ggf. Schritt 6, um weitere DNS-Suchsuffixe hinzuzufügen. Klicken Sie in der Tabelle DNS-Suchsuffix auf die Pfeile in der Spalte Rangordnung, um die Rangordnung der DNS-Server festzulegen.
8. Klicken Sie auf Speichern.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
119
Leiten des geschäftlichen Datenverkehrs in BlackBerry 10 über BlackBerry Secure Connect Plus, wenn einWi-Fi-Netzwerk verfügbar istWenn Sie mit BES12 ein Wi-Fi-Profil konfigurieren und BlackBerry 10-Geräten zuweisen, wird auf den Geräten dem geschäftlichen Wi-Fi-Netzwerk Vorrang vor BlackBerry Secure Connect Plus gegeben. Steht das geschäftliche Wi-Fi-Netzwerk nicht zur Verfügung, und den Geräten ist kein VPN-Profil zugewiesen oder sie haben keinen VPN-Zugriff, wird BlackBerry Secure Connect Plus verwendet. Sie können den gesamten geschäftlichen Datenverkehr über BlackBerry Secure Connect Plus leiten, selbst wenn Geräte Zugriff auf das Wi-Fi-Netzwerk haben. Diese Option kann beispielsweise dann verwendet werden, wenn die Sicherheitsstandards im Unternehmen Geräteverbindungen mit geschäftlichen Ressourcen über das Wi-Fi-Netzwerk nicht zulassen.
Hinweis: Durch die Aktivierung dieser Funktion wird der gesamte geschäftliche Datenverkehr, für den normalerweise das Wi-Fi-Netzwerk verwendet würde, über eine sichere Verbindung mit der BlackBerry Infrastructure geleitet. Diese Funktion kann Auswirkungen auf Datennutzungs- und Netzwerkkosten Ihres Unternehmens haben. Vergewissern Sie sich, dass dies die bevorzugte Konfiguration im Unternehmen ist, bevor Sie diese Funktion aktivieren.
Bevor Sie beginnen: Vergewissern Sie sich, dass in der den Benutzern von BlackBerry 10-Geräten zugewiesenen IT-Richtlinie die IT-Richtlinienregel „Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen“ nicht ausgewählt ist.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich Wi-Fi, und klicken Sie auf das Wi-Fi-Profil, das Benutzern von BlackBerry 10-Geräten zugewiesen ist.
3. Klicken Sie auf .
4. Aktivieren Sie auf der Registerkarte BlackBerry im Bereich Verknüpfte Profile das Kontrollkästchen Enterprise-Konnektivitäts-Profil mit BlackBerry Secure Connect Plus-Verbindung für geschäftliche Daten verwenden.
5. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Wenn Sie mehrere Wi-Fi-Profile erstellt und zugewiesen, wiederholen Sie diese Schritte entsprechend.
Verwandte InformationenBlackBerry 10: Wi-Fi-Profileinstellungen, auf Seite 443
Fehlerbehebung BlackBerry Secure Connect Plus
BlackBerry Secure Connect Plus-Adapter wechselt in den Zustand „Nicht identifizierter Netzwerk“ und funktioniert nicht mehr
Ursache
Dieses Problem kann auftreten, wenn Sie den Computer, auf dem BlackBerry Secure Connect Plus gehostet wird, neu starten.
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
120
Lösung für Windows Server 2008 R2 und Windows Server 2008 R2 SP1
1. Erweitern Sie im Server-Manager Rollen > Netzwerkrichtlinien- und Zugriffsdienste. Klicken Sie mit der rechten Maustaste auf Routing und Remotezugriff und dann auf Routing und RAS deaktivieren.
2. Klicken Sie mit der rechten Maustaste auf Routing und Remotezugriff und dann auf Routing und RAS konfigurieren und aktivieren.
3. Schließen Sie den Setup-Assistenten unter Auswahl folgender Optionen ab:
a Wählen Sie im Bildschirm Konfiguration die Option Netzwerkadressenübersetzung (NAT).
b Wählen Sie im Bildschirm NAT-Internetverbindung die Option Diese öffentliche Schnittstelle zum Herstellen der Internetverbindung verwenden . Vergewissern Sie sich, dass BlackBerry Secure Connect Plus in der Liste der Netzwerkschnittstellen angezeigt wird.
4. Erweitern Sie Rollen > Netzwerkrichtlinien- und Zugriffsdienste > Routing und Remotezugriff > IPv4, und klicken Sie auf NAT. Öffnen Sie die Eigenschaften von LAN-Verbindung, und wählen Sie An das Internet angeschlossene, öffentliche Schnittstelle und NAT auf dieser Schnittstelle aktivieren. Klicken Sie auf OK.
5. Öffnen Sie die Eigenschaften von BlackBerry Secure Connect Plus, und wählen Sie An ein privates Netzwerk angeschlossene, private Schnittstelle. Klicken Sie auf OK.
6. Klicken Sie mit der rechten Maustaste auf Routing und Remotezugriff und dann auf Alle Tasks > Neu starten.
7. Starten Sie in den Windows-Diensten den Dienst BES12 – BlackBerry Secure Connect Plus.
Es kann ein paar Minuten dauern bis der BlackBerry Secure Connect Plus-Adapter unter „Netzwerkverbindungen“ eine erfolgreiche Verbindung anzeigt.
Laden und installieren Sie den Hotfix im Windows-KB-Artikel NAT functionality fails on a Windows Server 2008 R2 SP1-based RRAS server.
Lösung für Windows Server 2012
1. Klicken Sie im Server-Manager auf Verwalten > Rollen und Features hinzufügen. Klicken Sie so oft auf Weiter, bis der Bildschirm Features angezeigt wird. Erweitern Sie Remoteserver-Verwaltungstools > Rollenverwaltungstools, und wählen Sie Tools für die Remotezugriffsverwaltung. Schließen Sie den Assistenten zum Installieren der Tools ab.
2. Klicken Sie auf Extras > Remotezugriffsverwaltung.
3. Klicken Sie unter Konfiguration auf DirectAccess und VPN.
4. Klicken Sie unter VPN auf RRAS-Verwaltung öffnen.
5. Klicken Sie mit der rechten Maustaste auf den Routing- und RAS-Server und dann auf Routing und RAS deaktivieren.
6. Klicken Sie mit der rechten Maustaste auf den Routing- und RAS-Server und dann auf Routing und RAS konfigurieren und aktivieren.
7. Schließen Sie den Setup-Assistenten unter Auswahl folgender Optionen ab:
a Wählen Sie im Bildschirm Konfiguration die Option Netzwerkadressenübersetzung (NAT).
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
121
b Wählen Sie im Bildschirm NAT-Internetverbindung die Option Diese öffentliche Schnittstelle zum Herstellen der Internetverbindung verwenden . Vergewissern Sie sich, dass BlackBerry Secure Connect Plus in der Liste der Netzwerkschnittstellen angezeigt wird.
8. Erweitern Sie Rollen > Netzwerkrichtlinien- und Zugriffsdienste > Routing und Remotezugriff > IPv4, und klicken Sie auf NAT. Öffnen Sie die Eigenschaften von LAN-Verbindung, und wählen Sie An das Internet angeschlossene, öffentliche Schnittstelle und NAT auf dieser Schnittstelle aktivieren. Klicken Sie auf OK.
9. Öffnen Sie die Eigenschaften von BlackBerry Secure Connect Plus, und wählen Sie An ein privates Netzwerk angeschlossene, private Schnittstelle. Klicken Sie auf OK.
10. Klicken Sie mit der rechten Maustaste auf den Routing- und RAS-Server und dann auf Alle Tasks > Neu starten.
11. Starten Sie in den Windows-Diensten den Dienst BES12 – BlackBerry Secure Connect Plus.
Laden und installieren Sie den Hotfix im Windows-KB-Artikel NAT functionality fails on a Windows Server 2012-based RRAS server.
BlackBerry Secure Connect Plus wird nicht gestartet
Problemursache
Die TCP/IPv4-Einstellungen für den BlackBerry Secure Connect Plus-Adapter sind möglicherweise nicht korrekt.
Mögliche Lösung
Überprüfen Sie unter Netzwerkverbindungen > BlackBerry Secure Connect Plus Adapter > Eigenschaften > Internet Protocol Version 4 (TCP/IPv4) > Eigenschaften, ob für Folgende IP-Adresse verwenden die folgenden Standardwerte ausgewählt sind:
• IP-Adresse: 172.16.0.1
Subnetzmaske: 255.255.0.0
Korrigieren Sie diese Einstellungen bei Bedarf, und starten Sie den Server neu.
Anzeigen der Protokolldateien für BlackBerry Secure Connect PlusZwei Protokolldateien mit Standardspeicherort <Laufwerk>:\Programme\BlackBerry\BES\Logs\<jjjjmmtt> erfassen Daten zu BlackBerry Secure Connect Plus:
• BSCP: Protokolldaten zur BlackBerry Secure Connect Plus-Serverkomponente
• BSCP-TS: Protokolldateien zu Verbindungen mit der BES12 Secure Connect Plus-App
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
122
Zweck Protokoll-datei
Beispiel
Prüfen, ob BlackBerry Secure Connect Plus mit der BlackBerry Infrastructure verbunden ist
BSCP 2015-01-19T13:17:47.540-0500 - BSCP {TcpClientConnectorNio#2} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Received Ping from [id: 0x60bce5a3, /10.90.84.22:28231 => stratos.bcp.bblabs.rim.net/206.53.155.152:3101], responding with Pong.2015-01-19T13:18:22.989-0500 - BSCP {ChannelPinger#1} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Sending Ping to [id: 0xb4a1677a, /10.90.84.22:28232 => stratos.bcp.bblabs.rim.net/206.53.155.152:3101]
Prüfen, ob BlackBerry Secure Connect Plus Aufrufe aus der BES12 Secure Connect Plus-App auf Geräten empfangen kann
BSCP-TS 47: [14:13:21.231312][][3][AsioTurnSocket-1] Connected, host=68-171-243-141.rdns.blackberry.net
48: [14:13:21.239312][][3][AsioTurnSocket-1] Creating TURN allocation
49: [14:13:21.405121][][3][AsioTurnSocket-1] TURN allocation created
Prüfen, ob Geräte den sicheren Tunnel verwenden
BSCP-TS 74: [10:39:45.746926][][3][Tunnel-2FFEC51E] Sent: 2130.6 KB (1733), Received: 201.9 KB (1370), Running: 00:07:00.139249
Verwandte InformationenVerwendung von Protokolldateien, auf Seite 341
E-Mail, Wi-Fi, VPN und andere Geschäftsverbindungen
123
Gerätestandards
Sie können Profile verwenden, um bestimmte Standards für die Geräte in Ihrer Organisation durchzusetzen. Verschiedene Profile unterstützen bestimmte Konfigurationen wie Kompatibilitätsregeln, Einschränkungen bei Webinhalte oder App-Einschränkungen. Sie können Einstellungen für BlackBerry 10-, iOS-, Android- und Windows-Geräte in dem gleichen Profil festlegen und das Profil dann Benutzerkonten, Benutzergruppen oder Gerätegruppen zuweisen.
Schritte zum Einrichten der Gerätestandards für Ihre OrganisationFühren Sie zum Einrichten der Gerätestandards für Ihre Organisation die folgenden Aktionen aus:
Schritt Aktion
Erstellen Sie Profile, um bestimmte Standards auf Geräten voreinzustellen. Erstellen Sie beispielsweise ein Kompatibilitätsprofil, ein Webinhaltsprofil oder ein Organisationshinweisprofil.
Legen Sie ggf. eine Rangfolge für die Profile fest.
Weisen Sie Benutzerkonten, Benutzergruppen oder Gerätegruppen Profile zu.
Verwalten der Gerätestandards mithilfe von ProfilenSie können bestimmte Standards für Geräte über die folgenden in der Bibliothek „Richtlinien und Profile“ verfügbaren Profile verwalten:
Profil Beschreibung
App-Sperrmodus Ein App-Sperrmodus-Profil konfiguriert überwachte iOS-Geräte und Geräte, die mit KNOX MDM verwaltet werden, sodass sie nur eine App ausführen (beispielsweise zu Schulungszwecken oder für Point-of-Sales-Demonstrationen).
8
Gerätestandards
124
Profil Beschreibung
Kompatibilität Ein Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind, und legt entsprechende Durchsetzungsaktionen fest.
BES12 enthält ein Standard-Kompatibilitätsprofil.
Gerät Ein Geräteprofil gestattet die Konfiguration der Informationen, die auf Geräten angezeigt werden.
Gerätedienstanforderungen Ein Profil für Gerätedienstanforderungen definiert die Softwareversionen, die auf BlackBerry 10-Geräten installiert sein müssen.
Enterprise Management Agent Ein Enterprise Management Agent-Profil bestimmt, wann Geräte sich mit BES12 verbinden, um für die App oder Konfiguration Updates zu erhalten, wenn keine Push-Benachrichtigung verfügbar ist.
Standortbestimmung Mithilfe eines Profils für die Standortbestimmung können Sie den Standort von Geräten anfordern und die entsprechenden Standorte auf einer Karte anzeigen.
Verwaltete Domänen Ein Profil für verwaltete Domänen konfiguriert Geräte mit iOS 8 so, dass Benutzer benachrichtigt werden, wenn sie E-Mails außerhalb von vertrauenswürdigen Domänen senden, und es schränkt die Apps ein, die aus internen Domänen heruntergeladene Dokumente anzeigen können.
Netzwerknutzung Mit einem Netzwerknutzungsprofil können Sie steuern, ob geschäftliche Apps auf Geräten mit iOS 9 oder höher das Mobilfunknetz oder Datenroaming verwenden dürfen.
Webinhaltsfilter Ein Webinhaltsfilter-Profil schränkt die Websites ein, die ein Benutzer auf überwachten iOS-Geräten aufrufen kann.
Websymbol Mit einem Websymbol-Profil können Sie ein benutzerdefiniertes Websymbol zum Anzeigen aufiOS - undOS X-Geräte zur Verfügung.
Durchsetzen von Kompatibilitätsregeln für GeräteSie können Kompatibilitätsprofile verwenden, um Gerätebenutzer bei der Einhaltung der in Ihrer Organisation in Bezug auf die Verwendung von BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten festgelegten Standards zu unterstützen. Ein Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind. Sie können
Gerätestandards
125
beispielsweise festlegen, dass Geräte, die entsperrt oder gehackt sind oder für die aufgrund eines nicht autorisierten Zugriffs auf das Betriebssystem ein Integritätsalarm vorliegt, nicht zulässig sind.
Ein Kompatibilitätsprofil legt die folgenden Informationen fest:
• Bedingungen, aufgrund derer ein Gerät mit BES12 nicht kompatibel ist
• Benachrichtigungen, die die Benutzer erhalten, wenn sie die Kompatibilitätsbedingungen verletzen, und die Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht
• Benachrichtigungen, die die Benutzer erhalten, wenn sie gesperrte Apps installieren, und die Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht
• Eine Aktion, die vorgenommen wird, wenn der Benutzer das Problem nicht behebt, einschließlich der Einschränkung des Benutzerzugriffs auf die Ressourcen der Organisation, Löschen geschäftlicher Daten auf dem Gerät oder Löschen aller Daten auf dem Gerät
Bei Samsung KNOX-Geräten, können Sie eine Liste der gesperrten Apps zu einem Compliance-Profil hinzufügen. BES12 setzt jedoch nicht die Kompatibilitätsregeln durch. Stattdessen wird die Liste mit den gesperrten Apps an die Geräte gesendet, die daraufhin die Einhaltung erzwingen. Gesperrte Apps können nicht installiert werden, und wenn sie bereits installiert sind, werden sie deaktiviert. Wenn Sie eine App aus der Liste der gesperrten Apps entfernen, wird die App erneut aktiviert (sofern sie bereits installiert ist).
BES12 enthält ein Standard-Kompatibilitätsprofil. Standardmäßig setzt das Standard-Kompatibilitätsprofil keine Kompatibilitätsbedingungen durch. Um Kompatibilitätsregeln durchzusetzen, können Sie die Einstellungen des Standard-Kompatibilitätsprofils ändern oder benutzerdefinierte Kompatibilitätsprofile erstellen und zuweisen. Benutzerkonten, denen kein benutzerdefiniertes Kompatibilitätsprofil zugewiesen wird, wird das Standard-Kompatibilitätsprofil zugewiesen.
Erstellen eines KompatibilitätsprofilsBevor Sie beginnen:
• Wenn Sie Regeln für gesperrte Apps definieren, fügen Sie die jeweiligen Apps der Liste der gesperrten Apps hinzu. Weitere Informationen finden Sie unter Hinzufügen einer App zur Liste der gesperrten Apps.
• Um Apps in Konformitätsprofilen für Windows Phone zu überwachen, müssen Sie ein AET hochladen. Weitere Informationen finden Sie unter Ein Anwendungsinstallations-Token hochladen für Windows Phone-Geräte.
• Wenn Sie eine E-Mail-Benachrichtigung an Benutzer senden möchten, deren Geräte nicht konform sind, bearbeiten Sie die Standard-E-Mail für Konformitätsverstöße, oder erstellen Sie eine neue E-Mail-Vorlage. Weitere Informationen finden Sie unter Erstellen einer Vorlage für E-Mail-Benachrichtigungen zur Vorschrifteneinhaltung.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Kompatibilität.
3. Geben Sie einen Namen und eine Beschreibung für das Kompatibilitätsprofil ein.
4. Wenn Sie Benutzern bei einem nicht konformen Gerät eine Benachrichtigung senden möchten, führen Sie eine der folgenden Aktionen aus:
Gerätestandards
126
• Wählen Sie in der Dropdown-Liste Gesendete E-Mail bei Erkennung einer Verletzung eine E-Mail-Vorlage aus. Zum Anzeigen der Standard-E-Mail für Konformitätsverstöße klicken Sie auf „Einstellungen > Allgemeine Einstellungen > E-Mail-Vorlagen“.
• Erweitern Sie Gesendete Gerätebenachrichtigung bei Erkennung einer Verletzung. Bearbeiten Sie die Nachricht bei Bedarf.
Wenn Sie Variablen zum Ausfüllen von Benachrichtigungen mit Benutzer-, Geräte- und Kompatibilitätsinformationen verwenden möchten, finden Sie weitere Informationen unter Variablen. Sie können auch eigene benutzerdefinierte Variablen mithilfe der Verwaltungskonsole definieren und verwenden. Weitere Informationen finden Sie unter Benutzerdefinierte Variablen.
5. Klicken Sie auf die Registerkarte für den entsprechenden Gerätetyp, und führen Sie die folgenden Aktionen aus:
• Wenn Geräte mit einer Betriebssystemverletzung als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Integritätsalarm (BlackBerry 10), Betriebssystem mit Jailbreak (iOS) oder Betriebssystem mit Root-Zugriff (Android).
• BlackBerry 10-Geräte: Wenn Geräte, die eine im Gerätedienstanforderungs-Profil aufgeführte gesperrte Software verwenden, als nicht konform gelten sollen, wählen Sie die Option Eine gesperrte Softwareversion wurde installiert aus. Diese Bedingung gilt nicht für Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Unternehmen“.
• Wenn Geräte, auf denen eine gesperrte Betriebssystemversion ausgeführt wird, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Gesperrte Betriebssystemversion wurde installiert. Klicken Sie auf Bearbeiten, um die zu sperrenden Betriebssystemversionen auszuwählen. Klicken Sie dann auf Speichern.
• Wenn gesperrte Gerätemodelle als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Gesperrtes Gerätemodell wurde installiert. Wählen Sie in der Dropdown-Liste Gerätemodell-Einschränkungen aus, ob Sie eine Positiv- oder eine Negativliste erstellen möchten. Klicken Sie auf Bearbeiten, um die zulässigen oder zu sperrenden Gerätemodelle auszuwählen, und klicken Sie auf Speichern.
• Bei iOS- oder Android-Geräten: Wenn Geräte mit Apps, die Sie nicht zugewiesen haben, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Nicht zugewiesene App wurde installiert. Diese Bedingung gilt nicht für Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“.
• Für iOS-, Android- und Windows Phone-Geräte:
◦ Wenn Geräte, bei denen keine gesperrte App vorhanden ist, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Eine erforderliche App ist nicht installiert. Diese Bedingung gilt nicht für Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“. Bei Windows Phone-Geräten Version 8.0 können nur interne erforderliche Apps überwacht werden.
◦ Wenn Geräte, auf denen eine gesperrte App installiert ist, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Eine gesperrte App wurde installiert, und fügen Sie die gesperrten Apps zur Tabelle hinzu. Diese Bedingung gilt nicht für Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“.
• Wenn Geräte, die über einen bestimmten Zeitraum keine Verbindung zu BES12 hergestellt haben, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Gerät ohne Kontakt.
Gerätestandards
127
• Bei Geräten mit Android 6.0 und höher sowie Geräten mit PRIV 5.1.1 und höher: Wenn Geräte, auf denen ein erforderlicher Security Patch nicht installiert wurde, als nicht konform gelten sollen, aktivieren Sie das Kontrollkästchen Erforderliche Security Patch-Stufe nicht installiert. Fügen Sie anschließend die Gerätemodelle und die Security Patch-Datumsangaben hinzu. Geräte mit einem Security Patch, dessen Datum dem angegebenen Datum entspricht oder nach diesem liegt, gelten als konform.
6. Wählen Sie bei allen Geräten (ausgenommen Android-Geräte, die Samsung KNOX verwenden) und für jede in Schritt 4 ausgewählte Bedingung die Aktion aus, die BES12 ausführen soll, wenn ein Benutzergerät als nicht konform eingestuft wird:
Aktion Schritte
Automatische Benachrichtigung des Benutzers, dass sein Gerät nicht konform ist, und Durchführung einer Erzwingungsaktion, wenn der Benutzer das Problem nicht behebt.
1. Klicken Sie in der Dropdown-Liste Erzwingungsaktion auf Vorschrifteneinhaltung fordern.
2. Klicken Sie in der Dropdown-Liste Aufforderungsmethode auf den Nachrichtentyp, der an den Benutzer gesendet werden soll.
3. Geben Sie im Feld Anzahl der Aufforderungen ein, wie oft die Benachrichtigung gesendet werden soll, bevor BES12 die Aktion durchführt.
4. Legen Sie im Feld Aufforderungsintervall und in der Dropdown-Liste die Zeitdauer zwischen den Aufforderungen fest.
5. Klicken Sie in der Dropdown-Liste Aktion bei Ablauf des Aufforderungsintervalls auf die Aktion, die der BES12 bei Ablauf des Aufforderungsintervalls ausführen soll.
• Wenn keine Erzwingungsaktion erfolgen soll, wählen Sie Keine aus.
• Um zu verhindern, dass der Benutzer mit dem Gerät auf geschäftliche Ressourcen und Anwendungen zugreift, wählen Sie Quarantäne (BlackBerry 10) oder Nicht vertrauen (iOS oder Android) aus. Daten und Anwendungen werden nicht vom Gerät gelöscht.
• Um Geschäftsdaten vom Gerät zu löschen, wählen Sie Nur Geschäftsdaten löschen.
• Um alle Daten vom Gerät zu löschen, wählen Sie Alle Daten löschen. Auf Geräten, auf denen „Geschäftlich und persönlich – Unternehmen“ oder „Geschäftlich und persönlich – Benutzer-Datenschutz“ aktiviert ist, werden nur Geschäftsdaten gelöscht.
Verhindern Sie, dass der Benutzer auf geschäftliche Ressourcen und
Klicken Sie in der Dropdown-Liste Erzwingungsaktion auf Quarantäne (BlackBerry 10) oder Nicht vertrauen (iOS oder Android).
Gerätestandards
128
Aktion Schritte
Anwendungen vom Gerät zugreift. Daten und Anwendungen werden nicht vom Gerät gelöscht.
Löschen Sie die Geschäftsdaten vom Gerät. Klicken Sie in der Dropdown-Liste Erzwingungsaktion auf Nur Geschäftsdaten löschen.
Löschen Sie alle Geschäftsdaten vom Gerät. Auf Geräten, auf denen „Geschäftlich und persönlich – Unternehmen“ oder „Geschäftlich und persönlich – Benutzer-Datenschutz“ aktiviert ist, werden nur Geschäftsdaten gelöscht.
Klicken Sie in der Dropdown-Liste Erzwingungsaktion auf Alle Daten löschen.
7. Wiederholen Sie die Schritte 4 und 5 für jeden Gerätetyp, für den Sie die Kompatibilitätsbedingungen konfigurieren möchten.
8. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Erstellen einer Vorlage für E-Mail-Benachrichtigungen zur VorschrifteneinhaltungSie können mehrere E-Mail-Vorlagen erstellen, diese für bestimmte Gerätetypen oder Benutzergruppen anpassen und jedem Benutzerkonto die geeignete Vorlage zuweisen. Wenn das Gerät eines Benutzers die Vorschriften eines Konformitätsprofils nicht einhält, kann BES12 basierend auf der zugewiesenen Vorlage eine personalisierte E-Mail-Nachricht senden. BES12 umfasst eine Standard-E-Mail-Vorlage für Konformitätsverstöße, die bearbeitet, jedoch nicht gelöscht werden kann. Wenn einem Benutzerkonto keine andere Vorlage zugewiesen wird, verwendet BES12 die Standardvorlage.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen.
2. Klicken Sie auf E-Mail-Vorlagen.
3. Klicken Sie auf . Wählen Sie Konformitätsverstoß aus.
4. Geben Sie im Feld Name einen Namen für die Vorlage ein.
5. Geben Sie im Feld Betreff eine Betreffzeile für die E-Mail-Nachricht ein.
Gerätestandards
129
6. Geben Sie im Feld Nachricht den Nachrichtentext der E-Mail zur Vorschrifteneinhaltung ein. Wählen Sie mithilfe des HTML-Editors die Schriftart aus und fügen Sie Bilder ein (z. B. das Unternehmenslogo). Fügen Sie Variablen zum Personalisieren des Nachrichtentexts ein (z. B. die Variable %UserDisplayName% zum Einfügen des Empfängernamens). Eine Liste von Variablen finden Sie hier: Standardvariablen.
7. Klicken Sie auf Speichern.
Filtern von Webinhalten auf iOS-GerätenSie können mithilfe von Webinhaltsfilter-Profilen die Webseiten einschränken, die ein Benutzer in Safari oder in anderen Browser-Apps auf einem iOS-Gerät aufrufen kann. Bei iOS-Geräten mit Secure Work Space begrenzen die Webinhaltsfilter-Profile auch die Webseiten, die ein Benutzer in einem geschäftlichen Browser anzeigen kann. Sie können den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen Webinhaltsfilter-Profile zuweisen.
Wenn Sie ein Webinhaltsfilter-Profil erstellen, können Sie die Option der zulässigen Webseiten auswählen, die die Normen Ihrer Organisation in Bezug auf die Nutzung von Mobilgeräten unterstützt.
Hinweis: Dieses Profil gilt nur für überwachte iOS-Geräte.
Zugelassene Websites Beschreibung
Nur bestimmte Websites Diese Option erlaubt nur den Zugriff auf die von Ihnen festgelegten Websites. Für jede zugelassene Website wird in Safari ein Lesezeichen erstellt.
Beschränken von nicht jugendfreien Inhalten
Mit dieser Option werden unangemessene Inhalte automatisch erkannt und blockiert. Mit den folgenden Einstellungen können Sie auch bestimmte Websites einbinden:
• Erlaubte URLs: Sie können eine oder mehrere URLs hinzufügen, um den Zugriff auf bestimmte Websites zu erlauben. Die Benutzer können die auf dieser Liste aufgeführten Websites unabhängig davon aufrufen, ob die automatische Filterung den Zugriff blockiert.
• Gesperrte URLs: Sie können eine oder mehrere URLs hinzufügen, um den Zugriff auf bestimmte Websites zu sperren. Die Benutzer können die auf dieser Liste aufgeführten Websites nicht aufrufen, und zwar unabhängig davon, ob die automatische Filterung den Zugriff erlaubt.
Erstellen von Webinhaltsfilter-ProfilenWenn Sie ein Webinhaltsfilter-Profil erstellen, muss jede von Ihnen festgelegte URL mit http:// oder https:// beginnen. Ggf. sollten Sie für http:// und https:// separate Eintragsversionen der gleichen URL hinzufügen. Da keine DNS-Auflösung erfolgt, ist es möglich, dass beschränkte Websites nach wie vor aufgerufen werden können (wenn Sie beispielsweise http://www.beispiel.com angeben, könnten die Benutzer dennoch über die IP-Adresse auf die Website zugreifen).
Gerätestandards
130
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Webinhaltsfilter.
3. Geben Sie einen Namen und eine Beschreibung für das Webinhaltsfilter-Profil ein.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Einrichten des Zugriffs auf lediglich bestimmte Websites
1. Vergewissern Sie sich, dass in der Dropdown-Liste Zugelassene Websites die Option Nur bestimmte Websites ausgewählt ist.
2. Klicken Sie im Abschnitt Lesezeichen für bestimmte Websites auf .
3. Führen Sie folgende Aktionen aus:
a Geben Sie im Feld URL eine Webadresse ein, für die der Zugriff gestattet werden soll.
b Optional können Sie auch im Feld Lesezeichenpfad den Namen eines Lesezeichen-Ordners eingeben (zum Beispiel: /Work/).
c Geben Sie im Feld Titel einen Namen für die Website ein.
d Klicken Sie auf Hinzufügen.
4. Wiederholen Sie die Schritte 2 und 3 für alle zugelassenen Websites.
Beschränken von nicht jugendfreien Inhalten
1. Klicken Sie in der Dropdown-Liste Zugelassene Websites auf Nicht jugendfreie Inhalte beschränken, um die automatische Filterung zu aktivieren.
2. Führen Sie optional folgende Aktionen aus:
a Klicken Sie auf neben Erlaubte URLs.
b Geben Sie eine Webadresse ein, für die der Zugriff gewährt werden soll.
c Wiederholen Sie für jede zugelassene Website die Schritte 2.a und 2.b.
3. Führen Sie optional folgende Aktionen aus:
a Klicken Sie auf neben Gesperrte URLs.
b Geben Sie eine Webadresse ein, für die der Zugriff nicht gewährt werden soll.
c Wiederholen Sie für jede beschränkte Website die Schritte 3.a und 3.b.
5. Klicken Sie auf Hinzufügen.
Gerätestandards
131
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Begrenzung von Geräten auf eine einzelne AppAuf überwachten iOS-Geräten oder Android-Geräten, die mit KNOX MDM verwaltet werden, können Sie mithilfe eines App-Sperrmodus-Profils erreichen, dass auf den Geräten nur eine einzige App ausgeführt werden kann. Beispielsweise können Sie ein Gerät zu Schulungszwecken oder für Vorführungen am Verkaufsort auf eine einzige App beschränken. Bei iOS-Geräten ist die Taste „Home“ deaktiviert, und das Gerät öffnet die App automatisch, wenn der Benutzer das Gerät aktiviert oder neu startet.
Erstellen eines Profils für den App-SperrmodusWählen Sie eine einzelne App aus, die auf den Geräten ausgeführt werden soll, und wählen Sie die Geräteeinstellungen aus, die Sie für den Benutzer aktivieren möchten. Sie können bei überwachten iOS-Geräten eine App in der App-Liste auswählen, die Bundle-ID der App angeben oder eine integrierte App auswählen. Geben Sie bei Android-Geräten, die mit KNOX MDM verwaltet werden, den App-Paketbezeichner an, den Sie als Startseite festlegen möchten.
Hinweis: Wenn der Benutzer die App auf keinem Gerät installiert, dann ist das Gerät nach Zuweisung des Profils zu einem Benutzer oder einer Benutzergruppe nicht auf diese App beschränkt.
Bevor Sie beginnen: iOS-Geräte: Wenn Sie beabsichtigen, die App-Liste zur Auswahl einer App zu verwenden, sollten Sie sicherstellen, dass die App auch in der App-Liste verfügbar ist.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben App-Sperrmodus.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Legen Sie fest, ob das Profil auf iOS-Geräte, Android-Geräte oder auf beide Geräte angewandt werden soll.
5. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Festlegen der App, die auf iOS-Geräten ausgeführt werden soll
Führen Sie im Abschnitt Die auf dem Gerät auszuführende App festlegen eine der folgenden Aktionen aus:
• Klicken Sie auf Hinzufügen einer App, und klicken Sie anschließend auf eine App in der Liste.
• Klicken Sie auf Die Bundle-ID einer App festlegen, und geben Sie die Bundle-ID ein (zum Beispiel <com.company.appname>). Gültige
Gerätestandards
132
Aufgabe Schritte
Zeichen sind Groß- und Kleinbuchstaben, die Ziffern 0 bis 9, Bindestrich (-) und Punkt (.).
• Klicken Sie auf Eine integrierte iOS-App auswählen, und wählen Sie eine App aus der Dropdown-Liste aus.
Festlegen der App, die auf Android-Geräten ausgeführt werden soll
Geben Sie im Feld Die auf dem Gerät auszuführende App festlegen den App-Paketbezeichner an, den Sie als Startseite festlegen möchten. Beispiel: Wenn als App „BBM Meetings“ verwendet werden soll, geben Sie com.blackberry.bbm.meetings ein.
6. Wählen Sie unter Vom Administrator freigegebene Einstellungen die Optionen aus, die Sie für den Benutzer bei Verwendung der App aktivieren möchten.
7. iOS-Geräte: Wählen Sie unter Vom Benutzer aktivierbare Einstellungen die Optionen aus, die der Benutzer aktivieren kann.
8. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenHinzufügen einer Android-App zur App-Liste, auf Seite 184Hinzufügen einer iOS-App zur App-Liste, auf Seite 182Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Steuern der Softwareversionen, die Benutzer auf BlackBerry 10-Geräten installieren könnenBei Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 oder höher ausgeführt wird und die mit Geschäftlich und persönlich – Reguliert oder Nur geschäftlicher Bereich aktiviert werden, können Sie mit einem Profil für Gerätedienstanforderungen begrenzen, welche Softwareversionen auf BlackBerry 10-Geräten installiert werden können. Darüber hinaus können Sie für bestimmte Gerätemodelle Ausnahmen zu den globalen Einstellungen hinzufügen. Dies ist beispielsweise hilfreich, wenn Sie eine Softwareversion testen möchten, bevor Sie sie für Ihr Unternehmen verfügbar machen.
Um eine bestimmte Aktion zu erzwingen, wenn eine gesperrte Softwareversion auf einem Gerät installiert wird, müssen Sie ein Kompatibilitätsprofil erstellen und dieses Benutzern, Benutzergruppen oder Gerätegruppen zuweisen. Das Kompatibilitätsprofil gibt an, welche Aktionen ausgeführt werden, wenn der Benutzer die gesperrte Softwareversion nicht vom Gerät löscht.
Gerätestandards
133
Erstellen eines Profils für GerätedienstanforderungenBevor Sie beginnen: Erstellen oder bearbeiten Sie ein Kompatibilitätsprofil, das die Aktionen angibt, die ausgeführt werden, wenn eine gesperrte Softwareversion auf einem Gerät installiert wird.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Gerätedienstanforderungen.
3. Um eine Liste aller BlackBerry 10-Softwareversionen des Geräts und entsprechender Informationen zu Dienstanbieter, Gerätemodell, Hardware-ID, Softwareversion und Widerruf-Status anzuzeigen, klicken Sie auf Anzeige einer Liste der Softwareversionen des Geräts.
4. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
5. Aktivieren Sie das Kontrollkästchen Update erforderlich machen, um eine Aktualisierung des Geräts auf eine im Profil definierte Softwareversion durch den Benutzer zu erzwingen.
6. Geben Sie im Feld Übergangsfrist einen Wert in Stunden ein, der verstreichen kann, bevor die Geräte zwingend aktualisiert werden müssen. Wenn Benutzer ihre Geräte innerhalb der Übergangsfrist nicht aktualisieren, oder wenn Sie die Übergangsfrist auf 0 setzen, wird das Softwareupdate automatisch auf den Geräten installiert.
7. Wählen Sie in der Dropdown-Liste Mindestens erforderliche Softwareversion die Softwareversion aus, die mindestens auf einem BlackBerry 10-Gerät ausgeführt werden muss.
8. Wählen Sie in der Dropdown-Liste Maximale Softwareversion die maximale Softwareversion aus, die auf einem BlackBerry 10-Gerät ausgeführt werden muss.
9. Um die globalen Einstellungen für ein Gerätemodell zu überschreiben, führen Sie die folgenden Aufgaben aus:
a. Klicken Sie in der Tabelle Ausnahmen auf .
b. Wählen Sie in der Dropdown-Liste Verfügbarkeit aus, ob Sie Softwareversionen zulassen oder nicht zulassen möchten. Wenn Sie einen nicht zulässigen Bereich angeben und keinen zulässigen Bereich für ein Gerätemodell angegeben haben, wird eine zweite Spalte eingeblendet, in der Sie einen zulässigen Bereich angeben müssen. Wenn kein zulässiger Bereich angegeben wird, gelten die globalen Einstellungen nicht mehr für das Gerätemodell, und alle Softwareversionen, abgesehen von Ausnahmen, werden automatisch zugelassen.
c. Wählen Sie in der Dropdown-Liste Gerätemodell das Gerätemodell aus, für das Sie eine Ausnahme einrichten möchten.
d. Wählen Sie in der Dropdown-Liste Mindestens die mindestens erforderliche Softwareversion aus, die Sie zulassen oder nicht zulassen möchten.
e. Wählen Sie in der Dropdown-Liste Maximum die maximale Softwareversion aus, die Sie zulassen oder nicht zulassen möchten.
f. Wenn Sie eine Softwareversion nicht zugelassen haben, wählen Sie die mindestens erforderliche Softwareversion aus, die Sie zulassen möchten.
Gerätestandards
134
g. Wenn Sie eine Softwareversion nicht zugelassen haben, wählen Sie die maximale Softwareversion aus, die Sie zulassen möchten.
10. Klicken Sie auf Speichern.
11. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Benutzer anzeigen, die eine widerrufene Softwareversion ausführenSie können eine Liste von Benutzern anzeigen, die eine widerrufene Softwareversion ausführen. Bei einer widerrufenen Softwareversion handelt es sich um eine Softwareversion, die von einem Dienstanbieter nicht mehr akzeptiert wird, aber möglicherweise noch auf dem Gerät eines Benutzers installiert ist.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich den Bereich Gerätedienstanforderungen.
3. Klicken Sie auf den Namen des Profils, das Sie anzeigen möchten.
4. Klicken Sie auf die Registerkarte {0} Benutzer mit einer gesperrten Softwareversion, um die Liste von Benutzern anzuzeigen, die eine widerrufene Softwareversion ausführen.
Verwalten von E-Mail- und Webdomänen für iOS 8-GeräteSie können ein Profil für verwaltete Domänen erstellen, um verwaltete E-Mail- und Webdomänen für iOS-Geräte zu definieren, auf denen iOS 8 oder höher ausgeführt wird.
Hinweis: Ein solches Profil wird nur auf Geräte angewendet, wenn diese mit einer MDM-Steuerelemente-Aktivierungsart aktiviert wurden.
In der folgenden Tabelle werden die Auswirkung des Hinzufügens von E-Mail- und Webdomänen in einem solchen Profil beschrieben:
Gerätestandards
135
Art der Domäne Beschreibung
E-Mail-Domäne E-Mail-Domänen, die im Profil der verwalteten Domänen aufgeführt sind, werden als unternehmensinterne Domänen betrachtet. Wenn ein Benutzer eine E-Mail von einem iOS 8-Gerät an eine E-Mail-Domäne sendet, die im Profil der verwalteten Domänen nicht aufgeführt ist, wird der Benutzer durch die Darstellung der E-Mail-Adresse in Rot gewarnt, dass es sich um einen unternehmensexternen Empfänger handelt. Das Gerät verhindert nicht, dass der Benutzer E-Mails an externe Empfänger sendet.
Webdomäne Webdomänen, die im Profil der verwalteten Domänen aufgeführt sind, werden als unternehmensinterne Domänen betrachtet. Dokumente, die auf einer verwalteten Webdomäne angezeigt oder von dieser heruntergeladen werden, können nur auf dem iOS 8-Gerät unter Verwendung einer verwalteten App geöffnet werden. Das Gerät verhindert nicht, dass der Benutzer Dokumente auf anderen Webdomänen sucht oder anzeigt.
Erstellen eines Profils für verwaltete DomänenBevor Sie beginnen:
• Profile für verwaltete Domänen gelten nur für iOS-Geräte, auf denen iOS 8 oder höher ausgeführt wird.
• Profile für verwaltete Domänen gelten nur für Geräte mit der MDM-Steuerelemente-Aktivierungsart.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Verwaltete Domänen.
3. Geben Sie im Feld Name einen Namen für das Profil ein.
4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein.
5. Klicken Sie im Abschnitt Verwaltete E-Mail-Domänen auf .
6. Geben Sie im Feld E-Mail-Domäne den Namen einer Domäne ein.
Verwenden Sie nur den Namen der Domäne auf oberster Ebene. Verwenden Sie zum Beispiel example.com anstatt example.com/canada.
7. Klicken Sie auf Hinzufügen.
8. Klicken Sie im Abschnitt Verwaltete Webdomänen auf .
9. Geben Sie im Feld Webdomäne den Namen einer Domäne ein.
10. Klicken Sie auf Hinzufügen.
11. Klicken Sie auf Hinzufügen.
Verwandte Informationen
Gerätestandards
136
Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Konfigurieren von zugelassenen und gesperrten Domänen auf Geräten mit einem geschäftlichen BereichUm einen Datenverlust zu verhindern, können Sie die Domänen konfigurieren, auf die die Benutzer über E-Mail, Kalender und Terminplanerdaten im geschäftlichen Bereich auf iOS- und Android-Geräten zugreifen können.
• Wenn Sie eine Liste an zugelassenen Domänen konfigurieren, können Benutzer uneingeschränkt auf die zugelassenen Domänen zugreifen. Sie können zum Beispiel auf Links zur Domäne klicken oder Empfängern über E-Mail-Adressen der Domäne hinzufügen, um E-Mails oder Kalendereinladungen zu senden. Befindet sich eine bestimmte Domäne nicht in der Liste der zugelassen Domänen, zeigt die App eine Warnmeldung an, wenn ein Benutzer versucht, auf eine solche Domäne zuzugreifen. Wenn der Benutzer auf OK tippt, kann er auf die Domäne zugreifen.
• Wenn Sie eine Liste an gesperrten Domänen konfigurieren, können Benutzer auf keine der Domänen in dieser Liste zugreifen. Wenn sie auf Links zur Domäne klicken oder versuchen, Empfänger über E-Mail-Adressen der Domäne hinzuzufügen, zeigt die App eine Fehlermeldung an und gestattet es dem Benutzer nicht, die Aufgabe abzuschließen. Ein Benutzer kann auf Domänen zugreifen, die sich nicht in der Liste mit gesperrten Domänen befinden.
Hinweis: Bei BlackBerry 10-Geräten können Sie alle zugelassenen und gesperrten Domänen mithilfe der IT-Richtlinien „Liste an zugelassenen externen E-Mail-Domänen“ und „Liste an gesperrten externen E-Mail-Domänen“ konfigurieren. Weitere Informationen finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Konfigurieren von zugelassenen und gesperrten Domänen im geschäftlichen Bereich1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das E-Mail-Profil, das Sie ändern möchten.
3. Klicken Sie auf .
4. Klicken Sie auf die Registerkarte iOS oder Android.
5. Fügen Sie im Abschnitt Externe E-Mail-Domänen die Domänen hinzu, die Sie zulassen möchten und die Domänen, die Sie einschränken möchten.
6. Klicken Sie auf Speichern.
Gerätestandards
137
Verwandte InformationeniOS: E-Mail-Profileinstellungen, auf Seite 403Android: E-Mail-Profileinstellungen, auf Seite 408
Erstellen von Organisationshinweisen zur Anzeige auf GerätenSie können BES12 so konfigurieren, dass auf BlackBerry 10-, iOS-, OS X-, Android oder Windows 10-Geräten benutzerdefinierte Hinweis des Unternehmens angezeigt werden. Beispielsweise können Sie während einer Aktivierung festlegen, dass die Bedingungen angezeigt werden, die ein Benutzer befolgen muss, um die Sicherheitsanforderungen in Ihrem Unternehmen zu erfüllen. Der Benutzer muss den Hinweis bestätigen, um mit dem Aktivierungsprozess fortfahren zu können. Sie können mehrere Hinweise erstellen und so verschiedene Anforderungen abdecken. Darüber hinaus können Sie auch separate Versionen der einzelnen Hinweise erstellen, um verschiedene Sprachen zu unterstützen.
Bei Geräten, auf denen eine BlackBerry 10 OS-Version ab 10.3.1 läuft, können Sie auch BES12 konfigurieren, damit ein Organisationshinweis erscheint, sobald ein Benutzer ein Gerät neu startet.
Wann soll der Organisationshinweis angezeigt werden
Wie wird der Organisationshinweis konfiguriert
Bei der Aktivierung Erstellen Sie einen Organisationshinweis, und weisen Sie ihn einem Aktivierungsprofil zu. Um den Hinweis zu ändern, der während der Aktivierung angezeigt wird, müssen Sie das Aktivierungsprofil aktualisieren und anschließend das Gerät neu aktivieren.
Beim Neustart von BlackBerry 10-Geräten
Erstellen Sie einen Organisationshinweis, und weisen Sie ihn auf der Registerkarte BlackBerry eines Geräteprofils zu. Vergewissern Sie sich, dass die IT-Richtlinie „Organisationshinweis nach Geräteneustart anzeigen“ ausgewählt wurde. Um den Hinweis zu ändern, der beim Geräteneustart angezeigt wird, müssen Sie das Geräteprofil aktualisieren.
Hinweis: Die IT-Richtlinie gilt nur für die Aktivierungsarten „Nur Geschäftlich“ und „Geschäftlich und persönlich – Reguliert“ auf Geräten, auf denen die BlackBerry 10 OS-Version 10.3.1 oder höher läuft.
Erstellen von Organisationshinweisen1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Organisationshinweise.
Gerätestandards
138
4. Klicken Sie am rechten Bildschirmrand auf .
5. Geben Sie im Feld Name einen Namen für den Organisationshinweis ein.
6. Optional können Sie auch den Text aus einem bereits vorhandenen Organisationshinweis übernehmen, indem Sie ihn in der Dropdown-Liste Kopierter Text aus Organisationshinweis auswählen.
7. Wählen Sie in der Dropdown-Liste Gerätesprache die Sprache aus, die für den Organisationshinweis als Standardsprache verwendet werden soll.
8. Geben Sie im Feld Organisationshinweis den Text des Organisationshinweises ein.
9. Optional können Sie mehrmals auf Hinzufügen einer weiteren Sprache klicken, um den Organisationshinweis in mehreren Sprachen zu posten.
10. Wenn Sie den Organisationshinweis in mehr als einer Sprache veröffentlichen, wählen Sie die Option Standardsprache unter einer der Nachrichten, um die Standardsprache festzulegen.
11. Klicken Sie auf Speichern.
Wenn Sie fertig sind:
• Wenn der Unternehmenshinweis während der Aktivierung angezeigt werden soll, weisen Sie den Unternehmenshinweis einem Aktivierungsprofil zu.
• Um einen Unternehmenshinweis beim Neustart eines BlackBerry 10-Geräts anzuzeigen, weisen Sie den Unternehmenshinweis einem Geräteprofil zu, und wählen Sie die IT-Richtlinienregel „Unternehmenshinweis nach Geräteneustart anzeigen“ aus.
Anzeigen von Organisationsinformationen auf GerätenSie können Geräteprofile zum Anzeigen von Informationen zu Ihrem Unternehmen auf Geräten erstellen.
Bei BlackBerry 10 wird ein Organisationshinweis angezeigt, wenn der Benutzer das Gerät neu startet. Im Falle von iOS werden die Unternehmensinformationen in der Good for BES12-App angezeigt. Bei Android und Windows Phone werden die Unternehmensinformationen im BES12 Client auf dem Gerät angezeigt. Im Fall von Windows 10 werden die Telefonnummer und die E-Mail-Adresse in den Support-Informationen auf dem Gerät angezeigt.
Auf BlackBerry 10- und iOS-Geräten können Sie ein benutzerdefiniertes Hintergrundbild für den geschäftlichen Bereich mit Informationen für die Benutzer hinzufügen. Sie können beispielsweise ein Bild erstellen, das Kontaktinformationen für den Support, Informationen zu einer internen Website oder das Logo Ihres Unternehmens enthält.
Erstellen eines GeräteprofilsBevor Sie beginnen: Erstellen Sie Unternehmenshinweise für BlackBerry 10-Geräte.
Gerätestandards
139
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Gerät.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein. Jedes Geräteprofil muss über einen eindeutigen Namen verfügen.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Zuweisen eines Organisationshinweises zur Anzeige auf BlackBerry 10-Geräten während des Geräteneustarts
1. Klicken Sie auf BlackBerry.
2. Wählen Sie in der Dropdown-Liste Organisationshinweis zuweisen den Organisationshinweis aus, der auf Geräten angezeigt werden soll.
Definieren Sie füriOSdie Unternehmensinformationen, die in derGood for BES12-App angezeigt werden sollen.
Definieren Sie fürAndroidoderWindows Phonedie Unternehmensinformationen, die in derBES12 Client-App angezeigt werden sollen.
Definieren Sie fürWindows 10die Telefonnummer und E-Mail-Adresse, die in den Support-Informationen auf Geräten angezeigt werden sollen.
1. Klicken Sie aufiOS,AndroidoderWindows.
2. Geben Sie den Namen, die Adresse, Telefonnummer und E-Mail-Adresse Ihrer Organisation ein.
5. Führen Sie ggf. die folgenden Aufgaben aus:
Aufgabe Schritte
Hinzufügen eines Hintergrundbilds zum geschäftlichen Bereich auf BlackBerry 10-Geräten
1. Klicken Sie auf BlackBerry.
2. Klicken Sie im Bereich Hintergrundbild für den geschäftlichen Bereich auf Durchsuchen.
3. Wählen Sie das gewünschte Bild aus.
4. Klicken Sie auf Öffnen.
Hinzufügen eines Hintergrundbilds zum geschäftlichen Bereich auf iOS-Geräten
1. Klicken Sie auf iOS.
2. Klicken Sie im Bereich Hintergrundbild für den geschäftlichen Bereich auf Durchsuchen.
Gerätestandards
140
Aufgabe Schritte
3. Wählen Sie das gewünschte Bild aus.
4. Klicken Sie auf Öffnen.
5. Im Feld Hintergrundbild festlegen für wählen Sie aus, wo das Hintergrundbild angezeigt werden soll.
6. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Durch das Erstellen von Websymbolen füriOS - undOS X -Geräte wendetSie können mit einem Websymbol-Profil ein benutzerdefiniertes Websymbol zur Anzeige auf den Geräten der Benutzer erstellen. Sie können z. B. ein benutzerdefiniertes Websymbol erstellen, das als Verknüpfung zur internen Website Ihres Unternehmens fungiert. Für jedes Websymbol-Profil können Sie die folgenden Attribute konfigurieren:
• Webadresse, die geöffnet wird, wenn Benutzer auf das Websymbol tippen.
• Erscheinungsbild des Websymbols, d. h. Bild und Beschriftung
• Ob Benutzer das Websymbol von ihren Geräten entfernen können
• Ob die Webadresse im Vollbildmodus auf den Geräten der Benutzer geöffnet wird
Bei OS X gelten Profile für Benutzerkonten oder Geräte. Websymbol-Profile gelten für Benutzerkonten.
Erstellen von Websymbol-ProfilenSie müssen ein Websymbol-Profil für jedes Websymbol erstellen, das auf Geräten der Benutzer angezeigt werden soll. Wenn ein Benutzer ein Websymbol von einem Gerät entfernt und es wiederherstellen möchte, müssen Sie das Websymbol-Profil entfernen und dem Benutzer neu zuweisen. Wenn Sie das Kontrollkästchen „Websymbol als Vollbild-App öffnen“ deaktivieren, wird die Webadresse in einem Browser geöffnet.
Hinweis: Websymbol-Profile werden auf Geräten mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“ nicht unterstützt.
Bevor Sie beginnen: Das Bild, das Sie für das Websymbol verwenden möchten, muss folgende Anforderungen erfüllen:
Gerätestandards
141
• Das Bildformat muss .png, .jpg oder .jpeg sein.
• Vermeiden Sie PNG-Bilder mit transparenten Elementen. Transparente Elemente werden auf Geräten schwarz angezeigt.
• Informationen zur empfohlenen Bildgröße finden Sie unter „Icon and Image Sizes“ auf der Website developer.apple.com.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben dem Websymbol.
3. Geben Sie einen Namen und eine Beschreibung für das Websymbol-Profil ein. Dieser Name wird als Beschriftung für das Websymbol verwendet.
4. Klicken Sie auf Durchsuchen. Wählen Sie das Bild für das Websymbol aus. Es werden die Bildformate .png, .jpg und .jpeg unterstützt.
5. Geben Sie im Feld URL die Webadresse ein, die geöffnet werden soll, wenn Benutzer auf das Websymbol tippen. Die Webadresse muss mit „http://“ oder „https://“ beginnen. Bei Geräten mit der Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ können Sie eine Webadresse, die mit „sec-connect://“ oder „sec-connects://“ beginnt, zum Öffnen der Website im Browser des geschäftlichen Bereichs verwenden.
6. Sollen Benutzer das Websymbol von der Startseite ihres Gerät entfernen können, aktivieren Sie das Kontrollkästchen Entfernen durch Benutzer zulassen.
7. Soll die Webadresse im Vollbildmodus auf den Geräten der Benutzer geöffnet werden, aktivieren Sie das Kontrollkästchen Websymbol als Vollbild-App öffnen.
8. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Verwenden von Standortdiensten auf GerätenMithilfe eines Profils für die Standortbestimmung können Sie den Standort von Geräten anfordern und deren ungefähre Position auf einer Karte anzeigen. Sie können Benutzern auch ermöglichen, den Standort ihrer Geräte mithilfe von BES12 Self-Service zu bestimmen. Wenn Sie den Standortverlauf für iOS- und AndroidGeräte aktivieren, müssen die Geräte regelmäßig Standortinformationen melden. Administratoren können den Standortverlauf anzeigen.
In Profilen für die Standortbestimmung werden die Standortdienste auf iOS-, Android- und Windows 10 Mobile-Geräten verwendet. Je nach Gerät und verfügbaren Diensten können Standortdienste Informationen von GPS, Mobilfunknetzen und Wi-Fi-Netzwerken verwenden, um die Position des Geräts zu bestimmen.
Gerätestandards
142
Konfigurieren der Einstellungen für die StandortbestimmungSie können die Einstellungen für Profile für die Standortbestimmung konfigurieren. Hierzu zählt die angezeigte Geschwindigkeitseinheit für ein Gerät, wenn dessen Standort auf einer Karte angezeigt wird. Wenn Sie den Standortverlauf für iOS- und Android-Geräte aktivieren, wird der Standortverlauf von BES12 standardmäßig einen Monat lang gespeichert.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Standortbestimmung.
2. Geben Sie im Feld Alter des Standortverlaufs die Anzahl der Tage, Wochen oder Monate an, für die BES12 den Standortverlauf für Geräte speichert.
3. Klicken Sie in der Dropdown-Liste Angezeigte Geschwindigkeitseinheit auf km/h odermph.
4. Klicken Sie auf Speichern.
Erstellen eines Profils für die StandortbestimmungSie können Benutzerkonten, Benutzergruppen und Gerätegruppen ein Profil für die Standortbestimmung zuweisen. Benutzer müssen das Profil akzeptieren, bevor die Verwaltungskonsole oder BES12 Self-Service die Standorte von iOS- und Android-Geräten auf einer Karte anzeigen kann. Windows 10 Mobile-Geräte akzeptieren das Profil automatisch.
Bevor Sie beginnen: Konfigurieren der Einstellungen für die Standortbestimmung
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben dem Standortdienst.
3. Geben Sie einen Namen und eine Beschreibung für das Profil für die Standortbestimmung ein.
4. Deaktivieren Sie optional das Kontrollkästchen für alle Gerätetypen, für die Sie das Profil nicht konfigurieren möchten.
5. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Aktivieren des Standortverlaufs für iOS-Geräte
1. Überprüfen Sie auf der Registerkarte iOS, ob das Kontrollkästchen Gerätestandortverlauf protokollieren aktiviert ist.
Hinweis: BES12 sammelt die Standortdaten eines Geräts stündlich und wenn sich der Standort erheblich verändert (zum Beispiel 500 Meter oder mehr).
Aktivieren des Standortverlaufs für Android-Geräte
1. Überprüfen Sie auf der Registerkarte Android, ob das Kontrollkästchen Gerätestandortverlauf protokollieren aktiviert ist.
2. Geben Sie im Feld Entfernung für Gerätestandortprüfung die minimale Entfernung an, die ein Gerät zurücklegen muss, bevor der Standort des Geräts aktualisiert wird.
Gerätestandards
143
Aufgabe Schritte
3. Geben Sie im Feld Häufigkeit der Standortaktualisierung an, wie oft der Gerätestandort aktualisiert wird.
Hinweis: Die Bedingungen für die Entfernung und die Häufigkeit müssen erfüllt sein, bevor der Gerätestandort aktualisiert wird.
6. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Standort eines Geräts bestimmen, auf Seite 337
Verwalten von iOS-Funktionen mit benutzerdefinierten Payload-ProfilenMit benutzerdefinierten Payload-Profilen können Sie Funktionen auf iOS-Geräten steuern, die nicht durch bestehende BES12-Richtlinien oder -Profile gesteuert werden.
Hinweis: Wenn eine Funktion durch eine vorhandene BES12-Richtlinie oder ein Profil geregelt ist, funktioniert eventuell ein benutzerdefiniertes Payload-Profil nicht wie erwartet. Sie sollten vorhandene Richtlinien oder Profile verwenden, wann immer dies möglich ist.
Sie können mit dem Apple Apple Configurator-Konfigurationsprofile erstellen und diese den benutzerdefinierten BES12-Payload-Profilen hinzufügen. Sie können benutzerdefinierte Payload-Profile Benutzern, Benutzergruppen und Gerätegruppen zuweisen.
• Kontrolle einer vorhandenen iOSFunktion, die nicht in den BES12-Richtlinien und -Profilen enthalten ist. Mit BES10 konnte die Sekretärin der Geschäftsführung beispielsweise sowohl auf Ihr eigenes E-Mail-Konto als auch auf das des Geschäftsführers auf einem iPhone zugreifen. In BES12 können Sie einem Gerät nur ein E-Mail-Profil zuweisen, sodass die Sekretärin also nur Zugriff auf ihr eigenes E-Mail-Konto hätte. Um dieses Problem zu lösen, können Sie ein E-Mail-Profil zuweisen, das dem iPhone der Sekretärin den Zugang zu ihrem E-Mail-Konto ermöglicht, und ein benutzerdefiniertes Payload-Profil, das dem iPhone der Sekretärin den Zugriff auf das E-Mail-Konto des Geschäftsführers ermöglicht.
• Steuerung einer neuen iOS-Funktion, die wurde freigegeben, nachdem die neuesteBES12 Software Version. Sie möchten beispielsweise eine neue Funktion steuern, die nach einem Upgrade auf iOS 9 verfügbar ist, aber BES12 weist bis zur nächsten BES12-Softwareversion kein Profil für die neue
Gerätestandards
144
Funktion auf. Um dieses Problem zu lösen, können Sie ein benutzerdefiniertes Payload-Profil erstellen, über das diese Funktion bis zur nächsten BES12-Softwareversion gesteuert werden kann.
Benutzerdefiniertes Payload-Profil erstellenBevor Sie beginnen: Herunterladen und Installieren der neuesten Version des Apple Configurator von Apple.
1. Erstellen Sie im Apple Configurator ein Apple-Konfigurationsprofil.
2. Klicken Sie in der BES12-Verwaltungskonsole auf Richtlinien und Profile.
3. Klicken Sie auf Benutzerdefiniertes Payload-Profil hinzufügen.
4. Geben Sie im Feld Name einen Namen für das Profil ein.
5. Geben Sie in das Feld Beschreibung eine Beschreibung der Profilfunktion ein.
6. Kopieren Sie im Apple Configurator den XML-Code für das Apple-Konfigurationsprofil. Achten Sie beim Kopieren von Text darauf, nur die Elemente zu kopieren, die wie im folgenden Codebeispiel gezeigt, in Fettdruck dargestellt werden.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>PayloadContent</key> <array> <dict> <key>CalDAVAccountDescription</key> <string>CalDAV Account Description</string> <key>CalDAVHostName</key> <string>caldav.server.example</string> <key>CalDAVPort</key> <integer>8443</integer> <key>CalDAVPrincipalURL</key> <string>Principal URL for the CalDAV account</string> <key>CalDAVUseSSL</key> </true> <key>CalDAVUsername</key> <string>Username</string> <key>PayloadDescription</key> <string>Configures CalDAV account.</string> <key>PayloadDisplayName</key> <string>CalDAV (CalDAV Account Description)</string> <key>PayloadIdentifier</key> <string>.caldav1</string> <key>PayloadOrganization</key> <string></string> <key>PayloadType</key> <string>com.apple.caldav.account</string> <key>PayloadUUID</key> <string>9ADCF5D6-397C-4E14-848D-FA04643610A3</string> <key>PayloadVersion</key> <integer>1</integer> </dict>
Gerätestandards
145
</array> <key>PayloadDescription</key> <string>Profile description.</string> <key>PayloadDisplayName</key> <string>Profile Name</string> <key>PayloadOrganization</key> <string></string> <key>PayloadRemovalDisallowed</key> <false/> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>7A5F8391-5A98-46EA-A3CF-C0D6EDC74632</string> <key>PayloadVersion</key> <integer>1</integer></dict></plist>
7. Fügen Sie im Feld Benutzerdefinierte Payload den XML-Code aus dem Apple Configurator ein.
8. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen einer IT-Richtlinie zu einer Benutzergruppe, auf Seite 245Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Erstellen eines AirPrint-ProfilsSie können AirPrint-Profile konfigurieren und diese Geräten mit iOS 7 oder höher zuweisen, sodass die Benutzer die Drucker nicht manuell konfigurieren müssen.Mit den AirPrint-Profilen können Benutzer nach Druckern suchen, die AirPrint unterstützen, die für sie zugänglich sind und für die sie die erforderlichen Berechtigungen besitzen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben AirPrint.
3. Geben Sie einen Namen und eine Beschreibung für das AirPrint-Profil ein.
4. Klicken Sie im Abschnitt AirPrint-Konfiguration auf das .
5. Geben Sie in das Feld IP-Adresse die IP-Adresse für den Drucker oder AirPrint-Server ein.
6. Wahlweise können Sie in das Feld Ressourcenpfad auch den Ressourcenpfad des Druckers eingeben.Der Ressourcenpfad des Druckers entspricht dem Parameter rp des Bonjour-Datensatzes _ipps.tcp. Beispiel:
• Drucker/<Druckerserie>
• Drucker/<Druckermodell>
• ipp/print
• IPP_Printer
Gerätestandards
146
7. Klicken Sie auf Hinzufügen.
8. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Konfigurieren von AirPlay-Profilen für iOS-GeräteSie können AirPlay-Profile konfigurieren und diese Geräten mit iOS 7 oder höher zuweisen.Bei AirPlay handelt es sich um eine iOS-Funktion, mit der Sie Fotos anzeigen oder Musik und Videos auf kompatiblen AirPlay-Geräten, wie z. B. Apple-TV, Airport Express oder Lautsprecher mit aktiviertem AirPlay, abspielen können.
Mit einem AirPlay-Profil können Sie Kennwörter für bestimmte AirPlay-Geräte festlegen, um sicherzustellen, dass nur autorisierte Benutzer darauf zugreifen können. Sie können auch eine Liste der zulässigen Zielgeräte erstellen, um sicherzustellen, dass überwachte iOS-Geräte sich nur mit den AirPlay-Geräten verbinden können, die Sie angeben. Sie können den Benutzerkonten, den Benutzergruppen oder den Gerätegruppen AirPlay-Profile zuweisen.
Beispiel: Ein Kennwort für ein AirPlay-Gerät festlegen
Wenn Sie den Zugriff auf ein bestimmtes AirPlay-Gerät beschränken möchten, fügen Sie den Namen des Geräts hinzu, und legen Sie ein Kennwort fest.Benutzer von iOS-Geräten mit diesem AirPlay-Profil müssen das Kennwort eingeben, um Zugriff auf das AirPlay-Gerät zu erhalten. Beachten Sie, dass das Kennwort durch das AirPlay-Profil erforderlich wird, und nicht durch das AirPlay-Gerät selbst.Benutzer von iOS-Geräten, die nicht über ein AirPlay-Profil verfügen, können trotzdem auf das AirPlay-Gerät ohne Kennwort zugreifen.
Beispiel: Erstellen einer Liste von AirPlay-Geräten für überwachte iOS-Geräte
Wenn Sie zulassen möchten, dass überwachte iOS-Geräte Inhalte nur auf bestimmte Geräte streamen, können Sie die Geräte-ID hinzufügen. Überwachte Geräte können nur Inhalte auf Geräte streamen, die Sie angeben. Geräte, die nicht überwacht sind, werden dadurch nicht beeinträchtigt.
Erstellen eines AirPlay-Profils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben AirPlay.
3. Geben Sie einen Namen und eine Beschreibung für das AirPlay-Profil ein.
4. Klicken Sie auf das im Abschnitt Zugelassene Zielgeräte.
5. Geben Sie im Feld Gerätename den Namen des AirPlay-Geräts ein, das Sie hinzufügen möchten. Sie können den Namen des AirPlay-Geräts in den Geräteeinstellungen suchen, oder Sie können den Namen des Gerätes durch Tippen auf Airplay
Gerätestandards
147
im Control Center eines iOS-Geräts suchen, wodurch eine Liste der verfügbaren AirPlay-Geräte in Ihrer Nähe aufgeführt wird.
6. Geben Sie in das Feld Kennwort ein Kennwort ein.
7. Klicken Sie auf Hinzufügen.
8. Klicken Sie auf das im Abschnitt Zugelassene Zielgeräte für Geräte unter Aufsicht.
9. Im Feld Geräte-ID geben Sie die Geräte-ID für das AirPlay-Gerät ein, das Sie hinzufügen möchten. Sie können die Geräte-ID für das AirPlay-Gerät in den Geräteeinstellungen finden. Weitere Informationen über die Suche nach der Geräte-ID finden Sie in der Dokumentation für Ihr Apple-Produkt.
10. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Kontrollieren der Netzwerknutzung von geschäftlichen Apps auf iOS-GerätenSie können ein Netzwerknutzungsprofil verwenden, um zu steuern, wie die geschäftlichen Apps auf Geräten mit iOS 9 oder höher das mobile Netzwerk nutzen.
Um die Netzwerkauslastung zu steuern, können Sie verhindern, dass Apps Daten übertragen, wenn die Geräte mit dem Mobilfunknetz verbunden sind oder sich im Roaming-Modus befinden. Sie können die Netzwerknutzungsrichtlinien für alle geschäftlichen Apps festlegen, oder Sie können Regeln nur für bestimmte geschäftliche Apps festlegen. Ein Netzwerknutzungsprofil kann Regeln für eine App oder mehrere Apps enthalten. Wenn Sie im Profil keine Apps angeben, werden die Regeln auf alle geschäftlichen Apps angewendet.
Erstellen eines NetzwerknutzungsprofilsDie Regeln in einem Netzwerknutzungsprofil gelten nur für geschäftliche Apps. Wenn Sie keine Apps für Benutzer oder Gruppen zugewiesen haben, hat das Netzwerknutzungsprofil keine Wirkung.
Bevor Sie beginnen: Fügen Sie Apps zur Liste der Apps hinzu, und weisen Sie diese Benutzergruppen oder Benutzerkonten zu.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben Netzwerknutzung.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Klicken Sie auf das , um eine App-Paket-ID hinzuzufügen.
5. Führen Sie eine der folgenden Aktionen aus:
Gerätestandards
148
• Um die Profileinstellungen auf alle geschäftlichen Apps anzuwenden, lassen Sie das Feld App-Paket-ID leer.
• Um die Profileinstellungen auf bestimmte Apps anzuwenden, geben Sie die App-Paket-ID ein. Die App-Paket-ID ist auch als Paket-ID bekannt. Sie können die App-Paket-ID durch Klicken auf die App in der Liste der Apps finden. Verwenden Sie einen Platzhalterwert (*), um die ID mit mehreren Apps abzugleichen. (Z. B. com.company.*).
6. Um zu verhindern, dass die App oder Apps Daten nutzen, wenn sich das Gerät im Roaming-Modus befindet, deaktivieren Sie das Kontrollkästchen Datenroaming zulassen.
7. Um zu verhindern, dass die App oder Apps Daten nutzen, wenn das Gerät mit dem mobilen Netzwerk verbunden ist, deaktivieren Sie das Kontrollkästchen Mobile Daten zulassen.
8. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Konfigurieren, wann Geräte Kontakt zu BES12 aufnehmenSie können das Enterprise Management Agent-Profil verwenden, um festzulegen, wie lange ein Gerät zwischen den Versuchen wartet, Kontakt zu BES12 für App- oder Konfigurationsupdates aufzunehmen. Sie können den Benutzern, Benutzergruppen und Gerätegruppen ein Enterprise Management Agent-Profil zuweisen.
Für BlackBerry 10-Geräte können Sie über das Enterprise Management Agent-Profil zudem einschränken, welche Cipher Suites der SSL-Bibliothek von dem Gerät unterstützt werden. Die Beschränkung der unterstützten Cipher Suites hat keine Auswirkungen auf die Kommunikation des Geräts mit BES12, könnte aber Auswirkungen auf die Kommunikation mit anderen Servern in Ihrer Organisation, je nach Anforderungen dieser Server haben.
Erstellen eines Enterprise Management Agent-Profils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das neben dem Profil Enterprise Management Agent.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Legen Sie die Werte für jeden Gerätetyp wie von Ihrem Unternehmen vorgeschrieben fest. Weitere Einzelheiten zu den Profileinstellungen finden Sie unter Enterprise Management Agent-Profileinstellungen.
5. Klicken Sie auf Hinzufügen.
Gerätestandards
149
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269Enterprise Management Agent-Profileinstellungen, auf Seite 501
Gerätestandards
150
IT-Richtlinien
Sie können IT-Richtlinien zum Verhalten der Sicherheit und des Verhaltens von Geräten in Ihrer Organisation verwenden. Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten gesteuert werden. Sie können Regeln für BlackBerry 10-, iOS-, OS X-, Android und Windows-Geräte in derselben IT-Richtlinie konfigurieren. Das Betriebssystem des Geräts bestimmt über die Liste der Funktionen, die mit IT-Richtlinien gesteuert werden können, und die Aktivierungsart des Geräts bestimmt, welche Regeln einer IT-Richtlinie für ein bestimmtes Gerät gelten. Geräte ignorieren Regeln einer IT-Richtlinie, die nicht für sie gelten.
BES12 enthält eine Standard-IT-Richtlinie mit vorkonfigurierten Regeln für jeden Gerätetyp. Wenn einem Benutzerkonto, einer Benutzergruppe, dem ein Benutzer angehört, oder einer Gerätegruppe, dem die Geräte eines Benutzers angehören, keine IT-Richtlinie zugewiesen ist, sendet BES12 die Standard-IT-Richtlinie an die Geräte des Benutzers. BES12 sendet automatisch eine IT-Richtlinie an ein Gerät, wenn es von einem Benutzer aktiviert wird, wenn Sie eine zugewiesene IT-Richtlinie aktualisieren oder wenn einem Benutzerkonto oder Gerät eine andere IT-Richtlinie zugewiesen wird.
BES12 wird täglich über Port 3101 mit BlackBerry Infrastructure synchronisiert, um zu bestimmen, ob aktualisierte IT-Richtlinieninformationen verfügbar sind. Wenn aktualisierte IT-Richtlinieninformationen verfügbar sind, werden sie von BES12 abgerufen und in der BES12-Datenbank gespeichert. Administratoren mit der Berechtigung „IT-Richtlinien anzeigen“ bzw. „IT-Richtlinien erstellen und bearbeiten“ werden über das Update benachrichtigt, wenn sie sich anmelden.
Weitere Informationen zu IT-Richtlinienregeln für die einzelnen Gerätetypen finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ .
Schritte zum Verwalten von IT-RichtlinienUm IT-Richtlinien zu verwalten, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Überprüfen Sie die Standard-IT-Richtlinie, und nehmen Sie bei Bedarf Aktualisierungen vor.
Legen Sie optional benutzerdefinierte IT-Richtlinien fest.
Ggf. müssen Sie den IT-Richtlinien einen Rang zuweisen.
Wenn Sie benutzerdefinierte IT-Richtlinien erstellen, weisen Sie diese den Benutzerkonten, Benutzergruppen oder Gerätegruppen zu.
9
IT-Richtlinien
151
Einschränken und Zulassen von GerätefunktionenBei der Konfiguration von IT-Richtlinienregeln können Sie Gerätefunktionen einschränken oder zulassen. Die für jeden Gerätetyp zur Verfügung stehenden IT-Richtlinienregeln sind von Betriebssystem und Version des Geräts sowie von der Aktivierungsart der Geräte abhängig. Je nach Gerätetyp und Aktivierungsart können Sie beispielsweise IT-Richtlinienregeln verwenden, um folgende Aufgaben zu erledigen:
• Durchsetzen von Kennwortanforderungen für das Gerät oder den geschäftlichen Bereich auf einem Gerät
• Verhindern, dass Benutzer Gerätefunktionen wie die Kamera verwenden
• Steuern von Verbindungen über die drahtlose Bluetooth-Technologie
• Steuern der Verfügbarkeit bestimmter Apps
• Durchsetzen von Verschlüsselung und anderen Sicherheitsmerkmalen
Je nach Geräteaktivierungsart können Sie mithilfe von IT-Richtlinienregeln das gesamte Gerät, nur den geschäftlichen Bereich eines Geräts oder beides steuern. Weitere Informationen zu IT-Richtlinienregeln für die einzelnen Gerätetypen finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Einrichten der Anforderungen für GerätekennwörterAnforderungen für Gerätekennwörter können mithilfe von IT-Richtlinienregeln eingerichtet werden. Sie können die Anforderungen für die Kennwortlänge und Komplexität, Kennwortablauf und das Ergebnis bei falschen Kennwortversuchen festlegen. Die folgenden Themen erläutern die Regeln für Kennwörter, die für die verschiedenen Geräte und Aktivierungsarten gelten.
Weitere Informationen zu IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current12.2/policy-reference-spreadsheet-zip/ .
Einrichten der BlackBerry 10 KennwortanforderungenAuf BlackBerry 10-Geräten beeinflussen die Kennwortregeln das Kennwort für den geschäftlichen Bereich. „Nur geschäftlicher Bereich“-Geräte müssen über ein Kennwort verfügen, und die Anforderungen für das Kennwort können von Ihnen festgelegt werden.
Sie können wählen, ob „Geschäftlich und persönlich – Unternehmen“ und „Geschäftlich und persönlich – Reguliert„- Geräte ein Kennwort für den geschäftlichen Bereich benötigen. Wenn Kennwörter für den geschäftlichen Bereich erforderlich sind,
IT-Richtlinien
152
können Sie die Mindestanforderungen für das Kennwort angeben. Sie können festlegen, ob ein Gerätekennwort ebenfalls erforderlich ist und angeben, ob Kennwörter für den geschäftlichen Bereich und Gerätekennwörter identisch sein müssen.
Regel Details
Für den geschäftlichen Bereich ist ein Kennwort erforderlich
Angeben, ob Geräte mit der Aktivierungsart „Geschäftlich und persönlich – Unternehmen“ und „Geschäftlich und persönlich – Reguliert“ ein Kennwort für den geschäftlichen Bereich erfordern. Geräte mit der Aktivierungsart „Nur geschäftlicher Bereich“ müssen über ein Kennwort verfügen.
Mindestlänge des Kennworts Geben Sie die Mindestlänge des Kennworts für den geschäftlichen Bereich an. Das Kennwort muss mindestens aus 4 Zeichen bestehen.
Minimale Kennwortkomplexität
Geben Sie die minimale Komplexität des Kennworts für den geschäftlichen Bereich an. Sie können eine der folgenden Optionen auswählen:
• Keine Einschränkung
• Mindestens 1 Buchstabe und 1 Zahl
• Mindestens 1 Buchstabe, 1 Zahl und 1 Sonderzeichen
• Mindestens 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Zahl und 1 Sonderzeichen
• Mindestens 1 Großbuchstabe, 1 Kleinbuchstabe und 1 Zahl
Sicherheits-Timeout Geben Sie den Zeitraum der Inaktivität an, bevor der geschäftliche Bereich gesperrt wird.
Maximale Kennwortversuche Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor der geschäftliche Bereich bereinigt wird. Auf Geräten mit der Aktivierungsart „Geschäftlich und persönlich – Unternehmen“ und „Geschäftlich und persönlich – Reguliert“ wird das Gerät bereinigt, wenn für den geschäftlichen Bereich und das Gerät das gleiche Kennwort verwendet wird.
Maximaler Kennwortverlauf Legen Sie fest, wie viele vorherige Kennwörter das Gerät prüft, um zu verhindern, dass ein Kennwort für den geschäftlichen Bereich erneut verwendet wird. Wird 0 verwendet, prüft das Gerät vorherige Kennwörter nicht.
Maximales Kennwortalter Legen Sie fest, wie viele Tage das Kennwort für den geschäftlichen Bereich maximal verwendet werden kann. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Kennwort für das gesamte Gerät ist erforderlich
Legen Sie fest, ob Geräte mit „Geschäftlich und persönlich – Unternehmen“ und „Geschäftlich und persönlich – Reguliert“ ein Kennwort für das Gerät und den geschäftlichen Bereich erfordern.
Verhalten des Kennworts für geschäftlichen Bereich und Gerät definieren
Geben Sie an, ob das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines Gerätes unterschiedlich oder gleich sein müssen, oder ob der Benutzer wählen kann, ob die Kennwörter identisch sind.
IT-Richtlinien
153
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
Einrichten der iOS KennwortanforderungenEs gibt zwei Gruppen von IT-Richtlinienregeln füriOS-Kennwörter. Welche Regeln Sie verwenden, hängt von der Aktivierungsart des Geräts ab, und davon, ob sie Anforderungen für das Gerätekennwort oder das Kennwort für den geschäftlichen Bereich festlegen.
Aktivierungsart Unterstützte Kennwortregeln
MDM-Steuerelemente Verwenden Sie die Kennwortregeln zum Festlegen der Anforderungen für Gerätekennwörter.
Das Gerät verfügt nicht über einen geschäftlichen Bereich. Die Secure Work Space-Kennwortregeln werden vom Gerät ignoriert.
Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Verwenden Sie die Kennwortregeln zum Festlegen der Anforderungen für Gerätekennwörter.
Verwenden Sie die Secure Work Space-Kennwortregeln zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich. Die Regeln für das Gerätekennwort haben keine Auswirkung auf den geschäftlichen Bereich und umgekehrt.
Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Sie haben keine Kontrolle über das Gerätekennwort. Die Regeln für das Gerätekennwort werden vom Gerät ignoriert.
Verwenden Sie die Secure Work Space-Kennwortregeln zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
iOS: Regeln für das GerätekennwortDie iOS-Kennwortregeln legen die Gerätekennwortanforderungen für Geräte mit den folgenden Aktivierungsarten fest:
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Hinweis: Bei iOS-Geräten und in einigen Gerätekennwortregeln wird der Begriff „Code“ verwendet, beide Begriffe „Kennwort“ und „Code“ haben jedoch die gleiche Bedeutung.
Regel Beschreibung
Kennwort für Gerät erforderlich
Legen Sie fest, ob der Benutzer ein Gerätekennwort einrichten muss.
IT-Richtlinien
154
Regel Beschreibung
Einfachen Wert zulassen Legen Sie fest, ob das Kennwort aufeinanderfolgende und sich wiederholende Zeichen, wie etwa „DEFG“ oder „3333“, enthalten darf.
Alphanumerischer Wert erforderlich
Geben Sie an, ob das Kennwort sowohl Buchstaben als auch Zahlen enthalten muss.
Mindestlänge für Kennwörter Legen Sie die Mindestlänge des Kennworts fest. Wenn Sie einen Wert eingeben, der kleiner ist als die für das iOS-Gerät erforderliche Mindestlänge, wird die Mindestlänge verwendet.
Mindestanzahl an komplexen Zeichen
Legen Sie die Mindestanzahl an nicht alphanumerischen Zeichen fest, die das Gerätekennwort enthalten muss.
Maximales Kennwortalter Legen Sie fest, wie viele Tage das Kennwort maximal verwendet werden kann.
Maximale Zeit für automatische Sperre
Legen Sie den Maximalwert fest, den der Benutzer für die Zeit bis zur automatischen Sperre einstellen kann, also für die Anzahl der Minuten der Benutzerinaktivität, die verstreichen müssen, bevor das Gerät gesperrt wird. Wenn „Keine“ eingestellt ist, sind auf dem Gerät alle unterstützten Werte verfügbar. Wenn der ausgewählte Wert außerhalb des vom Gerät unterstützten Bereichs liegt, nutzt das Gerät den nächsten unterstützten Wert.
Kennwortverlauf Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein Kennwort erneut verwendet wird.
Maximale Übergangsfrist für Gerätesperre
Legen Sie den Maximalwert fest, den der Benutzer für die Übergangsfrist der Gerätesperre einstellen kann, also für die Zeit, die ein Gerät gesperrt sein kann, bevor zum Entsperren ein Kennwort erforderlich ist. Wenn "Keine" eingestellt ist, sind auf dem Gerät alle Werte verfügbar. Wenn „Sofort“ eingestellt ist, ist sofort nach Sperren des Geräts zum Entsperren das Kennwort erforderlich.
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor das Gerät bereinigt wird.
Kennwortänderungen zulassen (nur unter Aufsicht)
Legen Sie fest, ob ein Benutzer das Kennwort hinzufügen, ändern oder entfernen kann.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
iOS: Secure Work Space-KennwortregelnDieiOS Secure Work Space-Kennwortregeln legen die Kennwortanforderungen für den geschäftlichen Bereich von Geräten mit den folgenden Aktivierungsarten fest:
IT-Richtlinien
155
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Geräte mit diesen Aktivierungsarten erfordern ein Kennwort für den geschäftlichen Bereich.
Regel Beschreibung
Kennwörter mit aufeinanderfolgenden und sich wiederholenden Zeichen zulassen
Legen Sie fest, ob das Kennwort aufeinanderfolgende und sich wiederholende Zeichen, wie etwa „DEFG“ oder „3333“, enthalten darf.
Erforderliche Buchstaben Geben Sie an, ob das Kennwort Buchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Buchstaben festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Kleinbuchstaben
Geben Sie an, ob das Kennwort Kleinbuchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Kleinbuchstaben festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Zahlen Geben Sie an, ob das Kennwort Zahlen enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Zahlen festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Sonderzeichen Geben Sie an, ob das Kennwort Sonderzeichen enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Sonderzeichen festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Großbuchstaben Geben Sie an, ob das Kennwort Großbuchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Großbuchstaben festlegen, die das Gerätekennwort enthalten muss.
Kennwortlänge begrenzen Geben Sie an, ob das Kennwort eine minimale und eine maximale Länge aufweisen muss. Wenn Sie diese Regel auswählen, können Sie die minimale und maximale Anzahl von Zeichen festlegen, die das Gerätekennwort enthalten darf.
Maximales Kennwortalter Legen Sie fest, wie viele Tage das Kennwort maximal verwendet werden kann. Nachdem die angegebene Anzahl von Tagen verstrichen ist, läuft das Kennwort ab, und der Benutzer muss ein neues Kennwort festlegen. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Erneute Verwendung vorheriger Kennwörter einschränken
Legen Sie fest, ob ein Benutzer vorherige Kennwörter wiederverwenden kann. Wenn Sie diese Regel auswählen, können Sie die Anzahl von vorherigen Kennwörtern festlegen, die das Gerät prüft, um zu verhindern, dass ein Benutzer vorherige Kennwörter wiederverwendet.
Geschäftlichen Bereich sperren, wenn Gerät gesperrt wird
Legt fest, ob der geschäftliche Bereich gesperrt wird, wenn das Gerät gesperrt wird, während der Benutzer sich im geschäftlichen Bereich befindet.
IT-Richtlinien
156
Regel Beschreibung
Wenn Sie diese Regel auswählen, wird der geschäftliche Bereich sofort gesperrt, wenn sich ein Benutzer im geschäftlichen Bereich befindet und das Gerät manuell sperrt. Oder der geschäftliche Bereich wird nach einem Zeitraum der Inaktivität gesperrt, der entweder kürzer als die Einstellung „Inaktivitätszeitraum des geschäftlichen Bereichs, bevor der geschäftliche Bereich gesperrt wird“ oder als die Einstellung für die automatische Sperre auf dem Gerät ist.
Geschäftlichen Bereich nach Inaktivität des geschäftlichen Bereichs sperren
Legen Sie fest, ob der geschäftliche Bereich nach einem Zeitraum der Inaktivität des geschäftlichen Bereichs gesperrt werden soll.
Wenn Sie diese Regel auswählen, wird, wenn sich ein Benutzer im geschäftlichen Bereich befindet, der geschäftliche Bereich nach einem Zeitraum der Inaktivität gesperrt, der kürzer als die Einstellung „Inaktivitätszeitraum des geschäftlichen Bereichs, bevor der geschäftliche Bereich gesperrt wird“ ist oder, wenn Sie die Regel „Geschäftlichen Bereich sperren, wenn Gerät gesperrt wird“ auswählen, kürzer als die automatische Sperre auf dem Gerät ist. Wenn sich der Benutzer im persönlichen Bereich befindet, wird der geschäftliche Bereiche nach dem in der Einstellung „Geschäftlichen Bereich nach verstrichener Zeit im persönlichen Bereich sperren“ festgelegten Zeitraum gesperrt. Wenn Sie diese Regel auswählen und der geschäftliche Bereich gesperrt wird, während eine geschäftliche App geöffnet ist, wird das Gerät nicht gesperrt, und der Bildschirm wird nicht ausgeschaltet.
Inaktivitätszeitraum des geschäftlichen Bereichs, bevor der geschäftliche Bereich gesperrt wird
Legt fest, wie lange der geschäftliche Bereich inaktiv sein muss, bevor der geschäftliche Bereich gesperrt wird.
Geschäftlichen Bereich nach verstrichener Zeit im persönlichen Bereich sperren
Legt die Dauer fest, die der Benutzer im persönlichen Bereich bleiben muss, bevor der geschäftliche Bereich gesperrt wird.
Anzahl der fehlgeschlagenen Kennwort-Eingabeversuche begrenzen
Legen Sie fest, ob das Gerät die Anzahl der Versuche einer falschen Eingabe des Kennworts für den geschäftlichen Bereich begrenzen soll. Wenn Sie diese Regel auswählen, legen Sie fest, wie oft das Kennwort falsch eingegeben werden kann und welche Aktion ausgeführt wird, wenn die Grenze erreicht wurde. Das Gerät kann eine der folgenden Aktionen ausführen:
• Deaktivieren des geschäftlichen Bereichs bis zur Wiederherstellung durch den Administrator
• Deaktivieren des Geräts und Löschen aller Daten im geschäftlichen Bereich
• Deaktivieren des geschäftlichen Bereichs und Deaktivieren des Geräts nach Ablauf einer festgelegten Anzahl von Tagen
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
IT-Richtlinien
157
Einrichten der OS X KennwortanforderungenSie können auswählen, ob Kennwortregeln für OS X-Geräte für das Gerät oder den Benutzer gelten sollen, und ob ein Kennwort erforderlich ist. Wenn ein Kennwort erforderlich ist, können Sie die Anforderungen für das Kennwort festlegen.
Regel Beschreibung
IT-Richtlinienregelziel Diese Regel gibt an, ob die IT-Richtlinienregeln für das Kennwort nur für das Konto des zugeordneten Benutzers oder für das gesamte Gerät gelten.
Kennwort für Gerät erforderlich
Legen Sie fest, ob der Benutzer ein Gerätekennwort einrichten muss.
Einfaches Kennwort zulassen Legen Sie fest, ob das Kennwort aufeinanderfolgende und sich wiederholende Zeichen, wie etwa „DEFG“ oder „3333“, enthalten darf.
Alphanumerischer Wert erforderlich
Geben Sie an, ob das Kennwort sowohl Buchstaben als auch Zahlen enthalten muss.
Mindestlänge für Kennwort Legen Sie die Mindestlänge des Kennworts fest.
Mindestanzahl an komplexen Zeichen
Legen Sie die Mindestanzahl an nicht alphanumerischen Zeichen fest, die das Gerätekennwort enthalten muss.
Maximales Kennwortalter Legen Sie fest, wie viele Tage das Gerätekennwort maximal verwendet werden darf, bevor es abläuft und der Benutzer ein neues Kennwort festlegen muss.
Maximale Zeit für automatische Sperre
Legen Sie die maximale Anzahl der Minuten für die Benutzerinaktivität fest, bevor das Gerät gesperrt wird. Wenn „Keine“ eingestellt ist, kann der Benutzer einen beliebigen Wert auswählen.
Kennwortverlauf Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein Kennwort erneut verwendet wird.
Maximale Übergangsfrist für Gerätesperre
Legen Sie den Maximalwert fest, den der Benutzer für die Übergangsfrist der Gerätesperre einstellen kann, also für die Zeit, die ein Gerät gesperrt sein kann, bevor zum Entsperren ein Kennwort erforderlich ist.
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor das Gerät bereinigt wird.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
IT-Richtlinien
158
Einrichten der Android KennwortanforderungenEs gibt vier Gruppen von IT-Richtlinienregeln fürAndroid-Kennwörter. Welche Regeln Sie verwenden, hängt von der Aktivierungsart des Geräts ab, und davon, ob sie Anforderungen für das Gerätekennwort oder das Kennwort für den geschäftlichen Bereich festlegen.
Aktivierungsart Unterstützte Kennwortregeln
MDM-Steuerelemente Verwenden Sie die systemeigenen Kennwortregeln zum Festlegen der Anforderungen für Gerätekennwörter.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
MDM-Steuerelemente (KNOX MDM) Legen Sie die Anforderungen für Gerätekennwörter mithilfe der KNOXMDM-Kennwortregeln fest.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
Nur geschäftlicher Bereich (Samsung KNOX)
Verwenden Sie die Kennwortregeln für KNOX Premium – Workspace zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
Legen Sie die Anforderungen für Gerätekennwörter mithilfe der KNOXMDM-Kennwortregeln fest.
Verwenden Sie die Kennwortregeln für KNOX Premium – Workspace zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX)
Sie haben keine Kontrolle über das Gerätekennwort.
Verwenden Sie die Kennwortregeln für KNOX Premium – Workspace zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
Nur geschäftlicher Bereich (Android for Work)
Nur geschäftlicher Bereich (Android for Work - Premium)
Legen Sie die Kennwortanforderungen für den geschäftlichen Bereich mithilfe der systemeigenen Kennwortregeln fest.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work - Premium)
Sie haben keine Kontrolle über das Gerätekennwort.
Legen Sie die Kennwortanforderungen für den geschäftlichen Bereich mithilfe der systemeigenen Kennwortregeln fest.
Alle anderen Kennwortregeln werden vom Gerät ignoriert.
IT-Richtlinien
159
Aktivierungsart Unterstützte Kennwortregeln
Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Verwenden Sie die systemeigenen Kennwortregeln zum Festlegen der Anforderungen für Gerätekennwörter.
Verwenden Sie die Secure Work Space-Kennwortregeln zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
Die KNOX MDM-Kennwortregeln werden vom Gerät ignoriert, sofern diese Aktivierungsart nicht für ein Samsung KNOX-Gerät verwendet wird.
Die KNOX Workspace-Kennwortregeln werden vom Gerät ignoriert.
Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Sie haben keine Kontrolle über das Gerätekennwort. Die systemeigenen Kennwortregeln werden vom Gerät ignoriert.
Verwenden Sie die Secure Work Space-Kennwortregeln zum Festlegen der Kennwortanforderungen für den geschäftlichen Bereich.
Die KNOX MDM- und KNOX Workspace-Kennwortregeln werden vom Gerät ignoriert.
Android: Systemeigenen KennwortregelnDie systemeigenen Kennwortregeln legen die Gerätekennwortanforderungen für Geräte mit den folgenden Aktivierungsarten fest:
• MDM-Steuerelemente (ohne Samsung KNOX)
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Die systemeigenen Kennwortregeln legen die Kennwortanforderungen für den geschäftlichen Bereich von Geräten mit den folgenden Aktivierungsarten fest:
• Nur geschäftlicher Bereich (Android for Work)
• Nur geschäftlicher Bereich (Android for Work - Premium)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work - Premium)
Regel Beschreibung
Kennwortanforderungen Legen Sie die Mindestanforderungen für das Kennwort fest. Sie können eine der folgenden Optionen auswählen:
• Nicht festgelegt – kein Kennwort erforderlich
• Eingabe erforderlich – der Benutzer muss ein Kennwort einrichten, wobei es keine Anforderungen an Länge oder Qualität gibt
IT-Richtlinien
160
Regel Beschreibung
• Numerisch – das Kennwort muss mindestens eine Zahl enthalten
• Alphabetisch – das Kennwort muss mindestens einen Buchstaben enthalten
• Alphanumerisch – das Kennwort muss mindestens einen Buchstaben und eine Zahl enthalten
• Komplex – Sie können bestimmte Anforderungen bezüglich verschiedener Zeichentypen festlegen
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor das Gerät bereinigt oder deaktiviert wird.
Geräte mit den Aktivierungsarten "MDM-Steuerelemente" und "Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space) werden bereinigt.
Geräte mit den Aktivierungsarten „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)“ und „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)“ werden deaktiviert, und das geschäftliche Profil wird entfernt.
Maximaler Zeitraum der Inaktivität bis Sperre
Legen Sie die Anzahl der Minuten für die Benutzerinaktivität fest, bevor das Gerät gesperrt wird. Diese Regel wird ignoriert, wenn kein Kennwort erforderlich ist.
Timeout des Kennwortablaufs Legen Sie fest, wie lange das Kennwort maximal verwendet werden kann. Nachdem die angegebene Zeit verstrichen ist muss der Benutzer ein neues Kennwort festlegen. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Einschränkung des Kennwortverlaufs
Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein vorheriges numerisches, alphabetisches, alphanumerisches oder komplexes Kennwort erneut verwendet wird. Wird 0 verwendet, prüft das Gerät vorherige Kennwörter nicht.
Mindestlänge des Kennworts Legen Sie die Mindestanzahl der Zeichen für ein numerisches, alphabetisches, alphanumerisches oder komplexes Kennwort fest.
Benötigte Mindestanzahl der Großbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Großbuchstaben fest, die ein komplexes Kennwort enthalten muss.
Benötigte Mindestanzahl der Kleinbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Kleinbuchstaben fest, die ein komplexes Kennwort enthalten muss.
Benötigte Mindestanzahl der Buchstaben im Kennwort
Legen Sie die Mindestanzahl der Buchstaben fest, die ein komplexes Kennwort enthalten muss.
Mindestanzahl von Nicht-Buchstaben in Kennwort
Legen Sie die Mindestanzahl von nicht alphabetischen Zeichen (Zahlen oder Symbole) fest, die ein komplexes Kennwort enthalten muss.
IT-Richtlinien
161
Regel Beschreibung
Benötigte Mindestanzahl der numerischen Zeichen im Kennwort
Legen Sie die Mindestanzahl der Zahlenzeichen fest, die ein komplexes Kennwort enthalten muss.
Benötigte Mindestanzahl der Symbole im Kennwort
Legen Sie die Mindestanzahl an nicht alphanumerischen Zeichen fest, die ein komplexes Kennwort enthalten muss.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
Android: KNOX MDM-KennwortregelnDie KNOX MDM-Kennwortregeln legen die Gerätekennwortanforderungen für Geräte mit den folgenden Aktivierungsarten fest:
• MDM-Steuerelemente (KNOX MDM)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space) – nur wenn diese Aktivierungsart mit einem Samsung KNOX-Gerät verwendet wird
Geräte mit diesen Aktivierungsarten erfordern ein Gerätekennwort.
Regel Beschreibung
Kennwortanforderungen Legen Sie die Mindestanforderungen für das Kennwort fest. Sie können eine der folgenden Optionen auswählen:
• Numerisch – das Kennwort muss mindestens eine Zahl enthalten
• Alphabetisch – das Kennwort muss mindestens einen Buchstaben enthalten
• Alphanumerisch – das Kennwort muss mindestens einen Buchstaben und eine Zahl enthalten
• Komplex – Sie können bestimmte Anforderungen bezüglich verschiedener Zeichentypen festlegen
Mindestlänge des Kennworts Legen Sie die Mindestlänge des Kennworts fest. Das Kennwort muss mindestens aus 4 Zeichen bestehen.
Benötigte Mindestanzahl der Kleinbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Kleinbuchstaben fest, die ein komplexes Kennwort enthalten muss.
Benötigte Mindestanzahl der Großbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Großbuchstaben fest, die ein komplexes Kennwort enthalten muss.
IT-Richtlinien
162
Regel Beschreibung
Mindestanzahl komplexer Zeichen in Kennwort
Legen Sie die Mindestanzahl von komplexen Zeichen (z. B. Zahlen oder Symbole) fest, die ein komplexes Kennwort enthalten muss. Wenn dieser Wert auf 1 festgelegt wird, ist mindestens eine Zahl erforderlich. Wird ein Wert größer als 1 festgelegt, sind mindestens eine Zahl und ein Symbol erforderlich.
Maximale Länge einer Buchstabenfolge
Legen Sie die maximale Länge einer Buchstabenfolge fest, die in einem numerischen, alphabetischen, alphanumerischen oder komplexen Kennwort zulässig ist. Wenn die Länge einer Buchstabenfolge beispielsweise auf 5 eingestellt wird, ist die Buchstabenfolge „abcde“ zulässig, die Buchstabenfolge „abcdef“ jedoch nicht. Wenn auf 0 gesetzt, bestehen keine Einschränkungen in Bezug auf die Zahl aufeinanderfolgender Buchstaben.
Maximaler Zeitraum der Inaktivität bis Sperre
Legen Sie den Zeitraum der Benutzerinaktivität fest, der verstreichen muss, bevor das Gerät gesperrt wird (Tastatursperre). Wenn das Gerät mit mehreren EMM-Lösungen verwaltet wird, wird der niedrigste Wert als Inaktivitätszeitraum verwendet. Ist für das Gerät ein Kennwort konfiguriert, muss der Benutzer zum Entsperren des Geräts das Kennwort eingeben. Mit der Einstellung 0 wird das Gerät nicht aufgrund einer Zeitüberschreitung bei Inaktivität gesperrt.
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor das Gerät bereinigt wird.
Einschränkung des Kennwortverlaufs
Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein Kennwort erneut verwendet wird. Wird 0 verwendet, prüft das Gerät vorherige Kennwörter nicht.
Timeout des Kennwortablaufs Legen Sie fest, wie lange das Gerätekennwort maximal verwendet werden kann. Nachdem die angegebene Zeit verstrichen ist, läuft das Kennwort ab, und der Benutzer muss ein neues Kennwort festlegen. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Sichtbarkeit des Kennworts zulassen
Legen Sie fest, ob das Gerätekennwort bei der Eingabe sichtbar sein soll. Wenn diese Regel nicht ausgewählt ist, kann die Sichtbarkeitseinstellung von Benutzern oder Apps nicht geändert werden.
Authentifizierung per Fingerabdruck zulassen
Legen Sie fest, ob der Benutzer die Fingerabdruck-Authentifizierung verwenden darf.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
Android: Kennwortregeln für KNOX Premium - WorkspaceDie Kennwortregeln für KNOX Premium - Workspace legen die Kennwortanforderungen für den geschäftlichen Bereich von Geräten mit den folgenden Aktivierungsarten fest:
IT-Richtlinien
163
• Nur geschäftlicher Bereich (Samsung KNOX)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX)
Geräte mit diesen Aktivierungsarten erfordern ein Kennwort für den geschäftlichen Bereich.
Regel Beschreibung
Kennwortanforderungen Legen Sie die Mindestanforderungen für das Kennwort fest. Sie können eine der folgenden Optionen auswählen:
• Numerisch – das Kennwort muss mindestens eine Zahl enthalten
• Numerisch komplex – das Kennwort muss mindestens eine Zahl enthalten, darf aber keine sich wiederholenden (4444) oder geordneten Zahlenfolgen (1234, 4321, 2468) aufweisen.
• Alphabetisch – das Kennwort muss mindestens einen Buchstaben enthalten
• Alphanumerisch – das Kennwort muss mindestens einen Buchstaben und eine Zahl enthalten
• Komplex – Sie können bestimmte Anforderungen bezüglich verschiedener Zeichentypen festlegen
Benötigte Mindestanzahl der Kleinbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Kleinbuchstaben fest, die ein komplexes Kennwort enthalten muss.
Benötigte Mindestanzahl der Großbuchstaben im Kennwort
Legen Sie die Mindestanzahl der Großbuchstaben fest, die ein komplexes Kennwort enthalten muss.
Mindestanzahl komplexer Zeichen in Kennwort
Legen Sie die Mindestanzahl von komplexen Zeichen (z. B. Zahlen oder Symbole) fest, die ein komplexes Kennwort enthalten muss. Mindestens drei komplexe Zeichen sind erforderlich, einschließlich mindestens einer Zahl und eines Symbols.
Maximale Länge einer Buchstabenfolge
Legen Sie die maximale Länge einer Buchstabenfolge fest, die in einem numerischen, alphabetischen, alphanumerischen oder komplexen Kennwort zulässig ist. Wenn die Länge einer Buchstabenfolge beispielsweise auf 5 eingestellt wird, ist die Buchstabenfolge "abcde" zulässig, die Buchstabenfolge "abcdef" jedoch nicht. Wenn auf 0 gesetzt, bestehen keine Einschränkungen in Bezug auf die Zahl aufeinanderfolgender Buchstaben.
Mindestlänge des Kennworts Legen Sie die Mindestlänge des Kennworts fest. Wenn Sie einen Wert eingeben, der kleiner ist als die für KNOX Workspace erforderliche Mindestlänge, wird die KNOX Workspace-Mindestlänge verwendet.
Maximaler Zeitraum der Inaktivität bis Sperre
Legen Sie fest, wie lange der geschäftliche Bereich inaktiv sein muss, bevor dieser Bereich gesperrt wird. Mit der Einstellung 0 wird der geschäftliche Bereich nicht aufgrund einer Zeitüberschreitung bei Inaktivität gesperrt.
IT-Richtlinien
164
Regel Beschreibung
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor der geschäftliche Bereich bereinigt wird. Mit der Einstellung 0 gibt es keine Einschränkungen hinsichtlich der Anzahl falscher Kennworteingabeversuche.
Einschränkung des Kennwortverlaufs
Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein Kennwort erneut verwendet wird. Wird 0 verwendet, prüft das Gerät vorherige Kennwörter nicht.
Timeout des Kennwortablaufs Legen Sie fest, wie viele Tage das Kennwort maximal verwendet werden kann. Nachdem die angegebene Anzahl von Tagen verstrichen ist, läuft das Kennwort ab, und der Benutzer muss ein neues Kennwort festlegen. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Mindestanzahl geänderter Zeichen für neue Kennwörter
Legen Sie die Mindestanzahl geänderter Zeichen fest, die ein neues Kennwort im Vergleich zu einem vorherigen Kennwort enthalten muss. Wenn 0 eingestellt ist, gelten keine Einschränkungen.
Anpassungen der Tastatursperre zulassen
Legen Sie fest, ob auf einem Gerät Anpassungen der Tastatursperre verwendet werden können, z. B. über Funktionen wie „Trust Agents“. Wenn diese Regel nicht ausgewählt ist, werden Anpassungen der Tastatursperre deaktiviert.
Trust Agents bei Tastatursperre zulassen
Legen Sie fest, ob ein Benutzer den geschäftlichen Bereich 2 Stunden über den Zeitüberschreitungswert bei Inaktivität hinaus entsperrt halten kann. Wenn Sie keinen Timeout-Wert für Inaktivität festlegen, kann der Benutzer diese Aktion standardmäßig ausführen.
Sichtbarkeit des Kennworts zulassen
Legen Sie fest, ob das Gerätekennwort bei der Eingabe sichtbar sein soll. Wenn diese Regel nicht ausgewählt ist, kann die Sichtbarkeitseinstellung von Benutzern oder Apps nicht geändert werden.
Zwei-Faktor-Authentifizierung erzwingen
Legen Sie fest, ob ein Benutzer die Zwei-Faktor-Authentifizierung für den Zugriff auf den geschäftlichen Bereich verwenden muss. Sie können diese Regel beispielsweise verwenden, wenn Sie möchten, dass der Benutzer sich per Fingerabdruck und Kennwort authentifizieren muss.
Authentifizierung per Fingerabdruck zulassen
Legen Sie fest, ob der Benutzer die Fingerabdruck-Authentifizierung für den Zugriff auf den geschäftlichen Bereich verwenden kann.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
IT-Richtlinien
165
Android: Secure Work Space-KennwortanforderungenDie Secure Work Space-Kennwortregeln legen die Kennwortanforderungen für den geschäftlichen Bereich von Geräten mit den folgenden Aktivierungsarten fest:
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Geräte mit diesen Aktivierungsarten erfordern ein Kennwort für den geschäftlichen Bereich.
Regel Beschreibung
Kennwörter mit aufeinanderfolgenden und sich wiederholenden Zeichen zulassen
Legen Sie fest, ob das Kennwort aufeinanderfolgende und sich wiederholende Zeichen, wie etwa „DEFG“ oder „3333“, enthalten darf.
Erforderliche Buchstaben Geben Sie an, ob das Kennwort Buchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Buchstaben festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Kleinbuchstaben
Geben Sie an, ob das Kennwort Kleinbuchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Kleinbuchstaben festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Zahlen Geben Sie an, ob das Kennwort Zahlen enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Zahlen festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Sonderzeichen Geben Sie an, ob das Kennwort Sonderzeichen enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Sonderzeichen festlegen, die das Gerätekennwort enthalten muss.
Erforderliche Großbuchstaben Geben Sie an, ob das Kennwort Großbuchstaben enthalten muss. Wenn Sie diese Regel auswählen, können Sie die Mindestanzahl an Großbuchstaben festlegen, die das Gerätekennwort enthalten muss.
Kennwortlänge begrenzen Geben Sie an, ob das Kennwort eine minimale und eine maximale Länge aufweisen muss. Wenn Sie diese Regel auswählen, können Sie die minimale und maximale Anzahl von Zeichen festlegen, die das Gerätekennwort enthalten darf.
Maximales Kennwortalter Legen Sie fest, wie viele Tage das Kennwort maximal verwendet werden kann. Nachdem die angegebene Anzahl von Tagen verstrichen ist, läuft das Kennwort ab, und der Benutzer muss ein neues Kennwort festlegen. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
IT-Richtlinien
166
Regel Beschreibung
Erneute Verwendung vorheriger Kennwörter einschränken
Legen Sie fest, ob ein Benutzer vorherige Kennwörter wiederverwenden kann. Wenn Sie diese Regel auswählen, können Sie die Anzahl von vorherigen Kennwörtern festlegen, die das Gerät prüft, um zu verhindern, dass ein Benutzer vorherige Kennwörter wiederverwendet.
Geschäftlichen Bereich sperren, wenn Gerät gesperrt wird
Legen Sie fest, ob das Gerät nach einem Zeitraum der Inaktivität des geschäftlichen Bereichs gesperrt werden soll.
Wenn sich ein Benutzer im geschäftlichen Bereich befindet, wird das Gerät nach Ablauf des festgelegten Inaktivitätszeitraums gesperrt. Andernfalls wird es gesperrt, nachdem der Zeitraum der Inaktivität verstrichen ist, der auf dem Gerät für die automatische Sperre angegeben ist. Wenn eine App im geschäftlichen Bereich geöffnet und der festgelegte Inaktivitätszeitraum abgelaufen ist, wird zwar der geschäftliche Bereich, aber nicht das Gerät gesperrt und der Bildschirm wird nicht ausgeschaltet.
Wenn Sie diese Regel auswählen, können Sie den Inaktivitätszeitraum für den geschäftlichen Bereich festlegen, die verstreichen muss, bevor das Gerät gesperrt wird.
Gerät nach Inaktivität des geschäftlichen Bereichs sperren
Legen Sie fest, ob das Gerät nach einem Zeitraum der Inaktivität des geschäftlichen Bereichs gesperrt werden soll. Wenn sich der Benutzer im geschäftlichen Bereich befindet, wird das Gerät nach Ablauf des festgelegten Inaktivitätszeitraums gesperrt. Andernfalls wird es gesperrt, nachdem der Zeitraum der Inaktivität verstrichen ist, der auf dem Gerät für die automatische Sperre angegeben ist. Wenn Sie die Regel „Gerät nach Inaktivität des geschäftlichen Bereichs sperren“ konfigurieren, wird der geschäftliche Bereich gesperrt, wenn eine App im geschäftlichen Bereich geöffnet ist. Das Gerät wird nicht gesperrt und der Bildschirm wird nicht ausgeschaltet.
Geschäftlichen Bereich nach Inaktivität sperren
Legen Sie fest, wie lange der persönliche Bereich inaktiv sein muss, bevor der geschäftliche Bereich gesperrt wird.
Anzahl der fehlgeschlagenen Kennwort-Eingabeversuche begrenzen
Legen Sie fest, ob das Gerät die Anzahl der Versuche einer falschen Eingabe des Kennworts für den geschäftlichen Bereich begrenzen soll. Wenn Sie diese Regel auswählen, legen Sie fest, wie oft das Kennwort für den geschäftlichen Bereich falsch eingegeben werden kann und welche Aktion ausgeführt wird, wenn die Grenze erreicht wurde. Das Gerät kann die folgenden Aktionen durchführen:
• Deaktivieren des geschäftlichen Bereichs bis zur Wiederherstellung durch den Administrator
• Deaktivieren des Geräts, wodurch alle Daten im geschäftlichen Bereich gelöscht werden
• Deaktivieren des geschäftlichen Bereichs und Deaktivieren des Geräts nach Ablauf einer festgelegten Anzahl von Tagen
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/1current/policy-reference-spreadsheet-zip/ .
IT-Richtlinien
167
Einrichten der Windows KennwortanforderungenSie können wählen, ob Windows-Geräte ein Kennwort benötigen. Wenn ein Kennwort erforderlich ist, können Sie die Anforderungen für das Kennwort festlegen.
Regel Beschreibung
Kennwort für Gerät erforderlich
Legen Sie fest, ob der Benutzer ein Gerätekennwort einrichten muss.
Einfaches Kennwort zulassen Legen Sie fest, ob das Kennwort aufeinanderfolgende und sich wiederholende Zeichen, wie etwa „DEFG“ oder „3333“, enthalten darf.
Mindestlänge für Kennwort Legen Sie die Mindestlänge des Kennworts fest. Das Kennwort muss mindestens aus 4 Zeichen bestehen.
Aufbau von Kennwörtern Legen Sie die Komplexität des Kennworts fest. Sie können folgende Optionen wählen:
• Alphanumerisch – das Kennwort muss Buchstaben und Zahlen enthalten.
• Numerisch – das Kennwort darf nur Zahlen enthalten
Mindestanzahl an Zeichentypen
Geben Sie die Mindestanzahl Zeichentypen an, die ein alphanumerisches Kennwort enthalten muss. Wählen Sie aus den folgenden Optionen aus:
1. Zahlen sind erforderlich.
2. Zahlen und Kleinbuchstaben sind erforderlich.
3. Zahlen, Kleinbuchstaben und Großbuchstaben sind erforderlich.
4. Zahlen, Kleinbuchstaben, Großbuchstaben und Sonderzeichen sind erforderlich.
Die Zeichenanforderungen für Kennwörter auf Computern und Tablets mit Windows 10 sind von der Art des Benutzerkontos, nicht von dieser Einstellung abhängig.
Ablauf des Kennworts Legen Sie fest, wie viele Tage das Kennwort maximal verwendet werden kann. Wenn auf 0 gesetzt, läuft das Kennwort nicht ab.
Kennwortverlauf Legen Sie fest, wie viele vorherige Kennwörter das Gerät maximal prüft, um zu verhindern, dass ein Kennwort erneut verwendet wird. Wird 0 verwendet, prüft das Gerät vorherige Kennwörter nicht.
Maximale Anzahl ungültiger Kennworteingaben
Legen Sie fest, wie oft der Benutzer ein falsches Kennwort eingeben darf, bevor das Gerät bereinigt wird. Wenn auf 0 gesetzt, wird das Gerät nicht bereinigt, unabhängig davon, wie oft der Benutzer ein falsches Kennwort eingibt.
Diese Regel gilt nicht für Geräte, die mehrere Benutzerkonten zulassen, z. B. Windows 10-Computer und -Tablets.
IT-Richtlinien
168
Regel Beschreibung
Maximale Inaktivitätszeit für Sperre
Legen Sie den Zeitraum für die Benutzerinaktivität fest, bevor das Gerät gesperrt wird. Wenn auf 0 gesetzt, wird das Gerät nicht automatisch gesperrt.
Rückkehr aus Inaktivität ohne Kennwort zulassen
Legen Sie fest, ob ein Benutzer das Kennwort eingeben muss, wenn die Toleranzfrist für Inaktivität endet. Wenn diese Regel ausgewählt ist, kann der Benutzer die Toleranzfrist für das Kennwort auf dem Gerät festlegen. Diese Regel gilt nicht für Windows 10-Computer und -Tablets.
Weitere Informationen zu IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
So wählt BES12 die zuzuweisenden IT-Richtlinien ausBES12 sendet nur eine IT-Richtlinie an ein Gerät und verwendet vordefinierte Regeln, um zu bestimmen, welche IT-Richtlinie einem Benutzer und den Geräten, die der Benutzer aktiviert, zugewiesen werden soll.
Zugewiesen zu Regeln
Benutzerkonto
(Registerkarte „Zusammenfassung“)
1. Eine IT-Richtlinie, die einem Benutzerkonto direkt zugewiesen wurde, hat Vorrang vor einer IT-Richtlinie, die indirekt über die Benutzergruppe zugewiesen wurde.
2. Wenn ein Benutzer Mitglied mehrerer Benutzergruppen mit verschiedenen IT-Richtlinien ist, weist BES12 die IT-Richtlinie mit der höchsten Rangordnung zu.
3. Die Standard-IT-Richtlinie wird zugewiesen, wenn einem Benutzerkonto keine IT-Richtlinie direkt oder durch die Mitgliedschaft in einer Benutzergruppe zugewiesen wird.
Gerät
(Registerkarte „Gerät anzeigen“)
Standardmäßig erbt ein Gerät die IT-Richtlinie, die BES12 dem Benutzer zuweist, der das Gerät aktiviert. Wenn ein Gerät einer Gerätegruppe angehört, gelten die folgenden Regeln:
1. Eine IT-Richtlinie, die einer Gerätegruppe zugewiesen ist, hat Vorrang vor der IT-Richtlinie, die BES12 einem Benutzerkonto zuweist.
2. Wenn ein Gerät Mitglied mehrerer Gerätegruppen mit verschiedenen IT-Richtlinien ist, weist BES12 die IT-Richtlinie mit der höchsten Rangordnung zu.
BES12 muss unter Umständen in Konflikt stehende IT-Richtlinien auflösen, falls Sie eine der folgenden Aktionen ausführen:
• Zuweisen einer IT-Richtlinie zu einem Benutzerkonto, einer Benutzergruppe oder einer Gerätegruppe
• Entfernen einer IT-Richtlinie aus einem Benutzerkonto, einer Benutzergruppe oder einer Gerätegruppe
IT-Richtlinien
169
• Ändern der Rangordnung der IT-Richtlinien
• Löschen einer IT-Richtlinie
• Ändern der Zugehörigkeit in einer Benutzergruppe (Benutzerkonten und verschachtelte Gruppen)
• Ändern von Geräteattributen
• Ändern der Mitgliedschaft in einer Gerätegruppe
• Löschen einer Benutzergruppe oder Gerätegruppe
Verwandte InformationenIT-Richtlinien einen Rang zuweisen, auf Seite 171
Erstellen und Verwalten von IT-RichtlinienSie können die Standard-IT-Richtlinie verwenden oder benutzerdefinierte IT-Richtlinien erstellen (um beispielsweise IT-Richtlinienregeln für verschiedene Benutzergruppen oder Gerätegruppen in Ihrem Unternehmen festzulegen). Wenn Sie vorhaben, die Standard-IT-Richtlinie zu verwenden, sollten Sie diese überprüfen und bei Bedarf aktualisieren, um sicherzustellen, dass die Regeln die Sicherheitsstandards Ihrer Organisation erfüllen.
Erstellen einer IT-Richtlinie1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben IT-Richtlinien.
3. Geben Sie einen Namen und eine Beschreibung für die IT-Richtlinie ein.
4. Klicken Sie auf die Registerkarte für jeden Gerätetyp in Ihrer Organisation, und konfigurieren Sie die entsprechenden Werte für die IT-Richtlinien.
Bewegen Sie den Mauszeiger über den Namen einer Regel, um Hilfetipps anzuzeigen.
5. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Weisen Sie IT-Richtlinien einen Rang zu.
Verwandte InformationenZuweisen einer IT-Richtlinie zu einer Benutzergruppe, auf Seite 245Zuweisen einer IT-Richtlinie zu einem Benutzerkonto, auf Seite 269
Kopieren einer IT-RichtlinieSie können IT-Richtlinien zur schnellen Erstellung benutzerdefinierter IT-Richtlinien für verschiedene Gruppen in Ihrem Unternehmen kopieren.
IT-Richtlinien
170
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf den Namen der IT-Richtlinie, die Sie kopieren möchten.
4. Klicken Sie auf .
5. Geben Sie einen Namen und eine Beschreibung für die neue IT-Richtlinie ein.
6. Nehmen Sie die gewünschten Änderungen für jeden Gerätetyp auf der entsprechenden Registerkarte vor.
7. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Weisen Sie IT-Richtlinien einen Rang zu.
Verwandte InformationenZuweisen einer IT-Richtlinie zu einer Benutzergruppe, auf Seite 245Zuweisen einer IT-Richtlinie zu einem Benutzerkonto, auf Seite 269
IT-Richtlinien einen Rang zuweisenMithilfe der Rangordnung lässt sich festlegen, welche IT-Richtlinie in den folgenden Szenarien BES12 an ein Gerät sendet:
• Ein Benutzer ist Mitglied in mehreren Benutzergruppen, die unterschiedliche IT-Richtlinien aufweisen.
• Ein Gerät ist Mitglied in mehreren Gerätegruppen, die unterschiedliche IT-Richtlinien aufweisen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf IT-Richtlinien einen Rang zuweisen.
4. Mit den Pfeiltasten können Sie die IT-Richtlinien in der Rangordnung nach oben oder unten verschieben.
5. Klicken Sie auf Speichern.
Verwandte InformationenSo wählt BES12 die zuzuweisenden IT-Richtlinien aus, auf Seite 169
Anzeigen einer IT-RichtlinieSie können die folgenden Informationen zu einer IT-Richtlinie anzeigen:
• IT-Richtlinienregeln, speziell für jeden Gerätetyp
• Liste und Anzahl der Benutzerkonten, denen die IT-Richtlinie zugewiesen ist (direkt und indirekt)
• Liste und Anzahl der Benutzergruppen, denen die IT-Richtlinie zugewiesen ist (direkt)
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
IT-Richtlinien
171
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf den Namen der IT-Richtlinie, die Sie anzeigen möchten.
Ändern einer IT-Richtlinie1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf den Namen der IT-Richtlinie, die Sie ändern möchten.
4. Klicken Sie auf .
5. Nehmen Sie die gewünschten Änderungen für jeden Gerätetyp auf der entsprechenden Registerkarte vor.
6. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Ändern Sie bei Bedarf die IT-Richtlinienrangordnung.
Verwandte InformationenIT-Richtlinien einen Rang zuweisen, auf Seite 171
Entfernen einer IT-Richtlinie aus den Benutzerkonten oder BenutzergruppenWenn eine IT-Richtlinie direkt den Benutzerkonten oder Benutzergruppen zugewiesen wurde, können Sie diese aus den Benutzern oder Gruppen entfernen. Wenn eine IT-Richtlinie indirekt durch die Benutzergruppe zugewiesen ist, können Sie die IT-Richtlinie oder die Benutzerkonten aus der Gruppe entfernen. Wenn Sie eine IT-Richtlinie aus den Benutzergruppen entfernen, wird die IT-Richtlinie aus jedem Benutzer entfernt, der den ausgewählten Gruppen angehört.
Hinweis: Die Standard-IT-Richtlinie kann nur dann aus einem Benutzerkonto entfernt werden, wenn Sie es dem Benutzer direkt zugewiesen haben.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf den Namen der IT-Richtlinie, die Sie aus den Benutzerkonten oder Benutzergruppen entfernen möchten.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Entfernen einer IT-Richtlinie von Benutzerkonten
1. Klicken Sie auf die Registerkarte Benutzern zugewiesen.
2. Suchen Sie ggf. nach den Benutzerkonten.
IT-Richtlinien
172
Aufgabe Schritte
3. Wählen Sie die Benutzerkonten aus, aus denen Sie die IT-Richtlinie entfernen möchten.
4. Klicken Sie auf .
Entfernen einer IT-Richtlinie von Benutzergruppen
1. Klicken Sie auf die Registerkarte Gruppen zugewiesen.
2. Suchen Sie ggf. nach den Benutzergruppen.
3. Wählen Sie die Benutzergruppen aus, aus denen Sie die IT-Richtlinie entfernen möchten.
4. Klicken Sie auf .
Verwandte InformationenSo wählt BES12 die zuzuweisenden IT-Richtlinien aus, auf Seite 169
Löschen einer IT-RichtlinieSie können die Standard-IT-Richtlinie nicht löschen. Wenn Sie eine benutzerdefinierte IT-Richtlinie löschen, entfernt BES12 die IT-Richtlinie aus den Benutzern und deren verknüpften Geräten.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich die Option IT-Richtlinien.
3. Klicken Sie auf den Namen der IT-Richtlinie, die Sie löschen möchten.
4. Klicken Sie auf .
5. Klicken Sie auf Löschen.
Verwandte InformationenSo wählt BES12 die zuzuweisenden IT-Richtlinien aus, auf Seite 169
IT-Richtlinien exportierenSie können IT-Richtlinien als XML-Datei zu Prüfzwecken exportieren.
Hinweis:
Profile, die mit IT-Richtlinien verknüpft sind, werden nicht exportiert.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf das .
IT-Richtlinien
173
3. Wählen Sie die Kontrollkästchen der IT-Richtlinien aus, die Sie exportieren möchten.
4. Klicken Sie auf Weiter.
5. Klicken Sie auf Exportieren.
Steuern von BlackBerry OS-Gerätefunktionen mithilfe von IT-RichtlinienWenn die BES12-Domäne BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, können Sie die BlackBerry OS-IT-Richtlinien verwenden, um die BlackBerry OS-Geräte, die BlackBerry Desktop Software und den BlackBerry Web Desktop Manager in Ihrer Organisationsumgebung zu steuern und zu verwalten. Eine BlackBerry OS-IT-Richtlinie besteht aus mehreren IT-Richtlinienregeln zur Verwaltung der Sicherheit und des Verhaltens von BlackBerry OS-Benutzergeräten.
BES12 enthält vorkonfigurierte BlackBerry OS-IT-Richtlinien, einschließlich einer Standard-IT-Richtlinie, die IT-Richtlinienregeln enthält und die zum Darstellen des Standardverhaltens des BlackBerryOS-Geräts oder der BlackBerry Desktop Software konfiguriert sind. Wenn einem Benutzerkonto oder einer Benutzergruppe, der der Benutzer angehört, keine BlackBerry OS-IT-Richtlinie zugewiesen wurde, sendet BES12 die Standard-IT-Richtlinie an das BlackBerry OS-Gerät des Benutzers. BES12 sendet automatisch eine BlackBerry OS-IT-Richtlinie an ein Gerät, wenn sie ein Benutzer aktiviert, wenn Sie eine zugewiesene IT-Richtlinie aktualisieren oder wenn einem Benutzerkonto eine andere IT-Richtlinie zugewiesen wurde.
Schritte zum Verwalten von BlackBerry OS-IT-RichtlinienUm BlackBerry OS-IT-Richtlinien zu verwalten, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Überprüfen Sie die vorkonfigurierten BlackBerry OS-IT-Richtlinien, einschließlich der Standard-IT-Richtlinie, und aktualisieren Sie sie bei Bedarf.
Legen Sie optional benutzerdefinierte BlackBerry OS-IT-Richtlinien fest.
Legen Sie die Rangordnung der BlackBerry OS-IT-Richtlinien fest.
Weisen Sie vorkonfigurierte oder benutzerdefinierte BlackBerry OS-IT-Richtlinien Benutzerkonten oder Benutzergruppen zu.
IT-Richtlinien
174
Einschränken und Zulassen von BlackBerry OS-GerätefunktionenMithilfe von IT-Richtlinienregeln können Sie die Aktionen, die die BlackBerry OS-Geräte (Version 5.0 bis 7.1) ausführen können, anpassen und steuern. Um eine IT-Richtlinienregel auf einem BlackBerry OS-Gerät verwenden zu können, müssen Sie sicherstellen, dass die BlackBerry Desktop Software-Version die IT-Richtlinienregel unterstützt. Je nach Version der BlackBerry Desktop Software können Sie beispielsweise IT-Richtlinienregeln verwenden, um folgende Aufgaben zu erledigen:
• Durchsetzung von Kennwortanforderungen
• Steuern von Verbindungen über die drahtlose Bluetooth-Technologie
• Schützen von Benutzerdaten und Gerätetransportschlüsseln auf dem Gerät
• Steuern der für Drittanbieteranwendungen verfügbaren Geräteressourcen, z. B. Kamera oder GPS
Weitere Informationen über die IT-Richtlinien für BlackBerry OS-Geräte finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Vorkonfigurierte BlackBerry OS-IT-RichtlinienWenn die BES12 Domäne BlackBerry -Geräte (Version 5.0 bis 7.1) unterstützt, enthält BES12 die folgenden vorkonfigurierten BlackBerry OS-IT-Richtlinien, die Sie an die Anforderungen Ihrer Organisation anpassen können:
Vorkonfigurierte IT-Richtlinie Beschreibung
Standard Diese Richtlinie enthält alle standardmäßigen IT-Richtlinienregeln, die in BES12 festgelegt sind.
Geräte mit individueller Haftung Ähnlich wie die Standard-IT-Richtlinie verhindert diese Richtlinie, dass BlackBerry OS-Gerätebenutzer auf ihren Geräten von Social Networking-Apps aus auf Kalenderdaten zugreifen.
Diese Richtlinie lässt es zu, dass Benutzer auf ihre persönlichen Kalenderdienste und E-Mail-Nachrichtendienste zugreifen, die BlackBerry Device Software mit außerhalb Ihrer Organisation verfügbaren Methoden aktualisieren, Anrufe tätigen, wenn Geräte gesperrt sind, sowie Text ausschneiden, kopieren und einfügen. Benutzer können E-Mail-Nachrichten nicht von einem E-Mail-Nachrichtendienst an einen anderen weiterleiten.
Sie können die IT-Richtlinie "Persönliche Gerätehaftung" verwenden, wenn es in Ihrer Organisation Benutzer gibt, die ihre eigenen Geräte erwerben und die Geräte mit einer BES12-Instanz in Ihrer Organisationsumgebung verbinden.
Einfache Kennwortsicherheit Ähnlich wie die Standard-IT-Richtlinie erfordert diese Richtlinie ein einfaches Kennwort, mit dem Benutzer ihre Geräte entsperren können. Benutzer müssen die
IT-Richtlinien
175
Vorkonfigurierte IT-Richtlinie Beschreibung
Kennwörter regelmäßig ändern. Die IT-Richtlinie umfasst ein Kennwort-Timeout, das Geräte sperrt.
Mittlere Kennwortsicherheit Ähnlich wie die Standard-IT-Richtlinie erfordert diese Richtlinie ein komplexes Kennwort, mit dem Benutzer ihre Geräte entsperren können. Benutzer müssen die Kennwörter regelmäßig ändern. Diese Richtlinie umfasst einen maximalen Kennwortverlauf und deaktiviert Bluetooth-Technologie auf Geräten.
Mittlere Sicherheit ohne Anwendungen von Drittanbietern
Ähnlich wie die Richtlinie für mittlere Kennwortsicherheit erfordert diese Richtlinie ein komplexes Kennwort, das Benutzer oft ändern müssen, ein Sicherheits-Timeout und einen maximalen Kennwortverlauf. Diese Richtlinie hindert Benutzer daran festzulegen, dass ihre Geräte von anderen Bluetooth-fähigen Geräten erkannt werden können, und verhindert, dass Geräte Anwendungen von Drittanbietern herunterladen.
Erhöhte Sicherheit Ähnlich wie die Standard-IT-Richtlinie erfordert diese IT-Richtlinie ein komplexes Kennwort, das Benutzer häufig ändern müssen, ein Kennwort-Timeout zur Sperrung von Geräten und einen maximalen Kennwortverlauf. Diese Richtlinie schränkt Bluetooth-Technologie auf Geräten ein, aktiviert starken Inhaltsschutz, deaktiviert den USB-Massenspeicher und erfordert, dass Geräte externe Dateisysteme verschlüsseln.
Erhöhte Sicherheit ohne Anwendungen von Drittanbietern
Ähnlich wie die IT-Richtlinie „Erhöhte Sicherheit“ erfordert diese IT-Richtlinie ein komplexes Kennwort, das Benutzer häufig ändern müssen, ein Kennwort-Timeout zur Sperrung von Geräten und einen maximalen Kennwortverlauf. Diese Richtlinie schränkt Bluetooth-Technologie auf Geräten ein, aktiviert starken Inhaltsschutz, deaktiviert den USB-Massenspeicher, erfordert, dass Geräte externe Dateisysteme verschlüsseln, und verhindert, dass Geräte Anwendungen von Drittanbietern herunterladen.
Zuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-RichtlinienWenn einem Benutzerkonto weder direkt noch über die Mitgliedschaft in einer Benutzergruppe eine BlackBerry OS-IT-Richtlinie zugewiesen wurde, wendet BES12 die Standard-IT-Richtlinie für das Benutzerkonto an. Eine BlackBerry OS-IT-Richtlinie, die einem Benutzerkonto direkt zugewiesen wurde, hat Vorrang vor einer IT-Richtlinie, die indirekt über die Benutzergruppe zugewiesen wurde.
Wenn ein Benutzerkonto Mitglied mehrerer Gruppen ist, für die unterschiedliche BlackBerry OS-IT-Richtlinien gelten, muss BES12 anhand einer der folgenden Methoden festlegen, welche BlackBerry OS-IT-Richtlinie auf das Benutzerkonto anzuwenden ist.
IT-Richtlinien
176
Methode Beschreibung
Anwenden einer IT-Richtlinie auf das Benutzerkonto
BES12 wendet die ranghöchste BlackBerry OS-IT-Richtlinie auf das Benutzerkonto an.
Anwenden von mehreren IT-Richtlinien auf ein Benutzerkonto
BES12 kombiniert die BlackBerry OS-IT-Richtlinien, die jeder einzelnen Benutzergruppe zugewiesen sind, in einer IT-Richtlinie und weist sie dem Benutzerkonto zu, sodass eine kombinierte IT-Richtlinie mit einer individuellen ID entsteht.
Wenn eine IT-Richtlinienregel von den mehrfachen BlackBerry OS-IT-Richtlinien abweicht, haben alle Regeleinstellungen, die explizit auf einen Wert konfiguriert worden sind, Vorrang vor den Regeleinstellungen der IT-Richtlinien, die leer sind (diese Regeln stellen den Standardwert wieder her). Andernfalls löst BES12 in Konflikt stehende Regeleinstellungen auf, indem die Regeleinstellung aus der ranghöchsten IT-Richtlinie angewendet wird.
BES12 muss unter Umständen in Konflikt stehende IT-Richtlinien auflösen, falls Sie eine der folgenden Aktionen ausführen:
• Zuweisen einer BlackBerry OS-IT-Richtlinie zu einem Benutzerkonto oder zu einer Benutzergruppe
• Entfernen einer BlackBerry OS-IT-Richtlinie aus einem Benutzerkonto oder aus einer Benutzergruppe
• Ändern der Rangordnung von BlackBerry OS-IT-Richtlinien
• Ändern einer BlackBerry OS-IT-Richtlinie
• Löschen einer BlackBerry OS-IT-Richtlinie
• Ändern der Zugehörigkeit in einer Benutzergruppe (Benutzerkonten und verschachtelte Gruppen)
• Löschen einer Benutzergruppe
Verwandte InformationenZuweisen eines Rangs zu BlackBerry OS-IT-Richtlinien, auf Seite 179
Ändern der Methode, die BES12 zum Auflösen in Konflikt stehender IT-Richtlinien verwendetSie können die Methode ändern, mit der BES12 feststellt, welche BlackBerry OS-IT-Richtlinie für ein Benutzerkonto gilt, wenn ein Benutzer Mitglied von mehreren Benutzergruppen mit verschiedenen BlackBerry OS-IT-Richtlinien ist. Wenn Sie die Methode ändern, die zum Auflösen von in Konflikt stehenden IT-Richtlinien oder IT-Richtlinieneinstellungen verwendet wird, kann sich die nächste Abstimmung der BlackBerry OS-IT-Richtlinie deutlich auf die Leistung Ihrer BES12-Organisationsumgebung auswirken. Es empfiehlt sich, diese Funktion in Zeiten niedriger Auslastung zu konfigurieren.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie im Menü Server und Komponenten die Einträge Topologie der BlackBerry-Lösung > BlackBerry Domain > Komponente: Anzeigen.
3. Klicken Sie auf BlackBerry Administration Service.
IT-Richtlinien
177
4. Klicken Sie unten auf der Seite auf Methode zum Auflösen mehrerer IT-Richtlinien ändern.
5. Klicken Sie auf Ja – Methode ändern.
Deaktivieren von BlackBerry OS-Geräten, auf die keine IT-Richtlinien angewendet wurdenUm zu verhindern, dass BlackBerry OS-Geräte (Version 5.0 bis 7.1), auf die keine IT-Richtlinien angewendet wurden, unter BES12 aktiv bleiben, können Sie für die IT-Richtlinienoption „Benutzer ohne angewendete IT-Richtlinie deaktivieren“ den Wert „Wahr“ festlegen. Die Einstellung „Zeitraum bis zur Deaktivierung des Benutzers (Stunden)“ gibt den Zeitraum an, in dem die BlackBerry OS-Geräte unter BES12 aktiv bleiben können, ohne dass eine IT-Richtlinie auf die Geräte angewendet wird.
Wenn Sie den Wert für die Option „Benutzer ohne angewendete IT-Richtlinie deaktivieren“ in „Wahr“ ändern, sendet BES12 die BlackBerry OS-IT-Richtlinie standardmäßig alle 30 Minuten an die BlackBerry OS-Geräte, bis die Geräte die IT-Richtlinie anwenden oder die Zeitbeschränkung abläuft. Wenn die Zeitbeschränkung abläuft, deaktiviert BES12 die BlackBerry OS-Geräte-PINs. Der gültige Bereich für den Wert dieser Einstellung liegt zwischen 0 und 8760 Stunden. Wenn Sie 0 Stunden angeben, werden BlackBerry OS-Geräte deaktiviert, wenn die IT-Richtlinie nicht automatisch angewendet werden kann.
Deaktivieren von BlackBerry OS-Geräten, auf die keine IT-Richtlinien angewendet wurden1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie im Menü Server und Komponenten die Einträge Topologie der BlackBerry-Lösung > BlackBerry Domain > Komponente: Anzeigen > Richtlinie.
3. Klicken Sie auf die Instanz, die Sie ändern möchten.
4. Klicken Sie auf Instanz bearbeiten.
5. Klicken Sie in der Dropdown-Liste Benutzer ohne angewendete IT-Richtlinie deaktivieren auf Wahr.
6. Geben Sie im Feld Zeitraum bis zur Deaktivierung des Benutzers (Stunden) die Zeit (in Stunden) ein, nach der die PINs für BlackBerry OS-Geräte, auf die Sie keine IT-Richtlinie angewendet haben, unter BES12 deaktiviert werden.
7. Klicken Sie auf Alles speichern.
Wenn Sie fertig sind: Bevor Sie die BlackBerry OS- Geräte unter BES12 auf den Geräten in der Liste Sicherheitsoptionen reaktivieren, weisen Sie die Benutzer an, auf Handheld löschen oder Sicherheitslöschung zu klicken, um alle Daten auf den Geräten zu löschen.
Erstellen und Verwalten von BlackBerry OS IT-RichtlinienSie können vorkonfigurierte IT-Richtlinien zum Erstellen von benutzerdefinierten IT-Richtlinien für BlackBerry OS-Geräte (Version 5.0 bis 7.1) verwenden (um beispielsweise IT-Richtlinienregeln für verschiedene Benutzergruppen in Ihrer Organisation festzulegen). Wenn Sie planen, vorkonfigurierte BlackBerry OS-IT-Richtlinien einschließlich der Standard-IT-
IT-Richtlinien
178
Richtlinie zu verwenden, sollten Sie diese überprüfen und bei Bedarf aktualisieren, um sicherzustellen, dass die Regeln die Sicherheitsstandards Ihrer Organisation erfüllen.
Erstellen einer BlackBerry OS-IT-Richtlinie1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben IT-Richtlinien .
3. Geben Sie einen Namen und eine Beschreibung für die BlackBerry OS-IT-Richtlinie ein.
4. Klicken Sie auf Hinzufügen.
5. Führen Sie die folgenden Aktionen aus, um die BlackBerry OS-IT-Richtlinie zu konfigurieren:
a. Klicken Sie auf IT-Richtlinie bearbeiten.
b. Klicken Sie für jede Richtliniengruppe auf die Registerkarte, und konfigurieren Sie die entsprechenden Werte für die IT-Richtlinienregeln.
c. Klicken Sie auf Alles speichern.
Wenn Sie fertig sind: Legen Sie die Rangordnung der BlackBerry OS-IT-Richtlinien fest.
Verwandte InformationenZuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einer Benutzergruppe, auf Seite 250Zuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einem Benutzerkonto, auf Seite 275
Zuweisen eines Rangs zu BlackBerry OS-IT-RichtlinienWenn ein Benutzer Mitglied mehrerer Benutzergruppen mit verschiedenen BlackBerry OS-IT-Richtlinien ist, verwendet BES12 die Rangordnung, die Sie zum Lösen von in Konflikt stehenden IT-Richtlinien oder Einstellungen für IT-Richtlinienregeln festlegen.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich IT-Richtlinien .
3. Klicken Sie auf IT-Richtlinien einen Rang zuweisen.
4. Mit den Pfeiltasten können Sie die BlackBerry OS-IT-Richtlinien in der Rangordnung nach oben oder unten verschieben.
5. Klicken Sie auf Speichern.
Verwandte InformationenZuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-Richtlinien, auf Seite 176
IT-Richtlinien
179
Anzeigen einer BlackBerry OS-IT-Richtlinie1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich IT-Richtlinien .
3. Klicken Sie auf den Namen der BlackBerry OS-IT-Richtlinie, die Sie anzeigen möchten.
4. Klicken Sie auf Vollständige IT-Richtlinie anzeigen.
Ändern einer BlackBerry OS-IT-Richtlinie1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich IT-Richtlinien .
3. Klicken Sie auf den Namen der BlackBerry OS-IT-Richtlinie, die Sie ändern möchten.
4. Klicken Sie auf IT-Richtlinie bearbeiten.
5. Nehmen Sie die gewünschten Änderungen für jede Richtliniengruppe auf der entsprechenden Registerkarte vor.
6. Klicken Sie auf Alles speichern.
Wenn Sie fertig sind: Ändern Sie bei Bedarf die Rangordnung von BlackBerry OS-IT-Richtlinien.
Verwandte InformationenZuweisen eines Rangs zu BlackBerry OS-IT-Richtlinien, auf Seite 179
Löschen einer BlackBerry OS-IT-RichtlinieSie können die standardmäßige BlackBerry OS-IT-Richtlinie nicht löschen. Wenn Sie eine benutzerdefinierte BlackBerry OS-IT-Richtlinie löschen, entfernt BES12 die IT-Richtlinie aus den Benutzern und deren verknüpften Geräten.
1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Erweitern Sie im linken Fensterbereich IT-Richtlinien .
3. Klicken Sie auf den Namen der BlackBerry OS-IT-Richtlinie, die Sie löschen möchten.
4. Klicken Sie auf .
5. Klicken Sie auf Löschen.
Verwandte InformationenZuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-Richtlinien, auf Seite 176
IT-Richtlinien
180
Apps
Sie können eine Bibliothek mit Apps erstellen, die Sie auf BlackBerry 10-, iOS-, Android- und Windows-Geräten verwalten und überwachen möchten. Zum Verwalten von Apps können Sie der App-Liste die Apps hinzufügen und sie Benutzerkonten, Benutzergruppen oder Gerätegruppen zuweisen.
Um Apps zu verwalten, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Fügen Sie der App-Liste die öffentlichen, internen und gesicherten Apps hinzu, die Sie verwalten möchten.
Erstellen Sie App-Gruppen zur gleichzeitigen Verwaltung mehrerer Apps bzw. zur Verwaltung von Apps auf Android for Work-Geräten.
Weisen Sie Apps oder App-Gruppen Benutzerkonten, Benutzergruppen oder Gerätegruppen hinzu, damit Benutzer sie installieren können.
Hinzufügen und Löschen von Apps aus der Liste der AppsDie App-Liste enthält alle Apps, die Sie Benutzern, Benutzergruppen und Gerätegruppen zuweisen können. Mit einem Schlosssymbol versehene Apps sind gesicherte Apps, die mit iOS auf Android- und Secure Work Space-Geräten im geschäftlichen Bereich installiert werden können. Die mit einem roten Schlosssymbol aufgeführten Apps sind Good Dynamics-Apps.
Hinzufügen von öffentlichen Apps zur App-ListeEine öffentliche App ist eine App, die über die BlackBerry World-Verkaufsplattform, den App Store-Online-Store, den Google Play-Store oder den Windows Store erhältlich ist.
Hinzufügen einer BlackBerry-App zur App-Liste
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
10
Apps
181
3. Klicken Sie auf BlackBerry World.
4. Suchen Sie im Suchfeld nach der App, die Sie hinzufügen möchten. Sie können nach App-Name, Anbieter oder BlackBerry World-URL suchen.
5. Wählen Sie in der Dropdown-Liste das Land des Stores aus, in dem Sie suchen möchten.
6. Klicken Sie auf Suchen.
7. Klicken Sie in den Suchergebnissen auf Hinzufügen, um eine App hinzuzufügen.
8. Um die in der App-Liste enthaltenen BlackBerry-Apps nach Kategorie zu filtern, können Sie eine Kategorie für die App auswählen. Führen Sie in der Dropdown-Liste Kategorie eine der folgenden Aktionen aus:
Option Bezeichnung
Kategorie für die App auswählen
1. Wählen Sie in der Dropdown-Liste eine Kategorie aus.
Kategorie für die App erstellen
1. Geben Sie einen Namen für die Kategorie ein. Die neue Kategorie wird in der Dropdown-Liste mit der Kennzeichnung „neue Kategorie“ daneben angezeigt.
2. Drücken Sie die Eingabetaste.
3. Drücken Sie die Eingabetaste.
9. Klicken Sie im App-Informationsbildschirm auf Hinzufügen.
Verwandte InformationenZuweisen einer App zu einer Benutzergruppe, auf Seite 246Zuweisen einer App zu einem Benutzerkonto, auf Seite 271
Hinzufügen einer iOS-App zur App-ListeBevor Sie beginnen: Wenn die Enterprise-Konnektivität aktiviert ist, müssen bei einigen sicheren Apps, die im App Store verfügbar sind, bestimmte Ports in BES12 geöffnet werden. Informationen erhalten Sie vom App-Anbieter.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
3. Klicken Sie auf App Store.
4. Suchen Sie im Suchfeld nach der App, die Sie hinzufügen möchten. Sie können nach App-Name, Anbieter oder App Store-URL suchen.
5. Wählen Sie in der Dropdown-Liste das Land des Stores aus, in dem Sie suchen möchten.
6. Klicken Sie auf Suchen.
7. Klicken Sie in den Suchergebnissen auf Hinzufügen, um eine App hinzuzufügen.
Apps
182
8. Um die Apps in der App-Liste nach Kategorie zu filtern und in der Liste der geschäftlichen Apps nach Kategorien zu sortieren, können Sie eine Kategorie für die App auswählen. Führen Sie in der Dropdown-Liste Kategorie eine der folgenden Aktionen aus:
Option Bezeichnung
Kategorie für die App auswählen
1. Wählen Sie in der Dropdown-Liste eine Kategorie aus.
Kategorie für die App erstellen
1. Geben Sie einen Namen für die Kategorie ein. Die neue Kategorie wird in der Dropdown-Liste mit der Kennzeichnung „neue Kategorie“ daneben angezeigt.
2. Drücken Sie die Eingabetaste.
3. Drücken Sie die Eingabetaste.
9. Wählen Sie in der Dropdown-Liste Unterstützter Formfaktor des Geräts die Formfaktoren aus, auf denen die App installiert werden kann. Beispielsweise können Sie verhindern, dass die App in der App „Geschäftliche Apps“ für iPad verfügbar ist.
10. Wenn Sie die App vom Gerät entfernen möchten, wenn das Gerät von BES12 entfernt wird, wählen Sie Die App vom Gerät entfernen, wenn das Gerät von BES12 entfernt wird. Diese Option gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ und deren Standardinstallation für erforderliche Apps auf „Einmal auffordern“ festgelegt ist.
11. Wenn Apps auf iOS-Geräten nicht in den iCloud-Onlinedienst gesichert werden sollen, wählen Sie iCloud-Sicherung für die App deaktivieren. Diese Option gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ festgelegt ist. Die Verfügbarkeit der App wird festgelegt, wenn Sie die App einem Benutzer oder einer Gruppe zuweisen.
12. Führen Sie in der Dropdown-Liste Standardinstallation für erforderliche Apps eine der folgenden Aktionen aus:
• Wenn Benutzer eine Aufforderung zur Installation der App auf ihren iOS-Geräten erhalten sollen, wählen Sie Einmal auffordern aus. Wenn der Benutzer die Aufforderung schließt, kann er die App später über den Bildschirm „Geschäftliche Apps“ in der App Good for BES12 oder über das Symbol „Geschäftliche Apps“ auf dem Gerät installieren.
• Wenn Benutzer keine Aufforderung erhalten sollen, wählen Sie Keine Eingabeaufforderung.
Die Standardinstallationsmethode gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ festgelegt ist. Die Verfügbarkeit der App wird festgelegt, wenn Sie die App einem Benutzer oder einer Gruppe zuweisen.
13. Wählen Sie aus der Dropdown-Liste Installierte persönliche Apps in geschäftliche konvertieren eine der folgenden Optionen aus:
• Um die App in eine geschäftliche App zu konvertieren, wenn sie auf einem iOS-Gerät mit Version 9 oder höher installiert ist, wählen Sie Konvertieren. Nachdem Sie die App einem Benutzer zugewiesen haben, wird die App in eine geschäftliche App konvertiert und kann über BES12 verwaltet werden.
• Wenn Sie die App nicht in eine geschäftliche App konvertieren möchten, da sie bereits auf Geräten mit iOS 9 oder höher installiert ist, wählen Sie Nicht konvertieren. Nachdem Sie die App einem Benutzer zugewiesen haben, kann sie von BES12 nicht mehr verwaltet werden.
Apps
183
14. Wenn die App-Einstellungen vorkonfiguriert werden können (z. B. Verbindungsdaten) und Sie diese Möglichkeit nutzen wollen, wenden Sie sich wegen der Konfigurationsdaten an den App-Anbieter, und führen Sie die folgenden Aktionen aus:
a. Klicken Sie in der Tabelle App-Konfiguration auf .
b. Geben Sie in das Feld Name der App-Konfiguration einen Namen ein.
c. Klicken Sie auf und wählen Sie einen Wertetyp für die Einstellung aus.
d. Geben Sie den Schlüsselnamen für die Einstellung und den festzulegenden Wert ein. Sie können für den Wert eine Variable verwenden.
e. Wiederholen Sie die Schritte c und d für jede zu konfigurierende Einstellung.
f. Klicken Sie auf Speichern.
15. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen einer App zu einer Benutzergruppe, auf Seite 246Zuweisen einer App zu einem Benutzerkonto, auf Seite 271
Hinzufügen einer Android-App zur App-ListeHinzufügen von Apps (ausschließlich) zur Liste der verfügbaren Apps Filme, Musik und Medien aus dem Zeitungskiosk können nicht an Geräte gesendet werden. Wenn Sie einem Benutzer Medien zuweisen und die Verfügbarkeit der Medien auf „Erforderlich“ festlegen, ist das Gerät an die Erzwingungsaktion gebunden, die im Kompatibilitätsprofil festgelegt und dem Gerät zugewiesen wurde.
Bevor Sie beginnen: Wenn die Enterprise-Konnektivität aktiviert ist, müssen bei einigen sicheren Apps, die in Google Play verfügbar sind, bestimmte Ports in BES12 geöffnet werden. Informationen erhalten Sie vom App-Anbieter.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
3. Klicken Sie auf Google Play.
4. Klicken Sie auf Google Play öffnen, und suchen Sie nach der App, die Sie hinzufügen möchten. Sie können dann die Informationen aus Google Play in den folgenden Schritten kopieren und einfügen sowie Symbole und Screenshots herunterladen.
5. Geben Sie im Feld App-Name den Namen der App ein.
6. Geben Sie im Feld App-Beschreibung eine Beschreibung für die App ein.
7. Um die Apps in der App-Liste nach Kategorie zu filtern und in der Liste der geschäftlichen Apps nach Kategorien zu sortieren, können Sie eine Kategorie für die App auswählen. Führen Sie in der Dropdown-Liste Kategorie eine der folgenden Aktionen aus:
Apps
184
Option Bezeichnung
Kategorie für die App auswählen
1. Wählen Sie in der Dropdown-Liste eine Kategorie aus.
Kategorie für die App erstellen
1. Geben Sie einen Namen für die Kategorie ein. Die neue Kategorie wird in der Dropdown-Liste mit der Kennzeichnung „neue Kategorie“ daneben angezeigt.
2. Drücken Sie die Eingabetaste.
3. Drücken Sie die Eingabetaste.
8. Geben Sie im Feld Anbieter den Namen des Anbieters der App ein.
9. Klicken Sie im Feld App-Symbol auf Durchsuchen. Suchen Sie ein Symbol für die App, und wählen Sie es aus. Folgende Formate werden unterstützt: .png, .jpg, .jpeg oder .gif. Verwenden Sie nicht Google Chrome, um das Symbol herunterzuladen, da ansonsten ein nicht kompatibles .webp-Bild heruntergeladen wird.
10. Geben Sie im Feld App-Webadresse von Google Play die Webadresse der App in Google Play ein.
11. Um Screenshots der App hinzuzufügen, klicken Sie auf Hinzufügen, und navigieren Sie zu den Screenshots. Folgende Bilddateitypen werden unterstützt: .jpg, .jpeg, .png oder .gif.
12. Führen Sie in der Dropdown-Liste Senden an eine der folgenden Aktionen aus:
• Wenn die App auf alle Android-Geräte gesendet werden soll, wählen Sie Alle Android-Geräte aus.
• Wenn die App nur auf Android-Geräte mit Samsung KNOX Workspace gesendet werden soll, wählen Sie Nur KNOX Workspace-Geräte aus.
13. Klicken Sie auf Hinzufügen.
Verwandte InformationenZuweisen einer App zu einer Benutzergruppe, auf Seite 246Zuweisen einer App zu einem Benutzerkonto, auf Seite 271
Hinzufügen einer Android-App zur App-Liste bei Verbindung von BES12 mit einer Google-DomäneWenn Sie eineAndroid for Work-Verbindung konfiguriert haben, können Sie Apps auf allenAndroid-Geräten, einschließlich solcher mitAndroid for Workverwalten. Weitere Informationen zur Konfiguration vonBES12zur Unterstützung vonAndroid for Work, finden Sie in der Dokumentation zur Konfiguration.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
3. Klicken Sie auf Google Play.
4. Geben Sie im Feld App-URL von Google Play die Webadresse der App in Google Play ein.
Apps
185
5. Klicken Sie auf Suchen.
6. Klicken Sie in den Suchergebnissen auf Hinzufügen, um eine App hinzuzufügen.
7. Klicken Sie auf Annehmen, um App-Berechtigungen im Namen von Benutzern anzunehmen. Sie müssen App-Berechtigungen im Namen von Benutzern annehmen, damit erforderliche Apps automatisch auf Android for Work-Geräten installiert werden können. Wenn Sie die App-Berechtigungen nicht im Namen der Benutzer annehmen, kann die App nicht in BES12 verwaltet werden.
8. Klicken Sie auf Weiter.
9. Um Screenshots der App hinzuzufügen, klicken Sie auf Hinzufügen, und navigieren Sie zu den Screenshots. Folgende Bilddateitypen werden unterstützt: .jpg, .jpeg, .png oder .gif.
10. Führen Sie in der Dropdown-Liste Senden an eine der folgenden Aktionen aus:
• Wenn die App auf alle Android-Geräte gesendet werden soll, wählen Sie Alle Android-Geräte.
• Wenn die App nur an Android-Geräte mit Samsung KNOX Workspace gesendet werden soll, wählen Sie Nur Samsung KNOX Workspace-Geräte.
• Wenn die App nur auf Android for Work-Geräte gesendet werden soll, wählen Sie Android for Work-Geräte aus.
11. Um die Apps in der App-Liste nach Kategorie zu filtern und in der Liste der geschäftlichen Apps nach Kategorien zu sortieren, können Sie eine Kategorie für die App auswählen. Führen Sie in der Dropdown-Liste Kategorie eine der folgenden Aktionen aus:
Option Bezeichnung
Kategorie für die App auswählen
1. Wählen Sie in der Dropdown-Liste eine Kategorie aus.
Kategorie für die App erstellen
1. Geben Sie einen Namen für die Kategorie ein. Die neue Kategorie wird in der Dropdown-Liste mit der Kennzeichnung „neue Kategorie“ daneben angezeigt.
2. Drücken Sie die Eingabetaste.
3. Drücken Sie die Eingabetaste.
12. Eine App-Konfigurationstabelle wird nur angezeigt, wenn es für die App Konfigurationseinstellungen gibt. Klicken Sie auf in der App-Konfigurationstabelle, um eine App-Konfiguration hinzuzufügen.
13. Falls erforderlich, geben Sie einen Namen für die App-Konfiguration und die Konfigurationseinstellungen an. Klicken Sie auf Speichern.
14. Klicken Sie auf Hinzufügen.
Hinzufügen einer Windows Phone-App zur App-Liste
1. Klicken Sie in der Menüleiste auf Apps.
Apps
186
2. Klicken Sie auf .
3. Klicken Sie auf Windows Store > 8.
4. Klicken Sie auf Windows Store öffnen, und suchen Sie nach der App, die Sie hinzufügen möchten. Sie können dann die Informationen aus Windows Store in den folgenden Schritten kopieren und einfügen sowie Symbole und Screenshots herunterladen.
5. Geben Sie im Feld App-Name den Namen der App ein.
6. Geben Sie im Feld App-Beschreibung eine Beschreibung für die App ein.
7. Geben Sie im Feld Anbieter den Namen des Anbieters der App ein.
8. Klicken Sie im Feld App-Symbol auf Durchsuchen. Suchen Sie ein Symbol für die App, und wählen Sie es aus. Folgende Formate werden unterstützt: .png, .jpg, .jpeg oder .gif.
9. Geben Sie im Feld App-Webadresse im Windows Store die Webadresse der App in Windows Store ein. Die Webadresse muss mit „https“ beginnen.
10. Um Screenshots der App hinzuzufügen, klicken Sie auf Hinzufügen, und navigieren Sie zu den Screenshots. Folgende Bilddateitypen werden unterstützt: .jpg, .jpeg, .png oder .gif.
11. Klicken Sie auf Hinzufügen.
Hinzufügen einer Windows 10-App zur App-ListeZum Hinzufügen von Windows 10-Apps zur App-Liste müssen Sie den App-Katalog im Windows Store für Unternehmen verwalten und anschließend die Apps mit BES12 synchronisieren. Wenn neue Apps zum App-Katalog hinzugefügt werden, können Sie diese mit BES12 direkt synchronisieren oder warten, bis die automatische Synchronisierung durch BES12 erfolgt. BES12 synchronisiert den App-Katalog im Abstand von 24 Stunden.
Sie können zulassen, dass Benutzer Offline- oder Online-Apps aus dem Windows Store-App-Katalog für Unternehmen installieren. Offline-Apps werden von BES12 beim Synchronisieren des App-Katalogs heruntergeladen. Die Verwendung von Offline-Apps wird empfohlen, da die Verwaltung dieser Apps über BES12 erfolgen kann und Benutzer für die Installation keine Verbindung zum Windows Store für Unternehmen herstellen müssen. Nachdem die Apps installiert wurden, empfangen Geräte Updates für die Apps aus dem Windows Store.
Online-Apps werden direkt aus dem Windows Store für Unternehmen heruntergeladen.
Bevor Sie beginnen:
• Angeben des freigegebenen Netzwerkpfads zur Speicherung interner Apps zum Speichern von Offline-Apps.
• Konfigurieren Sie BES12 für die Synchronisierung mit dem Windows Store für Unternehmen. Anweisungen finden Sie in der Dokumentation zur Konfiguration.
• Wenn Sie möchten, dass Benutzer Online-Apps installieren können, müssen Sie Ihr Verzeichnis mit Microsoft Azure Active Directory mithilfe von Microsoft AzureAD Connect synchronisieren.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
Apps
187
3. Klicken Sie auf Windows Store > 10.
4. Klicken Sie auf Apps synchronisieren.
Benutzern die Installation von Online-Apps ermöglichenWenn Sie Benutzern die Installation von Online-Apps ermöglichen möchten, muss der Benutzer in Ihrem Microsoft Azure-Verzeichnis vorhanden sein und die E-Mail-Adresse des Benutzers in BES12 muss mit der E-Mail-Adresse des Benutzers in Microsoft Azure AD übereinstimmen. Sie können Ihr Verzeichnis mit Microsoft Azure mithilfe von Microsoft Azure AD Connect synchronisieren. Weitere Informationen über die Verwendung von Microsoft Azure AD Connect finden Sie unter https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/.
Hinzufügen einer App-Kategorie für eine Windows 10-AppNachdem Sie eine Kategorie für eine App eingerichtet haben, können Sie Apps in der App-Liste nach Kategorie filtern und die Apps auf den Geräten der Benutzer in der Liste der geschäftlichen Apps nach Kategorien sortieren. Nachdem eine Windows 10-App mit BES12 synchronisiert wurde, können Sie ihr eine App-Kategorie zuweisen.
Bevor Sie beginnen: Hinzufügen einer Windows 10-App zur App-Liste.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf die App, der Sie eine App-Kategorie zuweisen möchten.
3. Führen Sie in der Dropdown-Liste Kategorie eine der folgenden Aktionen aus:
Schritt Beschreibung
Kategorie für die App auswählen 1. Wählen Sie in der Dropdown-Liste eine Kategorie aus.
Kategorie für die App erstellen 1. Geben Sie einen Namen für die Kategorie ein. Die neue Kategorie wird in der Dropdown-Liste mit der Kennzeichnung „neue Kategorie“ angezeigt.
2. Drücken Sie die Eingabetaste.
3. Drücken Sie die Eingabetaste.
4. Klicken Sie auf Speichern.
Hinzufügen von internen Apps zur App-ListeInterne Apps umfassen proprietäre Apps, die von Ihrer Organisation entwickelt wurden, oder Apps, die Ihrer Organisation zur exklusiven Verwendung bereitgestellt wurden. Interne Apps werden nicht über öffentliche App-Verkaufsplattformen hinzugefügt.
Apps
188
BlackBerry-Apps müssen als BAR-Dateien, iOS-Apps als IPA-Dateien, Android-Apps als APK-Dateien und Windows Phone-Apps als XAP- oder APPX-Dateien vorliegen. Interne Apps müssen zudem signiert sein und dürfen nicht verändert werden.
Benutzer finden interne Apps auf ihren Geräten wie folgt:
• Für BlackBerry 10-Geräte in BlackBerry World for Work auf der Registerkarte „Geschäftliche Apps“
• FüriOS-Geräte in der Good for BES12-App in der Liste „Zugewiesene geschäftliche Apps“
• Für Android- und Windows Phone-Geräte im BES12 Client in der Liste „Zugewiesene geschäftliche Apps“
Schritte zum Hinzufügen von internen Apps zur App-ListeUm interne Apps hinzuzufügen, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Angeben des freigegebenen Netzwerkpfads zur Speicherung interner Apps.
Wenn Sie Windows Phone-Apps hinzufügen, laden Sie ein AET hoch.
Fügen Sie der App-Liste eine interne App hinzu.
Wenn Sie eine interne App hinzufügen, die für Android for Work-Geräte verfügbar sein soll, führen Sie die folgenden Schritte aus, um die App in Google Play oder BES12 zu hosten.
Angeben des freigegebenen Netzwerkpfads zur Speicherung interner AppsBevor Sie interne Apps der Liste verfügbarer Apps hinzufügen können, müssen Sie einen freigegebenen Netzwerkpfad zur Speicherung der App-Quelldateien angeben. Um sicherzustellen, dass die internen Apps verfügbar bleiben, sollte dieser Netzwerkpfad über eine Hochverfügbarkeitslösung verfügen und regelmäßig gesichert werden. Erstellen Sie den Ordner außerdem nicht im BES12-Installationsordner, da er sonst gelöscht wird, wenn Sie ein Upgrade von BES12 durchführen.
Bevor Sie beginnen:
• Erstellen Sie einen freigegebenen Netzwerkordner, um die Quelldateien für interne Apps in dem Netzwerk zu speichern, das BES12 hostet.
• Überprüfen Sie, ob das Dienstkonto des Computers, der BES12 hostet, über Lese- und Schreibzugriff auf den freigegebenen Netzwerkordner verfügt.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option App-Verwaltung.
3. Klicken Sie auf Speicher für interne Apps.
4. Geben Sie im Feld Netzwerkpfad den Pfad des freigegebenen Netzwerkordners im folgenden Format ein:
Apps
189
\\<computer_name>\<shared_network_folder>
Der freigegebene Netzwerkpfad muss im UNC-Format eingegeben werden (Beispiel: \\ComputerName\Applications\InternalApps).
5. Klicken Sie auf Speichern.
Ein Anwendungsinstallations-Token hochladen für Windows Phone-GeräteBevor Benutzer interne Apps auf Windows Phone-Geräten installieren können, müssen sie ein AET hochladen. Die Apps, die Benutzer installieren sollen, müssen das gleiche Zertifikat wie der hochgeladene AET nutzen. Weitere Informationen zur Generierung eines Anwendungsinstallations-Tokens finden Sie auf msdn.microsoft.com unter How to generate an application enrollment token for Windows Phone (Generieren eines Anwendungsinstallations-Tokens für Windows Phone). Sie benötigen außerdem ein AET, wenn Sie interne oder öffentliche Windows-Apps in Kompatibilitätsprofilen überwachen möchten.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option App-Verwaltung.
3. Klicken Sie auf Windows Phone Apps.
4. Klicken Sie auf Durchsuchen, und navigieren Sie zu dem AET, den Sie hochladen möchten.
5. Klicken Sie auf Speichern.
Fügen Sie der App-Liste eine interne App hinzuBevor Sie beginnen:
• Geben Sie den freigegebenen Netzwerkpfad zur Speicherung interner Apps an.
• Wenn Sie Windows Phone-Apps hinzufügen, laden Sie ein AET hoch.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
3. Klicken Sie auf Interne Apps.
4. Klicken Sie auf Durchsuchen. Navigieren Sie zu der App, die Sie hinzufügen oder aktualisieren möchten.
5. Klicken Sie auf Öffnen.
6. Klicken Sie auf Hinzufügen.
7. Geben Sie optional einen Anbieternamen und eine App-Beschreibung ein.
8. Um Screenshots der App hinzuzufügen, klicken Sie auf Hinzufügen. Navigieren Sie zu den Screenshots. Folgende Bilddateitypen werden unterstützt: .jpg, .jpeg, .png oder .gif.
9. Führen Sie beim Hinzufügen einer iOS-App eine der folgenden Aktionen aus:
Apps
190
a. Wählen Sie in der Dropdown-Liste Unterstützter Formfaktor des Geräts die Formfaktoren aus, auf denen die App installiert werden kann. Beispielsweise können Sie verhindern, dass die App in der App „Geschäftliche Apps“ für iPad verfügbar ist.
b. Wenn Sie die App vom Gerät entfernen möchten, wenn das Gerät von BES12 entfernt wird, wählen Sie Die App vom Gerät entfernen, wenn das Gerät von BES12 entfernt wird. Diese Option gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ und deren Standardinstallation für erforderliche Apps auf „Einmal auffordern“ festgelegt ist.
c. Wenn Apps auf iOS-Geräten nicht in den iCloud-Onlinedienst gesichert werden sollen, wählen Sie iCloud-Sicherung für die App deaktivieren. Diese Option gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ festgelegt ist. Die Verfügbarkeit der App wird festgelegt, wenn Sie die App einem Benutzer oder einer Gruppe zuweisen.
d. Wenn Benutzer eine Aufforderung zur Installation der App auf ihren Geräten mit iOS erhalten sollen, wählen Sie in der Dropdown-Liste Standardinstallation für erforderliche Apps die Option Einmal auffordern. Wenn der Benutzer die Aufforderung schließt, kann er die App später über die Liste „Geschäftliche Apps“ in der Good for BES12-App oder über das Symbol „Geschäftliche Apps“ auf dem Gerät installieren.
10. Wenn Sie eine Android-App hinzufügen, führen Sie in der Dropdown-Liste Senden an eine der folgenden Aktionen aus:
• Wenn die App auf alle Android-Geräte gesendet werden soll, wählen Sie Alle Android-Geräte.
• Wenn die App nur an Android-Geräte mit Samsung KNOX Workspace gesendet werden soll, wählen Sie Nur Samsung KNOX Workspace-Geräte.
11. Damit die App auf Android for Work-Geräten installiert werden kann, wählen Sie App für Android for Work aktivieren.
12. Klicken Sie auf Hinzufügen.
Verwandte InformationenHosten einer internen App für Android for Work-Geräte in Google Play, auf Seite 191Hosten einer internen App für Android for Work-Geräte in BES12, auf Seite 192
Hosten einer internen App für Android for Work-Geräte in Google PlayWenn Sie eine App in Google Play hosten, können Sie die Konfigurationseinstellungen nutzen, um das Verhalten der App zu ändern und die App als „Erforderlich“ oder „Optional“ festzulegen. Erforderliche Apps werden automatisch auf zugewiesenen Geräten installiert. Um eine App in Google Playzu hosten, müssen Sie die App in Google Play veröffentlichen, sodass Benutzer die interne App auf ihren Android for Work-Geräten installieren können.
Bevor Sie beginnen:
• Fügen Sie die interne APK-Datei der List der Apps hinzu, und wählen Sie die Option App für Android for Work aktivieren.
1. In der Dropdown-Liste App wird gehostet von klicken Sie auf Google Play.
2. Melden Sie sich beim Google Developers Console unter https://play.google.com/apps/publish an.
3. Klicken Sie auf Neue Anwendung hinzufügen.
4. Wählen Sie die Standardsprache aus
Apps
191
5. Geben Sie einen Titel für die App ein.
6. Klicken Sie auf APK hochladen
7. Sofern zutreffend, klicken Sie auf Erste APK in die Produktion hochladen.
8. Navigieren Sie zu der APK-Datei, und laden Sie sie hoch.
9. Geben Sie die erforderlichen Informationen zu Store-Auflistung und Kategorie ein.
10. Wählen Sie auf der Registerkarte Preisgestaltung & Vertrieb unter Vertrieb einschränken die Option Diese App nur Benutzern zur Verfügung stellen, die zu meiner Domäne von „Google Apps“ gehören.
11. Speichern Sie den Entwurf.
12. Klicken Sie auf App veröffentlichen.
13. Benutzer können die App installieren, nachdem sie in Google Play veröffentlicht wurde. Es kann mehrere Stunden dauern, bis die App veröffentlicht ist. Sie können in der Verwaltungskonsole auf Status überprüfen klicken, um festzustellen, ob die App veröffentlicht wurde.
Verwandte InformationenFügen Sie der App-Liste eine interne App hinzu, auf Seite 190Hosten einer internen App für Android for Work-Geräte in BES12, auf Seite 192
Hosten einer internen App für Android for Work-Geräte in BES12Zum Hosten einer internen App für Android for Work-Geräte in BES12 müssen Sie eine JSON-Datei für die App generieren, die Datei auf Google Play hochladen und den Lizenzschlüssel für die veröffentlichte App abrufen. Apps, die in BES12 gehostet werden, können nur als optional festgelegt werden, und Sie können die Konfigurationseinstellungen nicht verwenden, um die Funktionen und das Verhalten der App zu ändern.
Bevor Sie beginnen:
• Sichern Sie die APK-Datei für die App an einem Speicherort auf dem Computer.
• Fügen Sie die interne APK-Datei der List der Apps hinzu, und wählen Sie die Option App für Android for Work aktivieren.
• Stellen Sie sicher, dass Sie OpenSSL, JDK, Python 2.x und das Android Asset Packaging Tool (aapt) an einem Speicherort auf dem Computer installiert haben.
1. In der Dropdown-Liste App wird gehostet von klicken Sie auf BES12.
2. Generieren Sie eine JSON-Datei für die App. Gehen Sie folgendermaßen vor, um eine JSON-Datei zu erstellen:
a. Gehen Sie zu https://github.com/google/play-work/tree/master/externally-hosted-apks.
b. Klicken Sie auf die Datei externallyhosted.py.
c. Klicken Sie auf Raw.
d. Speichern Sie die Datei in einem Verzeichnis auf dem Computer.
Apps
192
e. Mittels einer Eingabeaufforderung wechseln Sie zu dem Speicherort, an dem die Datei externallyhosted.py gespeichert wurde, und geben python externallyhosted.py --apk=path to apk that you want to host --externallyHostedUrl=URL displayed in the BES12 >filename.json ein, um die Python-Datei auszuführen. Beispiel: python externallyhosted.py --apk=c:\mycompanyapp.apk --externallyHostedUrl=https://enrol.plaintext.server.location.net/xxxxxxxxx >appname.json
3. Melden Sie sich beim https://play.google.com/apps/publish an.
4. Klicken Sie auf Neue Anwendung hinzufügen.
5. Wählen Sie die Standardsprache aus
6. Geben Sie einen Titel für die App ein.
7. Klicken Sie auf APK hochladen.
8. Sofern zutreffend, klicken Sie auf Erste APK in die Produktion hochladen.
9. Wählen Sie Ich lade eine Konfiguration für eine APK hoch, die außerhalb von Google Play gehostet wird.
10. Navigieren Sie zu der JSON-Datei, die Sie in Schritt 2 generiert haben, und laden Sie sie hoch.
11. Geben Sie die erforderlichen Informationen zu Store-Auflistung und Kategorie ein. Fügen Sie z. B. Screenshots hinzu.
12. Wählen Sie auf der Registerkarte Preisgestaltung & Vertrieb unter Vertrieb einschränken die Option Diese App nur Benutzern zur Verfügung stellen, die zu meiner Domäne von „Google Apps“ gehören. Dies stellt sicher, dass nur Benutzer in Ihrem Unternehmen auf die interne App zugreifen können.
13. Speichern Sie den Entwurf.
14. Klicken Sie auf App veröffentlichen.
15. Um den Status der App zu überprüfen, klicken Sie in der Verwaltungskonsole auf Status prüfen, um festzustellen, ob der Lizenzschlüssel generiert wurde. Benutzer können die App installieren, nachdem sie in Google Play veröffentlicht wurde. Es kann mehrere Stunden dauern, bis die App veröffentlicht ist.
16. Melden Sie sich beim https://play.google.com/apps/publish an.
17. Wählen Sie die App aus der Liste der veröffentlichten Apps aus.
18. Klicken Sie auf Dienste und APIs.
19. Kopieren Sie den Lizenzschlüssel für die App.
20. In der Verwaltungskonsole fügen Sie den Lizenzschlüssel in das Textfeld ein.
Verwandte InformationenFügen Sie der App-Liste eine interne App hinzu, auf Seite 190Hosten einer internen App für Android for Work-Geräte in Google Play, auf Seite 191
Apps
193
Hinzufügen von gesicherten Apps zur App-ListeGesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work Space entwickelt. Gesicherte Apps bieten die gleiche Sicherheitsstufe wie Apps, die im geschäftlichen Bereich auf BlackBerry 10-Geräten installiert sind. iOS-Apps müssen als IPA-Dateien und Android-Apps als APK-Dateien vorliegen. Gesicherte Apps müssen gewrappt und signiert sein.
Gesicherte Apps werden in der App-Liste mit einem Schlosssymbol angezeigt.
Schritte zum Hinzufügen von gesicherten Apps zur App-ListeUm gesicherte Apps zu verwalten, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Geben Sie an, welche benutzerdefinierten Apps Sie für iOS- oder Android-Geräte sichern möchten.
Sichern Sie die App über die Verwaltungskonsole für die Verwendung im geschäftlichen Bereich.
Nachdem die App gesichert wurde, laden Sie die gesicherte Datei aus der Verwaltungskonsole herunter.
Lassen Sie die App vom Entwickler erneut signieren.
Nachdem Sie die erneut signierte App vom Entwickler erhalten haben, fügen Sie die App der Liste der Apps in der Verwaltungskonsole hinzu.
Sichern einer AppVerwenden Sie die Verwaltungskonsole zum Sichern einer App, damit sie im geschäftlichen Bereich von iOS- und Android-Geräten installiert werden kann.
Bevor Sie beginnen:
• Beziehen Sie die App-Binärdatei (.apk oder .ipa) vom Entwickler. Die App darf nicht mehr als 50 MB groß sein.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Externe Integration.
3. Klicken Sie auf Secure Work Space.
4. Navigieren Sie im Abschnitt zum Sichern einer App zur Anwendungsdatei (.apk oder .ipa), und klicken Sie auf Upload.
Apps
194
5. Überprüfen Sie den Status der App. Der Vorgang kann einige Minuten bis mehrere Stunden dauern.
6. Wenn der Status angibt, dass die Sicherung abgeschlossen ist, klicken Sie auf Download, um die gesicherte App auf Ihren lokalen Computer herunterzuladen.
Wenn Sie fertig sind:
• Lassen Sie die gesicherte App vom Entwickler erneut signieren.
• Fügen Sie die App zur Liste der verfügbaren Apps hinzu.
Erneutes Signieren einer AppNachdem Sie eine iOS- oder Android-App gesichert haben, muss diese vom Entwickler erneut signiert werden. Die gesicherte und erneut signierte App wird zur Verteilung an den Administrator zurückgegeben.
Wenn eine gesicherte App für iOS-Geräte auf bestimmte iOS-Ressourcen zugreifen oder bestimmte Vorgänge (z. B. Push-Benachrichtigungen) durchführen muss, hat der App-Entwickler eine bestimmte Datei mit Berechtigungseinstellungen zu erstellen.
Weitere Informationen finden Sie unter http://developer.blackberry.com/enterprise/managing_and_deploying_apps_in_the_enterprise.html.
Löschen einer App aus der App-ListeWenn Sie eine App aus der App-Liste löschen, wird die derzeitige Zuweisung der App zu allen Benutzern oder Gruppen aufgehoben, und die App wird nicht mehr im Katalog der geschäftlichen Apps auf dem Gerät angezeigt.
1. Klicken Sie in der Menüleiste auf Apps.
2. Aktivieren Sie die Kontrollkästchen neben den Apps, die Sie aus der App-Liste löschen möchten.
3. Klicken Sie auf .
4. Klicken Sie auf Löschen.
App-Verhalten auf Android-GerätenBei Geräten, die mit „MDM-Steuerelemente“, „Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)“ und „Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)“ aktiviert wurden, gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Der Benutzer wird aufgefordert, die Apps zu installieren.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
Apps
195
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
• Die Apps werden in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn erforderliche Apps nicht installiert werden.
• Die Apps werden nicht mehr in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
• Die Apps werden nicht mehr in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Der Benutzer wird aufgefordert, die Apps zu installieren.
• Die Apps werden in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn erforderliche Apps nicht installiert werden.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
• Die Apps werden nicht mehr in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
• Der Benutzer wird aufgefordert, die Apps zu entfernen.
Apps
196
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
• Die Apps werden in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
• Die Apps werden nicht mehr in der Liste „Zugewiesene geschäftliche Apps“ im BES12 Client angezeigt.
Bei Samsung KNOX-Geräten, die mit „MDM-Steuerelemente“ aktiviert wurden, gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Der Benutzer wird aufgefordert, die Apps zu installieren.
• Zugewiesene Apps werden im BES12 Client angezeigt. Wenn der Benutzer auf die Schaltfläche zum Installieren klickt, öffnet sich Google Play, und die App wird von dort installiert.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn erforderliche Apps nicht installiert werden.
• Der Benutzer wird aufgefordert, die Apps zu deinstallieren.
• Der Benutzer wird aufgefordert, zugewiesene geschäftliche Apps zu deinstallieren.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Zugewiesene Apps werden im BES12 Client angezeigt. Wenn der Benutzer auf die Schaltfläche zum
• Der Benutzer wird aufgefordert, die Apps zu deinstallieren.
• Der Benutzer wird aufgefordert, zugewiesene geschäftliche Apps zu deinstallieren.
Apps
197
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Installieren klickt, öffnet sich Google Play, und Apps werden von dort installiert.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch auf Geräten installiert. Der Benutzer kann die Apps nicht deinstallieren.
• Zugewiesene Apps werden vom BES12 Client installiert.
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden automatisch vom Gerät entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Zugewiesene Apps werden vom BES12 Client installiert.
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden automatisch vom Gerät entfernt.
Bei Samsung KNOX-Geräten, die nur mit geschäftlichem Bereich aktiviert wurden (Samsung KNOX), gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Alle öffentlichen Apps sind standardmäßig im geschäftlichen Bereich eingeschränkt.
• Zugewiesene Apps werden im BES12 Client angezeigt, müssen jedoch aus Google Play installiert werden.
• Google Play muss in der IT-Richtlinie aktiviert
• Die Apps werden von dem Gerät entfernt und können nicht mehr von Google Play installiert werden.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
• Apps sind nicht mehr automatisch in Google Play eingeschränkt.
Apps
198
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
sein, die dem Benutzer zugewiesen ist.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn eine erforderliche App nicht installiert wird.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Alle Apps sind standardmäßig im geschäftlichen Bereich eingeschränkt.
• Zugewiesene Apps werden im BES12 Client angezeigt, müssen jedoch aus Google Play installiert werden.
• Google Play muss in der IT-Richtlinie aktiviert sein, die dem Benutzer zugewiesen ist.
• Die Apps werden von dem Gerät entfernt und können nicht mehr von Google Play installiert werden.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
• Apps sind nicht mehr automatisch in Google Play eingeschränkt.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch auf Geräten installiert. Der Benutzer kann die Apps nicht deinstallieren.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Zugewiesene Apps werden vom BES12 Client installiert.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
Bei Geräten, die mit „Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)“ und „Datenschutz für Benutzer (Samsung KNOX)“ aktiviert wurden, gilt Folgendes:
Apps
199
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Alle öffentlichen Apps sind standardmäßig im geschäftlichen Bereich eingeschränkt.
• Der Benutzer wird aufgefordert, die Apps zu installieren.
• Zugewiesene Apps werden im BES12 Client angezeigt. Wenn der Benutzer auf die Schaltfläche zum Installieren klickt, öffnet sich Google Play, und die App wird von dort installiert.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn eine erforderliche App nicht installiert wird.
• Die Apps verbleiben im persönlichen Bereich, werden jedoch aus dem geschäftlichen Bereich entfernt.
• Der geschäftliche Bereich wird entfernt, und die Apps verbleiben im persönlichen Bereich.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Alle Apps sind standardmäßig im geschäftlichen Bereich eingeschränkt.
• Zugewiesene Apps werden im BES12 Client angezeigt, müssen jedoch aus Google Play installiert werden.
• Google Play muss in der IT-Richtlinie aktiviert sein, die dem Benutzer zugewiesen ist.
• Die Apps verbleiben im persönlichen Bereich, werden jedoch aus dem geschäftlichen Bereich entfernt.
• Der geschäftliche Bereich wird entfernt, und die Apps verbleiben im persönlichen Bereich.
Apps
200
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch im geschäftlichen Bereich installiert. Der Benutzer kann die Apps nicht deinstallieren.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich wird entfernt, und die Apps verbleiben im persönlichen Bereich.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Zugewiesene Apps werden vom BES12 Client installiert, und die Installation erfolgt im geschäftlichen Bereich.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich wird entfernt, und die Apps verbleiben im persönlichen Bereich.
Bei Geräten, die mit „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)“ aktiviert wurden, gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch installiert.
• Die Apps werden automatisch vom Gerät entfernt.
• Das Geschäftsprofil und zugewiesene geschäftliche Apps werden von dem Gerät entfernt.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in Google Play for Work angezeigt.
• Die Apps werden automatisch vom Gerät entfernt.
• Das Geschäftsprofil und zugewiesene geschäftliche Apps werden von dem Gerät entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“ gehostet in BES12
• Nicht unterstützt. • Nicht unterstützt. • Nicht unterstützt.
Apps
201
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Interne Apps mit Verfügbarkeitseinstellung „Optional“ gehostet in BES12
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in Google Play for Work angezeigt.
• Die Apps werden automatisch vom Gerät entfernt.
• Das Geschäftsprofil und zugewiesene geschäftliche Apps werden von dem Gerät entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“ gehostet in Google Play
• Die Apps werden automatisch auf dem Gerät installiert.
• Die Apps werden automatisch vom Gerät entfernt.
• Das Geschäftsprofil und zugewiesene geschäftliche Apps werden von dem Gerät entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Optional“ gehostet in Google Play
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in Google Play for Work angezeigt.
• Die Apps werden automatisch vom Gerät entfernt.
• Das Geschäftsprofil und zugewiesene geschäftliche Apps werden von dem Gerät entfernt.
App-Verhalten auf iOS-GerätenBei Geräten, die mit „MDM-Steuerelemente“, „Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)“ und „Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)“ aktiviert wurden, gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Je nach Apps-Einstellungen wird der Benutzer ggf. zur Installation der Apps aufgefordert.
• Die Apps werden in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden nicht mehr in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit
• Bei Geräten mit Secure Work Space werden der geschäftliche Bereich und alle geschäftlichen Apps automatisch entfernt.
• Bei mit MDM-Steuerelemente aktivierten Geräten
Apps
202
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn erforderliche Apps nicht installiert werden.
„Privatsphäre des Benutzers“ aktiviert wurden.
werden alle Apps aus dem geschäftlichen Bereich automatisch entfernt.
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden nicht mehr in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Bei Geräten mit Secure Work Space werden der geschäftliche Bereich und alle geschäftlichen Apps automatisch entfernt.
• Bei mit MDM-Steuerelemente aktivierten Geräten werden alle Apps aus dem geschäftlichen Bereich automatisch entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Je nach App-Einstellungen wird der Benutzer ggf. zur Installation der App aufgefordert.
• Die Apps werden in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden nicht mehr in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Bei Geräten mit Secure Work Space werden der geschäftliche Bereich und alle geschäftlichen Apps automatisch entfernt.
• Bei mit MDM-Steuerelemente aktivierten Geräten werden alle Apps aus dem geschäftlichen Bereich automatisch entfernt.
Apps
203
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
• Sie können mit einem Kompatibilitätsprofil die Aktionen definieren, die eintreten, wenn erforderliche Apps nicht installiert werden.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Die Apps werden automatisch vom Gerät entfernt.
• Die Apps werden nicht mehr in der App „Geschäftliche Apps“ oder in der Good for BES12-App auf Geräten angezeigt, die mit „Privatsphäre des Benutzers“ aktiviert wurden.
• Bei Geräten mit Secure Work Space werden der geschäftliche Bereich und alle geschäftlichen Apps automatisch entfernt.
• Bei mit MDM-Steuerelemente aktivierten Geräten werden alle Apps aus dem geschäftlichen Bereich automatisch entfernt.
App-Verhalten auf BlackBerry-GerätenBei BlackBerry-Geräten, die mit „Geschäftlich und persönlich – Unternehmen (Nur geschäftlicher Bereich)“ oder Geschäftlich und persönlich – Reguliert aktiviert wurden, gilt Folgendes:
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Der Benutzer wird aufgefordert, die Apps zu installieren.
• Die Apps werden auf der Registerkarte „Öffentliche Apps“ in BlackBerry World for Work angezeigt.
• Der Benutzer wird aufgefordert, die Apps zu deinstallieren.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
Apps
204
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten bei Entfernen des Geräts aus BES12
Öffentliche Apps mit Verfügbarkeitseinstellung „Optional“
• Der Benutzer kann wählen, ob er die Apps installieren möchte.
• Die Apps werden auf der Registerkarte „Öffentliche Apps“ in BlackBerry World for Work angezeigt.
• Der Benutzer wird aufgefordert, die Apps zu deinstallieren.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch auf Geräten installiert.
• Der Benutzer kann die Apps nicht deinstallieren.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Die Apps werden automatisch auf Geräten installiert.
• Der Benutzer kann die Apps nicht deinstallieren.
• Die Apps werden automatisch vom Gerät entfernt.
• Der geschäftliche Bereich und alle geschäftlichen Apps werden automatisch entfernt.
App-Verhalten auf Windows 10-Geräten
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten beim Entfernen des Geräts aus BES12
Windows Store-Offline-Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch auf Geräten installiert. Benutzer können die Apps nicht deinstallieren.
• Die Apps werden automatisch von den Geräten entfernt.
• Die Apps werden automatisch von den Geräten entfernt.
Apps
205
App-Typ Verhalten bei App-ZuweisungVerhalten bei Aufhebung der App-Zuweisung
Verhalten beim Entfernen des Geräts aus BES12
Windows Store-Online-Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Die Apps werden automatisch auf Geräten installiert. Benutzer können die Apps nicht deinstallieren.
• Die Apps werden automatisch von den Geräten entfernt.
• Die Apps werden automatisch von den Geräten entfernt.
Windows Store-Offline-Apps mit Verfügbarkeitseinstellung „Optional“
• Benutzer können wählen, ob sie die Apps installieren möchten.
• Offline-Apps werden von Benutzern aus BES12 App Catalog installiert.
• Wird auf Windows 10 Mobile-Geräten nicht unterstützt.
• Benutzer werden nicht aufgefordert, die Apps zu deinstallieren.
• Benutzer werden nicht aufgefordert, die zugewiesenen Apps zu deinstallieren.
Windows Store-Online-Apps mit Verfügbarkeitseinstellung „Optional“
• Benutzer können wählen, ob sie die Apps installieren möchten.
• Online-Apps werden von Benutzern aus der Windows Store-App auf Geräten installiert.
• Wird auf Windows 10 Mobile-Geräten nicht unterstützt.
• Benutzer werden nicht aufgefordert, die Apps zu deinstallieren.
• Benutzer werden nicht aufgefordert, die Apps zu deinstallieren.
Interne Apps mit Verfügbarkeitseinstellung „Erforderlich“
• Nicht unterstützt • Nicht unterstützt • Nicht unterstützt
Interne Apps mit Verfügbarkeitseinstellung „Optional“
• Nicht unterstützt • Nicht unterstützt • Nicht unterstützt
Apps
206
Verhindern, dass Benutzer bestimmte iOS-, Android- und Windows Phone-Apps installierenSie können eine Liste von iOS-, Android- und Windows Phone-Apps erstellen, die von Benutzern nicht auf Ihren Geräten installiert werden sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen verbrauchen, zu installieren.
Um eine bestimmte Aktion zu erzwingen, wenn eine gesperrte App auf einem iOS- oder Android-Gerät installiert wird, das Samsung KNOX nicht verwendet, müssen Sie ein Kompatibilitätsprofil erstellen und dieses Benutzern oder Benutzergruppen zuweisen. Das Kompatibilitätsprofil gibt an, welche Aktionen ausgeführt werden, wenn der Benutzer die gesperrte App nicht vom Gerät löscht. Wenn der Benutzer eine gesperrte App installiert, meldet das Gerät des Benutzers, dass diese App nicht kompatibel ist, und der Name der gesperrten App sowie die Aktionen, die ausgeführt werden, wenn die App nicht deinstalliert wird, werden im Kompatibilitätsbericht angezeigt.
Unter Windows Phone 8.1 oder höher und bei Android-Geräten, die KNOX MDM verwenden, müssen Sie die App lediglich dem Kompatibilitätsprofil hinzufügen und keine Kompatibilitätsaktionen festlegen. Grund dafür ist, dass der Benutzer daran gehindert wird, Apps zu installieren, die Sie dem Kompatibilitätsprofil hinzufügen. Wenn ein Benutzer versucht, eine verbotene App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App verboten ist und nicht installiert werden kann.
Sie müssen keine Liste mit gesperrten Apps für BlackBerry 10-Geräte und Android-Geräte mit Samsung KNOX Workspace bzw. Android for Work erstellen, da Benutzer nur von Ihnen zugelassene Apps im geschäftlichen Bereich installieren können.
Schritte zur Hinderung von Benutzern an der Installation von AppsUm Benutzer daran zu hindern, Apps zu installieren, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Hinzufügen einer App zur Liste der gesperrten Apps
Erstellen oder bearbeiten Sie ein Kompatibilitätsprofil, das die Aktionen angibt, die ausgeführt werden, wenn eine gesperrte App auf einem Gerät erstellt wird.
Weisen Sie das Kompatibilitätsprofil einem Benutzer, einer Benutzergruppe oder einer Gerätegruppe zu.
Apps
207
Hinzufügen einer App zur Liste der gesperrten AppsDie Liste der gesperrten Apps entspricht der Bibliothek von Apps, die Benutzer nicht auf iOS-, Android- oder Windows Phone-Geräten installieren dürfen.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf Gesperrte Apps.
3. Klicken Sie auf .
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Hinzufügen einer iOS-App zur Liste der gesperrten Apps
1. Klicken Sie auf App Store.
2. Suchen Sie im Suchfeld nach der App, die Sie hinzufügen möchten. Sie können nach App-Name, Anbieter oder App Store-URL suchen.
3. Klicken Sie auf Suchen.
4. Klicken Sie in den Suchergebnissen auf Hinzufügen, um eine App hinzuzufügen.
Hinzufügen einer Android-App zur Liste der gesperrten Apps
1. Klicken Sie auf Google Play.
2. Geben Sie im Feld App-Name den Namen der App ein.
3. Geben Sie im Feld App-Webadresse von Google Play die Webadresse der App in Google Play ein.
4. Klicken Sie auf Hinzufügen, um die App hinzuzufügen, oder klicken Sie auf Hinzufügen und neu, um eine weitere App hinzuzufügen, nachdem Sie die aktuelle App hinzugefügt haben.
Hinzufügen einer Windows Phone-App zur Liste der gesperrten Apps
1. Klicken Sie auf Windows Phone Store.
2. Geben Sie im Feld App-Name den Namen der App ein.
3. Geben Sie im Feld App-Webadresse im Windows Phone Store die Webadresse der App in Windows Store ein.
4. Klicken Sie auf Hinzufügen, um die App hinzuzufügen, oder klicken Sie auf Hinzufügen und neu, um eine weitere App hinzuzufügen, nachdem Sie die aktuelle App hinzugefügt haben.
Verwandte InformationenErstellen eines Kompatibilitätsprofils, auf Seite 126Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Apps
208
Erstellen einer Gerätegruppe, auf Seite 251
Verwalten von App-GruppenMit App-Gruppen können Sie eine Zusammenstellung von Apps erstellen, die Benutzern, Benutzergruppen oder Gerätegruppen zugewiesen werden kann. Die Gruppierung von Apps steigert die Effizienz und Konsistenz bei der Verwaltung von Apps. Beispielsweise können Sie App-Gruppen nutzen, um die gleiche App für mehrere Gerätetypen zu gruppieren oder Apps für Benutzer mit der gleichen Rolle innerhalb Ihrer Organisation zu gruppieren.
BES12 stellt vorkonfigurierte App-Gruppen mit dem Namen „Empfohlene Android for Work-Apps und BlackBerry Productivity Suite“ bereit.
Erstellen einer App-GruppeBevor Sie beginnen: Fügen Sie die Apps der Liste der Apps hinzu.
1. Klicken Sie in der Menüleiste auf Apps > App-Gruppen.
2. Klicken Sie auf .
3. Geben Sie einen Namen und eine Beschreibung für die App-Gruppe ein.
4. Klicken Sie auf .
5. Suchen Sie nach der App, die Sie hinzufügen möchten, und wählen Sie sie aus.
6. Führen Sie beim Hinzufügen einer iOS-App eine der folgenden Aufgaben aus:
Aufgabe Schritte
Wenn Sie kein VPP-Konto hinzugefügt haben 1. Klicken Sie auf Hinzufügen.
Wenn Sie mindestens ein VPP-Konto hinzugefügt haben 1. Klicken Sie auf Hinzufügen.
2. Wählen Sie Ja, wenn Sie der iOS-App eine Lizenz hinzufügen möchten. Wählen Sie Nein, wenn Sie keine Lizenz zuweisen möchten oder keine Lizenz haben, die Sie der App zuweisen könnten.
3. Wenn Sie der App eine Lizenz zuweisen, wählen Sie in der Dropdown-Liste App-Lizenzen das VPP-Konto aus, das mit der App verknüpft werden soll.
4. Weisen Sie in der Dropdown-Liste Lizenz zuweisen an die Lizenz einem Benutzer oder Gerät zu. Wenn in der Dropdown-Liste App-Lizenz kein Wert angegeben
Apps
209
Aufgabe Schritte
wird, ist die Dropdown-Liste Lizenz zuweisen an nicht verfügbar.
5. Klicken Sie auf Hinzufügen und dann erneut auf Hinzufügen.
Benutzer müssen sich entsprechend der Anweisungen auf ihrem Gerät im VPP Ihrer Organisation registrieren, bevor sie vorausbezahlte Apps installieren können. Benutzer müssen diese Aufgabe ein Mal erledigen.
Hinweis: Wenn Sie mehr Lizenzen gewähren möchten, als verfügbar sind, kann der erste Benutzer, der auf die verfügbaren Lizenzen zugreift, die App installieren.
7. Wenn Sie Android-Apps mit zugehöriger App-Konfiguration hinzufügen möchten, wählen Sie in der Dropdown-Liste App-Konfiguration die auf die App anzuwendende Konfiguration aus.
8. Wählen Sie die Apps aus, die Sie der App-Gruppe hinzufügen möchten.
9. Klicken Sie auf Hinzufügen und dann erneut auf Hinzufügen.
Verwandte InformationenZuweisen einer App zu einer Benutzergruppe, auf Seite 246Zuweisen einer App zu einem Benutzerkonto, auf Seite 271
Bearbeiten einer App-Gruppe1. Klicken Sie in der Menüleiste auf Apps > App-Gruppen.
2. Klicken Sie auf die App-Gruppe, die Sie bearbeiten möchten.
3. Nehmen Sie die notwendigen Bearbeitungen vor.
4. Klicken Sie auf Speichern.
Verwalten von Apple VPP-KontenDas Apple Volume Purchase Program (VPP) ermöglicht Ihnen, iOS-Apps in Mengen zu kaufen und zu verteilen. Sie können Apple VPP-Konten mit einer BES12 verknüpfen, sodass Sie gekaufte Lizenzen für mit VPP-Konten verknüpfte iOS-Apps verteilen können.
Apps
210
Hinzufügen eines Apple VPP-Kontos1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf iOS-App-Lizenzen.
3. Klicken Sie auf Apple VPP-Konto hinzufügen.
4. Geben Sie einen Namen und die Kontodaten für das VPP-Konto ein.
5. Fügen Sie im Feld VPP-Service-Token den 64-Bit-Code aus der VPP-Token-Datei ein. Dies ist die Datei, die der VPP-Kontoinhaber aus dem VPP-Store heruntergeladen hat.
6. Klicken Sie auf Weiter.
7. Wählen Sie die Apps aus, die Sie der App-Liste hinzufügen möchten. Wenn die App bereits der App-Liste hinzugefügt wurde, können Sie sie nicht auswählen, und ihr Status lautet „Bereits hinzugefügt“.
8. Wenn Sie die Apps aus den Geräten entfernen möchten, sobald die Apps aus BES12 gelöscht werden, aktivieren Sie Die App vom Gerät entfernen, wenn das Gerät aus dem System entfernt wird.
9. Wenn Apps auf iOS-Geräten nicht in den iCloud-Onlinedienst gesichert werden sollen, aktivieren Sie das entsprechende Kontrollkästchen. Diese Option gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ festgelegt ist. Die Verfügbarkeit der App wird festgelegt, wenn Sie die App einem Benutzer oder einer Gruppe zuweisen.
10. Führen Sie in der Dropdown-Liste Standardinstallationsmethode eine der folgenden Aktionen aus:
• Wenn Benutzer auf Ihren iOS-Geräten eine Aufforderung zur Installation der Apps erhalten sollen, wählen Sie Einmal auffordern. Wenn der Benutzer die Aufforderung schließt, kann er die Apps später über die Liste „Geschäftliche Apps“ in der Good for BES12-App oder über das Symbol „Geschäftliche Apps“ auf dem Gerät installieren.
• Keine Eingabeaufforderung
Die Standardinstallationsmethode gilt nur für Apps, deren Verfügbarkeit auf „Erforderlich“ festgelegt ist. Die Verfügbarkeit der App wird festgelegt, wenn Sie die App einem Benutzer oder einer Gruppe zuweisen.
11. Klicken Sie auf Hinzufügen.
Bearbeiten eines Apple VPP-Kontos1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf iOS-App-Lizenzen.
3. Klicken Sie auf .
4. Bearbeiten Sie die VPP-Kontodaten.
5. Klicken Sie auf Speichern.
Apps
211
Aktualisieren der Apple VPP-KontodatenWenn die Seite „App-Lizenzen“ geöffnet wird, werden die aktuellen Lizenzinformationen automatisch über die Apple VPP-Server synchronisiert. Sie können bei Bedarf die Lizenzinformationen, die Sie in BES12 hinzugefügt haben, auch manuell aktualisieren.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf iOS-App-Lizenzen.
3. Klicken Sie auf .
Löschen eines Apple VPP-KontosBevor Sie beginnen: Entfernen Sie Apps mit verknüpften Lizenzen aus den Benutzern, bevor Sie das VPP-Konto löschen.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf iOS-App-Lizenzen.
3. Klicken Sie auf .
4. Klicken Sie auf Löschen.
Zuweisen von Apple VPP-Lizenzen auf GerätenSie können Apple VPP-Lizenzen (Volume Purchase Program) Geräten zuweisen, auf denen iOS 9 oder höher ausgeführt wird. Wenn Sie VPP-Lizenzen nicht Benutzern oder Gruppen, sondern Geräten zuweisen, erleichtert dies den Prozess für Benutzer, da sie keine Apple ID für die Installation der Apps benötigen. Zudem werden die Apps nicht im Einkaufsverlauf und in den App-Installationen der Benutzer angezeigt. Wenn Sie die vorhandene Zuweisungsart einer App ändern, sodass sie nicht mehr dem Benutzer, sondern dem Gerät zugeordnet ist, muss der Benutzer die App neu installieren, damit die neue Zuweisung angewendet und in der BES12-Verwaltungskonsole angezeigt wird.
Die Zuweisung von VPP-Lizenzen wird auf iOS-Geräten mit den folgenden Aktivierungsarten unterstützt.
• MDM-Steuerelemente
• Datenschutz für Benutzer
• Geschäftlich und persönlich – vollständige Kontrolle
• Geschäftlich und persönlich – Benutzer-Datenschutz
Für die Aktivierungsarten Geschäftlich und persönlich – Benutzer-Datenschutz und Datenschutz für Benutzer müssen Sie das Kontrollkästchen Zugriff auf SIM-Karten- und Hardwareinformationen zulassen, um die SIM-basierte Lizenzierung zu aktivieren im Aktivierungsprofil auswählen, damit diese Funktion unterstützt wird.
Apps
212
Sie können Geräten VPP-Lizenzen zuweisen, wenn Apps zu den folgenden Gruppen und Konten hinzugefügt werden:
• Benutzerkonten
• App-Gruppen
• Benutzergruppen
Das Zuweisen von VPP-Lizenzen zu Gerätegruppen wird nicht unterstützt.
Weitere Informationen finden Sie unter Verwalten von Apple VPP-Konten.
Anzeigen der zugewiesenen VPP-Lizenzen von AppleSie können den Status der Apple VPP-Lizenzzuweisungen in Ihrer Domäne anzeigen.
1. Klicken Sie in der Menüleiste auf Apps > iOS-App-Lizenzen.
2. Wenn Sie mehrere Apple-VPP-Konten haben, klicken Sie auf das VPP-Konto, für das die VPP-Lizenzzuweisung angezeigt werden soll.
Für jede iOS-App in der Domäne können die folgenden VPP-Lizenzinformationen angezeigt werden:
• Anzahl der verfügbaren VPP-Lizenzen
• Anzahl der verwendeten VPP-Lizenzen
3. Klicken Sie in der Spalte Verwendete Lizenzen, die sich auf diese App bezieht, auf den Link für verwendete Lizenzen.
Für die angegebene App können die folgenden App-Lizenzinformationen angezeigt werden:
• Benutzernamen, für die die App lizenziert ist
• ob die App-Lizenz einem Benutzerkonto oder einem Gerät zugewiesen ist
• ob eine VPP-Lizenz verwendet wird oder nicht
• ob die App installiert oder nicht installiert ist
4. Klicken Sie auf Schließen.
Ändern, ob die App erforderlich oder optional istSie können ändern, ob eine App erforderlich oder optional ist. Die Aktionen, die eintreten, wenn eine App auf erforderlich oder optional festgelegt wird, hängen von der Art der App, des Geräts und der Aktivierung ab.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Wenn die zu ändernde App einem Benutzerkonto zugewiesen ist, klicken Sie in den Sucherergebnissen auf den Namen eines Benutzerkontos.
Apps
213
3. Wenn die zu ändernde App einer Gruppe zugewiesen ist, klicken Sie im linken Fensterbereich auf Gruppen, um die Liste der Benutzergruppen zu erweitern, und klicken Sie dann auf den Namen der Gruppe.
4. Klicken Sie im Abschnitt Gruppen und Benutzern zugewiesene Apps auf die zu ändernde Verfügbarkeit der App.
5. Wählen Sie Optional oder Erforderlich in der Dropdown-Liste Verfügbarkeit der App aus.
6. Klicken Sie auf Zuweisen.
Verwandte InformationenApp-Verhalten auf Android-Geräten, auf Seite 195App-Verhalten auf iOS-Geräten, auf Seite 202App-Verhalten auf BlackBerry-Geräten, auf Seite 204
Anzeigen des Status von Benutzerkonten zugewiesenen Apps und App-Gruppen1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie unter Benutzern zugewiesen auf die Nummer der App oder App-Gruppe, die Sie anzeigen möchten.
3. Klicken Sie auf x Benutzern zugewiesen, um die Benutzerkonten anzuzeigen, denen diese App zugewiesen ist.
4. Prüfen Sie in der Spalte Zugewiesen von, ob die App oder App-Gruppe direkt dem Benutzerkonto oder einer Gruppe zugewiesen wurde.
5. Prüfen Sie in der Spalte Status, ob eine App auf einem Gerät installiert wurde. Folgende Status sind möglich:
• Installiert: Die App wurde erfolgreich auf dem Gerät des Benutzers installiert.
• Nicht installiert: Die App wurde noch nicht auf dem Gerät des Benutzers installiert.
• Kann nicht installiert werden: Die App wird von den Geräten des Benutzers nicht unterstützt.
• Nicht unterstützt: Das Betriebssystem des Geräts unterstützt diese App nicht.
Anzeigen, welche Apps Benutzergruppen zugewiesen wurden1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie unter Benutzern zugewiesen auf die Nummer der App, die Sie anzeigen möchten.
3. Klicken Sie auf x Gruppen zugewiesen, um die Benutzergruppen anzuzeigen, denen diese App zugewiesen ist.
Apps
214
Aktualisieren der Daten in der Liste der AppsSie können die App-Liste aktualisieren, um sicherzustellen, dass Sie über die aktuellen Daten zu den BlackBerry 10- und iOS-Apps verfügen.
Wenn Sie eine Android for Work-Konfiguration haben, können Sie auch App-Informationen für Android-Apps aktualisieren. Wenn Sie Android-Apps vor dem Konfigurieren von Android for Work hinzugefügt haben oder App-Berechtigungen geändert wurden, müssen Sie die App-Informationen aktualisieren, damit Sie Apps für Android for Work-Geräte verfügbar machen können. Dies ist auch der Fall, wenn Sie Änderungen an der Android for Work-Verbindung vornehmen.
Informationen zu Google Play müssen manuell aktualisiert werden, wenn Sie keine Android for Work-Verbindung und Windows Phone-Apps haben. Die Aktualisierung der App-Daten bedeutet nicht, dass die App auf dem Gerät eines Benutzers aktualisiert wird. Benutzer erhalten Aktualisierungsbenachrichtigungen zu ihren geschäftlichen Apps auf die gleiche Weise wie für ihre persönlichen Apps.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
Aktualisieren von App-Berechtigungen für Android for Work-AppsWenn Sie die App-Berechtigungen nicht im Namen der Benutzer annehmen, kann die App den Android for Work-Geräten nicht zugewiesen werden. Sie müssen die App-Berechtigungen akzeptieren, wenn Sie die App der Liste der Apps hinzufügen, und Sie müssen sie eventuell zu einem späteren Zeitpunkt erneut akzeptieren, wenn sich die Berechtigungen für die App ändern sollten.
Apps können auch über die Google Play for Work-Konsole als unzulässig eingestuft oder gelöscht werden und dennoch in BES12 als verfügbar angezeigt werden. Sie müssen die App-Informationen in BES12 aktualisieren, um die Berechtigungen mit Google Play for Work zu synchronisieren.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf .
3. In der App-Liste werden Apps, deren Berechtigungen sich geändert haben, mit einem Warnsymbol und einer Statusmeldung angezeigt. Die folgenden Statusmeldungen können auftreten, wenn Sie die Liste der Apps aktualisieren. Führen Sie eine der folgenden Aufgaben aus, um das Problem zu lösen:
Status Schritte
App-Berechtigungen erneut annehmen Die App-Berechtigungen haben sich in der Google Play for Work-Konsole geändert. Um die App weiter verwalten zu können, müssen Sie die App-
Apps
215
Status Schritte
Berechtigungen erneut akzeptieren. Um die Berechtigungen erneut zu akzeptieren, führen Sie die folgenden Schritte aus:
1. Klicken Sie auf App-Berechtigungen erneut akzeptieren.
2. Klicken Sie auf Annehmen.
App aus BES12 löschen Die App wurde aus der Google Play for Work-Konsole gelöscht, aber nicht von BES12 entfernt. Wenn Sie diese App auf Geräten weiterhin verwalten möchten, genehmigen Sie die App in der Google Play for Work-Konsole. Wenn Sie die App nicht mehr verwalten möchten, führen Sie die folgenden Schritte aus:
1. Klicken Sie auf App aus BES12 löschen.
2. Klicken Sie auf Löschen.
Genehmigen der App in Google Play for Work Die Genehmigung der App wurde in der Google Play for Work-Konsole aufgehoben. Wenn Sie die App verwalten können möchten, müssen Sie die App in der Google Play for Work-Konsole genehmigen. Zur Genehmigung der App führen Sie die folgenden Schritte aus:
1. Klicken Sie auf App in Google Play for Work genehmigen.
2. Klicken Sie auf Weiter.
Die App wurde zu Google Play for Work hinzugefügt und wird zu BES12 hinzugefügt
Apps, die der Google Play for Work-Konsole, aber nicht zum BES12 hinzugefügt wurden, werden automatisch mit BES12 synchronisiert, wenn Sie die Liste der Apps aktualisieren. Sie müssen keine Aktionen durchführen.
4. Klicken Sie auf Schließen.
Akzeptieren von App-Berechtigungen für Android for Work-AppsSie müssen die App-Berechtigungen akzeptieren, bevor Sie eine Android-App auf Android for Work-Geräten verwalten können. Sie können App-Berechtigungen akzeptieren, wenn Sie die App zu BES12 hinzugefügt oder die Liste der Apps aktualisiert haben. Wenn Sie die App-Berechtigungen in diesen Fällen nicht akzeptieren, können Sie die App-Berechtigungen auch auf dem App-Informationsbildschirm akzeptieren. Apps, deren Berechtigungen sich geändert haben, werden in der Liste der Apps mit einem Warnsymbol angezeigt.
Apps
216
Bevor Sie beginnen:
• Aktualisieren Sie die Liste der Apps.
1. Klicken Sie in der Menüleiste auf Apps.
2. Klicken Sie auf die App, deren Berechtigungen Sie akzeptieren möchten.
3. Klicken Sie auf App-Berechtigungen akzeptieren, um die App-Berechtigungen zu akzeptieren.
4. Wählen Sie Annehmen.
5. Klicken Sie auf Speichern.
Festlegen des Organisationsnamens für BlackBerry WorldSie können den Namen Ihrer Organisation in der BlackBerry World for Work-Verkaufsplattform hinzufügen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie App-Verwaltung, und klicken Sie auf BlackBerry World for Work.
3. Geben Sie unter Name der Organisation den Namen Ihrer Organisation ein.
4. Klicken Sie auf Speichern.
Anpassen des Symbols für geschäftliche Apps für iOS-GeräteWenn Benutzer iOS-Geräte mit den Aktivierungsarten „MDM-Steuerelemente“ oder „Geschäftlich und persönlich – vollständige Kontrolle“ aktivieren, wird ein Symbol für geschäftliche Anwendungen auf dem Gerät angezeigt. Benutzer können auf das Symbol tippen, um die geschäftlichen Apps anzuzeigen, die ihnen zugewiesen wurden, und diese Apps wie erforderlich zu installieren oder zu aktualisieren.
Sie können die Darstellung des Symbols für geschäftliche Apps durch Auswahl eines Bildes und eines Namens für das Symbol anpassen. Der Standardname für das Symbol für geschäftliche Apps ist „Work Apps“, und das standardmäßige Symbol zeigt ein BlackBerry-Logo.
Anpassen des Symbols für geschäftliche AnwendungenWenn Sie das Symbol für geschäftliche Apps anpassen, wird das Symbol auf allen aktivierten iOS-Geräten aktualisiert.
Apps
217
Hinweis: Diese Funktion wird auf Geräten mit der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“ nicht unterstützt.
Bevor Sie beginnen: Das Bild, das Sie für das Symbol für geschäftliche Apps verwenden möchten, muss folgende Anforderungen erfüllen:
• Das Bildformat muss .png, .jpg oder .jpeg sein.
• Vermeiden Sie PNG-Bilder mit transparenten Elementen. Transparente Elemente werden auf dem Gerät schwarz angezeigt.
• Informationen zur empfohlenen Bildgröße finden Sie unter „Icon and Image Sizes“ auf der Website developer.apple.com.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option App-Verwaltung.
3. Klicken Sie auf Geschäftliche Apps für iOS.
4. Geben Sie im Feld Name einen Namen für das benutzerdefiniertes Symbol ein. Der Name erscheint auf dem Gerät direkt unter dem Symbol.
5. Klicken Sie auf Durchsuchen. Wählen Sie das Bild für das Symbol für geschäftliche Apps aus. Es werden die Bildformate .png, .jpg und .jpeg unterstützt.
6. Klicken Sie auf Speichern.
Verwalten von Apps auf BlackBerry OS-GerätenWenn die BES12-Domäne Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die Verwaltungskonsole verwenden, um die BlackBerry Device Software- und BlackBerry Java Applications auf BlackBerry OS-Geräten zu installieren und zu verwalten.
Um BlackBerry Java Applications an BlackBerry OS-Geräte zu senden, müssen Sie die Apps zunächst im freigegebenen Netzwerkordner hinzufügen. Sie können den freigegebenen Netzwerkordner verwenden, um alle Versionen der BlackBerry Java Applications zu speichern und zu verwalten, die Sie auf Geräten installieren, aktualisieren oder von diesen entfernen möchten.
In der Verwaltungskonsole können Sie Softwarekonfigurationen erstellen, um die Versionen der BlackBerry Device Software und der BlackBerry Java Applications anzugeben, die Sie auf BlackBerry OS-Geräten installieren, aktualisieren oder von diesen entfernen möchten. Sie können Softwarekonfigurationen auch verwenden, um anzugeben, welche Apps erforderlich, optional oder nicht zulässig sind. Wenn Sie eine Softwarekonfiguration erstellen, müssen Sie auch angeben, ob Benutzer Apps installieren können, die nicht in der Softwarekonfiguration aufgeführt sind.
Wenn Sie einer Softwarekonfiguration eine BlackBerry Java Application hinzufügen, müssen Sie der App eine Richtlinie zur App-Steuerung zuweisen, um anzugeben, auf welche Ressourcen die App zugreifen kann. Sie können Standardrichtlinien zur Anwendungssteuerung verwenden, oder Sie können benutzerdefinierte Anwendungssteuerungsrichtlinien erstellen und verwenden. Wenn Sie Benutzern gestatten, nicht aufgeführte Anwendungen zu installieren, müssen Sie eine Richtlinie zur Anwendungssteuerung für nicht aufgeführte Anwendungen erstellen, die angibt, auf welche Ressourcen die Anwendungen zugreifen können.
Apps
218
Wenn Sie einer Benutzergruppe oder einzelnen Benutzerkonten eine Softwarekonfiguration zuweisen, erstellt die Verwaltungskonsole einen Bereitstellungsauftrag, um die BlackBerry Device Software- und BlackBerry Java Applications auf Geräten zu installieren und Anwendungssteuerungsrichtlinien auf die Geräte anzuwenden.
Weitere Informationen über das Installieren und Verwalten der BlackBerry Device Software auf BlackBerry OS-Geräten finden Sie im Aktualisierungshandbuch für die BlackBerry Device Software unter help.blackberry.com/detectlang/bes5.
Vorbereiten der Verteilung von BlackBerry Java ApplicationsUm eine BlackBerry Java Application an Geräte mit BlackBerry OS (Version 5.0 bis 7.1) zu senden, muss der Anwendungsentwickler eine ZIP-Datei erstellen, in der die erforderlichen Anwendungsdateien und eine ALX-Datei mit Informationen zur Anwendung enthalten sind. Falls in der ALX-Datei eine Verzeichnisstruktur beschrieben wird, muss diese Verzeichnisstruktur in der ZIP-Datei vorhanden sein.
Weitere Informationen zum Erstellen von BlackBerry Java Applications und ALX-Dateien finden Sie unter www.blackberry.com/developers. Hier können Sie das BlackBerry Java Entwicklungshandbuch für die Entwicklungsumgebung anzeigen.
Bevor Sie BlackBerry Java Applications verteilen, müssen Sie mithilfe der Verwaltungskonsole einen freigegebenen Netzwerkordner für BlackBerry Java Applications angeben. Weitere Informationen finden Sie unter Angeben des freigegebenen Netzwerkpfads zur Speicherung interner Apps.
Nachdem Sie eine App dem freigegebenen Netzwerkordner hinzugefügt haben, können Sie die App einer Softwarekonfiguration hinzufügen, angeben, ob die App auf BlackBerry OS-Geräten erforderlich, optional oder nicht zulässig ist, sowie der App eine Anwendungssteuerungsrichtlinie zuweisen, um die Zugriffsberechtigungen für die App zu steuern. Sie weisen Benutzerkonten Softwarekonfigurationen zu, um BlackBerry Java Applications auf BlackBerry-Geräten zu installieren oder zu aktualisieren oder um BlackBerry Java Applications von BlackBerry OS-Geräten zu entfernen.
Hinzufügen einer BlackBerry Java Application zum freigegebenen NetzwerkordnerUm eine BlackBerry Java Application an Geräte mit BlackBerry OS (Version 5.0 bis 7.1) zu senden, müssen Sie zunächst das BlackBerry Java Application-Paket im freigegebenen Netzwerkpfad hinzufügen. Um eine aktualisierte Version einer BlackBerry Java Application an BlackBerry OS-Geräte zu senden, müssen Sie zuerst das aktualisierte Paket der Anwendungsdatenbank hinzufügen. Weitere Informationen zur Einrichtung eines freigegebenen Netzwerkordners finden Sie unter Angeben des freigegebenen Netzwerkpfads zur Speicherung interner Apps.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Klicken Sie auf Anwendungen hinzufügen oder aktualisieren.
3. Klicken Sie im Abschnitt Anwendungsverzeichnis auf Durchsuchen. Navigieren Sie zum BlackBerry Java Application-Paket, das Sie im Anwendungsverzeichnis hinzufügen oder aktualisieren möchten.
4. Klicken Sie auf Weiter.
5. Klicken Sie auf Anwendung hinzufügen.
Apps
219
Angeben von Schlüsselwörtern für eine BlackBerry Java Application .Sie können Schlüsselwörter für eine BlackBerry Java Application angeben. Diese Schlüsselwörter können Sie dazu verwenden, um in der Anwendungsdatenbank nach dieser Anwendung zu suchen.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Klicken Sie auf Anwendungen verwalten.
3. Suchen Sie nach einer Anwendung.
4. Klicken Sie in den Suchergebnissen auf den Namen einer Anwendung.
5. Klicken Sie auf Anwendung bearbeiten.
6. Geben Sie im Feld Anwendungsschlüsselwörter ein Schlüsselwort ein.
7. Klicken Sie auf das Symbol Hinzufügen.
8. Wiederholen Sie Schritt 6 und 7 für jedes Schlüsselwort, das Sie hinzufügen möchten.
9. Klicken Sie auf Alles speichern.
Konfigurieren von AnwendungssteuerungsrichtlinienWenn Sie einer Softwarekonfiguration eine BlackBerry Java Application hinzufügen, damit Sie die Anwendung auf Geräten mit BlackBerry OS (Version 5.0 bis 7.1) installieren können, müssen Sie eine Richtlinie zur Anwendungssteuerung angeben, die auf die BlackBerry Java Application angewendet werden soll. Anwendungssteuerungsrichtlinien steuern, auf welche Daten und APIs BlackBerry Java Applications auf BlackBerry OS-Geräten zugreifen können und auf welche externen Datenquellen und Netzwerkverbindungen BlackBerry Java Applications zugreifen können.
BES12 enthält eine Standardrichtlinie zur Anwendungssteuerung für BlackBerry Java Applications, die Sie als erforderlich, optional oder nicht zulässig klassifizieren können. Sie können die Standardeinstellungen der Standardrichtlinien zur Anwendungssteuerung ändern oder benutzerdefinierte Anwendungssteuerungsrichtlinien für eine BlackBerry Java Application erstellen.
Weitere Informationen zur Konfiguration der Einstellungen für Anwendungssteuerungsrichtlinien finden Sie im Referenzhandbuch für Richtlinien unter help.blackberry.com/detectlang/bes5.
Standardrichtlinien zur AnwendungssteuerungBES12 enthält die folgenden Standardrichtlinien zur Anwendungssteuerung für Geräte mit BlackBerry OS (Version 5.0 bis 7.1).
Anwendungssteuerungsrichtlinie Beschreibung
Standardmäßig erforderlich Wenn Sie die Richtlinie zur Anwendungssteuerung auf eine BlackBerry Java Application anwenden, erfordern die Regeleinstellungen, dass die BlackBerry Java
Apps
220
Anwendungssteuerungsrichtlinie Beschreibung
Application installiert wird und auf BlackBerry OS-Geräten ausgeführt werden darf. BlackBerry OS-Geräte installieren die App automatisch.
Standardmäßig optional Wenn Sie die Richtlinie zur Anwendungssteuerung auf eine BlackBerry Java Application anwenden, machen die Regeleinstellungen die BlackBerry Java Application auf dem BlackBerry OS-Gerät optional. Benutzer können die BlackBerry Java Application auf ihren BlackBerry OS-Geräten installieren und ausführen.
Standardmäßig nicht zulässig Wenn Sie die Richtlinie zur Anwendungssteuerung auf eine BlackBerry Java Application anwenden, verhindern die Regeleinstellungen, dass die BlackBerry Java Application auf den BlackBerry OS-Geräten installiert werden. Benutzer können die BlackBerry Java Application auf ihren BlackBerry OS-Geräten nicht installieren und ausführen.
Ändern einer Standardrichtlinie zur AnwendungssteuerungWenn Sie einer Softwarekonfiguration eine BlackBerry Java Application hinzufügen, müssen Sie der BlackBerry Java Application eine Richtlinie zur Anwendungssteuerung zuweisen. Basierend auf den Anforderungen der Organisationsumgebung können Sie die Standardeinstellungen für die Standardrichtlinien zur Anwendungssteuerung ändern.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Klicken Sie auf Standardrichtlinien zur Anwendungssteuerung verwalten.
3. Klicken Sie auf die Standardrichtlinie zur Anwendungssteuerung, die Sie ändern möchten.
4. Klicken Sie auf Anwendungssteuerungsrichtlinie bearbeiten.
5. Ändern Sie auf der Registerkarte der Zugriffseinstellungen im Abschnitt Einstellungen die Einstellungen für die Standardrichtlinie zur Anwendungssteuerung.
6. Klicken Sie auf Alles speichern.
Erstellen von benutzerdefinierten Anwendungssteuerungsrichtlinien für eine BlackBerry Java ApplicationNachdem Sie eine BlackBerry Java Application dem freigegebenen Netzwerkordner hinzugefügt haben, können Sie die App so konfigurieren, dass sie die Standardrichtlinien zur Anwendungssteuerung verwendet, oder Sie können benutzerdefinierte Anwendungssteuerungsrichtlinien für die App erstellen. Wenn Sie möchten, dass eine BlackBerry Java Application benutzerdefinierte Anwendungssteuerungsrichtlinien verwendet, müssen Sie diese erstellen, bevor Sie die App einer Softwarekonfiguration hinzufügen. Wenn Sie die App einer Softwarekonfiguration hinzufügen, können Sie die benutzerdefinierte Richtlinie zur Anwendungssteuerung auswählen, die auf die Anwendung angewendet werden soll.
Apps
221
Wenn Sie die BlackBerry Java Application mehreren Softwarekonfigurationen hinzufügen und der BlackBerry Java Application in den verschiedenen Softwarekonfigurationen verschiedene benutzerdefinierte Anwendungssteuerungsrichtlinien zuweisen, müssen Sie die Priorität für diese festlegen. Von der Priorität wird bestimmt, welche benutzerdefinierte Anwendungssteuerungsrichtlinie der BlackBerry Policy Service anwendet, wenn Sie einem Benutzerkonto mehrere Softwarekonfigurationen zuweisen.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Klicken Sie auf Anwendungen verwalten.
3. Suchen Sie eine BlackBerry Java Application.
4. Klicken Sie in den Suchergebnissen auf eine BlackBerry Java Application.
5. Klicken Sie im Abschnitt Anwendungsversionen auf die Version der Anwendung, für die Sie eine benutzerdefinierte Richtlinie zur Anwendungssteuerung erstellen möchten.
6. Klicken Sie auf Anwendung bearbeiten.
7. Wählen Sie auf der Registerkarte Anwendungssteuerungsrichtlinien im Abschnitt Einstellungen die Option Benutzerdefinierte Anwendungssteuerungsrichtlinien verwenden aus.
8. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Erstellen Sie eine Anwendungssteuerungsrichtlinie für erforderliche BlackBerry Java Applications.
1. Geben Sie im Feld Name der erforderlichen Anwendung einen Namen für die Richtlinie zur Anwendungssteuerung ein.
2. Konfigurieren Sie im Abschnitt Einstellungen die Einstellungen für die Richtlinie zur Anwendungssteuerung.
3. Klicken Sie auf das Symbol Hinzufügen.
4. Wiederholen Sie die Schritte a bis c für jede Richtlinie zur Anwendungssteuerung, die Sie erstellen möchten.
Erstellen Sie eine Anwendungssteuerungsrichtlinie für optionale BlackBerry Java Applications.
1. Geben Sie im Feld Name der optionalen Anwendung einen Namen für die Richtlinie zur Anwendungssteuerung ein.
2. Konfigurieren Sie im Abschnitt Einstellungen die Einstellungen für die Richtlinie zur Anwendungssteuerung.
3. Klicken Sie auf das Symbol Hinzufügen.
4. Wiederholen Sie die Schritte 1 bis 3 für jede Richtlinie zur Anwendungssteuerung, die Sie erstellen möchten.
Erstellen Sie eine Anwendungssteuerungsrichtlinie für
1. Geben Sie im Feld Name der nicht zulässigen Anwendung einen Namen für die Richtlinie zur Anwendungssteuerung ein.
Apps
222
Aufgabe Schritte
BlackBerry Java Applications, die nicht zulässig sind.
2. Klicken Sie auf das Symbol Hinzufügen.
9. Klicken Sie ggf. in jedem Abschnitt auf den Abwärts- bzw. Aufwärtspfeil, um die Priorität für die Anwendungssteuerungsrichtlinien festzulegen.
10. Klicken Sie auf Alles speichern.
Rangordnung von IT-Richtlinienregeln auf BlackBerry OS-GerätenEinstellungen der IT-Richtlinienregeln überschreiben die Einstellungen der Anwendungssteuerungsrichtlinien. Wenn Sie beispielsweise die IT-Richtlinienregel „Interne Verbindungen zulassen“ für Geräte mit BlackBerry OS (Version 5.0 bis 7.1) auf „Nein“ setzen und auf diesen Geräten eine Anwendungssteuerungsrichtlinie eingestellt ist, die einer bestimmten App das Herstellen interner Verbindungen ermöglicht, kann die App keine internen Verbindungen herstellen.
Das Gerät sperrt die Anwendungssteuerungsrichtlinie, und das Gerät wird zurückgesetzt, wenn die Berechtigungen der App, auf die diese Richtlinie angewendet wird, stärker eingeschränkt werden. Geräte ermöglichen den Benutzern die Definition stärker eingeschränkter, aber nicht weniger eingeschränkter App-Berechtigungen als die von Ihnen angegebenen Berechtigungen.
Anwendungssteuerungsrichtlinien für nicht aufgeführte AnwendungenWenn Sie eine Softwarekonfiguration erstellen und sie Benutzerkonten zuweisen, damit Sie BlackBerry Device Software, BlackBerry Java Applications und Standardanwendungseinstellungen an Geräte mit BlackBerry OS (Version 5.0 bis 7.1) senden können, müssen Sie konfigurieren, ob die Softwarekonfiguration Benutzern erlaubt, Apps zu installieren und zu verwenden, die nicht in der Softwarekonfiguration enthalten sind (auch bekannt als nicht aufgeführte Anwendungen). Wenn Sie konfigurieren, ob nicht aufgeführte Anwendungen auf BlackBerry OS-Geräten zulässig und optional oder nicht zulässig sind, müssen Sie der Softwarekonfiguration eine Richtlinie zur Anwendungssteuerung für nicht aufgeführte Anwendungen zuweisen.
Eine Richtlinie zur Anwendungssteuerung für nicht aufgeführte Anwendungen bestimmt, welche nicht aufgeführten Anwendungen auf BlackBerry OS-Geräten zugelassen sind und auf welche Daten die nicht aufgeführten Anwendungen auf BlackBerry OS-Geräten zugreifen können. Es gibt zwei Standardrichtlinien zur Anwendungssteuerung für nicht aufgeführte Anwendungen: eine für optionale nicht aufgeführte Anwendungen und eine für nicht zulässige nicht aufgeführte Anwendungen. Sie können die Standardeinstellungen der Standardrichtlinie zur Anwendungssteuerung für optionale nicht aufgeführte Anwendungen ändern oder benutzerdefinierte Anwendungssteuerungsrichtlinien für optionale nicht aufgeführte Anwendungen erstellen.
Apps
223
Ändern der Standardrichtlinie zur Anwendungssteuerung für nicht aufgeführte, optionale Anwendungen1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software.
3. Klicken Sie auf Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen verwalten.
4. Klicken Sie auf die Richtlinie zur Anwendungssteuerung Standardmäßig nicht aufgelistet und optional.
5. Klicken Sie auf Anwendungssteuerungsrichtlinie bearbeiten.
6. Konfigurieren Sie auf der Registerkarte der Zugriffseinstellungen im Abschnitt Einstellungen die Einstellungen für die Richtlinie zur Anwendungssteuerung.
7. Klicken Sie auf Alles speichern.
Erstellen einer Anwendungssteuerungsrichtlinie für nicht aufgeführte AnwendungenEs sind zwei Standardrichtlinien zur Anwendungssteuerung für nicht aufgeführte Anwendungen vorhanden: eine für nicht aufgeführte Anwendungen, die auf Geräten mit BlackBerry OS (Version 5.0 bis 7.1) zugelassen sind, und eine für nicht aufgeführte Anwendungen, die auf BlackBerry OS-Geräten nicht ausgeführt werden dürfen. Sie können auch benutzerdefinierte Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen erstellen, die optional sind.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software.
3. Klicken Sie auf Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen erstellen.
4. Geben Sie im Abschnitt Informationen zu Anwendungssteuerungsrichtlinien im Feld Name einen Namen für die Richtlinie zur Anwendungssteuerung für nicht aufgeführte Anwendungen ein.
5. Klicken Sie auf Speichern.
6. Klicken Sie im Menü Verwaltung der BlackBerry-Lösung auf Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen verwalten.
7. Klicken Sie auf die Richtlinie zur Anwendungssteuerung, die Sie erstellt haben.
8. Klicken Sie auf Anwendungssteuerungsrichtlinie bearbeiten.
9. Konfigurieren Sie auf der Registerkarte der Zugriffseinstellungen im Abschnitt Einstellungen die Einstellungen für die Richtlinie zur Anwendungssteuerung.
10. Klicken Sie auf Alles speichern.
Apps
224
Konfigurieren der Priorität der Anwendungssteuerungsrichtlinie für nicht aufgeführte AnwendungenSie können Benutzerkonten mehrere Softwarekonfigurationen zuweisen. Sie können verschiedenen Softwarekonfigurationen verschiedene Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen zuweisen. Sie müssen die Priorität der verschiedenen Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen konfigurieren, damit der BlackBerry Policy Service bestimmen kann, welche Anwendungssteuerungsrichtlinien auf Benutzerkonten anzuwenden sind, wenn Sie Benutzerkonten mehrere Softwarekonfigurationen zuweisen.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software.
3. Klicken Sie auf Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen verwalten.
4. Klicken Sie auf Priorität der Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen festlegen.
5. Klicken Sie auf den Aufwärtspfeil bzw. den Abwärtspfeil, um die Priorität der Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen festzulegen.
6. Klicken Sie auf Speichern.
Erstellen von SoftwarekonfigurationenMithilfe von Softwarekonfigurationen können Sie die folgenden Aktionen auf Geräten mit BlackBerry OS (Version 5.0 bis 7.1) ausführen:
• Zuweisen von Anwendungssteuerungsrichtlinien zu BlackBerry Java Applications, um Anwendungsberechtigungen zu steuern und außerdem zu steuern, auf welche Daten die Anwendung zugreifen kann
• Angeben, dass eine BlackBerry Java Application nicht zugelassen ist
• Festlegen, ob nicht in der Softwarekonfiguration enthaltene BlackBerry Java Applications zugelassen oder nicht zugelassen sind
• Konfigurieren der Zugriffsberechtigungen für BlackBerry Java Applications, die nicht in der Softwarekonfiguration enthalten sind
• Installieren oder Aktualisieren der BlackBerry Device Software über das drahtlose Netzwerk oder mithilfe von BlackBerry Web Desktop Manager
• Festlegen von Standardanwendungseinstellungen
Schritte zur Erstellung und Zuweisung einer SoftwarekonfigurationUm eine Softwarekonfiguration zu erstellen und zuzuweisen, führen Sie die folgenden Aktionen aus:
Apps
225
Schritt Aktion
Erstellen Sie einen Netzwerkordner, und geben Sie ihn frei.
Fügen Sie die Anwendungen hinzu.
Erstellen Sie bei Bedarf eine benutzerdefinierte Anwendungssteuerungsrichtlinie.
Erstellen Sie eine Softwarekonfiguration.
Fügen Sie der Softwarekonfiguration Software hinzu.
Weisen Sie die Softwarekonfiguration einem Benutzerkonto oder einer Benutzergruppe zu.
Erstellen einer Softwarekonfiguration1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software.
3. Klicken Sie auf Erstellen einer Softwarekonfiguration.
4. Geben Sie im Abschnitt Konfigurationsinformationen im Feld Name einen Namen für die Softwarekonfiguration ein.
5. Führen Sie in der Dropdown-Liste Verfügbarkeit für nicht aufgeführte Anwendungen eine der folgenden Aktionen aus:
• Um zuzulassen, dass Benutzer Anwendungen installieren, die nicht in der Softwarekonfiguration auf ihren BlackBerry OS-Geräten enthalten sind, klicken Sie auf Optional.
• Um nicht zuzulassen, dass Benutzer Anwendungen installieren, die nicht in der Softwarekonfiguration auf ihren BlackBerry OS-Geräten enthalten sind, klicken Sie auf Unzulässig.
6. Klicken Sie in der Dropdown-Liste Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen auf die Richtlinie zur Anwendungssteuerung für nicht aufgeführte Anwendungen, die Sie der Softwarekonfiguration zuweisen möchten.
7. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Fügen Sie der Softwarekonfiguration BlackBerry Device Software-Konfigurationen und BlackBerry Java Applications hinzu.
Apps
226
Hinzufügen einer BlackBerry Java Application zu einer SoftwarekonfigurationSie müssen einer Softwarekonfiguration eine BlackBerry Java Application hinzufügen und Benutzerkonten die Softwarekonfiguration zuweisen, um die BlackBerry Java Application über das drahtlose Netzwerk auf Geräten mit BlackBerry OS (Version 5.0 bis 7.1) zu installieren. Um eine Apps zu aktualisieren, müssen Sie die neue App-Version der geeigneten Softwarekonfiguration hinzufügen. BES12 aktualisiert die App auf BlackBerry OS-Geräten auf die neue Version.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software.
3. Klicken Sie auf Softwarekonfigurationen verwalten.
4. Klicken Sie auf die Softwarekonfiguration, der Sie eine BlackBerry Java Application hinzufügen möchten.
5. Klicken Sie auf Softwarekonfiguration bearbeiten.
6. Klicken Sie auf der Registerkarte Anwendungen auf Anwendungen zur Softwarekonfiguration hinzufügen.
7. Suchen Sie die BlackBerry Java Applications, die Sie der Softwarekonfiguration hinzufügen möchten.
8. Wählen Sie in den Suchergebnissen eine BlackBerry Java Application aus, die Sie der Softwarekonfiguration hinzufügen möchten.
9. Führen Sie für die BlackBerry Java Application in der Dropdown-Liste Verfügbarkeit eine der folgenden Aktionen aus:
• Um die BlackBerry Java Application automatisch auf BlackBerryOS-Geräten zu installieren und zu verhindern, dass Benutzer die Anwendung entfernen, klicken Sie auf Erforderlich.
• Um Benutzern das Installieren und Entfernen der BlackBerry Java Application zu gestatten, wählen Sie Optional.
• Um zu verhindern, dass Benutzer eine BlackBerry Java Application auf OSBlackBerry-Geräten installieren, klicken Sie auf Unzulässig.
10. Klicken Sie im Abschnitt Anwendungsdaten in der Dropdown-Liste Anwendungssteuerungsrichtlinie auf eine Richtlinie zur Anwendungssteuerung, um diese auf die BlackBerry Java Application anzuwenden.
11. Führen Sie in der Dropdown-Liste Bereitstellung eine der folgenden Aktionen aus:
• Um die Anwendung über das drahtlose Netzwerk auf BlackBerry OS-Geräten zu installieren, klicken Sie auf Kabellos.
• Um die Anwendung über eine USB-Verbindung zum Computer des Benutzers und zum BlackBerry Web Desktop Manager auf BlackBerry OS-Geräten zu installieren, klicken Sie auf Kabel.
12. Wiederholen Sie Schritt 6 bis 10 für jede BlackBerry Java Application, die Sie der Softwarekonfiguration hinzufügen möchten.
13. Klicken Sie auf Zur Softwarekonfiguration hinzufügen.
14. Klicken Sie auf Alles speichern.
Apps
227
Installieren von BlackBerry Java Applications auf einem BlackBerry OS-Gerät über einen zentralen ComputerWenn Sie keine BlackBerry Java Applications über das drahtlose Netzwerk auf BlackBerry-Geräten installieren wollen und nicht möchten, dass der Benutzer die BlackBerry Java Applications mithilfe von BlackBerry Web Desktop Manager oder der BlackBerry Desktop Software installiert, können Sie die BlackBerry Java Applications auf einem Gerät mit BlackBerry OS (Version 5.0 bis 7.1) installieren, indem Sie das BlackBerry OS-Gerät mit einem zentralen Computer verbinden, der auf den BES12 zugreifen kann.
Bevor Sie beginnen:
• Weisen Sie dem entsprechenden Benutzerkonto eine Softwarekonfiguration mit den erforderlichen BlackBerry Java Applications zu.
• Um der Verwaltungskonsole zu gestatten, eine Verbindung zu einem BlackBerry OS-Gerät herzustellen, das mit dem Computer verbunden ist, auf dem die BES12-Verwaltungskonsole über eine USB-Verbindung gehostet wird, fügen Sie im Webbrowser die Webadresse der Verwaltungskonsole der Liste der vertrauenswürdigen Websites hinzu. Melden Sie sich erneut bei der Verwaltungskonsole an.
• Überprüfen Sie, ob der zentrale Computer auf die Verwaltungskonsole zugreifen kann.
• Verbinden Sie das dem Benutzerkonto zugeordnete BlackBerry OS-Gerät mit dem zentralen Computer.
1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Angeschlossene Geräte.
3. Klicken Sie auf Gerätesoftware.
4. Klicken Sie auf Automatische Installation von Anwendungen auf dem BlackBerry-Gerät.
5. Folgen Sie den Anweisungen auf dem Bildschirm.
Anzeigen der Benutzer, die eine BlackBerry Java Application auf ihren BlackBerry OS-Geräten installiert haben1. Klicken Sie in der Menüleiste auf BlackBerry OS-Einstellungen.
2. Erweitern Sie Software > Anwendungen.
3. Klicken Sie auf Anwendungen verwalten.
4. Suchen Sie nach einer App.
5. Klicken Sie in den Suchergebnissen auf den Namen einer App.
6. Klicken Sie im Abschnitt Anwendungsversionen auf eine Version der App.
7. Klicken Sie auf Benutzer mit Anwendung anzeigen.
Apps
228
8. Suchen Sie nach Benutzern, die BlackBerry OS-Geräten zugeordnet sind, auf denen Sie die BlackBerry Java Application installiert haben.
Synchronisierungsregeln für miteinander in Konflikt stehende Einstellungen in SoftwarekonfigurationenFalls Sie Benutzerkonten oder Benutzergruppen mehrere Softwarekonfigurationen zuweisen, können die verschiedenen Softwarekonfigurationen miteinander in Konflikt stehende Einstellungen enthalten. Beispielsweise könnten Sie in einer Softwarekonfiguration, die Sie einem Benutzerkonto zuweisen, festlegen, dass eine BlackBerry Java Application erforderlich ist, aber gleichzeitig in einer anderen Softwarekonfiguration, die Sie einer Benutzergruppe zuweisen, der das Benutzerkonto angehört, festlegen, dass dieselbe Anwendung nicht zulässig ist. Konflikte können auftreten, wenn Sie mehrere BlackBerry Java Applications, Anwendungssteuerungsrichtlinien, Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen, BlackBerry Device Software und die Standardanwendungseinstellungen in BlackBerry Device Software-Konfigurationen zuweisen.
BES12 nutzt vordefinierte Synchronisierungsregeln zur Korrektur von in Konflikt stehenden Einstellungen bei mehreren Softwarekonfigurationen und um zu bestimmten, welche Anwendungen, Software und Einstellungen auf ein Gerät mit BlackBerry OS (Version 5.0 bis 7.1) installiert werden. BES12 löst miteinander in Konflikt stehende Einstellungen in einer asynchronen Hintergrundaktivität auf. Sie können das Ergebnis der Synchronisierungsaktivitäten, Synchronisierungsfehler und die Anwendungen, Software und Einstellungen anzeigen, die der BES12 auf einem BlackBerry OS-Gerät installiert oder auf das Gerät angewendet hat.
BES12 muss unter Umständen miteinander in Konflikt stehende Softwarekonfigurationseinstellungen synchronisieren, falls Sie eine der folgenden Aktionen ausführen:
• Aktivieren eines Geräts
• Zuweisen eines neuen BlackBerry OS-Geräts oder einer neuen PIN zu einem Benutzer
• Zuweisen eines Benutzerkontos zu einer Gruppe oder Entfernen eines Benutzerkontos aus einer Gruppe
• Hinzufügen einer Gruppe zu einer anderen Gruppe oder Entfernen einer Gruppe aus einer anderen Gruppe
• Hinzufügen einer Anwendung zu einer Softwarekonfiguration oder Entfernen einer Anwendung aus einer Softwarekonfiguration
• Ändern der Einstellungen für eine Anwendung in einer Softwarekonfiguration
• Ändern der Einstellungen für eine Anwendungssteuerungsrichtlinie
• Ändern der Rangordnung für Anwendungssteuerungsrichtlinien
• Installieren einer neuen Version der BlackBerry Device Software auf einem BlackBerry OS-Gerät
• Hinzufügen einer BlackBerry Device Software-Konfiguration zu einer Softwarekonfiguration oder Entfernen einer BlackBerry Device Software-Konfiguration aus einer Softwarekonfiguration
• Ändern einer BlackBerry Device Software-Konfiguration
• Ändern der Standardanwendungseinstellungen in einer BlackBerry Device Software-Konfiguration
Apps
229
Synchronisierungsregeln: BlackBerry Java Applications
Szenario Regel
Einem Benutzerkonto oder den Gruppen, denen es angehört, werden mehrere Softwarekonfigurationen zugewiesen. In jeder Softwarekonfiguration sind mehrere BlackBerry Java Applications enthalten.
Die BlackBerry Java Applications werden auf dem Gerät mit BlackBerry OS (Version 5.0 bis 7.1) in jeder Softwarekonfiguration installiert. Falls die BlackBerry Device Software eine bestimmte BlackBerry Java Application nicht unterstützt, wird diese Anwendung nicht auf dem BlackBerry OS-Gerät installiert.
Einem Benutzerkonto oder den Gruppen, denen es angehört, werden mehrere Softwarekonfigurationen zugewiesen, die unterschiedliche Versionen der gleichen BlackBerry Java Application enthalten.
Wenn in den Softwarekonfigurationen, die einem Benutzerkonto zugewiesen sind, unterschiedliche Versionen einer App existieren, wird auf dem BlackBerry OS-Gerät die aktuelle Version der Anwendung installiert, die von der BlackBerry Device Software unterstützt wird. Wenn beispielsweise einem Benutzerkonto eine Softwarekonfiguration mit Version 1.0 einer Anwendung und eine andere Softwarekonfiguration mit Version 2.0 dieser Anwendung zugewiesen ist, wird auf dem BlackBerry OS-Gerät Version 2.0 der Anwendung installiert.
Die BlackBerry Java Application-Version in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor der BlackBerry Java Application-Version in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird. Wenn beispielsweise eine Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, Version 1.0 einer Anwendung enthält und einer Gruppe, der dieser Benutzer angehört, eine andere Softwarekonfiguration mit Version 2.0 dieser Anwendung zugewiesen wird, so wird auf dem BlackBerry OS-Gerät Version 1.0 der Anwendung installiert.
Einem Benutzerkonto oder den Gruppen, denen es angehört, werden mehrere Softwarekonfigurationen zugewiesen, die dieselbe BlackBerry Java Application enthalten. Die Verfügbarkeit der BlackBerry Java Application (erforderlich, optional oder unzulässig) ist in jeder Softwarekonfiguration anders eingestellt. Die Bereitstellungsmethode für die Anwendung (drahtgebunden oder über das drahtlose Netzwerk) ist in jeder Softwarekonfiguration anders eingestellt.
Die für eine Anwendung festgelegte Verfügbarkeit in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor der für die gleiche Anwendung festgelegten Verfügbarkeit in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird. Falls die Anwendung in mehreren Softwarekonfigurationen, die auf der gleichen Ebene (entweder dem Benutzerkonto oder den Gruppen) zugewiesen werden, unterschiedliche Verfügbarkeiten aufweist, hat die Verfügbarkeitseinstellung „Erforderlich“ Vorrang vor der Verfügbarkeitseinstellung „Optional“ und die
Apps
230
Szenario Regel
Verfügbarkeitseinstellung „Optional“ Vorrang vor der Verfügbarkeitseinstellung „Unzulässig“.
BES12 löst die Bereitstellungsmethode nach der Auflösung der Verfügbarkeit einer App auf. Die für eine App festgelegte Bereitstellungsmethode in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor der für die gleiche Anwendung festgelegten Bereitstellungsmethode in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird. Die drahtlose Einstellung hat Vorrang vor der drahtgebundenen Einstellung.
Einem Benutzerkonto oder den Gruppen, denen der Benutzer angehört, sind eine oder mehrere Softwarekonfigurationen zugewiesen, die BlackBerry Java Apps enthalten, aber auf dem BlackBerry OS-Gerät bleibt eine beschränkte Menge an freiem Speicherplatz verfügbar.
BES12 prüft nach dem Auflösen von Anwendungskonflikten (beispielsweise dem Auflösen von Verfügbarkeitseinstellungen) und vor dem Installieren einer BlackBerry Java Application, wie viel Speicherplatz auf dem BlackBerry OS-Gerät verfügbar ist. Falls auf dem BlackBerry OS-Gerät nicht genug Speicherplatz verfügbar ist, um die Anwendung zu unterstützen, wird die Anwendung nicht installiert.
Abhängig von der Menge an freiem Speicherplatz werden Anwendungen in folgender Reihenfolge installiert:
1. Erforderliche Apps, die für eine kabellose Bereitstellung konfiguriert sind
2. Erforderliche Apps, die für eine kabelgebundene Bereitstellung konfiguriert sind
3. Optionale Apps, die für eine kabellose Bereitstellung konfiguriert sind
4. Optionale Anwendungen, die für eine kabelgebundene Bereitstellung konfiguriert sind
Einem Benutzerkonto wird eine Softwarekonfiguration zugewiesen, in der eine BlackBerry Java Application enthalten ist, bei der eine Abhängigkeit zu einer anderen BlackBerry Java Application vorliegt.
Wenn bei einer BlackBerry Java Application in einer Softwarekonfiguration eine Abhängigkeit zu einer anderen Anwendung besteht und diese andere Anwendung nicht in einer Softwarekonfiguration enthalten ist, die dem Benutzerkonto oder einer Gruppe zugewiesen ist, der dieser Benutzer angehört, wird die Anwendung nicht auf dem BlackBerry OS-Gerät installiert.
Wenn bei einer BlackBerry Java Application in einer Softwarekonfiguration eine Abhängigkeit von einer anderen
Apps
231
Szenario Regel
App besteht und diese andere App in einer Softwarekonfiguration enthalten ist, die dem Benutzerkonto oder einer Gruppe zugewiesen ist, der dieser Benutzer angehört, wird die abhängige App zuerst installiert. Wenn die abhängige App erfolgreich installiert wurde, wird die App mit der Abhängigkeit installiert.
Einem Benutzerkonto wird eine Softwarekonfiguration zugewiesen, in der eine BlackBerry Java Application enthalten ist, bei der eine Abhängigkeit zu einer anderen BlackBerry Java Application vorliegt. Die abhängige Anwendung wird auf dem BlackBerry OS-Gerät nicht unterstützt.
Wenn eine abhängige Anwendung vom BlackBerry OS-Gerät nicht unterstützt wird oder nicht erfolgreich auf dem BlackBerry OS-Gerät installiert wurde, wird die Anwendung mit der Abhängigkeit nicht auf dem BlackBerry OS-Gerät des Benutzers installiert.
Mehrere BlackBerry Java Applications weisen eine Zirkelabhängigkeit auf (Beispiel: Anwendung A ist von Anwendung B abhängig, Anwendung B ist von Anwendung C abhängig und Anwendung C ist von Anwendung A abhängig) und sind im gleichen Anwendungspaket enthalten. Das Anwendungspaket wird zur Anwendungsdatenbank hinzugefügt. Die Apps werden zu einer Softwarekonfiguration hinzugefügt und einem Benutzerkonto oder einer Gruppe zugewiesen, der dieser Benutzer angehört.
Falls mehrere BlackBerry Java Apps im gleichen Anwendungspaket enthalten sind und eine Zirkelabhängigkeit aufweisen, werden diese Anwendungen nicht auf dem BlackBerry OS-Gerät installiert. Falls mehrere Apps eine Zirkelabhängigkeit aufweisen, können sie nur installiert werden, wenn sie in separaten Anwendungspaketen enthalten sind und über eine drahtgebundene Bereitstellung installiert werden.
Synchronisierungsregeln: BlackBerry Device Software
Szenario Regel
Einem Benutzerkonto wird eine Softwarekonfiguration zugewiesen, die BlackBerry Device Software enthält. Einer Gruppe, der das Benutzerkonto angehört, wird eine Softwarekonfiguration mit einer anderen Version der BlackBerry Device Software zugewiesen.
Die BlackBerry Device Software-Version in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor der BlackBerry Device Software-Version in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird.
Einem Benutzerkonto werden mehrere Softwarekonfigurationen zugewiesen, die unterschiedliche Versionen von BlackBerry Device Software enthalten.
Auf dem BlackBerry-Gerät wird diejenige Version der BlackBerry Device Software installiert, die vom Gerät mit BlackBerry OS (Version 5.0 bis 7.1) und vom Mobilfunkanbieter unterstützt wird und der Sie in der BES12-Verwaltungskonsole den höchsten Rang zugewiesen haben. BES12 installiert eine Version der BlackBerry Device Software nicht, falls diese Version einen Rang hat, der unter dem Rang
Apps
232
Szenario Regel
der derzeit auf dem BlackBerry OS-Gerät installierten Version der BlackBerry Device Software liegt.
Synchronisierungsregeln: Standardanwendungseinstellungen
Szenario Regel
Einem Benutzerkonto wird eine Softwarekonfiguration mit Standardanwendungseinstellungen zugewiesen. Einer Gruppe, der das Benutzerkonto angehört, wird eine Softwarekonfiguration mit einer anderen Standardanwendungseinstellungen zugewiesen.
Die Standardanwendungseinstellungen in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor den Standardanwendungseinstellungen in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird.
Ein Benutzerkonto gehört mehreren Gruppen an. Die Einstellung zur Startansicht des Kalenders wird in jeder der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, anders konfiguriert.
Die Einstellung zur Startansicht des Kalenders, die auf das BlackBerry OS-Gerät (Version 5.0 bis 7.1) des Benutzers angewendet wird, ist der niedrigste Wert, der in den verschiedenen Softwarekonfigurationen festgelegt wurde.
Ein Benutzerkonto gehört mehreren Gruppen an. Die Einstellung zur Einhaltung von Kalenderterminen wird in jeder der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, anders konfiguriert.
Die Einstellung zur Einhaltung von Kalenderterminen, die auf das BlackBerry OS-Gerät des Benutzers angewendet wird, ist der niedrigste Wert, der in den verschiedenen Softwarekonfigurationen festgelegt wurde.
Ein Benutzerkonto gehört mehreren Gruppen an. Die Einstellung zur Bestätigung des Löschens von E-Mails ist in einer oder mehreren der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, auf „Ja“ gesetzt. In den übrigen Softwarekonfigurationen ist diese Einstellung auf „Nein“ gesetzt.
Falls die Einstellung zur Bestätigung des Löschens von E-Mails in einer Softwarekonfiguration, die einer Gruppe zugewiesen ist, der das Benutzerkonto angehört, auf „Ja“ gesetzt ist, wird diese Einstellung auf das BlackBerry OS-Gerät angewendet.
Ein Benutzerkonto gehört mehreren Gruppen an. Die E-Mail-Einstellung zum Ausblenden von gesendeten Nachrichten ist in einer oder mehreren der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, auf „Ja“ gesetzt. In den übrigen Softwarekonfigurationen ist diese Einstellung auf „Nein“ gesetzt.
Falls die E-Mail-Einstellung zum Ausblenden von gesendeten Nachrichten in einer Softwarekonfiguration, die einer Gruppe zugewiesen ist, der das Benutzerkonto angehört, auf „Nein“ gesetzt ist, wird diese Einstellung auf das BlackBerry OS-Gerät angewendet.
Ein Benutzerkonto gehört mehreren Gruppen an. Die E-Mail-Einstellung zum Speichern einer Kopie im Ordner „Gesendet“ ist in einer oder mehreren der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, auf „Ja“ gesetzt. In den
Falls die E-Mail-Einstellung zum Speichern einer Kopie im Ordner „Gesendet“ in einer Softwarekonfiguration, die einer Gruppe zugewiesen ist, der das Benutzerkonto angehört, auf
Apps
233
Szenario Regel
übrigen Softwarekonfigurationen ist diese Einstellung auf „Nein“ gesetzt.
„Ja“ gesetzt ist, wird diese Einstellung auf das BlackBerry OS-Gerät angewendet.
Ein Benutzerkonto gehört mehreren Gruppen an. Die Einstellung zum Sortieren des Adressbuchs wird in jeder der Softwarekonfigurationen, die den Gruppen zugewiesen wurden, anders konfiguriert.
Falls die Einstellung zum Sortieren des Adressbuchs in den Softwarekonfigurationen, die den Gruppen zugewiesen wurden, denen das Benutzerkonto angehört, unterschiedlich konfiguriert sind, hat die Einstellung „Vorname“ Vorrang vor der Einstellung „Nachname“ und die Einstellung „Nachname“ Vorrang vor der Einstellung „Firmenname“.
Ein Benutzerkonto gehört mehreren Gruppen an. Die Attributeinstellungen für die verschiedenen Standardanwendungseinstellungen sind in den Softwarekonfigurationen, die den Gruppen zugewiesen wurden, unterschiedlich konfiguriert.
Die Einstellung für „Gesperrt und Sichtbar“ hat Vorrang vor der Einstellung für „Nicht gesperrt und sichtbar“. Die Einstellung für „Nicht gesperrt und Sichtbar“ hat Vorrang vor der Einstellung für „Nicht gesperrt und verborgen“.
Standardanwendungseinstellungen werden in einer Softwarekonfiguration konfiguriert und Benutzerkonten mit BlackBerry OS-Geräten zugewiesen, auf denen eine BlackBerry Device Software-Version ausgeführt wird, die älter als Version 5.0 ist.
Die Standardanwendungseinstellungen gelten nur für BlackBerry OS-Geräte mit BlackBerry Device Software Version 5.0 oder höher.
Synchronisierungsregeln: Anwendungssteuerungsrichtlinie
Szenario Regel
Einem Benutzer werden mehrere Softwarekonfigurationen zugewiesen, die alle die gleiche Anwendung enthalten. In jeder Softwarekonfiguration wird der Anwendung eine andere Anwendungssteuerungsrichtlinie zugewiesen.
Eine Anwendungssteuerungsrichtlinie für eine Anwendung in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor einer Anwendungssteuerungsrichtlinie für die gleiche Anwendung in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird. Die Einstellung „Erforderlich“ hat Vorrang vor der Einstellung „Optional“. Die Einstellung „Optional“ hat Vorrang vor der Einstellung „Unzulässig“.
Wenn mehrere Softwarekonfigurationen die gleiche Anwendung enthalten und jeder Softwarekonfiguration eine andere benutzerdefinierte Anwendungssteuerungsrichtlinie mit gleicher Verfügbarkeit (zum Beispiel zwei benutzerdefinierte erforderliche Anwendungssteuerungsrichtlinien) zugewiesen wird, wird auf
Apps
234
Szenario Regel
das BlackBerry OS-Gerät (Version 5.0 bis 7.1) des Benutzers diejenige Anwendungssteuerungsrichtlinie angewendet, der Sie in der BES12-Verwaltungskonsole den höchsten Rang zugewiesen haben.
Synchronisierungsregeln: Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen
Szenario Regel
Einem Benutzerkonto wird eine Softwarekonfiguration mit einer standardmäßigen oder benutzerdefinierten Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen zugewiesen. Einer Gruppe, zu der das Benutzerkonto gehört, wird eine Softwarekonfiguration mit einer anderen Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen zugewiesen.
Die Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, hat Vorrang vor einer Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen in einer Softwarekonfiguration, die einer Gruppe zugewiesen wird.
Einem Benutzerkonto wird eine Softwarekonfiguration zugewiesen, die nicht aufgeführte Anwendungen als „Unzulässig“ definiert. Zusätzlich wird einem Benutzerkonto eine Softwarekonfiguration zugewiesen, die nicht aufgeführte Anwendungen als „Optional“ definiert.
Falls nicht aufgeführte Anwendungen in einer Softwarekonfiguration, die einem Benutzerkonto zugewiesen wird, als „Unzulässig“ definiert sind, werden nicht aufgeführte Anwendungen auf dem Gerät mit BlackBerry OS (Version 5.0 bis 7.1) nicht zugelassen.
Einem Benutzerkonto werden mehrere Softwarekonfigurationen mit unterschiedlichen Anwendungssteuerungsrichtlinien für nicht aufgeführte Anwendungen zugewiesen.
Auf das BlackBerry OS-Gerät wird diejenige Anwendungssteuerungsrichtlinie für nicht aufgeführte Anwendungen angewendet, der Sie in der BES12-Verwaltungskonsole den höchsten Rang zugewiesen haben.
Apps
235
Benutzer und Gruppen
Sie können Benutzerkonten und dann Benutzergruppen erstellen, um Benutzer und Geräte effizienter zu verwalten.
Schritte zur Erstellung von Gruppen und BenutzerkontenUm die Benutzer und Geräte Ihrer Organisation zu verwalten, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Erstellen Sie Benutzerrollen.
Erstellen Sie Benutzergruppen.
Erstellen Sie Benutzerkonten.
Erstellen Sie Gerätegruppen (optional).
Erstellen von BenutzerrollenMithilfe von Benutzerrollen können Sie angeben, welche Funktionen in BES12 Self-Service für Benutzer verfügbar sein sollen.
BES12 umfasst eine vorkonfigurierte Standard-Benutzerrolle. Die Standard-Benutzerrolle ist so eingerichtet, dass sie alle BES12 Self-Service-Funktionen zulässt, und sie wird der Gruppe „Alle Benutzer“ zugeordnet. Sie können die Standard-Benutzerrolle umbenennen, bearbeiten, löschen oder neu zuweisen, und Sie können die Standard-Benutzerrolle aus der Gruppe „Alle Benutzer“ entfernen.
Wenn Sie bestimmte BES12 Self-Service-Funktionen für Benutzer sperren möchten, können Sie neue Benutzerrollen erstellen oder eine bestehende Benutzerrolle bearbeiten. Sie können Benutzerrollen Gruppen oder den Benutzern direkt zuweisen.
11
Benutzer und Gruppen
236
BES12 Self-Service-FunktionenIn der folgenden Tabelle finden Sie die BES12 Self-Service-Funktionen:
Funktion Beschreibung
Standort des Geräts bestimmen
Diese Funktion gestattet Benutzern die Anzeige des Standorts ihrer iOS-, Android- oder Windows 10 Mobile-Geräte auf einer Karte. Diese Funktion erfordert, dass dem Benutzer ein Profil für die Standortbestimmung zugewiesen wurde. Weitere Informationen finden Sie unter Erstellen eines Profils für die Standortbestimmung.
Alle Gerätedaten löschen Diese Funktion ermöglicht es Benutzern, den Befehl „Alle Gerätedaten löschen“ an ein Gerät zu senden. Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich der im geschäftlichen Bereich. Er setzt das Gerät auf die werkseitigen Standardeinstellungen zurück und löscht das Gerät aus BES12.
Nur Geschäftsdaten löschen Diese Funktion ermöglicht es Benutzern, den Befehl „Nur Geschäftsdaten löschen“ an ein Gerät zu senden. Der Befehl löscht geschäftliche Daten, z. B. IT-Richtlinien, Profile, Apps und Zertifikate.
Good Dynamics-Apps sperren und entsperren
Wenn Benutzergeräte für die Nutzung von Good Dynamics aktiviert wurden, können Benutzer mithilfe dieser Funktionalität die auf ihren Geräten installierten Good Dynamics-Apps sperren und Entsperrschlüssel zum Entsperren der Apps erzeugen. Wenn eine App vom Benutzer gesperrt wird, kann sie nicht mehr geöffnet werden.
Good Dynamics-Appdaten löschen
Wenn Benutzergeräte für die Nutzung von Good Dynamics aktiviert wurden, können Benutzer mithilfe dieser Funktionalität alle Daten einer auf ihrem Gerät installierten Good Dynamics-App löschen. Mit diesem Befehl werden alle von der App gespeicherten Daten entfernt, die App selbst wird jedoch nicht gelöscht.
Ein Aktivierungskennwort festlegen
Mit dieser Funktion können Benutzer Aktivierungskennwörter für die Aktivierung ihrer Geräte in BES12 erstellen. Sie können die Standard-Ablauffrist für Kennwörter und die erforderliche Komplexität des Kennworts unter „Einstellungen > Self-Service > Self-Service-Einstellungen“ konfigurieren.
Benutzerzertifikate verwalten Mit dieser Funktion können Benutzer Benutzerzertifikate für ihre Geräte hochladen. Sie haben die Möglichkeit, den Benutzern Anweisungen zu den benötigten Zertifikaten und zum Ort, von dem sie die Zertifikate hochladen können, bereitzustellen.
Erstellen einer BenutzerrolleSie können eine benutzerdefinierte Rolle erstellen und diese Benutzern oder Gruppen zuweisen, um damit die Funktionalität festzulegen, die Benutzer in BES12 Self-Service nutzen können.
Benutzer und Gruppen
237
1. Klicken Sie in der Menüleiste auf Einstellungen > Self-Service.
2. Klicken Sie auf Benutzerrollen.
3. Klicken Sie auf
4. Geben Sie einen Namen und eine Beschreibung für die Benutzerrolle ein.
5. Um Berechtigungen einer anderen Rolle zu kopieren, klicken Sie auf eine Rolle in der Dropdown-Liste Berechtigungen von Rolle übernommen.
6. Wählen Sie die Funktionen aus, die für den Benutzer verfügbar sein sollen.
7. Klicken Sie auf Speichern.
So wählt BES12 die zuzuweisende Benutzerrolle ausJedem Benutzer wird nur eine Rolle zugewiesen. BES12 verwendet die folgenden Regeln, um zu bestimmen, welche Rolle einem Benutzer zugewiesen wird:
• Eine Rolle, die einem Benutzerkonto direkt zugewiesen wird, hat Vorrang vor einer indirekt von einer Benutzergruppe zugewiesenen Rolle.
• Wenn ein Benutzer Mitglied mehrerer Benutzergruppen mit verschiedenen Rollen ist, weist BES12 die Rolle mit der höchsten Rangordnung zu.
Benutzerrollen nach Rang sortierenDie Rangordnung legt fest, welche Rolle BES12 einem Benutzer zuweist, wenn er Mitglied mehrerer Benutzergruppen ist, die verschiedene Rollen haben.
1. Klicken Sie in der Menüleiste auf Einstellungen > Self-Service.
2. Klicken Sie auf Benutzerrollen.
3. Verwenden Sie die Pfeile, um die Rollen in der Rangordnung nach oben oder unten zu verschieben.
4. Klicken Sie auf Speichern.
Zuweisen einer Benutzerrolle zu einer GruppeEine Benutzerrolle legt fest, welche Funktionen für einen Benutzer in BES12 Self-Service verfügbar sind.
Bevor Sie beginnen: Erstellen einer Benutzerrolle.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
Benutzer und Gruppen
238
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Einstellungen.
5. Klicken Sie im Abschnitt Benutzerrolle auf .
6. Klicken Sie in der Dropdown-Liste auf den Namen der Rolle, die Sie der Gruppe zuweisen möchten.
7. Klicken Sie auf Hinzufügen oder auf Ersetzen.
Zuweisen eine Benutzerrolle zu einem BenutzerEine Benutzerrolle legt fest, welche Funktionen für einen Benutzer in BES12 Self-Service verfügbar sind.
Bevor Sie beginnen: Erstellen einer Benutzerrolle.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf .
5. Wählen Sie in der Dropdown-Liste Direkte Rollenzuweisung die zuzuweisende Rolle aus. Wenn Sie Keine wählen, wird die Rolle des Benutzers über eine Gruppe zugewiesen. Wenn keine Gruppenzuweisung vorhanden ist, erhält der Benutzer keinen Zugriff auf BES12 Self-Service.
6. Klicken Sie auf Speichern.
Erstellen und Verwalten von BenutzergruppenEine Benutzergruppe ist eine Zusammenfassung ähnlicher Benutzer, die gemeinsame Eigenschaften haben. Die Administration von Benutzern als Gruppe ist effizienter als die Administration von individuellen Benutzern, da die Eigenschaften für alle Mitglieder der Gruppe gleichzeitig hinzugefügt, geändert oder entfernt werden können.
Benutzer können gleichzeitig zu mehr als einer Gruppe gehören. Sie können in der Verwaltungskonsole eine IT-Richtlinie, Profile und Apps zuweisen, wenn Sie die Einstellungen für eine Benutzergruppe erstellen oder aktualisieren. Wenn die BES12-Domäne BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, können Sie auch eine BlackBerry OS-IT-Richtlinie, Profile und Softwarekonfigurationen zuweisen.
Sie können zwei verschiedene Arten von Benutzergruppen erstellen: per Verzeichnis verknüpfte Gruppen und lokale Gruppen. Per Verzeichnis verknüpfte Gruppen sind mit Gruppen in Ihrem Unternehmensverzeichnis verknüpft. Nur Verzeichnisbenutzerkonten können Mitglieder in einer per Verzeichnis verknüpften Gruppe sein. Lokale Gruppen werden in BES12 erstellt und verwaltet, und Sie können ihnen lokale Benutzerkonten sowie Verzeichnisbenutzerkonten zuweisen.
Nachdem Sie Benutzergruppen erstellt haben, können Sie eine Gruppe als Mitglied einer anderen Gruppe definieren. Wenn Sie eine Gruppe innerhalb einer Benutzergruppe verschachteln, übernehmen die Mitglieder der verschachtelten Gruppe die
Benutzer und Gruppen
239
Eigenschaften der Benutzergruppe. Sie erstellen und verwalten die Verschachtelungsstruktur in BES12, und Sie können sowohl die per Verzeichnis verknüpften Gruppen als auch die lokalen Gruppen mit jeder Art von Benutzergruppe verschachteln.
Erstellen einer per Verzeichnis verknüpften GruppeSie können Gruppen in BES12 erstellen, die mit den Gruppen in Ihrem Unternehmensverzeichnis verknüpft sind. BES12 synchronisiert in geplanten Abständen die Mitgliedschaft einer per Verzeichnis verknüpften Gruppe mit ihren verknüpften Unternehmensverzeichnisgruppen.
Sie können beispielsweise ein Verzeichnis-Benutzerkonto zu einer Unternehmensverzeichnisgruppe hinzufügen, die Sie mit einer Gruppe in BES12 verknüpft haben. Wenn BES12 die Gruppenmitgliedschaft synchronisiert, wird das dem Benutzer entsprechende BES12-Benutzerkonto automatisch zu der per Verzeichnis verknüpften Gruppe in BES12 hinzugefügt. Wenn Sie diesen Benutzer aus der Verzeichnisgruppe entfernen, wird der Benutzer außerdem während des nächsten Synchronisierungsvorgangs automatisch aus der Gruppe in BES12 entfernt. Nur Verzeichnisbenutzerkonten können Mitglieder in einer per Verzeichnis verknüpften Gruppe sein.
Weitere Informationen zur Aktivierung und Konfiguration dieser Funktion finden Sie in der Dokumentation zur Konfiguration im Abschnitt zur Aktivierung von per Verzeichnis verknüpften Gruppen.
Außerdem können Sie zulassen, dass BES12 während des Synchronisierungsvorgangs ein BES12-Benutzerkonto für einen Verzeichnisbenutzer erstellt, wenn der Benutzer noch kein Konto hat. Wenn Onboarding nicht aktiviert ist, müssen Sie die Benutzer in BES12 manuell erstellen, und der Synchronisierungsprozess muss erfolgen, bevor die Benutzerkonten in der Benutzerliste der per Verzeichnis verknüpften Gruppe angezeigt werden.
Sie können mehr als eine Unternehmensverzeichnisgruppe mit einer per Verzeichnis verknüpften Gruppe verknüpfen. Wenn Sie beispielsweise zwei Microsoft Active Directory-Instanzen und eine LDAP-Instanz haben, können Sie einige oder alle mit BES12 verbinden.
Jede per Verzeichnis verknüpfte Gruppe kann nur mit einem einzelnen Unternehmensverzeichnis verknüpft werden. Wenn BES12 beispielsweise zwei Microsoft Active Directory-Verbindungen (A und B) hat und Sie eine per Verzeichnis verknüpfte Gruppe erstellen, die mit einer Verbindung A verknüpft ist, können Sie nur Verzeichnisgruppen der Verbindung A mit dieser Gruppe verknüpfen. Sie müssen neue per Verzeichnis verknüpfte Gruppen für andere Verzeichnisverbindungen erstellen.
Erstellen einer per Verzeichnis verknüpften GruppeBevor Sie beginnen: Aktivieren Sie per Verzeichnis verknüpfte Gruppen. Anweisungen hierzu finden Sie in der Dokumentation zur Konfiguration im Abschnitt zur Aktivierung von per Verzeichnis verknüpften Gruppen.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf .
3. Geben Sie den Gruppennamen ein.
4. Führen Sie im Feld Verknüpfte Verzeichnisgruppen eine der folgenden Aktionen aus:
a. Klicken Sie auf .
Benutzer und Gruppen
240
b. Geben Sie den Namen oder partiellen Namen der Unternehmensverzeichnisgruppe ein, zu der Sie eine Verknüpfung erstellen möchten.
c. Wenn mehr als eine Unternehmensverzeichnisverbindung vorhanden ist, wählen Sie Verbindung aus, die Sie suchen möchten. Nach dieser Auswahl wird die per Verzeichnis verknüpfte Gruppe permanent nur mit der ausgewählten Verbindung verknüpft.
d. Klicken Sie auf .
e. Wählen Sie die Unternehmensverzeichnisgruppe in der Liste mit den Suchergebnissen aus.
f. Klicken Sie auf Hinzufügen. Die Unternehmensverzeichnisgruppe wird in der Liste angezeigt, und die Unternehmensverzeichnisverbindung, mit der die Gruppe verknüpft ist, wird neben dem Titel des Abschnitts angezeigt.
g. Aktivieren Sie ggf. das Kontrollkästchen Verschachtelte Gruppen verknüpfen. Um alle verschachtelten Gruppen zu verknüpfen, kann das Kontrollkästchen deaktiviert bleiben, oder Sie können das Kontrollkästchen aktivieren, damit die Verzeichniseinstellungen die Anzahl verschachtelter Gruppen steuern können.
h. Wiederholen Sie diese Schritte, um zusätzliche Gruppen zu verknüpfen.
5. Um der per Verzeichnis verknüpften Gruppe eine Benutzerrolle zuzuweisen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie im Abschnitt Benutzerrolle auf
b. Klicken Sie in der Dropdown-Liste auf den Namen der Benutzerrolle, die Sie der Gruppe zuweisen möchten.
c. Klicken Sie auf Hinzufügen.
6. Um der per Verzeichnis verknüpften Gruppe eine IT-Richtlinie oder ein Profil zuzuweisen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie im Abschnitt IT-Richtlinie und Profile auf .
b. Klicken Sie auf IT-Richtlinie oder auf einen Profiltyp.
c. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie oder des Profils, die bzw. das Sie der Gruppe zuweisen möchten.
d. Klicken Sie auf Zuweisen.
7. Wenn Sie der per Verzeichnis verknüpften Gruppe eine App zuweisen möchten, klicken Sie im Abschnitt Zugewiesene Apps auf .
8. Suchen Sie nach der App.
9. Wählen Sie in den Suchergebnissen die App aus.
10. Klicken Sie auf Weiter.
11. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Um die App automatisch auf Geräten zu installieren und zu verhindern, dass Benutzer die App entfernen, klicken Sie auf Erforderlich. Diese Option ist für BlackBerry-Apps nicht verfügbar.
Benutzer und Gruppen
241
• Um Benutzern das Installieren und Entfernen der App zu gestatten, wählen Sie Optional.
12. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
13. Klicken Sie auf Zuweisen.
14. Klicken Sie auf Hinzufügen.
Verwandte InformationenErstellen einer lokalen Gruppe, auf Seite 242
Hinzufügen einer Unternehmensverzeichnisgruppe zu einer vorhandenen per Verzeichnis verknüpften Gruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die per Verzeichnis verknüpfte Gruppe.
3. Klicken Sie auf die Registerkarte Einstellungen.
4. Klicken Sie auf .
5. Klicken Sie im Abschnitt Verknüpfte Verzeichnisgruppen auf .
6. Geben Sie den Namen der Unternehmensverzeichnisgruppe ein.
7. Klicken Sie auf Suchen.
8. Wählen Sie die Unternehmensverzeichnisgruppe in der Liste mit den Suchergebnissen aus.
9. Klicken Sie auf Hinzufügen.
10. Falls erforderlich, wählen Sie Verschachtelte Gruppen verknüpfen aus.
Erstellen einer lokalen Gruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf .
3. Geben Sie einen Namen für die Benutzergruppe ein.
4. Um der lokalen Gruppe eine Benutzerrolle zuzuweisen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie im Abschnitt Benutzerrolle auf .
b. Klicken Sie in der Dropdown-Liste auf den Namen der Benutzerrolle, die Sie der Gruppe zuweisen möchten.
c. Klicken Sie auf Hinzufügen.
5. Um der lokalen Gruppe eine IT-Richtlinie oder ein Profil zuzuweisen, führen Sie die folgenden Aktionen aus:
Benutzer und Gruppen
242
a. Klicken Sie im Abschnitt IT-Richtlinie und Profile auf .
b. Klicken Sie auf IT-Richtlinie oder auf einen Profiltyp.
c. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie oder des Profils, die bzw. das Sie der Gruppe zuweisen möchten.
d. Klicken Sie auf Zuweisen.
6. Wenn Sie der Benutzergruppe eine App zuweisen möchten, klicken Sie im Abschnitt Zugewiesene Apps auf .
7. Suchen Sie nach der App.
8. Wählen Sie in den Suchergebnissen die App aus.
9. Klicken Sie auf Weiter.
10. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Um die App automatisch auf Geräten zu installieren und zu verhindern, dass Benutzer die App entfernen, klicken Sie auf Erforderlich. Diese Option ist für BlackBerry-Apps nicht verfügbar.
• Um Benutzern das Installieren und Entfernen der App zu gestatten, wählen Sie Optional.
Hinweis: Wenn eine App gleichzeitig einem Benutzerkonto und der Benutzergruppe dieses Benutzerkontos zugewiesen ist, wird die Verfügbarkeit der App, die dem Benutzerkonto zugewiesen ist, vorrangig behandelt.
11. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
12. Klicken Sie auf Zuweisen.
13. Wenn Sie die Eigenschaften der Benutzergruppe festgelegt haben, klicken Sie auf Hinzufügen.
Verwandte InformationenErstellen einer per Verzeichnis verknüpften Gruppe, auf Seite 240Hinzufügen von Benutzern zu Benutzergruppen, auf Seite 268
Anzeigen einer Benutzergruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Um die Mitglieder einer Benutzergruppe anzuzeigen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie auf Benutzer, um die zugewiesenen Benutzerkonten anzuzeigen.
b. Klicken Sie auf Verschachtelte Gruppen, um die zugewiesenen verschachtelten Gruppen anzuzeigen.
5. Klicken Sie auf Einstellungen, um die folgenden Informationen zu einer Benutzergruppe anzuzeigen:
Benutzer und Gruppen
243
• Verknüpfte Verzeichnisgruppen (verfügbar für eine per Verzeichnis verknüpfte Gruppe)
• Zugewiesene BlackBerry OS-IT-Richtlinie, Profile und Softwarekonfigurationen (verfügbar, wenn die BES12-Domäne BlackBerry OS-Geräte unterstützt)
• Zugewiesene IT-Richtlinien, Profile und Apps
Klicken Sie auf den Namen einer Benutzergruppe.1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie die Benutzergruppe, die Sie anzeigen möchten.
3. Klicken Sie auf die Benutzergruppe.
4. Klicken Sie auf .
5. Ändern Sie den Namen der Benutzergruppe.
6. Klicken Sie auf Speichern.
Löschen einer BenutzergruppeWenn Sie eine Gruppe löschen, werden die Benutzer der Gruppe nicht gelöscht. Die dem Benutzer zugewiesenen Gruppeneigenschaften werden entfernt oder geändert.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie die Benutzergruppe, die Sie löschen möchten.
3. Klicken Sie auf die Benutzergruppe.
4. Klicken Sie auf .
5. Klicken Sie auf Löschen.
Hinzufügen von verschachtelten Gruppen zu einer BenutzergruppeWenn Sie einer Benutzergruppe eine verschachtelte Gruppe hinzufügen, werden alle Gruppen, die dieser verschachtelten Gruppe angehören, ebenfalls hinzugefügt.
Bevor Sie beginnen: Erstellen Sie Benutzergruppen. Sie können per Verzeichnis verknüpfte Gruppen oder lokale Gruppen erstellen.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
Benutzer und Gruppen
244
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Verschachtelte Gruppen.
5. Klicken Sie auf .
6. Wählen Sie eine oder mehrere verfügbare Gruppen aus.
7. Klicken Sie auf Hinzufügen.
Entfernen von verschachtelten Gruppen aus einer BenutzergruppeSie können verschachtelte Gruppen entfernen, die einer Benutzergruppe direkt zugeordnet sind.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Verschachtelte Gruppen.
5. Klicken Sie neben der jeweiligen verschachtelten Gruppe, die Sie entfernen möchten, auf .
Zuweisen einer IT-Richtlinie zu einer BenutzergruppeBevor Sie beginnen: Erstellen Sie eine IT-Richtlinie.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Einstellungen.
5. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
6. Klicken Sie auf IT-Richtlinie.
7. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie, die Sie der Gruppe zuweisen möchten.
8. Wenn der Gruppe bereits direkt eine IT-Richtlinie zugewiesen ist, klicken Sie auf Ersetzen. Klicken Sie andernfalls auf Zuweisen.
Verwandte InformationenErstellen einer IT-Richtlinie, auf Seite 170So wählt BES12 die zuzuweisenden IT-Richtlinien aus, auf Seite 169
Benutzer und Gruppen
245
Zuweisen eines Profils zu einer BenutzergruppeBevor Sie beginnen: Erstellen Sie Profile.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Einstellungen.
5. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
6. Klicken Sie auf einen Profiltyp.
7. Klicken Sie in der Dropdown-Liste auf den Namen des Profils, das Sie der Gruppe zuweisen möchten.
8. Wenn Sie über Profiltypen mit Rangfolge verfügen und der in Schritt 6 ausgewählte Profiltyp bereits direkt der Gruppe zugewiesen ist, klicken Sie auf Ersetzen. Klicken Sie andernfalls auf Zuweisen.
Verwandte InformationenZuweisen von Profilen, auf Seite 57So wählt BES12 die zuzuweisenden Profile aus, auf Seite 59Erstellen eines Profils für Gerätedienstanforderungen, auf Seite 134Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Zuweisen einer App zu einer BenutzergruppeWenn Sie Apps einer Benutzergruppe zuweisen, werden die Apps allen entsprechenden Geräten zur Verfügung gestellt, die die Mitglieder der Benutzergruppe aktiviert haben. Sie können Benutzergruppen auch Apps für Gerätetypen zuweisen, die die Mitglieder der Benutzergruppe noch nicht aktiviert haben. So stellen Sie sicher, dass die richtigen Apps für neue Geräte der Gruppenmitglieder zur Verfügung stehen, sobald ein Gruppenmitglied in der Zukunft einen anderen Gerätetyp aktiviert.
Wenn ein Benutzerkonto Mitglied mehrerer Benutzergruppen ist, denen die gleichen Apps oder App-Gruppen zugewiesen wurden, wird nur eine Instanz der App bzw. App-Gruppe in der Liste der zugewiesenen Apps für dieses Benutzerkonto angezeigt. Eine App kann entweder direkt einem Benutzerkonto zugewiesen werden, oder sie kann von einer Benutzergruppe oder Gerätegruppe geerbt werden. Die Einstellungen der App (z. B. ob es sich um eine erforderliche App handelt) werden basierend auf der Priorität zugewiesen. Gerätegruppen haben die höchste Priorität, dann folgen Benutzerkonten und Benutzergruppen.
Bevor Sie beginnen:
• Fügen Sie die App zur Liste der verfügbaren Apps hinzu.
• Fügen Sie die Apps optional einer App-Gruppe hinzu.
• Benutzer müssen Secure Work Space auf ihren Geräten einrichten, bevor sie zugewiesene gesicherte Apps installieren können.
1. Klicken Sie in der Menüleiste auf Gruppen.
Benutzer und Gruppen
246
2. Klicken Sie in der Registerkarte Benutzergruppen auf den Namen einer Gruppe.
3. Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Zugewiesene Apps auf .
4. Geben Sie im Suchfeld den App-Namen, den Anbieter oder die URL der App ein, die Sie hinzufügen möchten.
5. Aktivieren Sie die Kontrollkästchen neben den Apps oder der App-Gruppe, die Sie der Benutzergruppe zuweisen möchten.
6. Klicken Sie auf Weiter.
7. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Damit Benutzer die App installieren müssen, wählen Sie Erforderlich aus.
• Um zuzulassen, dass Benutzer die Anwendung installieren und entfernen, wählen Sie Optional.
Hinweis: Wenn eine App gleichzeitig einem Benutzerkonto, der Benutzergruppe dieses Benutzerkontos und einer Gerätegruppe zugewiesen ist, wird die Verfügbarkeit der App, die der Gerätegruppe zugewiesen ist, vorrangig behandelt.
8. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
9. Wenn für iOS- und Android-Geräte eine App-Konfiguration verfügbar ist, wählen Sie die App-Konfiguration aus, die der App zugewiesen werden soll.
10. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Wenn Sie kein VPP-Konto hinzugefügt haben oder keine iOS-App hinzufügen
1. Klicken Sie auf Zuweisen.
Wenn Sie eine iOS-App hinzufügen und mindestens ein VPP-Konto hinzugefügt haben
1. Klicken Sie auf Weiter.
2. Wählen Sie Ja, wenn Sie der iOS-App eine Lizenz hinzufügen möchten. Wählen Sie Nein, wenn Sie keine Lizenz zuweisen möchten oder keine Lizenz haben, die Sie der App zuweisen könnten.
3. Wenn Sie der App eine Lizenz zugewiesen haben, wählen Sie in der Dropdown-Liste App-Lizenz das VPP-Konto aus, das mit der App verknüpft werden soll.
4. Weisen Sie in der Dropdown-Liste Lizenz zuweisen an die Lizenz einem Benutzer oder Gerät zu. Wenn in der Dropdown-Liste App-Lizenz kein Wert angegeben wird, ist die Dropdown-Liste Lizenz zuweisen an nicht verfügbar.
5. Klicken Sie auf Zuweisen.
Benutzer und Gruppen
247
Aufgabe Schritte
Benutzer müssen sich entsprechend der Anweisungen im VPP Ihrer Organisation auf ihrem Gerät registrieren, bevor sie vorausbezahlte Apps installieren können. Benutzer müssen diese Aufgabe ein Mal erledigen.
Hinweis: Wenn Sie mehr Lizenzen gewähren möchten, als verfügbar sind, kann der erste Benutzer, der auf die verfügbaren Lizenzen zugreift, die App installieren. Wenn die App erforderlich ist, für die keine Lizenz verfügbar ist, müssen Sie die Lizenz abrufen, bevor der Benutzer die App installieren kann, oder der Benutzer unterliegt den Konformitätsregeln, die Sie ihm zugewiesen haben.
Verwandte InformationenApp-Verhalten auf Android-Geräten, auf Seite 195App-Verhalten auf iOS-Geräten, auf Seite 202App-Verhalten auf BlackBerry-Geräten, auf Seite 204
Zuweisen einer App-Gruppe zu einer BenutzergruppeWenn Sie einer Benutzergruppe eine App-Gruppe zuweisen, werden die Apps in der App-Gruppe allen entsprechenden Geräten zur Verfügung gestellt, die die Mitglieder der Benutzergruppe aktiviert haben. Sie können Benutzergruppen auch Apps für Gerätetypen zuweisen, die die Mitglieder der Benutzergruppe noch nicht aktiviert haben. So stellen Sie sicher, dass die richtigen Apps für neue Geräte der Gruppenmitglieder zur Verfügung stehen, sobald ein Gruppenmitglied in der Zukunft einen anderen Gerätetyp aktiviert.
Wenn ein Benutzerkonto Mitglied mehrerer Benutzergruppen ist, denen die gleichen App-Gruppen zugewiesen wurden, wird nur eine Instanz der App bzw. App-Gruppe in der Liste der zugewiesenen Apps für dieses Benutzerkonto angezeigt. Eine App kann entweder direkt einem Benutzerkonto zugewiesen werden, oder sie kann von einer Benutzergruppe oder Gerätegruppe geerbt werden. Die Einstellungen der App (ob sie beispielsweise erforderlich ist), werden entsprechend der Priorität zugewiesen: Gerätegruppen haben die höchste Priorität, gefolgt von Benutzerkonten und dann von Benutzergruppen.
Bevor Sie beginnen:
• Fügen Sie die Apps einer App-Gruppe hinzu.
• Benutzer müssen Secure Work Space auf ihren Geräten einrichten, bevor sie zugewiesene gesicherte Apps installieren können.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie in der Registerkarte Benutzergruppen auf den Namen einer Gruppe.
3. Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Zugewiesene Apps auf .
4. Geben Sie im Suchfeld den App-Namen, den Anbieter oder die URL der App ein, die Sie hinzufügen möchten.
Benutzer und Gruppen
248
5. Aktivieren Sie die Kontrollkästchen neben den Apps oder der App-Gruppe, die Sie der Benutzergruppe zuweisen möchten.
6. Klicken Sie auf Weiter.
7. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Damit Benutzer die App installieren müssen, wählen Sie Erforderlich aus.
• Um zuzulassen, dass Benutzer die Anwendung installieren und entfernen, wählen Sie Optional.
Hinweis: Wenn eine App gleichzeitig einem Benutzerkonto, der Benutzergruppe dieses Benutzerkontos und einer Gerätegruppe zugewiesen ist, wird die Verfügbarkeit der App, die der Gerätegruppe zugewiesen ist, vorrangig behandelt.
8. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
9. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Wenn Sie kein VPP-Konto hinzugefügt haben oder keine iOS-App hinzufügen
1. Klicken Sie auf Zuweisen.
Wenn Sie eine iOS-App hinzufügen und mindestens ein VPP-Konto hinzugefügt haben
1. Klicken Sie auf Weiter.
2. Wählen Sie Ja, wenn Sie der iOS-App eine Lizenz hinzufügen möchten. Wählen Sie Nein, wenn Sie keine Lizenz zuweisen möchten oder keine Lizenz haben, die Sie der App zuweisen könnten.
3. Wenn Sie der App eine Lizenz zugewiesen haben, wählen Sie in der Dropdown-Liste App-Lizenz das VPP-Konto aus, das mit der App verknüpft werden soll.
4. Weisen Sie in der Dropdown-Liste Lizenz zuweisen an die Lizenz einem Benutzer oder Gerät zu. Wenn in der Dropdown-Liste App-Lizenz kein Wert angegeben wird, ist die Dropdown-Liste Lizenz zuweisen an nicht verfügbar.
5. Klicken Sie auf Zuweisen.
Benutzer müssen sich entsprechend der Anweisungen im VPP Ihrer Organisation auf ihrem Gerät registrieren, bevor sie vorausbezahlte Apps installieren können. Benutzer müssen diese Aufgabe ein Mal erledigen.
Benutzer und Gruppen
249
Aufgabe Schritte
Hinweis: Wenn Sie mehr Lizenzen gewähren möchten, als verfügbar sind, kann der erste Benutzer, der auf die verfügbaren Lizenzen zugreift, die App installieren. Wenn die App erforderlich ist, für die keine Lizenz verfügbar ist, müssen Sie die Lizenz abrufen, bevor der Benutzer die App installieren kann, oder der Benutzer unterliegt den Konformitätsregeln, die Sie ihm zugewiesen haben.
Verwandte InformationenApp-Verhalten auf Android-Geräten, auf Seite 195App-Verhalten auf iOS-Geräten, auf Seite 202App-Verhalten auf BlackBerry-Geräten, auf Seite 204
Zuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einer BenutzergruppeBevor Sie beginnen:
• Erstellen Sie eine BlackBerry OS-IT-Richtlinie.
• Erstellen Sie eine Softwarekonfiguration.
• Erstellen Sie ein Wi-Fi- oder VPN-Profil für BlackBerry OS-Geräte. Weitere Informationen finden Sie im Handbuch für Administratoren unter help.blackberry.com/detectLang/bes5-for-exchange/.
• Erstellen Sie eine Push- oder Pull-Zugriffssteuerungsregel für BlackBerry OS-Geräte. Weitere Informationen finden Sie im Handbuch für Administratoren unter help.blackberry.com/detectLang/bes5-for-exchange/.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie nach einer Benutzergruppe.
3. Klicken Sie in den Suchergebnissen auf den Namen der Benutzergruppe.
4. Klicken Sie auf die Registerkarte Einstellungen.
5. Klicken Sie im Abschnitt IT-Richtlinie, Profile und Softwarekonfigurationen auf .
6. Klicken Sie auf IT-Richtlinie, Wi-Fi, VPN, Push einer Zugriffssteuerungsregel, Pull einer Zugriffssteuerungsregel oder Softwarekonfiguration.
7. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie, des Profils, der Zugriffssteuerungsregel oder der Softwarekonfiguration, die bzw. das Sie der Gruppe zuweisen möchten.
8. Klicken Sie auf Zuweisen.
Verwandte InformationenErstellen einer BlackBerry OS-IT-Richtlinie, auf Seite 179
Benutzer und Gruppen
250
Erstellen einer Softwarekonfiguration, auf Seite 226Zuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-Richtlinien, auf Seite 176
Erstellen von GerätegruppenEine Gerätegruppe ist eine Gruppe von Geräten mit gemeinsamen Attributen, wie zum Beispiel Modell und Hersteller, Betriebssystem und Version, Dienstanbieter und inwieweit das Gerät Eigentum der Organisation oder des Benutzers ist.Auf der Grundlage der von Ihnen definierten Geräteattribute verschiebt BES12 die Geräte automatisch in eine Gerätegruppe bzw. entfernt sie daraus.
Sie können die Gerätegruppen dazu nutzen, um den Geräten, die einem einzelnen Benutzer zugewiesen sind, verschiedene Richtlinien, Profile und Apps zuzuweisen. Sie können beispielsweise eine Gerätegruppe verwenden, um eine bestimmte IT-Richtlinie für alle Geräte anzuwenden, auf denen BlackBerry 10 OS ausgeführt wird, oder für alle HTC EVO-Geräte, auf denen Android OS 4.0 oder höher im T-Mobile-Netzwerk im Einsatz ist.
Richtlinien, Profile und Apps, die einer Gerätegruppe zugewiesen wurden, haben Priorität vor denen, die einem Benutzer oder einer Benutzergruppe zugewiesen wurden. Sie können den Gerätegruppen jedoch keine Aktivierungsprofile oder Benutzerzertifikate zuweisen.
Gerätegruppen gelten nicht für Geräte mit BlackBerry OS (Version 5.0 bis 7.1). Selbst wenn Sie eine Gerätegruppenabfrage erstellen, zu der unter logischen Aspekten auch Ihre BlackBerry OS-Geräte gehören müssten, sind sie in der Gerätegruppe nicht enthalten.
Erstellen einer Gerätegruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die Registerkarte Gerätegruppen.
3. Klicken Sie auf .
4. Geben Sie einen Namen für die Gerätegruppe ein.
5. Im Abschnitt Beschränken auf Benutzergruppen können Sie eine oder mehrere Benutzergruppen auswählen, für die die Gerätegruppe angewandt wird. Wenn Sie keine Benutzergruppen auswählen, wird die Gerätegruppe für alle aktivierten Geräte angewandt.
6. Klicken Sie in der ersten Dropdown-Liste im Abschnitt Geräteabfrage auf die Option Beliebige oder Alle.
Wenn Sie die Option Alle auswählen, müssen auf die Geräte alle von Ihnen definierten Attribute zutreffen, um der Gerätegruppe anzugehören. Wenn Sie die Option Beliebige auswählen, müssen auf die Geräte nur die von Ihnen definierten Attribute zutreffen, um der Gerätegruppe anzugehören.
7. Führen Sie im Feld Geräteabfrage eine der folgenden Aktionen aus:
• Klicken Sie in der Dropdown-Liste Attribut auf ein Attribut.
• Klicken Sie in der Dropdown-Liste Betreiber auf einen Betreiber.
Benutzer und Gruppen
251
• Klicken Sie in der Dropdown-Liste Wert auf einen Wert, oder geben Sie einen ein.
Sie können Ihre Abfrage bearbeiten, indem Sie Zeilen hinzufügen oder entfernen.
8. Klicken Sie auf Weiter.
9. Um der Gerätegruppe eine IT-Richtlinie oder ein Profil zuzuweisen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
b. Klicken Sie auf IT-Richtlinie oder auf einen Profiltyp.
c. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie oder des Profils, die bzw. das Sie der Gruppe zuweisen möchten.
d. Klicken Sie auf Zuweisen.
10. Wenn Sie der Gerätegruppe eine App zuweisen möchten, klicken Sie im Abschnitt Zugewiesene Apps auf .
11. Suchen Sie nach der App.
12. Wählen Sie in den Suchergebnissen die App aus.
13. Klicken Sie auf Weiter.
14. Führen Sie in der Dropdown-Liste Verfügbarkeit der App oder App-Gruppe eine der folgenden Aktionen aus:
• Wenn es sich bei der App um eine iOS- oder Android-App handelt: Wenn Benutzer die Aktionen ausführen müssen, die für Apps in dem Kompatibilitätsprofil definiert wurden, das dem entsprechenden Benutzer zugewiesen wurde, wählen Sie Erforderlich.
• Wenn es sich bei der App um eineWindows Phone-App handelt:Damit auf den zugewiesenen Geräten automatisch eine interne App installiert wird, wählen SieErforderlichaus. Wenn Benutzer die erforderliche interne App deinstallieren, müssen sie die folgenden Aktionen ausführen, die in dem ihnen zugewiesenen Kompatibilitätsprofil definiert wurden.Wählen Sie bei Apps, die über denWindows Storehinzugefügt wurden, die OptionErforderlichaus. Mit dieser Einstellung müssen die Benutzer die Aktionen befolgen, die für Apps in dem ihnen zugewiesenen Kompatibilitätsprofil definiert wurden. Dies gilt nur für Geräte mitWindows Phone 8.1 oder höher.
• Wenn es sich bei der App um eine interneBlackBerry 10-App handelt: Um die interne App automatisch auf zugewiesenen Geräten zu installieren, wählen SieErforderlich. Diese Option ist nur für interneBlackBerry 10-Apps verfügbar. Apps, die über dieBlackBerry World-Verkaufsplattform hinzugefügt werden, können nur optional sein.
• Wenn die App-Gruppe für Android for Work aktiviert ist, kann die Verfügbarkeit nur wie erforderlich eingestellt werden.
• Um Benutzern das Installieren und Entfernen der App zu gestatten, wählen Sie Optional.
Hinweis: Dieselbe App kann entweder direkt einem Benutzerkonto zugewiesen werden, oder sie kann von einer Benutzergruppe oder Gerätegruppe geerbt werden. Die Einstellungen der App (ob sie beispielsweise
Benutzer und Gruppen
252
erforderlich ist), werden entsprechend der Priorität zugewiesen: Gerätegruppen haben Vorrang vor Benutzerkonten und Benutzergruppen.
15. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
16. Wenn für iOS- und Android-Geräte eine App-Konfiguration verfügbar ist, wählen Sie die App-Konfiguration aus, die der App zugewiesen werden soll.
17. Klicken Sie auf Zuweisen.
18. Wenn Sie die Eigenschaften der Gerätegruppe festgelegt haben, klicken Sie auf Speichern.
Bearbeiten einer Gerätegruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die Registerkarte Gerätegruppen.
3. Klicken Sie auf den Namen der Gerätegruppe, die Sie bearbeiten möchten.
4. Klicken Sie auf .
5. Nehmen Sie die notwendigen Bearbeitungen vor.
6. Klicken Sie auf Speichern.
Festlegen von Parametern für GerätegruppenKonfigurieren Sie beim Erstellen einer Gerätegruppe eine Geräteabfrage mit mindestens einer Attributeingabe. Sie können festlegen, ob ein Gerät zur Gerätegruppe gehört, wenn nur eine Attributeingabe übereinstimmt, oder ob dazu alle Attributeingaben übereinstimmen müssen. Jede Attributeingabe enthält ein Attribut, einen Operator und einen Wert.
Attribut Operatoren Werte
Betreiber • =
• !=
• Beginnt mit
Textfeld. Geben Sie den Namen eines Dienstanbieters ein, z. B. T-Mobile oder Bell.
Hersteller • =
• !=
• Beginnt mit
Textfeld. Geben Sie den Namen eines Geräteherstellers ein, z. B. Apple oder BlackBerry.
Benutzer und Gruppen
253
Attribut Operatoren Werte
Modell • =
• !=
• Beginnt mit
Textfeld. Geben Sie den Namen eines Gerätemodells ein, z. B. iPhone oder BlackBerry Classic.
Betriebssystem • =
• !=
Dropdown-Liste. Wählen Sie Android, BlackBerry 10, iOS oder Windows aus.
Betriebssystemversion • =
• !=
• >=
• <=
Textfeld. Geben Sie eine Version des Betriebssystems ein, z. B. 7.1.1 oder 10.3. Wenn Sie dieses Attribut verwenden, müssen Sie auch das Betriebssystemattribut festlegen.
Eigentum • =
• !=
Dropdown-Liste. Wählen Sie „Geschäftlich“, „Privat“ oder „Nicht angegeben“ aus.
Aktivierungsart • =
• !=
Dropdown-Liste. Wählen Sie eine Aktivierungsart aus der Liste aus. Die Liste enthält dieselben Aktivierungsarten, die auch für die Zuordnung Ihrer Aktivierungsprofile verfügbar sind.
KNOX Workspace • =
• !=
• Beginnt mit
Textfeld. Geben Sie eine Samsung KNOX Workspace-Version ein, z. B. 2.2.
Anzeigen einer Gerätegruppe1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die Registerkarte Gerätegruppen.
3. Suchen Sie die Gerätegruppe, die Sie anzeigen möchten.
4. Klicken Sie auf die Gerätegruppe.
5. Führen Sie eine der folgenden Aktionen aus:
• Klicken Sie auf die Registerkarte Geräte, um die Geräte anzuzeigen, die der Gerätegruppe zugewiesen wurden.
• Wählen Sie die Registerkarte Einstellungen, um die Benutzergruppen, Geräteabfragen, IT-Richtlinien, Profile oder Apps anzuzeigen, die der Gerätegruppe zugewiesen wurden.
Benutzer und Gruppen
254
Klicken Sie auf den Namen einer Gerätegruppe.1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die Registerkarte Gerätegruppen.
3. Suchen Sie die Gerätegruppe, die Sie anzeigen möchten.
4. Klicken Sie auf die Gerätegruppe.
5. Klicken Sie auf .
6. Ändern Sie den Namen der Gerätegruppe.
7. Klicken Sie auf Weiter.
8. Klicken Sie auf Speichern.
Löschen einer GerätegruppeDamit Sie eine Gerätegruppe löschen können, benötigen Sie die Berechtigung für die Verwaltung aller Benutzergruppen, denen die Gerätegruppe angehört.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Klicken Sie auf die Registerkarte Gerätegruppen.
3. Suchen Sie die Gerätegruppe, die Sie anzeigen möchten.
4. Klicken Sie auf die Gerätegruppe.
5. Klicken Sie auf .
6. Klicken Sie auf Löschen.
Erstellen und Verwalten von BenutzerkontenSie können Benutzerkonten zu BES12 direkt oder, falls Sie BES12 mit Ihrem Unternehmensverzeichnis verbunden haben, über Ihr Unternehmensverzeichnis hinzufügen. Informationen über die Verknüpfung von BES12 mit einem Unternehmensverzeichnis und die Aktivierung von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation zur Konfiguration.
Sie können auch eine CSV-Datei verwenden, um BES12 mehrere Benutzerkonten gleichzeitig hinzuzufügen.
Benutzer und Gruppen
255
Erstellen eines BenutzerkontosBevor Sie beginnen:
• Wenn Sie einen Verzeichnisbenutzer hinzufügen möchten, stellen Sie sicher, dass BES12 mit Ihrem Unternehmensverzeichnis verbunden ist. Informationen über die Verknüpfung von BES12 mit einem Unternehmensverzeichnis und die Aktivierung von per Verzeichnis verknüpften Gruppen finden Sie in der Dokumentation zur Konfiguration.
• Wenn Sie möchten, dass Benutzer den WatchDox by BlackBerry-Dienst nutzen können, stellen Sie sicher, dass das WatchDox-Plug-in für BES12 auf jeder Instanz von BES12 in Ihrer Umgebung installiert ist. Um weitere Informationen zur Installation des WatchDox-Dienstes zu erhalten, wenden Sie sich an Ihren WatchDox-Kundenbetreuer.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Klicken Sie auf Benutzer hinzufügen.
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Hinzufügen eines Verzeichnisbenutzers
1. Geben Sie auf der Registerkarte Unternehmensverzeichnis im Suchfeld die Suchkriterien für den Verzeichnisbenutzer an, den Sie hinzufügen möchten. Sie können nach Vorname, Nachname, Anzeigename, Benutzername oder E-Mail-Adresse suchen.
2. Klicken Sie auf .
3. Wählen Sie in den Suchergebnissen das Benutzerkonto aus.
Hinzufügen eines lokalen Benutzers 1. Klicken Sie auf die Registerkarte Lokal.
2. Geben Sie im Feld Vorname einen Vornamen für das Benutzerkonto ein.
3. Geben Sie im Feld Nachname einen Nachnamen für das Benutzerkonto ein.
4. Nehmen Sie im Feld Anzeigename bei Bedarf die gewünschten Änderungen vor. Der Anzeigename wird automatisch anhand des von Ihnen angegebenen Vor- und Nachnamens konfiguriert.
5. Geben Sie im Feld Benutzername einen eindeutigen Benutzernamen für das Benutzerkonto ein.
6. Geben Sie im Feld E-Mail-Adresse eine Kontakt-E-Mail-Adresse für das Benutzerkonto ein. Die E-Mail-Adresse für das Benutzerkonto ist erforderlich, wenn Sie einen Dienst wie WatchDox oder die Geräteverwaltung aktivieren.
Benutzer und Gruppen
256
4. Wenn in BES12 lokale Gruppen vorhanden sind und Sie das Benutzerkonto einer oder mehreren Gruppen hinzufügen möchten, wählen Sie in der Liste Verfügbare Gruppen die gewünschte(n) Gruppe(n) aus, und klicken Sie auf .
Wenn Sie ein Benutzerkonto erstellen, können Sie es nur lokalen Gruppen in BES12 hinzufügen. Wenn das Benutzerkonto ein Mitglied einer per Verzeichnis verknüpften Gruppe ist, wird es automatisch dieser Gruppe zugewiesen, wenn die Synchronisierung zwischen BES12 und Ihrem Unternehmensverzeichnis erfolgt.
Zum Hinzufügen eines Benutzerkontos zu einer Gruppe mit Administratorrolle müssen Sie Sicherheitsadministrator sein.
5. Wenn Sie einen lokalen Benutzer hinzufügen, geben Sie im Feld Konsolenkennwort ein Kennwort für BES12 Self-Service ein. Wenn der Benutzer einer Administratorrolle zugeordnet ist, können Sie auch das Kennwort für den Zugriff auf die Verwaltungskonsole verwenden.
6. Wählen Sie im Abschnitt Aktivierte Services die Option Benutzer für die Geräteverwaltung aktivieren.
7. Wenn das WatchDox-Plug-in für BES12 in der Domäne installiert ist, führen Sie zum Aktivieren des WatchDox-Dienstes die folgenden Aktionen aus:
a. Aktivieren Sie im Abschnitt WatchDox by BlackBerry das Kontrollkästchen WatchDox aktivieren. Standardmäßig erhalten Benutzer, die für den WatchDox-Service aktiviert sind, die Besucherrolle.
b. Wählen Sie eine oder mehrere Benutzerrollen aus. Klicken Sie auf .
8. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Generieren Sie automatisch ein Aktivierungskennwort für den Benutzer, und senden Sie eine Aktivierungs-E-Mail.
1. Aktivieren Sie die Option Automatisch ein Geräteaktivierungskennwort generieren und eine E-Mail mit Aktivierungsanweisungen senden.
2. Legen Sie im Feld Ablauf des Aktivierungszeitraums die Anzahl der Minuten, Stunden oder Tage fest, innerhalb derer ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann.
3. Klicken Sie in der Dropdown-Liste Vorlage für Aktivierungs-E-Mails auf eine Vorlage für die Aktivierungs-E-Mail.
Definieren eines Kennworts für den Benutzer und optionales Senden einer Aktivierungs-E-Mail
1. Aktivieren Sie die Option Geräteaktivierungskennwort festlegen.
2. Geben Sie ein Aktivierungskennwort ein.
3. Legen Sie im Feld Ablauf des Aktivierungszeitraums die Anzahl der Minuten, Stunden oder Tage fest, innerhalb derer ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann.
4. Führen Sie eine der folgenden Aktionen aus:
a Um die Aktivierungsanweisungen an den Benutzer zu senden, klicken Sie in der Dropdown-Liste Aktivierungs-E-Mail-Vorlage auf eine Vorlage zur Verwendung für die Aktivierungs-E-Mail.
Benutzer und Gruppen
257
Aufgabe Schritte
b Wenn Sie keine Aktivierungsanweisungen an den Benutzer senden möchten, deaktivieren Sie das Kontrollkästchen E-Mail mit Aktivierungsanweisungen und Aktivierungskennwort senden. Sie müssen das Aktivierungskennwort dem Benutzer mitteilen.
Richten Sie kein Aktivierungskennwort für den Benutzer ein.
1. Aktivieren Sie die Option Aktivierungskennwort für das Gerät nicht festlegen. Sie können ein Aktivierungskennwort festlegen und die Aktivierungs-E-Mail später senden.
9. Wenn die BES12-Domäne Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die BlackBerry OS-Geräteaktivierung für Verzeichnisbenutzer aktivieren bzw. deaktivieren.
a. Aktivieren Sie das Kontrollkästchen Benutzern erlauben, ein Gerät mit BlackBerry-Betriebssystem zu aktivieren.
b. Klicken Sie in der Dropdown-Liste BlackBerry OS Mail Server auf den Namen eines Servers.
Hinweis: Der Verzeichnisbenutzer muss auf dem geschäftlichen Mailserver vorhanden sein, mit dem der BlackBerry OS-Mailserver eine Verbindung herstellt.
10. Wenn Sie benutzerdefinierte Variablen verwenden, erweitern Sie den Punkt Benutzerdefinierte Variablen, und geben Sie die entsprechenden Werte für die definierten Variablen ein.
11. Führen Sie eine der folgenden Aktionen aus:
• Um Das Benutzerkonto zu speichern, klicken Sie auf Speichern.
• Um das Benutzerkonto zu speichern und ein weiteres zu erstellen, klicken Sie auf Speichern und neu.
Verwandte InformationenBenutzerdefinierte Variablen, auf Seite 67Verwalten von Vorlagen für die Aktivierungs-E-Mail, auf Seite 286
Erstellen von Benutzerkonten aus einer .csv-DateiSie können die .csv-Datei manuell mithilfe der in BES12 enthaltenen sample.csv-Datei erstellen, die auf der Registerkarte „Import“ im Fenster „Benutzer hinzufügen“ zum Download zur Verfügung steht.
Info zur .csv-Datei mit Benutzerkonten
Sie können Benutzerkonten in einer .csv-Datei nach BES12 importieren, um viele Benutzerkonten auf einmal zu erstellen. Bei Bedarf können Sie in der .csv-Datei auch Gruppenmitgliedschaften und Aktivierungseinstellungen für die Benutzerkonten angeben, indem Sie die folgenden Spalten in der .csv-Datei aufnehmen:
Benutzer und Gruppen
258
Spaltenüberschrift Beschreibung
Gruppenmitgliedschaft Weisen Sie jedem Benutzerkonto eine oder mehrere Benutzergruppen zu.
Trennen Sie mehrere Benutzergruppen mit einem Semikolon (;).
Wenn Sie beim Importieren der Datei die Spalte „Gruppenmitgliedschaft“ nicht aufnehmen, haben Sie die Möglichkeit, die Gruppe auszuwählen, der alle importierten Benutzerkonten hinzugefügt werden sollen. Wenn Sie jedes Benutzerkonto einer bestimmten Benutzergruppe zuweisen möchten, verwenden Sie diese Spalte vor dem Import der Datei.
Aktivierungskennwort Geben Sie das Aktivierungskennwort ein.
Dieser Wert ist erforderlich, wenn der Wert für die „Generierung des Aktivierungskennworts“ auf „Manuell“ gesetzt ist.
Aktivierungsvorlage Geben Sie den Namen der Vorlage der Aktivierungs-E-Mail an, die Sie dem Benutzer senden möchten. Wenn Sie keinen Namen angeben, wird die Standard-E-Mail-Aktivierungsvorlage verwendet.
Ablauf des Aktivierungskennworts Geben Sie die Anzahl der Sekunden ein, für die das Aktivierungskennwort gültig ist, bevor es abläuft.
Generierung des Aktivierungskennworts Geben Sie einen der folgenden Werte ein:
• Automatisch. Das Aktivierungskennwort wird automatisch erstellt und an den Benutzer gesendet.
• Manuell. Das Aktivierungskennwort wird in der Spalte „Aktivierungskennwort“ eingerichtet.
Wenn Sie hier keine Angabe machen, wird der Standardwert „Automatisch“ verwendet.
Senden der Aktivierungs-E-Mail Geben Sie einen der folgenden Werte ein:
• Richtig. Die Aktivierungs-E-Mail wird an den Benutzer gesendet.
• Falsch. Die Aktivierungs-E-Mail wird nicht an den Benutzer gesendet.
Wenn „Generierung des Aktivierungskennworts“ auf „Automatisch“ gesetzt ist, wird die Aktivierungs-E-Mail unabhängig vom Wert in dieser Spalte an den Benutzer gesendet. Wenn der Wert „Generierung des Aktivierungskennworts“ auf „Manuell“ gesetzt ist und der Wert leer ist, gilt der Standardwert „Richtig“.
Benutzer und Gruppen
259
Spaltenüberschrift Beschreibung
Benutzertyp Diese Spalte ist immer dann erforderlich, wenn die .csv-Datei sowohl lokale Benutzerkonten als auch Verzeichnisbenutzerkonten enthält. Geben Sie einen der folgenden Werte ein:
• „L“ für lokale Benutzerkonten
• „D“ für Verzeichnisbenutzerkonten
Verzeichnis-UID (Optional) Eine Alternative zum Eingeben der E-Mail-Adresse für Verzeichnisbenutzerkonten. Standardmäßig wird die E-Mail-Adresse zum Überprüfen der Verzeichnisbenutzerkonten verwendet. Sie können jedoch angeben, dass stattdessen die Verzeichnis-UID verwendet werden soll. Wenn das Benutzerkonto nicht anhand der Verzeichnis-UID überprüft werden kann, wird ein Fehler gemeldet.
Dies ist ein Beispiel der .csv-Datei:
Username, First name, Last name, Display name, Contact email, Group membership, Activation password, Activation template, Activation Password Expiration, Activation Password Generation, Send activation email, User TypeJJones1, Justin1, Jones, Justin1 Jones, [email protected], Sales, password, Windows 10 Template, 172800, manual, true, dJJones2, Justin2, Jones, Justin2 Jones, [email protected], Sales;Pre Sales, , , auto, true, lJJones3, Justin3, Jones, Justin3 Jones, [email protected], Sales;Pre Sales, password, 172800, manual, true, dJJones4, Justin4, Jones, Justin4 Jones, [email protected], Sales, password, 172800, manual, true, d
So überprüft BES12 die .csv-Datei mit Benutzerkonten
BES12 überprüft die .csv-Datei mit Benutzerkonten vor, während und sofort nach dem Laden der .csv-Datei und meldet aufgetretene Fehler.
Folgende Fehler können unter Umständen verhindern, dass BES12 die .csv-Datei lädt:
• Ein ungültiges Dateiformat oder eine ungültige Dateierweiterung
• Keine Daten in der Datei
• Die Anzahl der Spalten entspricht nicht der Anzahl an Überschriften in der Datei
Wenn BES12 einen Fehler feststellt, wird das Laden der Datei angehalten und eine Fehlermeldung angezeigt. Sie müssen den Fehler korrigieren und die .csv-Datei dann neu laden.
Nach dem Laden der .csv-Datei zeigt BES12 eine Liste mit Benutzerkonten an, die importiert werden, und ggf. die Verzeichnisbenutzerkonten, die aufgrund eines Fehlers (z. B. ein doppelter Eintrag oder eine ungültige E-Mail-Adresse) nicht importiert werden. Folgende Optionen sind möglich:
Benutzer und Gruppen
260
• Brechen Sie den Vorgang ab, korrigieren Sie die Fehler, und laden Sie die .csv-Datei dann neu.
• Fahren Sie fort, und laden Sie die gültigen Benutzerkonten. Verzeichnisbenutzerkonten mit Fehlern werden nicht geladen. Sie müssen die Verzeichnisbenutzerkonten, die nicht geladen wurden, in eine separate .csv-Datei kopieren und korrigieren. Andernfalls führt das erneute Laden derselben .csv-Datei zu Duplikationsfehlern für die Benutzerkonten, die erfolgreich geladen wurden.
BES12 führt vor dem Erstellen der Benutzerkonten eine letzte Überprüfung der importierten Benutzerkonten durch, um sicherzustellen, dass beim Importieren der Datei keine Fehler übernommen wurden (zum Beispiel: ein anderer Administrator hat ein Benutzerkonto zu dem Zeitpunkt erstellt, als eine .csv-Datei, die dasselbe Benutzerkonto enthielt, importiert wurde).
Hinzufügen von Benutzerkonten mithilfe einer .csv-DateiBevor Sie beginnen:
• Wenn die .csv-Datei Verzeichnisbenutzerkonten enthält, überprüfen Sie, ob BES12 mit Ihrem Unternehmensverzeichnis verbunden ist.
• Überprüfen Sie, ob die Anzahl der Spalten der Anzahl an Überschriften in der CSV-Datei entspricht.
• Überprüfen Sie, ob die erforderlichen Spalten vorhanden sind.
• Überprüfen Sie, ob die Informationen in den Spalten richtig sind.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Klicken Sie im linken Fensterbereich auf Benutzer hinzufügen.
3. Klicken Sie auf die Registerkarte Import.
4. Klicken Sie auf Durchsuchen, und navigieren Sie zu der .csv-Datei mit den Benutzerkonten, die Sie hinzufügen möchten.
5. Klicken Sie auf Laden.
6. Falls Fehler gemeldet werden, führen Sie die folgenden Aktionen aus:
a. Korrigieren Sie die Fehler in der .csv-Datei.
b. Klicken Sie auf Durchsuchen, und navigieren Sie zu der .csv-Datei.
c. Klicken Sie auf Laden.
d. Wiederholen Sie Schritt 6, bis alle Fehler korrigiert sind.
7. Wenn die .csv-Datei die Spalte „Gruppenmitgliedschaft“ nicht verwendet und lokale Gruppen in BES12 vorhanden sind, führen Sie folgende Aktionen aus, wenn Sie den Gruppen Benutzerkonten hinzufügen möchten:
a. Wählen Sie in der Liste Verfügbare Gruppen eine oder mehrere Gruppen aus, und klicken Sie auf .
b. Klicken Sie auf Weiter.
Wenn Sie die .csv-Datei importieren, werden alle Benutzerkonten den von Ihnen ausgewählten lokalen Gruppen hinzugefügt. Wenn ein Benutzerkonto ein Mitglied einer per Verzeichnis verknüpften Gruppe ist, wird es automatisch dieser Gruppe zugewiesen, wenn die Synchronisierung zwischen BES12 und Ihrem Unternehmensverzeichnis erfolgt.
Zum Hinzufügen von Benutzerkonten zu Gruppen mit Administratorrolle müssen Sie Sicherheitsadministrator sein.
Benutzer und Gruppen
261
8. Überprüfen Sie die Liste der Benutzerkonten, und führen Sie eine der folgenden Aktionen aus:
• Um Fehler für ungültige Verzeichnisbenutzerkonten zu korrigieren, klicken Sie auf Abbrechen, und fahren Sie mit Schritt 6 fort.
• Zum Hinzufügen der gültigen Benutzerkonten klicken Sie auf Import. Ungültige Verzeichnisbenutzerkonten werden ignoriert.
Wenn Sie fertig sind: Wenn die BES12-Domäne BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, bearbeiten Sie die Benutzerkontodaten, um die BlackBerry OS-Geräteaktivierung für Verzeichnisbenutzerkonten zu aktivieren.
Verwandte InformationenBearbeiten von Benutzerkontodaten, auf Seite 264
Anzeigen eines BenutzerkontosSie können Informationen zu einem Benutzerkonto auf der Registerkarte „Zusammenfassung“ einsehen. Sie können beispielsweise folgende Informationen anzeigen:
• Aktivierte Geräte
• Benutzergruppen, denen ein Benutzerkonto angehört
• Zugewiesene BlackBerry OS-IT-Richtlinien, -Profile und -Softwarekonfigurationen (verfügbar, wenn die BlackBerry OS-Geräteaktivierung für ein Benutzerkonto aktiviert wurde)
• Zugewiesene IT-Richtlinien, Profile und Apps
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
Gleichzeitige Verwaltung mehrerer BenutzerkontenSie können bestimmte Aktionen für mehrere Benutzer zur gleichen Zeit ausführen. So können Sie beispielsweise eine E-Mail an eine Reihe ausgewählter Benutzer senden.
Bevor Sie beginnen: Einrichten der standardmäßigen oder erweiterten Ansicht.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Filtern der Benutzerliste, falls erforderlich.
3. Führen Sie eine der folgenden Aktionen aus:
• Aktivieren Sie das Kontrollkästchen oben in der Benutzerliste, um alle Benutzer auszuwählen.
• Aktivieren Sie das Kontrollkästchen für jeden Benutzer, den Sie einbeziehen möchten.
Benutzer und Gruppen
262
4. Klicken Sie im Menü auf eines der folgenden Symbole:
Symbol Beschreibung
Standort eines Geräts bestimmen
Senden einer E-Mail an Benutzer
Senden einer Aktivierungs-E-Mail an mehrere Benutzer
Hinzufügen von Benutzern zu Benutzergruppen
Entfernen von Secure Work Space von Geräten
Exportieren der Benutzerliste in eine .csv-Datei
Senden einer E-Mail an BenutzerSie können direkt über die Verwaltungskonsole E-Mail-Nachrichten an einen oder mehrere Benutzer senden. Die Benutzer müssen über ein Konto mit einer verknüpften E-Mail-Adresse verfügen.
Die E-Mail wird von der E-Mail-Adresse gesendet, die Sie in den SMTP-Servereinstellungen konfiguriert haben.
Bevor Sie beginnen: Um eine E-Mail an mehrere Benutzer zu senden, müssen Sie über eine Administratorrolle mit der Berechtigung „E-Mail an Benutzer senden“ verfügen.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Senden einer E-Mail an nur einen Benutzer
1. Suchen Sie nach einem Benutzerkonto.
2. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
3. Klicken Sie auf das .
4. Klicken Sie optional auf CC, und geben Sie eine oder mehrere, durch Komma oder Semikolon getrennte E-Mail-Adressen ein, um eine Kopie der E-Mail auch an Sie selbst oder andere zu senden.
E-Mail an mehrere Benutzer senden 1. Aktivieren Sie das Kontrollkästchen für jeden Benutzer, der die E-Mail erhalten soll.
2. Klicken Sie auf das .
Benutzer und Gruppen
263
Aufgabe Schritte
3. Klicken Sie optional auf An oder CC, und geben Sie eine oder mehrere, durch Komma oder Semikolon getrennte E-Mail-Adressen ein, um die E-Mail oder eine Kopie dieser auch an Sie selbst oder andere zu senden.
3. Geben Sie einen Betreff und eine Nachricht ein.
4. Klicken Sie auf Senden.
Bearbeiten von BenutzerkontodatenSie können die folgenden Benutzerinformationen bearbeiten:
• Name, Benutzername, Anzeigename und E Mail Adresse
• Die Mitgliedschaft in Gruppen (die Mitgliedschaft in Gruppen, die per Verzeichnis verknüpft sind, kann nicht geändert werden)
• Konsolenkennwort für lokale Benutzerkonten
• Benutzerrolle
• Wenn Sie benutzerdefinierte Variablen definiert haben, können die Variableninformationen bearbeitet werden.
• Wenn die BES12-Domäne Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die BlackBerry OS-Geräteaktivierung für Verzeichnisbenutzerkonten aktivieren bzw. deaktivieren. Sie können die BlackBerry OS-Geräteaktivierung nur dann deaktivieren, wenn der Benutzer kein BlackBerry OS-Gerät aktiviert hat.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf .
5. Bearbeiten Sie die Benutzerkontodaten.
6. Klicken Sie auf Speichern.
Synchronisieren der Informationen für einen VerzeichnisbenutzerWenn Sie ein Benutzerkonto über das Unternehmensverzeichnis hinzugefügt haben, können Sie die Daten dieses Benutzers manuell mit dem Unternehmensverzeichnis synchronisieren, statt den automatischen Synchronisierungszeitpunkt abzuwarten.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
Benutzer und Gruppen
264
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf .
Ändern der Synchronisierung von Terminplanerdaten und Nachrichtenkonfiguration für einen BlackBerry OS-GerätebenutzerIn den erweiterten Einstellungen auf der Registerkarte „Zusammenfassung“ können Sie die Einstellungen der Synchronisierung von Terminplanerdaten für ein Benutzerkonto ändern. Außerdem können Sie die Weiterleitung von Nachrichten verwalten und steuern, welche Ordner ein Benutzer auf einem BlackBerry OS-Gerät synchronisieren kann, sowie Signaturen und Haftungsausschlüsse in E-Mail-Nachrichten verwalten.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinie, Profile und Softwarekonfigurationen auf Erweiterte Einstellungen.
5. Klicken Sie auf Benutzer bearbeiten.
6. Klicken Sie im Abschnitt Nachrichtenkonfiguration auf Standardkonfiguration.
7. Nehmen Sie auf den entsprechenden Registerkarten Änderungen vor.
8. Klicken Sie auf Mit Bearbeiten von Benutzerinformationen fortfahren.
9. Klicken Sie auf Alles speichern.
Entfernen von Diensten eines BenutzersWenn BES12 für mindestens einen Mehrwertdienst aktiviert ist, und ein Benutzer einen der Dienste verwenden kann, können Sie diesen Dienst für den Benutzer entfernen. Sie können zudem MDM-Steuerelemente entfernen, ohne das Benutzerkonto aus BES12 zu löschen.
Bevor Sie beginnen:
• Bevor Sie MDM-Steuerelemente entfernen können, müssen Sie die für einen Benutzer aktivierten Geräte entfernen.
• Bevor Sie den Enterprise Identity-Dienst löschen können, müssen Sie alle Enterprise Identity-Zuweisungen entfernen.
1. Klicken Sie in der Menüleiste auf Benutzer > Alle Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf .
5. Führen Sie eine der folgenden Aufgaben aus:
Benutzer und Gruppen
265
Aufgabe Schritte
MDM-Dienste entfernen 1. Klicken Sie auf auf „Verwaltete Geräte“.
2. Klicken Sie auf Speichern.
WatchDox-Dienst entfernen 1. Klicken Sie auf auf WatchDox.
2. Wählen Sie im Dialogfeld WatchDox by BlackBerry entfernen eine der folgenden Optionen:
• Alle Dateien im Besitz dieses Benutzers löschen und die Mitgliedschaft aus allen Arbeitsbereichsgruppen und Verteilerlisten widerrufen
• Übertragen Sie die Benutzerdateien und Mitgliedschaft in Workspace-Gruppen und -Verteilerlisten an eine andere E-Mail-Adresse.
Geben Sie in das Feld E-Mail-Adresse eine Kontakt-E-Mail-Adresse ein. Ein neues Benutzerkonto wird erstellt, wenn die E-Mail-Adresse nicht mit einem bestehenden Benutzerkonto verknüpft ist.
3. Klicken Sie auf Entfernen.
Enterprise Identity-Dienst entfernen 1. Klicken Sie auf auf Enterprise Identity.
2. Klicken Sie auf Speichern.
Wenn Sie fertig sind: Informationen zum Aktivieren eines Dienstes finden Sie unter Aktivieren von Diensten für einen Benutzer.
Aktivieren von Diensten für einen BenutzerWenn BES12 für mindestens einen Mehrwertdienst aktiviert ist, können Sie einen Dienst für einen Benutzer aktivieren.
1. Klicken Sie in der Menüleiste auf Benutzer > Alle Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
MDM-Dienste aktivieren 1. Klicken Sie auf auf „Verwaltete Geräte“.
Benutzer und Gruppen
266
Aufgabe Schritte
2. Wenn in BES12 lokale Gruppen vorhanden sind und Sie ein Benutzerkonto zu Gruppen hinzufügen möchten, wählen Sie eine oder mehrere Gruppen in der Liste Verfügbare Gruppen aus, und klicken Sie auf .
3. Wählen Sie eine Option für das Geräteaktivierungskennwort aus.
4. Klicken Sie auf Speichern.
Aktivieren des WatchDox-Dienstes 1. Klicken Sie auf auf WatchDox.
2. Weisen Sie die WatchDox-Rollen zu.
3. Klicken Sie auf Speichern.
Aktivieren des Enterprise Identity-Dienstes
1. Klicken Sie auf auf Enterprise Identity.
2. Wählen Sie die App-Gruppen aus.
3. Klicken Sie auf Zuweisen.
Löschen eines BenutzerkontosWenn Sie ein Benutzerkonto löschen, werden auch alle geschäftlichen Daten von allen Geräten des Benutzers gelöscht.
Bevor Sie beginnen:
• Deaktivieren Sie alle Geräte, die mit dem zu löschenden Benutzerkonto verknüpft sind.
• Entfernen Sie alle Dienste, die mit dem zu löschenden Benutzerkonto verknüpft sind. Weitere Informationen finden Sie unter Entfernen von Diensten eines Benutzers.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Wählen Sie in den Suchergebnissen den Namen des Benutzerkontos aus.
4. Klicken Sie auf .
5. Klicken Sie auf Löschen.
Verwandte InformationenDeaktivieren von Geräten, auf Seite 337
Benutzer und Gruppen
267
Hinzufügen von Benutzern zu BenutzergruppenHinweis: Zum Hinzufügen eines Benutzers, dem eine Administratorrolle zugewiesen ist, zu einer Benutzergruppe müssen Sie Sicherheitsadministrator sein.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie den Benutzergruppen hinzufügen möchten.
3. Klicken Sie auf .
4. Wählen Sie in der Liste Verfügbare Gruppen eine oder mehrere Gruppen aus, und klicken Sie auf .
Hinweis: Die Mitgliedschaft in Gruppen, die per Verzeichnis verknüpft sind, kann nicht geändert werden.
5. Klicken Sie auf Speichern.
Entfernen eines Benutzers aus einer BenutzergruppeSie können einen Benutzer aus einer per Verzeichnis verknüpften Gruppe nicht entfernen.
Hinweis: Zum Entfernen eines Benutzers mit Administratorrolle aus einer Benutzergruppe müssen Sie Sicherheitsadministrator sein.
1. Klicken Sie in der Menüleiste auf Gruppen.
2. Suchen Sie die Benutzergruppe, die Sie bearbeiten möchten.
3. Klicken Sie auf die Benutzergruppe.
4. Suchen Sie den Benutzer, den Sie entfernen möchten.
5. Wählen Sie den Benutzer aus.
6. Klicken Sie auf .
Ändern der Benutzerzuweisung zu BenutzergruppenHinweis: Zum Ändern der Benutzergruppen, denen ein Benutzer mit Administratorrolle zugewiesen ist, müssen Sie Sicherheitsadministrator sein.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt Gruppenmitgliedschaft auf das .
5. Führen Sie eine der folgenden Aktionen aus:
Benutzer und Gruppen
268
• Zum Hinzufügen des Benutzers zu Benutzergruppen wählen Sie in der Liste Verfügbare Gruppen eine oder mehrere Gruppen aus, und klicken Sie auf .
• Zum Entfernen des Benutzers aus Benutzergruppen wählen Sie in der Liste Mitglied von Gruppen eine oder mehrere Gruppen aus, und klicken Sie auf .
Hinweis: Die Mitgliedschaft in Gruppen, die per Verzeichnis verknüpft sind, kann nicht geändert werden.
6. Klicken Sie auf Speichern.
Zuweisen einer IT-Richtlinie zu einem BenutzerkontoBevor Sie beginnen: Erstellen Sie eine IT-Richtlinie.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
5. Klicken Sie auf IT-Richtlinie.
6. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie, die Sie dem Benutzer zuweisen möchten.
7. Wenn dem Benutzer bereits direkt eine IT-Richtlinie zugewiesen ist, klicken Sie auf Ersetzen. Klicken Sie andernfalls auf Zuweisen.
Verwandte InformationenErstellen einer IT-Richtlinie, auf Seite 170So wählt BES12 die zuzuweisenden IT-Richtlinien aus, auf Seite 169
Zuweisen eines Profils zu einem BenutzerkontoBevor Sie beginnen: Erstellen Sie Profile.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
5. Klicken Sie auf einen Profiltyp.
6. Klicken Sie in der Dropdown-Liste auf den Namen des Profils, das Sie dem Benutzer zuweisen möchten.
7. Wenn Sie über Profiltypen mit Rangfolge verfügen und der in Schritt 5 ausgewählte Profiltyp bereits dem Benutzer zugewiesen ist, klicken Sie auf Ersetzen. Klicken Sie andernfalls auf Zuweisen.
Benutzer und Gruppen
269
Verwandte InformationenZuweisen von Profilen, auf Seite 57So wählt BES12 die zuzuweisenden Profile aus, auf Seite 59Erstellen eines Profils für Gerätedienstanforderungen, auf Seite 134Zuweisen eines Profils zu einer Benutzergruppe, auf Seite 246
Hinzufügen eines Client-Zertifikats zu einem BenutzerkontoWenn die Geräte eine zertifikatbasierte Authentifizierung nutzen, um eine Verbindung zu einem Netzwerk oder Server in der Organisationsumgebung herzustellen, sollten Sie die Client-Zertifikate möglicherweise an die Geräte verteilen. Je nach Geräteaktivierungsart können Sie einem einzelnen Benutzerkonto ein Client-Zertifikat hinzufügen und dieses Zertifikat an die iOS- und Android-Geräte des Benutzers senden. Diese Option wird von Geräten mit MDM-Steuerelemente, Samsung KNOX-Geräten und Android for Work-Geräten unterstützt.
Wenn Sie BES12 und Good Dynamics integriert haben, können Sie auch auswählen, ob das Zertifikat für Geräte mit Good-Aktivierung oder andere verwaltete Geräte gilt. Geräte mit Good-Aktivierung sind Geräte, die einem Good Dynamics-Profil zugewiesen wurden. Weitere Informationen zu Good Dynamics-Profilen und zur Integration von BES12 und Good Dynamics finden Sie finden Sie in der Dokumentation zur Integration von BES12 und Good Dynamics.
Client-Zertifikate müssen über die Dateierweiterung .pfx oder .p12 verfügen. Sie können mehr als ein Client-Zertifikat an Geräte senden.
Wenn Ihr Unternehmen einen SCEP-Dienst nutzt, können Sie auch SCEP-Profile verwenden, um Client-Zertifikate auf BlackBerry 10-Geräten, iOS-Geräten und Android-Geräten mit Secure Work Space-, KNOX Workspace- oder KNOX MDM-Aktivierung zu registrieren.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen eines Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinien und -Profile auf .
5. Klicken Sie auf Benutzerzertifikat.
6. Geben Sie eine Beschreibung für das Zertifikat ein.
7. Wenn der Benutzer einem Good Dynamics-Profil zugewiesen wurde, müssen Sie angeben, ob das Zertifikat für Geräte mit Good-Aktivierung oder andere verwaltete Geräte gilt. Wählen Sie im Abschnitt Zertifikat anwenden auf eine der folgenden Optionen aus:
• Andere verwaltete Geräte: Wählen Sie diese Option, wenn das Zertifikat für Geräte gelten soll, die keinem Good Dynamics-Profil zugewiesen wurden.
• Good Dynamics-fähige Geräte: Wählen Sie diese Option, wenn das Zertifikat für Geräte gelten soll, die einem Good Dynamics-Profil zugewiesen wurden.
8. Wenn Sie Andere verwaltete Geräte aktiviert haben, geben Sie ein Kennwort für das Zertifikat in das Feld Kennwort ein. Für iOS-Geräte ist ein Kennwort erforderlich. Für Android-Geräte muss kein Kennwort in BES12 festgelegt werden, wenn
Benutzer und Gruppen
270
auf dem Gerät die aktuelle Version von BES12 Client ausgeführt wird. Wenn Sie kein Kennwort in BES12 festlegen, muss der Benutzer das Gerätekennwort eingeben.
9. Klicken Sie im Feld Zertifikatsdatei auf Durchsuchen, um die Zertifikatsdatei zu finden.
10. Klicken Sie auf Hinzufügen.Wenn Sie ein Zertifikat für Geräte mit Good-Aktivierung hinzugefügt haben, wird das Zertifikat in der Good-Zertifikattabelle auf der Benutzerübersichtsseite aufgeführt.
Verwandte InformationenMithilfe von Profilen Zertifikate an Geräte senden, auf Seite 73
Hinzufügen eines Client-Zertifikats für ein Benutzerkonto1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen eines Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinie und Profile auf das zu ändernde Benutzerzertifikat.
5. Klicken Sie auf .
6. Nehmen Sie die notwendigen Änderungen vor. Wenn der Abschnitt Zertifikat anwenden auf im Dialogfeld verfügbar ist, können Sie nicht ändern, für welche Geräte das Zertifikat Gültigkeit haben soll.
7. Klicken Sie auf Speichern.
Zuweisen einer App zu einem BenutzerkontoWenn Sie Apps auf Benutzerebene steuern müssen, können Sie Apps oder App-Gruppen bestimmten Benutzerkonten zuweisen. Wenn Sie eine App einem Benutzer zuweisen, wird diese App allen Geräten zur Verfügung gestellt, die der Benutzer für den entsprechenden Gerätetyp aktiviert hat. Die App wird dann im Katalog der geschäftlichen Apps auf dem Gerät aufgeführt.
Sie können Benutzern auch Apps für Gerätetypen zuweisen, die er noch nicht aktiviert hat. Dadurch stehen die richtigen Apps für ein neues Gerät des Benutzers zur Verfügung, sobald er in der Zukunft einen anderen Gerätetyp aktiviert.
Eine App kann entweder direkt einem Benutzerkonto zugewiesen werden, oder sie kann von einer Benutzergruppe oder Gerätegruppe geerbt werden. Die Einstellungen der App (ob sie beispielsweise erforderlich ist), werden entsprechend der Priorität zugewiesen: Gerätegruppen haben die höchste Priorität, gefolgt von Benutzerkonten und dann von Benutzergruppen.
Bevor Sie beginnen:
• Fügen Sie die App zur Liste der verfügbaren Apps hinzu.
• Fügen Sie die Apps optional einer App-Gruppe hinzu.
Benutzer und Gruppen
271
• Benutzer müssen Secure Work Space auf ihren Geräten einrichten, bevor sie zugewiesene gesicherte Apps installieren können.
1. Klicken Sie in der Menüleiste auf Benutzer > Alle Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen eines Benutzerkontos.
4. Klicken Sie im Abschnitt Apps auf .
5. Aktivieren Sie die Kontrollkästchen neben den Apps oder der App-Gruppe, die Sie dem Benutzerkonto zuweisen möchten.
6. Klicken Sie auf Weiter.
7. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Damit Benutzer die App installieren müssen, wählen Sie Erforderlich aus.
• Um zuzulassen, dass Benutzer die Anwendung installieren und entfernen, wählen Sie Optional.
Hinweis: Wenn eine App gleichzeitig einem Benutzerkonto, der Benutzergruppe dieses Benutzerkontos und einer Gerätegruppe zugewiesen ist, wird die Verfügbarkeit der App, die der Gerätegruppe zugewiesen ist, vorrangig behandelt.
8. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
9. Wenn für iOS- und Android-Geräte eine App-Konfiguration verfügbar ist, wählen Sie die App-Konfiguration aus, die der App zugewiesen werden soll.
10. Führen Sie beim Hinzufügen einer iOS-App eine der folgenden Aufgaben aus:
Aufgabe Schritte
Wenn Sie kein VPP-Konto hinzugefügt haben oder keine iOS-App hinzufügen
1. Klicken Sie auf Zuweisen.
Wenn Sie eine iOS-App hinzufügen und mindestens ein VPP-Konto hinzugefügt haben
1. Klicken Sie auf Weiter.
2. Wählen Sie Ja, wenn Sie der iOS-App eine Lizenz hinzufügen möchten. Wählen Sie Nein, wenn Sie keine Lizenz zuweisen möchten oder keine Lizenz haben, die Sie der App zuweisen könnten.
3. Wenn Sie der App eine Lizenz zugewiesen haben, wählen Sie in der Dropdown-Liste App-Lizenz das VPP-Konto aus, das mit der App verknüpft werden soll.
4. Weisen Sie in der Dropdown-Liste Lizenz zuweisen an die Lizenz einem Benutzer oder Gerät zu. Wenn in der Dropdown-Liste App-Lizenz kein Wert angegeben
Benutzer und Gruppen
272
Aufgabe Schritte
wird, ist die Dropdown-Liste Lizenz zuweisen an nicht verfügbar.
5. Klicken Sie auf Zuweisen.
Benutzer müssen sich entsprechend der Anweisungen im VPP Ihrer Organisation auf ihrem Gerät registrieren, bevor sie vorausbezahlte Apps installieren können. Benutzer müssen diese Aufgabe ein Mal erledigen.
Hinweis: Wenn Sie mehr Lizenzen gewähren möchten, als verfügbar sind, kann der erste Benutzer, der auf die verfügbaren Lizenzen zugreift, die App installieren. Wenn die App erforderlich ist, für die keine Lizenz verfügbar ist, müssen Sie die Lizenz abrufen, bevor der Benutzer die App installieren kann, oder der Benutzer unterliegt den Konformitätsregeln, die Sie ihm zugewiesen haben.
Verwandte InformationenApp-Verhalten auf Android-Geräten, auf Seite 195App-Verhalten auf iOS-Geräten, auf Seite 202App-Verhalten auf BlackBerry-Geräten, auf Seite 204
Zuweisen einer App oder App-Gruppe zu einem BenutzerkontoWenn Sie Apps auf Benutzerebene steuern müssen, können Sie Apps oder App-Gruppen bestimmten Benutzerkonten zuweisen. Wenn Sie eine App einem Benutzer zuweisen, wird diese App allen Geräten zur Verfügung gestellt, die der Benutzer für den entsprechenden Gerätetyp aktiviert hat. Die App wird dann im Katalog der geschäftlichen Apps auf dem Gerät aufgeführt.
Sie können Benutzern auch Apps für Gerätetypen zuweisen, die er noch nicht aktiviert hat. Dadurch stehen die richtigen Apps für ein neues Gerät des Benutzers zur Verfügung, sobald er in der Zukunft einen anderen Gerätetyp aktiviert.
Eine App kann entweder direkt einem Benutzerkonto zugewiesen werden, oder sie kann von einer Benutzergruppe oder Gerätegruppe geerbt werden. Die Einstellungen der App (ob sie beispielsweise erforderlich ist), werden entsprechend der Priorität zugewiesen: Gerätegruppen haben die höchste Priorität, gefolgt von Benutzerkonten und dann von Benutzergruppen.
Bevor Sie beginnen:
• Fügen Sie die Apps optional einer App-Gruppe hinzu.
• Benutzer müssen Secure Work Space auf ihren Geräten einrichten, bevor sie zugewiesene gesicherte Apps installieren können.
Benutzer und Gruppen
273
1. Klicken Sie in der Menüleiste auf Benutzer > Alle Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen eines Benutzerkontos.
4. Klicken Sie im Abschnitt Apps auf .
5. Aktivieren Sie die Kontrollkästchen neben den Apps oder der App-Gruppe, die Sie dem Benutzerkonto zuweisen möchten.
6. Klicken Sie auf Weiter.
7. Führen Sie in der Dropdown-Liste Verfügbarkeit der App eine der folgenden Aktionen aus:
• Damit Benutzer die App installieren müssen, wählen Sie Erforderlich aus.
• Um zuzulassen, dass Benutzer die Anwendung installieren und entfernen, wählen Sie Optional.
Hinweis: Wenn eine App gleichzeitig einem Benutzerkonto, der Benutzergruppe dieses Benutzerkontos und einer Gerätegruppe zugewiesen ist, wird die Verfügbarkeit der App, die der Gerätegruppe zugewiesen ist, vorrangig behandelt.
8. Wenn Sie auf iOS-Geräten „Per App VPN“-Einstellungen zu einer App oder App-Gruppe zuweisen möchten, wählen Sie in der Dropdown-Liste Per App VPN die Einstellungen aus, die mit der App oder der App-Gruppe verknüpft werden sollen.
9. Führen Sie beim Hinzufügen einer iOS-App eine der folgenden Aufgaben aus:
Aufgabe Schritte
Wenn Sie kein VPP-Konto hinzugefügt haben oder keine iOS-App hinzufügen
1. Klicken Sie auf Zuweisen.
Wenn Sie eine iOS-App hinzufügen und mindestens ein VPP-Konto hinzugefügt haben
1. Klicken Sie auf Weiter.
2. Wählen Sie Ja, wenn Sie der iOS-App eine Lizenz hinzufügen möchten. Wählen Sie Nein, wenn Sie keine Lizenz zuweisen möchten oder keine Lizenz haben, die Sie der App zuweisen könnten.
3. Wenn Sie der App eine Lizenz zugewiesen haben, wählen Sie in der Dropdown-Liste App-Lizenz das VPP-Konto aus, das mit der App verknüpft werden soll.
4. Weisen Sie in der Dropdown-Liste Lizenz zuweisen an die Lizenz einem Benutzer oder Gerät zu. Wenn in der Dropdown-Liste App-Lizenz kein Wert angegeben wird, ist die Dropdown-Liste Lizenz zuweisen an nicht verfügbar.
5. Klicken Sie auf Zuweisen.
Benutzer und Gruppen
274
Aufgabe Schritte
Benutzer müssen sich entsprechend der Anweisungen im VPP Ihrer Organisation auf ihrem Gerät registrieren, bevor sie vorausbezahlte Apps installieren können. Benutzer müssen diese Aufgabe ein Mal erledigen.
Hinweis: Wenn Sie mehr Lizenzen gewähren möchten, als verfügbar sind, kann der erste Benutzer, der auf die verfügbaren Lizenzen zugreift, die App installieren. Wenn die App erforderlich ist, für die keine Lizenz verfügbar ist, müssen Sie die Lizenz abrufen, bevor der Benutzer die App installieren kann, oder der Benutzer unterliegt den Konformitätsregeln, die Sie ihm zugewiesen haben.
Verwandte InformationenApp-Verhalten auf Android-Geräten, auf Seite 195App-Verhalten auf iOS-Geräten, auf Seite 202App-Verhalten auf BlackBerry-Geräten, auf Seite 204
Zuweisen einer BlackBerry OS-IT-Richtlinie, eines Profils oder einer Softwarekonfiguration zu einem BenutzerkontoBevor Sie beginnen:
• Vergewissern Sie sich, dass Sie die BlackBerry OS-Geräteaktivierung für das Benutzerkonto aktiviert haben.
• Erstellen Sie eine BlackBerry OS-IT-Richtlinie.
• Erstellen Sie eine Softwarekonfiguration.
• Erstellen Sie ein Wi-Fi- oder VPN-Profil für BlackBerry OS-Geräte. Weitere Informationen finden Sie im Handbuch für Administratoren unter help.blackberry.com/detectLang/bes5-for-exchange/.
• Erstellen Sie eine Push- oder Pull-Zugriffssteuerungsregel für BlackBerry OS-Geräte. Weitere Informationen finden Sie im Handbuch für Administratoren unter help.blackberry.com/detectLang/bes5-for-exchange/.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinie, Profile und Softwarekonfigurationen auf .
5. Klicken Sie auf IT-Richtlinie, Wi-Fi, VPN, Push einer Zugriffssteuerungsregel, Pull einer Zugriffssteuerungsregel oder Softwarekonfiguration.
Benutzer und Gruppen
275
6. Klicken Sie in der Dropdown-Liste auf den Namen der IT-Richtlinie, des Profils, der Zugriffssteuerungsregel oder der Softwarekonfiguration, die bzw. das Sie dem Benutzer zuweisen möchten.
7. Klicken Sie auf Zuweisen.
Verwandte InformationenErstellen einer BlackBerry OS-IT-Richtlinie, auf Seite 179Erstellen einer Softwarekonfiguration, auf Seite 226Zuweisen von BlackBerry OS-IT-Richtlinien und Auflösen von Konflikten zwischen IT-Richtlinien, auf Seite 176
Anzeigen der aufgelösten BlackBerry OS-IT-Richtlinienregeln, die einem Benutzerkonto zugewiesen sindWenn ein Benutzer Mitglied von mehreren Benutzergruppen mit unterschiedlichen BlackBerry OS-IT-Richtlinien ist, bereinigt BES12 die widersprüchlichen IT-Richtlinien oder die IT-Richtlinieneinstellungen mithilfe des Schlichtungsverfahrens, das Sie in den BlackBerry OS-Einstellungen festgelegt haben. Sie können die Ergebnisse der BlackBerry OS-IT-Richtlinienschlichtung und die bereinigten Einstellungen zu jeder Bestimmung unter „Erweiterte Einstellungen“ auf der Registerkarte „Zusammenfassung“ anzeigen. Wenn eine IT-Richtlinienregel mit den verschiedenen BlackBerry OS-IT-Richtlinien übereinstimmt, die auf das Benutzerkonto angewendet wurden, wird diese Regel nicht unter den IT-Richtlinien angezeigt.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Abschnitt IT-Richtlinie, Profile und Softwarekonfigurationen auf Erweiterte Einstellungen.
5. Klicken Sie auf die Registerkarte Richtlinien.
6. Klicken Sie im Abschnitt Aufgelöste IT-Richtliniennamen auf den Namen der BlackBerry OS-IT-Richtlinie.
Verwandte InformationenÄndern der Methode, die BES12 zum Auflösen in Konflikt stehender IT-Richtlinien verwendet, auf Seite 177
Anzeigen und Anpassen der BenutzerlistSie können die Benutzerliste anzeigen und anpassen, indem Sie die standardmäßige oder erweiterte Ansicht festlegen und dann die Informationen auswählen, die in der Benutzerliste angezeigt werden sollen. Sie können die Spalten in der Benutzerliste auswählen und anordnen, wobei mehr Spalten in der erweiterten Ansicht verfügbar sind.
Sie können Filter verwenden, um nur die Informationen anzuzeigen, die für Ihre Aufgabe relevant sind. Sie können die Benutzerliste filtern, indem Sie jeweils einen Filter oder mehrere Filter gleichzeitig auswählen. In der Standardansicht können Sie die Benutzerliste nach Betriebssystem, Mobilfunkanbieter, Gruppe, zugewiesener IT-Richtlinie, Eigentum und Vorschriftenverletzung filtern. Weitere Kategorien sind in der erweiterten Ansicht verfügbar. Sie können die Benutzerliste zum Beispiel nach Modell, BS-Version und Aktivierungsart filtern.
Benutzer und Gruppen
276
Zu weiteren Analyse- oder Reporting-Zwecken können Sie die Benutzerliste in eine .csv-Datei exportieren.
Einrichten der standardmäßigen oder erweiterten AnsichtSie können die Ansicht festlegen, die Ihr Browser zur Anzeige der Benutzerliste in BES12 verwendet. In der erweiterten Ansicht sind mehr Spalten und Filterkategorien verfügbar.
Hinweis: In größeren Umgebungen kann die Anzeige der erweiterten Ansicht mehr Zeit in Anspruch nehmen als dies bei der Standardansicht der Fall ist.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Klicken Sie in der oberen rechten Ecke auf Standard oder Erweitert .
Auswählen der Informationen, die in der Benutzerliste angezeigt werdenBevor Sie beginnen: Stellen Sie die standardmäßige oder erweiterte Ansicht ein.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Klicken Sie auf oben in der Benutzerliste, und führen Sie eine der folgenden Aktionen durch:
• Klicken Sie auf Alle auswählen, oder aktivieren Sie das Kontrollkästchen für jede Spalte, die Sie anzeigen möchten.
• Deaktivieren Sie das Kontrollkästchen für jede Spalte, die Sie entfernen möchten.
• Klicken Sie auf Zurücksetzen, um wieder die Standardeinstellungen anzuzeigen.
3. Um die Spalten neu anzuordnen, klicken Sie auf eine Spaltenüberschrift und ziehen Sie sie nach links oder rechts.
Verwandte InformationenEinrichten der standardmäßigen oder erweiterten Ansicht, auf Seite 277
Filtern der BenutzerlisteWenn Sie die Mehrfachauswahl einschalten, können Sie mehrere Filter auswählen, bevor Sie diese anwenden, und Sie können für jede Kategorie mehrere Filter auswählen. Wenn Sie die Mehrfachauswahl ausschalten, wird der jeweilige Filter bei Auswahl angewendet, und Sie können jeweils nur einen Filter für eine Kategorie auswählen.
Bevor Sie beginnen: Stellen Sie die standardmäßige oder erweiterte Ansicht ein.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Klicken Sie im linken Fensterbereich auf , um die Mehrfachauswahl ein- oder auszuschalten.
3. Erweitern Sie eine oder mehrere Kategorien unter Filter.
Benutzer und Gruppen
277
Jede Kategorie enthält nur Filter, die Ergebnisse anzeigen und jeder Filter gibt die Anzahl der Ergebnisse an, die angezeigt werden, wenn Sie den Filter anwenden.
4. Führen Sie eine der folgenden Aktionen aus:
• Wenn Sie die Mehrfachauswahl eingeschaltet haben, aktivieren Sie das Kontrollkästchen für jeden Filter, den Sie anwenden möchten, und klicken Sie auf Senden.
• Wenn Sie die Mehrfachauswahl ausgeschaltet haben, klicken Sie auf den Filter, den Sie anwenden möchten.
5. Klicken Sie im rechten Fensterbereich auf Alle löschen, oder klicken Sie auf für jeden Filter, den Sie entfernen möchten.
Verwandte InformationenEinrichten der standardmäßigen oder erweiterten Ansicht, auf Seite 277
Exportieren der Benutzerliste in eine .csv-DateiWenn Sie die Benutzerliste in eine .csv-Datei exportieren, enthält die Datei alle Spalten, die in der standardmäßigen oder erweiterten Ansicht verfügbar sind.
Bevor Sie beginnen: Stellen Sie die standardmäßige oder erweiterte Ansicht ein.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Falls erforderlich, können Sie die Benutzerliste filtern.
3. Führen Sie eine der folgenden Aktionen aus:
• Aktivieren Sie das Kontrollkästchen oben in der Benutzerliste, um alle Benutzer auszuwählen.
• Aktivieren Sie das Kontrollkästchen für jeden Benutzer, der in der Datei enthalten sein soll.
4. Klicken Sie auf , und speichern Sie die Datei.
Verwandte InformationenEinrichten der standardmäßigen oder erweiterten Ansicht, auf Seite 277Filtern der Benutzerliste, auf Seite 277
Benutzer und Gruppen
278
Geräteaktivierung
Wenn Sie ein Gerät aktivieren, verknüpfen Sie das Gerät mit BES12, damit Sie die Geräte verwalten und die Benutzer auf ihren Geräten auf Geschäftsdaten zugreifen können.
Wenn ein Gerät aktiviert wurde, können Sie IT-Richtlinien und Profile versenden, um die verfügbaren Funktionen zu überwachen und die Sicherheit der geschäftlichen Daten sicherzustellen. Sie können auch Apps zuweisen, die der Benutzer installieren kann. Je nachdem, wie viel Kontrolle die ausgewählte Aktivierungsart zulässt, können Sie auch das Gerät schützen, indem Sie den Zugriff auf bestimmte Daten einschränken, dezentral Kennwörter festlegen, das Gerät sperren oder Daten löschen.
Sie können die Aktivierungsarten so zuweisen, dass die besonderen Anforderungen je nachdem, ob die Geräte Ihrer Organisation oder den Benutzern gehören, individuell umgesetzt werden. Durch die verschiedenen Aktivierungsarten haben Sie einen unterschiedlich hohen Einfluss auf die geschäftlichen und privaten Daten auf den Geräten: von der kompletten Kontrolle aller Daten bis hin zur Beschränkung der Kontrolle auf die geschäftlichen Daten.
Schritte zur Aktivierung von GerätenBeim Aktivieren von Geräten führen Sie die folgenden Aktionen aus:
Schritt Aktion
Stellen Sie sicher, dass alle Aktivierungsvoraussetzungen erfüllt sind.
Konfigurieren Sie die standardmäßigen Aktivierungseinstellungen.
Wenn Sie die Unterstützung von Android for Work zulassen möchten, konfigurieren Sie BES12 so, dass eine Verbindung zu Ihrer Google-Domäne hergestellt werden kann. Siehe Unterstützen von Android for Work-Aktivierungen.
Aktualisieren Sie die Vorlage für die Aktivierungs-E-Mail.
Wenn Sie die Unterstützung von Windows 10-Geräten zulassen möchten, beachten Sie Erstellen einer Vorlage für Windows 10-Aktivierungs-E-Mails.
Erstellen Sie ein Aktivierungsprofil, und weisen Sie es einem Benutzerkonto oder einer Gruppe zu, der der Benutzer angehört.
12
Geräteaktivierung
279
Schritt Aktion
Richten Sie ein Aktivierungskennwort für den Benutzer ein.
Voraussetzungen: AktivierungFür alle Geräte:
• Eine inBES12verfügbare Lizenz für das Gerät, das Sie aktivieren möchten. Weitere Informationen zu Lizenzenfinden Sie in der Dokumentation zur Lizenzierung.
• Eine aktive kabellose Verbindung
iOS-Geräte:
• Die neueste Version der Good for BES12-App ist auf dem Gerät installiert
Für Geräte mit Android und Windows Phone 8.0 und 8.1:
• Die neueste Version von BES12 Client ist auf dem Gerät installiert
Windows 10- und Windows 10 Mobile-Geräte:
• Ein BlackBerry Enterprise Server RSA-Stammzertifikat ist auf dem Gerät installiert
• Bei Geräten mit Proxy-Authentifizierung benötigt ein Proxy keine Authentifizierung. Weitere Informationen finden Sie unter https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056%28v=vs.85%29.aspx#enrollment_via_proxy.
• Bei Computern wird Windows 10 Home nur eingeschränkt unterstützt. Weitere Informationen finden Sie unter https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056(v=vs.85).aspx#Change_history_for_MDM_documentation.
Für Android-Geräte, denen ein Android for Work-Arbeitsprofil und kein persönliches Profil zugeordnet ist:
• Ein Google-Aktivierungscode
Für Geräte mit BlackBerry OS (Version 5.0 bis 7.1):
• Ein Benutzerkonto in einem Verzeichnis auf dem geschäftlichen Mailserver, mit dem der BlackBerry OS-Mailserver eine Verbindung herstellt
• BlackBerry OS-Geräteaktivierung für das Benutzerkonto aktiviert
Geräteaktivierung
280
Verwalten des Standardablaufs und der Länge des AktivierungskennwortsSie können die Standardzeit festlegen, die ein Aktivierungskennwort gültig bleiben soll, bevor es abläuft. Sie können auch die Kennwortlänge für das automatisch generierte Kennwort bestimmen, das in einer der Aktivierungs-E-Mail-Nachrichten an die Benutzer gesendet wird. Außerdem können Sie festlegen, ob die Aktivierungszeit nach der Aktivierung des ersten Geräts endet.
Der Wert, den Sie für den Ablauf des Aktivierungskennworts eingeben, wird in den Fenstern „Geräteaktivierungskennwort festlegen“ und „Benutzer hinzufügen“ als Standardeinstellung im Feld „Ablauf des Aktivierungskennworts“ angezeigt.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Standards der Aktivierung.
4. Geben Sie im Feld Ablauf des Aktivierungskennworts die Standardzeit ein, die ein Aktivierungskennwort gültig bleibt, bevor es abläuft. Die Standardzeit kann 1 Minute bis 30 Tage betragen.
5. Bei Bedarf aktivieren Sie das Kontrollkästchen Aktivierungszeitraum endet nach der Aktivierung des ersten Geräts.
6. Ändern Sie im Feld Länge des automatisch generierten Aktivierungskennworts den Wert, sodass er der Länge des automatisch generierten Aktivierungskennworts entspricht. Ein Wert von 4 bis 16 ist zulässig.
7. Aktivieren oder deaktivieren Sie die Option Registrierung mit BlackBerry Infrastructure einschalten, um zu ändern, wie Benutzer ihre Mobilgeräte aktivieren. Wenn Sie diese Option deaktivieren, werden die Benutzer bei der Geräteaktivierung aufgefordert, die Serveradresse für BES12 anzugeben. Weitere Informationen finden Sie unter Aktivieren der Benutzerregistrierung bei der BlackBerry Infrastructure .
8. Klicken Sie auf Speichern.
Aktivieren der Benutzerregistrierung bei der BlackBerry InfrastructureDie Registrierung bei der BlackBerry Infrastructure vereinfacht die Aktivierung von Mobilgeräten. Wenn die Registrierung eingeschaltet ist, müssen die Benutzer keine Serveradresse beim Aktivieren des Gerätes eingeben. Die Registrierung ist standardmäßig aktiviert. Wenn Sie diese Einstellung ändern, müssen Sie die Aktivierungs-E-Mail ggf. mit dem gleichen Vorgang aktualisieren, mit dem Benutzer ihre Geräte aktivieren.
Geräte mit Windows 10 und Windows 10 Mobile verwenden nicht dieselbe Methode für das Kontaktieren von BlackBerry Infrastructure. Daher ändert sich der Aktivierungsvorgang für diese Geräte durch das Ein- oder Ausschalten der Benutzerregistrierung nicht.
Geräteaktivierung
281
Geräte mit BlackBerry OS (Version 5.0 bis 7.1) kontaktieren die BlackBerry Infrastructure nicht. Daher ändert sich der Aktivierungsvorgang für diese Geräte durch das Ein- oder Ausschalten der Benutzerregistrierung nicht.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Allgemeine Einstellungen.
3. Klicken Sie auf Standards der Aktivierung.
4. Stellen Sie sicher, dass das Kontrollkästchen Registrierung mit BlackBerry Infrastructure einschalten aktiviert ist.
5. Klicken Sie auf Speichern.
Unterstützen von Android for Work-AktivierungenJe nach Typ Ihrer Google-Domäne, ob Sie BES12 erlauben, Benutzerkonten in der Google-Domäne zu erzeugen, und ob Sie planen, Geräte zu aktivieren, die nur über ein Arbeitsprofil verfügen, müssen Sie zur Geräteaktivierung mit Android for Work verschiedene Schritte ausführen.
• Informationen zu Google Apps for Work-Domänen finden Sie unter Unterstützen von Android for Work-Aktivierungen mit einer Google Apps for Work-Domäne.
• Informationen zu Google for Work-Domänen finden Sie unter Unterstützen von Android for Work-Aktivierungen mit einer Google for Work-Domäne.
Unterstützen von Android for Work-Aktivierungen mit einer Google Apps for Work-DomäneWenn Sie BES12 für eine Verbindung mit einer Google Apps for Work-Domäne konfiguriert haben, müssen Sie die folgenden Aufgaben ausführen, damit Benutzer Geräte mit einer Android for Work-Aktivierungsart aktivieren können.
Bevor Sie beginnen:
• Stellen Sie sicher, dass eine Google Apps for Work-Domäne vorhanden ist. Informationen zum Erstellen einer Google Apps for Work-Domäne finden Sie unter https://www.google.com/a/signup.
• Konfigurieren SieBES12zur Unterstützung vonAndroid for Work. Weitere Informationen zur Konfiguration vonBES12zur Unterstützung vonAndroid for Work, finden Sie in der Dokumentation zur Konfiguration.
1. Erstellen Sie in der Google Apps for Work-Domäne Benutzerkonten für die Android for Work-Benutzer.
2. Wenn Sie beabsichtigen, die Aktivierungsart Nur geschäftlicher Bereich (Android for Work) zuzuordnen und einige Benutzer Geräte mit Android 6.0 oder höher verwenden, wählen Sie die Einstellung Durchsetzung der EMM-Richtlinie in der Google Apps for Work-Domäne aus.
Geräteaktivierung
282
3. Erstellen Sie in BES12 lokale Benutzerkonten für die Android for Work-Benutzer. Die E-Mail-Adressen der einzelnen Konten müssen mit denen der zugehörigen Google Apps for Work-Konten übereinstimmen.
4. Stellen Sie sicher, dass die Benutzer das Kennwort für ihr Google Apps for Work-Konto kennen.
5. Stellen Sie sicher, dass die Android for Work-Benutzer auf Unternehmensressourcen zugreifen können, indem Sie ihnen ein E-Mail-Profil und die App-Gruppe „Empfohlene Android for Work-Apps“ zuweisen.
Unterstützen von Android for Work-Aktivierungen mit einer Google for Work-DomäneWenn Sie BES12 für die Verbindung mit einer Google for Work-Domäne konfigurieren, müssen Sie entscheiden, ob die Erstellung von Benutzerkonten durch BES12 in dieser Google for Work-Domäne zugelassen werden soll. Von dieser Entscheidung hängt ab, welche Aufgaben Sie ausführen müssen, damit Benutzer Geräte mit einer Android for WorkAktivierungsart aktivieren können.
Bevor Sie beginnen:
• Stellen Sie sicher, dass eine Google for Work-Domäne vorhanden ist. Informationen zum Erstellen einer Google for Work-Domäne finden Sie unter https://www.google.com/a/signup.
• Konfigurieren SieBES12zur Unterstützung vonAndroid for Work. Weitere Informationen zur Konfiguration vonBES12zur Unterstützung vonAndroid for Work, finden Sie in der Dokumentation zur Konfiguration.
Aufgaben, wenn BES12 keine Benutzerkonten in der Google for Work-Domäne erstellen kannWenn Sie nicht zulassen, dass BES12 in Ihrer Google for Work-Domäne Benutzerkonten erstellt, müssen Sie in der Google for Work-Domäne und in BES12 Benutzerkonten erstellen.
1. Fügen Sie in BES12 Verzeichnis-Benutzerkonten für die Android for Work-Benutzer hinzu.
2. Führen Sie eine der folgenden Aktionen aus:
• Erstellen Sie in der Google for Work-Domäne Benutzerkonten für die Android for Work-Benutzer. Die E-Mail-Adressen der jeweiligen Konten müssen mit denen der zugehörigen BES12-Benutzerkonten übereinstimmen.
• Synchronisieren Sie mit Google Apps Directory Sync Ihre Google for Work-Domäne mit Ihrem Unternehmensverzeichnis. Wenn Sie dies tun, müssen Sie keine Benutzerkonten in Ihrer Google for Work-Domäne manuell erstellen.
3. Wenn Sie beabsichtigen, die Aktivierungsart Nur geschäftlicher Bereich (Android for Work) zuzuordnen und einige Benutzer Geräte mit Android 6.0 oder höher verwenden, wählen Sie die Einstellung Durchsetzung der EMM-Richtlinie in der Google for Work-Domäne aus.
4. Stellen Sie sicher, dass die Android for Work-Benutzer das Kennwort für ihr Google for Work-Konto kennen.
Geräteaktivierung
283
5. Damit die Android for Work-Benutzer auf Unternehmensressourcen zugreifen können, weisen Sie ihnen ein E-Mail-Profil und die App-Gruppe „Empfohlene Android for Work-Apps“ zu.
Aufgaben, wenn BES12 Benutzerkonten in der Google for Work-Domäne erstellen kannWenn Sie die Erstellung von Benutzerkonten durchBES12in IhrerGoogle for Work-Domäne zulassen, erstellt BES12 einGoogle for Work-Konto, wenn ein neuer Benutzer ein Gerät aktiviert.BES12sendet das Kennwort für das neue Konto an die E-Mail-Adresse des Benutzers. Wenn Sie diese Option wählen, stellen Sie sicher, dass Sie dasGoogle-Dienstkonto in derGoogle for Work-Domäne so konfiguriert haben, dassBES12Benutzerkonten erstellen kann.Weitere Informationen zum Zulassen der Erstellung von Benutzerkonten durch dasGoogle-Dienstkontofinden Sie in der Dokumentation zur Konfiguration
1. Fügen Sie in BES12 Verzeichnis-Benutzerkonten für die Android for Work-Benutzer hinzu.
2. Damit die Android for Work-Benutzer auf Unternehmensressourcen zugreifen können, weisen Sie ihnen ein E-Mail-Profil und die App-Gruppe „Empfohlene Android for Work-Apps“ zu.
3. Wenn Sie beabsichtigen, die Aktivierungsart Nur geschäftlicher Bereich (Android for Work) zuzuweisen und einige Benutzer Geräte mit Android 6.0 oder höher verwenden, wählen Sie in Ihrer Google for Work-Domäne die Einstellung Durchsetzung der EMM-Richtlinie aus.
Wählen Sie, welche Produktivitäts-Apps auf PRIV-Geräten, die Android for Work verwenden, genutzt werdenUm Produktivitäts-Apps auf PRIV-Geräten, die Android for Work nutzen, verwenden zu können, müssen Sie eine App-Gruppe zuweisen, die die Produktivitäts-Apps enthält, die Sie den Benutzern der Geräte zur Verfügung stellen möchten. Sie haben die Wahl aus folgenden Optionen:
• BlackBerry Productivity Suite: Die BlackBerry Productivity Suite-App-Gruppe enthält die folgenden Apps: BlackBerry Hub, BlackBerry Kalender, Kontakte von BlackBerry, Notizen von BlackBerry und Aufgaben von BlackBerry.
• Divide Productivity: Die Divide Productivity-App-Gruppe enthält die Android for Work-Apps von Google einschließlich E-Mail, Kalender, Kontakte, Aufgaben und Notizen.
Bevor Sie beginnen:
• Konfigurieren SieBES12zur Unterstützung vonAndroid for Work. Weitere Informationen zur Konfiguration vonBES12zur Unterstützung vonAndroid for Work, finden Sie in der Dokumentation zur Konfiguration.
• Weisen Sie Benutzern oder Benutzergruppen ein Aktivierungsprofil mit einer der folgenden Aktivierungsarten zu:
◦ Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
◦ Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
◦ Nur geschäftlicher Bereich (Android for Work)
◦ Nur geschäftlicher Bereich (Android for Work – Premium)
1. Klicken Sie in der Menüleiste auf Apps > App-Gruppen.
Geräteaktivierung
284
2. Wenn die App-Gruppen Divide Productivity und BlackBerry Productivity Suite bereits in der Liste der Apps angezeigt werden, stellen Sie sicher, dass die richtigen Apps, wie in Schritt 4 aufgeführt, den App-Gruppen hinzugefügt wurden, und fahren Sie dann mit Schritt 5 fort.
3. Wenn die App-Gruppen noch nicht in der App-Liste angezeigt werden, müssen Sie die folgenden Apps zu BES12 hinzufügen.
• https://play.google.com/store/apps/details?id=com.blackberry.infrastructure
• https://play.google.com/store/apps/details?id=com.blackberry.hub
• https://play.google.com/store/apps/details?id=com.blackberry.calendar
• https://play.google.com/store/apps/details?id=com.blackberry.contacts
• https://play.google.com/store/apps/details?id=com.blackberry.notes
• https://play.google.com/store/apps/details?id=com.blackberry.tasks
• https://play.google.com/store/apps/details?id=com.google.android.apps.work.pim
4. Je nach Productivity Suite, die Sie verwenden möchten, erstellen Sie die folgenden App-Gruppen.
Aufgabe Schritte
Erstellen Sie eine App-Gruppe für BlackBerry Productivity Suite
Fügen Sie die folgenden Apps hinzu:
• BlackBerry Hub
• BlackBerry-Kalender
• Kontakte von BlackBerry
• Notizen von BlackBerry
• Aufgaben von BlackBerry
Erstellen einer App-Gruppe für Divide Productivity Hinzufügen von Divide Productivity.
5. Weisen Sie die App-Gruppen Benutzern, Benutzergruppen oder Gerätegruppen zu.
Verwandte InformationenErstellen einer App-Gruppe, auf Seite 209Zuweisen einer App-Gruppe zu einer Benutzergruppe, auf Seite 248Zuweisen einer App oder App-Gruppe zu einem Benutzerkonto, auf Seite 273Hinzufügen einer Android-App zur App-Liste bei Verbindung von BES12 mit einer Google-Domäne, auf Seite 185Erstellen einer Gerätegruppe, auf Seite 251
Unterstützen von Windows 10-AktivierungenHinweis: Wenn Sie Windows 10-Geräte mithilfe von MDM verwalten möchten, ist eine Verwaltung der Geräte über Microsoft System Center Configuration Manager nicht möglich.
Geräteaktivierung
285
Sie können Benutzer bei der Aktivierung derWindows 10-Geräte auf zwei Arten unterstützen:
• Installieren Sie einen Suchdienst, um dieWindows 10-Aktivierungen zu vereinfachen. Weitere Informationenfinden Sie in der Dokumentation zur Konfiguration.
• Erstellen oder Bearbeiten einer Vorlage für Aktivierungs-E-Mails zur Bereitstellung von Windows 10-Aktivierungsinformation. Weitere Informationen finden Sie unter „Erstellen einer Vorlage für Windows 10-Aktivierungs-E-Mails“.
Verwalten von Vorlagen für die Aktivierungs-E-MailVorlagen für Aktivierungs-E-Mails ermöglichen Ihnen die Anpassung und Personalisierung der an die Benutzer gesendeten Aktivierungs-E-Mail-Nachrichten. Sie können Variablen für Elemente wie Benutzername, E-Mail-Adresse oder Aktivierungskennwort einfügen und mithilfe eines HTML-Editors deren Erscheinungsbild anpassen. Sie haben die Möglichkeit, mehrere Vorlagen zu erstellen, die für unterschiedliche Geräte- oder Aktivierungsarten verwendet werden können. Sie können die Standard-E-Mail-Vorlagen bearbeiten oder neue erstellen.
Wenn Sie einen Benutzer zu BES12 hinzufügen oder ein Aktivierungskennwort für einen Benutzer einrichten, können Sie eine E-Mail-Vorlage auswählen, und BES12 sendet die personalisierte E-Mail-Nachricht basierend auf der von Ihnen gewählten Vorlage an den Benutzer.
BES12 beinhaltet mehrere Standardvorlagen für Aktivierungs-E-Mails. Je nach BES12-Konfiguration werden einige oder alle der folgenden Standard-E-Mail-Vorlagen unter „Einstellungen > E-Mail-Vorlagen“ angezeigt:
E-Mail-Vorlage Beschreibung
Standardmäßige Aktivierungs-E-Mail Sie können diese Vorlage bearbeiten, aber nicht löschen.
Die Vorlage enthält die Anweisungen, die ein Benutzer benötigt, um sein Gerät zu aktivieren. Sie können zwei unterschiedliche E-Mails an den Benutzer senden: eine mit den Aktivierungsanweisungen und eine zweite, die nur das Aktivierungskennwort beinhaltet.
Wenn Sie keine andere Vorlage auswählen, verwendet BES12 diese Vorlage zum Senden der Aktivierungs-E-Mail an den Benutzer.
Apple DEP-Aktivierungs-E-Mail Sie können die Vorlage bearbeiten oder löschen.
Die Vorlage enthält die Anweisungen, die ein Benutzer benötigt, um ein Apple DEP-Gerät zu aktivieren. Sie können zwei unterschiedliche E-Mail-Nachrichten an den Benutzer senden: eine mit den Aktivierungsanweisungen und eine zweite, die nur das Aktivierungskennwort beinhaltet.
Wenn Sie BES12 für die Verwendung von Apple konfigurieren, ist diese Vorlage verfügbar.
Geräteaktivierung
286
E-Mail-Vorlage Beschreibung
Android for Work-Benutzer Sie können diese Vorlage bearbeiten, aber nicht löschen.
Diese Vorlage enthält Anleitungen zur Aktivierung von Android for Work auf einem Gerät und das Kennwort für das Google-Konto des Benutzers.
Wenn Sie BES12 für die Unterstützung von Android for Work konfigurieren, erhalten Benutzer diese E-Mail automatisch, wenn ihnen eine der folgenden Aktivierungsarten zugewiesen wurde:
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
Sie müssen zudem die Standardvorlage für die Aktivierungs-E-Mail auswählen, um Benutzern die Anweisungen für die Aktivierung von Geräten in BES12 bereitzustellen.
Android for Work-Kennwort Sie können diese Vorlage bearbeiten, aber nicht löschen.
Diese Vorlage umfasst einen Android for Work-Aktivierungscode für Benutzer, die ihre Geräte nur mit einem geschäftlichen Bereich aktivieren.
Wenn Sie BES12 für die Unterstützung von Android for Work konfigurieren, erhalten Benutzer diese E-Mail automatisch, wenn ihnen eine der folgenden Aktivierungsarten zugewiesen wurde:
• Nur geschäftlicher Bereich (Android for Work)
• Nur geschäftlicher Bereich (Android for Work – Premium)
Sie müssen zudem die Aktivierungs-E-Mail-Vorlage für Nur geschäftlicher Bereich (Android for Work) auswählen, um Benutzern die Anweisungen zur Aktivierung des Geräts in BES12 bereitzustellen.
Aktivierungs-E-Mail für Nur geschäftlicher Bereich (Android for Work)
Sie können die Vorlage bearbeiten oder löschen.
Wenn Sie BES12 für die Verwendung von Android for Work konfigurieren, ist diese Vorlage verfügbar.
Erstellen einer Vorlage für Aktivierungs-E-MailBevor Sie beginnen: Informationen zum Aktivieren von Geräten mit Android for Work finden Sie unter Erstellen einer Aktivierungs-E-Mail-Vorlage für Android for Work.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen.
2. Klicken Sie auf E-Mail-Vorlagen.
Geräteaktivierung
287
3. Klicken Sie auf . Wählen Sie Geräteaktivierung aus.
4. Geben Sie im Feld Name einen Namen für die Vorlage ein.
5. Bearbeiten Sie den Text im Feld Betreff zum Anpassen der Betreffzeile der ersten Aktivierungs-E-Mail.
6. Geben Sie den Nachrichtentext der Aktivierungs-E-Mail in das Feld Nachrichten ein.
• Wählen Sie mithilfe des HTML-Editors die Schriftart aus, und fügen Sie Bilder ein (z. B. das Unternehmenslogo).
• Fügen Sie Variablen zum Personalisieren des Nachrichtentexts ein (z. B. die Variable %UserDisplayName% zum Einfügen des Empfängernamens). Eine Liste von Variablen finden Sie hier: Standardvariablen.
• Klicken Sie zum Anzeigen des Textbeispiels auf Textvorschlag.
• Informationen zu Aktivierungen unter Windows 10 finden Sie unter Erstellen einer Vorlage für Windows 10-Aktivierungs-E-Mails.
7. Wählen Sie Zwei Aktivierungs-E-Mails senden – die erste mit allen Anweisungen, die zweite mit dem Kennwort aus, damit Sie das Aktivierungskennwort getrennt von den Aktivierungsanweisungen senden können. Wenn Sie entscheiden, nur eine Aktivierungs-E-Mail-Nachricht zu senden, nehmen Sie unbedingt das Aktivierungskennwort oder die Variable für das Aktivierungskennwort in diese auf.
8. Geben Sie im Feld Betreff eine Betreffzeile für die zweite Aktivierungs-E-Mail ein.
9. Passen Sie den Nachrichtentext der zweiten Aktivierungs-E-Mail an, die Sie an Benutzer senden. Denken Sie daran, das Aktivierungskennwort oder eine Variable für das Aktivierungskennwort aufzunehmen.
10. Klicken Sie auf Speichern.
Erstellen einer Vorlage für Windows 10-Aktivierungs-E-MailsSie können den Benutzern helfen, Windows 10-Geräte zu aktivieren, indem Sie eine Vorlage für Aktivierungs-E-Mails bearbeiten oder erstellen, die folgende Aufgaben erfüllt:
• Erklärung, dass der Benutzer vor dem Aktivieren des Geräts ein Zertifikat installieren muss. Sicherstellung, dass Benutzer von Windows 10-Tablets oder -Computern die Optionen Aktueller Benutzer und Vertrauenswürdige Stammzertifizierungsstellen aktivieren, wenn sie das Zertifikat installieren
• Enthält die Variable %RsaRootCaCertUrl%, sodass Benutzer von Windows 10 das Zertifikat herunterladen können
• Enthält die Variable %ClientlessActivationURL%, um Zugriff auf die Windows 10-Serveradresse zu gewähren
• Enthält einen Link zu http://docs.blackberry.com/activate-your-device-on-bes12.html, wo Benutzer ein Video zum Windows 10-Aktivierungsprozess ansehen können
Sie können die nachfolgenden Beispiele verwenden, um Ihre E-Mail-Vorlage zu erstellen oder zu bearbeiten.
Geräteaktivierung
288
Beispiel 1
• Sie können dieses Beispiel als zusätzlichen Text in der Standardvorlage der Aktivierungs-E-Mail verwenden. Der Text enthält nur die weiteren Links, die erforderlich sind, um ein Windows 10-Gerät zu aktivieren.
Wenn Sie ein Windows 10-Gerät aktivieren, benötigen Sie die folgenden Informationen:
• Zertifikatsserveradresse: %RsaRootCaCertUrl%
• Aktivierungsserveradresse: %ClientlessActivationURL%
Beispiel 2
• Sie können dieses Beispiel als separate Vorlage nur für Windows 10-Geräte verwenden. Sie enthält alle erforderlichen Informationen und Anweisungen für Benutzer von Windows 10, jedoch keine Informationen für Benutzer anderer Gerätetypen.
%UserDisplayName%,
Ihr Administrator hat Ihr Windows 10-Gerät für BES12 aktiviert. Um Ihr Gerät zu aktivieren, benötigen Sie die folgenden Informationen:
• Das Zertifikat befindet sich hier: %RsaRootCaCertUrl%
• Ihre geschäftliche E-Mail-Adresse: %UserEmailAddress%
• Ihr Aktivierungskennwort: Ihr Aktivierungskennwort wird in einer separaten E-Mail zugestellt.
• Sie benötigen möglicherweise auch Ihre Serveradresse: %ClientlessActivationURL%
Wenn Sie ein Windows 10 Mobile-Gerät aktivieren, führen Sie die folgenden Aktionen aus:
1. Klicken Sie auf den folgenden Link, um das erforderliche Zertifikat zu installieren: %RsaRootCaCertUrl%. Stellen Sie sicher, dass Sie auf die Download-Benachrichtigung tippen, um das Zertifikat zu installieren.
2. Navigieren zu Einstellungen > Konten > Geschäftlicher Zugriff, und tippen Sie auf Verbinden.
3. Geben Sie Ihre geschäftliche E-Mail-Adresse und Ihr Aktivierungskennwort ein. Sie müssen möglicherweise auch die folgende Serveradresse eingeben: %ClientlessActivationURL%.
Wenn Sie ein Windows 10-Tablet oder einen -Computer aktivieren, führen Sie die folgenden Aktionen aus:
1. Klicken Sie auf den folgenden Link, um das erforderliche Zertifikat zu installieren: %RsaRootCaCertUrl%. Wenn Sie das Zertifikat installieren, wählen Sie den Speicherort des aktuellen Benutzers aus, und geben Sie den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen an, anstatt diese von Windows 10 automatisch bestimmen zu lassen.
2. Navigieren zu Einstellungen > Konten > Geschäftlicher Zugriff, und tippen Sie auf Verbinden.
3. Geben Sie Ihre geschäftliche E-Mail-Adresse und Ihr Aktivierungskennwort ein. Sie müssen möglicherweise auch die folgende Serveradresse eingeben: %ClientlessActivationURL%.
Geräteaktivierung
289
Sehen Sie sich ein Video zur Aktivierung des Geräts hier an: http://docs.blackberry.com/activate-your-device-on-bes12.html
Verwalten Sie Ihr Windows 10-Gerät in BES12 Self-Service unter %UserSelfServicePortalURL%. Verwenden Sie zum Anmelden die folgenden Informationen:
• BES12 Self-Service Benutzername: %UserName%
• Ihr BES12 Self-Service-Kennwort kann Ihr bestehendes Netzwerkkennwort sein, oder es ist Ihnen in einer separaten E-Mail zugestellt worden. Wenn Sie Ihr Kennwort nicht wissen, wenden Sie sich an Ihren Administrator.
Bitte bewahren Sie diese Informationen für Ihre Unterlagen auf.
Wenn Sie Fragen haben, wenden Sie sich an Ihren Administrator.
Willkommen bei BES12
Erstellen einer Aktivierungs-E-Mail-Vorlage für Android for WorkSie können zusätzlich zu den automatisch gesendeten Android for Work-E-Mail-Nachrichten eine Vorlage für die Aktivierungs-E-Mail erstellen, die an Benutzer gesendet werden soll. Dies funktioniert auf die gleiche Weise wie bei anderen E-Mail-Vorlagen.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen.
2. Klicken Sie auf E-Mail-Vorlagen.
3. Führen Sie eine der folgenden Aufgaben aus:
Aufgabe Schritte
Vorhandene Vorlage bearbeiten 1. Klicken Sie auf Nur geschäftlicher Bereich (Android for Work) – Aktivierungs-E-Mail.
2. Bearbeiten Sie die Felder Name, Betreff oder Nachricht. Wenn Sie einen Fehler machen und von vorn beginnen möchten, klicken Sie auf Abbrechen, um zur Seite E-Mail-Vorlagen zurückzukehren.
3. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Speichern.
Erstellen einer neuen E-Mail-Vorlage 1. Klicken Sie auf . Wählen Sie Android for Work-Geräteaktivierung aus.
2. Befolgen Sie die Anweisungen in Erstellen einer Vorlage für Aktivierungs-E-Mail.
Geräteaktivierung
290
Bearbeiten einer Vorlage für Aktivierungs-E-Mail1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen.
2. Klicken Sie auf E-Mail-Vorlagen.
3. Klicken Sie auf Standard-Aktivierungs-E-Mail oder eine andere vorhandene Vorlage, die Sie bearbeiten möchten.
4. Bearbeiten Sie die Felder Name, Betreff oder Nachricht. Wenn Sie einen Fehler machen und von vorn beginnen möchten, klicken Sie auf Abbrechen, um zur Seite E-Mail-Vorlagen zurückzukehren.
5. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Speichern.
Erstellen von AktivierungsprofilenMithilfe von Aktivierungsprofilen können Sie steuern, wie die Geräte aktiviert und verwaltet werden. Ein Aktivierungsprofil legt fest, wie viele und welche Arten von Geräten ein Benutzer aktivieren kann und die für jeden Gerätetyp zu verwendende Art der Aktivierung.
Sie können Aktivierungsarten verwenden, um zu konfigurieren, wie viel Kontrolle Sie über aktivierte Geräte haben. Vielleicht möchten Sie die vollständige Kontrolle über ein Gerät, das Sie einem Benutzer bereitstellen. Vielleicht möchten Sie sicherstellen, dass sie keine Kontrolle über die persönlichen Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit mitbringt.
• Aktivierungsarten: BlackBerry 10-Geräte
• Aktivierungsarten: iOS-Geräte
• Aktivierungsarten: OS X-Geräte
• Aktivierungsarten: Android-Geräte
• Aktivierungsarten: Windows-Geräte
Das zugewiesene Aktivierungsprofil gilt nur für Geräte, die der Benutzer aktiviert, nachdem Sie ihm das Profil zugewiesen haben. Geräte, die bereits aktiviert sind, werden nicht automatisch aktualisiert, um dem neuen oder aktualisierten Aktivierungsprofil zu entsprechen.
Wenn Sie in BES12 einen Benutzer hinzufügen, wird dem Benutzerkonto das Standard-Aktivierungsprofil zugewiesen. Sie können das Standard-Aktivierungsprofil entsprechend Ihrer Anforderungen ändern, oder Sie können ein benutzerdefiniertes Aktivierungsprofil erstellen und dieses Benutzern oder Benutzergruppen zuweisen.
Die Aktivierungprofile gelten nicht für Geräte mit BlackBerry OS (Version 5.0 bis 7.1).
Geräteaktivierung
291
Aktivierungsarten: BlackBerry 10-GeräteAktivierungsart Beschreibung
Geschäftlich und persönlich – Unternehmen
Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. Alle geschäftlichen Daten von vorherigen Aktivierungen werden gelöscht.
Mithilfe von Befehlen und IT-Richtlinien können Sie den geschäftlichen Bereich des Geräts steuern, jedoch nicht den persönlichen Bereich des Geräts.
Nur geschäftlicher Bereich Diese Aktivierungsart ermöglicht eine vollständige Kontrolle über das Gerät und bietet keinen separaten Bereich für persönliche Daten. Wenn ein Gerät aktiviert wird, werden der persönliche Bereich sowie alle geschäftlichen Daten von vorherigen Aktivierungen entfernt, und es wird ein geschäftlicher Bereich erstellt. Der Benutzer muss ein Kennwort einrichten, um auf das Gerät zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Sie können das Gerät mithilfe von Befehlen und IT-Richtlinien steuern.
Geschäftlich und persönlich – Reguliert Diese Aktivierungsart ermöglicht die Kontrolle über die geschäftlichen und die persönlichen Daten. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. Alle geschäftlichen Daten von vorherigen Aktivierungen werden gelöscht.
Sie können sowohl den geschäftlichen als auch den persönlichen Bereich auf dem Gerät mit Befehlen und IT-Richtlinien steuern.
Aktivierungsarten: iOS-GeräteAktivierungsart Beschreibung
MDM-Steuerelemente Diese Aktivierungsart stellt eine grundlegende Geräteverwaltung über die von iOS zur Verfügung gestellten Gerätesteuerelemente bereit. Es wird kein separater geschäftlicher Bereich auf dem Gerät installiert, und es gibt keine zusätzliche Sicherheit für geschäftliche Daten.
Geräteaktivierung
292
Aktivierungsart Beschreibung
Sie können das Gerät mithilfe von Befehlen und IT-Richtlinien steuern. Während der Aktivierung müssen Benutzer ein Mobilgeräteverwaltungsprofil auf ihrem Gerät installieren.
Datenschutz für Benutzer Sie können die Datenschutz für Benutzer-Aktivierungsart verwenden, um die grundlegende Steuerung von Geräten zu ermöglichen, und gleichzeitig sicherstellen, dass die persönlichen Daten des Benutzers privat bleiben. Mit dieser Aktivierungsart wird kein separater Container auf dem Gerät installiert, und es ist keine zusätzliche Sicherheit für geschäftliche Daten vorhanden. Mit Datenschutz für Benutzer aktivierte Geräte sind auf BES12 aktiviert und können Dienste wie Find my Phone und Root Detection nutzen. Administratoren können jedoch keine Geräterichtlinien steuern.
Hinweis: Um die Lizenzierung auf SIM-Basis zuzulassen, müssen Sie die Option „Zugriff auf SIM-Karten- und Hardwareinformationen zulassen, um die SIM-basierte Lizenzierung zu aktivieren“ im Aktivierungsprofil auswählen. Benutzer müssen ein MDM-Profil installieren, das nur auf die SIM-Karten- und Hardwareinformationen zugreifen kann, die erforderlich sind, um zu prüfen, ob eine entsprechende SIM-Lizenz verfügbar ist (z. B. ICCID und IMEI).
Geschäftlich und persönlich – vollständige Kontrolle
Diese Aktivierungsart ermöglicht die volle Kontrolle über Geräte mithilfe von Secure Work Space. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Mithilfe von Befehlen und IT-Richtlinien können Sie den geschäftlichen Bereich und einige weitere Aspekte des Geräts steuern, die sowohl den persönlichen als auch den geschäftlichen Bereich des Geräts betreffen. Während der Aktivierung müssen Benutzer ein Mobilgeräteverwaltungsprofil installieren.
Geschäftlich und persönlich – Benutzer-Datenschutz
Diese Aktivierungsart ermöglicht mithilfe von Secure Work Space die Steuerung von geschäftlichen Daten auf Geräten und stellt gleichzeitig sicher, dass persönliche Daten geschützt werden. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Mithilfe von Befehlen und IT-Richtlinien können Sie den geschäftlichen Bereich des Geräts steuern, jedoch nicht den persönlichen Bereich des Geräts. Benutzer müssen kein Mobilgeräteverwaltungsprofil installieren.
Hinweis: Um die Lizenzierung auf SIM-Basis zuzulassen, müssen Sie die Option „Zugriff auf SIM-Karten- und Hardwareinformationen zulassen, um die SIM-basierte Lizenzierung zu aktivieren“ im Aktivierungsprofil auswählen. Benutzer müssen ein
Geräteaktivierung
293
Aktivierungsart Beschreibung
MDM-Profil installieren, das nur auf die SIM-Karten- und Hardwareinformationen zugreifen kann, die erforderlich sind, um zu prüfen, ob eine entsprechende SIM-Lizenz verfügbar ist (z. B. ICCID und IMEI).
Strong Authentication by BlackBerry Diese Aktivierungsart unterstützt die Strong Authentication-Lösung für Geräte, die nicht von BES12 verwaltet werden. Diese Aktivierungsart bietet keine Geräteverwaltung oder Steuerelemente, gestattet Geräten jedoch, die Strong Authentication-Funktion zu verwenden. Um diese Aktivierungsart zu verwenden, müssen Sie Benutzern zudem das Strong Authentication-Profil zuweisen.
Wenn ein Gerät aktiviert ist, können Sie begrenzte Geräteinformationen in der Verwaltungskonsole anzeigen. Außerdem können Sie das Gerät über einen Befehl deaktivieren.
Diese Aktivierungsart wird nur für Microsoft Active Directory-Benutzer unterstützt.
Weitere Informationen finden Sie in der Dokumentation zu Strong Authentication von BlackBerry.
Aktivierungsarten: OS X-GeräteAktivierungsart Beschreibung
MDM-Steuerelemente Diese Aktivierungsart ermöglicht die grundlegende Geräteverwaltung über die von OS X zur Verfügung gestellten Gerätesteuerelemente.
Wenn ein Benutzer ein OS X-Gerät aktiviert, werden das Gerät und der Benutzer als separate Einheiten auf BES12 eingerichtet. Zwischen BES12 und dem Gerät und BES12 und dem Benutzerkonto werden separate Kommunikationskanäle eingerichtet, sodass Sie das Gerät und den Benutzer getrennt verwalten können. Einige Profile werden nur dem Benutzer zugewiesen, z. B. E-Mail-Profile. Einige Profile werden nur dem Gerät zugewiesen, z. B. Proxy-Profile. Bei manchen Profilen können Sie wählen, ob das Profil für das Gerät oder den Benutzer gelten soll (zum Beispiel Wi-Fi-Profile). Weitere Informationen finden Sie unter Profileinstellungen.
Sie können das Gerät mithilfe von Befehlen und IT-Richtlinien steuern. Benutzer aktivieren OS X-Geräte mithilfe von BES12 Self-Service.
Aktivierungsarten: Android-GeräteFür Android-Geräte können Sie mehrere Aktivierungsarten auswählen und ihnen eine Reihenfolge zuweisen, um sicherzustellen, dass BES12 die am besten geeignete Aktivierungsart für dieses Gerät zuweist. Wenn Sie beispielsweise „Nur
Geräteaktivierung
294
geschäftlicher Bereich (Samsung KNOX)“ den ersten Rang und „MDM-Steuerelemente“ den zweiten zuweisen, wird für Geräte, die Samsung KNOX Workspace unterstützen, die erste Aktivierungsart verwendet.
Hinweis: KNOX MDM ermöglicht die Verwendung von KNOX MDM IT-Richtlinienregeln in BES12 auf Geräten anstelle der einfachen, für alle Android-Geräte verfügbaren Regeln. KNOX Workspace erstellt auf dem Gerät einen separaten geschäftlichen Bereich, sodass geschäftliche und private Daten und Apps voneinander getrennt bleiben.
Die Android-Aktivierungsarten sind in den folgenden Tabellen enthalten:
• Android-Geräte
• Android for Work-Geräte
• Samsung KNOX Workspace
Android-Geräte
Die folgenden Aktivierungsarten gelten für alle Android-Geräte, einschließlich PRIV.
Aktivierungsart Beschreibung
MDM-Steuerelemente Diese Aktivierungsart ermöglicht die Verwaltung des Geräts über Befehle und IT-Richtlinienregeln. Wenn ein Gerät KNOX MDM unterstützt, wendet diese Aktivierungsart die KNOX MDM IT-Richtlinienregeln an. Es wird kein separater geschäftlicher Bereich auf dem Gerät erzeugt, und es gibt keine zusätzliche Sicherheit für geschäftliche Daten.
Um ein E-Mail-Profil automatisch auf ein Android-Gerät anzuwenden, das mit MDM-Steuerelemente aktiviert ist, muss auf dem Gerät die TouchDown-App installiert sein.
Während der Aktivierung müssen Benutzer dem BES12 Client Administratorberechtigungen erteilen.
Datenschutz für Benutzer Sie können die Datenschutz für Benutzer-Aktivierungsart verwenden, um die grundlegende Steuerung von Geräten zu ermöglichen, und gleichzeitig sicherstellen, dass die persönlichen Daten des Benutzers privat bleiben. Mit dieser Aktivierungsart wird kein separater Container auf dem Gerät installiert, und es ist keine zusätzliche Sicherheit für geschäftliche Daten vorhanden. Mit Datenschutz für Benutzer aktivierte Geräte sind auf BES12 aktiviert und können Dienste wie Find my Phone und Root Detection nutzen. Administratoren können jedoch keine Geräterichtlinien steuern.
Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
Bei dieser Aktivierungsart wird Secure Work Space verwendet, sodass Sie die Möglichkeit erhalten, das gesamte Gerät mithilfe von Befehlen und IT-Richtlinienregeln zu verwalten. Wenn ein Gerät KNOX MDM unterstützt, werden die KNOX MDM IT-Richtlinienregeln angewendet. Die Aktivierungsart erstellt einen separaten geschäftlichen Bereich, und der Benutzer muss ein Kennwort einrichten,
Geräteaktivierung
295
Aktivierungsart Beschreibung
um auf diesen zuzugreifen. Daten im geschäftlichen Bereich werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Während der Aktivierung müssen Benutzer dem BES12 Client Administratorberechtigungen erteilen.
Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Die Aktivierungsart verwendet Secure Work Space und bietet Datenschutz für persönliche Daten, ermöglicht Ihnen jedoch die Verwaltung geschäftlicher Daten mit Befehlen und IT-Richtlinienregeln. Diese Aktivierungsart unterstützt die KNOX MDM IT-Richtlinienregeln nicht. Die Aktivierungsart erstellt einen separaten geschäftlichen Bereich, und der Benutzer muss ein Kennwort einrichten, um auf diesen zuzugreifen. Daten im geschäftlichen Bereich werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Die Benutzer müssen dem BES12 Client keine Administratorberechtigungen erteilen.
Strong Authentication by BlackBerry Diese Aktivierungsart unterstützt die Strong Authentication-Lösung für Geräte, die nicht von BES12 verwaltet werden. Diese Aktivierungsart bietet keine Geräteverwaltung oder Steuerelemente, gestattet Geräten jedoch, die Strong Authentication-Funktion zu verwenden. Um diese Aktivierungsart zu verwenden, müssen Sie Benutzern zudem das Strong Authentication-Profil zuweisen.
Wenn ein Gerät aktiviert ist, können Sie begrenzte Geräteinformationen in der Verwaltungskonsole anzeigen. Außerdem können Sie das Gerät über einen Befehl deaktivieren.
Diese Aktivierungsart wird nur für Microsoft Active Directory-Benutzer unterstützt.
Weitere Informationen finden Sie in der Dokumentation zu Strong Authentication von BlackBerry.
Android for Work-Geräte
Die folgenden Aktivierungsarten gelten nur für Android-Geräte, die Android for Work unterstützen, einschließlich PRIV.
Aktivierungsart Beschreibung
Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
Diese Aktivierungsart bietet Datenschutz für persönliche Daten, ermöglicht Ihnen jedoch die Verwaltung geschäftlicher Daten mit Befehlen und IT-Richtlinienregeln. Diese Aktivierungsart erstellt ein geschäftliches Profil auf dem Gerät, durch das geschäftliche und persönliche Daten voneinander getrennt werden. Sowohl geschäftliche als auch persönliche Daten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Diese Aktivierungsart unterstütztBlackBerry Secure Connect Plusnicht.
Geräteaktivierung
296
Aktivierungsart Beschreibung
Die Benutzer müssen dem BES12 Client keine Administratorberechtigungen erteilen.
Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
Diese Aktivierungsart bietet Datenschutz für persönliche Daten, ermöglicht Ihnen jedoch die Verwaltung geschäftlicher Daten mit Befehlen und IT-Richtlinienregeln. Diese Aktivierungsart erstellt ein geschäftliches Profil auf dem Gerät, durch das geschäftliche und persönliche Daten voneinander getrennt werden. Sowohl geschäftliche als auch persönliche Daten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Die Benutzer müssen dem BES12 Client keine Administratorberechtigungen erteilen.
Sie müssen diese Aktivierungsart verwenden, wenn Sie BlackBerry Secure Connect Plus mit den Funktionen der Aktivierungsart Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work) unterstützen möchten.
Nur geschäftlicher Bereich (Android for Work)
Wenn Sie einem Benutzer diese Aktivierungsart zuweisen, müssen Sie auch die Aktivierungs-E-Mail-Vorlage Nur geschäftlicher Bereich (Android for Work) dem Benutzer zuweisen. Durch das Zuweisen dieser Vorlage ist sichergestellt, dass der Benutzer den Google-Aktivierungscode erhält, der zur Aktivierung erforderlich ist.
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts über Befehle und IT-Richtlinienregeln. Bei dieser Aktivierungsart muss der Benutzer das Gerät vor der Aktivierung auf die Werkseinstellungen zurücksetzen. Es wird ein geschäftliches Profil und kein persönliches Profil installiert. Der Benutzer muss ein Kennwort für den Zugriff auf das Gerät erstellen. Alle Daten auf dem Gerät werden durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise ein Kennwort, geschützt.
Diese Aktivierungsart unterstütztBlackBerry Secure Connect Plusnicht.
Während der Aktivierung installiert das Gerät BES12 Client automatisch und gewährt Administratorberechtigungen. Benutzer können die Administratorberechtigungen nicht aufheben oder die App deinstallieren.
Nur geschäftlicher Bereich (Android for Work – Premium)
Wenn Sie einem Benutzer diese Aktivierungsart zuweisen, müssen Sie auch die Aktivierungs-E-Mail-Vorlage Nur geschäftlicher Bereich (Android for Work) dem Benutzer zuweisen. Durch das Zuweisen dieser Vorlage ist sichergestellt, dass der Benutzer den Google-Aktivierungscode erhält, der zur Aktivierung erforderlich ist.
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts über Befehle und IT-Richtlinienregeln. Bei dieser Aktivierungsart muss der Benutzer das Gerät vor der Aktivierung auf die Werkseinstellungen zurücksetzen. Es wird ein geschäftliches Profil und kein persönliches Profil installiert. Der Benutzer muss ein Kennwort für den Zugriff auf das Gerät erstellen. Alle Daten auf dem Gerät werden
Geräteaktivierung
297
Aktivierungsart Beschreibung
durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise ein Kennwort, geschützt.
Während der Aktivierung installiert das Gerät BES12 Client automatisch und gewährt Administratorberechtigungen. Benutzer können die Administratorberechtigungen nicht aufheben oder die App deinstallieren.
Sie müssen diese Aktivierungsart verwenden, wenn Sie BlackBerry Secure Connect Plus mit den Funktionen der Aktivierungsart Nur geschäftlicher Bereich (Android for Work) unterstützen möchten.
Samsung KNOX Workspace-Geräte
Die folgenden Aktivierungsarten gelten nur für Samsung-Geräte, die KNOX Workspace unterstützen.
Aktivierungsart Beschreibung
Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts über Befehle und die KNOX MDM- sowie KNOX Workspace IT-Richtlinienregeln. Die Aktivierungsart erstellt einen separaten geschäftlichen Bereich, und der Benutzer muss ein Kennwort einrichten, um auf diesen zuzugreifen. Daten im geschäftlichen Bereich werden durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt.
Während der Aktivierung müssen Benutzer dem BES12 Client Administratorberechtigungen erteilen.
Geschäftlich und persönlich – Benutzer-Datenschutz – (Samsung KNOX)
Diese Aktivierungsart bietet Datenschutz für persönliche Daten, ermöglicht Ihnen jedoch die Verwaltung geschäftlicher Daten mit Befehlen und IT-Richtlinienregeln. Diese Aktivierungsart unterstützt die KNOX MDM IT-Richtlinienregeln nicht. Die Aktivierungsart erstellt einen separaten geschäftlichen Bereich, und der Benutzer muss ein Kennwort einrichten, um auf diesen zuzugreifen. Daten im geschäftlichen Bereich werden durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt. Der Benutzer muss außerdem ein Kennwort für die Bildschirmsperre erstellen, um das gesamte Gerät zu schützen, und wird den USB-Fehlerbehebungsmodus nicht nutzen können.
Während der Aktivierung müssen Benutzer dem BES12 Client Administratorberechtigungen erteilen.
Nur geschäftlicher Bereich – (Samsung KNOX)
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts über Befehle und die KNOX MDM- sowie KNOX Workspace IT-Richtlinienregeln. Diese Aktivierungsart entfernt den persönlichen Bereich und installiert einen geschäftlichen Bereich. Der Benutzer muss ein Kennwort für den Zugriff auf das
Geräteaktivierung
298
Aktivierungsart Beschreibung
Gerät erstellen. Alle Daten auf dem Gerät werden durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt.
Während der Aktivierung müssen Benutzer dem BES12 Client Administratorberechtigungen erteilen.
Aktivierungsarten: Windows-GeräteAktivierungsart Beschreibung
MDM-Steuerelemente Diese Aktivierungsart ermöglicht eine grundlegende Geräteverwaltung über die Gerätesteuerelemente, die zur Verfügung gestellt werden vonWindows 10, Windows 10 Mobile, und Windows Phone-eigene Optionen zur Verfügung. Es wird kein separater geschäftlicher Bereich auf dem Gerät installiert, und es gibt keine zusätzliche Sicherheit für geschäftliche Daten.
Sie können das Gerät mithilfe von Befehlen und IT-Richtlinien steuern. Windows Phone-Benutzer müssen zum Aktivieren eines Geräts BES12 Client installieren. Benutzer von Windows 10 und Windows 10 Mobile aktivieren Geräte über die Windows 10-App für den geschäftlichen Zugriff.
Erstellen eines Aktivierungsprofils1. Klicken Sie in der Menüleiste auf Richtlinien und Profile.
2. Klicken Sie auf neben Aktivierung.
3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
4. Im Feld Anzahl der Geräte, die ein Benutzer aktivieren kann geben Sie die maximale Anzahl von Geräten ein, die der Benutzer aktivieren kann.
5. Führen Sie in der Dropdown-Liste Geräteigentümer eine der folgenden Aktionen aus:
• Wenn einige Benutzer persönliche Geräte und einige Benutzer geschäftliche Geräte aktivieren, wählen Sie Nicht angegeben aus.
• Wenn Benutzer in der Regel geschäftliche Geräte aktivieren, wählen Sie Geschäftlich aus.
• Wenn Benutzer in der Regel persönliche Geräte aktivieren, wählen Sie Persönlich aus.
6. Wählen Sie optional einen Organisationshinweis in der Dropdown-Liste Organisationshinweis zuweisen aus. Wenn Sie einen Organisationshinweis zuordnen, müssen Benutzer, die BlackBerry 10-, Windows 10-, iOS oder OS X-Geräte aktivieren möchten, die Mitteilung akzeptieren, um den Aktivierungsvorgang abzuschließen.
Geräteaktivierung
299
7. Aktivieren Sie im Abschnitt Gerätetypen, die Benutzer aktivieren können nach Bedarf die Gerätetypen. Gerätetypen, die Sie nicht auswählen, werden im Aktivierungsprofil nicht berücksichtigt, und Benutzer können diese Geräte nicht aktivieren.
8. Führen Sie die folgenden Aktionen für jeden Gerätetyp durch, der im Aktivierungsprofil enthalten ist:
• Klicken Sie auf die Registerkarte für den Gerätetyp.
• Wählen Sie auf der Registerkarte Windows eine oder beide Formfaktor-Optionen, und wählen Sie, ob diese Formfaktoren in der Dropdown-Liste Gerätemodell-Einschränkungen aufgeführt werden sollen.
• Wählen Sie in der Dropdown-Liste Gerätemodell-Einschränkungen aus, ob bestimmte Geräte zugelassen oder eingeschränkt werden sollen oder ob keine Einschränkungen bestehen. Klicken Sie auf Bearbeiten, um die gewünschten Geräte auszuwählen, die Sie einschränken oder erlauben möchten, und klicken Sie auf Speichern.
• Wählen Sie in der Dropdown-Liste Zugelassene Version die Version aus, die als Mindestanforderung zugelassen ist.
• Wählen Sie im Abschnitt Aktivierungsart eine Aktivierungsart aus.
◦ Für Android-Geräte können Sie mehrere Aktivierungsarten auswählen und sie nach Rangordnung einstufen, damit sie die Anforderungen Ihres Unternehmens erfüllen.
◦ Wenn Sie für iOS-Geräte die Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz“ oder „Datenschutz für Benutzer“ auswählen und Sie die SIM-basierte Lizenzierung aktivieren möchten, müssen Sie das Kontrollkästchen Zugriff auf SIM-Karten- und Hardwareinformationen zulassen, um die SIM-basierte Lizenzierung zu aktivieren auswählen.
9. Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind: Legen Sie ggf. eine Rangfolge für die Profile fest.
Verwandte InformationenZuweisen eines Profils zu einer Benutzergruppe, auf Seite 246Zuweisen eines Profils zu einem Benutzerkonto, auf Seite 269
Einrichten eines Aktivierungskennworts und Senden einer Aktivierungs-E-Mail-NachrichtSie können ein Aktivierungskennwort einrichten und einem Benutzer eine Aktivierungs-E-Mail mit den erforderlichen Informationen für die Aktivierung von Geräten senden.
Die E-Mail wird von der E-Mail-Adresse gesendet, die Sie in den SMTP-Servereinstellungen konfiguriert haben.
Bevor Sie beginnen: Erstellen einer Vorlage für Aktivierungs-E-Mail-eigene Optionen zur Verfügung.
1. Klicken Sie in der Menüleiste auf Benutzer > Verwaltete Geräte.
Geräteaktivierung
300
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie im Bereich „Aktivierungsdetails“ auf Aktivierungskennwort festlegen.
5. Führen Sie im Fenster Geräteaktivierungskennwort festlegen eine der folgenden Aktionen aus:
Aufgabe Schritte
Generieren Sie automatisch ein Aktivierungskennwort für den Benutzer, und senden Sie eine Aktivierungs-E-Mail.
1. Aktivieren Sie die Option Automatisch ein Geräteaktivierungskennwort generieren und eine E-Mail mit Aktivierungsanweisungen senden.
2. Legen Sie im Feld Ablauf des Aktivierungszeitraums die Anzahl der Minuten, Stunden oder Tage fest, innerhalb derer ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann.
3. Klicken Sie in der Dropdown-Liste Vorlage für Aktivierungs-E-Mails auf eine Vorlage für die Aktivierungs-E-Mail.
Definieren eines Kennworts für den Benutzer und optionales Senden einer Aktivierungs-E-Mail
1. Aktivieren Sie die Option Geräteaktivierungskennwort festlegen.
2. Geben Sie ein Aktivierungskennwort ein.
3. Legen Sie im Feld Ablauf des Aktivierungszeitraums die Anzahl der Minuten, Stunden oder Tage fest, innerhalb derer ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann.
4. Führen Sie eine der folgenden Aktionen aus:
a Um die Aktivierungsanweisungen an den Benutzer zu senden, klicken Sie in der Dropdown-Liste Aktivierungs-E-Mail-Vorlage auf eine Vorlage zur Verwendung für die Aktivierungs-E-Mail.
b Wenn Sie keine Aktivierungsanweisungen an den Benutzer senden möchten, deaktivieren Sie das Kontrollkästchen E-Mail mit Aktivierungsanweisungen und Aktivierungskennwort senden. Sie müssen das Aktivierungskennwort dem Benutzer mitteilen.
6. Klicken Sie auf Speichern.
Senden einer Aktivierungs-E-Mail an mehrere BenutzerSie können Aktivierungs-E-Mail-Nachrichten an mehrere Benutzer gleichzeitig senden. Wenn Sie eine Aktivierungs-E-Mail an mehrere Benutzer senden, wird das Aktivierungskennwort automatisch generiert. Informationen zum Einrichten eines
Geräteaktivierung
301
Aktivierungskennworts finden Sie unter Einrichten eines Aktivierungskennworts und Senden einer Aktivierungs-E-Mail-Nachricht.
Die E-Mail wird von der E-Mail-Adresse gesendet, die Sie in den SMTP-Servereinstellungen konfiguriert haben.
Bevor Sie beginnen: Erstellen einer Vorlage für Aktivierungs-E-Mail-eigene Optionen zur Verfügung.
1. Klicken Sie in der Menüleiste auf Benutzer > Verwaltete Geräte.
2. Aktivieren Sie das Kontrollkästchen für jeden Benutzer, der die Aktivierungs-E-Mail erhalten soll.
3. Klicken Sie auf .
4. Wählen Sie eine der folgenden Optionen aus:
Option Bezeichnung
Kennwort für die Geräteaktivierung generieren
1. Aktivieren Sie die Option Automatisch ein Geräteaktivierungskennwort generieren und eine E-Mail mit Aktivierungsanweisungen senden.
2. Legen Sie im Feld Ablauf des Aktivierungszeitraums die Anzahl der Minuten, Stunden oder Tage fest, innerhalb derer Benutzer Geräte vor Ablauf des Aktivierungskennworts aktivieren können.
3. Klicken Sie in der Dropdown-Liste Vorlage für Aktivierungs-E-Mails auf eine Vorlage für die Aktivierungs-E-Mail.
Good Dynamics-Zugriffsschlüssel generieren
1. Aktivieren Sie die Option Good Dynamics-Zugriffsschlüssel automatisch generieren und eine E-Mail mit Anweisungen senden.
2. Wählen Sie in der Dropdown-Liste Anzahl der zu generierenden Zugriffsschlüssel die Anzahl der Zugriffsschlüssel aus, die für den Benutzer erstellt werden soll.
5. Klicken Sie auf Senden.
Zulassen, dass Benutzer Aktivierungskennwörter festlegen in BES12 Self-ServiceSie können zulassen, dass Benutzer mit BlackBerry 10-, iOS-, Android- und Windows-Geräten ihre eigenen Aktivierungskennwörter über BES12 Self-Service erstellen.
Hinweis: Bei Geräten mit BlackBerry OS (Version 5.0 bis 7.1) können Benutzer Aktivierungskennwörter über BlackBerry Web Desktop Manager erstellen.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Self-Service.
2. Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist.
Geräteaktivierung
302
3. Aktivieren Sie Benutzern die Geräteaktivierung in der Selbstbedienungskonsole gestatten, und führen Sie die folgenden Aufgaben aus:
a. Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann.
b. Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind.
c. Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter erforderliche Komplexität aus.
4. Klicken Sie auf Speichern.
Aktivieren eines BlackBerry 10-GerätsSenden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
1. Navigieren Sie auf dem Gerät zu Einstellungen.
2. Tippen Sie auf Konten.
3. Wenn Sie auf diesem Gerät über vorhandene Konten verfügen, tippen Sie auf Konto hinzufügen. Andernfalls fahren Sie mit Schritt 4 fort.
4. Tippen Sie auf E-Mail, Kalender und Kontakte.
5. Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und tippen Sie auf Weiter.
6. Geben Sie im Feld Kennwort das empfangene Aktivierungskennwort ein. Tippen Sie auf Weiter.
7. Wenn Sie anhand einer Warnmeldung informiert werden, dass Ihr Gerät die Verbindungsinformationen nicht finden konnte, führen Sie die folgenden Schritte aus:
a. Tippen Sie auf Erweitert.
b. Tippen Sie auf Geschäftliches Konto.
c. Geben Sie im Feld Serveradresse die Adresse des Servers ein. Die Serveradresse finden Sie entweder in der Aktivierungs-E-Mail, die Ihnen zugesendet wurde, oder im BES12 Self-Service.
d. Tippen Sie auf Fertig.
8. Folgen Sie den Anweisungen auf dem Bildschirm, um den Aktivierungsprozess abzuschließen.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Navigieren Sie auf dem Gerät zum BlackBerry Hub, und bestätigen Sie, dass die E-Mail-Adresse vorhanden ist. Navigieren Sie zum Kalender, und bestätigen Sie, dass die Kalendertermine vorhanden sind.
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Geräteaktivierung
303
Aktivieren eines BlackBerry OS-GerätsSenden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
1. Navigieren Sie auf dem Gerät zu Setup.
2. Klicken Sie auf E-Mail-Konten.
3. Klicken Sie auf Enterprise-Konto.
4. Geben Sie im Feld E-Mail Ihre geschäftliche E-Mail-Adresse ein.
5. Geben Sie im Feld Kennwort das empfangene Aktivierungskennwort ein.
6. Klicken Sie auf Aktivieren.
7. Klicken Sie auf OK.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Navigieren Sie auf dem Gerät zur Setup-App, und klicken Sie auf E-Mail-Konten. Bestätigen Sie, dass die E-Mail-Adresse vorhanden ist.
• Überprüfen Sie in BlackBerry Web Desktop Manager, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren eines iOS-GerätsHinweis: Die folgenden Schritte gelten für ein Gerät, dem die Aktivierungsart „MDM-Steuerelemente“ zugewiesen ist. Bei Aktivierungsarten, mit denen ein geschäftlicher Bereich auf Geräten installiert oder aktiviert wird, können zusätzliche Schritte erforderlich sein.
Senden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
1. Installieren Sie die Good for BES12-App auf dem Gerät. Sie können die Good for BES12-App aus dem App Store herunterladen.
2. Tippen Sie auf dem Gerät auf BES12.
3. Lesen Sie die Lizenzvereinbarung, und tippen Sie auf Ich stimme zu.
4. Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und tippen Sie auf Start.
5. Geben Sie ggf. die Serveradresse ein, und tippen Sie auf Start. Die Serveradresse finden Sie entweder in der Aktivierungs-E-Mail-Nachricht, die Ihnen zugesendet wurde, oder in BES12 Self-Service.
Geräteaktivierung
304
6. Bestätigen Sie, dass die auf dem Gerät angezeigten Zertifikatsdaten korrekt sind, und tippen Sie auf Annehmen. Falls Sie die Zertifikatsdaten von Ihrem Administrator separat erhalten haben, können Sie die angezeigten Informationen mit den Informationen vergleichen, die Sie erhalten haben.
7. Geben Sie Ihr Aktivierungskennwort ein, und tippen Sie auf Mein Gerät aktivieren.
8. Tippen Sie auf OK, um das erforderliche Zertifikat zu installieren.
9. Folgen Sie den Anweisungen auf dem Bildschirm, um die Aktivierung abzuschließen.
10. Wenn Sie aufgefordert werden, das Kennwort für Ihr E-Mail-Konto oder das Kennwort für Ihr Gerät einzugeben, folgen Sie den Anweisungen auf dem Bildschirm.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Öffnen Sie die Good for BES12-App auf dem Gerät, und tippen Sie auf Info. Überprüfen Sie im Abschnitt „Aktiviertes Gerät“ und „Kompatibilitätsstatus“, ob die Geräteinformationen und der Aktivierungszeitstempel vorhanden sind.
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren eines OS X-GerätsSenden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
Bevor Sie beginnen: Folgende BES12 Self-Service-Anmeldeinformationen sind erforderlich:
• Webadresse für BES12 Self-Service
• Benutzername und Kennwort
• Domänenname
1. Melden Sie sich mit dem zu aktivierenden Gerät und den Anmeldeinformationen, die Sie von Ihrem Administrator erhalten haben, bei BES12 Self-Service an.
2. Wenn bereits Geräte angezeigt werden, klicken Sie auf Gerät aktivieren.
3. Klicken Sie im Dropdown-Menü „Gerät“ auf OS X.
4. Schauen Sie sich die Aktivierungsanleitung an.
5. Klicken Sie auf Senden.
6. Befolgen Sie die Anweisungen zum Installieren der erforderlichen Profile und zum Abschließen der Aktivierung des Geräts. Wenn die Aktivierung abgeschlossen ist, wird Ihr Gerät in BES12 Self-Service angezeigt.
Geräteaktivierung
305
Aktivieren eines Android-GerätsSenden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
Hinweis: Diese Schritte gelten für Geräte, denen die MDM-Steuerelemente-Aktivierungsart zugewiesen ist. Bei Aktivierungsarten, mit denen ein geschäftlicher Bereich auf Geräten installiert oder aktiviert wird, können zusätzliche Schritte erforderlich sein.
1. Installieren Sie BES12 Client auf dem Gerät. Sie können BES12 Client aus dem Google Play herunterladen.
2. Tippen Sie auf dem Gerät auf BES12.
3. Lesen Sie die Lizenzvereinbarung, und tippen Sie auf Ich stimme zu.
4. Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und tippen Sie auf Weiter.
5. Geben Sie ggf. die Serveradresse ein, und tippen Sie auf Weiter. Die Serveradresse finden Sie entweder in der Aktivierungs-E-Mail-Nachricht, die Ihnen zugesendet wurde, oder in BES12 Self-Service.
6. Bestätigen Sie, dass die auf dem Gerät angezeigten Zertifikatsdaten korrekt sind, und tippen Sie auf Annehmen. Falls Sie die Zertifikatsdaten von Ihrem Administrator separat erhalten haben, können Sie die angezeigten Informationen mit den Informationen vergleichen, die Sie erhalten haben.
7. Geben Sie Ihr Aktivierungskennwort ein, und tippen Sie auf Mein Gerät aktivieren.
8. Tippen Sie auf Weiter.
9. Tippen Sie auf Aktivieren.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Öffnen Sie den BES12 Client auf dem Gerät, und tippen Sie auf Info. Überprüfen Sie im Abschnitt für das aktivierte Gerät, dass die Geräteinformationen und der Aktivierungszeitstempel vorhanden sind.
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren eines Windows Phone-GerätsSenden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
1. Installieren Sie BES12 Client auf dem Gerät. Sie können BES12 Client aus dem Windows Phone Store herunterladen.
2. Öffnen Sie auf dem Gerät die App-Liste, und tippen Sie auf BES12.
3. Lesen Sie die Lizenzvereinbarung, und tippen Sie auf Ich stimme zu.
4. Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und tippen Sie auf Weiter.
Geräteaktivierung
306
5. Geben Sie ggf. die Serveradresse ein, und tippen Sie auf Weiter. Die Serveradresse finden Sie entweder in der Aktivierungs-E-Mail-Nachricht, die Ihnen zugesendet wurde, oder in BES12 Self-Service.
6. Geben Sie das Aktivierungskennwort, das Sie in der Aktivierungs-E-Mail-Nachricht erhalten haben oder das Sie in BES12 Self-Service festgelegt haben, und tippen Sie auf Mein Gerät aktivieren.
7. Tippen Sie auf Kopieren und fortfahren, um die angezeigte Serveradresse zu kopieren und mit der Windows Phone Workplace-App fortzufahren.
8. Tippen Sie auf Konto hinzufügen.
9. Geben Sie Ihre E-Mail-Adresse ein, und tippen Sie auf Anmelden.
10. Tippen Sie mit dem Cursor im Feld „Server“ auf das Symbol Einfügen.
11. Tippen Sie auf Anmelden.
12. Sollten Sie eine Warnung wegen eines Zertifikats erhalten, tippen Sie auf Fortfahren.
13. Lassen Sie die Felder „Benutzername“ und „Domäne“ leer. Geben Sie im Feld „Kennwort“ das Aktivierungskennwort ein, das Sie in der Aktivierungs-E-Mail-Nachricht erhalten haben oder das Sie in BES12 Self-Service festgelegt haben. Tippen Sie auf Anmelden.
14. Tippen Sie auf Fertig.
15. Drücken Sie auf die Taste Zurück an Ihrem Windows Phone, um zum BES12 Client zurückzukehren.
16. Die Aktivierung wird automatisch abgeschlossen.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Öffnen Sie auf dem Gerät den BES12 Client, tippen Sie unten rechts auf das Symbol Menü (drei horizontale Punkte), und tippen anschließend auf Info. Überprüfen Sie im Abschnitt für das aktivierte Gerät, dass die Geräteinformationen und der Aktivierungszeitstempel vorhanden sind.
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren eines Windows 10 Mobile-GerätsSie können sich ein Video des Windows 10-Aktivierungsprozesses hier ansehen.
Senden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
1. Zur Aktivierung Ihres Windows 10 Mobile-Geräts auf BES12 müssen Sie ein Zertifikat auf Ihrem Gerät installieren. Sie finden einen Link auf das Zertifikat in der Aktivierungs-E-Mail. Wenn Sie keinen Link zum Zertifikat erhalten haben, bitten Sie Ihren Administrator um Unterstützung. Öffnen Sie Ihren Posteingang mithilfe der Microsoft Outlook-App oder mit Ihrem Online-E-Mail-Service im Browser.
2. Tippen Sie in Ihrem Posteingang auf die Aktivierungs-E-Mail, die Sie von Ihrem Administrator erhalten haben.
Geräteaktivierung
307
3. Tippen Sie auf den Link zur Zertifikatserveradresse.
4. Tippen Sie auf das Zertifikat.
5. Tippen Sie auf Installieren.
6. Tippen Sie auf ok.
7. Tippen Sie auf die Schaltfläche Windows, um zum Startmenü zurückzukehren.
8. Streichen Sie nach links, um das App-Menü zu öffnen.
9. Tippen Sie im App-Menü auf Einstellungen.
10. Tippen Sie auf Konten.
11. Tippen Sie auf Geschäftlicher Zugriff.
12. Tippen Sie auf Verbinden.
13. Geben Sie in das Feld E-Mail-Adresse Ihre geschäftliche E-Mail-Adresse ein, und tippen Sie auf Enter
14. Wenn Sie nach Ihrer Serveradresse gefragt werden, geben Sie in das Feld Server Ihre Serveradresse oder Aktivierungs-URL ein, und tippen Sie auf die Pfeiltaste. Sie finden Ihre Serveradresse oder Aktivierungs-URL in der Aktivierungs-E-Mail, die Sie von Ihrem Administrator oder im BES12 Self-Service erhalten haben, wenn Sie Ihr Aktivierungskennwort einstellen.
15. Geben Sie im Feld Aktivierungskennwort Ihr Aktivierungskennwort ein, und tippen Sie auf Weiter. Sie finden Ihr Aktivierungskennwort in der Aktivierungs-E-Mail, die Sie von Ihrem Administrator erhalten haben, oder Sie können Ihr eigenes Kennwort mit dem BES12 Self-Service einrichten.
16. Tippen Sie auf Fertig.
17. Der Aktivierungsprozess ist abgeschlossen.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Öffnen Sie auf dem Gerät die App „Geschäftlicher Zugriff“, und vergewissern Sie sich, dass Ihr Konto aufgeführt ist. Tippen Sie auf Ihr Konto, und wählen Sie „Info“. Prüfen Sie den Synchronisierungsstatus, um sicherzustellen, dass Ihr Gerät mit BES12 verbunden ist.
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren eines Windows 10-GerätsHinweis: Wenn Sie Windows 10-Geräte mithilfe von MDM verwalten möchten, ist eine Verwaltung der Geräte über Microsoft System Center Configuration Manager nicht möglich.
Sie können sich ein Video des Windows 10-Aktivierungsprozesses hier ansehen.
Senden Sie die folgenden Aktivierungsanweisungen an den Gerätebenutzer.
Geräteaktivierung
308
1. Um Ihr Windows 10-Tablet oder Ihren Computer auf BES12 zu aktivieren, müssen Sie ein Zertifikat installieren. Sie finden einen Link auf das Zertifikat in der Aktivierungs-E-Mail. Wenn Sie keinen Link zum Zertifikat erhalten haben, bitten Sie Ihren Administrator um Unterstützung. Öffnen Sie Ihren Posteingang mithilfe der App Microsoft Outlook oder mit Ihrem Online-E-Mail-Service im Browser.
2. Tippen Sie in Ihrem Posteingang auf die Aktivierungs-E-Mail, die Sie von Ihrem Administrator erhalten haben.
3. Tippen Sie auf den Link zur Zertifikatserveradresse.
4. Tippen Sie in der Download-Benachrichtigung für das Zertifikat auf Öffnen.
5. Tippen Sie auf Zertifikat installieren.
6. Wählen Sie die Option aktueller Benutzer. Tippen Sie auf Weiter.
7. Wählen Sie die Option Alle Zertifikate im folgenden Speicher ablegen. Tippen Sie auf Durchsuchen.
8. Wählen Sie Vertrauenswürdige Stammzertifizierungsstellen. Tippen Sie auf OK.
9. Tippen Sie auf Weiter.
10. Tippen Sie auf Fertigstellen.
11. Tippen Sie auf Ja.
12. Tippen Sie auf OK.
13. Tippen Sie auf die Schaltfläche Start.
14. Tippen Sie auf Einstellungen.
15. Tippen Sie auf Konten.
16. Tippen Sie auf Geschäftlicher Zugriff.
17. Tippen Sie auf Verbinden.
18. Geben Sie in das Feld E-Mail-Adresse Ihre E-Mail-Adresse ein. Tippen Sie auf Fortfahren.
19. Wenn Sie nach Ihrer Serveradresse gefragt werden, geben Sie in das Feld Server Ihre Serveradresse oder Aktivierungs-URL ein, und tippen Sie auf Weiter. Sie finden Ihre Serveradresse oder Aktivierungs-URL in der Aktivierungs-E-Mail, die Sie von Ihrem Administrator oder im BES12 Self-Service erhalten haben, wenn Sie Ihr Aktivierungskennwort einstellen.
20. Geben Sie im Feld Aktivierungskennwort Ihr Aktivierungskennwort ein, und tippen Sie auf Weiter. Sie finden Ihr Aktivierungskennwort in der Aktivierungs-E-Mail, die Sie von Ihrem Administrator erhalten haben, oder Sie können Ihr eigenes Kennwort mit dem BES12 Self-Service einrichten.
21. Tippen Sie auf Fertig.
22. Der Aktivierungsprozess ist abgeschlossen.
Wenn Sie fertig sind: Um zu überprüfen, ob der Aktivierungsprozess erfolgreich abgeschlossen wurde, führen Sie eine der folgenden Aktionen aus:
• Öffnen Sie auf dem Gerät die App „Geschäftlicher Zugriff“, und vergewissern Sie sich, dass Ihr Konto aufgeführt ist. Tippen Sie auf Ihr Konto, und wählen Sie „Info“. Prüfen Sie den Synchronisierungsstatus, um sicherzustellen, dass Ihr Gerät mit BES12 verbunden ist.
Geräteaktivierung
309
• Überprüfen Sie in BES12 Self-Service, ob Ihr Gerät als aktiviertes Gerät aufgeführt ist. Nachdem Sie das Gerät aktiviert haben, kann es bis zu zwei Minuten dauern, bis der Status aktualisiert wird.
Aktivieren von mehreren Geräten mit KNOX Mobile EnrollmentSamsung KNOX Mobile Enrollment ermöglicht Ihnen die gleichzeitige Aktivierung einer großen Anzahl von Geräten in BES12. Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knox-mobile-enrollment.
Bevor Sie beginnen: Sie müssen die Geräte von einer der folgenden Quellen erwerben:
• einem zertifizierten Vertriebspartner
• einem Vertriebspartner, der die IMEI der Geräte direkt mit Samsung teilt
1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration.
2. Klicken Sie auf KNOX Mobile Enrollment.
3. Folgen Sie den Schritten auf dem Bildschirm.
Aktivieren von BlackBerry 10-Geräten mithilfe von BlackBerry Wired Activation ToolDas BlackBerry Wired Activation Tool ermöglicht die gleichzeitige Aktivierung mehrerer BlackBerry 10-Geräte unter Verwendung von USB-Verbindungen anstelle von drahtlosen Verbindungen. Die Verwendung dieser Methode kann aus verschiedenen Gründen gewünscht sein:
• Schnelle und einfache Aktivierung mehrerer Geräte gleichzeitig
• Beschränkung der Durchführung von Aktivierungen auf die Obhut von Administratoren
• Aktivieren von Geräten und Konfigurieren von Sicherheitsfunktionen (beispielsweise Anforderungen für die Inhaltsverschlüsselung und VPN-Profile), bevor die Geräte an Benutzer ausgehändigt bzw. mit dem Netzwerk des Unternehmens verbunden werden
Sie können keine Profile und Richtlinien mit dem BlackBerry Wired Activation Tool zuweisen. Profile und Richtlinien müssen Benutzern in der BES12-Verwaltungskonsole vor dem Zuweisen und Aktivieren von Geräten mit dem BlackBerry Wired Activation Tool zugewiesen werden. Allerdings müssen Sie keine Aktivierungskennwörter zum Zuweisen und Aktivieren von Geräten mit dem BlackBerry Wired Activation Tool festlegen.
Zum Aktivieren von Geräten mit dem BlackBerry Wired Activation Tool muss auf diesen BlackBerry 10 OS Version 10.3 oder höher ausgeführt werden.
Geräteaktivierung
310
Installieren des BlackBerry Wired Activation ToolBevor Sie beginnen:
• Microsoft Windows 7 oder höher auf dem Computer installiert
Führen Sie die folgenden Schritte zum Herunterladen und Installieren des BlackBerry Wired Activation Tool durch:
1. Navigieren Sie zu docs.blackberry.com/bes12tools.
2. Klicken Sie in der Dropdown-Liste auf BlackBerry Wired Activation Tool.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Download.
5. Wählen Sie „Ja“ oder „Nein“, und klicken Sie auf Download.
6. Speichern Sie die Installationsdatei auf Ihrem Computer.
7. Wechseln Sie auf Ihrem Computer zu dem Ordner, in dem Sie die Installationsdatei gespeichert haben.
8. Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation durchzuführen.
Konfigurieren Sie das BlackBerry Wired Activation Tool, und melden Sie sich bei einer BES12-Instanz an.Bevor Sie Geräte mit dem BlackBerry Wired Activation Tool aktivieren können, müssen Sie für jede BES12-Instanz, auf die Sie zugreifen müssen, eine Konfiguration erstellen. Nachdem Sie eine Konfiguration erstellt haben, müssen Sie zudem ein Administratorkonto verwenden, damit das BlackBerry Wired Activation Tool auf BlackBerry Web Services zugreifen kann.
1. Doppelklicken Sie im BlackBerry Wired Activation Tool-Installationsordner auf die Datei BWAT.exe.
2. Geben Sie im Bildschirm BES12-Server hinzufügen im Feld Name einen Namen für die Konfiguration ein, die Sie erstellen. Wenn Sie z. B. zwei BES12-Instanzen haben, erstellen Sie für jede eine Konfiguration, und nennen Sie diese „Server 1“ und „Server 2“.
3. Geben Sie im Feld BlackBerry Web Services-URL die Webadresse der BlackBerry Web Services-Komponente ein. Standardmäßig ist die Adresse für BlackBerry Web Services „https://<BES12 web address>:18084“.
Sie können den Port durch Ändern der Einstellung tomcat.bws.port in der BES12-Datenbank wechseln.
4. Geben Sie im Feld BCP-Endpunkt-URL die Adresse für Geräteaktivierungen ein. Diese wird auch als „Aktivierungs-URL“ bzw. „Servername“ bezeichnet. Wenn Sie die Adresse ermitteln möchten, vergewissern Sie sich, dass die Variable %ActivationURL% in der Vorlage für die Aktivierungs-E-Mail vorhanden ist, und klicken Sie in einem beliebigen Benutzer-Zusammenfassungsbildschirm auf Aktivierungs-E-Mail anzeigen.
Falls erforderlich, können Sie auch die Hostadresse und den Port in der BES12-Datenbank nachsehen. Suchen Sie in der Tabelle def_cfg_setting_dfn die Werte id_setting_definition für bdmi.enroll.bcp.host und bdmi.enroll.bcp.port. Verwenden Sie dann die id_setting_definition-Werte zum Ermitteln der Werte dieser Einstellungen in obj_global_cfg_setting.
Geräteaktivierung
311
5. Klicken Sie auf Senden.
6. Wählen Sie im Bildschirm Anmelden eine BES12-Konfiguration aus der Dropdown-Liste aus.
7. Geben Sie im Feld Benutzername den Benutzernamen eines BES12-Benutzerkontos mit Administratorrechten ein.
8. Geben Sie im Feld Kennwort das Kennwort für das Konto ein.
9. Wählen Sie in der Dropdown-Liste Verzeichnis eine Authentifizierungsmethode aus.
10. Geben Sie, falls erforderlich, im Feld Domäne die Microsoft Active Directory-Domäne an.
11. Klicken Sie auf Anmelden.
Aktivieren von BlackBerry 10-Geräten mit dem BlackBerry Wired Activation ToolBevor Sie beginnen:
• Konfigurieren Sie das BlackBerry Wired Activation Tool, und melden Sie sich bei einer BES12-Instanz an.
• Schalten Sie alle verbundenen Geräte ein, und vergewissern Sie sich, dass bei allen Geräten die Ersteinrichtung abgeschlossen oder noch nicht begonnen wurde. Sie können keine Geräte aktivieren, wenn die Ersteinrichtung im Gang ist.
1. Verbinden Sie ein oder mehrere BlackBerry 10-Geräte mit USB-Kabeln mit Ihrem Computer.
2. Überprüfen Sie die Spalte Status für jedes Gerät. Führen Sie eine der folgenden Aktionen aus:
• Wenn in der Spalte „Status“ Kennwort erforderlich angezeigt wird, klicken Sie auf Kennwort erforderlich, um das Kennwort für das Gerät einzugeben.
• Wenn Sie in der Spalte „Status“ Nicht unterstütztes Gerät angezeigt wird, aktualisieren Sie die Gerätesoftware auf BlackBerry 10 OS Version 10.3 oder höher.
• Wenn die Spalte „Status“ Bereit anzeigt wird, weisen Sie das Gerät einem Benutzer zu.
3. Suchen Sie mithilfe des Felds Suchen das Benutzerkonto, dem Sie das Gerät zuweisen möchten.
4. Klicken Sie im Suchergebnis auf das Benutzerkonto.
5. Klicken Sie im Hauptbereich des Bildschirms auf den Namen eines Benutzerkontos, und ziehen Sie den Namen auf ein Gerät, um dieses dem Benutzer zuzuweisen. Wiederholen Sie diesen Schritt, um weitere Geräte Benutzern zuzuweisen.
6. Aktivieren Sie die Kontrollkästchen neben den Benutzer-/Gerätepaaren, die Sie aktivieren möchten.
7. Klicken Sie auf Geräte aktivieren.
Das BlackBerry Wired Activation Tool aktiviert alle ausgewählten Geräte. Prüfen Sie die Spalte „Status“ auf Fortschritt und Ergebnis für die einzelnen Geräte. Wird eine Aktivierung nicht durchgeführt, klicken Sie auf die Meldung in der Spalte „Status“, um weitere Informationen zu Fehlern aufzurufen.
Geräteaktivierung
312
Tipps zur Fehlersuche bei der GeräteaktivierungZur Fehlersuche bei der Aktivierung von Geräten jeden Typs überprüfen Sie stets Folgendes:
• Stellen Sie sicher, dass BES12 den Gerätetyp unterstützt. Informationen zu den unterstützten Gerätetypen finden Sie in der Kompatibilitätsmatrix.
• Vergewissern Sie sich, dass für den Gerätetyp, den der Benutzer aktiviert, und für die dem Benutzer zugewiesene Aktivierungsart Lizenzen verfügbar sind. Weitere Informationenfinden Sie in der Dokumentation zur Lizenzierung.
• Überprüfen Sie die Netzwerkverbindung auf dem Gerät.
◦ Stellen Sie sicher, dass das Mobilfunknetz bzw. das Wi-Fi-Netzwerk aktiv ist und ausreichender Empfang gegeben ist.
◦ Wenn ein Benutzer ein VPN-Profil oder ein geschäftliches Wi-Fi-Profil manuell konfigurieren muss, um auf Inhalte hinter der Firewall Ihres Unternehmens zugreifen zu können, vergewissern Sie sich, dass die Profile auf dem Gerät richtig konfiguriert sind.
◦ Wird das geschäftliche Wi-Fi verwendet, vergewissern Sie sich, dass der Gerätenetzwerkpfad verfügbar ist. Weitere Informationen zum Konfigurieren von Netzwerk-Firewalls für BES12 finden Sie im KB-Artikel 36470 unter http://support.blackberry.com/kb.
• Stellen Sie sicher, dass das zugewiesene Aktivierungsprofil eine Aktivierung des Gerätetyps unterstützt.
• Wenn das Gerät versucht, eine Verbindung mit BES12 oder der BlackBerry Infrastructure über die Firewall des Unternehmens herzustellen, vergewissern Sie sich, dass die richtigen Firewall-Ports geöffnet sind. Weitere Informationen zu den erforderlichen Ports finden Sie in der Dokumentation zu Installation und Upgrade.
• Sammeln Sie Geräteprotokolle:
◦ Informationen zum Abrufen von BlackBerry 10-Geräteprotokolldateien finden Sie im KB-Artikel 26038 unter http://support.blackberry.com/kb.
Hinweis: BlackBerry 10-Geräteprotokolldateien sind verschlüsselt. Zum Verwenden von BlackBerry 10-Geräteprotokolldateien für die Fehlerbehebung benötigen Sie ein offenes Ticket bei BlackBerry Technical Support Services. Nur Support-Mitarbeiter können die Protokolldateien entschlüsseln.
◦ Informationen zum Abrufen von iOS-Geräteprotokolldateien finden Sie im KB-Artikel 36986 unter http://support.blackberry.com/kb.
◦ Informationen zum Abrufen von Android-Geräteprotokolldateien finden Sie im KB-Artikel 32516 unter http://support.blackberry.com/kb.
◦ Informationen zum Abrufen von Windows Phone-Geräteprotokollen finden Sie im KB-Artikel 36984 unter http://support.blackberry.com/kb.
Geräteaktivierung
313
KNOX Workspace und Android for Work
Zur Fehlersuche bei der Aktivierung von Samsung-Geräten mit Samsung KNOX Workspace überprüfen Sie Folgendes:
• Vergewissern Sie sich, dass das Gerät KNOX Workspace unterstützt. Weitere Informationen finden Sie auf der Webseite zu von Samsung KNOX unterstützten Geräten unter https://www.samsungknox.com/en/products/knox-supported-devices/knox-workspace.
• Vergewissern Sie sich, dass das Garantie-Bit nicht ausgelöst wurde. Weitere Informationen finden Sie im Artikel zu KNOX-Garantie-Bits und deren Auslösung unter https://www.samsungknox.com/en/faq/what-knox-warranty-bit-and-how-it-triggered
• Stellen Sie sicher, dass die KNOX-Containerversion unterstützt wird. KNOX Workspace erfordert KNOXContainer 2.0 oder höher. Weitere Informationen zu unterstützten Samsung KNOX-Versionen finden Sie unter https://www.samsungknox.com/knoxportal/files/GalaxyDevicesSupportingKNOX.pdf.
Zur Fehlersuche bei der Aktivierung von Android for Work-Geräten überprüfen Sie Folgendes:
• Vergewissern Sie sich, dass das Gerät Android for Work unterstützt. Weitere Informationen finden Sie in Artikel 6174145 unter https://support.google.com/work/android/answer/6174145.
• Stellen Sie sicher, dass eine Lizenz verfügbar und die Aktivierungsart auf „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)“ festgelegt ist.
• Zur Verwendung der Aktivierungsart „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)“ muss auf den Geräten Android Version 5.1 (Lollipop) oder höher ausgeführt werden.
• Vergewissern Sie sich, dass für das Benutzerkonto in BES12 die gleiche E-Mail-Adresse konfiguriert ist, wie für das in der Google-Domäne. Wenn die E-Mail-Adressen nicht übereinstimmen, wird auf dem Gerät gemeldet, dass es aufgrund einer nicht unterstützten Aktivierungsart nicht aktiviert werden kann. Suchen Sie in der Core-Protokolldatei nach folgenden Fehlern:
◦ ERROR AfW: Could not find user in Google domain. Aborting user creation and activation.
◦ ERROR job marked for quarantine due to: Unable to activate device - Unsupported activation type
Geräteaktivierung
314
Die Geräteaktivierung kann nicht abgeschlossen werden, da der Server keine Lizenzen hat. Wenden Sie sich bitte an Ihren Administrator.
Beschreibung
Dieser Fehler wird während der Aktivierung auf dem Gerät angezeigt, wenn keine Lizenzen zur Verfügung stehen oder die Lizenzen ausgelaufen sind.
Mögliche Lösung
Führen Sie in BES12 folgende Aktionen aus:
• Überprüfen Sie, ob Lizenzen zur Verfügung stehen, um die Aktivierung zu unterstützen.
• Aktivieren Sie ggf. Lizenzen oder kaufen Sie zusätzliche Lizenzen.
Weitere Informationen finden Sie in der Dokumentation zur Lizenzierung.
Überprüfen Sie Ihren Benutzernamen und Ihr Kennwort, und versuchen Sie es erneut.
Beschreibung
Dieser Fehler wird während der Aktivierung auf einem Gerät angezeigt, wenn der Benutzer einen falschen Benutzernamen, ein falsches Kennwort oder beides eingegeben hat.
Mögliche Lösung
Geben Sie den korrekten Benutzernamen und das korrekte Kennwort ein.
Das Profil konnte nicht installiert werden. Das Zertifikat „AutoMDMCert.pfx“ konnte nicht importiert werden.
Beschreibung
Dieser Fehler wird während der Aktivierung auf einem iOS-Gerät angezeigt, wenn bereits ein Profil auf dem Gerät vorhanden ist.
Geräteaktivierung
315
Mögliche Lösung
Wechseln Sie auf dem Gerät zu Einstellungen > Allgemeine Einstellungen > Profil, und überprüfen Sie, ob bereits ein Profil vorhanden ist. Entfernen Sie das vorhandene Profil, und aktivieren Sie das gewünschte Profil erneut. Wenn der Fehler weiterhin besteht, müssen Sie das Gerät möglicherweise zurücksetzen, da eventuell Daten zwischengespeichert wurden.
Fehler 3007: Server nicht verfügbar
Beschreibung
Dieser Fehler wird auf einem iOS-Gerät während der Aktivierung angezeigt, wenn das Zertifikat, das BES12 zum Signieren des an iOS-Geräte gesendeten MDM-Profils verwendet, von dem Gerät als nicht vertrauenswürdig eingestuft wird. Der Benutzer wird aufgefordert, die Vertrauenswürdigkeit des Zertifikats bei der Aktivierung des Geräts zu bestätigen.
Mögliche Lösung
Installieren Sie das Stammzertifikat für die Zertifizierungsstelle, die das von BES12 verwendete Zertifikat ausgestellt hat, um das MDM-Profil auf dem iOS-Gerät zu signieren.
Weitere Informationen zu diesem Zertifikat finden Sie in der Dokumentation zur Konfiguration.
Serververbindung konnte nicht hergestellt werden, bitte überprüfen Sie die Konnektivität und die Serveradresse
Beschreibung
Dieser Fehler kann aus folgenden Gründen während der Aktivierung auf dem Gerät auftreten:
• Der Benutzername wurde fehlerhaft auf dem Gerät eingegeben.
• Die Kundenadresse für die Geräteaktivierung wurde fehlerhaft auf dem Gerät eingegeben.
Hinweis: Dies ist nur erforderlich, wenn die Registrierung bei der BlackBerry Infrastructure deaktiviert wurde.
• Es wurde kein Aktivierungskennwort gesetzt, oder das Kennwort ist abgelaufen.
Mögliche Lösungen
Lösungsmöglichkeiten:
• Überprüfen Sie den Benutzernamen und das Kennwort.
• Überprüfen Sie die Kundenadresse für die Geräteaktivierung.
• Setzen Sie mithilfe von BES12 Self-Service ein neues Aktivierungskennwort.
Geräteaktivierung
316
iOS- oder OS X-Geräteaktivierungen schlagen bei ungültigen APNs-Zertifikaten fehl.
Problemursache
Wenn Sie iOS- oder OS X-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nicht ordnungsgemäß registriert.
Mögliche Lösung
Führen Sie eine oder mehrere der folgenden Aktionen aus:
• Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Apple Push Notification. Stellen Sie sicher, dass der Status des APNs-Zertifikats „Installiert“ lautet. Wenn der Status nicht korrekt ist, versuchen Sie, das APNs-Zertifikat erneut zu registrieren.
• Zum Testen der Verbindung zwischen BES12 und dem APNs-Server klicken Sie auf APNS-Zertifikat testen.
• Rufen Sie ggf. eine neue signierte CSR von BlackBerry ab, fordern Sie ein neues APNs-Zertifikat an, und registrieren Sie es.
Die Benutzer erhalten keine Aktivierungs-E-Mail
Beschreibung
Die Benutzer erhalten ihre Aktivierungs-E-Mail nicht, obwohl alle Einstellungen in BES12 korrekt sind.
Mögliche Lösung
Wenn Sie den Mailserver eines Drittanbieters nutzen, werden E-Mail-Nachrichten von BES12 eventuell als Spam markiert und in den Spam-E-Mail-Ordner oder den Junk-E-Mail-Ordner verschoben.
Überprüfen Sie, ob die Benutzer in Ihrem Spam-E-Mail-Ordner und dem Junk-E-Mail-Ordner nach der Aktivierungs-E-Mail gesucht haben.
Geräteaktivierung
317
Aktivieren von beim DEP registrierten iOS-GerätenSie können iOS-Geräte beim Programm zur Geräteregistrierung (DEP) von Apple registrieren und diesen mit der BES12-Verwaltungskonsole Registrierungskonfigurationen zuweisen. Registrierungskonfigurationen enthalten zusätzliche Regeln, etwa „Beaufsichtigten Modus aktivieren“, die den Geräten bei der MDM-Registrierung zugewiesen werden.
Wenn die Geräte aktiviert werden, sendet BES12 Richtlinien und Profile, die Sie Benutzern zugewiesen haben.
Wenn Sie ein Gerät für die Verwendung von Secure Work Space konfigurieren oder einem Benutzer ein Kompatibilitätsprofil zuweisen, muss der Benutzer nach der Geräteaktivierung die Good for BES12-App starten.
Voraussetzungen: Verwendung der Good for BES12-App für beim DEP registrierte Geräte
• Fügen Sie die Good for BES12-App der App-Liste hinzu. Die Good for BES12-App steht im App Store zur Verfügung.
• Weisen Sie der Good for BES12-App Benutzerkonten oder -gruppen zu.
Weitere Informationen zum Hinzufügen und Zuweisen von Apps finden Sie unter Apps.
Schritte zum Aktivieren von Geräten, die beim DEP registriert sindWenn Sie iOS-Geräte aktivieren, die beim Programm zur Geräteregistrierung von Apple (DEP) registriert sind, führen Sie die folgenden Aktionen aus:
Schritt Aktion
Registrieren von iOS-Geräten beim DEP und Zuweisen eines MDM-Servers.
Zuweisen von Registrierungskonfigurationen zu iOS-Geräten.
Geräteaktivierung
318
Registrieren von iOS-Geräten beim DEP und Zuweisen eines MDM-ServersZum Registrieren von Geräten beim Programm zur Geräteregistrierung (DEP) müssen Sie die Geräteseriennummern auf dem Apple DEP-Portal eingeben und die Geräte einem MDM-Server zuweisen. Sie können die Seriennummern verschiedene Weise eingeben:
• Eintippen der einzelnen Nummern
• Auswählen der Bestellnummern, die den Geräten beim Kauf von Apple zugewiesen wurde
• Hochladen einer CSV-Datei mit den Seriennummern
Bevor Sie beginnen: Konfigurieren Sie BES12 für die Verwendung von DEP, bevor Sie iOS-Geräte registrieren.
1. Geben Sie im Browser deploy.apple.com ein.
2. Melden Sie sich bei Ihrem DEP-Konto an.
3. Klicken Sie auf Manage Devices (Geräte verwalten).
4. Folgen Sie den Anweisungen zum Eingeben der Geräteseriennummern.
5. Weisen Sie die Seriennummern einem MDM-Server zu.
Wenn Sie fertig sind: Weisen Sie den Geräten in der BES12-Verwaltungskonsole Registrierungskonfigurationen zu.
Verwandte InformationenZuweisen von Registrierungskonfigurationen zu iOS-Geräten, auf Seite 319
Zuweisen von Registrierungskonfigurationen zu iOS-GerätenWenn Sie eine Registrierungskonfiguration erstellt und „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben, weist BES12 die Konfiguration automatisch Geräten zu, wenn Sie diese beim DEP registrieren. Wenn BES12 Registrierungskonfigurationen nicht automatisch zuweist, müssen Sie dies tun.
Bevor Sie beginnen: Registrieren Sie die iOS-Geräte beim DEP, und weisen Sie ihnen einen MDM-Server zu.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte > Apple DEP-Geräte.
2. Aktivieren Sie die Kontrollkästchen neben den Geräten, denen Sie eine Registrierungskonfiguration zuweisen möchten.
3. Klicken Sie auf .
4. Klicken Sie in der Dropdown-Liste Registrierungskonfiguration auf die Registrierungskonfiguration, die Sie zuweisen möchten.
5. Klicken Sie auf Zuweisen.
Wenn Sie fertig sind: Verteilen Sie die iOS-Geräte an die Benutzer zur Aktivierung.
Verwandte Informationen
Geräteaktivierung
319
Registrieren von iOS-Geräten beim DEP und Zuweisen eines MDM-Servers, auf Seite 319
Entfernen einer iOS-Geräten zugewiesenen RegistrierungskonfigurationWenn Sie Geräten eine Registrierungskonfiguration zugewiesen haben, diese jedoch noch nicht auf die Geräte angewendet wurde, können Sie die Registrierungskonfiguration von den Geräten entfernen.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte > Apple DEP-Geräte.
2. Aktivieren Sie die Kontrollkästchen neben den Geräten, von denen Sie eine Registrierungskonfiguration entfernen möchten.
3. Klicken Sie auf .
4. Klicken Sie auf Entfernen.
Wenn Sie fertig sind: Weisen Sie den Geräten eine Registrierungskonfiguration zu.
Verwandte InformationenZuweisen von Registrierungskonfigurationen zu iOS-Geräten, auf Seite 319
Verwalten von RegistrierungskonfigurationenWenn Sie BES12 für die Verwendung des Registrierungsprogramms (DEP) von Apple konfigurieren, müssen Sie eine Registrierungskonfiguration erstellen. Sie können weitere Registrierungskonfigurationen hinzufügen, Registrierungskonfigurationen entfernen und ihre Einstellungen ändern.
Informationen zum Konfigurieren vonBES12für die Verwendung von DEPfinden Sie in der Dokumentation zur Konfiguration.
Hinzufügen einer RegistrierungskonfigurationSie können nach Bedarf beliebig viele Registrierungskonfiguration erstellen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3. Klicken Sie im Abschnitt DEP-Anmeldungskonfigurationen auf .
4. Füllen Sie die Felder aus, und aktivieren Sie die Kontrollkästchen für die Elemente, die Ihre Registrierungskonfiguration enthalten soll.
• Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ auswählen, weist BES12 die Registrierungskonfiguration iOS-Geräten, die neu beim DEP von Apple registrierten automatisch zu.
Geräteaktivierung
320
• Wenn Sie zuvor eine Registrierungskonfiguration mit der Einstellung „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ erstellt haben und diese auf Geräte angewendet wurde, weist BES12 die neue Registrierungskonfiguration den Geräten nicht zu.
• Die Einstellung „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ kann nur für eine Registrierungskonfiguration aktiviert werden. Wenn Sie beispielsweise eine Registrierungskonfiguration unter dem Namen „Konfiguration_2“ mit dieser Einstellung erstellen und es bereits eine Registrierungskonfiguration „Konfiguration_1“ mit dieser Einstellung gibt, löscht BES12 die Einstellung für Konfiguration_1.
• Wenn Sie eine neue Registrierungskonfiguration Geräten zuweisen möchten, und deren Aktivierung noch aussteht, können Sie die zuvor zugewiesene Registrierungskonfiguration entfernen und den Geräten die neue Registrierungskonfiguration zuweisen.
• Sie müssen im Abschnitt der Gerätekonfiguration entweder „Beaufsichtigten Modus aktivieren“ oder „Entfernen des MDM-Profils zulassen“ oder beide wählen.
5. Klicken Sie auf Speichern.
6. Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben, klicken Sie auf Ja.
Wenn Sie fertig sind: Weisen Sie die Registrierungskonfiguration Geräten zu.
Verwandte InformationenZuweisen von Registrierungskonfigurationen zu iOS-Geräten, auf Seite 319
Entfernen einer zugewiesenen RegistrierungskonfigurationWenn Sie eine Registrierungskonfiguration, die Geräten zugewiesen wurde, vor der Anwendung der Registrierungskonfiguration entfernen, entfernt BES12 die Registrierungskonfiguration von den Gerätedatensätzen.
1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3. Klicken Sie im Abschnitt DEP-Anmeldungskonfigurationen auf .
4. Klicken Sie auf Ja.
Wenn Sie fertig sind: Wenn BES12 die Registrierungskonfiguration von Geräten entfernt, weisen Sie diesen eine Registrierungskonfiguration zu.
Verwandte InformationenZuweisen von Registrierungskonfigurationen zu iOS-Geräten, auf Seite 319
Ändern der Einstellungen einer RegistrierungskonfigurationWenn Sie Geräten eine Registrierungskonfiguration zugewiesen haben und diese noch nicht auf die Geräte angewendet wurde, aktualisiert BES12 die Registrierungskonfiguration, wenn Sie die Änderungen an der Registrierungskonfiguration speichern.
1. Klicken Sie in der Menüleiste auf Einstellungen.
Geräteaktivierung
321
2. Klicken Sie im linken Fensterbereich auf Externe Integration > Programm zur Geräteregistrierung von Apple.
3. Klicken Sie im Bereich DEP-Anmeldungskonfigurationen auf den Namen der Konfiguration, die Sie ändern möchten.
4. Ändern Sie die Einstellungen.
5. Klicken Sie auf Speichern.
Anzeigen der Einstellungen einer zugewiesenen RegistrierungskonfigurationWenn eine Registrierungskonfiguration einem iOS-Gerät zugewiesen und noch ausstehend ist, können Sie die Einstellungen der Registrierungskonfiguration anzeigen.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte > Apple DEP-Geräte.
2. Klicken Sie in der Spalte Registrierungskonfiguration auf den Namen einer Registrierungskonfiguration.
Anzeigen der Benutzerdetails für ein aktiviertes GerätNachdem ein Gerät aktiviert wurde, können Sie Details zu dessen Benutzer, beispielsweise die Gruppen, denen er zugewiesen ist, anzeigen.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte > Apple DEP-Geräte.
2. Klicken Sie in der Spalte Anzeigename auf den Namen eines Benutzers.
Verwenden von Aktivierungssperren auf iOS-GerätenDie Aktivierungssperre auf Geräten mit iOS 7 und höher ermöglicht den Schutz von verlustigen oder gestohlenen Geräten. Um diese Funktion zu nutzen, müssen sich Benutzer bei iCloud anmelden und „Mein iPhone suchen“ aktivieren. Wenn die Aktivierungssperre aktiviert ist, muss der Benutzer seine Apple ID und sein Kennwort eingeben, um die Funktion „Mein iPhone suchen“ zu deaktivieren, zu löschen oder das Gerät erneut zu aktivieren. Wenn das Gerät mit dem Programm zur Geräteregistrierung von Apple (DEP) oder mit dem Apple Configurator überwacht und auf BES12 aktiviert wurde, können Sie die Aktivierungssperre umgehen.
In BES12 können Sie die Aktivierungssperre auf überwachten Geräten mit iOS 7 und höher verwalten. Auf nicht überwachten Geräten ist die Verwaltung der Funktion für die Aktivierungssperre nicht möglich. Wenn ein Gerät für die Nutzung von BES12 aktiviert wurde, ist die Aktivierungssperre standardmäßig deaktiviert. Die Aktivierungssperre steuert nicht die Funktion „Mein iPhone suchen“ auf dem Gerät. Wenn Sie die Aktivierungssperre aktivieren, speichert BES12 einen Umgehungscode zum
Geräteaktivierung
322
Löschen der Sperre, mit dem das Gerät ohne Eingabe von Apple ID und Kennwort des Benutzers gelöscht und erneut aktiviert werden kann.
Aktivierungssperre aktivierenHinweis: Wenn Sie die Aktivierungssperre aktivieren, tritt zwischen BES12 und Apple möglicherweise eine kurze Verzögerung auf.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf die Registerkarte „Gerät“.
5. Klicken Sie im Fenster Gerät verwalten auf Aktivierungssperre aktivieren.
Wenn Sie fertig sind: Informationen zum Anzeigen des Umgehungscodes für Geräte finden Sie unter Umgehungscode für Aktivierungssperre anzeigen
Aktivierungssperre deaktivierenHinweis: Wenn Sie die Aktivierungssperre deaktivieren, tritt zwischen BES12 und Apple möglicherweise eine kurze Verzögerung auf.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf die Registerkarte „Gerät“.
5. Wählen Sie im Fenster Gerät verwalten die Option Aktivierungssperre deaktivieren aus.
Umgehungscode für Aktivierungssperre anzeigenSie können den Umgehungscode für die Aktivierungssperre sowie das Erstellungsdatum des Umgehungscodes anzeigen.
1. Klicken Sie in der Menüleiste auf Benutzer > Apple-Aktivierungssperre.
2. Suchen Sie ein Gerät.
3. Klicken Sie in den Suchergebnissen auf das Gerät.
4. Scrollen Sie ggf. auf dem Hauptbildschirm nach rechts, um den Umgehungscode anzuzeigen.
Geräteaktivierung
323
Befehle und Steuerelemente für Geräte
BES12 ermöglicht Ihnen, Befehle zum Schutz von Gerätedaten über das drahtlose Netzwerk an Geräte zu senden. Sie können den Gerätestandort auf einer Karte bestimmen und steuern, welche Geräte auf Exchange ActiveSync zugreifen können.
Senden von Befehlen an GeräteSie können verschiedene Befehle über das Mobilfunknetz senden, sodass Sie Geräte per Fernzugriff verwalten können.
Sie können Befehle beispielweise in folgenden Situationen verwenden:
• Wenn ein Gerät vorübergehend verlegt wurde, können Sie einen Befehl zum Sperren des Geräts senden oder geschäftliche Daten auf dem Gerät löschen.
• Wenn Sie ein Gerät einem anderen Benutzer in Ihrem Unternehmen zuteilen möchten oder wenn ein Gerät verloren gegangen ist oder gestohlen wurde, können Sie einen Befehl senden, um alle Daten auf dem Gerät zu löschen.
• Wenn ein Mitarbeiter aus Ihrem Unternehmen ausscheidet, können Sie einen Befehl an das persönliche Gerät des Benutzers senden, um ausschließlich die geschäftlichen Daten zu löschen.
• Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich vergisst, können Sie einen Befehl senden, um dieses Kennwort zurückzusetzen.
Die Liste der verfügbaren Befehle hängt vom Gerätetyp und von der Aktivierungsart ab.
Senden von Befehlen an GeräteSie können verschiedene Befehle über das drahtlose Netzwerk an Geräte senden.
Für Befehle, mit denen Daten von Geräten gelöscht werden, können Sie in BES12 einen Gültigkeitszeitraum konfigurieren. Sobald die Gültigkeit eines Befehls abläuft, wird das Gerät automatisch aus BES12 entfernt. Weitere Informationen finden Sie unter Festlegen einer Ablaufzeit für Befehle.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf die Registerkarte „Gerät“.
5. Wählen Sie im Fenster Gerät verwalten den Befehl aus, den Sie an das Gerät senden möchten.
13
Befehle und Steuerelemente für Geräte
324
Festlegen einer Ablaufzeit für BefehleWenn Sie den Befehl „Alle Gerätedaten senden“ oder „Nur geschäftliche Daten löschen“ an ein Gerät senden, muss das Gerät mit BES12 verbunden sein, damit der Befehl ausgeführt wird. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, bleibt der Befehl im Status „Ausstehend“, und das Gerät wird nicht aus BES12 entfernt, es sei denn, Sie entfernen es manuell. Alternativ können Sie BES12 so konfigurieren, dass Geräte automatisch entfernt werden, wenn Befehle nach einem bestimmten Zeitraum nicht ausgeführt wurden.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Ablauf des Löschbefehls.
2. Wählen Sie Automatisch das Gerät entfernen, wenn der Befehl noch nicht abgeschlossen ist für Ablauf des Befehls „Alle Gerätedaten löschen“ und/oder Ablauf des Befehls „Nur Geschäftsdaten löschen“ aus.
3. Geben Sie im Feld Gerät entfernen nach die Anzahl der Tage ein, nach denen der Befehl abläuft und das Gerät automatisch aus BES12 entfernt wird.
4. Klicken Sie auf Speichern.
BefehleIn den folgenden Tabellen werden die verfügbaren Befehle nach Gerätetyp aufgeführt.
BlackBerry 10
Befehl Beschreibung Aktivierungsarten
Gerätekennwort festlegen, Gerät sperren und Nachricht einrichten
Mit diesem Befehl erstellen Sie ein Gerätekennwort und legen eine Nachricht fest, die auf dem Startbildschirm angezeigt wird. Anschließend wird das Gerät gesperrt. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Kennwort für den geschäftlichen Bereich.
• Geschäftlich und persönlich – Unternehmen
• Nur geschäftlicher Bereich
• Geschäftlich und persönlich – Reguliert
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich der im geschäftlichen Bereich. Er setzt das Gerät auf die werkseitigen Standardeinstellungen zurück und löscht das Gerät optional aus BES12.
• Geschäftlich und persönlich – Unternehmen
• Nur geschäftlicher Bereich
• Geschäftlich und persönlich – Reguliert
Befehle und Steuerelemente für Geräte
325
Befehl Beschreibung Aktivierungsarten
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
Geschäftlichen Bereich sperren und Kennwort festlegen
Mit diesem Befehl können Sie ein Kennwort für den geschäftlichen Bereich auf dem Gerät festlegen und den geschäftlichen Bereich sperren. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Um den geschäftlichen Bereich zu entsperren, muss der Benutzer das neue von Ihnen erstellte Kennwort eingeben.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Gerätekennwort.
• Geschäftlich und persönlich – Unternehmen
• Geschäftlich und persönlich – Reguliert
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät optional aus BES12 entfernt.
Wenn das Gerät über einen geschäftlichen Bereich verfügt, werden die Informationen im geschäftlichen Bereich sowie der Bereich selbst aus dem Gerät gelöscht.
Durch Senden dieses Befehls wird das Benutzerkonto nicht gelöscht.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
• Geschäftlich und persönlich – Unternehmen
• Geschäftlich und persönlich – Reguliert
Gerätedaten aktualisieren
Dieser Befehl sendet und empfängt aktualisierte Gerätedaten. Beispielsweise können Sie kürzlich aktualisierte IT-Richtlinienregeln oder Profile an ein Gerät senden und
• Geschäftlich und persönlich – Unternehmen
• Nur geschäftlicher Bereich
Befehle und Steuerelemente für Geräte
326
Befehl Beschreibung Aktivierungsarten
aktualisierte Informationen zu einem Gerät, wie Betriebssystemversion oder Akkuladezustand, empfangen.
• Geschäftlich und persönlich – Reguliert
iOS
Befehl Beschreibung Aktivierungsarten
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich der im geschäftlichen Bereich. Er setzt das Gerät auf die werkseitigen Standardeinstellungen zurück und löscht das Gerät optional aus BES12.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät optional aus BES12 entfernt.
Wenn das Gerät über einen geschäftlichen Bereich verfügt, werden die Informationen im geschäftlichen Bereich sowie der Bereich selbst aus dem Gerät gelöscht.
Durch Senden dieses Befehls wird das Benutzerkonto nicht gelöscht.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle
• Geschäftlich und persönlich – Benutzer-Datenschutz
• Datenschutz für Benutzer
Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu
• MDM-Steuerelemente
Befehle und Steuerelemente für Geräte
327
Befehl Beschreibung Aktivierungsarten
entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
• Geschäftlich und persönlich – vollständige Kontrolle
Kennwort entsperren und löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle
Geschäftlichen Bereich sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren.
• Geschäftlich und persönlich – vollständige Kontrolle
• Geschäftlich und persönlich – Benutzer-Datenschutz
Kennwort für geschäftlichen Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen.
• Geschäftlich und persönlich – vollständige Kontrolle
• Geschäftlich und persönlich – Benutzer-Datenschutz
Geschäftlichen Bereich aktivieren/deaktivieren
Dieser Befehl aktiviert bzw. deaktiviert den Zugriff auf die Apps für den geschäftlichen Bereich auf dem Gerät.
• Geschäftlich und persönlich – vollständige Kontrolle
• Geschäftlich und persönlich – Benutzer-Datenschutz
Gerätedaten aktualisieren
Dieser Befehl sendet und empfängt aktualisierte Gerätedaten. Beispielsweise können Sie kürzlich aktualisierte IT-Richtlinienregeln oder Profile an ein Gerät senden und aktualisierte Informationen zu einem Gerät, wie Betriebssystemversion oder Akkuladezustand, empfangen.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle
Deaktivieren Strong Authentication by BlackBerry
Mit diesem Befehl werden Geräte deaktiviert, die mit der Aktivierungsart „Strong Authentication by BlackBerry“ aktiviert wurden. Das Gerät wird von BES12 entfernt, und der Benutzer kann die Funktion Strong Authentication nicht mehr verwenden.
• Strong Authentication by BlackBerry
Befehle und Steuerelemente für Geräte
328
OS X
Befehl Beschreibung Aktivierungsarten
Desktop sperren Mit diesem Befehl können Sie eine PIN festlegen und das Gerät sperren.
• MDM-Steuerelemente
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät optional aus BES12 entfernt.
• MDM-Steuerelemente
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten vom Gerät gelöscht. Das Gerät wird auf die Werkseinstellungen zurückgesetzt, mit einer von Ihnen festgelegten PIN gesperrt und optional aus BES12 gelöscht.
• MDM-Steuerelemente
Desktopdaten aktualisieren
Dieser Befehl sendet und empfängt aktualisierte Gerätedaten. Beispielsweise können Sie kürzlich aktualisierte IT-Richtlinienregeln oder Profile an ein Gerät senden und aktualisierte Informationen zu einem Gerät wie Betriebssystemversion oder Akkuladezustand empfangen.
• MDM-Steuerelemente
Android
Befehl Beschreibung Aktivierungsarten
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich der im geschäftlichen Bereich. Er setzt das Gerät auf die werkseitigen Standardeinstellungen zurück und löscht das Gerät optional aus BES12.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Nur geschäftlicher Bereich - (Samsung KNOX)
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps
• MDM-Steuerelemente
Befehle und Steuerelemente für Geräte
329
Befehl Beschreibung Aktivierungsarten
und Zertifikate, gelöscht und das Gerät optional aus BES12 entfernt.
Wenn das Gerät über einen geschäftlichen Bereich verfügt, werden die Informationen im geschäftlichen Bereich sowie der Bereich selbst aus dem Gerät gelöscht.
Durch Senden dieses Befehls wird das Benutzerkonto nicht gelöscht.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Nur geschäftlicher Bereich - (Samsung KNOX)
• Geschäftlich und persönlich – Benutzer-Datenschutz - (Samsung KNOX)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work - Premium)
• Datenschutz für Benutzer
Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work - Premium)
Kennwort entsperren und löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines
• MDM-Steuerelemente
Befehle und Steuerelemente für Geräte
330
Befehl Beschreibung Aktivierungsarten
Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat.
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
Geschäftlichen Bereich sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren.
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
Kennwort für geschäftlichen Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen.
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
• Geschäftlich und persönlich – Benutzer-Datenschutz - (Samsung KNOX)
• Nur geschäftlicher Bereich - (Samsung KNOX)
Geschäftlichen Bereich aktivieren/deaktivieren
Dieser Befehl aktiviert bzw. deaktiviert den Zugriff auf die Apps für den geschäftlichen Bereich auf dem Gerät.
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
Befehle und Steuerelemente für Geräte
331
Befehl Beschreibung Aktivierungsarten
• Geschäftlich und persönlich – Benutzer-Datenschutz - (Samsung KNOX)
• Nur geschäftlicher Bereich - (Samsung KNOX)
Gerätekennwort festlegen und sperren
Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
• MDM-Steuerelemente
• Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
Gerätedaten aktualisieren
Dieser Befehl sendet und empfängt aktualisierte Gerätedaten. Beispielsweise können Sie kürzlich aktualisierte IT-Richtlinienregeln oder Profile an ein Gerät senden und aktualisierte Informationen zu einem Gerät, wie Betriebssystemversion oder Akkuladezustand, empfangen.
• Alle
Deaktivieren Strong Authentication by BlackBerry
Mit diesem Befehl werden Geräte deaktiviert, die mit der Aktivierungsart „Strong Authentication by BlackBerry“ aktiviert wurden. Das Gerät wird von BES12 entfernt, und der Benutzer kann die Funktion Strong Authentication nicht mehr verwenden.
• Strong Authentication by BlackBerry
Windows
Befehl Beschreibung Aktivierungsarten
Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
MDM-Steuerelemente
Befehle und Steuerelemente für Geräte
332
Befehl Beschreibung Aktivierungsarten
Dieser Befehl wird nur auf Geräten unterstützt, auf denen Windows 10 Mobileund Windows Phone8.1 oder höher ausgeführt wird.
Gerätekennwort erstellen und Gerät sperren
Mit diesem Befehl wird ein neues Kennwort generiert und das Gerät gesperrt. Das generierte Kennwort wird dem Benutzer per E-Mail gesendet. Sie können die vorgewählte E-Mail-Adresse verwenden oder eine E-Mail-Adresse angeben. Das generierte Kennwort erfüllt alle bestehenden Kennwortregeln.
Dieser Befehl wird nur auf Geräten unterstützt, auf denenWindows 10 Mobile and Windows PhoneOS Version 8.10.14176 oder höher ausgeführt wird.
MDM-Steuerelemente
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät optional aus BES12 entfernt.
Durch Senden dieses Befehls wird das Benutzerkonto nicht gelöscht.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
MDM-Steuerelemente
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind. Er setzt das Gerät auf die werkseitigen Standardeinstellungen zurück und löscht das Gerät optional aus BES12.
Nachdem Sie diesen Befehl gesendet haben, können Sie das Gerät optional aus BES12 löschen. Wenn das Gerät keine Verbindung zu BES12 herstellen kann, können Sie das Gerät aus BES12 löschen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es gelöscht wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
MDM-Steuerelemente
Befehle und Steuerelemente für Geräte
333
Befehl Beschreibung Aktivierungsarten
Gerätedaten aktualisieren
Dieser Befehl sendet und empfängt aktualisierte Gerätedaten. Beispielsweise können Sie kürzlich aktualisierte IT-Richtlinienregeln oder Profile an ein Gerät senden und aktualisierte Informationen zu einem Gerät, wie Betriebssystemversion oder Akkuladezustand, empfangen.
MDM-Steuerelemente
BlackBerry OS (Version 5.0 bis 7.1)
Befehl Beschreibung
Gerätekennwort festlegen und sperren
Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn Sie oder ein Benutzer den Zwei-Faktor-Inhaltsschutz eingeschaltet haben, können Sie diesen Befehl nicht verwenden.
Nur Geschäftsdaten löschen
Mit diesem Befehl werden geschäftliche Daten, einschließlich der IT-Richtlinie, E-Mail-Nachrichten, Kontakte und geschäftlichen Servicebücher gelöscht. Alle persönlichen Daten bleiben auf dem Gerät erhalten.
Alle Gerätedaten löschen
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind. Außerdem wird das Gerät auf die werkseitigen Standardeinstellungen zurückgesetzt.
Sie können diesen Befehl an ein Gerät, das Sie einem anderen Benutzer zuteilen möchten, oder an ein Gerät, das verloren gegangen ist und das der Benutzer möglicherweise nicht wiederfindet, senden.
Servicebücher erneut senden
Dieser Befehl sendet Servicebücher erneut an ein Gerät. Servicebücher legen fest, welche Dienste auf einem BlackBerry OS-Gerät verfügbar sind.
IT-Richtlinie erneut senden
Dieser Befehl sendet die zugewiesene BlackBerry OS-IT-Richtlinie erneut an ein Gerät.
Überprüfen, ob ein Gerät für den Zugriff auf geschäftliche E-Mails und Terminplanerdaten zugelassen istWenn Ihre Organisation BlackBerry Gatekeeping Service verwendet, um zu steuern, welche Geräte von Exchange ActiveSync aus auf geschäftliche E-Mails und Terminplanerdaten zugreifen können, wird mindestens ein Gatekeeping-Server für ein E-Mail-
Befehle und Steuerelemente für Geräte
334
Profil konfiguriert. Wenn das E-Mail-Profil mit konfiguriertem Gatekeeping einem Benutzerkonto zugewiesen wird, können Sie den Verbindungsstatus zwischen einem Gerät und Exchange ActiveSync überprüfen. Sie können den Status suchen, indem Sie sich die Seite mit den Gerätedetails im Abschnitt „IT-Richtlinien und -Profile“ ansehen. Die folgenden Statuswerte werden bei den Gerätedetails neben dem E-Mail-Profil angezeigt.
Status Beschreibung
Unbekannt Der Status „Unbekannt“ wird angezeigt, wenn BES12 die ID des Geräts nicht bestimmen kann. Das Gerät wird in der Liste der gesperrten Geräten aufgeführt und muss der zugelassenen Liste manuell hinzugefügt werden.
Anstehende Verbindung Der Status „Anstehende Verbindung“ wird angezeigt, wenn BES12 die ID des Geräts kennt und das Gerät in der Warteschlange auf die Hinzufügung zur zugelassenen Liste wartet.
Zugelassene Verbindung Der Status „Zugelassene Verbindung“ wird angezeigt, wenn BES12 die ID des Geräts kennt und das Gerät auf der zugelassenen Liste vorhanden ist.
Überprüfen, ob ein Gerät zugelassen ist1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
3. Klicken Sie in den Suchergebnissen auf den Namen eines Benutzerkontos.
4. Wählen Sie die Registerkarte für das zu überprüfende Gerät aus.
5. Wenn das Gerät zugelassen ist, wird im Abschnitt IT-Richtlinien und -Profile neben dem E-Mail-Profil Verbindung zugelassen angezeigt.
Verwenden von Exchange GatekeepingIhr Unternehmen kann mit BlackBerry Gatekeeping Service steuern, welche Geräte Zugriff auf Exchange ActiveSync erhalten. Anweisungen zum Konfigurieren von Exchange ActiveSync und dem BlackBerry Gatekeeping Service finden Sie in der Dokumentation zur Konfiguration unter Steuern, welche Geräte auf Exchange ActiveSync zugreifen können.
Wenn Ihr Unternehmen BlackBerry Gatekeeping Service verwendet, werden alle Geräte, die nicht auf der Positivliste für Microsoft Exchange stehen, auf der BES12-Liste mit gesperrten Exchange ActiveSync-Geräten gemeldet.
Wenn Sie ein Benutzerkonto hinzufügen und diesem ein E-Mail-Profil zuweisen, für das BlackBerry Gatekeeping Service konfiguriert ist, werden alle zuvor gesperrten, in Quarantäne befindlichen oder manuell zugelassenen Geräte im Zusammenhang mit dem Benutzerkonto auf der Liste der gesperrten Exchange ActiveSync-Geräte angezeigt.
Befehle und Steuerelemente für Geräte
335
Wenn BES12 keine Exchange ActiveSync-ID von einem Gerät abrufen kann, wird es für Microsoft Exchange nicht der zugelassenen Liste hinzugefügt. Sie können diese Geräte der zugelassenen Liste manuell aus der Liste der gesperrten Exchange ActiveSync-Geräten hinzufügen. Wenn ein Android-Gerät beispielsweise ohne Secure Work Space mithilfe der MDM-Aktivierungsart aktiviert wird, kann BES12 keine Exchange ActiveSync-ID abrufen, und Sie müssen das Gerät in der Liste der gesperrten Exchange ActiveSync-Geräte manuell der Positivliste hinzufügen.
Ermöglichen des Zugriffs eines Geräts auf Microsoft ActiveSyncSie können den Zugriff eines Geräts auf Microsoft ActiveSync manuell ermöglichen, sodass Benutzer E-Mail-Nachrichten und andere Informationen vom Microsoft Exchange Server auf dem Gerät empfangen können.
Bevor Sie beginnen: Konfigurieren Sie den BlackBerry Gatekeeping Service. Lesen Sie in der Dokumentation zur Konfiguration den Abschnitt Steuern, welche Geräte auf Exchange ActiveSync zugreifen können.
1. Klicken Sie in der Menüleiste auf Benutzer > Exchange Gatekeeping.
2. Suchen Sie ein Gerät.
3. Klicken Sie in der Spalte Aktion auf .
Sperren eines Geräts für den Zugriff auf Microsoft ActiveSyncSie können ein zuvor zugelassenes Geräte manuell vom Zugriff auf Microsoft ActiveSync ausschließen. Der Ausschluss eines Geräts verhindert, dass Benutzer E-Mail-Nachrichten und andere Informationen vom Microsoft Exchange Server auf dem Gerät abrufen.
Bevor Sie beginnen: Konfigurieren Sie den BlackBerry Gatekeeping Service. Lesen Sie in der Dokumentation zur Konfiguration den Abschnitt Steuern, welche Geräte auf Exchange ActiveSync zugreifen können.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Klicken Sie auf Exchange Gatekeeping.
3. Suchen Sie ein Gerät.
4. Klicken Sie in der Spalte Aktion auf .
Anzeigen verfügbarer Updates für iOS-GeräteSie können sehen, ob ein Softwareupdate für die iOS-Geräte der Benutzer verfügbar ist und sie dazu veranlassen, ein Update auf die neueste Version durchzuführen.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Suchen Sie nach einem Benutzerkonto.
Befehle und Steuerelemente für Geräte
336
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf die Registerkarte „Gerät“.
5. Ob ein Update verfügbar ist, wird im Abschnitt für das aktivierte Gerät angezeigt.
Verwandte InformationenSenden einer E-Mail an Benutzer, auf Seite 263
Deaktivieren von GerätenWenn Sie oder ein Benutzer ein Gerät deaktiviert, wird die Verbindung zwischen dem Gerät und dem Benutzerkonto in BES12 entfernt. Sie können das Gerät nicht verwalten, und das Gerät wird nicht in der Verwaltungskonsole angezeigt. Der Benutzer kann nicht auf die geschäftlichen Daten auf dem Gerät zugreifen.
Sie können ein Gerät mit dem Befehl „Nur Geschäftsdaten löschen“ deaktivieren. Benutzer können ihre Geräte mit den folgenden Methoden deaktivieren:
• Benutzer haben die Möglichkeit, für iOS-Geräte auf dem Bildschirm „Info“ in der Good for BES12-App „Mein Gerät deaktivieren“ auszuwählen.
• Für Android- oder Windows Phone-Geräte können Benutzer auf dem Bildschirm „Info“ im BES12 Client „Mein Gerät deaktivieren“ auswählen.
• Für Windows 10-Geräte können Benutzer Einstellungen > Konten > Geschäftlicher Zugriff > Löschen auswählen.
• Für BlackBerry 10-Geräte können die Benutzer Einstellungen > BlackBerry Balance > Löschen auswählen.
Wenn bei Android-Geräten, die KNOX MDM, das Gerät deaktiviert wird, werden interne Anwendungen deinstalliert, und die Option „Deinstallieren“ wird für beliebige öffentliche Apps, die von der Apps-Liste aus installiert wurden, nach Bedarf verfügbar.
Standort eines Geräts bestimmenSie können iOS-, Android und Windows 10 Mobile-Geräte orten (z. B, wenn ein Gerät verloren geht oder gestohlen wird). Benutzer müssen das Profil für die Standortbestimmung akzeptieren, bevor die Verwaltungskonsole die Standorte von iOS- und Android-Geräten auf einer Karte anzeigen kann. Windows 10 Mobile-Geräte akzeptieren das Profil automatisch. Der Standortverlauf ist für iOS- und Android-Geräte verfügbar, wenn Sie diesen im Profil aktiviert haben.
Bevor Sie beginnen: Erstellen Sie ein Profil für die Standortbestimmung, und weisen Sie es zu.
1. Klicken Sie in der Menüleiste auf Benutzer > Verwaltete Geräte.
2. Deaktivieren Sie das Kontrollkästchen für jedes Gerät, dessen Standort Sie bestimmen möchten.
3. Klicken Sie auf .
Befehle und Steuerelemente für Geräte
337
4. Ermitteln Sie die Geräte auf der Karte mithilfe der folgenden Symbole. Wenn ein iOS- oder Android-Gerät nicht mit den neuesten Informationen zum Standort antwortet und der Standortverlauf im Profil aktiviert ist, zeigt die Karte die letzte bekannte Position des Geräts an.
•Aktueller Standort:
•Letzter bekannter Standort:
Sie können auf ein Symbol klicken oder den Mauszeiger über ein Symbol bewegen, um Standortinformationen anzuzeigen, wie beispielsweise Längen- und Breitengrad und wann die Position gemeldet wurde (zum Beispiel vor 1 Minute oder vor 2 Stunden).
5. Um den Standortverlauf für ein iOS- oder Android-Gerät anzuzeigen, führen Sie die folgenden Aktionen aus:
a. Klicken Sie auf Standortverlauf anzeigen.
b. Wählen Sie einen Datums- und Zeitbereich aus.
c. Klicken Sie auf Senden.
Verwandte InformationenErstellen eines Profils für die Standortbestimmung, auf Seite 143
Zulassen, dass BlackBerry 10-Benutzern Gerätedaten sichernSie können steuern, ob BlackBerry 10-Benutzer Gerätedaten sichern und wiederherstellen können. Sie können zulassen, dass Benutzer nur Daten aus dem persönlichen Bereich oder Daten sowohl aus dem persönlichen als auch aus geschäftlichen Bereichen sichern können. In der IT-Richtlinie, die Sie Benutzern zuweisen, können Sie eine oder beide der folgenden IT-Richtlinienregeln auswählen:
IT-Richtlinienregel Anwendbare Aktivierungsarten
Sichern und Wiederherstellen des Geräts zulassen
• Geschäftlich und persönlich – Reguliert
• Nur geschäftlicher Bereich
Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen
• Geschäftlich und persönlich – Unternehmen
• Geschäftlich und persönlich – Reguliert
Hinweis: Für Geräte, die mit „Geschäftlich und persönlich – Reguliert“ aktiviert sind, wird diese Regel nur dann angewendet, wenn die Regel „Sichern und Wiederherstellen des Geräts zulassen“ aktiviert ist.
Befehle und Steuerelemente für Geräte
338
Wenn die den Benutzern zugewiesene IT-Richtlinie die Gerätesicherung zulässt, können Benutzer sich bei BlackBerry Link anmelden, um Sicherungsdateien zu erstellen oder wiederherzustellen.
Wenn Benutzer Sicherungsdateien mithilfe von BlackBerry Link erstellen, werden die Dateien mithilfe der Verschlüsselungsschlüssel verschlüsselt, die BES12 an BlackBerry 10-Geräte sendet. Die ersten Verschlüsselungsschlüssel werden bei der Installation oder einem Upgrade auf BES12 Version 12.4 erzeugt. Wenn nötig, können Sie neue Verschlüsselungsschlüssel generieren, Verschlüsselungsschlüssel aus einer anderen BES12-Instanz importieren oder Verschlüsselungsschlüssel exportieren.
Generieren von VerschlüsselungsschlüsselnSie können die Verschlüsselungsschlüssel generieren, die zum Verschlüsseln der Sicherungsdateien verwendet werden, wenn Benutzer Daten von BlackBerry 10-Geräten sichern. Die ersten Verschlüsselungsschlüssel werden bei der Installation von oder einem Upgrade auf BES12 Version 12.4 automatisch erzeugt.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > BB10 – Sichern und Wiederherstellen.
2. Klicken Sie auf Neuen Schlüssel generieren.
3. Klicken Sie auf Erstellen.
Wenn Sie fertig sind: Die Verschlüsselungsschlüssel werden an alle BlackBerry 10-Geräte gesendet, die in BES12 aktiviert sind.
Exportieren von VerschlüsselungsschlüsselnSie können Verschlüsselungsschlüssel aus BES12 exportieren und die Schlüssel in eine andere BES12-Instanz importieren.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > BB10 – Sichern und Wiederherstellen.
2. Klicken Sie auf Schlüssel exportieren.
3. Geben Sie ein Kennwort ein, und bestätigen Sie es.
4. Klicken Sie auf Exportieren.
5. Speichern Sie die Datei.
Importieren von VerschlüsselungsschlüsselnSie können Verschlüsselungsschlüssel in BES12 importieren, die in einer anderenBES12-Instanz generiert und aus dieser exportiert wurden.
Bevor Sie beginnen: Vergewissern Sie sich, dass Sie über das Kennwort für die Verschlüsselungsschlüsseldatei verfügen, die Sie importieren.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > BB10 – Sichern und Wiederherstellen.
Befehle und Steuerelemente für Geräte
339
2. Klicken Sie auf Schlüssel importieren.
3. Klicken Sie auf Durchsuchen, und navigieren Sie zu der Verschlüsselungsdatei. Klicken Sie auf Öffnen.
4. Geben Sie das Kennwort für die Datei ein.
5. Klicken Sie auf Importieren.
Entfernen von VerschlüsselungsschlüsselnWenn Sie einen neuen Verschlüsselungsschlüssel erstellen, dienen alle zuvor generierten Schlüssel nur noch der Entschlüsselung. Wenn Sie die zuvor generierten Schlüssel nicht mehr benötigen, können Sie sie aus BES12 entfernen. Der neueste generierte Verschlüsselungsschlüssel kann nicht entfernt werden.
1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > BB10 – Sichern und Wiederherstellen.
2. Um einen Entschlüsselungsschlüssel zu entfernen, klicken Sie neben dem Schlüssel auf .
3. Um zu bestätigen, dass Sie den Schlüssel dauerhaft entfernen möchten, geben Sie „blackberry“ ein. Klicken Sie anschließend auf Entfernen.
Entfernen von Secure Work Space von GerätenSie können Secure Work Space von Geräten entfernen. Wenn Sie beispielsweise möchten, dass Geräte Good Work anstelle vonSecure Work Space verwenden, können Sie einem Benutzer ein Good Dynamics-Profil zuweisen und dann Secure Work Space von den Geräten entfernen. Wenn Sie Secure Work Space von Geräten entfernen, ist es nicht erforderlich, dass Benutzer ihre Geräte erneut aktivieren.
1. Klicken Sie in der Menüleiste auf Benutzer.
2. Wählen Sie die Benutzer aus, für die Sie Secure Work Space entfernen möchten.
3. Klicken Sie auf .
4. Wenn Sie aufgefordert werden, Secure Work Space von den ausgewählten Geräten der Benutzer zu entfernen, klicken Sie auf Entfernen.
Wenn Sie Secure Work Space von einem Gerät entfernen, ändert sich die dem Gerät zugewiesene Aktivierungsart wie folgt:
• Geräten, die mit der Aktivierungsart Geschäftlich und persönlich – vollständige Kontrolle aktiviert wurden, wird die Aktivierungsart MDM-Steuerelemente zugewiesen.
• Geräten, die mit der Aktivierungsart Geschäftlich und persönlich – Benutzer-Datenschutz aktiviert wurden, wird die Aktivierungsart Datenschutz für Benutzer zugewiesen.
Befehle und Steuerelemente für Geräte
340
Wartung, Überwachung und Berichterstellung
Sie können den Status von BES12 mithilfe von Protokolldateien, Audit-Protokolldateien und SNMP-Tools überwachen und Berichte aus dem Dashboard und der Benutzerliste generieren.
Verwendung von ProtokolldateienSie können die Protokolldateien verwenden, um Probleme mit den BES12-Komponenten oder -Geräten in Ihrer Unternehmensumgebung zu erkennen und zu lösen. Mit den BES12-Protokollfunktionen können Sie:
• Die Aktivität der BES12-Komponenten mithilfe der Serverprotokolle nachverfolgen
• BES12-Protokolldateidaten an einen SysLog-Server oder an eine Textdatei senden
• Auslesen von Protokolldateien aus BlackBerry 10-Geräten
• App-Aktivitäten auf BlackBerry 10-Geräten überwachen
Verwalten von BES12-ProtokolldateienDie Größe der Protokolldateien variiert abhängig von der Anzahl der Benutzer und Geräte in Ihrer BES12-Umgebung und deren Aktivität. Es empfiehlt sich, die Menge des durch die Protokolldateien eingenommenen Festplattenspeichers zu überwachen und zu steuern. Um zu verhindern, dass sie zu viel Speicherplatz belegen, können Sie eine maximale Dateigröße und eine Debugebene für die Protokolldateien festlegen.
Protokolleinstellungen können Sie auf folgenden Ebenen konfigurieren:
• Globale Protokollierungseinstellungen: Diese Einstellungen gelten für alle BES12-Instanzen in Ihrer Organisation, die auf die gleiche Datenbank zugreifen. Diese Einstellungen umfassen den Speicherort der SysLog-Datei und die maximale Größe für die Protokolldateien.
• Instanzen-Protokollierungseinstellungen: Diese Einstellungen gelten nur für die von Ihnen ausgewählte BES12-Instanz, und Sie heben damit die globalen Einstellungen auf. Diese Einstellungen umfassen die Aktivierung der Option eines lokalen Speicherorts für die Protokolldateien und der Protokollierungsebene für die Protokolldateien.
Konfigurieren der globalen Protokollierungseinstellungen1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Infrastruktur. Klicken Sie auf Anmelden.
14
Wartung, Überwachung und Berichterstellung
341
3. Konfigurieren Sie die folgenden globalen Einstellungen entsprechend den Anforderungen Ihrer Organisationsumgebung:
Hinweis: Bei Änderungen an diesen Einstellungen ist ein Systemneustart erforderlich.
Einstellung Schritte
Weiterleitung der Systemereignisse an einen SysLog-Server
1. Aktivieren Sie das Kontrollkästchen SysLog. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
2. Legen Sie den Hostnamen und den Port für den Syslog-Server fest, an den Sie die BES12-Protokollereignisse weiterleiten möchten.
Festlegung der maximalen Dateigröße für die Protokolldateien der BES12-Komponente
Legen Sie im Feld Maximale Größe für Protokolldateien die maximale Größe in MB fest, die die einzelnen Protokolldateien erreichen dürfen.
Wenn eine Protokolldatei die maximale Größe erreicht, legt BES12 eine neue Version der Protokolldatei an.
Zum Festlegen des maximale Alters für die BES12-Serverprotokolldateien
Geben Sie im Feld Maximales Alter der Serverprotokolldatei den maximalen Zeitraum in Tagen ein, für den die Serverprotokolldateien gespeichert werden sollen, bevor sie gelöscht werden.
Wenn Sie keinen Wert angeben, werden die Protokolldateien nicht gelöscht.
Festlegung eines Netzwerk-Zielpfads für Protokolldateien der BlackBerry 10-Geräte
Legen Sie im Feld Netzwerkpfad des Geräteprotokolls den UNC-Pfad für die Speicherung der Aktivitäts-Protokolldateien fest, die Sie mithilfe der Verwaltungskonsole auslesen.
Maximales Alter der App-Überwachungsprotokolldatei des Geräts
Geben Sie im Feld Maximales Alter der App-Überwachungsprotokolldatei des Geräts den maximalen Zeitraum in Tagen ein, für den die App-Überwachungsprotokolldateien gespeichert werden sollen, bevor sie gelöscht werden.
Wenn Sie keinen Wert angeben, werden die Protokolldateien nicht gelöscht.
4. Klicken Sie auf Speichern.
Konfiguration der Instanzen-Protokollierungseinstellungen1. Klicken Sie in der Menüleiste auf Einstellungen.
2. Erweitern Sie im linken Fensterbereich die Option Infrastruktur. Klicken Sie auf Anmelden.
3. Erweitern Sie die Serverinstanz, die Sie konfigurieren möchten.
4. Konfigurieren Sie die folgenden Einstellungen entsprechend den Anforderungen Ihrer Organisationsumgebung:
Wartung, Überwachung und Berichterstellung
342
Einstellung Schritte
Festlegung des Speicherorts, unter dem Protokolldateien der BES12-Komponente gespeichert werden
Hinweis: Sie müssen das Kontrollkästchen zum Aktivieren von lokalem Speicherpfad in den globalen Protokollierungseinstellungen aktivieren, bevor Sie diese Einstellung ändern können.
1. Geben Sie den Pfad ein, unter dem Sie die Server-Protokolldateien speichern möchten. Standardmäßig werden die Protokolldateien unter C:\Program Files\BlackBerry\BES\Logs\yyyymmdd gespeichert.
Festlegen der Detailebene in den Protokolldateien
Wählen Sie in der Dropdown-Liste Fehlerbehebungsebenen protokollieren eine der folgenden Optionen aus:
• Info: Tägliche Aktivitäten, Warnungen und Fehlermeldungen in die Protokolldatei übernehmen.
• Warnen: Warnungen und Fehlermeldungen in die Protokolldatei übernehmen. Warnungen sind unerwartete Zwischenfälle, für die Sie ggf. in Aktion treten müssen.
• Fehler: Alle Fehlermeldungen in die Protokolldatei übernehmen. Bei einem Fehlerzustand müssen Sie in der Regel aktiv werden.
• Fehlerbehebung: Nur Informationen übernehmen, die für die Fehlerbehebung eines Problems erforderlich sind.
• Nachverfolgung: Zusätzliche Informationen aufzeichnen, die Entwickler bei der weiteren Fehlerbehebung unterstützen.
Standardmäßig ist die Fehlerbehebungsebene auf Info eingestellt.
Festlegen des Ordners für die App-Überwachungsprotokolle der BlackBerry 10-Geräte
Geben Sie im Feld Pfad des App-Überwachungsprotokolls des Geräts den Pfad ein, unter dem Sie die App-Überwachungsprotokolle des Geräts speichern möchten.
Festlegen der maximalen Größe für das App-Überwachungsprotokoll des Geräts
Legen Sie im Feld Maximale Größe für App-Überwachungsprotokolle die maximale Größe in MB fest, die die App-Überwachungsprotokolle des Geräts erreichen dürfen.
Wenn eine Protokolldatei die maximale Größe erreicht, legt BES12 eine neue Version der Protokolldatei an.
5. Klicken Sie auf Speichern.
Ändern des maximalen Alters einer Protokolldatei1. Klicken Sie in der Menüleiste auf Einstellungen.
Wartung, Überwachung und Berichterstellung
343
2. Erweitern Sie im linken Fensterbereich die Option Infrastruktur.
3. Klicken Sie auf Anmelden.
4. Erweitern Sie Globale Protokollierungseinstellungen.
5. Konfigurieren Sie das maximale Alter der Server-Protokolldatei in Tagen.
6. Klicken Sie auf Speichern.
Auffinden der ProtokolldateienStandardmäßig wird eine Server-Protokolldatei für jede BES12-Komponente erstellt und täglich auf dem Computer gespeichert, auf dem die Komponente installiert ist. Wenn Sie mehrere BES12-Instanzen installieren, legt jeder Computer seine eigenen Protokolldateien an. BES12 benennt die Protokolldateien wie folgt: <Servername>_<Komponentenbezeichnung>_<jjjjmmtt>_<Protokollnummer>.<Dateierweiterung> (z. B. BBServer01_MDAT_20140730_0001.txt).
Die folgenden Protokolldateien stehen in einer BES12-Lösung zur Verfügung:
• Protokolldateien für Komponenten, die für das Verwalten von BlackBerry 10-, iOS-, Android- und Windows-Geräten verwendet werden.
Protokolldateien sind:
• ACCS – Tomcat-Zugangsprotokolldateien
• AFMGR – BlackBerry Affinity Manager-Protokolldateien
• BGS – BlackBerry Gatekeeping Service-Protokolldateien
• BSG – BlackBerry Secure Gateway Service-Protokolldateien
• CORE – BES12 Core-Protokolldateien
• DISP – BlackBerry Dispatcher-Protokolldateien
• EVNT – BES12 Core-Ereignis-Protokolldateien
• MDAT – BlackBerry MDS Connection Service-Protokolldateien
• TMCT – Tomcat-Serverprotokolldateien
• UI – BES12-Protokolldateien der Verwaltungskonsole
• Die Datei <Server_FQDN>_jjjjmmtt.csv<Computer_FQDN>_jjjjmmtt.csv, die zur BlackBerry MDS Connection Service-Protokollierung für BES12 verwendet wird.
Hinweis: Weitere Einzelheiten zur CSV-Protokolldatei des BlackBerry MDS Connection Service finden Sie unter support.blackberry.com/kb im KB-Artikel 36936.
Weitere Protokolldateien werden erstellt, wenn Sie erstmalig BES12 installieren.
Standardmäßig werden diese Protokolldateien unter <Laufwerk>:\Program Files\BlackBerry\BES\Logs\<Datum oder Ordnername> gespeichert.
Wartung, Überwachung und Berichterstellung
344
• Für BlackBerry Secure Connect Plus werden folgende Protokolldateien verwendet:
• BSP: BlackBerry Secure Connect Plus-Protokolldateien, in denen Daten zu Verbindungen mit der BlackBerry Secure Connect Plus-App protokolliert werden
• BSCP-TS: BlackBerry Secure Connect Plus-Core-Protokolldateien, in denen Daten zur BlackBerry Secure Connect Plus-Komponente gespeichert werden
Die BlackBerry Secure Connect Plus-Protokolldateien werden unter <Laufwerk>:\Program Files\BlackBerry\BES\Logs\ gespeichert.
• Für BlackBerry Work Connect Notification Service werden folgende Protokolldateien verwendet:
• BWCN: BlackBerry Work Connect Notification Service-Protokolldateien
Die BlackBerry Work Connect Notification Service-Protokolldateien werden unter <Laufwerk>:\Program Files\BlackBerry\BES\Logs\BWCN\<Dateiname> gespeichert.
• Protokolldateien für Komponenten, die zur Verwaltung von BlackBerry OS-Geräten (Version 5.0 bis 7.1) (falls verfügbar) verwendet werden
Standardmäßig werden diese Protokolldateien täglich unter C:\Program Files\Research In Motion\BlackBerry Enterprise Server\Logs\<Datum oder Ordnername> gespeichert.
Weitere Informationen zu Protokolldateien für BES5 finden Sie im BES5-Administratorhandbuch.
• BBM-, Telefon-, PIN mit PIN-, SMS/MMS- und Videochat -Protokolle werden im CSV-Format gespeichert und zur Prüfung der App-Aktivitäten verwendet.
Die Audit-Protokolldateien der Apps werden für BlackBerry 10-Geräte unter C:\Program Files\BlackBerry\BES\Logs\ und die Audit-Protokolldateien der Apps für BlackBerry-OS-Geräte werden unter C:\Program Files(x86)\Research in Motion\BlackBerry Enterprise Server\Logs\ gespeichert.
Lesen der ProtokolldateienBES12-Protokolldateien werden in zwei Formaten gespeichert: als kommagetrennte Werte und als Textdateien.
BlackBerry Gatekeeping Service-Protokolle, BES12-Paketprotokolle, Protokolle für BlackBerry Messenger Kontakt und Nachricht, Telefonanrufe, PIN, SMS und Videochats werden im CSV-Format gespeichert.
Alle anderen Protokolldateien werden im TXT-Format gespeichert.
Lesen der .csv ProtokolldateienKommagetrennte Protokolldateien enthalten unterschiedliche Informationen, die davon abhängen, für welche Komponente, für welches Gerät oder für welche Geräte-App sie die Informationen protokollieren. Einige Beispiele für Protokolldateien im Format .csv sind die BlackBerry Gatekeeping Service-Protokolldatei sowie die App-Überwachungsprotokolle des Geräts, wie BBM oder das Telefonanrufprotokoll.
Wartung, Überwachung und Berichterstellung
345
Sie können die in der .csv Protokolldatei enthaltenen Informationen genau bestimmen, da die Informationen in jeder Protokollzeile in einem einfachen und einheitlichen Format aufgeführt sind. Jede Zeile der SMS-Protokolldatei enthält Informationen in folgendem Format:
Name.ID,"Email Address","Type of Message","To","From","Callback Phone Number","Body","Send/Received Date","Server Log Date","Overall Message Status","Command","UID"
Jede Zeile einer Telefonprotokolldatei zeigt Informationen in folgendem Format:
Name.ID,"Type of Call","Name","Phone Number","Start Date","Server Log Date","Elapsed Time","Memo","Command","UID","Phone Line"
Lesen von .txt ProtokolldateienProtokolldateien, die als .txt-Dateien gespeichert werden, haben zwei Basisformate:
• Das erste Format wird am häufigsten verwendet. Es beginnt in der Regel mit Datum und Zeit und stellt die Informationen auf folgende Weise bereit:
TimeStamp Hostname AppName ProcessId MessageID [StructuredData] Message
Beispiel:
2015-06-12T12:07:17.634-0400 computer.example.com MDM localhost-startStop-1 logging.feature.admin.application.management|logging.component.appmgmt [{{requestId,543ade23}{myContextInfo,runningContext}}] INFO Total 2 routes, of which 2 is started.
• Das zweite Format, das mit einer numerischen Ebenenanzeige beginnt, stellt die Informationen auf folgende Weise bereit:
Level Date Thread CID Message
Beispiel:
<#03>[30000] (09/10 00:00:00.122):{0x520} [DIAG] EVENT=Thread_report, THREADID=0x1390, THREADNAME="SRPReceiverHandler"
Je nach der zu protokollierenden Komponente bzw. Funktion gibt es einige Unterschiede. Alle als .txt-Dateien gespeicherten Protokolldateien enthalten jedoch die folgenden Basisinformationen.
Objekt Beschreibung
Datum oder Zeitstempel Ein Zeitstempel in der Form <Datum><Zeit><Abweichung zur UTC-Zeit>.
Datum/Zeit gibt das Datum und die Uhrzeit eines bestimmten Ereignisses an.
Hinweis: Datum und Zeitstempel werden in der Zeit des lokalen Servers angegeben.
Wartung, Überwachung und Berichterstellung
346
Objekt Beschreibung
Hostname oder Komponentenidentifikation
Anhand der Kennzeichnung der Komponente oder des Hostnamens können Sie erkennen, auf welche Komponente sich diese Protokolldatei bezieht. Während es in einigen Fällen eindeutig ist (zum Beispiel, bei CORE oder MDS-CS), ist es in anderen Fällen weniger ersichtlich, sodass ein numerisches Kennzeichen verwendet wird.
App-Name Der App-Name ist für alle Protokolldateien identisch und wird als MDM angezeigt.
ProcessID oder Thread Gibt die Java Thread-ID des Threads an, der derzeit eine Nachricht protokolliert. Beispiel:
localhost-startStop-1
MessageID Die MessageID identifiziert den Typ der Nachricht, die an die Protokolldatei gesendet wird. Es handelt sich um eine Kombination aus der Funktion und der Komponente, die protokolliert werden, im Format <Funktion>|<Komponente>. Beispiel:
admin.application.management|appmgmt
StructuredData Null oder mehr Name-Wert-Paare, welche die strukturierten Daten darstellen. Beispiel:
[{{requestId,543ade23}{myContextInfo,runningContext}}]
Nachricht Die Nachricht gibt die Aktivität an und beschreibt die Art des Ereignisses. Eine Nachricht könnte Informationen über die Hardware, die ausgeführte Software oder über das aufgetretene Problem enthalten. Beispiel:
INFO Total 2 routes, of which 2 is started.
Ebene Die Ereignisebene gibt die Art des Protokolleintrags an. Im Allgemeinen lassen sich die Ereignisse in die folgenden Kategorien einteilen:
• ERROR = Fehler
• WARN = Warnung
• INFO = Information
ENV = Umgebung
• DEBUG = Fehlerbehebung
• Sonstiges
◦ DIAG = Diagnose
◦ TRAC = Verfolgung
Wartung, Überwachung und Berichterstellung
347
Objekt Beschreibung
Bei einigen Protokolldateien wird die Ebene mit einem numerischen Wert in folgendem Format angegeben:
• [10000] = Fehler
• [20000] = Warnung
• [30000] = Informativ
• [40000] = Informationen zur Fehlerbehebung
• [50000] = Andere
Protokolldateiebenen
Ebene Beschreibung
DEBUG Diese Ebene legt die Informationen fest, die zur Fehlerbeseitigung bei Codierungsproblemen nützlich sind. Die Ereignisse können Folgendes enthalten:
• Status der Ressourcen, die vermutlich einen Fehler aufweisen
• Übergänge zwischen internen und externen Komponenten
• REST-Anforderungen an BES12 Core
• Anforderungen an Microsoft Active Directory
ERROR Diese Ebene spezifiziert einen Fehlerzustand, der Maßnahmen von Ihnen oder von einem Support-Experten erfordert. Die Ereignisse können Folgendes enthalten:
• Verschlüsselungsausnahmen
• Ausnahmen auf der Datenebene
• Wiederherstellbare Verschlüsselungsausnahmen
INFO Diese Ebene legt die normalen Systemereignisse fest, die Administratoren oder Support-Experten ggf. einsehen möchten.
Diese Ebene ist die Standardprotokollebene für BES12.
TRACE Diese Ebene legt Informationen fest, die für Personen mit Entwickler-Kenntnissen nützlich sind. Hierzu gehören auch Informationen, die für Klassen und Methoden-Nachverfolgung, Methodenparameter etc. verwendet werden.
WARN Diese Ebene kann auf einen Warnzustand oder auf erforderliche Maßnahmen hinweisen, oder anzeigen, dass ein unerwartetes Ereignis aufgetreten ist. Die Ereignisse können Folgendes enthalten:
Wartung, Überwachung und Berichterstellung
348
Ebene Beschreibung
• Inkonsistente Daten
• Unerwartete Anforderungen
• Autorisierungsfehler
• Authentifizierungsfehler
Protokolldateien zur Fehlerbehebung verwenden
Komponenten-bezeichner
Protokollierungskomponente Beschreibung
ACCS Apache Tomcat-Serverzugriff-Protokolldateien
In den Apache Tomcat-ACCS-Protokolldateien werden alle Zugriffsanforderungen für die BES12-Webdienste aufgezeichnet.
Sie können diese Protokolldateien verwenden, wenn Sie überprüfen möchten, ob Zugriffsanforderungen für die BES12-Webdienste erfolgreich oder nicht erfolgreich waren.
AFMGR BlackBerry Affinity Manager BlackBerry Affinity Manager umfasst Daten zur Funktionalität und zum Verfügbarkeitsstatus, wenn Sie mehr als einen BlackBerry Affinity Manager in der Umgebung des Unternehmens haben.
Außerdem können Sie Fehler in folgenden Zusammenhängen beheben:
• Konnektivität zwischen BES12 und der BlackBerry Infrastructure
• Konnektivität zwischen BES12 und BlackBerry 10-Geräten
• Integritätsprobleme, die zu einer Änderung von BlackBerry Affinity Manager führen.
BGS BlackBerry Gatekeeping Service Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• Geräte, die nicht in einer Umgebung aktiviert werden können, in der BlackBerry Gatekeeping Service verwendet wird.
• Konnektivität zu Ihrem BlackBerry Gatekeeping Service
• Konnektivität zwischen BES12 und der BlackBerry Infrastructure
• BlackBerry 10-Aktivierungen und Senden von Richtlinien und Profilen
• iOS, Android und Windows Phone-Konnektivität
Wartung, Überwachung und Berichterstellung
349
Komponenten-bezeichner
Protokollierungskomponente Beschreibung
BSCP BlackBerry Secure Connect Plus Protokolliert Daten über die BlackBerry Secure Connect Plus-Komponente.
Sie können anhand dieser Protokolldateien prüfen, ob BlackBerry Secure Connect Plus mit der BlackBerry Infrastructure verbunden ist. Beispiel:
2015-01-19T13:17:47.540-0500 - BSCP {TcpClientConnectorNio#2} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Received Ping from [id: 0x60bce5a3, /192.0.2.0:28231 => bcp.example.com/192.0.2.124:3101], responding with Pong.2015-01-19T13:18:22.989-0500 - BSCP {ChannelPinger#1} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Sending Ping to [id: 0xb4a1677a, /192.0.2.0:28232 => bcp.example.com/192.0.2.124:3101]
BSCP-TS BlackBerry Secure Connect Plus Core
Protokolliert Daten für Verbindungen mit dem BlackBerry Secure Connect Plus-Client.
Sie können anhand dieser Protokolldateien überprüfen, ob BlackBerry Secure Connect Plus Aufrufe vom BlackBerry Secure Connect Plus-Client auf Geräten empfangen kann. Beispiel:
47: [14:13:21.231312][][3][AsioTurnSocket-1] Connected, host=68-171-243-141.rdns.blackberry.net48: [14:13:21.239312][][3][AsioTurnSocket-1] Creating TURN allocation49: [14:13:21.405121][][3][AsioTurnSocket-1] TURN allocation created
Zum Überprüfen, ob Geräte den sicheren Tunnel verwenden. Beispiel:
74: [10:39:45.746926][][3][Tunnel-2FFEC51E] Sent: 2130.6 KB (1733), Received: 201.9 KB (1370), Running: 00:07:00.139249
BSG BlackBerry Secure Gateway Service
Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• iOS-Geräte, die keine E-Mail-Nachrichten senden oder empfangen können
Wartung, Überwachung und Berichterstellung
350
Komponenten-bezeichner
Protokollierungskomponente Beschreibung
• Konnektivität zwischen BES12 und der BlackBerry Infrastructure
• Konnektivität zwischen der BlackBerry Infrastructure und Microsoft Exchange oder dem Microsoft Office 365-Mailserver
BWCN BlackBerry Work Connect Notification Service
Sie können diese Protokolldateien verwenden, um Fehler im Zusammenhang mit iOS-Geräten zu beheben, die keine Benachrichtigungen zu neuen oder geänderten Elementen empfangen.
CORE BES12 Core Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• Core-Dienste oder -Transaktionen
• Transaktionen mit Strong Authentication by BlackBerry
• Datenmigration von BES10
DISP BlackBerry Dispatcher Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• Konnektivität zwischen BES12 und der BlackBerry Infrastructure
• Konnektivität zwischen BES12 und BlackBerry 10-Geräten
EVNT BES12 Core Sie können diese Protokolldateien verwenden, um Benachrichtigungen zu bestimmten Ereignissen im BES12 Core zu suchen.
MDAT BlackBerry MDS Connection Service
Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• BlackBerry 10-Geräteapps
• App-Push-Fehler
• App-Push-Authentifizierungsfehler
ROUT BlackBerry Router Diese Protokolldateien können Sie verwenden, um Fehler in folgenden Zusammenhängen zu beheben:
• BlackBerry Router-Installation
• Konnektivität zwischen BES12 und der BlackBerry Router
Wartung, Überwachung und Berichterstellung
351
Komponenten-bezeichner
Protokollierungskomponente Beschreibung
• Konnektivität zwischen BES12 und der BlackBerry Infrastructure
• Konnektivität zwischen dem BlackBerry Router und der BlackBerry Infrastructure
• Konnektivität zwischen Geräten und BES12
Hinweis: Die BlackBerry Router-Protokolldateien sind nur dann verfügbar, wenn Sie den BlackBerry Router in Ihrer Unternehmensumgebung installiert haben.
TMCT Apache Tomcat-Server-Protokolldateien
Die Apache Tomcat TMCT-Protokolldateien zeichnen alle Aktivitäten der Apache Tomcat-Webdienste auf.
Sie können diese Protokolldateien verwenden, wenn Sie Fehler im Zusammenhang mit der Verwaltungskonsole beheben.
UI Verwaltungskonsole Sie können diese Protokolldateien verwenden, wenn Sie Fehler im Zusammenhang mit der Verwaltungskonsole beheben.
Überwachen der App-Aktivitäten auf BlackBerry 10 und BlackBerry OS- GeräteSie können die Geräteprotokolle zur Überwachung der App-Aktivität auf BlackBerry 10-Geräten mit den Aktivierungsarten „Geschäftlich und persönlich – Unternehmen“, „Geschäftlich und persönlich – Reguliert“ und „Nur geschäftlicher Bereich“ und bei BlackBerry OS-Geräten (Version 5.0 bis 7.1) verwenden.
Zur Erstellung dieser Protokolldateien müssen Sie die folgende IT-Richtlinienregel konfigurieren:
IT-Richtlinienregel für BlackBerry 10
IT-Richtlinienregel für BlackBerry OS-Geräte
Beschreibung
BBM-Protokolle synchronisieren
Drahtlose BlackBerry Messenger-Synchronisierung deaktivieren
Diese Regel legt fest, ob ein Gerät die Protokolle aus BlackBerry Messenger mit BES12 synchronisiert.
Telefonprotokolle synchronisieren
Drahtlose Synchronisierung von Telefonanrufprotokollen deaktivieren
Diese Regel legt fest, ob ein Gerät das Anrufprotokoll für die Telefon-App mit BES12 synchronisiert.
PIN-zu-PIN-Protokolle synchronisieren
Drahtlose Synchronisierung von PIN-Nachrichten deaktivieren
Diese Regel legt fest, ob ein Gerät die Protokolle für PIN-Nachrichten mit BES12 synchronisiert.
Wartung, Überwachung und Berichterstellung
352
IT-Richtlinienregel für BlackBerry 10
IT-Richtlinienregel für BlackBerry OS-Geräte
Beschreibung
SMS/MMS-Protokolle synchronisieren
Drahtlose Synchronisierung von SMS-Nachrichten deaktivieren
Diese Regel legt fest, ob ein Gerät die Protokolle für SMS-Textnachrichten und MMS-Nachrichten mit BES12 synchronisiert.
Videochat-Protokolle synchronisieren
Gilt nicht für BlackBerry OS-Geräte
Diese Regel legt fest, ob ein BlackBerry 10-Gerät die Protokolle für die BBM Video-Funktion mit BES12 synchronisiert.
Die App-Überwachungsprotokolle für BlackBerry 10-Geräte werden standardmäßig in C:\Program Files\BlackBerry\BES\Logs\<yyyymmdd> gespeichert, während die App-Überwachungsprotokolle für BlackBerry OS-Geräte in C:\Program Files (x86)\Research in Motion\BlackBerry Enterprise Server\Logs\<yyyymmdd> gespeichert werden.
Anzeigen der GeräteaktionenAktionen, die auf einem Gerät aufgrund von Befehlen durchgeführt wurden oder werden, die Sie mit der BES12-Verwaltungskonsole gesendet haben, wie zum Beispiel Sperren eines Gerätes, Deaktivieren des geschäftlichen Bereichs oder Löschen von Gerätedaten.
Die Verfügbarkeit dieser Befehle hängt vom Gerät und von der Aktivierungsart ab.
Ein Gerätebefehl kann den folgenden Status haben:
• Befehl abgebrochen
• Befehl vom Gerät ausgeführt
• Befehl an das Gerät übertragen
• Befehlübertragung vom Gerät bestätigt
• Befehl fehlgeschlagen
• Befehl wird verarbeitet
• Benachrichtigung vom Gerät bestätigt
• Benachrichtigung an das Gerät gesendet
• In Warteschlange
Anzeigen der Geräteaktionen1. Suchen Sie auf der Seite Benutzer das Benutzerkonto, und klicken Sie es an.
2. Klicken Sie auf die Registerkarte des Gerätes, für das Sie die Geräteaktionen aufrufen möchten.
3. Klicken Sie auf Anzeigen der Geräteaktionen.
Wartung, Überwachung und Berichterstellung
353
Auslesen von Protokolldateien aus GerätenMithilfe der folgenden Methoden können Sie Protokolldateien aus Geräten auslesen:
Gerät Methode Beschreibung
BlackBerry 10 Auslesen von Protokolldateien aus BlackBerry 10-Geräten
Sie können Protokolldateien aus BlackBerry 10-Geräten auslesen, um die Fehlerbehebung zu erleichtern. Ein Speicherauszug der Protokolldateien zu dem Gerät wird jedes Mal erfasst, wenn Sie den Gerätebefehl zum Auslesen der Dateien verwenden. Die Benutzer werden darüber informiert, dass Sie während der Geräteaktivierung Systemprotokolldateien erfassen können, und erhalten je nach den Geräteeinstellungen ggf. eine erneute Benachrichtigung, wenn Sie den Befehl zum Auslesen der Protokolldateien absenden.
BlackBerry 10 BlackBerry 10-Geräteprotokolldateien an BlackBerry Technical Support Services senden
Sie können BlackBerry 10-Geräteprotokolldateien an BlackBerry Technical Support Services versenden, indem Sie die IT-Richtlinienregel „Protokolle an BlackBerry senden“ verwenden, die festlegt, ob das Gerät Protokolldateien erzeugen und senden kann.
iOS Versenden von Protokolldateien aus der Good for BES12-App
Benutzer von iOS-Geräten können die Geräteprotokolldateien per E-Mail an ihren Administrator senden, indem Sie das Menü „Hilfe“ in der Good for BES12-App verwenden.
Android Versenden von Protokolldateien vom BES12 Client
Benutzer von Android- oder Windows Phone-Geräten können die Geräteprotokolldateien per E-Mail an ihren Administrator senden, indem Sie das Menü „Hilfe“ in BES12 Client verwenden.
Windows 10 Senden von Protokolldateien aus dem BES12-App-Katalog
Benutzer von Windows 10-Geräten können die Geräteprotokolldateien per E-Mail an ihren Administrator senden, indem Sie das Menü „Hilfe“ im BES12-App-Katalog verwenden.
Auslesen von Protokolldateien aus BlackBerry 10-GerätenUm Protokolldateien von BlackBerry 10-Geräten auszulesen, müssen Sie die folgenden Voraussetzungen erfüllen:
• Auf dem BlackBerry 10-Gerät muss BlackBerry 10 OS Version 10.3.1 oder höher ausgeführt werden.
• Bei einem BlackBerry 10-Gerät, das mit der Aktivierungsart „Geschäftlich und persönlich – Unternehmen“ aktiviert wurde, muss der Gerätebenutzer die Remote Log Collection aktivieren, damit der Administrator die Protokolldateien auslesen kann. Wenn die Remote Log Collection nicht aktiviert ist, kann die Schaltfläche zum Abrufen der Geräteprotokolle in der BES12-Verwaltungskonsole nicht ausgewählt werden.
Wartung, Überwachung und Berichterstellung
354
Bei den Geräten, die mit den Aktivierungsarten „Geschäftlich und persönlich – Reguliert“ oder „Nur geschäftlicher Bereich“ aktiviert wurden, ist die Remote Log Collection standardmäßig aktiviert.
Standardmäßig kann die Rolle „Junior HelpDesk“ keine Protokolldateien auslesen.
1. Wählen Sie auf der Registerkarte Benutzer den Benutzer aus, für den Sie die Protokolldateien auslesen möchten.
2. Wählen Sie das Gerät aus, für das Sie die Protokolldateien auslesen möchten.
3. Klicken Sie auf Geräteprotokolle abrufen.
Wenn Sie fertig sind:
Rufen Sie die Geräteprotokolldateien ab. Standardmäßig werden die Protokolldateien unter C:\Program Files\BlackBerry\BES\Logs\device_logs gespeichert.
BlackBerry 10-Geräteprotokolldateien an BlackBerry Technical Support Services sendenSie können ein BlackBerry 10-Gerät so konfigurieren, dass es Protokolldateien an BlackBerry Technical Support Services senden kann. Sie können die IT-Richtlinienregel Protokolle an BlackBerry senden verwenden, die festlegt, ob das Gerät Protokolldateien erzeugen und senden kann.
Der Benutzer muss ein offenes Ticket bei BlackBerry Technical Support Services haben und beim Einreichen der Geräteprotokolldateien die Ticketnummer angeben. Wenn der Benutzer keine gültige Support-Ticketnummer oder nicht die zum Support-Ticket passende E-Mail-Adresse oder PIN-Nummer angibt, zeigt das Gerät beim Versuch, die Geräteprotokolldateien zu versenden, einen Fehler an.
Senden von Protokolldateien aus der Good for BES12App oder dem BES12 Client1. Tippen Sie auf dem Gerät auf das Symbol BES12.
2. Tippen Sie auf Hilfe.
3. Tippen Sie auf Bug Report.
4. Wählen Sie zum Versenden der Protokolldatei das E-Mail-Konto auf dem Gerät aus.
5. Tippen Sie auf Senden.
• iOS- und Android-Protokolldateien werden als ZIP-Datei an die E-Mail angehängt
• Windows Phone-Geräteprotokolldateien werden im Nachrichtentext der E-Mail angezeigt
Senden von Protokolldateien aus dem BES12-App-Katalog
1. Tippen Sie auf dem Windows 10-Gerät auf das Symbol BES12-App-Katalog.
2. Tippen Sie auf Hilfe.
3. Tippen Sie auf Bug Report.
Wartung, Überwachung und Berichterstellung
355
4. Wählen Sie zum Versenden der Protokolldatei das E-Mail-Konto auf dem Gerät aus.
5. Tippen Sie auf Senden. Die Protokolldateien werden als ZIP-Datei an die E-Mail angehängt.
Überwachungsereignisse in BES12BES12 sammelt Administrator- und Sicherheitsüberwachungsereignisse in Protokolldateien, die für die Überprüfung von Administratoraktionen und Interaktionen zwischen BES12 und Geräten genutzt werden können.
BES12 erfasst alle Aktionen, die von Administratoren in der Verwaltungskonsole ausgeführt werden, und zeigt diese im Audit-Bildschirm an. Sie können die Liste der Aktionen filtern, um nur die Aktionen anzuzeigen, die für Ihre Untersuchung relevant sind. Zu weiteren Analyse- oder Reporting-Zwecken können Sie die gefilterte Liste in eine CSV-Datei exportieren.
Sie können Sicherheitsüberwachungsereignisse aus dem Audit-Konfigurationsbildschirm in eine CSV-Datei exportieren. Sicherheitsüberwachungsereignisse umfassen Serveraktionen wie das Zustellen von Befehlen oder Richtlinien, das Starten und Beenden einer BES12-Instanz, das Aufbauen oder das Abbrechen vertrauenswürdiger Kanäle, den Zertifikatvalidierungsstatus und Änderungen an den Überwachungseinstellungen. Über den Audit-Konfigurationsbildschirm können Sie die Arten der Sicherheitsereignisse auswählen, die in der Protokolldatei erfasst werden sollen. Für einige Ereignisse können Sie auswählen, ob das Ereignis basierend auf einer erfolgreichen oder nicht erfolgreichen Ausführung protokolliert werden soll.
Konfigurieren von ÜberwachungseinstellungenSie können die Überwachung von Administrator- oder Sicherheitsereignissen in BES12 aktivieren bzw. deaktivieren. Wenn die Überwachung aktiviert ist, können Sie die Speicherdauer für Datensätze, die Anzahl der anzuzeigenden Ergebnisse und den Zeitpunkt für das Löschen alter Datensätze auswählen. Wenn die Überwachung deaktiviert ist, werden alle Datensätze gelöscht.
1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Überwachungskonfiguration.
2. Klicken Sie im rechten Fensterbereich auf .
3. Führen Sie im Abschnitt Überwachungseinstellungen für Administratorereignisse eine der folgenden Aktionen aus:
Aufgabe Schritte
Administratorereignisüberwachung aktivieren
1. Klicken Sie im Feld Administratorereignisüberwachung auf Aktiviert.
2. Geben Sie im Feld Administratorüberwachungsaufzeichnungen aufbewahren die Anzahl der Tage ein, für die der Datensatz gespeichert werden soll.
3. Geben Sie im Feld für die Maximale Anzahl an Einträgen die maximale Anzahl der Datensätze ein, die auf der Benutzeroberfläche angezeigt werden soll. Wenn die Anzahl der Datensätze diesen Wert überschreitet, muss der Administrator den Datumsbereich verkürzen oder eine Kategorie auswählen, um die Anzahl der Datensätze zu verringern.
Wartung, Überwachung und Berichterstellung
356
Aufgabe Schritte
4. Wählen Sie im Feld Tägliche Löschzeit (UTC-Zeitzone) die Tageszeit aus, zu der alte Datensätze gelöscht werden sollen.
Administratorereignisüberwachung deaktivieren und alle Datensätze entfernen
1. Klicken Sie im Feld Administratorereignisüberwachung auf Deaktiviert.
4. Führen Sie im Abschnitt Einstellungen für die Sicherheitsereignisüberwachung eine der folgenden Aktionen aus:
Aufgabe Schritte
Sicherheitsereignisüberwachung aktivieren
1. Klicken Sie im Feld Sicherheitsereignisüberwachung auf Aktiviert.
2. Geben Sie im Feld für das Aufbewahrung der Sicherheitsüberwachungsaufzeichnungen die Anzahl der Tage ein, für die der Datensatz gespeichert werden soll.
3. Wählen Sie im Feld für die Tägliche Löschzeit (UTC-Zeitzone) die Tageszeit aus, zu der alte Datensätze gelöscht werden sollen.
4. Klicken Sie zum Beenden der Überwachung eines Sicherheitsereignisses auf , das neben dem Ereignistyp angezeigt wird.
5. Klicken Sie zum Hinzufügen zu überwachender Sicherheitsereignisse auf . Wählen Sie die Ereignisse aus, und klicken Sie auf Hinzufügen.
6. Optional: Wenn eine Dropdown-Liste verfügbar ist, wählen Sie in der Spalte Einstellung neben einem Ereignistyp die Bedingung für die Protokollierung des Ereignisses aus.
Sicherheitsereignisüberwachung deaktivieren und alle Datensätze entfernen
1. Klicken Sie im Feld Sicherheitsereignisüberwachung auf Deaktiviert.
5. Klicken Sie auf Speichern.
Wenn Sie fertig sind:
• Führen Sie einen Neustart des BES12 Core-Dienstes auf jedem Computer aus, der eine BES12-Instanz hostet.
• Melden Sie sich erneut bei der Verwaltungskonsole an.
Wartung, Überwachung und Berichterstellung
357
Anzeigen und Filtern von Administrator-ÜberwachungsereignissenDie folgenden Schritte beziehen sich nur auf das Anzeigen und Filtern von Administrator-Überwachungsereignisprotokollen. Informationen zum Anzeigen von Sicherheitsüberwachungsprotokollen finden Sie unter Exportieren von Sicherheitsüberwachungsereignissen in eine CSV-Datei.
1. Klicken Sie in der Menüleiste auf Audit > Bearbeiten.
2. Wählen Sie eine Kategorie und einen Datumsbereich aus. Klicken Sie auf Senden.
3. Klicken Sie unter Filter auf eine Kategorie, um diese zu erweitern.
4. Wählen Sie die Filter aus, die Sie anwenden möchten, und klicken Sie auf Senden.
5. Optional: Klicken Sie im rechten Fensterbereich auf . Wählen Sie die Spalten aus, die Sie anzeigen möchten.
6. Falls notwendig, führen Sie einen der folgenden Schritte aus:
• Zum Entfernen eines Filters klicken Sie auf neben dem Filter, den Sie entfernen möchten.
• Zum Entfernen aller Filter klicken Sie auf Alle entfernen.
Wenn Sie fertig sind: Exportieren der Administrator-Überwachungsereignisse in eine CSV-Datei, falls erforderlich.
Exportieren der Administrator-Überwachungsereignisse in eine CSV-DateiWenn Sie Administrator-Überwachungsereignisse in eine CSV-Datei exportieren, enthält diese Datei die von Ihnen gefilterten Daten.
1. Klicken Sie in der Menüleiste auf Audit.
2. Filtern Sie im linken Fensterbereich ggf. das Überwachungsprotokoll, um nur die Daten anzuzeigen, die Sie in die .csv-Datei aufnehmen möchten.
3. Klicken Sie auf und speichern Sie die Datei.
Exportieren von Sicherheitsüberwachungsereignissen in eine CSV-DateiWenn Sie Sicherheitsüberwachungsereignisse in eine .csv-Datei exportieren, enthält diese Datei alle protokollierten Sicherheitsereignisse.
1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Überwachungskonfiguration.
Wartung, Überwachung und Berichterstellung
358
2. Klicken Sie im Abschnitt Einstellungen für die Sicherheitsereignisüberwachung auf Exportieren, und speichern Sie die Datei.
Löschen von ÜberwachungsdatensätzenSie können Überwachungsdatensätze vor dem nächsten täglichen Löschzeitpunkt löschen.
1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Überwachungskonfiguration.
2. Klicken Sie im Abschnitt Überwachungseinstellungen für Administratorereignisse oder Überwachungseinstellungen für Sicherheitsereignisse auf Löschen.
3. Klicken Sie auf Löschen.
Verwenden von SNMP zur Überwachung von BES12Mithilfe von SNMP-Tools von Drittherstellern können Sie die Aktivität von BES12 überwachen.
Informationen zur SNMP-Konfiguration für die Überwachung von BES12 Core, BlackBerry Secure Connect Plus, BlackBerry Secure Gateway Service und anderen BES12-Komponenten finden Sie in der Dokumentation zur Konfiguration.
SNMP-Zähler für Enterprise-KonnektivitätDie folgenden Tabellen enthalten Informationen über einige wichtige SNMP-Zähler zur Überwachung der Leistung und Aktivität von BES12-Komponenten:
BlackBerry Router
Gruppe Tabelle Zähler
routerProcess
.1.3.6.1.4.1.3530.8.7.35.5
routerProcInfoTable
.1.3.6.1.4.1.3530.8.7.35.5.2
Überwachung auf PID-Änderungen
routerProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.35.5.2.1.1
Ganze Zahl
Numerischer Bezeichner für den Prozess
routerStatistics
.1.3.6.1.4.1.3530.8.7.35.20
routerBaseStatsTable
.1.3.6.1.4.1.3530.8.7.35.20.5
routerBaseStatsTableSocksConnections
.1.3.6.1.4.1.3530.8.7.35.20.5.1.6
Wartung, Überwachung und Berichterstellung
359
Gruppe Tabelle Zähler
Zahl der aktuell vom BlackBerry Router bereitgestellten SOCKS-Verbindungen
routerEvents
.1.3.6.1.4.1.3530.8.7.35.30
routerEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.35.30.2
Trap
Legt fest, dass der Dienst für die Komponente gestartet wurde.
routerEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.35.30.3
Trap
Legt fest, dass der Dienst für die Komponente angehalten wurde.
routerSOCKSTrafficStats
.1.3.6.1.4.1.3530.8.7.35.45
routerRouterSOCKSTrafficStatsTable
.1.3.6.1.4.1.3530.8.7.35.45.5
routerRouterSOCKSTrafficStatsTableBytesReceived
.1.3.6.1.4.1.3530.8.7.35.45.5.1.4
Counter64
Gesamtzahl der über SOCKS-Verbindungen empfangenen Bytes
routerRouterSOCKSTrafficStatsTableBytesSent
.1.3.6.1.4.1.3530.8.7.35.45.5.1.6
Counter64
Gesamtzahl der über SOCKS-Verbindungen gesendeten Bytes
routerRouterSOCKSTrafficStatsTableReceiveTransactions
.1.3.6.1.4.1.3530.8.7.35.45.5.1.8
Counter64
Gesamtzahl der über SOCKS-Verbindungen erfolgten Empfangsvorgänge
Wartung, Überwachung und Berichterstellung
360
Gruppe Tabelle Zähler
routerRouterSOCKSTrafficStatsTableSendTransactions
.1.3.6.1.4.1.3530.8.7.35.45.5.1.10
Counter64
Gesamtzahl der über SOCKS-Verbindungen erfolgten Sendevorgänge
routerSOCKSConn
.1.3.6.1.4.1.3530.8.7.35.130
routerSOCKSConnSOCKSConnConfigTable
.1.3.6.1.4.1.3530.8.7.35.130.10
routerSOCKSConnSOCKSConnConfigTableDownstreamSocksHost
.1.3.6.1.4.1.3530.8.7.35.130.10.1.2
Oktettzeichenfolge
Hostname des nachfolgenden Endpunkts
routerSOCKSConnSOCKSConnConfigTableUpstreamSocksHost
.1.3.6.1.4.1.3530.8.7.35.130.10.1.4
Oktettzeichenfolge
Hostname des voranstehenden Endpunkts
routerSOCKSConnSOCKSConnConfigTableUpstreamSocksPort
.1.3.6.1.4.1.3530.8.7.35.130.10.1.6
Ganze Zahl
Port des voranstehenden Endpunkts
routerSOCKSConnSOCKSConnStateTable
.1.3.6.1.4.1.3530.8.7.35.130.15
routerSOCKSConnSOCKSConnStateTableConnected
.1.3.6.1.4.1.3530.8.7.35.130.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
routerSOCKSConnSOCKSConnStateTableLastConDate
Wartung, Überwachung und Berichterstellung
361
Gruppe Tabelle Zähler
.1.3.6.1.4.1.3530.8.7.35.130.15.1.4
Ganze Zahl
Zeitpunkt, zu dem die Verbindung das letzte Mal erfolgreich hergestellt wurde
routerSOCKSConnSOCKSConnEvents
.1.3.6.1.4.1.3530.8.7.35.130.140
routerSOCKSConnSOCKSConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.35.130.140.2
Trap
Gibt an, dass die Verbindung hergestellt wurde.
routerSOCKSConnSOCKSConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.35.130.140.3
Trap
Gibt an, dass die Verbindung verloren wurde.
BlackBerry Affinity Manager
Gruppe Tabelle Zähler
affinitymgrProcess
.1.3.6.1.4.1.3530.8.7.145.5
affinitymgrProcInfoTable
.1.3.6.1.4.1.3530.8.7.145.5.2
Überwachung auf PID-Änderungen in:
affinitymgrProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.145.5.2.1.1
Ganze Zahl
Numerischer Bezeichner für den Prozess
affinitymgrConfig
.1.3.6.1.4.1.3530.8.7.145.10
affinitymgrFailoverAssignmentConfigTable
.1.3.6.1.4.1.3530.8.7.145.10.25
Überwachung auf Lastverteilungskonfiguration
affinitymgrFailoverAssignmentConfigTableMinimumDifference
.1.3.6.1.4.1.3530.8.7.145.10.25.1.4
Ganze Zahl
Wartung, Überwachung und Berichterstellung
362
Gruppe Tabelle Zähler
Mindestdifferenz bei Benutzergeräten zwischen BES12-Instanzen, bei welcher der Lastausgleicher eingreift.
affinitymgrFailoverAssignmentConfigTableMaximumBatchSize
.1.3.6.1.4.1.3530.8.7.145.10.25.1.6
Ganze Zahl
Maximalzahl der Benutzergeräte pro Einzelzuweisung
affinitymgrFailoverAssignmentConfigTableMaximumPerServer
.1.3.6.1.4.1.3530.8.7.145.10.25.1.8
Ganze Zahl
Maximalzahl der Benutzergeräte, die einer BES12-Instanz zugewiesen werden können
affinitymgrRcpConfigTable
.1.3.6.1.4.1.3530.8.7.145.10.30
affinitymgrRcpConfigTableNumProcThreads
.1.3.6.1.4.1.3530.8.7.145.10.30.1.2
Ganze Zahl
Zahl der Threads, die RCP-Verbindungen verarbeiten
affinitymgrRCPTrafficStats
.1.3.6.1.4.1.3530.8.7.145.15
affinitymgrRCPStatsTable
.1.3.6.1.4.1.3530.8.7.145.15.5
affinitymgrRCPStatsTableBytesReceived
.1.3.6.1.4.1.3530.8.7.145.15.5.1.4
Counter64
Gesamtzahl der über RCP-Verbindungen empfangenen Bytes
affinitymgrRCPStatsTableBytesSent
.1.3.6.1.4.1.3530.8.7.145.15.5.1.6
Counter64
Wartung, Überwachung und Berichterstellung
363
Gruppe Tabelle Zähler
Gesamtzahl der über RCP-Verbindungen gesendeten Bytes
affinitymgrRCPStatsTableReceiveTransactions
.1.3.6.1.4.1.3530.8.7.145.15.5.1.8
Counter64
Gesamtzahl der über RCP-Verbindungen erfolgten Empfangsvorgänge
affinitymgrRCPStatsTableSendTransactions
.1.3.6.1.4.1.3530.8.7.145.15.5.1.10
Counter64
Gesamtzahl der über RCP-Verbindungen erfolgten Sendevorgänge
affinitymgrRCPStatsTableExternalRcpConnections
.1.3.6.1.4.1.3530.8.7.145.15.5.1.12
Ganze Zahl
Gesamtzahl der externen RCP-Verbindungen
affinitymgrRCPStatsTableInternalSrvConnections
.1.3.6.1.4.1.3530.8.7.145.15.5.1.14
Ganze Zahl
Gesamtzahl der internen Serververbindungen
affinitymgrHA
.1.3.6.1.4.1.3530.8.7.145.20
affinitymgrHAStatsTable
.1.3.6.1.4.1.3530.8.7.145.20.20
affinitymgrHAStatsTableHAMode
.1.3.6.1.4.1.3530.8.7.145.20.20.1.2
Ganze Zahl
Gibt an, ob der Hochverfügbarkeitsmodus der
Wartung, Überwachung und Berichterstellung
364
Gruppe Tabelle Zähler
Komponente „primär“ oder „standby“ ist 1 = primär
affinitymgrEvents
.1.3.6.1.4.1.3530.8.7.145.30
affinitymgrEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.145.30.2
Trap
affinitymgrEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.145.30.3
Trap
affinitymgrDatabaseConn
.1.3.6.1.4.1.3530.8.7.145.90
affinitymgrDatabaseConnBaseConfigTable
.1.3.6.1.4.1.3530.8.7.145.90.5
affinitymgrDatabaseConnBaseConfigTableLastModTime
.1.3.6.1.4.1.3530.8.7.145.90.5.1.1
Ganze Zahl
Zeitpunkt der letzten Änderung eines Wertesatzes
affinitymgrDatabaseConnBaseConfigTableEndB
.1.3.6.1.4.1.3530.8.7.145.90.5.1.6
Oktettzeichenfolge
Namen der Verbindungsendpunkte
affinitymgrDatabaseConnConnectionStatsTable
.1.3.6.1.4.1.3530.8.7.145.90.15
affinitymgrDatabaseConnConnectionStatsTableConnected
.1.3.6.1.4.1.3530.8.7.145.90.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
affinitymgrDatabaseConnConnectionStatsTableLastConDate
.1.3.6.1.4.1.3530.8.7.145.90.15.1.4
Ganze Zahl
Wartung, Überwachung und Berichterstellung
365
Gruppe Tabelle Zähler
Zeitpunkt, zu dem die Verbindung mit der BES12-Datenbank das letzte Mal erfolgreich hergestellt wurde
affinitymgrDatabaseConnConnectionStatsTableLastErrRsn
.1.3.6.1.4.1.3530.8.7.145.90.15.1.6
Oktettzeichenfolge
Grund des letzten Verbindungsfehlers
affinitymgrDatabaseConnConnectionStatsTableLastErrCode
.1.3.6.1.4.1.3530.8.7.145.90.15.1.8
Ganze Zahl
Fehlercode des zuletzt bei der BES12-Datenbankverbindung aufgetretenen Fehlers. Weitere Informationen enthalten die Protokolldateien.
affinitymgrDatabaseConnConnectionStatsTableLastErrorTime
.1.3.6.1.4.1.3530.8.7.145.90.15.1.10
Ganze Zahl
Zeitpunkt des letzten Fehlschlagens der Verbindung
affinitymgrDatabaseConnConnectionStatsTableNumTrans
.1.3.6.1.4.1.3530.8.7.145.90.15.1.12
Ganze Zahl
Zahl der an die BES12-Datenbank gesendeten SQL-Transaktionen
affinitymgrDatabaseConnConnectionStatsTableAvgRspTime
.1.3.6.1.4.1.3530.8.7.145.90.15.1.14
Ganze Zahl
Wartung, Überwachung und Berichterstellung
366
Gruppe Tabelle Zähler
Durchschnittliche Antwortzeit der Verbindung
affinitymgrDatabaseConnConnectionStatsTableErrs
.1.3.6.1.4.1.3530.8.7.145.90.15.1.16
Ganze Zahl
Zahl der bei der Datenbankverbindung aufgetretenen Fehler
affinitymgrDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.145.90.20
affinitymgrDatabaseConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.145.90.20.2
Trap
affinitymgrDatabaseConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.145.90.20.3
Trap
affinitymgrExternalRcpConn
.1.3.6.1.4.1.3530.8.7.145.100
affinitymgrExternalRcpConnRCPConnStatsTable
.1.3.6.1.4.1.3530.8.7.145.100.15
affinitymgrExternalRcpConnRCPConnStatsTableConnected
.1.3.6.1.4.1.3530.8.7.145.100.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung mit der BES12-Datenbank hergestellt wurde.
affinitymgrExternalRcpConnRCPConnStatsTableLastConDate
.1.3.6.1.4.1.3530.8.7.145.100.15.1.4
Ganze Zahl
Zeitpunkt, zu dem die Verbindung das letzte Mal erfolgreich hergestellt wurde
Wartung, Überwachung und Berichterstellung
367
Gruppe Tabelle Zähler
affinitymgrExternalRcpConnRCPConnStatsTableLastErrCode
.1.3.6.1.4.1.3530.8.7.145.100.15.1.6
Ganze Zahl
Fehlercode des letzten Verbindungsfehlers. Weitere Informationen enthalten die Protokolldateien. Wenn die Verbindung mit der BlackBerry Infrastructure fehlschlägt, ist der Wert ungleich Null. Wenn die Verbindung erfolgreich ist, wird der Zähler auf Null gesetzt.
affinitymgrExternalRcpConnRCPConnEvents
.1.3.6.1.4.1.3530.8.7.145.100.20
Wenn eine Verbindung hergestellt ist, sollte sie bestehen bleiben. Achten Sie darauf, ob es zahlreiche Verbindungs-/Neuverbindungsereignisse gibt, und untersuchen Sie ggf., warum die Verbindung nicht bestehen bleibt.
affinitymgrExternalRcpConnRCPConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.145.100.20.2
Trap
affinitymgrExternalRcpConnRCPConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.145.100.20.3
Trap
affinitymgrExternalRcpConnRCPConnProxyTable
.1.3.6.1.4.1.3530.8.7.145.100.30
affinitymgrExternalRcpConnRCPConnProxyTableHost
.1.3.6.1.4.1.3530.8.7.145.100.30.1.2
Oktettzeichenfolge
Wartung, Überwachung und Berichterstellung
368
Gruppe Tabelle Zähler
Aktiver Proxy-Inhaltsserver
affinitymgrServers
.1.3.6.1.4.1.3530.8.7.145.120
affinitymgrServersServerStateTable
.1.3.6.1.4.1.3530.8.7.145.120.30
affinitymgrServersServerStateTableNumUsers
.1.3.6.1.4.1.3530.8.7.145.120.30.1.6
Zahl der jedem Server zugewiesenen Benutzer, indiziert nach Server-ID
Ganze Zahl
BlackBerry MDS Connection Service
Gruppe Tabelle Zähler
mdscsProcess
.1.3.6.1.4.1.3530.8.7.40.5
mdscsProcInfoTable
.1.3.6.1.4.1.3530.8.7.40.5.2
mdscsProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.40.5.2.1.1
Ganze Zahl
Numerischer Bezeichner für den Prozess
mdscsStatistics
.1.3.6.1.4.1.3530.8.7.40.20
mdscsStatsTable
.1.3.6.1.4.1.3530.8.7.40.20.5
mdscsStatsTableProcQLen
.1.3.6.1.4.1.3530.8.7.40.20.5.1.4
Counter64
Zahl der in der Verarbeitungswarteschlange ausstehenden Transaktionen
mdscsEvents
.1.3.6.1.4.1.3530.8.7.40.30
mdscsEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.40.30.2
Trap
mdscsEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.40.30.3
Trap
mdscsMDSStats
.1.3.6.1.4.1.3530.8.7.40.40
mdscsMDSSummaryTable
.1.3.6.1.4.1.3530.8.7.40.40.15
mdscsMDSSummaryTableRefusedPackets
.1.3.6.1.4.1.3530.8.7.40.40.15.1.6
Wartung, Überwachung und Berichterstellung
369
Gruppe Tabelle Zähler
Counter64
Zahl der vom BlackBerry Dispatcher abgelehnten Pakete
mdscsMDSSummaryTableInvalidPackets
.1.3.6.1.4.1.3530.8.7.40.40.15.1.8
Counter64
Zahl der an den BlackBerry Dispatcher gesendeten ungültigen Pakete
mdscsMDSSummaryTableExpiredPackets
.1.3.6.1.4.1.3530.8.7.40.40.15.1.9
Counter64
Zahl der abgelaufenen IPPP-Pakete
mdscsMDSSummaryTableTimedoutConnections
.1.3.6.1.4.1.3530.8.7.40.40.15.1.14
Counter64
Zahl der Push-Verbindungen, bei denen eine Bereitstellung nicht innerhalb des Standard-Timeouts erfolgen konnte. Dieser Zähler wird nur für Push-Verbindungen gemeldet, für die kein bestimmtes Bereitstellungs-Timeout gilt.
mdscsMDSSummaryTableRefusedConnections
.1.3.6.1.4.1.3530.8.7.40.40.15.1.15
Counter64
Zahl der abgelehnten IPPP-Verbindungen
mdscsMDSSummaryTableSrpsuccess
.1.3.6.1.4.1.3530.8.7.40.40.15.1.16
Wartung, Überwachung und Berichterstellung
370
Gruppe Tabelle Zähler
Counter64
Zahl der erfolgreichen SRP-Verbindungen mit dem BlackBerry Dispatcher.
mdscsMDSSummaryTableSrpfailure
.1.3.6.1.4.1.3530.8.7.40.40.15.1.18
Counter64
Zahl der fehlerhaften SRP-Verbindungen mit dem BlackBerry Dispatcher.
mdscsMDSAdvancedStats
.1.3.6.1.4.1.3530.8.7.40.70
mdscsRatesTable
.1.3.6.1.4.1.3530.8.7.40.70.5
mdscsRatesTableSocketConnectionFailedCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.34
counter64
Zahl der ausgehenden TCP-Socket-Verbindungen, die nicht geöffnet werden konnten
mdscsRatesTableMaxSocketConnections
.1.3.6.1.4.1.3530.8.7.40.70.5.1.36
Counter64
Zahl der ausgehenden TCP-Socket-Verbindungen, die während des vorherigen Berichtsintervalls offen/aktiv waren
mdscsRatesTableSocketConnectionSuccessCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.38
Counter64
Zahl der ausgehenden TCP-Socket-Verbindungen, die während des vorherigen Berichtsintervalls erfolgreich geöffnet wurden
Wartung, Überwachung und Berichterstellung
371
Gruppe Tabelle Zähler
mdscsRatesTableSocketDisconnectionCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.40
Counter64
Zahl der ausgehenden TCP-Socket-Verbindungen, die während des vorherigen Berichtsintervalls erfolgreich geschlossen wurden
mdscsRatesTableMessageSentCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.42
Counter64
Zahl der über ausgehende TCP-Socket-Verbindungen an externe Server gesendeten Datenpakete
mdscsRatesTableMessageReceivedCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.44
Counter64
Zahl der über ausgehende TCP-Socket-Verbindungen von externen Servern empfangene Datenpakete
mdscsMDSCSExtended
.1.3.6.1.4.1.3530.8.7.40.80
mdscsExtendedRatesTable
.1.3.6.1.4.1.3530.8.7.40.80.5
mdscsExtendedRatesTableNumActive
.1.3.6.1.4.1.3530.8.7.40.80.5.1.2
Counter64
Zahl der aktiven IPPP/TCP-Verbindungen
mdscsExtendedRatesTableBytesIn
.1.3.6.1.4.1.3530.8.7.40.80.5.1.4
Counter64
Gesamtzahl der über TCP-Verbindungen empfangenen Bytes (in KB)
mdscsExtendedRatesTableBytesOut
Wartung, Überwachung und Berichterstellung
372
Gruppe Tabelle Zähler
.1.3.6.1.4.1.3530.8.7.40.80.5.1.6
Counter64
Gesamtzahl der über TCP-Verbindungen gesendeten Bytes (in KB)
mdscsExtendedRatesTableConnectionErrors
.1.3.6.1.4.1.3530.8.7.40.80.5.1.8
Counter64
Zahl der Socket-Verbindungsfehler
mdscsDatabaseConn
.1.3.6.1.4.1.3530.8.7.40.90
mdscsDatabaseConnBaseConfigTable
.1.3.6.1.4.1.3530.8.7.40.90.5
mdscsDatabaseConnBaseConfigTableEndB
.1.3.6.1.4.1.3530.8.7.40.90.5.1.6
Oktettzeichenfolge
Namen der Verbindungsendpunkte Name der BES12-Datenbank
mdscsDatabaseConnConfigTable
.1.3.6.1.4.1.3530.8.7.40.90.10
mdscsDatabaseConnConfigTableConnParams
.1.3.6.1.4.1.3530.8.7.40.90.10.1.2
Oktettzeichenfolge
Für die Verbindung mit der BES12-Datenbank verwendete Parameter
mdscsDatabaseConnConnectionStatsTable
.1.3.6.1.4.1.3530.8.7.40.90.15
mdscsDatabaseConnConnectionStatsTableConnected
.1.3.6.1.4.1.3530.8.7.40.90.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
mdscsDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.40.90.20
mdscsDatabaseConnEventsConnectEvent
Wartung, Überwachung und Berichterstellung
373
Gruppe Tabelle Zähler
.1.3.6.1.4.1.3530.8.7.40.90.20.2
Trap
mdscsDatabaseConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.40.90.20.3
Trap
mdscsDispatcherConn
.1.3.6.1.4.1.3530.8.7.40.110
mdscsDispatcherConnConnectionStatsTable
.1.3.6.1.4.1.3530.8.7.40.110.10
mdscsDispatcherConnConnectionStatsTableConnected
.1.3.6.1.4.1.3530.8.7.40.110.10.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
mdscsDispatcherConnConnectionStatsTableLastConDate
.1.3.6.1.4.1.3530.8.7.40.110.10.1.4
Ganze Zahl
Zeitpunkt, zu dem die Verbindung das letzte Mal erfolgreich hergestellt wurde
mdscsDispatcherConnEvents
.1.3.6.1.4.1.3530.8.7.40.110.15
mdscsDispatcherConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.40.110.15.2
Trap
mdscsDispatcherConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.40.110.15.3
Trap
Wartung, Überwachung und Berichterstellung
374
BlackBerry Dispatcher
Gruppe Tabelle Zähler
dispatcherProcess
.1.3.6.1.4.1.3530.8.7.15.5
dispatcherProcInfoTable
.1.3.6.1.4.1.3530.8.7.15.5.2
dispatcherProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.15.5.2.1.1
Ganze Zahl
Numerischer Bezeichner für den Prozess
dispatcherStatistics
.1.3.6.1.4.1.3530.8.7.15.20
dispatcherDispatcherStatsTable
.1.3.6.1.4.1.3530.8.7.15.20.5
dispatcherDispatcherStatsTableProcQLen
.1.3.6.1.4.1.3530.8.7.15.20.5.1.4
Ganze Zahl
Zahl der in der Verarbeitungswarteschlange ausstehenden Transaktionen
dispatcherDispatcherStatsTableNumUsers
.1.3.6.1.4.1.3530.8.7.15.20.5.1.6
Ganze Zahl
Zahl der dem Dienst zugewiesenen Benutzer
dispatcherDispatcherStatsTableBIPPWorkQueueSize
.1.3.6.1.4.1.3530.8.7.15.20.5.1.8
Ganze Zahl
Zahl der geschäftlichen Anforderungspakete in der Warteschlange des prozessübergreifenden BlackBerry-Protokollmoduls
dispatcherTrafficStats
.1.3.6.1.4.1.3530.8.7.15.30
dispatcherTotalTrafficStatsToTable
.1.3.6.1.4.1.3530.8.7.15.30.33
dispatcherTotalTrafficStatsToTableMTH
.1.3.6.1.4.1.3530.8.7.15.30.33.1.2
Ganze Zahl
Wartung, Überwachung und Berichterstellung
375
Gruppe Tabelle Zähler
Gesamtzahl der an alle Geräte gesendeten Nachrichten
dispatcherTotalTrafficStatsFromTable
.1.3.6.1.4.1.3530.8.7.15.30.34
dispatcherTotalTrafficStatsFromTableMFH
.1.3.6.1.4.1.3530.8.7.15.30.34.1.2
Ganze Zahl
Gesamtzahl der von allen Geräten gesendeten Nachrichten
dispatcherEvents
.1.3.6.1.4.1.3530.8.7.15.40
dispatcherEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.15.40.2
Trap
dispatcherEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.15.40.3
Trap
dispatcherDatabaseConn
.1.3.6.1.4.1.3530.8.7.15.90
dispatcherDatabaseConnBaseConfigTable
.1.3.6.1.4.1.3530.8.7.15.90.5
dispatcherDatabaseConnBaseConfigTableEndB
.1.3.6.1.4.1.3530.8.7.15.90.5.1.6
Oktettzeichenfolge
Namen der Verbindungsendpunkte
dispatcherDatabaseConnConfigTable
.1.3.6.1.4.1.3530.8.7.15.90.10
dispatcherDatabaseConnConfigTableConnParams
.1.3.6.1.4.1.3530.8.7.15.90.10.1.2
Oktettzeichenfolge
Für die Verbindung mit der BES12-Datenbank verwendete Parameter
dispatcherDatabaseConnConnectionStatsTable
.1.3.6.1.4.1.3530.8.7.15.90.15
dispatcherDatabaseConnConnectionStatsTableConnected
.1.3.6.1.4.1.3530.8.7.15.90.15.1.2
Ganze Zahl
Wartung, Überwachung und Berichterstellung
376
Gruppe Tabelle Zähler
Gibt an, ob die Verbindung hergestellt wurde.
dispatcherDatabaseConnConnectionStatsTableLastConDate
.1.3.6.1.4.1.3530.8.7.15.90.15.1.4
Ganze Zahl
Zeitpunkt, zu dem die Verbindung das letzte Mal erfolgreich hergestellt wurde
dispatcherDatabaseConnConnectionStatsTableLastErrCode
.1.3.6.1.4.1.3530.8.7.15.90.15.1.8
Ganze Zahl
Fehlercode des letzten Verbindungsfehlers. Weitere Informationen enthalten die Protokolldateien.
dispatcherDatabaseConnConnectionStatsTableLastErrRsn
.1.3.6.1.4.1.3530.8.7.15.90.15.1.6
Oktettzeichenfolge
Grund des letzten Verbindungsfehlers
dispatcherDatabaseConnConnectionStatsTableLastErrorTime
.1.3.6.1.4.1.3530.8.7.15.90.15.1.10
Ganze Zahl
Zeitpunkt des letzten Fehlschlagens der Verbindung
dispatcherDatabaseConnConnectionStatsTableNumTrans
.1.3.6.1.4.1.3530.8.7.15.90.15.1.12
Ganze Zahl
Wartung, Überwachung und Berichterstellung
377
Gruppe Tabelle Zähler
Zahl der an die BlackBerry Configuration Database gesendeten Transaktionen
dispatcherDatabaseConnConnectionStatsTableAvgRspTime
.1.3.6.1.4.1.3530.8.7.15.90.15.1.14
Ganze Zahl
Durchschnittliche Antwortzeit der Verbindung
dispatcherDatabaseConnConnectionStatsTableErrs
.1.3.6.1.4.1.3530.8.7.15.90.15.1.16
Ganze Zahl
Zahl der bei der Datenbankverbindung aufgetretenen Fehler
dispatcherDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.15.90.20
dispatcherDatabaseConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.15.90.20.2
Trap
dispatcherDatabaseConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.15.90.20.3
Trap
dispatcherInternalSrvConn
.1.3.6.1.4.1.3530.8.7.15.110
dispatcherInternalSrvConnRCPConnStatsTable
.1.3.6.1.4.1.3530.8.7.15.110.15
dispatcherInternalSrvConnRCPConnStatsTableConnected
.1.3.6.1.4.1.3530.8.7.15.110.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
Wartung, Überwachung und Berichterstellung
378
Gruppe Tabelle Zähler
dispatcherInternalSrvConnRCPConnStatsTableTransQLen
.1.3.6.1.4.1.3530.8.7.15.110.15.1.14
Ganze Zahl
Länge der Übertragungswarteschlange (Zahl der Transaktionen, die auf die Übertragung warten)
dispatcherInternalSrvConnRCPConnStatsTableBytesReceived
.1.3.6.1.4.1.3530.8.7.15.110.15.1.16
Counter64
Über die RCP-Verbindung empfangene Bytes
dispatcherInternalSrvConnRCPConnStatsTableBytesSent
.1.3.6.1.4.1.3530.8.7.15.110.15.1.18
Counter64
Über die RCP-Verbindung gesendete Bytes
dispatcherInternalSrvConnRCPConnStatsTableReceiveTransactions
.1.3.6.1.4.1.3530.8.7.15.110.15.1.20
Counter64
Zahl der über die RCP-Verbindung erfolgten Empfangsvorgänge
dispatcherInternalSrvConnRCPConnStatsTableSendTransactions
.1.3.6.1.4.1.3530.8.7.15.110.15.1.22
Counter64
Zahl der über die RCP-Verbindung erfolgten Sendevorgänge
Wartung, Überwachung und Berichterstellung
379
Gruppe Tabelle Zähler
dispatcherInternalSrvConnRCPConnEvents
.1.3.6.1.4.1.3530.8.7.15.110.20
dispatcherInternalSrvConnRCPConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.15.110.20.2
Trap
dispatcherInternalSrvConnRCPConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.15.110.20.3
Trap
dispatcherRcpConn
.1.3.6.1.4.1.3530.8.7.15.120
dispatcherRcpConnRCPConnStatsTable
.1.3.6.1.4.1.3530.8.7.15.120.15
dispatcherRcpConnRCPConnStatsTableLastModTime
.1.3.6.1.4.1.3530.8.7.15.120.15.1.1
Ganze Zahl
Zeitpunkt der letzten Änderung eines Wertesatzes
dispatcherRcpConnRCPConnStatsTableConnected
.1.3.6.1.4.1.3530.8.7.15.120.15.1.2
Ganze Zahl
Gibt an, ob die Verbindung hergestellt wurde.
dispatcherRcpConnRCPConnStatsTableLastConDate
.1.3.6.1.4.1.3530.8.7.15.120.15.1.4
Ganze Zahl
Zeitpunkt, zu dem die Verbindung das letzte Mal erfolgreich hergestellt wurde
dispatcherRcpConnRCPConnStatsTableLastErrCode
Wartung, Überwachung und Berichterstellung
380
Gruppe Tabelle Zähler
.1.3.6.1.4.1.3530.8.7.15.120.15.1.6
Ganze Zahl
Fehlercode des letzten Verbindungsfehlers. Weitere Informationen enthalten die Protokolldateien.
dispatcherRcpConnRCPConnStatsTableTransQLen
.1.3.6.1.4.1.3530.8.7.15.120.15.1.14
Ganze Zahl
Länge der Übertragungswarteschlange (Zahl der Transaktionen, die auf die Übertragung warten)
dispatcherRcpConnRCPConnStatsTableBytesReceived
.1.3.6.1.4.1.3530.8.7.15.120.15.1.16
Counter64
Über die RCP-Verbindung empfangene Bytes
dispatcherRcpConnRCPConnStatsTableBytesSent
.1.3.6.1.4.1.3530.8.7.15.120.15.1.18
Counter64
Über die RCP-Verbindung gesendete Bytes
dispatcherRcpConnRCPConnStatsTableReceiveTransactions
.1.3.6.1.4.1.3530.8.7.15.120.15.1.20
Counter64
Zahl der über die RCP-Verbindung erfolgten Empfangsvorgänge
Wartung, Überwachung und Berichterstellung
381
Gruppe Tabelle Zähler
dispatcherRcpConnRCPConnStatsTableSendTransactions
.1.3.6.1.4.1.3530.8.7.15.120.15.1.22
Counter64
Zahl der über die RCP-Verbindung erfolgten Sendevorgänge
dispatcherRcpConnRCPConnEvents
.1.3.6.1.4.1.3530.8.7.15.120.20
dispatcherRcpConnRCPConnEventsConnectEvent
.1.3.6.1.4.1.3530.8.7.15.120.20.2
Trap
dispatcherRcpConnRCPConnEventsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.15.120.20.3
Trap
SNMP-Zähler für BES12 CoreDie folgenden Tabellen enthalten Informationen über einige wichtige SNMP-Zähler zur Überwachung der Leistung und Aktivität von BES12 Core:
Überwachung
Gruppe Tabelle Zähler
monitors
.1.3.6.1.4.1.3530.8.1.1.2
reconciliationmonitor
.1.3.6.1.4.1.3530.8.1.1.2.1
reconciliationmonitorReconciliationRequestCount
.1.3.6.1.4.1.3530.8.1.1.2.1.1
Unsigned32
Kumulative Zahl der Synchronisierungsanforderungen
Wartung, Überwachung und Berichterstellung
382
Gruppe Tabelle Zähler
reconciliationmonitorReconciliationCurrentTime
.1.3.6.1.4.1.3530.8.1.1.2.1.4
Gauge32
Zeitdauer des letzten Synchronisierungsprozesses
reconciliationmonitorReconciliationTotalTime
.1.3.6.1.4.1.3530.8.1.1.2.1.5
Unsigned32
Zeitdauer aller Synchronisierungsprozesse
coretobcpconnectionmonitor
.1.3.6.1.4.1.3530.8.1.1.2.100
coretobcpconnectionmonitorConnectionCount
.1.3.6.1.4.1.3530.8.1.1.2.100.1
Unsigned32
Zahl der Verbindungen zwischen BES12 Core und der BlackBerry Infrastructure
coretobcpconnectionmonitorConnectionFailureCount
.1.3.6.1.4.1.3530.8.1.1.2.100.2
Unsigned32
Zahl der fehlerhaften Verbindungen zwischen BES12 Core und der BlackBerry Infrastructure
coretobcpconnectionmonitorTotalProcessingTime
.1.3.6.1.4.1.3530.8.1.1.2.100.3
Gauge32
coretobcpconnectionmonitorBytesFromBcp
Wartung, Überwachung und Berichterstellung
383
Gruppe Tabelle Zähler
.1.3.6.1.4.1.3530.8.1.1.2.100.4
Gauge32
Zahl der aus der BlackBerry Infrastructure empfangenen Bytes insgesamt
coretobcpconnectionmonitorBytesToBcp
.1.3.6.1.4.1.3530.8.1.1.2.100.5
Gauge32
Zahl der an die BlackBerry Infrastructure gesendeten Bytes insgesamt
Workflow
Gruppe Tabelle Zähler
wffqueues
.1.3.6.1.4.1.3530.8.1.1.3
androidnotificationqueue
.1.3.6.1.4.1.3530.8.1.1.3.1
androidnotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.1.1
Unsigned32
Zahl der Hinzufügungen zur Warteschlange
androidnotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.1.2
Unsigned32
Aktuelle Größe der Warteschlange
androidnotificationqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.1.3
Unsigned32
Zahl der Entnahmen aus der Warteschlange
applenotificationqueue
.1.3.6.1.4.1.3530.8.1.1.3.2
applenotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.2.1
Wartung, Überwachung und Berichterstellung
384
Gruppe Tabelle Zähler
Unsigned32
Zahl der Hinzufügungen zur Warteschlange
applenotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.2.2
Unsigned32
Aktuelle Größe der Warteschlange
applenotificationqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.2.3
Unsigned32
Zahl der Entnahmen aus der Warteschlange
bbnotificationqueue
.1.3.6.1.4.1.3530.8.1.1.3.4
bbnotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.4.1
Unsigned32
Zahl der Hinzufügungen zur Warteschlange
bbnotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.4.2
Unsigned32
Aktuelle Größe der Warteschlange
bbnotificationqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.4.3
Unsigned32
Zahl der Entnahmen aus der Warteschlange
devicerestqueue
.1.3.6.1.4.1.3530.8.1.1.3.7
devicerestqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.7.1
Unsigned32
Wartung, Überwachung und Berichterstellung
385
Gruppe Tabelle Zähler
Zahl der Hinzufügungen zur Warteschlange
devicerestqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.7.2
Unsigned32
Aktuelle Größe der Warteschlange
devicerestqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.7.3
Unsigned32
Zahl der Entnahmen aus der Warteschlange
downloadrestqueue
.1.3.6.1.4.1.3530.8.1.1.3.9
downloadrestqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.9.1
Unsigned32
Zahl der Hinzufügungen zur Warteschlange
downloadrestqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.9.2
Unsigned32
Aktuelle Größe der Warteschlange
downloadrestqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.9.3
Unsigned32
Zahl der Entnahmen aus der Warteschlange
SNMP-Zähler für BlackBerry Secure Connect PlusDie folgende Tabelle enthält Informationen über einige wichtige SNMP-Zähler zur Überwachung der Leistung und Aktivität von BlackBerry Secure Connect Plus:
Wartung, Überwachung und Berichterstellung
386
Überwachung
Gruppe Überwachungspunkte Zähler
monitors
.1.3.6.1.4.1.3530.8.2.1.2
Ptsservicemonitor
.1.3.6.1.4.1.3530.8.2.1.2.1
Überwachungspunkte des BlackBerry Secure Connect Plus-Diensts
ptsservicemonitorptsTunnelCount
.1.3.6.1.4.1.3530.8.2.1.2.1.1
GAUGE32
Gesamtzahl der Gerätetunnel seit dem Start
ptsservicemonitorcountOfCurrentPtsTunnels
.1.3.6.1.4.1.3530.8.2.1.2.1.2
GAUGE32
Zahl der aktuellen Gerätetunnel
ptsservicemonitorptsBytesSentTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.7
GAUGE32
An den Client gesendete BSCP-Bytes insgesamt
ptsservicemonitorptsBytesReceivedTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.8
GAUGE32
Von Clients empfangene BSCP-Pakete
ptsservicemonitorptsBytesDroppedTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.9
GAUGE32
Verlorene BSCP-Bytes insgesamt
ptsservicemonitoractiveTurnAllocations
.1.3.6.1.4.1.3530.8.2.1.2.1.10
GAUGE32
Zahl der derzeit aktiven Verbindungen mit der BlackBerry Infrastructure
Wartung, Überwachung und Berichterstellung
387
Gruppe Überwachungspunkte Zähler
coretobcpconnectionmonitorBytesFromBcp
.1.3.6.1.4.1.3530.8.1.1.2.100.4
Gauge32
Zahl der aus der BlackBerry Infrastructure empfangenen Bytes insgesamt
ptsservicemonitorptsPacketsDroppedTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.11
GAUGE32
Verlorene BSCP-Pakete insgesamt
Verwenden von Dashboard-BerichtenDas Dashboard präsentiert die systemeigenen Benutzer- und Geräteinformationen aus den BES12-Diensten in Form von Graphiken. Wenn Sie den Cursor über einen Datenpunkt bewegen (z. B. über ein Segment in einem Kreisdiagramm) können Sie Informationen zu den Benutzern oder Geräten anzeigen.
Wenn Sie weitere Informationen benötigen, können Sie einen Bericht aus der Graphik aufrufen, um detaillierte Informationen zu den Benutzern oder Geräten anzuzeigen. Die maximale Anzahl an Einträgen in einem Bericht ist auf 2000 begrenzt. Sie können aus dem Bericht eine .csv Datei erstellen und die Datei zu weiteren Analyse- oder Reporting-Zwecken exportieren.
Um ein Benutzerkonto zu öffnen und zu verwalten, können Sie in einem Bericht auf den Benutzer oder das Gerät klicken. Wenn Sie ein Konto abgeschlossen haben, können Sie auf der Seite (nicht im Browser) durch Klicken auf „Zurück“ wieder zum Bericht zurückkehren.
In der folgenden Tabelle werden die Informationen beschrieben, die jeder einzelne Dashboard-Bericht anzeigt.
Dashboard-Bericht Beschreibung
Geräte mit und ohne Roaming Eine Liste der Benutzer mit Geräten, die sich derzeit in einem Roaming-Status befinden
Geräteaktivierungen Eine dynamische Darstellung der Geräte, die im Laufe einer 12-monatigen Phase pro Monat in Ihrer Organisation aktiviert wurden. Die Informationen basieren auf dem Zeitpunkt, an dem die Geräte erstmalig aktiviert wurden. Die Anzahl der Geräte ändert sich und spiegelt so die derzeit aktivierten Geräte wieder. Beispiel: Wird ein Gerät deaktiviert,
Wartung, Überwachung und Berichterstellung
388
Dashboard-Bericht Beschreibung
das Sie im August aktiviert haben, wird die im August dargestellte Anzahl der Geräte um ein Gerät reduziert.
Top 5 der installierten zugewiesenen Apps
Die fünf häufigsten Apps, die von Ihrer Organisation zugewiesen und auf Geräten installiert wurden
Geräte nach Plattform Eine Liste der in Ihrer Organisation vorhandenen Geräte, geordnet nach der Plattform
Gerätekompatibilität Eine Liste der Probleme, die bei BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten in Ihrer Organisation erkannt wurden
Geräte, geordnet nach dem letzten Kontaktzeitpunkt
Die Anzahl der Tage, die seit der letzten Kontaktaufnahme der Geräte mit dem Server vergangen sind
Geräte nach Betreiber Eine Liste der in Ihrem Unternehmen vorhandenen Geräte, geordnet nach Mobilfunkanbieter
Top 5 Gerätemodelle Die fünf häufigsten Mobilgerät-Modelle in Ihrer Organisation
Ändern des GrafiktypsSie können den Grafiktyp ändern, der zur graphischen Darstellung von Informationen verwendet wird.
Klicken Sie neben einer Grafik auf , und wählen Sie aus der Dropdown-Liste einen Grafiktyp aus.
Exportieren eines Dashboard-Berichts in eine .csv-Datei1. Um einen Bericht zu öffnen, klicken Sie auf eine Graphik.
2. Um die Einträge anhand der ausgewählten Spalte zu sortieren, klicken Sie auf eine Spaltenüberschrift.
3. Klicken Sie auf Exportieren, und speichern Sie die Datei.
Anzeigen und Speichern eines GeräteberichtsSie können einen Gerätebericht generieren, um detaillierte Informationen zu jedem Gerät, das mit BES12 verknüpft ist, anzuzeigen.
1. Klicken Sie in der Menüleiste auf Benutzer und Geräte.
2. Suchen Sie nach einem Benutzerkonto.
Wartung, Überwachung und Berichterstellung
389
3. Klicken Sie in den Suchergebnissen auf den Namen des Benutzerkontos.
4. Klicken Sie auf die Registerkarte „Gerät“.
5. Klicken Sie auf Anzeigen des Geräteberichts.
6. Klicken Sie auf Exportieren, um den Gerätebericht ggf. in einer Datei auf dem Computer zu speichern.
Wartung, Überwachung und Berichterstellung
390
Profileinstellungen
Zeigen Sie detaillierte Beschreibungen der Profileinstellungen an, um Hilfe bei der Konfiguration von E-Mail, IMAP/POP3-E-Mail, SCEP, Wi-Fi und VPN-Profilen zu erhalten.
E-Mail-ProfileinstellungenSie können eine Variable in einem beliebigen Textfeld der Profileinstellungen verwenden, um einen Wert zu referenzieren, statt den tatsächlichen Wert anzugeben.BES12unterstützt vordefinierte Standardvariablen sowie von Ihnen festgelegte benutzerdefinierte Variablen. E-Mail-Profile werden auf den folgenden Gerätetypen unterstützt:
• BlackBerry 10
• iOS
• OS X
• Android
• Windows
In einigen Fällen wird die erforderliche Mindestversion des Gerätebetriebssystems zur Unterstützung einer Einstellung nicht von BES12 unterstützt. Weitere Informationen zu den unterstützten Versionen finden Sie in der Kompatibilitätsmatrix.
Allgemein: E-Mail-ProfileinstellungenAllgemein: E-Mail-Profileinstellung
Beschreibung
Domänenname Diese Einstellung legt den Domänenname des Mailservers fest.
E-Mail-Adresse Diese Einstellung legt die E-Mail-Adresse des Benutzers fest. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserEmailAddress%-Variable verwenden.
Hostname oder IP-Adresse Diese Einstellung legt den Hostnamen oder die IP-Adresse Mailservers fest.
Benutzername Diese Einstellung legt den Benutzernamen des Benutzers fest. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable verwenden.
Automatische Gatekeeping-Server
Diese Einstellung legt die Microsoft Exchange-Server fest, die automatisches Gatekeeping für Geräte nutzen können. Wenn das E-Mail-Konto eines Benutzers auf einem bestimmten Server liegt, der Benutzer eines der folgenden Geräte aktiviert und das Gerät die
15
Profileinstellungen
391
Allgemein: E-Mail-Profileinstellung
Beschreibung
Sicherheitsrichtlinien Ihres Unternehmens erfüllt, wird das Gerät automatisch zu der Liste der zulässigen Geräte in Microsoft Exchange hinzugefügt:
• BlackBerry 10
• Windows
• iOS
• OS X
• Android -Gerät mit Secure Work Space
Geräte werden automatisch aus der Liste der zulässigen Geräte entfernt, wenn eine nicht zugewiesene App installiert wird, wenn das Gerät gegen die Einstellungen im zugewiesenen Kompatibilitätsprofil verstößt, oder wenn das Gerät deaktiviert wird.
Vorhandenen Benutzerkonten oder Gruppen müssen Sie das mit Gatekeeping konfigurierte E-Mail-Profil manuell erneut zuweisen, um diese Funktion zu implementieren.
Wenn Sie automatisches Gatekeeping einrichten, muss die Einstellung „Profiltyp“ für BlackBerry 10- und Windows-Geräte auf „Exchange ActiveSync“ festgelegt werden.
BlackBerry 10: E-Mail-ProfileinstellungenBlackBerry 10: E-Mail-Profileinstellung
Beschreibung
Kontoname Diese Einstellung legt den Namen des geschäftlichen E-Mail-Kontos fest, der im BlackBerry Hub und in den Geräteeinstellungen angezeigt wird. Sie können eine Variable wie etwa „%UserEmailAddress%“ verwenden.
Port Diese Einstellung legt den Port fest, der für die Verbindung zum Mailserver verwendet wird.
Übermittlungseinstellungen
Profiltyp Diese Einstellung legt fest, ob das Profil Exchange ActiveSync oder IBM Notes Traveler unterstützen soll.
Mögliche Werte:
• Exchange ActiveSync
• IBM Notes Traveler
Der Standardwert ist „Exchange ActiveSync“.
Profileinstellungen
392
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
SyncML-Server Diese Einstellung legt den FQDN des IBM Notes Traveler-Servers fest, den ein BlackBerry 10-Gerät verwenden kann, um ToDo-Daten zu synchronisieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „IBM Notes Traveler“ gesetzt ist.
SyncML-Port Diese Einstellung legt den Port des Notes Traveler-Servers fest, den ein BlackBerry 10-Gerät verwenden kann, um ToDo-Daten zu synchronisieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „IBM Notes Traveler“ gesetzt ist.
SSL für SyncML verwenden Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät eine SSL-Verbindung zum Notes Traveler-Server aufbauen muss.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „IBM Notes Traveler“ gesetzt ist.
Push aktiviert Diese Einstellung legt fest, ob der Mailserver E-Mail-Nachrichten mithilfe von Push auf ein BlackBerry 10-Gerät übertragen kann.
Zeitraum zwischen Synchronisierungen
Diese Einstellung legt fest, wie häufig ein BlackBerry 10-Gerät neue E-Mail-Nachrichten vom Mailserver abruft.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Push aktiviert“ nicht ausgewählt ist.
Mögliche Werte:
• Manuell
• 5 Minuten
• 15 Minuten
• 30 Minuten
• 1 Stunde
• 2 Stunden
• 4 Stunden
• 24 Stunden
Der Standardwert ist „15 Minuten“.
Tage für Synchronisierung Diese Einstellung legt fest, für wie viele Tage in der Vergangenheit E-Mail-Nachrichten und Terminplanerdaten auf ein BlackBerry 10-Gerät synchronisiert werden sollen.
Mögliche Werte:
Profileinstellungen
393
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
• 1 Tag
• 3 Tage
• 7 Tage
• 14 Tage
• 1 Monat
• Unbegrenzt
Der Standardwert ist „1 Monat“.
Beim Roaming manuelle Synchronisierung initiieren
Diese Einstellung legt fest, ob ein Benutzer beim Roaming eine Synchronisierung zwischen einem BlackBerry 10-Gerät und dem Mailserver starten muss.
SSL verwenden Diese Einstellung legt fest, ob ein Gerät SSL verwenden muss, um eine Verbindung zum Mailserver aufzubauen.
Kalendersynchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät Kalendereinträge mit dem Mailserver synchronisiert.
Kontaktsynchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät Kontakte mit dem Mailserver synchronisiert.
E-Mail-Synchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät E-Mail-Nachrichten mit dem Mailserver synchronisiert.
Notizensynchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät Notizen mit dem Mailserver synchronisiert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „Exchange ActiveSync“ gesetzt ist.
Aufgabensynchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät Aufgabendaten mit dem Mailserver synchronisiert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „Exchange ActiveSync“ gesetzt ist.
ToDo-Synchronisierung Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät die ToDo-Daten mit Notes Traveler synchronisiert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „IBM Notes Traveler“ gesetzt ist.
Sichere E-Mail-Einstellungen
Profileinstellungen
394
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
Standardverschlüsselung für ausgehende Nachrichten vorschlagen
Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät die Standardverschlüsselung (z. B. nur Text, signieren, verschlüsseln oder signieren und verschlüsseln) für alle ausgehenden E-Mail-Nachrichten vorschlägt. Wenn diese Einstellung auf „Zulassen“ gesetzt ist, kann ein Benutzer entscheiden, ob das Gerät die Standardverschlüsselung oder eine Verschlüsselung basierend auf dem Nachrichtenverlauf vorschlägt. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, schlägt das Gerät die Standardverschlüsselung vor. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, schlägt das Gerät die Verschlüsselung basierend auf dem Nachrichtenverlauf vor.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
S/MIME-Einstellungen
S/MIME-Unterstützung Diese Einstellung legt fest, ob S/MIME auf einem BlackBerry 10-Gerät aktiviert ist. Wenn diese Einstellung auf „Zulassen“ gesetzt ist, kann ein Benutzer entscheiden, ob S/MIME-Schutz auf dem Gerät aktiviert oder nicht aktiviert werden soll. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, ist S/MIME-Schutz auf dem Gerät aktiviert, und der Benutzer kann ihn nicht deaktivieren. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, ist S/MIME-Schutz auf dem Gerät deaktiviert, und der Benutzer kann ihn nicht aktivieren.
Um verschlüsselte E-Mail-Nachrichten senden zu können, muss der Benutzer den öffentlichen Schlüssel des Empfängers auf seinem Gerät beziehungsweise der Smartcard zur Verfügung haben. Um digital signierte E-Mail-Nachrichten senden zu können, muss der private Schlüssel des Benutzers auf dem Gerät beziehungsweise der Smartcard verfügbar sein.
Diese Einstellung hat höhere Priorität als die Einstellungen „Digital signierte S/MIME-Nachrichten“ und „Verschlüsselte S/MIME-Nachrichten“.
Diese Einstellung betrifft die Einstellung „PGP-Support“. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, muss die Einstellung „PGP-Support“ auf „Nicht zulassen“ gesetzt werden.
Mögliche Werte:
• Zulassen
• Erforderlich
Profileinstellungen
395
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Digital signierte S/MIME-Nachrichten
Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät ausgehende E-Mail-Nachrichten mit digitaler Signatur sendet. Wenn diese Einstellung auf „Zulassen“ gesetzt ist, kann der Benutzer entscheiden, ob er ausgehende E-Mail-Nachrichten digital signieren möchte. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, muss der Benutzer ausgehende E-Mail-Nachrichten digital signieren. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, kann der Benutzer ausgehende E-Mail-Nachrichten nicht digital signieren.
Um digital signierte E-Mail-Nachrichten senden zu können, muss der private Schlüssel des Benutzers auf dem Gerät beziehungsweise der Smartcard verfügbar sein.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME-Unterstützung“ auf „Zulassen“ oder „Erforderlich“ gesetzt ist.
Wenn die Einstellung „S/MIME-Unterstützung“ auf „Erforderlich“ gesetzt ist und sowohl diese Einstellung als auch die Einstellung „Verschlüsselte S/MIME-Nachrichten“ auf „Nicht zulassen“ gesetzt sind, werden die Einstellung „Verschlüsselte S/MIME-Nachrichten“ und diese Einstellung ignoriert, und die Standardeinstellung „Zulassen“ wird für beide Einstellungen verwendet.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Verschlüsselte S/MIME-Nachrichten
Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät ausgehende E-Mail-Nachrichten mit S/MIME-Verschlüsselung verschlüsselt. Wenn diese Einstellung auf „Zulassen“ gesetzt ist, kann der Benutzer entscheiden, ob ausgehende E-Mail-Nachrichten verschlüsselt oder nicht verschlüsselt werden sollen. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, muss der Benutzer ausgehende E-Mail-Nachrichten verschlüsseln. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, kann der Benutzer ausgehende E-Mail-Nachrichten nicht verschlüsseln.
Um verschlüsselte E-Mail-Nachrichten senden zu können, muss der Benutzer den öffentlichen Schlüssel des Empfängers auf seinem Gerät beziehungsweise der Smartcard zur Verfügung haben.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME-Unterstützung“ auf „Zulassen“ oder „Erforderlich“ gesetzt ist.
Profileinstellungen
396
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
Wenn die Einstellung „S/MIME-Unterstützung“ auf „Erforderlich“ gesetzt ist und sowohl diese Einstellung als auch die Einstellung „Digital signierte S/MIME-Nachrichten“ auf „Nicht zulassen“ gesetzt sind, werden die Einstellung „Digital signierte S/MIME-Nachrichten“ und diese Einstellung ignoriert, und die Standardeinstellung „Zulassen“ wird für beide Einstellungen verwendet.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Verschlüsselungsalgorithmen Diese Einstellung gibt die Verschlüsselungsalgorithmen an, mit denen ein BlackBerry 10-Gerät S/MIME-geschützte E-Mail-Nachrichten verschlüsseln kann.
Mögliche Werte:
• AES (256-Bit)
• AES (192-Bit)
• AES (128-Bit)
• Triple DES
• RC2
Der Standardwert ist ein Nullwert.
PGP-Einstellungen
PGP-Unterstützung Diese Einstellung legt fest, ob PGP-Schutz auf einem BlackBerry 10-Gerät aktiviert ist. Wenn diese Einstellung auf „Zulassen“ gesetzt ist, kann ein Benutzer entscheiden, ob PGP-Schutz auf dem Gerät aktiviert oder nicht aktiviert werden soll. Wenn diese Einstellung auf „Erforderlich“ gesetzt ist, ist PGP-Schutz auf dem Gerät aktiviert, und der Benutzer kann ihn nicht deaktivieren. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, ist PGP-Schutz auf dem Gerät deaktiviert, und der Benutzer kann ihn nicht aktivieren.
Um verschlüsselte E-Mail-Nachrichten senden zu können, muss der Benutzer den öffentlichen Schlüssel des Empfängers auf seinem Gerät zur Verfügung haben. Um digital signierte E-Mail-Nachrichten senden zu können, muss der private Schlüssel des Benutzers auf dem Gerät verfügbar sein.
Die Einstellung „S/MIME-Unterstützung“ betrifft diese Einstellung. Wenn die Einstellung „S/MIME-Unterstützung“ auf „Erforderlich“ oder „Zulassen“ gesetzt und die Einstellung „Digital
Profileinstellungen
397
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
signierte S/MIME-Nachrichten“ oder die Einstellung„Verschlüsselte S/MIMW-Nachrichten“ auf „Erforderlich“ gesetzt ist, muss diese Einstellung auf „Nicht zulassen“ gesetzt werden.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Symantec Encryption Management Server-Adresse
Diese Einstellung legt den FQDN oder die IP-Adresse für den Symantec Encryption Management Server Ihrer Organisation fest, damit ein BlackBerry 10-Gerät bei diesem Server angemeldet werden muss, um PGP-Nachrichten senden zu können.
Die Einstellung „PGP-Support“ betrifft diese Einstellung. Das Gerät verwendet diese Einstellung, wenn die Einstellung „PGP-Support“ auf „Zulassen“ oder „Erforderlich“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Symantec Encryption Management Server-Anmeldemethode
Diese Einstellung legt die Methode fest, mit der sich der Benutzer eines BlackBerry 10-Gerätes beim Symantec Encryption Management Server Ihrer Organisation anmelden muss. Wenn diese Einstellung auf „E-Mail-Authentifizierung“ gesetzt ist, wird der Benutzer zur Eingabe einer E-Mail-Adresse aufgefordert. Wenn diese Einstellung auf „Microsoft Active Directory-Authentifizierung“ gesetzt ist, wird der Benutzer aufgefordert, einen Domänen-Benutzernamen und ein Kennwort einzugeben.
Die Einstellung „PGP-Support“ betrifft diese Einstellung. Das Gerät verwendet diese Einstellung, wenn die Einstellung „PGP-Support“ auf „Zulassen“ oder „Erforderlich“ gesetzt ist.
Mögliche Werte:
• E-Mail-Authentifizierung
• Microsoft Active Directory-Authentifizierung
Der Standardwert ist „E-Mail-Authentifizierung“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Verknüpfte Profile
Authentifizierungstyp Diese Einstellung legt fest, welche Art der Authentifizierung ein BlackBerry 10-Gerät verwendet, um eine Verbindung zum Mailserver aufzubauen.
Profileinstellungen
398
BlackBerry 10: E-Mail-Profileinstellung
Beschreibung
Mögliche Werte:
• Keine
• SCEP
• Benutzeranmeldeinformationen
Der Standardwert ist „Keine“.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, mit dem der Benutzer eines BlackBerry 10-Geräts ein Client-Zertifikat für die Authentifizierung beim Mailserver anmeldet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „SCEP“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, mit denen der Benutzer eines BlackBerry 10-Geräts ein Client-Zertifikat für die Authentifizierung beim Mailserver erhält.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Nachrichtenklassifizierung
Nachrichtenklassifizierungsdatei (.json)
Diese Einstellung gibt die Nachrichtenklassifizierungsdatei an, die an Benutzergeräte gesendet werden soll.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Verwandte InformationenErzwingen von sicherer E-Mail mithilfe der Nachrichtenklassifizierung, auf Seite 93
S/MIME-Profil und GeräteeinstellungsabhängigkeitenDie folgende Tabelle zeigt die Abhängigkeiten zwischen den S/MIME-Einstellungen, die Sie in BES12 konfigurieren können, und den S/MIME-Einstellungen, die Benutzer auf BlackBerry 10-Geräten konfigurieren können. Abhängig von den jeweiligen Einstellungen ändern sich die Optionen in der Dropdown-Liste „Verschlüsselung“ auf den Geräten. Geräte ignorieren den Wert einiger Einstellungen, wenn eine höhere Prioritätseinstellung (z. B. die Einstellung „S/MIME-Unterstützung“) mit dem Wert für diese Einstellung in Konflikt steht.
Profileinstellungen
399
Einstellung „S/MIME-Unterstützung“
Einstellung „Digital signierte S/MIME-Nachrichten“
Einstellung „Verschlüsselte S/MIME-Nachrichten“
S/MIME-Einstellungen auf dem Gerät
Dropdown-Liste „Verschlüsselung“ auf dem Gerät
Zulässig Zulässig Zulässig Der Benutzer kann den S/MIME-Schutz ein- oder ausschalten.
• Nur-Text
• Signieren (S/MIME)
• Verschlüsseln (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Zulässig Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Verschlüsseln (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Zulässig Unzulässig Der Benutzer kann den S/MIME-Schutz ein- oder ausschalten.
• Nur-Text
• Signieren (S/MIME)
Erforderlich Zulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Signieren (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Erforderlich Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Signieren und verschlüsseln (S/MIME)
Erforderlich Unzulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Signieren (S/MIME)
Unzulässig Zulässig Der Benutzer kann den S/MIME-Schutz ein- oder ausschalten.
• Nur-Text
• Verschlüsseln (S/MIME)
Profileinstellungen
400
Einstellung „S/MIME-Unterstützung“
Einstellung „Digital signierte S/MIME-Nachrichten“
Einstellung „Verschlüsselte S/MIME-Nachrichten“
S/MIME-Einstellungen auf dem Gerät
Dropdown-Liste „Verschlüsselung“ auf dem Gerät
Unzulässig Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Verschlüsseln (S/MIME)
Unzulässig Unzulässig Der Benutzer kann den S/MIME-Schutz ein- oder ausschalten, aber er kann Nachrichten nicht verschlüsseln oder signieren, da die erforderlichen Profile auf „Unzulässig“ eingestellt sind.
Nur-Text
Erforderlich Zulässig Zulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Signieren (S/MIME)
• Verschlüsseln (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Zulässig Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Verschlüsseln (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Zulässig Unzulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Signieren (S/MIME)
Erforderlich Zulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Signieren (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Profileinstellungen
401
Einstellung „S/MIME-Unterstützung“
Einstellung „Digital signierte S/MIME-Nachrichten“
Einstellung „Verschlüsselte S/MIME-Nachrichten“
S/MIME-Einstellungen auf dem Gerät
Dropdown-Liste „Verschlüsselung“ auf dem Gerät
Erforderlich Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Signieren und verschlüsseln (S/MIME)
Erforderlich Unzulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Signieren (S/MIME)
Unzulässig Zulässig S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Verschlüsseln (S/MIME)
Unzulässig Erforderlich S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
Verschlüsseln (S/MIME)
Unzulässig
(Diese Einstellung wird ignoriert)
Unzulässig
(Diese Einstellung wird ignoriert)
S/MIME-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Signieren (S/MIME)
• Verschlüsseln (S/MIME)
• Signieren und verschlüsseln (S/MIME)
Unzulässig Alle Einstellungen werden ignoriert
Alle Einstellungen werden ignoriert
S/MIME-Schutz ist ausgeschaltet. Der Benutzer kann ihn nicht einschalten.
Nur-Text
PGP-Profil und GeräteeinstellungsabhängigkeitenDie folgende Tabelle zeigt die Abhängigkeiten zwischen der „PGP-Unterstützung“, die Sie in BES12 konfigurieren können, und den PGP-Einstellungen, die Benutzer auf BlackBerry 10-Geräten konfigurieren können. Abhängig von der Einstellung der „PGP-Unterstützung“ ändern sich die Optionen in der Dropdown-Liste „Verschlüsselung“ auf den Geräten. Geräte ignorieren den Wert dieser Einstellung, wenn eine höhere Prioritätseinstellung (z. B. die Einstellung „S/MIME-Unterstützung“) mit dem Wert für diese Einstellung in Konflikt steht.
Profileinstellungen
402
Einstellung „PGP-Unterstützung“ PGP-Einstellungen auf dem Gerät Dropdown-Liste „Verschlüsselung“ auf dem Gerät
Zulassen Die Benutzer können den PGP-Schutz ein- oder ausschalten.
• Nur-Text
• Signieren (PGP)
• Verschlüsseln (PGP)
• Signieren und verschlüsseln (PGP)
Erforderlich PGP-Schutz ist eingeschaltet. Der Benutzer kann ihn nicht ausschalten.
• Signieren (PGP)
• Verschlüsseln (PGP)
• Signieren und verschlüsseln (PGP)
Nicht zulassen PGP-Schutz ist ausgeschaltet. Der Benutzer kann ihn nicht einschalten.
Keine Dropdown-Liste. Nur-Text wird verwendet.
iOS: E-Mail-ProfileinstellungeniOS: E-Mail-Profileinstellung Beschreibung
Übermittlungseinstellungen
Verschieben von Nachrichten zulassen
Diese Einstellung legt fest, ob Benutzer E-Mail-Nachrichten von diesem Konto auf ein anderes vorhandenes E-Mail-Konto auf einem iOS-Gerät verschieben können.
Zulassen, dass letzte Adressen synchronisiert werden
Diese Einstellung legt fest, ob der Benutzer eines iOS-Gerätes zuletzt verwendete Adressen mit anderen Geräten synchronisieren kann.
Nur in Mail verwenden Diese Einstellung legt fest, ob andere Apps als die Mail-App auf einem iOS-Gerät dieses Konto zum Senden von E-Mail-Nachrichten verwenden können.
S/MIME aktivieren Diese Einstellung legt fest, ob der Benutzer eines iOS-Gerätes S/MIME-geschützte E-Mail-Nachrichten senden kann.
Anmeldeinformationen signieren
Diese Einstellung legt fest, wie Geräte die Zertifikate auswählen, die zum Signieren von Nachrichten erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Mögliche Werte:
• Freigegebenes Zertifikat
Profileinstellungen
403
iOS: E-Mail-Profileinstellung Beschreibung
• SCEP
• Benutzeranmeldeinformationen
Nachdem Sie den gewünschten Profiltyp ausgewählt haben, geben Sie das Profil für ein freigegebenes Zertifikat, das SCEP-Profil oder das Profil für Benutzeranmeldeinformationen an.
Signieren eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein iOS-Gerät verwendet, um E-Mail-Nachrichten zu signieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Signatur-SCEP Diese Einstellung legt das SCEP-Profil fest, das Geräte zum Abrufen der Zertifikate verwenden können, die zum Signieren von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Signieren von Benutzeranmeldeinformationen
Diese Einstellung legt das Profil für Benutzeranmeldeinformationen fest, mit dessen Hilfe Geräte die Client-Zertifikate abrufen können, die zum Signieren von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Verschlüsselungs-Anmeldeinformationen
Diese Einstellung legt fest, wie Geräte die Zertifikate auswählen, die zum Verschlüsseln von Nachrichten erforderlich sind.
Mögliche Werte:
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Nachdem Sie den Profiltyp ausgewählt haben, wählen Sie das gewünschte Profil für ein freigegebenes Zertifikat, das SCEP-Profil oder das Profil für Benutzeranmeldeinformationen aus.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Verschlüsselung eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein iOS-Gerät zum Verschlüsseln von E-Mail-Nachrichten verwenden kann.
Profileinstellungen
404
iOS: E-Mail-Profileinstellung Beschreibung
Die Geräte wählen das geeignete Zertifikat für den Empfänger aus, um die Nachrichten mit S/MIME zu verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Verschlüsselungs-SCEP Diese Einstellung legt das SCEP-Profil fest, das Geräte zum Abrufen der Zertifikate verwenden können, die zum Verschlüsseln von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung tritt nur dann in Kraft, wenn die Einstellung „S/MIME aktivieren“ ausgewählt ist.
Verschlüsselung von Benutzeranmeldeinformationen
Diese Einstellung legt das Profil für Benutzeranmeldeinformationen fest, mit dessen Hilfe Geräte die Client-Zertifikate abrufen können, die zum Verschlüsseln von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung tritt nur dann in Kraft, wenn die Einstellung „S/MIME aktivieren“ ausgewählt ist.
Nachrichten verschlüsseln Diese Einstellung legt fest, ob alle E-Mail-Nachrichten zum Zeitpunkt des Sendens verschlüsselt sein müssen (Erforderlich) oder ob der Benutzer zum Zeitpunkt des Sendens entscheiden kann, welche Nachrichten er verschlüsselt (Erlaubt).
Diese Einstellung tritt nur dann in Kraft, wenn die Einstellung „S/MIME aktivieren“ ausgewählt ist.
Mögliche Werte:
• Erforderlich
• Zulassen
Der Standardwert ist „Erforderlich“.
Die Mindestanforderung ist iOS Version 8.0 und Geräte müssen mit MDM-Steuerungen aktiviert werden.
Tage für Synchronisierung Diese Einstellung legt fest, für wie viele Tage in der Vergangenheit E-Mail-Nachrichten und Terminplanerdaten auf ein iOS-Gerät synchronisiert werden sollen.
Mögliche Werte:
• 1 Tag
• 3 Tage
• 7 Tage
• 14 Tage
• 1 Monat
Profileinstellungen
405
iOS: E-Mail-Profileinstellung Beschreibung
• Unbegrenzt
Der Standardwert ist „7 Tage“.
Hinweis: Diese Einstellung betrifft nur die Standard-Mail- und Standard-Terminplaner-App auf iOS-Geräten mit Aktivierungstyp „MDM-Steuerelemente“. Wenn dem Gerät der Aktivierungstyp „Geschäftlich und persönlich – Benutzer-Datenschutz“ oder „Geschäftlich und persönlich – vollständige Kontrolle“ zugewiesen wurde, hat diese Einstellung weder Auswirkungen auf die Synchronisationseinstellungen für die Standard-Mail- und die Standard-Terminplaner-App noch auf die Work Connect-App.
Authentifizierung
Aktivieren von BlackBerry Secure Gateway Service
Diese Einstellung legt fest, ob iOS-Geräte mit der Aktivierungsart MDM-Steuerelemente den BlackBerry Secure Gateway Service verwenden, um eine Verbindung zum Mailserver aufzubauen. Der BlackBerry Secure Gateway Service bietet eine sichere Verbindung über die BlackBerry Infrastructure und BES12 zum E-Mail-Server Ihres Unternehmens. Bevor Sie diesen Dienst aktivieren, müssen Sie sicherstellen, dass Ihr Unternehmen über die entsprechenden BES12-Lizenzen verfügt. Geräte mit den Lizenzen Gold – Secure Work Space, Gold oder Gold – Flex können diesen Dienst verwenden. Weitere Informationen finden Sie unter support.blackberry.com/kb im Artikel KB37720.
Authentifizierungstyp Diese Einstellung legt fest, welche Art der Authentifizierung ein iOS-Gerät verwendet, um eine Verbindung zum Mailserver aufzubauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „BlackBerry Secure Gateway aktivieren“ nicht ausgewählt ist.
Mögliche Werte:
• Keine
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Der Standardwert ist „Keine“.
Profil für freigegebenes Zertifikat
Diese Einstellung legt für das Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein iOS-Gerät verwendet, um eine Verbindung zum Mailserver aufzubauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „BlackBerry Secure Gateway aktivieren“ nicht ausgewählt und die Einstellung „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“ festgelegt ist.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, mit dem der Benutzer eines iOS-Geräts ein Client-Zertifikat für die Authentifizierung beim Mailserver anmeldet.
Profileinstellungen
406
iOS: E-Mail-Profileinstellung Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „BlackBerry Secure Gateway aktivieren“ nicht ausgewählt und die Einstellung „Authentifizierungstyp“ auf „SCEP“ eingestellt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, mit denen der Benutzer eines iOS-Geräts ein Client-Zertifikat für die Authentifizierung beim Mailserver registriert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „BlackBerry Secure Gateway aktivieren“ nicht ausgewählt ist und die Einstellung „Authentifizierungstyp“ auf „Benutzeranmeldeinformationen“ festgelegt ist.
Anmeldedaten und Zertifikat verwenden
Diese Einstellung legt fest, ob ein Gerät die mit dem verknüpften SCEP-Profil erhaltenen Benutzeranmeldeinformationen und ein Client-Zertifikat für die Authentifizierung beim E-Mail-Server verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „BlackBerry Secure Gateway aktivieren“ nicht ausgewählt ist und die Einstellung „Authentifizierungstyp“ auf „SCEP“ festgelegt ist.
SSL verwenden Diese Einstellung legt fest, ob ein Gerät SSL verwenden muss, um eine Verbindung zum Mailserver aufzubauen.
Alle SSL-Zertifikate annehmen Diese Einstellung legt fest, ob Geräte mit Secure Work Space nicht vertrauenswürdige SSL-Zertifikate vom Mailserver annehmen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SSL verwenden“ ausgewählt wurde.
Externe E-Mail-Domänen
Liste der zulässigen externen E-Mail-Domänen
Diese Einstellung gibt die Liste der Domänen an, an die ein Benutzer E-Mail-Nachrichten oder Kalendereinträge senden kann. Wenn beispielsweise ein Benutzer einen Empfänger, der über eine E-Mail-Adresse in der zugelassenen Domäne verfügt, zu einer E-Mail-Nachricht oder einem Kalendereintrag hinzufügt, wird keine Warnmeldung angezeigt. Diese Einstellung betrifft nur den geschäftlichen Bereich.
Wenn Sie hierzu mehrere Domänennamen auflisten, trennen Sie diese durch ein Komma (,), Semikolon (;) oder ein Leerzeichen.
Liste der verbotenen externen E-Mail-Domänen
Diese Einstellung gibt die Liste der Domänen an, an die ein Benutzer keine E-Mail-Nachrichten oder Kalendereinträge senden kann. Wenn beispielsweise ein Benutzer versucht, einen Empfänger, der über eine E-Mail-Adresse in der gesperrten Domäne verfügt, zu einer E-Mail-Nachricht oder einer Kalendereinladung hinzuzufügen, verhindert die Work Connect-App, dass der Benutzer die Aufgabe abschließen kann. Diese Einstellung betrifft nur den geschäftlichen Bereich.
Profileinstellungen
407
iOS: E-Mail-Profileinstellung Beschreibung
Wenn Sie hierzu mehrere Domänennamen auflisten, trennen Sie diese durch ein Komma (,), Semikolon (;) oder ein Leerzeichen.
Mail Drop zulassen Diese Einstellung legt fest, ob Benutzer Dateien von diesem Konto mithilfe von Mail Drop senden können.
Die Mindestanforderung ist iOS Version 9.0 und Geräte müssen mit MDM-Steuerungen aktiviert werden.
OS X: E-Mail-ProfileinstellungenBei OS X gelten Profile für Benutzerkonten oder Geräte. E-Mail-Profile gelten für Benutzerkonten.
OS X: E-Mail-Profileinstellung Beschreibung
Pfad Diese Einstellung legt den Netzwerkpfad des E-Mail-Servers fest.
Port Diese Einstellung legt den Port fest, der für die Verbindung zum Mailserver verwendet wird.
SSL verwenden Diese Einstellung legt fest, ob ein Gerät SSL verwenden muss, um eine Verbindung zum Mailserver aufzubauen.
Externer Hostname oder IP-Adresse
Diese Einstellung legt den externen Hostnamen oder die IP-Adresse des E-Mail-Servers fest.
Externes SSL verwenden Diese Einstellung legt fest, ob ein Gerät SSL verwenden muss, um eine Verbindung zum externen E-Mail-Server aufzubauen.
Externer Pfad Diese Einstellung legt den Netzwerkpfad des externen E-Mail-Servers fest.
Externer Serverport Diese Einstellung legt den Port fest, der für die Verbindung zu dem externen E-Mail-Server verwendet wird.
Android: E-Mail-ProfileinstellungenAndroid: E-Mail-Profileinstellung
Beschreibung
Übermittlungseinstellungen
Profiltyp Diese Einstellung legt fest, ob das Profil Exchange ActiveSync oder IBM Notes Traveler unterstützen soll.
Profileinstellungen
408
Android: E-Mail-Profileinstellung
Beschreibung
Mögliche Werte:
• Exchange ActiveSync
• IBM Notes Traveler
Der Standardwert ist „Exchange ActiveSync“.
Diese Einstellung ist nur für Geräte mit Samsung KNOX Workspace oder Secure Work Space gültig.
Tage für Synchronisierung Diese Einstellung legt fest, für wie viele Tage in der Vergangenheit E-Mail-Nachrichten und Terminplanerdaten auf ein Android-Gerät synchronisiert werden sollen.
Mögliche Werte:
• Unbeschränkt
• 1 Tag
• 3 Tage
• 7 Tage
• 14 Tage
• 1 Monat
Der Standardwert ist „1 Monat“.
Wenn Sie bei Android-Geräten, die Samsung KNOX MDM verwenden, den Wert auf „Unbeschränkt“ setzen, wird nur ein Monat synchronisiert.
Hinweis: Diese Einstellung betrifft nur die Standard-Mail- und Standard-Terminplaner-App auf Android-Geräten mit Aktivierungstyp „MDM-Steuerelemente“. Wenn dem Gerät der Aktivierungstyp „Geschäftlich und persönlich – Benutzer-Datenschutz“ oder „Geschäftlich und persönlich – vollständige Kontrolle“ zugewiesen wurde, hat diese Einstellung weder Auswirkungen auf die Synchronisationseinstellungen für die Standard-Mail- und die Standard-Terminplaner-App noch auf die Work Space Manager-App.
Authentifizierungstyp Diese Einstellung legt fest, welche Art der Authentifizierung ein Android-Gerät verwendet, um eine Verbindung zum Mailserver aufzubauen.
Mögliche Werte:
• Keine
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Profileinstellungen
409
Android: E-Mail-Profileinstellung
Beschreibung
Der Standardwert ist „Keine“.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein Android-Gerät verwendet, um ein Client-Zertifikat für die Authentifizierung beim E-Mail-Server abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „SCEP“ gesetzt ist.
Anmeldedaten und Zertifikat verwenden
Diese Einstellung legt fest, ob ein Gerät die mit dem verknüpften SCEP-Profil erhaltenen Benutzeranmeldeinformationen und ein Client-Zertifikat für die Authentifizierung beim E-Mail-Server verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „SCEP“ gesetzt ist.
Profil für freigegebenes Zertifikat
Diese Einstellung legt für das Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein Android-Gerät verwendet, um eine Verbindung zum Mailserver aufzubauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das Profil für Benutzeranmeldeinformationen für das Client-Zertifikat fest, mit dem ein Android-Gerät eine Verbindung zum Mailserver aufbaut.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
SSL verwenden Diese Einstellung legt fest, ob ein Gerät SSL verwenden muss, um eine Verbindung zum Mailserver aufzubauen.
Alle SSL-Zertifikate annehmen Diese Einstellung legt fest, ob Geräte mit Secure Work Space nicht vertrauenswürdige SSL-Zertifikate vom Mailserver annehmen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SSL verwenden“ ausgewählt wurde.
Maximale Größe des E-Mail-Anhangs
Diese Einstellung legt die maximal zulässige Größe für E-Mail-Anhänge (in MB) fest.
Mögliche Werte sind 1 bis 365. Die Standardeinstellung ist 25.
Diese Einstellung gilt nur für Android for Work-Geräte.
Standard-E-Mail-Signatur für neue Nachrichten
Diese Einstellung gibt an, dass neuen E-Mails automatisch eine E-Mail-Signatur angehängt wird.
Diese Einstellung gilt nur für Android for Work-Geräte.
Profileinstellungen
410
Android: E-Mail-Profileinstellung
Beschreibung
S/MIME aktivieren Diese Einstellung legt fest, ob Geräte S/MIME-geschützte E-Mail-Nachrichten senden können.
Für Geräte, die die BlackBerry Productivity Suite verwenden, müssen Sie stattdessen einen Wert für die Einstellung „S/MIME-Unterstützung“ festlegen.
Nachrichten signieren Diese Einstellung legt fest, ob Geräte alle ausgehenden E-Mail-Nachrichten mit digitaler Signatur senden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Diese Einstellung wird nicht auf Geräten unterstützt, die mit Secure Work Space aktiviert werden.
Für Android for Work-Geräte gilt diese Einstellung nur für Geräte, die Divide Productivity verwenden.
Für Geräte, die die BlackBerry Productivity Suite verwenden, müssen Sie stattdessen einen Wert für die Einstellung „Digital signierte S/MIME-Nachrichten“ festlegen.
Anmeldeinformationen signieren
Diese Einstellung legt die Anmeldeinformationen fest, die ein Gerät zum Signieren von E-Mail-Nachrichten verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Nachrichten signieren“ ausgewählt wurde.
Mögliche Werte:
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Die Standardeinstellung ist „Freigegebenes Zertifikat“.
Signieren eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu signieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Signatur-SCEP Diese Einstellung legt für ein Client-Zertifikat das SCEP-Profil fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu signieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „SCEP“ gesetzt ist.
Profileinstellungen
411
Android: E-Mail-Profileinstellung
Beschreibung
Signieren von Benutzeranmeldeinforma-tionen
Diese Einstellung legt für ein Client-Zertifikat das Profil für die Benutzeranmeldeinformationen fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu signieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Nachrichten verschlüsseln Diese Einstellung legt fest, ob Geräte ausgehende E-Mail-Nachrichten mit S/MIME-Verschlüsselung verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Diese Einstellung wird nicht auf Geräten unterstützt, die mit Secure Work Space aktiviert werden.
Für Android for Work-Geräte gilt diese Einstellung nur für Geräte, die Divide Productivity verwenden.
Für Geräte, die die BlackBerry Productivity Suite verwenden, müssen Sie stattdessen einen Wert für die Einstellung „Digital signierte S/MIME-Nachrichten“ festlegen.
Verschlüsselungs-Anmeldeinformationen
Diese Einstellung legt die Anmeldeinformationen fest, die ein Gerät zur Verschlüsselung von E-Mail-Nachrichten verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Nachrichten verschlüsseln“ ausgewählt wurde.
Mögliche Werte:
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Die Standardeinstellung ist „Freigegebenes Zertifikat“.
Verschlüsselung eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verschlüsselungs-Anmeldeinformationen“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Verschlüsselungs-SCEP Diese Einstellung legt für ein Client-Zertifikat das SCEP-Profil fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „SCEP“ gesetzt ist.
Profileinstellungen
412
Android: E-Mail-Profileinstellung
Beschreibung
Verschlüsselung von Benutzeranmeldeinformationen
Diese Einstellung legt für ein Client-Zertifikat das Profil für die Benutzeranmeldeinformationen fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Smartcard-Authentifizierung für E-Mail erforderlich
Diese Einstellung legt fest, ob für Samsung KNOX-Geräte zur Authentifizierung beim E-Mail-Server eine Smartcard erforderlich ist.
Externe E-Mail-Domänen
Liste der zulässigen externen E-Mail-Domänen
Diese Einstellung gibt die Liste der Domänen an, an die ein Benutzer E-Mail-Nachrichten oder Kalendereinträge senden kann. Wenn beispielsweise ein Benutzer einen Empfänger, der über eine E-Mail-Adresse in der zugelassenen Domäne verfügt, zu einer E-Mail-Nachricht oder einem Kalendereintrag hinzufügt, wird keine Warnmeldung angezeigt. Diese Einstellung betrifft nur den geschäftlichen Bereich.
Wenn Sie hierzu mehrere Domänennamen auflisten, trennen Sie diese durch ein Komma (,), Semikolon (;) oder ein Leerzeichen.
Liste der verbotenen externen E-Mail-Domänen
Diese Einstellung gibt die Liste der Domänen an, an die ein Benutzer keine E-Mail-Nachrichten oder Kalendereinträge senden kann. Wenn beispielsweise ein Benutzer versucht, einen Empfänger, der über eine E-Mail-Adresse in der gesperrten Domäne verfügt, zu einer E-Mail-Nachricht oder einer Kalendereinladung hinzuzufügen, verhindert die E-Mail- oder Kalender-App, dass der Benutzer die Aufgabe abschließen kann. Diese Einstellung betrifft nur den geschäftlichen Bereich.
Wenn Sie hierzu mehrere Domänennamen auflisten, trennen Sie diese durch ein Komma (,), Semikolon (;) oder ein Leerzeichen.
BlackBerry Productivity Suite
Diese Einstellungen gelten nur für PRIV-Geräte.
OSCP-Prüfung ausführen Diese Einstellung legt fest, ob Geräte OCSP verwenden können, um den Status von S/MIME-Zertifikaten zu prüfen.
Zulassen, dass Benutzer nicht vertrauenswürdige Zertifikate akzeptieren
Diese Einstellung legt fest, ob Benutzer die Verwendung nicht vertrauenswürdiger Zertifikate auf Geräten akzeptieren können.
Zulassen, dass Telemetrie-Ereignisse von einem geschäftlichen Profil gesendet werden
Diese Einstellung legt fest, ob die BlackBerry Productivity Suite die Erfassung von Nutzungsdaten erlaubt.
Profileinstellungen
413
Android: E-Mail-Profileinstellung
Beschreibung
Sicherheitstyp Diese Einstellung gibt den Sicherheitstyp an, der von BlackBerry Productivity Suite verwendet wird.
Mögliche Werte:
• SSL
• SSL: Allen vertrauen
Der Standardwert ist „SSL“.
Freigabe von Daten zwischen geschäftlichen und persönlichen Profilen zulassen
Diese Einstellung gibt an, ob das persönliche Profil auf Daten des Arbeitsprofils zugreifen kann. Arbeitsdaten und Ihre persönlichen Daten können über den BlackBerry Hub angezeigt werden. Die Option Persönlichen Apps Zugriff auf geschäftliche Daten gewähren muss ebenfalls ausgewählt sein.
Persönlichen Apps Zugriff auf geschäftliche Daten gewähren
Diese Einstellung legt fest, ob persönliche Apps auf geschäftliche Daten zugreifen können. Arbeitsdaten und Ihre persönlichen Daten können über den BlackBerry Hub angezeigt werden. Die Option Freigabe von Daten zwischen geschäftlichen und persönlichen Profilen zulassen muss ebenfalls ausgewählt sein.
S/MIME-Einstellungen
Diese Einstellungen gelten nur für PRIV-Geräte.
S/MIME-Unterstützung Diese Einstellung legt fest, ob ein Android-Gerät, das BlackBerry Productivity Suite nutzt, S/MIME-geschützte E-Mail-Nachrichten senden kann.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Digital signierte S/MIME-Nachrichten
Diese Einstellung legt fest, ob ein Android-Gerät, das BlackBerry Productivity Suite nutzt, ausgehende E-Mail-Nachrichten mit digitaler Signatur sendet.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
Profileinstellungen
414
Android: E-Mail-Profileinstellung
Beschreibung
Verschlüsselte S/MIME-Nachrichten
Diese Einstellung legt fest, ob ein Android-Gerät, das BlackBerry Productivity Suite nutzt, ausgehende E-Mail-Nachrichten mit S/MIME-Verschlüsselung verschlüsselt.
Mögliche Werte:
• Zulassen
• Erforderlich
• Nicht zulassen
Der Standardwert ist „Zulassen“.
S/MIME-Verschlüsselungsalgorithmen
Diese Einstellung gibt die Verschlüsselungsalgorithmen an, mit denen ein Android-Gerät, das BlackBerry Productivity Suite nutzt, S/MIME-geschützte E-Mail-Nachrichten verschlüsseln kann.
Mögliche Werte:
• AES (256-Bit)
• AES (192-Bit)
• AES (128-Bit)
• Triple DES
• ARC2
Windows: E-Mail-ProfileinstellungenWindows: E-Mail-Profileinstellung
Beschreibung
Übermittlungseinstellungen
Profiltyp Diese Einstellung legt fest, ob das Profil Exchange ActiveSync oder IBM Notes Traveler unterstützen soll.
Mögliche Werte:
• Exchange ActiveSync
• IBM Notes Traveler
Der Standardwert ist „Exchange ActiveSync“.
Profileinstellungen
415
Windows: E-Mail-Profileinstellung
Beschreibung
Kontoname Diese Einstellung legt den Namen des geschäftlichen E-Mail-Kontos fest, der auf dem Windows-Gerät angezeigt wird. Sie können eine Variable wie etwa „%UserEmailAddress%“ verwenden.
Synchronisierungsintervall Diese Einstellung legt fest, wie häufig ein Windows-Gerät neue E-Mail-Nachrichten vom Mailserver herunterlädt.
Mögliche Werte:
• Wenn Elemente empfangen werden
• Manuell
• 15 Minuten
• 30 Minuten
• 60 Minuten
Der Standardwert ist „Wenn Elemente empfangen werden“.
Tage für Synchronisierung Diese Einstellung legt fest, für wie viele Tage in der Vergangenheit E-Mail-Nachrichten und Terminplanerdaten auf ein Windows-Gerät synchronisiert werden sollen.
Mögliche Werte:
• Unbegrenzt
• 3 Tage
• 7 Tage
• 14 Tage
• 1 Monat
Der Standardwert ist „7 Tage“.
SSL verwenden Diese Einstellung legt fest, ob ein Windows-Gerät SSL verwenden muss, um eine Verbindung zum Mailserver aufzubauen.
Zu synchronisierender Inhalt
E-Mail Diese Einstellung legt fest, ob ein Windows-Gerät E-Mail-Nachrichten mit dem Mailserver synchronisiert.
Kontakte Diese Einstellung legt fest, ob ein Windows-Gerät Kontakte mit dem Mailserver synchronisiert.
Kalendar Diese Einstellung legt fest, ob ein Windows-Gerät Kalendereinträge mit dem Mailserver synchronisiert.
Profileinstellungen
416
Windows: E-Mail-Profileinstellung
Beschreibung
Aufgabe Diese Einstellung legt fest, ob ein Windows-Gerät Aufgabendaten mit dem Mailserver synchronisiert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Profiltyp“ auf „Exchange ActiveSync“ gesetzt ist.
IMAP/POP3-E-Mail-ProfileinstellungenSie können eine Variable in einem beliebigen Textfeld der Profileinstellungen verwenden, um einen Wert zu referenzieren, statt den tatsächlichen Wert anzugeben.BES12unterstützt vordefinierte Standardvariablen sowie von Ihnen festgelegte benutzerdefinierte Variablen. IMAP/POP3-E-Mail-Profile werden auf den folgenden Gerätetypen unterstützt:
• iOS
• OS X
• Android
• Windows
In einigen Fällen wird die erforderliche Mindestversion des Gerätebetriebssystems zur Unterstützung einer Einstellung nicht von BES12 unterstützt. Weitere Informationen zu den unterstützten Versionen finden Sie in der Kompatibilitätsmatrix.
Allgemein: IMAP/POP3-E-Mail-ProfileinstellungenAllgemein: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
E-Mail-Typ Diese Einstellung legt den Typ des Mailservers fest.
Mögliche Werte:
• IMAP
• POP3
Der Standardwert ist „IMAP“.
Anzeigename Diese Einstellung legt den Anzeigenamen des Kontos fest. Wenn das Profil für mehrere Benutzer eingerichtet wird, können Sie die Variable „%UserDisplayName%“ verwenden.
E-Mail-Adresse Diese Einstellung legt die E-Mail-Adresse des Benutzers fest. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserEmailAddress%-Variable verwenden.
Profileinstellungen
417
Allgemein: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
Einstellungen für eingehende E-Mail-Nachrichten
Hostname oder IP-Adresse Diese Einstellung legt den Hostnamen oder die IP-Adresse des E-Mail-Servers für eingehende E-Mail fest.
Port Diese Einstellung legt den Port fest, der für die Verbindung zum E-Mail-Server für eingehende E-Mail verwendet wird.
Benutzername Diese Einstellung legt den Benutzernamen des Benutzers fest. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable verwenden.
SSL für eingehende E-Mail-Nachrichten verwenden
Diese Einstellung legt fest, ob ein iOS-, Android- oder Windows Phone-Gerät SSL verwenden muss, um zum Empfangen von E-Mails eine Verbindung zum Mailserver aufzubauen.
Einstellungen für ausgehende E-Mail-Nachrichten
Hostname oder IP-Adresse Diese Einstellung legt den Hostnamen oder die IP-Adresse des E-Mail-Servers für ausgehende E-Mail fest.
Port Diese Einstellung legt den Port fest, der für die Verbindung zum E-Mail-Server für ausgehende E-Mail verwendet wird.
SSL für ausgehende E-Mail-Nachrichten verwenden
Diese Einstellung legt fest, ob ein iOS-, Android- oder Windows Phone-Gerät SSL verwenden muss, um zum Senden von E-Mail-Nachrichten eine Verbindung zum Mailserver aufzubauen.
Authentifizierung für ausgehende E-Mail-Nachrichten erforderlich
Diese Einstellung legt fest, ob sich ein Gerät zum Senden von E-Mail-Nachrichten beim Server authentifizieren muss.
Die gleichen Anmeldeinformationen als Einstellungen für eingehende E-Mail-Nachrichten verwenden
Diese Einstellung legt fest, ob ein iOS-, Android- oder Windows Phone-Gerät für das Empfangen von E-Mail-Nachrichten dieselben Anmeldeinformationen verwendet wie für das Senden von E-Mail-Nachrichten zur Authentifizierung beim Mailserver.
Wenn das Gerät für das Empfangen von E-Mail-Nachrichten nicht dieselben Anmeldeinformationen verwendet wie für das Senden von E-Mail-Nachrichten zur Authentifizierung beim Mailserver, dann geben Sie den vom Gerät verwendeten Benutzernamen und das Kennwort ein.
Diese Einstellung ist nur gültig, wenn die Einstellung „Authentifizierung für ausgehende E-Mail-Nachrichten erforderlich“ ausgewählt ist.
Profileinstellungen
418
iOSundOS X: IMAP/POP3-E-Mail-ProfileinstellungenBei OS X gelten Profile für Benutzerkonten oder Geräte. IMAP/POP3-Profile gelten für Benutzerkonten.
iOS: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
IMAP-Pfadpräfix Diese Einstellung legt das Präfix zum IMAP-Pfad fest (falls erforderlich).
Kontaktieren Sie ggf. Ihren Internetdienstanbieter, um weitere Informationen zu erhalten.
Diese Einstellung ist nur dann gültig, wenn der Wert für die Einstellung „E-Mail-Typ“ auf „IMAP“ gesetzt ist.
Verschieben von Nachrichten zulassen
Diese Einstellung legt fest, ob Benutzer E-Mail-Nachrichten von diesem Konto auf ein anderes E-Mail-Konto auf einem iOS-Gerät verschieben können.
Zulassen, dass letzte Adressen synchronisiert werden
Diese Einstellung legt fest, ob der Benutzer eines iOS-Gerätes zuletzt verwendete Adressen mit anderen Geräten synchronisieren kann.
Nur in Mail verwenden Diese Einstellung legt fest, ob andere Apps als die Mail-App auf einem iOS-Gerät dieses Konto zum Senden von E-Mail-Nachrichten verwenden können.
S/MIME aktivieren Diese Einstellung legt fest, ob der Benutzer eines iOS-Gerätes S/MIME-geschützte E-Mail-Nachrichten senden kann.
S/MIME wird nur auf Geräten unterstützt, die mit MDM-Steuerungen aktiviert werden.
Anmeldeinformationen signieren
Diese Einstellung legt die Anmeldeinformationen fest, die ein Gerät zum Signieren von E-Mail-Nachrichten verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Mögliche Werte:
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Die Standardeinstellung ist „Freigegebenes Zertifikat“.
Signieren eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu signieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Profileinstellungen
419
iOS: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
Signatur-SCEP Diese Einstellung legt das SCEP-Profil fest, das Geräte zum Abrufen der Zertifikate verwenden können, die zum Signieren von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „SCEP“ gesetzt ist.
Signieren von Benutzeranmeldeinformationen
Diese Einstellung legt das Profil für Benutzeranmeldeinformationen fest, mit dessen Hilfe Geräte die Client-Zertifikate abrufen können, die zum Signieren von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Anmeldeinformationen signieren“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Verschlüsselungs-Anmeldeinformationen
Diese Einstellung legt fest, wie Geräte die Zertifikate auswählen, die zum Verschlüsseln von Nachrichten erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „S/MIME aktivieren“ ausgewählt wurde.
Mögliche Werte:
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Nachdem Sie den Profiltyp ausgewählt haben, wählen Sie das gewünschte Profil für ein freigegebenes Zertifikat, das SCEP-Profil oder das Profil für Benutzeranmeldeinformationen aus.
Verschlüsselung eines freigegebenen Zertifikats
Diese Einstellung legt für ein Client-Zertifikat das Profil für das freigegebene Zertifikat fest, das ein Gerät verwendet, um E-Mail-Nachrichten zu verschlüsseln.
Die Geräte wählen das geeignete Zertifikat für den Empfänger aus, um die Nachrichten mit S/MIME zu verschlüsseln.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verschlüsselungs-Anmeldeinformationen“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Verschlüsselungs-SCEP Diese Einstellung legt das SCEP-Profil fest, das Geräte zum Abrufen der Zertifikate verwenden können, die zum Verschlüsseln von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verschlüsselungsanmeldedaten“ auf „SCEP“ gesetzt ist.
Profileinstellungen
420
iOS: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
Verschlüsselung von Benutzeranmeldeinformationen
Diese Einstellung legt das Profil für Benutzeranmeldeinformationen fest, mit dessen Hilfe Geräte die Client-Zertifikate abrufen können, die zum Verschlüsseln von E-Mail-Nachrichten mit S/MIME erforderlich sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verschlüsselungsanmeldedaten“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Nachrichten verschlüsseln Diese Einstellung legt fest, ob alle E-Mail-Nachrichten zum Zeitpunkt des Sendens verschlüsselt sein müssen (Erforderlich) oder ob der Benutzer zum Zeitpunkt des Sendens entscheiden kann, welche Nachrichten er verschlüsselt (Erlaubt).
Diese Einstellung tritt nur dann in Kraft, wenn die Einstellung „S/MIME aktivieren“ ausgewählt ist.
Mögliche Werte:
• Erforderlich
• Zulassen
Der Standardwert ist „Erforderlich“.
Die Mindestanforderung ist iOS Version 8.0 und Geräte müssen mit MDM-Steuerungen aktiviert werden.
zulassen Diese Einstellung legt fest, ob Benutzer Dateien von diesem Konto mithilfe von Mail Drop senden können.
Die Mindestanforderung ist iOS Version 9.0 und Geräte müssen mit MDM-Steuerungen aktiviert werden.
Android: IMAP/POP3-E-Mail-ProfileinstellungenAndroid: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
IMAP-Pfadpräfix Diese Einstellung legt das Präfix zum IMAP-Pfad fest (falls erforderlich).
Kontaktieren Sie ggf. Ihren Internetdienstanbieter, um weitere Informationen zu erhalten.
Diese Einstellung ist nur dann gültig, wenn der Wert für die Einstellung „E-Mail-Typ“ auf „IMAP“ gesetzt ist.
Löschen von E-Mail-Nachrichten vom Server
Diese Einstellung legt fest, wann eine E-Mail vom Mailserver gelöscht wird.
Mögliche Werte:
Profileinstellungen
421
Android: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
• Nie
• Wenn aus Posteingang gelöscht
Der Standardwert ist „Nie“.
Diese Einstellung ist nur dann gültig, wenn der Wert für die Einstellung „E-Mail-Typ“ auf „POP3“ gesetzt ist.
Windows: IMAP/POP3-E-Mail-ProfileinstellungenWindows: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
Löschen von E-Mail-Nachrichten vom Server
Diese Einstellung legt fest, wie E-Mail-Nachrichten behandelt werden, wenn ein Benutzer sie löscht. E-Mail-Nachrichten können vom Server gelöscht (unwiederbringlich löschen) oder aus dem Posteingang entfernt, aber im Ordner „Papierkorb“ beibehalten werden (temporär löschen).
Mögliche Werte:
• Unwiederbringlich löschen
• Temporär löschen
Der Standardwert ist „Temporär löschen“.
Diese Einstellung ist nur dann gültig, wenn der Wert für die Einstellung „E-Mail-Typ“ auf „IMAP“ gesetzt ist.
Diese Einstellung ist nur für Windows 10-Geräte gültig.
Domäne Diese Einstellung legt die Domäne des E-Mail-Servers fest.
Synchronisierungsintervall Diese Einstellung legt fest, wie häufig ein Windows-Gerät neue Inhalte vom Mailserver herunterlädt.
Mögliche Werte:
• Manuell
• 15 Minuten
• 30 Minuten
• 60 Minuten
• 2 Stunden
Profileinstellungen
422
Windows: IMAP/POP3-E-Mail-Profileinstellung
Beschreibung
Der Standardwert ist „15 Minuten“.
Ursprüngliche Abrufmenge Diese Einstellung legt fest, für wie viele Tage in der Vergangenheit E-Mail-Nachrichten und Terminplanerdaten auf ein Windows-Gerät synchronisiert werden sollen.
Mögliche Werte:
• Alle
• 7 Tage
• 14 Tage
• 30 Tage
Der Standardwert ist „7 Tage“.
Ausschließlich Mobilfunknetz verwenden, kein Wi-Fi
Diese Einstellung gibt an, ob E-Mail-Nachrichten nur über das drahtlose Netzwerk gesendet und empfangen werden.
Diese Einstellung ist nur für Windows 10-Geräte gültig.
SCEP-ProfileinstellungenSie können eine Variable in einem beliebigen Textfeld der Profileinstellungen verwenden, um einen Wert zu referenzieren, statt den tatsächlichen Wert anzugeben.BES12unterstützt vordefinierte Standardvariablen sowie von Ihnen festgelegte benutzerdefinierte Variablen. SCEP-Profile werden auf den folgenden Gerätetypen unterstützt:
• BlackBerry 10
• iOS
• OS X
• Android Mit Secure Work Space, Samsung KNOX und Android for Work
• Windows 10
In einigen Fällen wird die erforderliche Mindestversion des Gerätebetriebssystems zur Unterstützung einer Einstellung nicht von BES12 unterstützt. Informationen zu den unterstützten Betriebssystemversionen finden Sie in der Kompatibilitätsmatrix.
Profileinstellungen
423
Allgemein: SCEP-ProfileinstellungenAllgemein: SCEP-Profileinstellung
Beschreibung
URL Diese Einstellung legt die URL für den SCEP-Dienst fest. Die URL sollte das Protokoll, den FQDN, die Portnummer und den SCEP-Pfad (CGI-Pfad, der in der SCEP-Spezifikation definiert wurde) enthalten. Sie müssen einen Wert für diese Einstellung festlegen, um ein Gerät erfolgreich zu aktivieren.
SCEP-HTTPS-URLs werden von iOS-Geräten und BlackBerry 10 OS Version 10.3.0 und höher unterstützt.
Instanzenname Diese Einstellung legt den Namen der Zertifizierungsstelleninstanz fest.
Der Wert kann jede beliebige Zeichenkette sein, die der SCEP-Dienst versteht. So könnte der Wert beispielsweise ein Domänenname wie etwa „Beispiel.org“ sein. Wenn eine Zertifizierungsstelle mehrere Zertifizierungsstellenzertifikate aufweist, kann anhand dieses Feldes festgelegt werden, welches dieser Zertifikate verwendet wird.
Zertifizierungsstellenverbindung
Die Einstellung gibt an, ob die Zertifizierungsstelle Entrust , OpenTrust oder eine andere Zertifizierungsstelle ist. Wenn eine oder mehrere Verbindungen zur Entrust-Software oder OpenTrust-SoftwareIhrer Organisation konfiguriert wurden, können Sie eine der Verbindungen in der Dropdown-Liste auswählen. Wählen Sie „Generisch“ aus, wenn Sie eine beliebige andere Zertifizierungsstelle verwenden.
Wenn Sie eine Entrust - oder OpenTrust -Verbindung auswählen, müssen Sie das entsprechende PKI-Profil auswählen und die erforderlichen Werte angeben. Die verfügbaren Profile basieren auf den vom Entrust - oder OpenTrust -Administrator in der PKI-Software konfigurierten Profilen.
Der Standardwert ist „Generisch“.
SCEP-Challenge-Typ Diese Einstellung legt fest, ob das SCEP-Abfragekennwort dynamisch generiert oder als statisches Kennwort bereitgestellt wird. Wenn diese Einstellung auf „Statisch“ gesetzt ist, verwenden alle Geräte das gleiche Abfragekennwort. Wenn diese Einstellung auf „Dynamisch“ gesetzt ist, verwendet jedes Gerät ein eindeutiges Kennwort.
Mögliche Werte:
• Statisch
• Dynamisch
Der Standardwert ist „Dynamisch“.
Für Windows-Geräte werden nur „statische“ Kennwörter unterstützt.
Profileinstellungen
424
Allgemein: SCEP-Profileinstellung
Beschreibung
URL der Challenge-Kennwortgenerierung
Diese Einstellung legt die URL fest, die Geräte verwenden, um ein dynamisch generiertes Abfragekennwort vom SCEP-Dienst abzurufen. Die URL sollte das Protokoll, den FQDN, die Portnummer und den SCEP-Pfad (CGI-Pfad, der in der SCEP-Spezifikation definiert wurde) enthalten. Wenn Sie ein dynamisches Abfragekennwort verwenden, müssen Sie einen Wert für diese Einstellung festlegen, um BlackBerry 10-Geräte erfolgreich zu aktivieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SCEP-Abfragetyp“ auf „Dynamisch“ gesetzt ist.
Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp fest, den Geräte verwenden, um eine Verbindung zum SCEP-Dienst aufzubauen und ein Abfragekennwort abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SCEP-Abfragetyp“ auf „Dynamisch“ gesetzt ist.
Mögliche Werte:
• Einfach
• NTLM
Der Standardwert ist „Einfach“.
Domäne Diese Einstellung legt die Domäne fest, die für die NTLM-Authentifizierung verwendet wird, wenn Geräte eine Verbindung zum SCEP-Dienst aufbauen, um ein Abfragekennwort abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „NTLM“ gesetzt ist.
Benutzername Diese Einstellung legt den Benutzernamen fest, der zum Abrufen eines Abfragekennworts vom SCEP-Dienst erforderlich ist.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SCEP-Abfragetyp“ auf „Dynamisch“ gesetzt ist.
Kennwort Diese Einstellung legt das Kennwort fest, das erforderlich ist, um das Abfragekennwort vom SCEP-Dienst abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SCEP-Abfragetyp“ auf „Dynamisch“ gesetzt ist.
Challenge-Kennwort Diese Einstellung legt das Abfragekennwort fest, das ein Gerät für die Zertifikatsanmeldung verwendet. Wenn Sie ein statisches Abfragekennwort verwenden, müssen Sie einen Wert für diese Einstellung festlegen, um BlackBerry 10-Geräte erfolgreich zu aktivieren.
Profileinstellungen
425
Allgemein: SCEP-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SCEP-Abfragetyp“ auf „Statisch“ gesetzt ist.
BlackBerry 10: SCEP-ProfileinstellungenBlackBerry 10: SCEP-Profileinstellung
Beschreibung
Standard-Antragsteller und SAN verwenden
Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät den Namen des Antragstellers und den alternativen Antragstellernamen für eine Zertifikatsanforderung generiert. Wenn die Einstellung nicht ausgewählt wird, müssen Sie den Antragsteller und den Namenstyp und -wert des alternativen Antragstellers angeben.
Betreff Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
Diese Einstellung ist nur gültig, wenn „Standard-Antragsteller und SAN verwenden“ nicht ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
SAN Diese Einstellung gibt den Namenstyp und -wert des alternativen Antragstellers für ein Zertifikat an.
Diese Einstellung ist nur gültig, wenn „Standard-Antragsteller und SAN verwenden“ nicht ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
• RFC 822-Name
• URI
• NT-Prinzipalname
• DNS-Name
Profileinstellungen
426
BlackBerry 10: SCEP-Profileinstellung
Beschreibung
Der Standardwert ist „RFC 822-Name“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Antragstellers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle, die vollqualifizierte URL des Servers oder ein Prinzipalname sein.
Die Einstellung „SAN-Typ“ bestimmt den Typ des geeigneten Werts, der angegeben werden muss. Wenn "RFC 822-Name" festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn "URI" festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn "NT-Prinzipalname" festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn "DNS-Name" festgelegt ist, muss der Wert ein gültiger FQDN sein.
Schlüsselalgorithmus Diese Einstellung legt den Algorithmus fest, den ein BlackBerry 10-Gerät verwendet, um das Client-Schlüsselpaar zu generieren. Sie müssen einen Algorithmus auswählen, der von Ihrer Zertifizierungsstelle unterstützt wird.
Mögliche Werte:
• Keine
• RSA
• ECC
Der Standardwert ist „RSA“.
RSA-Stärke Diese Einstellung legt die RSA-Stärke fest, die ein BlackBerry 10-Gerät verwendet, um das Client-Schlüsselpaar zu generieren. Sie müssen eine Schlüsselstärke eingeben, die von Ihrer Zertifizierungsstelle unterstützt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Schlüsselalgorithmus“ auf „RSA“ gesetzt ist.
Mögliche Werte:
• 1024
• 2048
• 4096
• 8192
• 16384
Der Standardwert ist „1024“.
Profileinstellungen
427
BlackBerry 10: SCEP-Profileinstellung
Beschreibung
ECC-Stärke Diese Einstellung legt die elliptische Kurve fest, die ein BlackBerry 10-Gerät verwendet, um ein Client-Schlüsselpaar zu generieren. Die elliptische Kurve definiert die Stärke des Client-Schlüsselpaars. Sie müssen eine elliptische Kurve auswählen, die von Ihrer Zertifizierungsstelle unterstützt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Schlüsselalgorithmus“ auf „ECC“ gesetzt ist.
Mögliche Werte:
• sect163k1
• sect283k1
• secp192r1
• secp256r1
• secp384r1
• secp521r1
Der Standardwert ist „secp521r1“.
Verschlüsselungsalgorithmus Diese Einstellung legt den Verschlüsselungsalgorithmus fest, den ein BlackBerry 10-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
• Triple DES
• AES (128-Bit)
• AES (196-Bit)
• AES (256-Bit)
Der Standardwert ist „Triple DES“.
Hashfunktion Diese Einstellung legt die Hashfunktion fest, die ein BlackBerry 10-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
• SHA-1
• SHA-224
• SHA-256
Profileinstellungen
428
BlackBerry 10: SCEP-Profileinstellung
Beschreibung
• SHA-384
• SHA-512
Der Standardwert ist „SHA-1“.
Fingerabdruck des Zertifikats Diese Einstellung legt den hexadezimal-codierten Hash des Stammzertifikats für die Zertifizierungsstelle fest. Sie können folgende Algorithmen verwenden, um den Fingerabdruck festzulegen: MD5, SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Sie müssen einen Wert für diese Einstellung festlegen, um ein BlackBerry 10-Gerät erfolgreich zu aktivieren.
Automatische Erneuerung Diese Einstellung legt fest, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Mögliche Werte sind 1 bis 999.999.999 Tage.
Der Standardwert ist „30“.
Schlüsselnutzung Diese Einstellung gibt die kryptografischen Vorgänge an, die mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssels ausgeführt werden können.
Mögliche Auswahlen:
• Digitale Signatur
• Nichtabstreitbarkeit
• Schlüsselverschlüsselung
• Datenverschlüsselung
• Schlüsselvereinbarung
• Schlüsselzertifikat-Signierung
• CRL-Signierung
• Nur verschlüsseln
• Nur entschlüsseln
Die Standardauswahlen lauten „Digital Signatur“, „Schlüsselverschlüsselung“ und „Schlüsselvereinbarung“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Erweiterte Schlüsselnutzung Diese Einstellung gibt den Zweck des im Zertifikat enthaltenen Schlüssels an.
Mögliche Auswahlen:
• Server-Authentifizierung
Profileinstellungen
429
BlackBerry 10: SCEP-Profileinstellung
Beschreibung
• Client-Authentifizierung
• Codesignierung
• E-Mail-Schutz
• Zeitstempel
• OCSP-Signierung
• Secure Shell Client
• Secure Shell Server
Die Standardauswahl lautet „Client-Authentifizierung“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
iOS: SCEP-ProfileinstellungeniOS: SCEP-Profileinstellung Beschreibung
BES12 als Proxy für SCEP-Anforderungen verwenden
Diese Einstellung legt fest, ob alle SCEP-Anforderungen von Geräten per BES12 gesendet werden. Wenn sich die Zertifizierungsstelle hinter Ihrer Firewall befindet, können Sie mithilfe dieser Einstellung Client-Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
Betreff Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
Wiederholungen Diese Einstellung legt fest, wie oft der Verbindungsaufbau zum SCEP-Dienst wiederholt wird, wenn der erste Verbindungsversuch fehlgeschlagen ist.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist „3“.
Wiederholungsverzögerung Diese Einstellung legt fest, wie viele Sekunden bis zum nächsten Versuch, eine Verbindung zum SCEP-Dienst aufzubauen, verstreichen sollen.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist 10 Sekunden.
Profileinstellungen
430
iOS: SCEP-Profileinstellung Beschreibung
Schlüsselgröße Diese Einstellung legt die Schlüsselgröße für das Zertifikat fest.
Mögliche Werte:
• 1024
• 2048
Der Standardwert ist 1024.
Als digitale Signatur verwenden
Diese Einstellung legt fest, ob das angemeldete Zertifikat für digitale Signaturen verwendet werden kann.
Für Schlüsselverschlüsselung verwenden
Diese Einstellung legt fest, ob das angemeldete Zertifikat zum Verschlüsseln verwendet werden kann.
Fingerabdruck Diese Einstellung legt den Fingerabdruck für das Anmelden eines SCEP-Zertifikats fest. Wenn Ihre Zertifizierungsstelle mit HTTP anstelle von HTTPS arbeitet, verwenden Geräte den Fingerabdruck, um die Identität der Zertifizierungsstelle beim Anmeldevorgang zu bestätigen. Der Fingerabdruck darf keine Leerräume aufweisen.
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
• Keine
• RFC 822-Name
• DNS-Name
• Uniform Resource Identifier (Einheitlicher Ressourcenbezeichner)
Der Standardwert ist „Keine“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Zertifikatempfängers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle oder die vollqualifizierte URL des Servers sein.
Die Einstellung „SAN-Typ“ bestimmt den Typ des geeigneten Werts, der angegeben werden muss. Wenn "RFC 822-Name" festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn "URI" festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn "NT-Prinzipalname" festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn "DNS-Name" festgelegt ist, muss der Wert ein gültiger FQDN sein.
NT-Prinzipalname Diese Einstellung legt den NT-Prinzipalnamen für die Zertifikatsgenerierung fest.
Profileinstellungen
431
iOS: SCEP-Profileinstellung Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SAN-Typ“ auf etwas anderes als „Keine“ gesetzt ist.
Automatische Erneuerung Diese Einstellung legt fest, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Mögliche Werte sind 1 bis 365.
Der Standardwert ist 30 Tage.
Verschlüsselungsalgorithmus Diese Einstellung legt den Verschlüsselungsalgorithmus fest, den ein iOS-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
• Triple DES
• AES (128-Bit)
• AES (196-Bit)
• AES (256-Bit)
Der Standardwert ist „Triple DES“.
Hashfunktion Diese Einstellung legt die Hashfunktion fest, die ein iOS-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
• SHA-1
• SHA-224
• SHA-256
• SHA-384
• SHA-512
Der Standardwert ist „SHA-1“.
OS X: SCEP-ProfileinstellungenBei OS X gelten Profile für Benutzerkonten oder Geräte. Sie können SCEP-Profile konfigurieren, die entweder für Benutzerkonten oder für Geräte gelten.
Profileinstellungen
432
OS X: SCEP-Profileinstellung Beschreibung
BES12 als Proxy für SCEP-Anforderungen verwenden
Diese Einstellung legt fest, ob alle SCEP-Anforderungen von Geräten per BES12 gesendet werden. Wenn sich die Zertifizierungsstelle hinter Ihrer Firewall befindet, können Sie mithilfe dieser Einstellung Client-Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
Profil anwenden auf Diese Einstellung gibt an, ob das SCEP-Profil für das Benutzerkonto oder das Gerät gilt.
Mögliche Werte:
• Benutzer
• Gerät
Betreff Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
Wiederholungen Diese Einstellung legt fest, wie oft der Verbindungsaufbau zum SCEP-Dienst wiederholt wird, wenn der erste Verbindungsversuch fehlgeschlagen ist.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist „3“.
Wiederholungsverzögerung Diese Einstellung legt fest, wie viele Sekunden bis zum nächsten Versuch, eine Verbindung zum SCEP-Dienst aufzubauen, verstreichen sollen.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist 10 Sekunden.
Schlüsselgröße Diese Einstellung legt die Schlüsselgröße für das Zertifikat fest.
Mögliche Werte:
• 1024
• 2048
Der Standardwert ist „1024“.
Fingerabdruck Diese Einstellung legt den Fingerabdruck für das Anmelden eines SCEP-Zertifikats fest. Wenn Ihre Zertifizierungsstelle mit HTTP anstelle von HTTPS arbeitet, verwenden Geräte den Fingerabdruck, um die Identität der Zertifizierungsstelle beim Anmeldevorgang zu bestätigen. Der Fingerabdruck darf keine Leerräume aufweisen.
Profileinstellungen
433
OS X: SCEP-Profileinstellung Beschreibung
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
• Keine
• RFC 822-Name
• DNS-Name
• Uniform Resource Identifier (Einheitlicher Ressourcenbezeichner)
Der Standardwert ist „Keine“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Zertifikatempfängers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle oder die vollqualifizierte URL des Servers sein.
Die Einstellung „SAN-Typ“ bestimmt den Typ des geeigneten Werts, der angegeben werden muss. Wenn „RFC 822-Name“ festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn „URI“ festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn „NT-Prinzipalname“ festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn „DNS-Name“ festgelegt ist, muss der Wert ein gültiger FQDN sein.
NT-Prinzipalname Diese Einstellung legt den NT-Prinzipalnamen für die Zertifikatsgenerierung fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „SAN-Typ“ auf etwas anderes als „Keine“ gesetzt ist.
Android: SCEP-ProfileinstellungenAndroid-Geräte müssen mit der Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ oder „Geschäftlich und persönlich – Benutzer-Datenschutz“ aktiviert werden, damit sie SCEP-Profile verwenden können.
Ein Beispiel eines SCEP-Profils für Android-Geräte finden Sie unter http://support.blackberry.com/ in KB-Artikel KB38248.
Android: SCEP-Profileinstellung
Beschreibung
Verschlüsselungsalgorithmus Diese Einstellung legt den Verschlüsselungsalgorithmus fest, den ein Android-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
Profileinstellungen
434
Android: SCEP-Profileinstellung
Beschreibung
• Triple DES
• AES (128-Bit)
• AES (196-Bit)
• AES (256-Bit)
Der Standardwert ist „Triple DES“.
Hashfunktion Diese Einstellung legt die Hashfunktion fest, die ein Android-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• Keine
• SHA-1
• SHA-224
• SHA-256
• SHA-384
• SHA-512
Der Standardwert ist „SHA-1“.
Fingerabdruck des Zertifikats Diese Einstellung legt den hexadezimal-codierten Hash des Stammzertifikats für die Zertifizierungsstelle fest. Sie können folgende Algorithmen verwenden, um den Fingerabdruck festzulegen: SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Sie müssen einen Wert für diese Einstellung festlegen, damit Geräte, auf denen Android for Work oder Samsung KNOX verwendet wird, aktiviert werden können.
Automatische Erneuerung Diese Einstellung legt fest, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Mögliche Werte sind 1 bis 365.
Der Standardwert ist „30“.
Android for Work/Samsung KNOX
Betreff Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
Profileinstellungen
435
Android: SCEP-Profileinstellung
Beschreibung
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
• RFC 822-Name
• Uniform Resource Identifier
• NT-Prinzipalname
• DNS-Name
Der Standardwert ist „RFC 822-Name“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Antragstellers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle, die vollqualifizierte URL des Servers oder ein Prinzipalname sein.
Die Einstellung „SAN-Typ“ bestimmt den Typ des geeigneten Werts, der angegeben werden muss. Wenn "RFC 822-Name" festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn "URI" festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn "NT-Prinzipalname" festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn "DNS-Name" festgelegt ist, muss der Wert ein gültiger FQDN sein.
Schlüsselalgorithmus Diese Einstellung legt den Algorithmus fest, den Geräte, auf denen Android for Work oder Samsung KNOX verwendet wird, zum Generieren des Client-Schlüsselpaars verwenden. Sie müssen einen Algorithmus auswählen, der von Ihrer Zertifizierungsstelle unterstützt wird.
Mögliche Werte:
• Keine
• RSA
• ECC
Der Standardwert ist „RSA“.
RSA-Stärke Diese Einstellung legt die RSA-Stärke fest, die Geräte, auf denen Android for Work oder Samsung KNOX verwendet wird, zum Generieren des Client-Schlüsselpaars verwenden. Sie müssen eine Schlüsselstärke eingeben, die von Ihrer Zertifizierungsstelle unterstützt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Schlüsselalgorithmus“ auf „RSA“ gesetzt ist.
Mögliche Werte:
Profileinstellungen
436
Android: SCEP-Profileinstellung
Beschreibung
• 1024
• 2048
• 4096
• 8192
• 16384
Der Standardwert ist „1024“.
Schlüsselnutzung Diese Einstellung gibt die kryptografischen Vorgänge an, die mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssels ausgeführt werden können.
Mögliche Auswahlen:
• Digitale Signatur
• Nichtabstreitbarkeit
• Schlüsselverschlüsselung
• Datenverschlüsselung
• Schlüsselvereinbarung
• Schlüsselzertifikat-Signierung
• CRL-Signierung
• Nur verschlüsseln
• Nur entschlüsseln
Die Standardauswahlen lauten „Digital Signatur“, „Schlüsselverschlüsselung“ und „Schlüsselvereinbarung“.
Erweiterte Schlüsselnutzung Diese Einstellung gibt den Zweck des im Zertifikat enthaltenen Schlüssels an.
Mögliche Auswahlen:
• Server-Authentifizierung
• Client-Authentifizierung
• Codesignierung
• E-Mail-Schutz
• Zeitstempel
• OCSP-Signierung
• Secure Shell Client
• Secure Shell Server
Profileinstellungen
437
Android: SCEP-Profileinstellung
Beschreibung
Die Standardauswahl lautet „Client-Authentifizierung“.
Secure Work Space.
BES12 als Proxy für SCEP-Anforderungen verwenden
Diese Einstellung legt fest, ob alle SCEP-Anforderungen von Geräten per BES12 gesendet werden. Wenn sich die Zertifizierungsstelle hinter Ihrer Firewall befindet, können Sie mithilfe dieser Einstellung Client-Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
Antragsteller (Secure Work Space)
Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
Wiederholungen Diese Einstellung legt fest, wie oft der Verbindungsaufbau zum SCEP-Dienst wiederholt wird, wenn der erste Verbindungsversuch fehlgeschlagen ist.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist „3“.
Wiederholungsverzögerung Diese Einstellung legt fest, wie viele Sekunden bis zum nächsten Versuch, eine Verbindung zum SCEP-Dienst aufzubauen, verstreichen sollen.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist 10 Sekunden.
Schlüsselgröße Diese Einstellung legt die Schlüsselgröße für das Zertifikat fest.
Mögliche Werte:
• 1024
• 2048
• 4096
• 8192
• 16384
Der Standardwert ist „1024“.
Als digitale Signatur verwenden
Diese Einstellung legt fest, ob das angemeldete Zertifikat für digitale Signaturen verwendet werden kann.
Profileinstellungen
438
Android: SCEP-Profileinstellung
Beschreibung
Für Schlüsselverschlüsselung verwenden
Diese Einstellung legt fest, ob das angemeldete Zertifikat zum Verschlüsseln verwendet werden kann.
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
• Keine
• RFC 822-Name
• DNS-Name
• Uniform Resource Identifier
Der Standardwert ist „Keine“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Zertifikatempfängers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle oder die vollqualifizierte URL des Servers sein.
Die Einstellung „Alternativname Zertifikatempfänger“ betrifft diese Einstellung. Welcher Wert für diese Einstellung geeignet ist, hängt von dem Wert ab, der für die Einstellung „SAN-Typ“ gewählt wurde.
NT-Prinzipalname Diese Einstellung legt den NT-Prinzipalnamen für die Zertifikatsgenerierung fest.
Die Einstellung „Alternativname Zertifikatempfänger“ betrifft diese Einstellung. Welcher Wert für diese Einstellung geeignet ist, hängt von dem Wert ab, der für die Einstellung „SAN-Typ“ gewählt wurde.
Windows 10: SCEP-ProfileinstellungenWindows 10: SCEP-Profileinstellung
Beschreibung
Betreff Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=<common_name>/O=<domain_name>“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“ oder „%UserPrincipalName%“.
SAN-Typ Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Profileinstellungen
439
Windows 10: SCEP-Profileinstellung
Beschreibung
Mögliche Werte:
• Keine
• RFC 822-Name
• DNS-Name
• Uniform Resource Identifier
Der Standardwert ist „Keine“.
SAN-Wert Diese Einstellung legt die alternative Darstellung des Zertifikatempfängers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle oder die vollqualifizierte URL des Servers sein.
Welcher Wert für diese Einstellung geeignet ist, hängt von dem Wert ab, der für die Einstellung „SAN-Typ“ gewählt wurde.
Wiederholungen Diese Einstellung legt fest, wie oft der Verbindungsaufbau zum SCEP-Dienst wiederholt wird, wenn der erste Verbindungsversuch fehlgeschlagen ist.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist „3“.
Wiederholungsverzögerung Diese Einstellung legt fest, wie viele Sekunden bis zum nächsten Versuch, eine Verbindung zum SCEP-Dienst aufzubauen, verstreichen sollen.
Mögliche Werte sind 1 bis 999.
Der Standardwert ist 10 Sekunden.
Schlüsselgröße Diese Einstellung legt die Schlüsselgröße für das Zertifikat fest.
Mögliche Werte:
• 1024
• 2048
• 4096
• 8192
• 16384
Der Standardwert ist „1024“.
Schlüsselnutzung Diese Einstellung gibt die kryptografischen Vorgänge an, die mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssels ausgeführt werden können.
Profileinstellungen
440
Windows 10: SCEP-Profileinstellung
Beschreibung
• Digitale Signatur
• Nichtabstreitbarkeit
• Schlüsselverschlüsselung
• Datenverschlüsselung
• Schlüsselvereinbarung
• Schlüsselzertifikat-Signierung
• CRL-Signierung
• Nur verschlüsseln
Die Standardauswahlen lauten „Digital Signatur“, „Schlüsselverschlüsselung“ und „Schlüsselvereinbarung“.
Erweiterte Schlüsselnutzung Diese Einstellung gibt den Zweck des im Zertifikat enthaltenen Schlüssels an.
• Server-Authentifizierung
• Client-Authentifizierung
• Codesignierung
• E-Mail-Schutz
• Zeitstempel
• OCSP-Signierung
• Secure Shell Client
• Secure Shell Server
Die Standardauswahl lautet „Client-Authentifizierung“.
Hashfunktion Diese Einstellung legt die Hashfunktion fest, die ein Windows 10-Gerät für die Zertifikatsanmeldungsanforderung verwendet.
Mögliche Werte:
• SHA-1
• SHA-224
• SHA-256
• SHA-384
• SHA-512
Der Standardwert ist „SHA-1“.
Profileinstellungen
441
Windows 10: SCEP-Profileinstellung
Beschreibung
Fingerabdruck des Zertifikats Diese Einstellung legt den hexadezimal-codierten Hash des Stammzertifikats für die Zertifizierungsstelle fest. Sie können folgende Algorithmen verwenden, um den Fingerabdruck festzulegen: SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512.
Automatische Erneuerung Diese Einstellung legt fest, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Mögliche Werte sind 1 bis 365.
Der Standardwert ist „30“.
Wi-Fi-ProfileinstellungenSie können eine Variable in einem beliebigen Textfeld der Profileinstellungen verwenden, um einen Wert zu referenzieren, statt den tatsächlichen Wert anzugeben.BES12unterstützt vordefinierte Standardvariablen sowie von Ihnen festgelegte benutzerdefinierte Variablen.Wi-Fi-Profile werden auf den folgenden Gerätetypen unterstützt:
• BlackBerry 10
• iOS
• OS X
• Android
• Windows
In einigen Fällen wird die erforderliche Mindestversion des Gerätebetriebssystems zur Unterstützung einer Einstellung nicht von BES12 unterstützt. Informationen zu den unterstützten Betriebssystemversionen finden Sie in der Kompatibilitätsmatrix.
Allgemein: Wi-Fi-ProfileinstellungenAllgemein: Wi-Fi-Profileinstellung
Beschreibung
SSID Diese Einstellung gibt den Netzwerknamen eines Wi-Fi-Netzwerks und seiner drahtlosen Zugriffspunkte an. Bei der SSID muss die Groß- und Kleinschreibung beachtet werden, und sie muss alphanumerische Zeichen enthalten.
Mögliche Werte sind auf 32 Zeichen begrenzt.
Verborgenes Netzwerk Diese Einstellung legt fest, ob die SSID im Wi-Fi-Netzwerk verborgen ist.
Profileinstellungen
442
BlackBerry 10: Wi-Fi-ProfileinstellungenBlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Sicherheitstyp Diese Einstellung legt den Sicherheitstyp fest, den das Wi-Fi-Netzwerk verwendet.
Mögliche Werte:
• Keine
• WEP persönlich
• WPA-Personal
• WPA - geschäftlich
• WPA2-Personal
• WPA2 - geschäftlich
Der Standardwert ist „Keine“.
WEP-Schlüssel Diese Einstellung legt den WEP-Schlüssel für das Wi-Fi-Netzwerk fest. Der WEP-Schlüssel muss 10 oder 26 hexadezimale Zeichen (0-9, A-F) oder 5 bzw. 13 alphanumerische Zeichen (0-9, A-Z) umfassen.
Beispiele für hexadezimale Schlüsselwerte sind „ABCDEF0123“ oder „ABCDEF0123456789ABCDEF0123“. Beispiele für alphanumerische Schlüsselwerte sind „abCD5“ oder „abCDefGHijKL1“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP persönlich“ gesetzt ist.
Vorinstallierter Schlüsseltyp Diese Einstellung legt den Typ des vorinstallierten Schlüssels für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA-Personal“ oder „WPA2-Personal“ gesetzt ist.
Mögliche Werte:
• ASCII
• HEX
Der Standardwert ist „ASCII“.
Preshared key Diese Einstellung legt den vorinstallierten Schlüssel für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA-Personal“ oder „WPA2-Personal“ gesetzt ist.
Mögliche Werte sind auf 64 Zeichen begrenzt.
Profileinstellungen
443
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Authentifizierungsprotokoll Diese Einstellung legt die EAP-Methode fest, die das Wi-Fi-Netzwerk verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Mögliche Werte:
• PEAP
• TTLS
• EAP-FAST
• TLS
Der Standardwert ist „PEAP“.
Interne Authentifizierung Diese Einstellung legt fest, welche interne Authentifizierungsmethode mit einem TLS-Tunnel verwendet wird.
Wenn Sie PAP als interne Authentifizierungsmethode verwenden möchten, setzen Sie diese Einstellung auf „Automatisch“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „PEAP“ oder „TTLS“ gesetzt ist.
Mögliche Werte:
• Automatisch
• MS-CHAPv2
• GTC
Der Standardwert ist „Automatisch“.
EAP-FAST-Provisionierungsmethode
Diese Einstellung legt die Provisionierungsmethode für die EAP-FAST-Authentifizierung fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „EAP-FAST“ gesetzt ist.
Mögliche Werte:
• Anonym
• Authentifiziert
Der Standardwert ist „Anonym“.
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein BlackBerry 10-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable angeben.
Profileinstellungen
444
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „PEAP“, „TTLS“, „EAP-FAST“ oder „TLS“ gesetzt ist.
Kennwort Diese Einstellung legt das Kennwort fest, das ein BlackBerry 10-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „PEAP“, „TTLS“ oder „EAP-FAST“ gesetzt ist.
Bandtyp Diese Einstellung legt das Frequenzband fest, das vom Wi-Fi-Netzwerk verwendet wird.
Mögliche Werte:
• Dual
• 2,4 GHz
• 5,0 GHz
Der Standardwert ist „Dual“.
DHCP aktivieren Diese Einstellung legt fest, ob das Wi-Fi-Netzwerk DHCP verwendet.
IP-Adresse Diese Einstellung legt die IP-Adresse des Hosts für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
Subnetzmaske Diese Einstellung legt die Subnetzmaske in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
Primärer DNS Diese Einstellung legt den primären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
Sekundärer DNS Diese Einstellung legt den sekundären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
Standard-Gateway Diese Einstellung legt das Standard-Gateway in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Profileinstellungen
445
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
Suffix der Domäne Diese Einstellung legt den FQDN des DNS-Suffixes fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DHCP aktivieren“ nicht ausgewählt ist.
IPv6 aktivieren Diese Einstellung legt fest, ob das Wi-Fi-Netzwerk IPv6 unterstützt.
Zugriffspunkt-Übergabe aktivieren
Diese Einstellung gibt an, ob ein BlackBerry 10-Gerät Wi-Fi-Übergaben zwischen drahtlosen Zugriffspunkten ausführen kann.
Benutzerdefinierbar Dieses Feld gibt die Wi-Fi-Funktionen an, die ein BlackBerry 10-Gerätebenutzer ändern kann. Wenn diese Einstellung auf „Schreibgeschützt“ gesetzt ist, kann der Benutzer keine Einstellung ändern. Wenn diese Einstellung auf „Nur Anmeldedaten“ gesetzt ist, kann der Benutzer den Benutzernamen und das Kennwort ändern.
Mögliche Werte:
• Schreibgeschützt
• Nur Anmeldedaten
Der Standardwert ist „Schreibgeschützt“.
Datensicherheitsebene Diese Einstellung legt die Domäne im geschäftlichen Bereich fest, in der das Wi-Fi-Profil gespeichert ist, wenn der geschäftliche Bereich mit erweitertem Schutz von Daten im Ruhestand arbeitet. Diese Einstellung ist nur dann gültig, wenn die IT-Richtlinienregel „Erweiterten Schutz von Daten im Ruhestand erzwingen“ ausgewählt ist. Wenn diese Einstellung auf „Immer verfügbar“ gesetzt ist, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich gesperrt ist. Wenn diese Einstellung auf „Verfügbar nach Authentifizierung“ gesetzt ist, wird das Profil in der Betriebsdomäne gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird. Wenn diese Einstellung auf „Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist“ gesetzt ist, wird das Profil in der Sperrdomäne gespeichert und kann nur dann für Wi-Fi-Verbindungen verwendet werden, wenn der geschäftliche Bereich entsperrt ist.
Mögliche Werte:
• Immer verfügbar
• Verfügbar nach Authentifizierung
• Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist
Profileinstellungen
446
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Der Standardwert ist „Immer verfügbar“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Erzwingen von TLS 1.2 Diese Einstellung gibt an, ob die BlackBerry 10-Geräte TLS 1.2 für die Kommunikation über das Wi-Fi-Netzwerk verwenden müssen.
Mögliche Werte:
• Deaktiviert
• Aktiviert
Der Standardwert ist „Aus“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Vertrauen
Quelle des Client-Zertifikats Diese Einstellung legt fest, wie BlackBerry 10-Geräte das Client-Zertifikat abrufen können. Für den Abruf von Client-Zertifikaten über die Geräte stehen vier Möglichkeiten zur Verfügung:
• Wenn Sie „SCEP“ wählen, müssen Sie auch das verknüpfte SCEP-Profil festlegen, das vom Gerät verwendet werden kann, um das Client-Zertifikat herunterzuladen.
• Wenn Sie „Benutzeranmeldeinformationen“ wählen, müssen Sie auch das Profil für die Benutzeranmeldeinformationen festlegen, das das Gerät verwenden kann, um das Client-Zertifikat herunterzuladen.
• Wenn Sie „Smartcard“ wählen, muss der Benutzer das Gerät mit einer Smartcard pairen, die das Client-Zertifikat enthält.
• Wenn Sie „Sonstiges“ wählen, muss der Benutzer das Client-Zertifikat manuell zum Gerät hinzufügen.
Smartcard-Unterstützung steht für Geräte zur Verfügung, auf denen BlackBerry 10 OS Version 10.3.1 oder höher ausgeführt wird.
Mögliche Werte:
• Smartcard
• SCEP
• Benutzeranmeldeinformationen
• Sonstiges
Der Standardwert ist „Sonstiges“.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, mit dem der Benutzer eines BlackBerry 10-Geräts ein Client-Zertifikat für die Authentifizierung beim Wi-Fi-Netzwerk anmeldet.
Profileinstellungen
447
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Quelle des Client-Zertifikats“ auf „SCEP“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, das ein BlackBerry 10-Gerät verwendet, um ein Client-Zertifikat für die Authentifizierung beim Wi-Fi-Netzwerk anzumelden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Quelle des Client-Zertifikats“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Die Mindestanforderung für die Verwendung eines Profils für Benutzeranmeldeinformationen ist BlackBerry 10 OS-Version 10.3.1.
Quelle des vertrauenswürdigen Zertifikats
Diese Einstellung legt die Quelle des vertrauenswürdigen Zertifikats fest. Wenn diese Einstellung auf „Speicher für vertrauenswürdige Zertifikate“ gesetzt ist, kann ein BlackBerry 10-Gerät eine Verbindung zu einem Wi-Fi-Netzwerk aufbauen, das ein beliebiges Zertifikat im Wi-Fi-Zertifikatspeicher verwendet.
Mögliche Werte:
• Keine
• Speicher für vertrauenswürdige Zertifikate
Der Standardwert ist „Keine“.
Verknüpfte Profile
Enterprise-Konnektivitäts-Profil mit BlackBerry Secure Connect Plus-Verbindung für geschäftliche Daten verwenden
Diese Einstellung legt fest, ob der gesamte Datenverkehr des geschäftlichen Bereichs über BlackBerry Secure Connect Plus geleitet werden soll, selbst wenn BlackBerry 10-Geräte Zugriff auf das Wi-Fi-Netzwerk haben. Wenn Sie diese Einstellung nicht wählen, wenn Sie ein Wi-Fi-Profil konfigurieren und es BlackBerry 10-Geräten zuweisen, erhält auf den Geräten das geschäftliche Wi-Fi-Netzwerk für den Datenverkehr des geschäftlichen Bereichs Vorrang vor BlackBerry Secure Connect Plus.
Wenn Sie diese Funktion verwenden möchten, vergewissern Sie sich, dass in der den Benutzern von BlackBerry 10-Geräten zugewiesenen IT-Richtlinie die IT-Richtlinienregel Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen nicht ausgewählt ist.
Diese Einstellung kann sich auf Datennutzung und Netzwerkkosten in Ihrem Unternehmen auswirken. Vergewissern Sie sich, dass dies die bevorzugte Konfiguration im Unternehmen ist, bevor Sie diese Funktion verwenden.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.2.
Profileinstellungen
448
BlackBerry 10: Wi-Fi-Profileinstellung
Beschreibung
Verknüpftes VPN-Profil Diese Einstellung legt das verknüpfte VPN-Profil fest, das ein BlackBerry 10-Gerät verwendet, um eine Verbindung zu einem VPN aufzubauen, wenn das Gerät mit dem Wi-Fi-Netzwerk verbunden ist.
Verknüpftes Proxy-Profil Diese Einstellung legt das verknüpfte Proxy-Profil fest, das ein BlackBerry 10-Gerät verwendet, um eine Verbindung zu einem Proxy-Server aufzubauen, wenn das Gerät mit dem Wi-Fi-Netzwerk verbunden ist.
iOS und OS X: Wi-Fi-ProfileinstellungenBei OS X gelten Profile für Benutzerkonten oder Geräte. Sie können ein Wi-Fi-Profil konfigurieren, das für Benutzerkonten oder Geräte gilt.
iOSundOS X: Wi-Fi: Beschreibung
Automatisch dem Netzwerk beitreten
Diese Einstellung gibt an, ob ein Gerät automatisch dem Wi-Fi-Netzwerk hinzugefügt werden kann.
Profil anwenden auf Diese Einstellung gibt an, ob das Wi-Fi-Profil für das Benutzerkonto oder das Gerät gilt.
Mögliche Werte:
• Benutzer
• Gerät
Diese Einstellung ist nur für OS X gültig.
Verknüpftes Proxy-Profil Diese Einstellung legt das verknüpfte Proxy-Profil fest, das ein Gerät verwendet, um eine Verbindung zu einem Proxy-Server herzustellen, wenn das Gerät mit dem Wi-Fi-Netzwerk verbunden ist.
Netzwerktyp Diese Einstellung legt eine Konfiguration für das Wi-Fi-Netzwerk fest.
Hotspot-Konfigurationen stehen nur für iOS- und OS X-Geräte zur Verfügung. Um Wi-Fi-Einstellungen für BlackBerry-, Android- und Windows Phone-Geräte zu konfigurieren, müssen Sie ein separates Wi-Fi-Profil erstellen.
Mögliche Werte:
• Standard
• Legacy-Hotspot
• Hotspot 2.0
Profileinstellungen
449
iOSundOS X: Wi-Fi: Beschreibung
Der Standardwert ist „Standard“.
Angezeigter Betreibername Diese Einstellung legt den Anzeigenamen des Hotspot-Betreibers fest.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
Domänenname Diese Einstellung legt den Domänennamen des Hotspot-Betreibers fest.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
Wenn Sie diese Einstellung verwenden, ist die Einstellung „SSID“ nicht erforderlich.
Unternehmensbezeichner der Roaming-Konsortien
Diese Einstellung legt die Organisationsbezeichner der Roaming-Konsortien und Dienstanbieter fest, auf die über den Hotspot zugegriffen werden kann.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
NAI-Bereichsnamen Diese Einstellung legt die NAI-Bereichsnamen fest, die ein iOS-Gerät authentifizieren können.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
MCC/MNCs Diese Einstellung legt die MCC/MNC-Kombinationen fest, die Mobilfunknetzbetreiber identifizieren. Jeder Wert muss genau sechs Ziffern umfassen.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
Verbindungsaufbau zu Roaming-Partnernetzwerken zulassen
Diese Einstellung legt fest, ob ein Gerät eine Verbindung zu Roaming-Partnern für den Hotspot aufbauen kann.
Diese Einstellung ist nur dann gültig, wenn der „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist.
Sicherheitstyp Diese Einstellung legt den Sicherheitstyp fest, den das Wi-Fi-Netzwerk verwendet.
Wenn die Einstellung „Netzwerktyp“ auf „Hotspot 2.0“ gesetzt ist, ist diese Einstellung auf „WPA2 - geschäftlich“ gesetzt.
Mögliche Werte:
• Keine
• WEP persönlich
• WEP Unternehmen
• WPA-Personal
• WPA - geschäftlich
• WPA2-Personal
• WPA2 - geschäftlich
Der Standardwert ist „Keine“.
Profileinstellungen
450
iOSundOS X: Wi-Fi: Beschreibung
WEP-Schlüssel Diese Einstellung legt den WEP-Schlüssel für das Wi-Fi-Netzwerk fest. Der WEP-Schlüssel muss 10 oder 26 hexadezimale Zeichen (0-9, A-F) oder 5 bzw. 13 alphanumerische Zeichen (0-9, A-Z) umfassen.
Beispiele für hexadezimale Schlüsselwerte sind „ABCDEF0123“ oder „ABCDEF0123456789ABCDEF0123“. Beispiele für alphanumerische Schlüsselwerte sind „abCD5“ oder „abCDefGHijKL1“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP persönlich“ gesetzt ist.
Preshared key Diese Einstellung legt den vorinstallierten Schlüssel für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA-Personal“ oder „WPA2-Personal“ gesetzt ist.
Protokolle
Authentifizierungsprotokoll Diese Einstellung legt die EAP-Methoden fest, die das Wi-Fi-Netzwerk unterstützt. Sie können mehrere EAP-Methoden auswählen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Mögliche Auswahlen:
• TLS
• TTLS
• LEAP
• PEAP
• EAP-FAST
• EAP-SIM
Interne Authentifizierung Diese Einstellung legt fest, welche interne Authentifizierungsmethode mit TTLS verwendet wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „TTLS“ gesetzt ist.
Mögliche Werte:
• Keine
• PAP
• CHAP
• MS-CHAP
Profileinstellungen
451
iOSundOS X: Wi-Fi: Beschreibung
• MS-CHAPv2
• EAP
Der Standardwert ist „MS-CHAPv2“.
PAC verwenden Diese Einstellung legt fest, ob die EAP-FAST-Methode geschützte Anmeldeinformationen (Protected Access Credential) verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „EAP-FAST“ gesetzt ist.
PAC bereitstellen Diese Einstellung legt fest, ob die EAP-FAST-Methode die Bereitstellung von geschützten Anmeldeinformationen zulässt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „EAP-FAST“ gesetzt und die Einstellung „PAC verwenden“ ausgewählt ist.
PAC anonym bereitstellen Diese Einstellung legt fest, ob die EAP-FAST-Methode die anonyme Bereitstellung von geschützten Anmeldeinformationen zulässt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „EAP-FAST“ gesetzt ist und die Einstellungen „PAC verwenden“ und „PAC bereitstellen“ ausgewählt sind.
Authentifizierung
Externe Identität für TTLS, PEAP und EAP-FAST
Diese Einstellung legt die externe Identität für einen Benutzer fest, die als Klartext gesendet wird. Sie können einen anonymen Benutzernamen festlegen, um die echte Identität des Benutzers zu verbergen (beispielsweise „anonym“). Der verschlüsselte Tunnel wird verwendet, um den echten Benutzernamen zur Authentifizierung beim Wi-Fi-Netzwerk zu senden. Wenn die externe Identität den Bereichsnamen enthält, um die Anforderung weiterzuleiten, muss es sich dabei um den tatsächlichen Bereich des Benutzers handeln (beispielsweise „[email protected]“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „TTLS“, „PEAP“ oder „EAP-FAST“ gesetzt ist.
Im Wi-Fi-Profil enthaltenes Kennwort verwenden
Diese Einstellung legt fest, ob das Wi-Fi-Profil das Kennwort für die Authentifizierung enthält.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Kennwort Diese Einstellung legt das Kennwort fest, das ein iOS-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Im Wi-Fi-Profil enthaltenes Kennwort verwenden“ ausgewählt wurde.
Profileinstellungen
452
iOSundOS X: Wi-Fi: Beschreibung
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein iOS-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable angeben.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Authentifizierungstyp Diese Einstellung legt fest, welche Art der Authentifizierung ein Gerät verwendet, um eine Verbindung zum Wi-Fi-Netzwerk aufzubauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Mögliche Werte:
• Keine
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Der Standardwert ist „Keine“.
Typ der Zertifikatverknüpfung Diese Einstellung legt den Typ der Zertifikatverknüpfung für das mit dem Wi-Fi-Profil verknüpfte Client-Zertifikat fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Mögliche Werte:
• Einzelne Referenz
• Variable Einfügung
Der Standardwert ist „Einzelne Referenz“.
Profil für freigegebenes Zertifikat
Diese Einstellung legt das Profil für das freigegebene Zertifikat mit dem Clientzertifikat fest, das ein Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Einzelne Referenz“ gesetzt ist.
Name des Client-Zertifikats Diese Einstellung legt den Namen des Clientzertifikats fest, das ein Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Variable Einfügung“ gesetzt ist.
Profileinstellungen
453
iOSundOS X: Wi-Fi: Beschreibung
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein Gerät verwendet, um ein Clientzertifikat für die Authentifizierung beim Wi-Fi-Netzwerk abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „SCEP“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, das ein Gerät verwendet, um ein Clientzertifikat für die Authentifizierung beim Wi-Fi-Netzwerk abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Vertrauen
Vom Authentifizierungsserver erwartete allgemeine Zertifikatnamen
Diese Einstellung legt die allgemeinen Namen im Zertifikat fest, die der Authentifizierungsserver an das Gerät sendet (beispielsweise „*.Beispiel.com“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Typ der Zertifikatverknüpfung Diese Einstellung legt den Typ der Zertifikatverknüpfung für die mit dem Wi-Fi-Profil verknüpften vertrauenswürdigen Zertifikate fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Mögliche Werte:
• Einzelne Referenz
• Variable Einfügung
Der Standardwert ist „Einzelne Referenz“.
Profile für Zertifizierungsstellen-zertifikate
Diese Einstellung legt die Profile für Zertifizierungsstellenzertifikate mit den vertrauenswürdigen Zertifikaten fest, die ein Gerät verwendet, damit das Wi-Fi-Netzwerk als vertrauenswürdig gilt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Einzelne Referenz“ gesetzt ist.
Vertrauenswürdige Zertifikatnamen
Diese Einstellung legt die Namen der vertrauenswürdigen Zertifikate fest, die ein Gerät verwendet, damit das Wi-Fi-Netzwerk als vertrauenswürdig gilt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Variable Einfügung“ gesetzt ist.
Profileinstellungen
454
iOSundOS X: Wi-Fi: Beschreibung
Benutzerentscheidungen vertrauen
Diese Einstellung legt fest, ob ein Gerät den Benutzer auffordert, einem Server zu vertrauen, wenn die Vertrauenskette nicht hergestellt werden kann. Wenn diese Einstellung nicht ausgewählt ist, können nur Verbindungen zu von Ihnen festgelegten vertrauenswürdigen Servern aufgebaut werden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WEP Unternehmen“, „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Android: Wi-Fi-ProfileinstellungenAndroid: Wi-Fi-Profileinstellung
Beschreibung
Verknüpftes Proxy-Profil Diese Einstellung legt das verknüpfte Proxy-Profil fest, das ein Android for Work-Gerät verwendet, um eine Verbindung zu einem Proxy-Server aufzubauen, wenn das Gerät mit dem Wi-Fi-Netzwerk verbunden ist.
BSSID Diese Einstellung legt die MAC-Adresse eines drahtlosen Zugriffspunkts im Wi-Fi-Netzwerk fest.
Primärer DNS Diese Einstellung legt den primären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung gilt nur für Geräte, die Samsung KNOX verwenden, wenn die IP-Adresse über das Unternehmensnetzwerk statisch zugewiesen wird.
Sekundärer DNS Diese Einstellung legt den sekundären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung gilt nur für Geräte, die Samsung KNOX verwenden, wenn die IP-Adresse über das Unternehmensnetzwerk statisch zugewiesen wird.
Sicherheitstyp Diese Einstellung legt den Sicherheitstyp fest, den das Wi-Fi-Netzwerk verwendet.
Mögliche Werte:
• Keine
• Persönlich
• Unternehmen
Der Standardwert ist „Keine“.
Persönlicher Sicherheitstyp Diese Einstellung legt den persönlichen Sicherheitstyp fest, den das Wi-Fi-Netzwerk verwendet.
Profileinstellungen
455
Android: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Persönlich“ gesetzt ist.
Mögliche Werte:
• Keine
• WEP persönlich
• WPA-Personal/WPA2-Personal
Der Standardwert ist „Keine“.
WEP-Schlüssel Diese Einstellung legt den WEP-Schlüssel für das Wi-Fi-Netzwerk fest. Der WEP-Schlüssel muss 10 oder 26 hexadezimale Zeichen (0-9, A-F) oder 5 bzw. 13 alphanumerische Zeichen (0-9, A-Z) umfassen.
Beispiele für hexadezimale Schlüsselwerte sind „ABCDEF0123“ oder „ABCDEF0123456789ABCDEF0123“. Beispiele für alphanumerische Schlüsselwerte sind „abCD5“ oder „abCDefGHijKL1“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Persönlicher Sicherheitstyp“ auf „WEP persönlich“ gesetzt ist.
Preshared key Diese Einstellung legt den vorinstallierten Schlüssel für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Persönlicher Sicherheitstyp“ auf „WPA-Personal/WPA2-Personal“ gesetzt ist.
Authentifizierungsprotokoll Diese Einstellung legt die EAP-Methode fest, die das Wi-Fi-Netzwerk verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Mögliche Werte:
• TLS
• TTLS
• PEAP
• LEAP*
Der Standardwert ist „TLS“.
* Das Authentifizierungsprotokoll wird von Geräten, die Samsung KNOX verwenden, nicht unterstützt.
Interne Authentifizierung Diese Einstellung legt fest, welche interne Authentifizierungsmethode mit TTLS verwendet wird.
Profileinstellungen
456
Android: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „TTLS“ gesetzt ist.
Mögliche Werte:
• Keine
• PAP
• CHAP*
• MS-CHAP
• MS-CHAPv2
• GTC
Der Standardwert ist „MS-CHAPv2“.
* Die interne Authentifizierungsmethode wird von Geräten, die Samsung KNOX verwenden, nicht unterstützt.
Externe Identität für TTLS Diese Einstellung legt die externe Identität für einen Benutzer fest, die als Klartext gesendet wird. Sie können einen anonymen Benutzernamen festlegen, um die echte Identität des Benutzers zu verbergen (beispielsweise „anonym“). Der verschlüsselte Tunnel wird verwendet, um den echten Benutzernamen zur Authentifizierung beim Wi-Fi-Netzwerk zu senden. Wenn die externe Identität den Bereichsnamen enthält, um die Anforderung weiterzuleiten, muss es sich dabei um den tatsächlichen Bereich des Benutzers handeln (beispielsweise „[email protected]“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „TTLS“ gesetzt ist.
Externe Identität für PEAP Diese Einstellung legt die externe Identität für einen Benutzer fest, die als Klartext gesendet wird. Sie können einen anonymen Benutzernamen festlegen, um die echte Identität des Benutzers zu verbergen (beispielsweise „anonym“). Der verschlüsselte Tunnel wird verwendet, um den echten Benutzernamen zur Authentifizierung beim Wi-Fi-Netzwerk zu senden. Wenn die externe Identität den Bereichsnamen enthält, um die Anforderung weiterzuleiten, muss es sich dabei um den tatsächlichen Bereich des Benutzers handeln (beispielsweise „[email protected]“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungsprotokoll“ auf „PEAP“ gesetzt ist.
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein Android-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable angeben.
Profileinstellungen
457
Android: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Im Wi-Fi-Profil enthaltenes Kennwort verwenden
Diese Einstellung legt fest, ob das Wi-Fi-Profil das Kennwort für die Authentifizierung enthält.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Kennwort Diese Einstellung legt das Kennwort fest, das ein Android-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Im Wi-Fi-Profil enthaltenes Kennwort verwenden“ ausgewählt wurde.
Authentifizierungstyp Diese Einstellung legt fest, welche Art der Authentifizierung ein Android-Gerät verwendet, um eine Verbindung zum Wi-Fi-Netzwerk aufzubauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Mögliche Werte:
• Keine
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Der Standardwert ist „Keine“.
Typ der Zertifikatverknüpfung Diese Einstellung legt den Typ der Zertifikatverknüpfung für das mit dem Wi-Fi-Profil verknüpfte Client-Zertifikat fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Mögliche Werte:
• Einzelne Referenz
• Variable Einfügung
Der Standardwert ist „Einzelne Referenz“.
Profil für freigegebenes Zertifikat
Diese Einstellung legt das Profil für das freigegebene Zertifikat mit dem Client-Zertifikat fest, das ein Android-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Profileinstellungen
458
Android: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Einzelne Referenz“ gesetzt ist.
Der Name des Profils für das freigegebene Zertifikat muss für Geräte, die einen KNOX Workspace verwenden, weniger als 36 Zeichen enthalten.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein Android-Gerät verwendet, um ein Client-Zertifikat für die Authentifizierung beim Wi-Fi-Netzwerk abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „SCEP“ gesetzt ist.
Der Name des SCEP-Profils muss für Geräte, die einen KNOX Workspace verwenden, weniger als 36 Zeichen enthalten.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, das ein Android-Gerät verwendet, um ein Client-Zertifikat für die Authentifizierung beim Wi-Fi-Netzwerk abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Der Name des Profils für Benutzeranmeldeinformationen muss für Geräte, die einen KNOX Workspace verwenden, weniger als 36 Zeichen enthalten.
Name des Client-Zertifikats Diese Einstellung legt den Namen des Client-Zertifikats fest, das ein Android-Gerät verwendet, um sich beim Wi-Fi-Netzwerk zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Variable Einfügung“ gesetzt ist.
Vom Authentifizierungsserver erwartete allgemeine Zertifikatnamen
Diese Einstellung legt die allgemeinen Namen im Zertifikat fest, die der Authentifizierungsserver an das Gerät sendet (beispielsweise „*.Beispiel.com“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Typ der Zertifikatverknüpfung Diese Einstellung legt den Typ der Zertifikatverknüpfung für die mit dem Wi-Fi-Profil verknüpften vertrauenswürdigen Zertifikate fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Unternehmen“ gesetzt ist.
Mögliche Werte:
• Einzelne Referenz
• Variable Einfügung
Profileinstellungen
459
Android: Wi-Fi-Profileinstellung
Beschreibung
Der Standardwert ist „Einzelne Referenz“.
Zertifizierungsstellenzertifikat-Profil
Diese Einstellung legt das Profil mit Zertifizierungsstellenzertifikat mit dem vertrauenswürdigen Zertifikat fest, die ein Android-Gerät verwendet, damit das Wi-Fi-Netzwerk als vertrauenswürdig gilt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Einzelne Referenz“ gesetzt ist.
Vertrauenswürdige Zertifikatnamen
Diese Einstellung legt die Namen der vertrauenswürdigen Zertifikate fest, die ein Android-Gerät verwendet, damit das Wi-Fi-Netzwerk als vertrauenswürdig gilt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Typ der Zertifikatverknüpfung“ auf „Variable Einfügung“ gesetzt ist.
Windows: Wi-Fi-ProfileinstellungenWindows: Wi-Fi-Profileinstellung
Beschreibung
Sicherheitstyp Diese Einstellung legt den Sicherheitstyp fest, den das Wi-Fi-Netzwerk verwendet.
Mögliche Werte:
• Öffnen
• WPA - geschäftlich
• WPA-Personal
• WPA2 - geschäftlich
• WPA2-Personal
Der Standardwert ist „Offen“.
Verschlüsselungstyp Diese Einstellung legt die Verschlüsselungsmethode fest, die das Wi-Fi-Netzwerk verwendet.
Die Einstellung „Sicherheitstyp“ legt fest, welche Verschlüsselungstypen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• Keine
• WEP
Profileinstellungen
460
Windows: Wi-Fi-Profileinstellung
Beschreibung
• TKIP
• AES
WEP-Schlüssel Diese Einstellung legt den WEP-Schlüssel für das Wi-Fi-Netzwerk fest. Der WEP-Schlüssel muss 10 oder 26 hexadezimale Zeichen (0-9, A-F) oder 5 bzw. 13 alphanumerische Zeichen (0-9, A-Z) umfassen.
Beispiele für hexadezimale Schlüsselwerte sind „ABCDEF0123“ oder „ABCDEF0123456789ABCDEF0123“. Beispiele für alphanumerische Schlüsselwerte sind „abCD5“ oder „abCDefGHijKL1“.
Preshared key Diese Einstellung legt den vorinstallierten Schlüssel für das Wi-Fi-Netzwerk fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA-Personal“ gesetzt ist.
Schlüsselindex Diese Einstellung legt die Position des entsprechenden, auf dem drahtlosen Zugriffspunkt gespeicherten Schlüssels fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „Offen“ und der „Verschlüsselungstyp“ auf „WEP“ gesetzt ist.
Mögliche Werte sind 1 bis 4.
Der Standardwert ist 2.
Single Sign-On aktivieren Diese Einstellung legt fest, ob das Wi-Fi-Netzwerk die Authentifizierung nach einmaliger Anmeldung unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Typ der einmaligen Anmeldung
Diese Einstellung legt fest, wann die Authentifizierung nach einmaliger Anmeldung durchgeführt wird. Wenn diese Einstellung auf „Direkt vor Benutzeranmeldung durchführen“ gesetzt ist, wird die einmalige Anmeldung durchgeführt, bevor sich der Benutzer beim Active Directory Ihrer Organisation anmeldet. Wenn diese Einstellung auf „Direkt nach Benutzeranmeldung durchführen“ gesetzt ist, wird die einmalige Anmeldung sofort durchgeführt, nachdem sich der Benutzer beim Active Directory Ihrer Organisation angemeldet hat.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Single Sign-On aktivieren“ ausgewählt wurde.
Mögliche Werte:
Profileinstellungen
461
Windows: Wi-Fi-Profileinstellung
Beschreibung
• Direkt vor Benutzeranmeldung durchführen
• Direkt nach Benutzeranmeldung durchführen
Der Standardwert ist „Direkt vor Benutzeranmeldung durchführen“.
Maximale Verzögerung für Konnektivität
Diese Einstellung legt fest, wie viele Sekunden verstreichen sollen, bevor der Versuch, die Verbindung durch eine einmalige Anmeldung aufzubauen, fehlschlägt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Single Sign-On aktivieren“ ausgewählt wurde.
Mögliche Werte sind 0 bis 120 Sekunden.
Der Standardwert ist 10 Sekunden.
Zulassen, dass weitere Dialoge während der einmaligen Anmeldung angezeigt werden.
Diese Einstellung legt fest, ob ein Gerät außer dem Anmeldebildschirm Dialogfelder anzeigen kann. Wenn es beispielsweise für einen EAP-Authentifizierungstyp erforderlich ist, dass der Benutzer das im Authentifizierungsvorgang vom Server gesendete Zertifikat bestätigt, kann das Gerät das entsprechende Dialogfeld anzeigen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Single Sign-On aktivieren“ ausgewählt wurde.
Dieses Netzwerk verwendet separate virtuelle LANs für Geräte- und Benutzerauthentifizierung
Diese Einstellung legt fest, ob von den Anmeldeinformationen des Benutzers abhängt, welches VLAN von einem Gerät verwendet wird. Wenn das Gerät beispielsweise beim Starten in ein VLAN platziert wird und dann – basierend auf Berechtigungen – nach der Anmeldung des Benutzers in ein anderes VLAN-Netzwerk übergeht.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Single Sign-On aktivieren“ ausgewählt wurde.
Serverzertifikat bewerten Diese Einstellung legt fest, ob ein Gerät das Serverzertifikat bewerten muss, das die Identität des drahtlosen Zugriffspunkts überprüft.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
Benutzer nicht auffordern, neue Server oder vertrauenswürdige Zertifizierungsstellen zu autorisieren
Diese Einstellung legt fest, ob ein Benutzer aufgefordert wird, dem Serverzertifikat zu vertrauen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Serverzertifikat bewerten“ ausgewählt wurde.
Profileinstellungen
462
Windows: Wi-Fi-Profileinstellung
Beschreibung
Profile für Zertifizierungsstellen-zertifikate
Diese Einstellung legt das Profil des Zertifizierungsstellenzertifikats fest, das den Vertrauensstamm für das vom drahtlosen Zugriffspunkt verwendete Serverzertifikat bereitstellt.
Diese Einstellung begrenzt die Stammzertifizierungsstellen, denen Geräte vertrauen, auf die ausgewählten Zertifizierungsstellen. Wenn Sie keine vertrauenswürdigen Stammzertifizierungsstellen auswählen, vertrauen die Geräte allen Stammzertifizierungsstellen, die in ihrem Speicher für vertrauenswürdige Stammzertifizierungsstellen aufgelistet sind.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Serverzertifikat bewerten“ ausgewählt wurde.
Schnelle Wiederherstellung der Verbindung aktivieren
Diese Einstellung legt fest, ob das Wi-Fi-Netzwerk die schnelle Wiederherstellung bei PEAP-Authentifizierung über mehrere drahtlose Zugriffspunkte unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
NAP erzwingen Diese Einstellung legt fest, ob das Wi-Fi-Netzwerk anhand von NAP Systemintegritätsprüfungen auf Geräten durchführen soll, um zu überprüfen, ob die Geräte den Integritätsanforderungen entsprechen, bevor der Verbindungsaufbau zum Netzwerk zugelassen wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA - geschäftlich“ oder „WPA2 - geschäftlich“ gesetzt ist.
PMK-Zwischenspeicherung aktivieren
Diese Einstellung legt fest, ob ein Gerät den PMK zwischenspeichern kann, um ein schnelles WPA2 Roaming einzuschalten. Ein schnelles Roaming überspringt 802.1X-Einstellungen mit einem drahtlosen Zugriffspunkt, bei dem sich das Gerät zuvor authentifiziert hat.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Sicherheitstyp“ auf „WPA2-Enterprise“ gesetzt ist.
PMK-Lebenszeit Diese Einstellung legt fest, wie viele Minuten ein Gerät den PMK im Cache speichern kann.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „PMK-Zwischenspeicherung aktivieren“ ausgewählt wurde.
Mögliche Werte sind 5 bis 1440 Minuten.
Der Standardwert ist 720 Minuten.
Anzahl der Einträge im PMK-Cache
Diese Einstellung legt die maximale Anzahl an PMK-Einträgen fest, die ein Gerät im Cache speichern kann.
Profileinstellungen
463
Windows: Wi-Fi-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „PMK-Zwischenspeicherung aktivieren“ ausgewählt wurde.
Mögliche Werte sind 1 bis 255.
Der Standardwert ist 128.
Dieses Netzwerk arbeitet mit Vorauthentifizierung
Diese Einstellung legt fest, ob der Zugriffspunkt die Vorauthentifizierung für ein schnelles WPA2 Roaming unterstützt.
Vorauthentifizierung ermöglicht Geräten, die eine Verbindung zu einem drahtlosen Zugriffspunkt aufbauen, 802.1X-Einstellungen mit anderen drahtlosen Zugriffspunkten innerhalb seines Bereichs durchzuführen. Bei einer Vorauthentifizierung werden der PMK und die mit ihm verknüpften Informationen im PMK-Cache gespeichert. Wenn das Gerät eine Verbindung zu einem drahtlosen Zugriffspunkt aufbaut, bei dem es sich vorauthentifiziert hat, verwendet es die zwischengespeicherten PMK-Daten, um die Zeit für die Authentifizierung und den Verbindungsaufbau zu verkürzen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „PMK-Zwischenspeicherung aktivieren“ ausgewählt wurde.
Maximale Anzahl der Vorauthentifizierungsversuche
Diese Einstellung legt die maximale Anzahl zulässiger Vorauthentifizierungsversuche fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Dieses Netzwerk arbeitet mit Vorauthentifizierung“ ausgewählt wurde.
Mögliche Werte sind 1 bis 16.
Der Standardwert ist 3.
Proxy Diese Einstellung gibt den Servernamen und Port für den Netzwerk-Proxy an. Verwenden Sie das Format „Host:Port“ (z. B. server01.beispiel.com:123). Der Host muss einer der folgenden sein:
• Ein registrierter Name, z. B ein Servername, FQDN oder ein einzelner Etikettenname (z. B. "server01" anstatt server01.beispiel.com)
• Eine IPv4- oder IPv6-Adresse
Diese Einstellung gilt nur für Windows 10 Mobile-Geräte.
Profileinstellungen
464
VPN-ProfileinstellungenSie können eine Variable in einem beliebigen Textfeld der Profileinstellungen verwenden, um einen Wert zu referenzieren, statt den tatsächlichen Wert anzugeben.BES12unterstützt vordefinierte Standardvariablen sowie von Ihnen festgelegte benutzerdefinierte Variablen. VPN-Profile werden auf den folgenden Gerätetypen unterstützt:
• BlackBerry 10
• iOS
• OS X
• Samsung KNOX Workspace
• Windows 10
In einigen Fällen wird die erforderliche Mindestversion des Gerätebetriebssystems zur Unterstützung einer Einstellung nicht von BES12 unterstützt. Informationen zu den unterstützten Betriebssystemversionen finden Sie in der Kompatibilitätsmatrix.
BlackBerry 10: VPN-ProfileinstellungenBlackBerry 10: VPN-Profileinstellung
Beschreibung
Serveradresse Diese Einstellung legt den FQDN oder die IP-Adresse eines VPN-Servers fest.
Gateway-Typ Diese Einstellung gibt den Typ des VPN-Client an, den der VPN-Client auf einem BlackBerry 10-Gerät emuliert.
Mögliche Werte:
• Check Point VPN-1
• Cisco VPN 3000 Series Concentrator
• Cisco Secure PIX Firewall
• Cisco IOS Easy VPN
• Cisco ASA Series
• Cisco AnyConnect
• Juniper SRX Series (IPsec VPN)
• Juniper MAG Series oder Juniper SA Series (SSL VPN)
• Microsoft IKEv2 VPN-Server
• Generischer IKEv2 VPN-Server
• Mit NIAP kompatibler IKEv2 VPN-Server
Profileinstellungen
465
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Der Standardwert ist „Check Point VPN-1“.
Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp für das VPN-Gateway fest.
Die Einstellung „Gatewaytyp“ legt fest, welche Authentifizierungstypen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• PSK
• PKI
• XAUTH-PSK
• XAUTH-PKI
• EAP-TLS
• EAP-MS-CHAPv2
Vorinstallierter Schlüssel oder Gruppenkennwort
Diese Einstellung legt den vorinstallierten Schlüssel oder das Gruppenkennwort für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „PSK“ oder „XAUTH-PSK“ gesetzt ist.
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable verwenden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect“ oder die Einstellung „Authentifizierungstyp“ auf „XAUTH-PSK“ oder „XAUTH-PKI“ gesetzt ist.
Hardware-Token Diese Einstellung legt fest, ob ein Benutzer ein Hardware-Token verwenden muss, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „XAUTH-PSK“ oder „XAUTH-PKI“ gesetzt ist.
Kennwort Diese Einstellung legt das Kennwort fest, den ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect“ oder die Einstellung „Authentifizierungstyp“ auf „XAUTH-PSK“ oder „XAUTH-PKI“ gesetzt und die Einstellung „Hardware-Token“ nicht ausgewählt ist.
Profileinstellungen
466
BlackBerry 10: VPN-Profileinstellung
Beschreibung
EAP-Identität Diese Einstellung legt die EAP-Identität fest, die ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „EAP-TLS“ gesetzt ist.
EAP-TLS Gateway-ID Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ und der „Authentifizierungstyp“ auf „EAP-TLS“ festgelegt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
MS-CHAPv2 EAP-Identität Diese Einstellung legt die MS-CHAPv2 EAP-Identität fest, die ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „EAP-MS-CHAPv2“ gesetzt ist.
MS-CHAPv2-Benutzername Diese Einstellung legt den MS-CHAPv2-Benutzernamen fest, den ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „EAP-MS-CHAPv2“ gesetzt ist.
MS-CHAPv2-Kennwort Diese Einstellung legt das MS-CHAPv2-Kennwort fest, das ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „EAP-MS-CHAPv2“ gesetzt ist.
Authentifizierungs-ID-Typ Diese Einstellung legt den Authentifizierungs-ID-Typ für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Juniper MAG Series oder Juniper SA Series (SSL VPN)“, „Microsoft IKEv2 VPN-Server“ oder „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Einstellung „Gatewaytyp“ legt fest, welche Authentifizierungs-ID-Typen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• IPv4
• Fully Qualified Domain Name (vollständiger Domänenname)
• E-Mail-Adresse
• Identitätszertifikat – Distinguished Name
• Identitätszertifikat – Allgemeiner Name
Profileinstellungen
467
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• Schlüssel-ID
Authentifizierungs-ID oder Gruppenbenutzername
Diese Einstellung legt die Authentifizierungs-ID oder den Gruppenbenutzernamen für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Juniper MAG Series oder Juniper SA Series (SSL VPN)“, „Microsoft IKEv2 VPN-Server“ oder „Generischer IKEv2 VPN-Server“ gesetzt ist oder wenn die Einstellung „Authentifizierungstyp“ auf „PSK“ oder „XAUTH-PSK“ gesetzt ist.
Gateway-Authentifizierungstyp
Diese Einstellung legt den Gateway-Authentifizierungstyp für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Juniper MAG Series oder Juniper SA Series (SSL VPN)“, „Microsoft IKEv2 VPN-Server“ oder „Generischer IKEv2 VPN-Server“ gesetzt ist.
Mögliche Werte:
• Keine
• PSK
• PKI
Der Standardwert ist „Keine“.
OCSP- und CRL-Prüfungen für Zertifikate aus dem VPN aktivieren
Diese Einstellung ermöglicht die Zertifikatwiderrufsprüfung für die bei der Authentifizierung verwendeten Zertifikate.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ und die Einstellung „Authentifizierungstyp“ auf „PKI“ oder „EAP-TLS“ festgelegt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Vorinstallierter Gateway-Schlüssel
Diese Einstellung legt den vorinstallierten Gateway-Schlüssel für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gateway-Authentifizierungstyp“ auf „PSK“ gesetzt ist.
Gateway-Authentifizierungs-ID-Typ
Diese Einstellung legt den Gateway-Authentifizierungs-ID-Typ für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Juniper MAG Series oder Juniper SA Series (SSL VPN)“, „Microsoft IKEv2 VPN-Server“ oder „Generischer IKEv2 VPN-Server“ gesetzt ist.
Mögliche Werte:
Profileinstellungen
468
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• IPv4
• Fully Qualified Domain Name (vollständiger Domänenname)
• E-Mail-Adresse
• Identitätszertifikat – Distinguished Name
• Identitätszertifikat – Allgemeiner Name
• Schlüssel-ID
Der Standardwert ist „IPv4“.
Gateway-Authentifizierungs-ID
Diese Einstellung legt die Gateway-Authentifizierungs-ID für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gateway-Authentifizierungs-ID“ auf „Vollständig qualifizierter Domänenname“ oder „E-Mail-Adresse“ gesetzt ist.
Senden einer weiteren Gateway-Request-ID in Nachricht 1 des IKEv2-Protokolls
Der Standardwert ist „Deaktiviert“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS-Version 10.3.3
Angeforderter Gateway-ID-Typ Diese Einstellung gibt den Typ der angeforderten Gateway-ID für das VPN an.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp" auf „MitNIAP-kompatibler IKEv2 VPN-Server“ festgelegt ist und die Einstellung „Senden der erforderlichen Gateway-ID in Nachricht 1 des IKEv2-Protokolls“ ausgewählt ist.
Mögliche Werte:
• IPv4
• Fully Qualified Domain Name (vollständiger Domänenname)
• E-Mail-Adresse
• Identitätszertifikat – Distinguished Name
• Identitätszertifikat – Allgemeiner Name
• Schlüssel-ID
Der Standardwert ist „IPv4“.
Die Mindestanforderung ist BlackBerry 10 OS-Version 10.3.3
Angeforderte Gateway-ID Diese Einstellung fordert bei der Anmeldung eine bestimmte Gateway-ID in der ersten IKE-Nachricht an, wenn der VPN-Server mehrere IDs unterstützt. Diese kann sich von der Gateway-ID für die Authentifizierung unterscheiden.
Profileinstellungen
469
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp" auf „MitNIAP-kompatibler IKEv2 VPN-Server“ festgelegt ist und die Einstellung „Senden der erforderlichen Gateway-ID in Nachricht 1 des IKEv2-Protokolls“ ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Sekundärer Benutzername Diese Einstellung legt den Benutzernamen fest, den ein BlackBerry 10-Gerät für die Sekundär-Authentifizierung beim VPN-Gateway verwendet. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable verwenden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Sekundäres Kennwort Diese Einstellung legt das Kennwort fest, das ein BlackBerry 10-Gerät für die Sekundär-Authentifizierung mit dem VPN-Gateway verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Gruppenname Diese Einstellung legt den Gruppennamen für das VPN-Gateway fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Automatische Client-Zertifikatsverarbeitung aktivieren
Diese Einstellung legt fest, ob ein Client-Zertifikat automatisch ausgewählt wird, wenn eine VPN-Verbindung hergestellt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
IPsec-Authentifizierung aktivieren
Diese Einstellung legt fest, ob das VPN-Gateway die IPsec-Authentifizierung verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
IPsec-Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp für eine IPsec VPN-Verbindung fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IPsec-Authentifizierung aktivieren“ ausgewählt ist.
Profileinstellungen
470
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Mögliche Werte:
• EAP-MS-CHAPv2
• EAP-MD5
• EAP-GTC
• EAP-AnyConnect
• IKE-RSA
Der Standardwert ist EAP-MS-CHAPv2.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
EAP-Authentifizierungs-ID Diese Einstellung legt die EAP-Identität fest, die ein BlackBerry 10-Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IPsec-Authentifizierungstyp“ auf „EAP MSCHAPv2“, „EAP MD5“ oder „EAP GTC“ gesetzt ist.
Subnetze ausschließen Diese Einstellung legt fest, ob bestimmte Subnetze von der Verwendung der VPN-Verbindung ausgenommen werden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Ausgeschlossene Subnetze Diese Einstellung legt die Subnetze und die Subnetzmasken fest, die nicht über die VPN-Verbindung gesendet werden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Subnetzmarkierung deaktivieren“ ausgewählt ist.
Cisco AnyConnect-Konfigurationsdatei (.xml)
Diese Einstellung legt den Speicherort der Cisco AnyConnect-Konfigurationsdatei fest, die an BlackBerry 10-Geräte gesendet wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Cisco AnyConnect" gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Persönliche Apps in geschäftlichen Netzwerken zulassen
Diese Einstellung legt fest, ob persönliche Apps auf einem BlackBerry 10-Gerät eine VPN-Verbindung verwenden können.
Diese Einstellung ist nur dann gültig, wenn die IT-Richtlinienregel „Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden“ ausgewählt ist.
Profileinstellungen
471
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Aktion bei nicht vertrauenswürdigem Zertifikat
Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät nicht vertrauenswürdige Zertifikate annimmt. Wenn die Einstellung auf „Zulassen“ gesetzt ist, nimmt das Gerät nicht vertrauenswürdige Zertifikate automatisch an. Wenn die Einstellung auf „Eingabeaufforderung“ gesetzt ist, kann der Benutzer entscheiden, ob er nicht vertrauenswürdige Zertifikate annehmen möchte. Wenn diese Einstellung auf „Nicht zulassen“ gesetzt ist, lehnt das Gerät nicht vertrauenswürdige Zertifikate ab.
Die Einstellung „Gatewaytyp“ legt fest, welche nicht vertrauenswürdigen Zertifikataktionen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• Zulassen
• Eingabeaufforderung
• Nicht zulassen
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.2.
Quelle des Client-Zertifikats Diese Einstellung legt fest, wie BlackBerry 10-Geräte das Client-Zertifikat abrufen können. Für den Abruf von Client-Zertifikaten über die Geräte stehen vier Möglichkeiten zur Verfügung:
• Wenn Sie „Smartcard“ wählen, muss der Benutzer das Gerät mit einer Smartcard koppeln, die das Client-Zertifikat enthält.
• Wenn Sie „SCEP“ wählen, müssen Sie auch das verknüpfte SCEP-Profil festlegen, das vom Gerät verwendet werden kann, um das Client-Zertifikat herunterzuladen.
• Wenn Sie „Benutzeranmeldeinformationen“ wählen, müssen Sie auch das Profil für Benutzeranmeldeinformationen festlegen, das das Gerät verwenden kann, um das Client-Zertifikat herunterzuladen.
• Wenn Sie „Sonstiges“ wählen, muss der Benutzer das Client-Zertifikat manuell zum Gerät hinzufügen.
Smartcard-Unterstützung steht für Geräte zur Verfügung, auf denen BlackBerry 10 OS Version 10.3.1 oder höher ausgeführt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „PKI“ oder „XAUTH-PKI“ gesetzt ist.
Mögliche Werte:
• Smartcard
• SCEP
Profileinstellungen
472
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• Benutzeranmeldeinformationen
• Sonstiges
Der Standardwert ist „Sonstiges“.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein BlackBerry 10-Gerät verwendet, um ein Client-Zertifikat für die VPN-Authentifizierung abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Quelle des Client-Zertifikats“ auf „SCEP“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, das ein BlackBerry 10-Gerät verwendet, um ein Client-Zertifikat für die Authentifizierung mit dem VPN abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Quelle des Client-Zertifikats“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Die Mindestanforderung für die Verwendung eines Profils für Benutzeranmeldeinformationen ist BlackBerry 10 OS Version 10.3.1.
IKE-Lebensdauer Diese Einstellung legt die Lebensdauer der IKE-Verbindung in Sekunden fest. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des BlackBerry 10-Geräts verwendet.
Mögliche Werte sind 1 bis 2.147.483.647.
IKE-Schwellenwert Mit dieser Einstellung legen Sie den Prozentsatz der IKE-Lebensdauer fest, bei dem der VPN-Client den Austausch eines neuen Schlüssels initiiert.
Mögliche Werte: 0-100 %
Der Standardwert ist „90“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
IPsec-Lebensdauer Diese Einstellung legt die Lebensdauer der IPsec-Verbindung in Sekunden fest. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des BlackBerry 10-Geräts verwendet.
Mögliche Werte sind 1 bis 2.147.483.647.
Schwellenwert für IPSec Mit dieser Einstellung legen Sie den Prozentsatz des Schwellenwerts für IPSec fest, bei dem der VPN-Client den Austausch eines neuen Schlüssels initiiert.
Profileinstellungen
473
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Mögliche Werte: 0-100 %
Der Standardwert ist „90“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
VPN-Erweiterungen zulassen Mit dieser Einstellung können Sie Erweiterungen aktivieren oder deaktivieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Liste der VPN-Erweiterungen Mit dieser Einstellung können Sie eine Liste der Erweiterungen erstellen, die verwendet werden, um Anbieter-ID-Payloads zu generieren und zusätzliche Zertifikatsüberprüfungen auszuführen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ festgelegt ist und die Einstellung „VPN-Erweiterungen zulassen“ ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Erweiterung für Anbieter-ID erforderlich
Diese Einstellung gibt an, dass der Administrator eine der Erweiterungen aus der Liste der VPN-Erweiterungen verwenden möchte, um während der Anmeldung ein Anbieter-ID-Payload zu generieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ festgelegt ist und die Einstellung „VPN-Erweiterungen zulassen“ ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Erweiterung für Zertifikatsüberprüfung erforderlich
Diese Einstellung gibt an, dass der Administrator eine der Erweiterungen verwenden möchte, um eine zusätzliche Zertifikatsüberprüfung durchzuführen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ festgelegt ist und die Einstellung „VPN-Erweiterungen zulassen“ ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Sitzungswiederaufnahme aktivieren
Diese Einstellung aktiviert die Einstellungen der IKEv2-Sitzungswiederaufnahme. Wenn der VPN-Server diese Funktion unterstützt, wird der VPN-Client die Sitzung unterbrechen und
Profileinstellungen
474
BlackBerry 10: VPN-Profileinstellung
Beschreibung
fortsetzen, anstatt sie komplett zu trennen und die Verbindung erneut aufzubauen, sobald die automatische VPN-Verbindung aktiviert wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Ticket-Schwellenwert Mit dieser Einstellung legen Sie fest, bei welchem Prozentsatz des Ticket-Schwellenwerts eine Sitzungswiederaufnahme stattfinden wird.
Mögliche Werte: 0-100 %
Der Standardwert ist „90“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ festgelegt und die Einstellung „Sitzungswiederaufnahme aktivieren“ ausgewählt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Zertifikatnutzlasten im Hash-und-URL-Format während IKE aktivieren
Diese Einstellung gibt an, ob der VPN-Client dem VPN-Server anzeigt, dass er die Verwendung von IKEv2 zum Austausch von Zertifikaten mithilfe von URLs unterstützt, und dass er ggf. Zertifikate von einer angegebenen HTTP-URL abruft.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Strikte Anwendung der zugelassenen Algorithmen aktivieren
Diese Einstellung gibt an, ob die Verwendung der von NIAP zugelassenen Algorithmen strikt durchgesetzt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.3.
Split-Tunneling Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät Split-Tunneling verwenden kann, um das VPN-Gateway zu umgehen, sofern vom VPN-Gateway unterstützt.
Diese Einstellung ist nicht gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Banner deaktivieren Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät das VPN-Banner blockiert.
Diese Einstellung ist nicht gültig, wenn die Einstellung „Gatewaytyp“ auf „Mit NIAP kompatibler IKEv2 VPN-Server“ gesetzt ist.
Profileinstellungen
475
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Quelle des vertrauenswürdigen Zertifikats
Diese Einstellung legt die Quelle des vertrauenswürdigen Zertifikats fest. Wenn diese Einstellung auf „Speicher für vertrauenswürdige Zertifikate“ gesetzt ist, kann ein BlackBerry 10-Gerät eine Verbindung zu einem VPN aufbauen, das ein beliebiges Zertifikat im VPN-Zertifikatspeicher verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „PKI“ oder „XAUTH-PKI“ gesetzt ist.
Mögliche Werte:
• Keine
• Speicher für vertrauenswürdige Zertifikate
Der Standardwert ist „Keine“.
IP automatisch ermitteln Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät die IP-Konfiguration des VPN-Gateways automatisch ermittelt.
Private IP Diese Einstellung legt die private IP des VPN-Gateways fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IP automatisch ermitteln“ nicht ausgewählt ist.
Private IP-Maske Diese Einstellung legt die private IP-Maske des VPN-Gateways fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IP automatisch ermitteln“ nicht ausgewählt ist.
Subnetz Diese Einstellung legt das Subnetz des VPN-Gateways fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IP automatisch ermitteln“ nicht ausgewählt ist.
Subnetzmaske Diese Einstellung legt die Subnetzmaske des VPN-Gateways fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IP automatisch ermitteln“ nicht ausgewählt ist.
DNS automatisch ermitteln Diese Einstellung legt fest, ob ein BlackBerry 10-Gerät die DNS-Konfiguration des VPN-Gateways automatisch ermittelt.
Primärer DNS Diese Einstellung legt den primären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DNS automatisch ermitteln“ nicht ausgewählt ist.
Profileinstellungen
476
BlackBerry 10: VPN-Profileinstellung
Beschreibung
Sekundärer DNS Diese Einstellung legt den sekundären DNS-Server in Dezimalschreibweise mit Punkt fest (beispielsweise „192.0.2.0“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DNS automatisch ermitteln“ nicht ausgewählt ist.
Suffix der Domäne Diese Einstellung legt den FQDN des DNS-Suffixes fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „DNS automatisch ermitteln“ nicht ausgewählt ist.
Perfekte Geheimhaltung bei der Weiterleitung
Diese Einstellung legt fest, ob das VPN-Gateway PFS unterstützt.
Wenn diese Einstellung ausgewählt ist, darf die Einstellung „IKE IPSec DH-Gruppe“ nicht auf „0“ gesetzt werden.
Manuelle Algorithmenauswahl Diese Einstellung legt fest, ob Sie die kryptografischen Algorithmen für das VPN-Gateway einrichten müssen.
IKE DH-Gruppe Diese Einstellung gibt die DH-Gruppe an, die ein BlackBerry 10-Gerät zur Generierung des Schlüssels verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
• 1 bis 26 außer 3, 4 und 6
• Benutzerdefiniert 1 bis Benutzerdefiniert 5
Der Standardwert ist „1“.
Provider für benutzerdefinierte IKE DH
Diese Einstellung legt den Namen des Providers für die benutzerdefinierte IKE DH fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „IKE DH-Gruppe“ auf einen der benutzerdefinierten Werte gesetzt ist.
MOBIKE aktivieren Diese Einstellung legt fest, ob das VPN-Gateway MOBIKE unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Gatewaytyp“ auf „Microsoft IKEv2 VPN-Server“ oder „Generischer IKEv2 VPN-Server“ gesetzt ist oder wenn die Einstellung „Authentifizierungstyp“ auf „PKI“ und die Einstellung für die „IKE DH-Gruppe“ auf einen der benutzerdefinierten Werte gesetzt ist.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Profileinstellungen
477
BlackBerry 10: VPN-Profileinstellung
Beschreibung
IKE: Chiffrierschlüssel Diese Einstellung legt den Algorithmus fest, den ein BlackBerry 10-Gerät verwendet, um einen gemeinsam verwendeten geheimen Schlüssel zu generieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
• Keine
• DES (56-Bit-Schlüssel)
• Triple DES (168-Bit-Schlüssel)
• AES (128-Bit-Schlüssel)
• AES (192-Bit-Schlüssel)
• AES (256-Bit-Schlüssel)
Der Standardwert ist „Keine“.
IKE-Hash Diese Einstellung legt die Hash-Funktion fest, die ein BlackBerry 10-Gerät mit IKE verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
• Keine
• MD5
• AES-XCBC
• SHA-1
• SHA-256
• SHA-384
• SHA-512
Der Standardwert ist „Keine“.
IKE PRF Diese Einstellung legt die PRF-Funktion fest, die ein BlackBerry 10-Gerät mit IKE verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
• Keine
Profileinstellungen
478
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• HMAC
• HMAC-MD5
• AES-XCBC
• HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-384
• HMAC-SHA-512
Der Standardwert ist „Keine“.
IPsec DH-Gruppe Diese Einstellung legt die DH-Gruppe fest, die ein BlackBerry 10-Gerät mit IPsec verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte sind 0 bis 26 außer 3, 4 und 6.
Der Standardwert ist „0“.
IPsec: Chiffrierschlüssel Diese Einstellung legt den Algorithmus fest, den ein BlackBerry 10-Gerät mit IPsec verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
• Keine
• DES (56-Bit-Schlüssel)
• Triple DES (168-Bit-Schlüssel)
• AES (128-Bit-Schlüssel)
• AES (192-Bit-Schlüssel)
• AES (256-Bit-Schlüssel)
Der Standardwert ist „Keine“.
IPsec-Hash Diese Einstellung legt die Hash-Funktion fest, die ein BlackBerry 10-Gerät mit IPsec verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Manuelle Algorithmenauswahl“ ausgewählt ist.
Mögliche Werte:
Profileinstellungen
479
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• Keine
• MD5
• AES-XCBC
• SHA-1
• SHA-256
• SHA-384
• SHA-512
Der Standardwert ist „Keine“.
NAT-Keep-alive Diese Einstellung legt fest, wie häufig ein Gerät ein NAT-Keep-alive-Paket sendet. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des BlackBerry 10-Geräts verwendet.
Mögliche Werte sind 1 bis 2.147.483.647.
DPD-Frequenz Diese Einstellung legt die DPD-Frequenz in Sekunden fest. Ein BlackBerry 10-Gerät unterstützt eine Mindesteinstellung von 10 Sekunden. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des Geräts verwendet.
Mögliche Werte sind 1 bis 2.147.483.647.
Benutzerdefinierbar Dieses Feld gibt dieVPN-Funktionen an, die ein BlackBerry 10-Gerätebenutzer ändern kann. Wenn diese Einstellung auf „Schreibgeschützt“ gesetzt ist, kann der Benutzer keine Einstellung ändern. Wenn diese Einstellung auf „Nur Anmeldedaten“ gesetzt ist, kann der Benutzer den Benutzernamen und das Kennwort ändern.
Mögliche Werte:
• Schreibgeschützt
• Nur Anmeldedaten
Der Standardwert ist „Schreibgeschützt“.
VPN-Informationen auf Gerät anzeigen
Diese Einstellung legt fest, ob VPN-Informationen auf einem BlackBerry 10-Gerät angezeigt werden. Wenn diese Einstellung auf „Sichtbar“ gesetzt ist, werden die meisten Informationen des VPN-Profils auf dem Gerät angezeigt. Wenn diese Einstellung auf „Unsichtbar“ gesetzt ist, wird nur der Profilname auf dem Gerät angezeigt. Wenn diese Einstellung auf „Nur Anmeldedaten“ gesetzt ist, werden nur die Felder für den Profilnamen und die Anmeldeinformationen auf dem Gerät angezeigt.
Mögliche Werte:
Profileinstellungen
480
BlackBerry 10: VPN-Profileinstellung
Beschreibung
• Sichtbar
• Unsichtbar
• Nur Anmeldedaten
Der Standardwert ist „Sichtbar“.
Datensicherheitsebene Diese Einstellung legt die Domäne im geschäftlichen Bereich fest, in der das VPN-Profil gespeichert ist, wenn der geschäftliche Bereich mit erweitertem Schutz von Daten im Ruhestand arbeitet. Diese Einstellung ist nur dann gültig, wenn die IT-Richtlinienregel „Erweiterten Schutz von Daten im Ruhestand erzwingen“ ausgewählt ist. Wenn diese Einstellung auf „Immer verfügbar“ gesetzt ist, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich gesperrt ist. Wenn diese Einstellung auf „Verfügbar nach Authentifizierung“ gesetzt ist, wird das Profil in der Betriebsdomäne gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird. Wenn diese Einstellung auf „Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist“ gesetzt ist, wird das Profil in der Sperrdomäne gespeichert und kann nur dann für VPN-Verbindungen verwendet werden, wenn der geschäftliche Bereich entsperrt ist.
Mögliche Werte:
• Immer verfügbar
• Verfügbar nach Authentifizierung
• Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist
Der Standardwert ist „Immer verfügbar“.
Die Mindestanforderung ist BlackBerry 10 OS, Version 10.3.1.
Verknüpftes Proxy-Profil Diese Einstellung legt das verknüpfte Proxy-Profil fest, das ein BlackBerry 10-Gerät verwendet, um eine Verbindung zu einem Proxy-Server aufzubauen, wenn das Gerät mit dem VPN verbunden ist.
iOS und OS X: VPN-ProfileinstellungenBei OS X gelten Profile für Benutzerkonten oder Geräte. Sie können ein VPN-Profil konfigurieren, das entweder für Benutzerkonten oder Geräte gilt.
Profileinstellungen
481
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Profil anwenden auf Diese Einstellung gibt an, ob das VPN-Profil für das Benutzerkonto oder das Gerät gilt.
Mögliche Werte:
• Benutzer
• Gerät
Diese Einstellung ist nur für OS X-Geräte gültig.
Verbindungstyp Diese Einstellung legt den Verbindungstyp fest, den ein Gerät für ein VPN-Gateway verwendet. Bei einigen Verbindungstypen müssen die Benutzer außerdem die entsprechende VPN-App auf dem Gerät installieren.
Mögliche Werte:
• L2TP
• PPTP
• IPSec
• Cisco AnyConnect
• Juniper
• Pulse Secure
• F5
• SonicWALL Mobile Connect
• Aruba VIA
• Check Point Mobile
• OpenVPN
• Benutzerdefiniert
• IKEv2
Der Standardwert ist „L2TP“.
Einige Werte sind für OS X-Geräte nicht gültig.
VPN-Bundle-ID Diese Einstellung legt die Bundle-ID der VPN-App für ein benutzerdefiniertes SSL-VPN fest. Die Bundle-ID wird im umgekehrten DNS-Format angegeben (beispielsweise „com.example.VPNapp“).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Benutzerdefiniert“ gesetzt ist.
Server Diese Einstellung legt den FQDN oder die IP-Adresse eines VPN-Servers fest.
Profileinstellungen
482
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable angeben.
Benutzerdefinierte Schlüsselwertepaare
Diese Einstellung legt die Schlüssel und die verknüpften Werte für das benutzerdefinierte SSL-VPN fest. Die Konfigurationsinformationen sind spezifisch für die VPN-App des Anbieters.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Benutzerdefiniert“ gesetzt ist.
Anmeldegruppe oder Domäne Diese Einstellung legt die Anmeldegruppe oder -domäne fest, die das VPN-Gateway verwendet, um ein iOS-Gerät zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „SonicWALL Mobile Connect“ gesetzt ist.
Bereich Diese Einstellung legt den Namen des Authentifizierungsbereichs fest, den das VPN-Gateway verwendet, um ein iOS-Gerät zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Juniper“ oder „Pulse Secure“ gesetzt ist.
Aufgabenbereich Diese Einstellung legt den Namen der Benutzerrolle fest, den ein VPN-Gateway verwendet, um die Netzwerkressourcen zu überprüfen, auf die ein iOS-Gerät zugreifen kann.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Juniper“ oder „Pulse Secure“ gesetzt ist.
Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp für das VPN-Gateway fest.
Die Einstellung „Verbindungstyp“ legt fest, welche Authentifizierungstypen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• Kennwort
• RSA SecurID
• Gemeinsamer geheimer Schlüssel/Gruppenname
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
Profileinstellungen
483
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Kennwort Diese Einstellung legt das Kennwort fest, den ein Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ auf „Kennwort“ gesetzt ist.
Gruppenname Diese Einstellung legt den Gruppennamen für das VPN-Gateway fest.
Diese Einstellung gilt nur unter den folgenden Bedingungen:
• „Anschlusstyp“ ist eingestellt auf „Cisco AnyConnect“.
• Die Einstellung „Anschlusstyp“ ist auf „IPsec“ und die Einstellung „Authentifizierungstyp“ auf „Gemeinsamer geheimer Schlüssel/Gruppenname“ gesetzt.
Gemeinsamer geheimer Schlüssel
Diese Einstellung legt den gemeinsamen geheimen Schlüssel für die VPN-Authentifizierung fest.
Diese Einstellung gilt nur unter den folgenden Bedingungen:
• „Anschlusstyp“ ist eingestellt auf „L2TP“.
• Die Einstellung „Anschlusstyp“ ist auf „IPsec“ und die Einstellung „Authentifizierungstyp“ auf „Gemeinsamer geheimer Schlüssel/Gruppenname“ gesetzt.
• Die Einstellung „Anschlusstyp“ ist auf „IKEv2“ und die Einstellung „Authentifizierungsmethode“ auf „Gemeinsamer geheimer Schlüssel“ gesetzt.
Profil für freigegebenes Zertifikat
Diese Einstellung legt das Profil für das freigegebene Zertifikat mit dem Clientzertifikat fest, das ein Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ oder „Authentifizierungsmethode“ auf „Freigegebenes Zertifikat“ gesetzt ist.
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein iOS-Gerät verwendet, um ein Client-Zertifikat für die VPN-Authentifizierung abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ oder „Authentifizierungsmethode“ auf „SCEP“ gesetzt ist.
Verknüpftes Profil für Benutzeranmelde-informationen
Diese Einstellung legt das verknüpfte Profil für Benutzeranmeldeinformationen fest, das ein Gerät verwendet, um ein Clientzertifikat für die Authentifizierung mit dem VPN abzurufen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierungstyp“ oder „Authentifizierungsmethode“ auf „Benutzeranmeldeinformationen“ gesetzt ist.
Profileinstellungen
484
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Verschlüsselungsstufe Diese Einstellung legt die Stufe der Datenverschlüsselung für die VPN-Verbindung fest. Wenn diese Einstellung auf „Automatisch“ gesetzt ist, sind alle verfügbaren Verschlüsselungsstärken zulässig. Wenn diese Einstellung auf „Maximum“ gesetzt ist, ist nur die maximale Verschlüsselungsstärke zulässig.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „PPTP“ gesetzt ist.
Mögliche Werte:
• Keine
• Automatisch
• Maximum
Der Standardwert ist „Keine“.
Netzwerkverkehr durch VPN leiten
Diese Einstellung legt fest, ob der gesamte Netzwerkverkehr durch die VPN-Verbindung gesendet werden soll.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „L2TP“ oder „PPTP“ gesetzt ist.
Hybrid-Authentifizierung verwenden
Diese Einstellung legt fest, ob ein serverseitiges Zertifikat für die Authentifizierung verwendet wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IPsec“ und der „Authentifizierungstyp“ auf „Gemeinsamer geheimer Schlüssel/Gruppenname“ gesetzt ist.
Zur Kennworteingabe auffordern
Diese Einstellung legt fest, ob ein Gerät den Benutzer zur Eingabe eines Kennworts auffordert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IPsec“ und der „Authentifizierungstyp“ auf „Gemeinsamer geheimer Schlüssel/Gruppenname“ gesetzt ist.
Zur PIN-Eingabe auffordern Diese Einstellung legt fest, ob das Gerät den Benutzer zur Eingabe einer PIN auffordert.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IPsec“ gesetzt ist, und die Einstellung für den „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“, „SCEP“ oder „Benutzeranmeldeinformationen“ gesetzt ist.
Remote-Adresse Diese Einstellung legt die IP-Adresse bzw. den Hostnamen des VPN-Servers fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Profileinstellungen
485
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Lokale ID Diese Einstellung legt die Identität des IKEv2-Clients in einem der folgenden Formate fest: FQDN, UserFQDN, Adresse und ASN1DN.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Remote-ID Diese Einstellung legt die Remote-ID des IKEv2-Clients in einem der folgenden Formate fest: FQDN, Benutzer-FQDN, Adresse oder ASN1DN.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Authentifizierungsmethode Diese Einstellung legt die Authentifizierungsmethode für das VPN fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Mögliche Werte:
• Gemeinsamer geheimer Schlüssel
• Freigegebenes Zertifikat
• SCEP
• Benutzeranmeldeinformationen
VPN bei Bedarf aktivieren Diese Einstellung legt fest, ob ein Gerät automatisch beim Zugriff auf bestimmte Domänen eine VPN-Verbindung herstellen kann.
Diese Einstellung betrifft geschäftliche Apps auf iOS-Geräten.
Diese Einstellung gilt nur unter den folgenden Bedingungen:
• Die Einstellung „Verbindungstyp“ ist auf „IPsec“, „Cisco AnyConnect“, „Juniper“, „Pulse Secure“, „F5“, „SonicWALL Mobile Connect“, „Aruba VIA“, „Check Point Mobile“, „OpenVPN“ oder „Benutzerdefiniert“ und der „Authentifizierungstyp“ auf „Freigegebenes Zertifikat“, „SCEP“ oder „Benutzeranmeldeinformationen“ gesetzt.
• Die Einstellung „Anschlusstyp“ ist auf „IKEv2“ und die „Authentifizierungsmethode“ auf „Gemeinsames Zertifikat“ gesetzt.
Domänen- oder Hostnamen, die "VPN auf Abruf" verwenden können
Diese Einstellung legt die Domänen und die verknüpften Aktionen für VPN bei Bedarf fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN bei Bedarf aktivieren“ ausgewählt ist.
Mögliche Werte für die „Bei Bedarf-Aktion“:
Profileinstellungen
486
iOS- undOS X: VPN-Profileinstellung
Beschreibung
• Immer herstellen
• Herstellen, wenn erforderlich
• Niemals herstellen
Regeln für „VPN bei Bedarf“ für iOS 7.0 und höher
Diese Einstellung legt die Verbindungsanforderungen für VPN bei Bedarf fest. Sie müssen einen oder mehrere Schlüssel aus dem Beispiel für das Nutzlastformat verwenden.
Diese Einstellung überschreibt die Einstellung „Domänen- oder Hostnamen, die VPN bei Bedarf verwenden können“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN bei Bedarf aktivieren“ ausgewählt ist.
Erweiterte Authentifizierung aktivieren
Diese Einstellung legt fest, ob das VPN xAuth unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Keep-alive-Intervall Diese Einstellung legt fest, wie häufig ein Gerät ein Keep-alive-Paket sendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Mögliche Werte:
• Deaktiviert
• 30 Minuten
• 10 Minuten
• 1 Minute
Die Standardeinstellung ist „10 Minuten“.
MOBIKE deaktivieren Diese Einstellung legt fest, ob MOBIKE deaktiviert ist.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Die Mindestanforderung für iOS-Geräte ist iOS 9.
IKEv2-Umleitung deaktivieren Diese Einstellung legt fest, ob die IKEv2-Umleitung deaktiviert ist. Wenn diese Einstellung nicht aktiviert ist, wird die IKEv2-Verbindung umgeleitet, wenn eine Umleitungsanfrage vom Server empfangen wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Profileinstellungen
487
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Die Mindestanforderung für iOS-Geräte ist iOS 9.
Perfekte Geheimhaltung bei der Weiterleitung aktivieren
Diese Einstellung legt fest, ob das VPN PFS unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Die Mindestanforderung für iOS-Geräte ist iOS 9.
NAT-Keep-alive aktivieren Diese Einstellung legt fest, ob das VPN NAT-Keep-alive-Pakete unterstützt. Keep-alive-Pakete werden zur Aufrechterhaltung der NAT-Zuordnungen für IKEv2-Verbindungen verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Die Mindestanforderung für iOS-Geräte ist iOS 9.
NAT-Keep-alive-Intervall Diese Einstellung legt fest, wie häufig ein Gerät ein NAT-Keep-alive-Paket sendet (in Sekunden).
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt und die Einstellung „NAT-Keep-alive aktivieren“ ausgewählt ist.
Der Mindest- und der Standardwert ist 20.
Die Mindestanforderung für iOS-Geräte ist iOS 9.
Interne IPv4- und IPv6-IKEv2-Subnetze verwenden
Diese Einstellung legt fest, ob das VPN die Attribute INTERNAL_IP4_SUBNET und INTERNAL_IP6_SUBNET der IKEv2-Konfiguration verwenden kann.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Die Mindestanforderung für iOS-Geräte ist iOS 9.
Allgemeiner Name des Serverzertifikats
Diese Einstellung gibt den allgemeinen Namen in dem Zertifikat an, das der IKE-Server an das Gerät sendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Allgemeiner Name des Serverzertifikatausstellers
Diese Einstellung gibt den allgemeinen Namen des Zertifikatsausstellers in dem Zertifikat an, das der IKE-Server an das Gerät sendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
Profileinstellungen
488
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Untergeordnete Sicherheitszuordnungsparameter anwenden
Diese Einstellung gibt an, ob untergeordnete Sicherheitszuordnungsparameter angewendet werden sollen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
IKE-Sicherheitszuordnungsparameter anwenden
Diese Einstellung gibt an, ob IKE-Sicherheitszuordnungsparameter angewendet werden sollen.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „IKEv2“ gesetzt ist.
DH-Gruppe Diese Einstellung gibt die DH-Gruppe an, die ein Gerät zur Generierung des Schlüssels verwendet.
Diese Einstellung ist nur gültig, wenn die Einstellung „Untergeordnete Sicherheitszuordnungsparameter anwenden“ oder „IKE-Sicherheitszuordnungsparameter anwenden“ ausgewählt ist.
Mögliche Werte:
• 0
• 1
• 2
• 5
• 14
• 15
• 16
• 17
• 18
Die Standardeinstellung ist „2“.
Verschlüsselungsalgorithmus Diese Einstellung legt den IKE-Verschlüsselungsalgorithmus fest.
Diese Einstellung ist nur gültig, wenn die Einstellung „Untergeordnete Sicherheitszuordnungsparameter anwenden“ oder „IKE-Sicherheitszuordnungsparameter anwenden“ ausgewählt ist.
Mögliche Werte:
• DES
Profileinstellungen
489
iOS- undOS X: VPN-Profileinstellung
Beschreibung
• 3DES
• AES 128
• AES 256
Die Standardeinstellung ist „3DES“.
Integritätsalgorithmus Diese Einstellung legt den IKE-Integritätsalgorithmus fest.
Diese Einstellung ist nur gültig, wenn die Einstellung „Untergeordnete Sicherheitszuordnungsparameter anwenden“ oder „IKE-Sicherheitszuordnungsparameter anwenden“ ausgewählt ist.
Mögliche Werte:
• SHA1 96
• SHA1 160
• SHA1 256
• SHA2 384
• SHA2 512
Der Standardwert ist „SHA1-96“.
Schlüsseländerungsintervall Diese Einstellung legt die Lebensdauer der IKE-Verbindung fest.
Diese Einstellung ist nur gültig, wenn die Einstellung „Untergeordnete Sicherheitszuordnungsparameter anwenden“ oder „IKE-Sicherheitszuordnungsparameter anwenden“ ausgewählt ist.
Mögliche Werte sind 10 bis 1440 Minuten.
Der Standardwert ist 1440.
Per App VPN aktivieren Diese Einstellung legt fest, ob das VPN-Gateway Per App VPN unterstützt. Mit dieser Funktion kann die Belastung im VPN einer Organisation reduziert werden. So könnten Sie beispielsweise festlegen, dass nur ein bestimmter geschäftlicher Datenverkehr, wie etwa der Zugriff auf Anwendungsserver oder Webseiten, über das VPN abgewickelt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Cisco AnyConnect“, „Juniper“, „Pulse Secure“, „F5“, „SonicWALL Mobile Connect“,Aruba VIA“, „Check Point Mobile“, „OpenVPN“, „Benutzerdefiniert“ oder „IKEv2“ gesetzt ist.
Zulassen, dass Apps automatisch eine Verbindung herstellen
Diese Einstellung legt fest, ob mit Per App VPN verknüpfte Apps die VPN-Verbindung automatisch starten können.
Profileinstellungen
490
iOS- undOS X: VPN-Profileinstellung
Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Per App VPN aktivieren“ ausgewählt ist.
Safari-Domänen Diese Einstellung legt die Domänen fest, die die VPN-Verbindung in Safari starten können.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Per App VPN aktivieren“ ausgewählt ist.
Datenverkehrs-Tunneling Diese Einstellung legt fest, ob das VPN den Verkehr in der Anwendungsschicht oder IP-Schicht tunnelt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Per App VPN aktivieren“ ausgewählt ist.
Mögliche Werte:
• Anwendungsschicht
• IP-Schicht
Die Standardeinstellung ist „Anwendungsschicht“.
Verknüpftes Proxy-Profil Diese Einstellung legt das verknüpfte Proxy-Profil fest, das ein iOS-Gerät verwendet, um eine Verbindung zu einem Proxy-Server aufzubauen, wenn das Gerät mit dem VPN verbunden ist.
Android: VPN-ProfileinstellungenVPN-Profile werden nur von Samsung KNOX Workspace-Geräten unterstützt.
Android: VPN-Profileinstellung Beschreibung
Serveradresse Diese Einstellung legt den FQDN oder die IP-Adresse eines VPN-Servers fest.
VPN-Typ Diese Einstellung legt fest, ob ein Gerät IPsec oder SSL verwendet, um eine Verbindung mit dem Mailserver aufzubauen.
Mögliche Werte:
• IPSec
• SSL
Der Standardwert ist „IPsec“.
Der Juniper-VPN-App unterstützt nur SSL.
Profileinstellungen
491
Android: VPN-Profileinstellung Beschreibung
Benutzerauthentifizierung erforderlich
Diese Einstellung legt fest, ob ein Gerät einen Benutzernamen und ein Kennwort zum Herstellen einer Verbindung mit dem VPN-Server bereitstellen muss.
Benutzername Diese Einstellung legt den Benutzernamen fest, den ein Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren. Wenn das Profil für mehrere Benutzer gilt, können Sie die %UserName%-Variable verwenden.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Benutzerauthentifizierung erforderlich“ ausgewählt wurde.
Kennwort Diese Einstellung legt das Kennwort fest, den ein Gerät verwendet, um sich beim VPN-Gateway zu authentifizieren.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Benutzerauthentifizierung erforderlich“ ausgewählt wurde.
Split-Tunnel-Typ Diese Einstellung legt fest, ob ein Gerät Split-Tunneling verwenden kann, um das VPN-Gateway zu umgehen, sofern dies vom VPN-Gateway unterstützt wird.
Mögliche Werte:
• Deaktiviert
• Manuell
• Automatisch
Wenn der VPN-Typ auf „IPsec“ festgelegt ist, muss diese Einstellung auf „Deaktiviert“ festgelegt werden.
Der Standardwert ist „Deaktiviert“.
Weiterleitungsrouten Diese Einstellung legt die Route(n) zum Umgehen des VPN-Gateways fest. Sie können eine oder mehrere IP-Adressen angeben.
Diese Einstellung ist nur dann gültig, wenn „VPN-Typ“ auf „SSL“ und der „Split-Tunnel-Typ“ auf „Manuell“ gesetzt ist.
DPD Diese Einstellung legt fest, ob DPD aktiviert ist.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IKE-Version Diese Einstellung gibt die Version des IKE-Protokolls zur Verwendung mit der VPN-Verbindung an.
Mögliche Werte:
• IKEv1
• IKEv2
Profileinstellungen
492
Android: VPN-Profileinstellung Beschreibung
Der Standardwert ist „IKEv1“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp für die IPsec-VPN-Verbindung fest. Die Einstellung „IKE-Version“ legt fest, welche IPsec-Authentifizierungstypen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• Zertifikat
• Preshared key
• Hybrid RSA
• CAC-basierte Authentifizierung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
ID-Typ der IPsec-Gruppe Diese Einstellung legt den IPsec-Gruppen-ID-Typ für die VPN-Verbindung fest. Die Einstellung „IPsec-Authentifizierungstyp“ legt fest, welche IPsec-Gruppen-ID-Typen unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird.
Mögliche Werte:
• Standard
• IPv4-Adresse
• Fully Qualified Domain Name (vollständiger Domänenname)
• Benutzer-FQDN
• IKE-Schlüssel-ID
Wird für „IPsec-Authentifizierungstyp“ die Einstellung „Zertifikat“ verwendet, dann wird diese Einstellung automatisch auf „Standard“ festgelegt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Gruppen-ID Diese Einstellung legt die IPsec-Gruppen-ID für die VPN-Verbindung fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
Schlüsselaustauschmodus IKE-Phase-1
Diese Einstellung legt den Austauschmodus für die VPN-Verbindung fest.
Mögliche Werte:
• Hauptmodus
• Aggressive-Modus
Der Standardwert ist „Hauptmodus“.
Profileinstellungen
493
Android: VPN-Profileinstellung Beschreibung
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IKE-Lebensdauer Diese Einstellung legt die Lebensdauer der IKE-Verbindung in Sekunden fest. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des Geräts verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IKE-Verschlüsselungsalgorithmus
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IKE-Integritätsalgorithmus Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec DH-Gruppe Diese Einstellung gibt die DH-Gruppe an, die ein Gerät zur Generierung des Schlüssels verwendet.
Mögliche Werte sind 0, 1, 2, 5 und 14 bis 26.
Der Standardwert ist 0.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Parameter Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
Perfekte Geheimhaltung bei der Weiterleitung
Diese Einstellung legt fest, ob das VPN-Gateway PFS unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
MOBIKE aktivieren Diese Einstellung legt fest, ob das VPN-Gateway MOBIKE unterstützt.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Lebensdauer Diese Einstellung legt die Lebensdauer der IPsec-Verbindung in Sekunden fest. Wenn Sie einen nicht unterstützten Wert oder einen Nullwert setzen, wird der Standardwert des Geräts verwendet.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Verschlüsselungsalgorithmus
Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
IPsec-Integritätsalgorithmus Diese Einstellung ist nur dann gültig, wenn die Einstellung „VPN-Typ“ auf „IPsec“ gesetzt ist.
Authentifizierungstyp Diese Einstellung legt den Authentifizierungstyp für das VPN-Gateway fest.
Mögliche Werte:
• Keine
Profileinstellungen
494
Android: VPN-Profileinstellung Beschreibung
• Zertifikatsbasierte Authentifizierung
• CAC-basierte Authentifizierung
Der Standardwert ist „Keine“.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „SSL“ gesetzt ist.
SSL-Algorithmus Diese Einstellung gibt den für eine SSL-VPN-Verbindung erforderlichen Verschlüsselungsalgorithmus an.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „SSL“ gesetzt ist.
UID-/PID-Informationen anhängen
Diese Einstellung gibt an, ob UID/PID-Informationen an Pakete angehängt werden, die an den VPN-Client gesendet werden.
Diese Einstellung muss für die Cisco AnyConnect VPN-App aktiviert werden.
Verkettung unterstützen Diese Einstellung legt fest, wie die VPN-Verkettung unterstützt wird.
Mögliche Werte:
• Verkettung unterstützen
• Äußerer Tunnel
• Innerer Tunnel
Der Standardwert ist „Verkettung unterstützen“.
Schlüsselwertpaare des Anbieters
Diese Einstellung legt die Schlüssel und die verknüpften Werte für das VPN fest. Die Konfigurationsinformationen sind spezifisch für die VPN-App des Anbieters.
Paket-ID des VPN-Clients Diese Einstellung legt die Paket-ID der VPN-App fest.
Verbindung nach Fehler automatisch wiederherstellen
Diese Einstellung legt fest, ob die VPN-Verbindung nach Verbindungsverlust automatisch neu hergestellt werden soll.
FIPS-Modus aktivieren Diese Einstellung legt fest, ob FIPS aktiviert ist. Durch Aktivieren des FIPS-Modus wird sichergestellt, dass nur FIPS-geprüfte Kryptografiealgorithmen für die VPN-Verbindung verwendet werden.
Profileinstellungen
495
Windows 10: VPN-ProfileinstellungenWindows: VPN-Profileinstellung
Beschreibung
Verbindungstyp Diese Einstellung legt den Verbindungstyp fest, den ein Windows 10-Gerät für ein VPN verwendet.
Mögliche Werte:
• Microsoft
• Junos Pulse
• SonicWALL Mobile Connect
• F5
• Check Point Mobile
• Manuelle Verbindungsdefinition
Der Standardwert ist „Microsoft“.
Server Diese Einstellung gibt die öffentliche oder routbare IP-Adresse oder den DNS-Namen des VPN an. Diese Einstellung kann auf die externe IP eines VPN oder eine virtuelle IP einer Serverfarm hinweisen.
Diese Einstellung ist nur dann gültig, wenn der „Verbindungstyp“ auf „Microsoft“ gesetzt ist.
Server-URL-Liste Diese Einstellung gibt eine durch Kommas getrennte Liste von Servern mit URL, Hostname oder IP-Format an.
Diese Einstellung ist nur dann gültig, wenn der „Verbindungstyp“ nicht auf „Microsoft“ gesetzt ist.
Typ der Routingrichtlinie Diese Einstellung legt den Typ der Routingrichtlinie fest.
Diese Einstellung ist nur dann gültig, wenn der „Verbindungstyp“ auf „Microsoft“ gesetzt ist.
Mögliche Werte:
• Split-Tunneling
• Tunnel erzwingen
Der Standardwert ist „Tunnel erzwingen“.
Nativer Protokolltyp Diese Einstellung legt den Typ der Routingrichtlinie für das VPN fest.
Diese Einstellung ist nur dann gültig, wenn der „Verbindungstyp“ auf „Microsoft“ gesetzt ist.
Mögliche Werte:
Profileinstellungen
496
Windows: VPN-Profileinstellung
Beschreibung
• L2TP
• PPTP
• IKEv2
• Automatisch
Der Standardwert ist „Automatisch“.
Authentifizierung Diese Einstellung gibt die Authentifizierungsmethode für das systemeigene VPN an.
Die Einstellung „Nativer Protokolltyp“ legt fest, welche Authentifizierungsmethoden unterstützt werden und welcher Standardwert für diese Einstellung verwendet wird:
• Wenn Sie L2TP oder PPTP auswählen, sind die möglichen Werte „MS-CHAPv2“ und „EAP“. Der Standardwert ist „MS-CHAPv2“.
• Wenn Sie IKEv2 auswählen, sind die möglichen Werte „Benutzermethode“ und „Gerätemethode“. Der Standardwert ist „Benutzermethode“.
• Wenn Sie „Automatisch“ auswählen, ist der einzige mögliche Wert „EAP“.
Mögliche Werte:
• EAP
• MS-CHAPv2
• Benutzermethode
• Gerätemethode
EAP-Konfiguration Diese Einstellung legt die XML der EAP-Konfiguration fest.
Weitere Informationen zum Generieren der EAP-Konfigurations-XML finden Sie unter https://msdn.microsoft.com/en-us/library/windows/hardware/mt168513(v=vs.85).aspx
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierung“ auf „EAP“ gesetzt ist.
Benutzermethode Diese Einstellung gibt an, dass der Typ „Benutzermethode“ zur Authentifizierung verwendet werden soll.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierung“ auf „Benutzermethode“ gesetzt ist.
Mögliche Werte:
• EAP
Profileinstellungen
497
Windows: VPN-Profileinstellung
Beschreibung
Gerätemethode Diese Einstellung gibt an, dass der Typ „Gerätemethode“ zur Authentifizierung verwendet werden soll.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Authentifizierung“ auf „Gerätemethode“ gesetzt ist.
Möglicher Wert:
• Zertifikat
Benutzerdefinierte Konfiguration
Diese Einstellung gibt das HTML-codierte XML-Blob für eine SSL-VPN-Plug-In-spezifische Konfiguration an, einschließlich Authentifizierungsdaten, die an das Gerät gesendet werden, um sie für SSL-VPN-Plug-Ins verfügbar zu machen.
Diese Einstellung ist nur dann gültig, wenn der „Verbindungstyp“ nicht auf „Microsoft“ gesetzt ist.
Name der Plug-In-Paketfamilie Diese Einstellung legt den Namen der Paketfamilie des kundenspezifischen SSL-VPN fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Verbindungstyp“ auf „Manuelle Verbindungsdefinition“ gesetzt ist.
App-Auslöserliste Diese Einstellung gibt eine Liste von Apps an, mit welchen die VPN-Verbindung gestartet wird.
App-Auslöserliste > App-ID Diese Einstellung gibt eine App für ein Per App VPN an.
Mögliche Werte:
• Name der Paketfamilie. Um den Namen der Paketfamilie zu erfahren, installieren Sie die App, und führen Sie den Windows PowerShell-Befehl Get-AppxPackage aus. Weitere Informationen finden Sie unter http://technet.microsoft.com/en-us/library/hh856044.aspx
• Installationsort der App. Zum Beispiel C:\WINDOWS\System\notepad.exe.
Routenliste Diese Einstellung gibt eine Liste von Routen an, die das VPN verwenden kann. Wenn das VPN Split-Tunneling verwendet, ist eine Routenliste erforderlich.
Subnetzadresse Diese Einstellung gibt die IP-Adresse des Zielpräfixes im IPv4- oder IPv6-Adressformat an.
Subnetzpräfix Diese Einstellung gibt das Subnetzpräfix des Zielpräfixes an.
Domänennamenliste Diese Einstellung legt die NRPT-Regeln (Name Resolution Policy Table) für das VPN fest.
Domänenname Diese Einstellung gibt den FQDN oder das Suffix der Domäne an.
Profileinstellungen
498
Windows: VPN-Profileinstellung
Beschreibung
DNS-Server Diese Einstellung gibt die Liste der IP-Adressen der DNS-Server durch Kommas getrennt an.
Web-Proxyserver Diese Einstellung gibt die IP-Adresse des Web-Proxyservers an.
Filterliste für Verkehr Diese Einstellung legt die Regeln fest, die Datenverkehr über das VPN zulassen.
Filterliste für Verkehr > App-ID Diese Einstellung gibt eine App für einen App-basierten Verkehrsfilter an.
Mögliche Werte:
• Name der Paketfamilie. Um den Namen der Paketfamilie zu erfahren, installieren Sie die App, und führen Sie den Windows PowerShell-Befehl Get-AppxPackage aus. Weitere Informationen finden Sie unter http://technet.microsoft.com/en-us/library/hh856044.aspx
• Installationsort der App. Zum Beispiel C:\WINDOWS\System\notepad.exe.
• Geben Sie „SSYSTEM“ ein, um zu ermöglichen, dass der Kernel-Treiber Datenverkehr über das VPN sendet (z. B. PING oder SMB).
Protokoll Diese Einstellung legt das vom VPN verwendete Protokoll fest.
Mögliche Werte:
• Alle
• TCP
• UDP
Der Standardwert ist „Alle“.
Lokale Portbereiche Diese Einstellung gibt die Liste der zulässigen lokalen Portbereiche getrennt durch Kommas an. Zum Beispiel 100-120, 200, 300-320.
Remote-Portbereiche Diese Einstellung gibt die Liste der zulässigen Remote-Portbereiche getrennt durch Kommas an. Zum Beispiel 100-120, 200, 300-320.
Lokale Adressenbereiche Diese Einstellung gibt die Liste der zulässigen lokalen IP-Adressenbereiche getrennt durch Kommas an.
Remote-Adressbereiche Diese Einstellung gibt die Liste der zulässigen Remote-IP-Adressbereiche getrennt durch Kommas an.
Typ der Routingrichtlinie Diese Einstellung gibt die Routingrichtlinie an, die vom Verkehrsfilter verwendet wird. Wenn die Einstellung „Tunnel erzwingen“ lautet, wird sämtlicher Datenverkehr über das VPN
Profileinstellungen
499
Windows: VPN-Profileinstellung
Beschreibung
geleitet. Wenn die Einstellung „Split-Tunneling“ lautet, kann der Verkehr über das VPN oder das Internet geleitet werden.
Mögliche Werte:
• Split-Tunneling
• Tunnel erzwingen
Die Standardeinstellung ist „Tunnel erzwingen“.
Zugangsdaten speichern Diese Einstellung gibt an, ob die Anmeldeinformationen, wann immer möglich, zwischengespeichert werden.
Immer ein Diese Einstellung legt fest, ob die Geräte bei der Anmeldung automatisch eine Verbindung zum VPN herstellen, die erhalten bleibt, bis der Benutzer sich manuell vom VPN trennt.
DNS-Suffix Diese Einstellung gibt ein oder mehrere DNS-Suffixe durch Kommas getrennt an. Das erste DNS-Suffix in der Liste wird auch als primäre Verbindung für das VPN verwendet. Die Liste wird zur SuffixSearchList hinzugefügt.
Erkennung eines vertrauenswürdigen Netzwerks
Diese Einstellung gibt eine durch Kommas getrennte Zeichenfolge zur Identifizierung des vertrauenswürdigen Netzwerks an. Das VPN stellt keine automatische Verbindung her, wenn sich die Benutzer im Drahtlosnetzwerk ihrer Organisation befinden.
Proxy-Typ Diese Einstellung legt den Typ der Proxy-Konfiguration für das VPN fest.
Mögliche Werte:
• Keine
• PAC-Konfiguration
• Manuelle Konfiguration
Der Standardwert ist „Keine“.
PAC-URL Diese Einstellung gibt die URL für den Webserver an, der die PAC-Datei hostet, einschließlich PAC-Dateinamen. Zum Beispiel http://www.example.com/PACfile.pac.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Proxy-Typ“ auf „PAC-Konfiguration“ gesetzt ist.
Adresse Diese Einstellung legt den FQDN oder die IP-Adresse eines Proxy-Servers fest.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Proxy-Typ“ auf „Manuelle Konfiguration“ gesetzt ist.
Profileinstellungen
500
Windows: VPN-Profileinstellung
Beschreibung
Verknüpftes SCEP-Profil Diese Einstellung legt das verknüpfte SCEP-Profil fest, das ein Gerät verwendet, um ein Client-Zertifikat für die VPN-Authentifizierung abzurufen.
Enterprise Management Agent-ProfileinstellungenEnterprise Management Agent-Profile werden auf den folgenden Gerätetypen unterstützt:
• BlackBerry 10
• iOS
• Android
• Windows
BlackBerry 10: Enterprise Management Agent-ProfileinstellungenEinstellung Beschreibung
Abfrageintervall des Enterprise Management Web Service
Geben Sie in Sekunden an, wie häufig Enterprise Management Web Service Konfigurations-Updates auf dem Gerät abruft.
Mögliche Werte:
• 3600 bis 86400
Der Standardwert ist 3600.
Schnelles Abfrageintervall Geben Sie an (in Sekunden), wie häufig das Gerät Konfigurationsupdates abruft, wenn Push-Benachrichtigungen für schnelle Abfragen nicht verfügbar sind (BDPS ist nicht registriert).
• Minimum: 900
Der Standardwert ist 900.
Langsames Abfrageintervall Geben Sie an (in Sekunden), wie häufig das Gerät Konfigurationsupdates abruft, wenn Push-Benachrichtigungen für langsame Abfragen verfügbar sind (BDPS ist nicht registriert).
• Minimum: 900
Profileinstellungen
501
Einstellung Beschreibung
Der Standardwert ist 900.
Konfigurationsdatei (.json) Mit dieser Einstellung können Sie eine Konfigurationsdatei festlegen, die die von dem Gerät unterstützten Cipher Suites aus der SSL-Bibliothek beschränkt.
Geben Sie diese Konfigurationsdatei nur an, wenn die Unterstützung für eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer Organisation diese Cipher Suite für die Kommunikation nicht benötigen.
Die Konfigurationsdatei hat keine Auswirkungen auf die Kommunikation des Geräts mit BES12, könnte aber Auswirkungen auf die Kommunikation mit anderen Servern in Ihrer Organisation, je nach Anforderungen dieser Server, haben.
Die Konfigurationsdatei muss das JSON-Format aufweisen.
Beispiel:
{"tls":{"tls_protocols":["TLSv1"],"tls_ciphersuites":[49200,49196,49192,49188,49172,49162,163,159,107,106,57,56,136,135,49202,49198,49194,49190,49167,49157,157,61,53,132,141,49199,49195,49191,49187,49171,49161,162,158,103,64,51,50,154,153,69,68,49201,49197,49193,49189,49166,49156,156,60,47,150,65,140,49169,49159,49164,49154,5,4,138,49170,49160,22,19,49165,49155,10,139,21,18,9,20,17,8,6,3],"tls_curves":["secp256r1","secp521r1","brainpoolP512r1","brainpoolP384r1","secp384r1","brainpoolP256r1","secp256k1","sect571r1","sect571k1","sect409k1","sect409r1","sect283k1","sect283r1","secp224k1","secp224r1","secp192k1","secp192r1","secp160k1","secp160r1","secp160r2","sect239k1","sect233k1","sect233r1","sect193r1","sect193r2","sect163k1","sect163r1","sect163r2"],"tls_sigalgs":["ECDSA+SHA512","DSA+SHA512","RSA+SHA512","ECDSA+SHA384","DSA+SHA384","RSA+SHA384","ECDSA+SHA256","DSA+SHA256","RSA+SHA256","ECDSA+SHA224","DSA+SHA224","RSA+SHA224","ECDSA+SHA1","DSA+SHA1","RSA+SHA1"],"tls_dh_min_key_bits":768,"tls_suiteb_mode":"SUITEB_OFF"},"vpn":{"vpn_encr":["aes128","aes256","aes128_icv16_gcm","aes256_icv16_gcm","3des","aes192"],"vpn_dh":["dh2","dh5","dh7","dh8","dh9","dh10","dh11","dh12","dh13","dh14","dh15","dh16","dh17","dh18","dh19","dh20","dh21","dh22","dh23","dh24","dh25","dh26"],"vpn_integ":["sha1","sha384","sha512","aes","sha256"],"vpn_prf":["sha1","sha384","sha512","aes","hmac","sha256"]}}
Profileinstellungen
502
iOS: Enterprise Management Agent-ProfileinstellungenEinstellung Beschreibung
Enterprise Management Agent-Abfragerate
Geben Sie in Sekunden an, wie häufig das Gerät Enterprise Management Agent-Serverbefehle abruft.
Mögliche Werte:
• 900 bis 86400
Der Standardwert ist 900.
Android: Enterprise Management Agent-ProfileinstellungenEinstellung Beschreibung
App-Änderungen Geben Sie in Sekunden an, wie häufig das Gerät installierte Apps auf Änderungen prüft.
Mögliche Werte:
• 3600 bis 86400 Sekunden
Der Standardwert ist 3600.
Akku-Grenzwert Legen Sie den Grenzwert für den Akku-Ladestand in Prozent (von 5 bis 100) fest, der vor dem Zurücksenden von Informationen vom Gerät an BES12 erforderlich ist.
Mögliche Werte:
• 5 bis 100 Prozent
Der Standardwert ist 20.
Grenzwert für freien RAM-Speicherplatz
Legen Sie den Grenzwert für den freien Speicherplatz in Megabytes fest, der vor dem Zurücksenden von Informationen vom Gerät an BES12 erforderlich ist.
Standardmäßig sendet das Gerät diese Informationen nicht zurück an BES12.
Grenzwert für internen Speicher
Legen Sie den Grenzwert für den internen freien Speicherplatz in Megabytes fest, der vor dem Zurücksenden von Informationen vom Gerät an BES12 erforderlich ist.
Der Standardwert ist 250.
Grenzwert für Speicherkarte Legen Sie den Grenzwert für den externen freien Speicherplatz in Megabytes fest, der vor dem Zurücksenden von Informationen vom Gerät an BES12 erforderlich ist.
Der Standardwert ist 500.
Profileinstellungen
503
Einstellung Beschreibung
Enterprise Management Agent-Abfragerate
Geben Sie in Sekunden an, wie häufig das Gerät Enterprise Management Agent-Serverbefehle abruft.
Mögliche Werte:
• Minimum: 900
Der Standardwert ist 900.
Windows: Enterprise Management Agent-ProfileinstellungenEinstellung Beschreibung
Abfrageintervall für Konfigurationsupdates
Legen Sie fest (in Minuten), wie häufig das Gerät Konfigurationsupdates abruft, wenn Push-Benachrichtigungen nicht verfügbar sind.
Mögliche Werte:
• Mindestens 15 Minuten
Der Standardwert ist 60.
Einstellungen für das UnternehmensdatenschutzprofilUnternehmensdatenschutzprofile werden auf den folgenden Gerätetypen unterstützt:
• Windows 10
Windows 10: Einstellungen für das UnternehmensdatenschutzprofilWindows 10: Einstellungen für das Unternehmensdatenschutzprofil
Beschreibung
Einstellungen für das Unternehmensdatenschutzprofil
Diese Einstellung legt fest, ob und mit welchen Durchsetzungsmaßnahmen der Datenschutz für Unternehmen aktiviert wird. Wenn diese Einstellung auf „Deaktiviert“ gesetzt ist, werden Daten nicht verschlüsselt, und die Audit-Protokollierung wird deaktiviert. Wenn diese Einstellung auf „Im Hintergrund“
Profileinstellungen
504
Windows 10: Einstellungen für das Unternehmensdatenschutzprofil
Beschreibung
gesetzt ist, werden Daten verschlüsselt, und alle Versuche, geschützte Daten freizugeben, werden protokolliert. Wenn hier „Außer Kraft setzen“ eingestellt ist, werden Benutzer zur Eingabe aufgefordert, wenn sie versuchen, geschützte Daten freizugeben, und Freigabeversuche werden protokolliert. Wenn diese Einstellung auf „Sperren“ gesetzt ist, werden Daten verschlüsselt, Benutzer können geschützte Daten nicht freigeben, und Freigabeversuche werden protokolliert.
Mögliche Werte:
• Deaktiviert
• Im Hintergrund
• Außer Kraft setzen
• Sperren
Der Standardwert ist „Aus“.
Domänennamen des geschäftlichen Netzwerks
Diese Einstellung legt die Ihrem Unternehmen zugewiesenen Domänennamen des geschäftlichen Netzwerks fest. Bei Eingabe mehrerer Domänen können senkrechte Striche („|“) als Trennzeichen verwendet werden. Die erste Domäne wird als Zeichenfolge für die Kennzeichnung von Dateien verwendet, die durch Apps geschützt werden, die EDP verwenden.
Beispielsweise beispiel.com| beispiel.net.
Entschlüsselung durch Benutzer zulassen
Diese Einstellung legt fest, ob ein Benutzer Dateien entschlüsseln darf, die durch EDP geschützt werden.
Schutz unter Sperrkonfiguration erzwingen
Diese Einstellung legt fest, ob Daten geschützt werden, wenn das Gerät gesperrt ist. Die Einstellung verhindert beispielsweise, dass der Text geschäftlicher E-Mails auf dem Sperrbildschirm angezeigt wird.
Zertifikatdatei zur Datenwiederherstellung (.der, .cer)
Diese Einstellung legt die für die Datenwiederherstellung verwendete Zertifikatdatei fest. Die angegebene Datei muss ein PEM- oder DER-codiertes Zertifikat mit der Dateierweiterung .der oder .cer sein.
Mithilfe der Zertifikatdatei für die Datenwiederherstellung können Administratoren auf dem Gerät lokal gesicherte Dateien wiederherstellen. Beispielsweise wenn Ihr Unternehmen durch EDP geschützte Daten eines Gerät wiederherstellen möchte.
EDP-Einstellungen bei Aufhebung der Registrierung eines Geräts bei BES sperren
Diese Einstellung legt fest, ob die EDP-Einstellungen gesperrt werden, sobald ein Gerät deaktiviert wird. Wenn die EDP-Einstellungen gesperrt werden, kann der Benutzer nicht mehr auf geschützte Dateien zugreifen.
Profileinstellungen
505
Windows 10: Einstellungen für das Unternehmensdatenschutzprofil
Beschreibung
EDP-Symboleinblendungen in geschützten Dateien und Apps anzeigen, die nur Unternehmensinhalte erstellen können
Diese Einstellung legt fest, ob auf den Datei- und Appsymbolen eine Einblendung angezeigt wird, die angibt, ob die Datei oder App durch EDP geschützt ist.
IP-Bereich des geschäftlichen Netzwerks
Diese Einstellung legt den geschäftlichen IP-Adressbereich fest, an den eine mit EDP geschützte Datei Daten freigeben kann.
Die Adressbereiche können mit einem Gedankenstrich gekennzeichnet werden. Adressen können mit einem Komma voneinander abgegrenzt werden.
Payload-Code für Desktop-App Geben Sie die Schlüssel und Werte der Desktop-App zur Konfiguration der Beschränkungen für den Anwendungsstart auf Windows 10-Geräten ein. Sie müssen die von Microsoft festgelegten Schlüssel für die zu konfigurierende Payload-Art verwenden.
Payload-Code für universelle Windows-Plattform-App
Geben Sie die Schlüssel und Werte der universellen Windows-Plattform-App zur Konfiguration der Sicherheitsmaßnahmen für Unternehmensdaten auf Windows 10-Geräten ein. Sie müssen die von Microsoft festgelegten Schlüssel für die zu konfigurierende Payload-Art verwenden.
Profileinstellungen
506
Richtlinien-Referenztabelle
Weitere Informationen über IT-Richtlinien finden Sie in derRichtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
16
Richtlinien-Referenztabelle
507
Glossar
AES Advanced Encryption Standard (erweiterter Verschlüsselungsstandard)
AET Application Enrollment Token
APNs Apple Push Notification service (Apple Push Notification-Dienst)
BES5 BlackBerry Enterprise Server 5
BES10 BlackBerry Enterprise Service 10
BES12 BlackBerry Enterprise Service 12
BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind, mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.
Prozessübergreifendes BlackBerry-Protokoll
Das prozessübergreifende BlackBerry-Protokoll ist ein proprietäres Protokoll von BlackBerry, das den Sitzungsschlüssel generiert, mit dem BlackBerry Enterprise Solution-Komponenten, z. B. der BlackBerry Enterprise Server und das BlackBerry Mobile Voice System, auf äußerst sichere Weise miteinander kommunizieren können. Das prozessübergreifende BlackBerry-Protokoll generiert den Sitzungsschlüssel anhand des Kommunikationskennworts.
CA Zertifizierungsstelle
Zertifikat Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt so seine Glaubwürdigkeit.
CRL Certificate Revocation List (Zertifikatwiderrufliste)
DEP Device Enrollment Program (Programm zur Geräteregistrierung)
DNS Domain Name System (Domänennamensystem)
DPD Dead Peer Detection
EAP Extensible Authentication Protocol (erweiterbares Authentifizierungsprotokoll)
EAP-FAST Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (Erweiterbares Authentifizierungsprotokoll – Flexible Authentifizierung über sichere Tunnel)
EAP-MS-CHAP Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol (erweiterbares Authentifizierungsprotokoll – Challenge Handshake Authentication-Protokoll von Microsoft®)
EAP-TLS Extensible Authentication Protocol Transport Layer Security (erweiterbares Authentifizierungsprotokoll – Transportschichtsicherheit)
17
Glossar
508
EDP Unternehmensdatenschutz (Enterprise Data Protection)
EMM Enterprise Mobility Management
FQDN Fully Qualified Domain Name (vollständiger Domänenname)
GTC Generic Token Card
HMAC Keyed-Hash Message Authentication Code (verschlüsselter Hash-Nachrichtenauthentifizierungscode)
HTTP Hypertext Transfer Protocol (Hypertextübertragungsprotokoll)
HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)
ICCID Integrated Circuit Card Identifier (Integrated Circuit Card-Bezeichner)
IKE Internet Key Exchange
IMAP Internet Message Access Protocol
IMEI International Mobile Equipment Identity (Internationale Kennnummer für mobile Geräte)
IP Internet Protocol (Internetprotokoll)
IPSec Internet Protocol Security (Internetprotokollsicherheit)
IT-Richtlinie Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten von Geräten steuern.
LAN Local Area Network (lokales Netzwerk)
LDAP Lightweight Directory Access Protocol (Anwendungsprotokoll)
MD5 Message-Digest Algorithm, Version 5 (Message-Digest-Algorithmus)
MDM Mobile Geräteverwaltung (Mobile Device Management)
MS-CHAP Microsoft Challenge Handshake Authentication Protocol (Authentifizierungsprotokoll von Microsoft)
NAT Network Address Translation
NTLM NT LAN Manager (Authentifizierungsverfahren für Rechnernetze)
OCSP Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage)
PAC Proxy Auto Configuration (Proxy-Autokonfiguration)
PFS Perfekte Geheimhaltung bei der Weiterleitung
PKI Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel)
PMK Pairwise Master Key
POP Post Office Protocol
PRF Pseudo-Random-Familie
PSK Pre-Shared Key (vorinstallierter Schlüssel)
SCEP Simple Certificate Enrollment-Protokoll
Glossar
509
SHA Secure Hash Algorithm (Sicherer Hash-Algorithmus)
SIM Subscriber Identity Module (Teilnehmeridentitätsmodul)
S/MIME Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das Internet)
SNMP Simple Network Management Protocol (einfaches Netzwerkverwaltungsprotokoll)
Bereich Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet.
SSL Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)
Überwachte iOS-Geräte
Überwachte Geräte werden konfiguriert, damit die zusätzliche Steuerung von iOS-Gerätefunktionen ermöglicht wird. Um die Überwachung von iOS-Geräten im Besitz Ihrer Organisation zu aktivieren, können Sie den Apple Configurator oder das Device Enrollment-Programm verwenden.
TCP Transmission Control Protocol (Übertragungssteuerungsprotokoll)
TLS Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)
USB Universal Serial Bus (serielles Bussystem zur Verbindung eines Computers mit externen Geräten)
VPN Virtual Private Network (Virtuelles privates Netzwerk)
xAuth Erweiterte Authentifizierung
Glossar
510
Rechtliche Hinweise
©2016 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BES, EMBLEM Design, ATHOC, ATHOC & Design und PURPLE GLOBE Design, GOOD WORK, LOCK Design, MANYME, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, SECUVOICE, VIRTUAL SIM PLATFORM, WATCHDOX und WORKLIFE, sind Marken oder eingetragene Marken von BlackBerry Limited, seinen Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Sie haben ausschließliche Rechte, die Ihnen ausdrücklich vorbehalten sind. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
GOOD und EMBLEM Design sind Marken oder eingetragene Marken von BlackBerry Limited, deren Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an diesen Marken wird ausdrücklich vorbehalten.
Android, Google Chrome und Google Playsind Marken von Google Inc. Apple, App Store, Apple Configurator, iCloud, OS X und Safarisind Marken von Apple Inc.Aruba und VIAsind Marken von Aruba Networks, Inc.Bell ist eine Marke von Bell Canada.Bluetoothist eine Marke von Bluetooth SIG.Check Point und VPN-1sind Marken von Check Point Software Technologies Ltd.Cisco, Cisco AnyConnect, Cisco IOS und PIXsind Marken von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern.F5is a trademark of F5 Networks, Inc.HTC EVOist eine Marke der HTC Corporation.IBM, Domino, IBM Verse und Notizensind eingetragene Marken der International Business Machines Corporation in vielen Ländern weltweit.iOSist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet.Juniperist eine Marke von Juniper Networks, Inc.Kerberosist eine Marke des Massachusetts Institute of Technology.Microsoft, Active Directory, ActiveSync, Windows und Windows Phonesind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern.OpenVPNist eine Marke von OpenVPN Technologies, Inc.OpenTrust und OpenTrust CMSsind Marken von OpenTrust.PGPist eine Marke der PGP Corporation.Pulse Secureist eine Marke von Pulse Secure LLC.RSAist eine Marke von RSA Security.SonicWALL und Mobile Connectsind Marken von Dell, Inc.Symantecist eine Marke oder eingetragene Marke der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern.T-Mobileist eine Marke der Deutschen Telekom AG. Wi-Fi, WPA und WPA2sind Marken der Wi-Fi Alliance.Entrust, Entrust IdentityGuard und Entrust Authority Administration Servicessind Marken von Entrust, Inc.KNOX und Samsung KNOXsind Marken von Samsung Electronics Co., Ltd.Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in Kenntnis zu setzen.
18
Rechtliche Hinweise
511
Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und -dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.
SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE, HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD. MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIME-DIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG.
Rechtliche Hinweise
512
DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRY-DISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.
ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER DOKUMENTATION.
Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird.
Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.
BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.
BlackBerry Limited2200 University Avenue EastWaterloo, OntarioCanada N2K 0A7
BlackBerry UK Limited200 Bath Road
Rechtliche Hinweise
513
Slough, Berkshire SL1 3XEUnited Kingdom
Veröffentlicht in Kanada
Rechtliche Hinweise
514
