BUEM-Konfigurationshandbuch (lokal, PDF-HTML)...Füge neue Peripheriegeräte hinzu Wenn Sie irgendwelche BlackBerry Dynamics-Zertifikate zu Peripheriegeräten in Ihrem Netzwerk hinzugefügt

BlackBerry UEMKonfigurationshandbuch

12.9

2018-10-07Z

| | 2

Inhalt

Änderung der Zertifikate BlackBerry UEM......................................................... 8Überlegungen zum Ändern von BlackBerry Dynamics........................................................................................ 9Ändern eines BlackBerry UEM-Zertifikats.......................................................................................................... 10

Konfigurieren von BlackBerry UEM zum Senden von Daten über einenProxyserver..................................................................................................12

Senden von Daten über einen TCP-Proxyserver an die BlackBerry Infrastructure.......................................... 12Vergleichen von TCP-Proxys....................................................................................................................13Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-Servers..... 13Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server......................................................................... 14

Senden von Daten über den BlackBerry Router an die BlackBerry Infrastructure........................................... 14Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry Router..................................14

Senden von Daten über einen HTTP-Proxy an BlackBerry Dynamics NOC......................................................15Konfigurieren der HTTP-Proxy-Einstellungen..........................................................................................15

Konfigurieren von Verbindungen über interne Proxy-Server............................ 16Konfigurieren von serverseitigen Proxyeinstellungen....................................................................................... 16

Herstellen einer Verbindung zu Unternehmensverzeichnissen........................ 17Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine

Ressourcengesamtstruktur enthält............................................................................................................... 17Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz.......................................................... 18Herstellen der Verbindung zu einem LDAP-Verzeichnis................................................................................... 20Aktivieren von per Verzeichnis verknüpften Gruppen....................................................................................... 21Aktivieren von Onboarding.................................................................................................................................. 22

Aktivieren und Konfigurieren von Onboarding und Offboarding........................................................... 23Synchronisieren einer UnternehmensverzeichnisVerbindung...........................................................................24

Vorschau des Synchronisationsberichts.................................................................................................24Anzeigen eines Synchronisierungsberichts............................................................................................ 24Hinzufügen eines Synchronisationsplans............................................................................................... 25

Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen..................................................................................... 26

Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen.............. 26

Konfigurieren der einmaligen Anmeldung für BlackBerry UEM........................ 27Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur

Unterstützung der einmaligen Anmeldung................................................................................................... 27Einmalige Anmeldung für BlackBerry UEM einrichten...................................................................................... 28

Konsolen-URLs für die einmalige Anmeldung........................................................................................ 29Anforderungen an den Browser für die einmalige Anmeldung............................................................. 29

| | iii

Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und macOS-Geräten........................................................................................................ 31

Abrufen einer signierten CSR von BlackBerry....................................................................................................31Anfordern eines APNs-Zertifikats von Apple..................................................................................................... 32Registrieren des APNs-Zertifikats.......................................................................................................................32Erneuern des APNs-Zertifikats............................................................................................................................ 32Fehlerbehebung: APNs.........................................................................................................................................33

Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem)bereit, oder senden Sie eine neue CSR..............................................................................................33

Beim Abrufen einer signierten CSR erhalte ich die Meldung „Im System ist ein Fehler aufgetreten“...33Ich kann iOS- oder macOS-Geräte nicht aktivieren................................................................................ 33

Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen...........35Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service........................ 35Konfigurieren von Berechtigungen für Gatekeeping..........................................................................................36Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen........................................................ 37

Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte aufExchange ActiveSync.......................................................................................................................... 38

Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365....................................38Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping................................................................... 39Erstellen einer Gatekeeping-Konfiguration......................................................................................................... 39

Verbinden von BlackBerry UEM mit Microsoft Azure.......................................41Erstellen eines Microsoft Azure-Kontos.............................................................................................................41Synchronisieren von Microsoft Active Directory mit Microsoft Azure............................................................. 41Create an enterprise endpoint in Azure............................................................................................................. 42Konfigurieren von BlackBerry UEM für die Synchronisierung mit Microsoft Intune........................................43

Konfigurieren von BlackBerry UEM für die Synchronisierung mit Microsoft Intune.............................43Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen.....44

Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store fürUnternehmen........................................................................................................................................ 44

Erstellen eines Administrators für den Windows Store für Unternehmen............................................ 45Aktivieren der App in Windows Store für Unternehmen........................................................................ 45

Konfigurieren von BlackBerry UEM für die Unterstützung von Android-Geräten, die ein Arbeitsprofil besitzen.........................................................46

Konfigurieren Sie BlackBerry UEM, um Android-Geräte zu unterstützen, die über ein Arbeitsprofilverfügen........................................................................................................................................................... 47

Entfernen Sie die Android-Arbeitsprofil-Verbindung zu Ihrer Google-Domain................................................. 48Entfernen Sie die Google-Domänenverbindung mit Ihrem Google-Konto........................................................ 49Bearbeiten oder testen Sie die Google-Domain-Verbindung.............................................................................49

Hinzufügen einer E-FOTA-Lizenz.................................................................... 50

Verwalten von Nachweisen für Samsung KNOX-Geräte...................................51

| | iv

Verwalten von Nachweisen für Windows 10-Geräte........................................ 52

Konfigurieren von BlackBerry UEM für DEP.....................................................53Erstellen eines DEP-Kontos................................................................................................................................. 53Herunterladen eines öffentlichen Schlüssels.....................................................................................................53Generieren eines Server-Tokens......................................................................................................................... 54Registrieren des Server-Tokens bei BlackBerry UEM........................................................................................ 54Hinzufügen der ersten Registrierungskonfiguration..........................................................................................54Aktualisieren des Server-Tokens.........................................................................................................................56Entfernen einer DEP-Verbindung.........................................................................................................................56

Einrichten von BlackBerry UEM Self-Service für Benutzer............................... 57BlackBerry UEM Self-Service einrichten............................................................................................................ 57

Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne..... 58Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten.................................................. 59Architektur: Hohe Verfügbarkeit für BlackBerry UEM........................................................................................59Lastverteilungsdaten für BlackBerry 10-Geräte................................................................................................. 60Hohe Verfügbarkeit und der BlackBerry Connectivity Node............................................................................. 61Überprüfung des Zustands von Komponenten durch BlackBerry UEM........................................................... 61Installieren einer zusätzlichen BlackBerry UEM-Instanz................................................................................... 62Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole............................................................... 62

Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe derDatenbankspiegelung...................................................................................64

Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten..............64Schritte zum Konfigurieren der Datenbankspiegelung......................................................................................65Systemanforderungen: Datenbankspiegelung................................................................................................... 65Voraussetzungen: Konfigurieren der Datenbankspiegelung.............................................................................66Erstellen und Konfigurieren einer Spiegeldatenbank.........................................................................................66Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank.......................................................... 67Konfigurieren einer neuen Spiegeldatenbank.................................................................................................... 68

Konfigurieren von TLS/SSL-Verbindungen mit Exchange ActiveSync bei derAktivierung von BlackBerry Secure Gateway................................................69

Konfigurieren von BlackBerry UEM, sodass das Exchange ActiveSync-Serverzertifikat alsvertrauenswürdig erkannt wird...................................................................................................................... 69

Konfigurieren von BlackBerry UEM zur Verwendung der TLS-Versionen und der Chiffrierschlüssel, dieExchange ActiveSync unterstützt.................................................................................................................. 69

Vereinfachung von Windows 10-Aktivierungen............................................... 70Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen....................................70

| | v

Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einemQuellserver.................................................................................................. 73

Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einemQuellserver....................................................................................................................................................... 73

Herstellen einer Verbindung zu einem Quellserver........................................................................................... 75Export the self-signed root certificate for the Good Control server......................................................77

Überlegungen: Migrieren von IT-Richtlinien, Profilen und Gruppen aus einem Quellserver............................ 78Migrieren von IT-Richtlinien, Profilen und Gruppen aus einem Quellserver.....................................................81Schließen Sie die Migration der Richtlinie und des Profils von Good Control nach BlackBerry UEM ab...... 82

Good Control-Funktionen in BlackBerry UEM......................................................................................... 82Überlegungen: Migrieren von Benutzern aus einem Quellserver......................................................................84Migrieren von Benutzern aus einem Quellserver...............................................................................................85Überlegungen: Migrieren von Geräten aus einem Quellserver......................................................................... 86

Kurzanleitung für Gerätemigration.......................................................................................................... 89Migrieren von Geräten aus einem Quellserver...................................................................................................89Migrieren von DEP-Geräten................................................................................................................................. 90

Migrieren von DEP-Geräten mit installiertem BlackBerry UEM Client................................................... 90Migrieren von DEP-Geräten ohne BlackBerry UEM Client......................................................................90

Configuring BlackBerry UEM to support BlackBerry Dynamics apps................ 92Verwalten von BlackBerry Proxy-Clustern.......................................................................................................... 92Konfigurieren von Direct Connect oder eines Web-Proxy für BlackBerry Proxy-Verbindungen...................... 93Konfigurieren von BlackBerry Dynamics-Eigenschaften................................................................................... 93

Globale Eigenschaften von BlackBerry Dynamics..................................................................................94BlackBerry Dynamics-Eigenschaften....................................................................................................... 98BlackBerry Proxy-Eigenschaften.............................................................................................................. 99

Konfigurieren Sie die Kommunikationseinstellungen für BlackBerry Dynamics-Apps..................................101

Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps...................... 102Konfigurieren der Gültigkeitsdauer für Clientzertifikate..................................................................................102Konfigurieren von PKI-Verbindungen für BlackBerry Dynamics-Apps............................................................102

PKI-Konnektorinteraktionen....................................................................................................................103

Integrieren von BlackBerry UEM mit Cisco ISE.............................................. 106Anforderungen: Integration von BlackBerry UEM und Cisco ISE....................................................................106Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann....................................... 107Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher..............................108Verbinden von BlackBerry UEM mit Cisco ISE................................................................................................ 109Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEM.................................................................. 110Verwalten von Netzwerkzugriff und Gerätesteuerelementen über Cisco ISE................................................111

Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurden........................................... 112

Überwachen von BlackBerry UEM mithilfe von SNMP-Tools..........................113Unterstützte SNMP-Vorgänge........................................................................................................................... 113Systemanforderungen: SNMP-Überwachung...................................................................................................114MIBs für BlackBerry UEM.................................................................................................................................. 114Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools.......................................................... 115

| | vi

Verwenden von SNMP zur Überwachung von Komponenten........................................................................ 116SNMP-Konfiguration für die Überwachung von Komponenten...........................................................116

Glossar..........................................................................................................118

Rechtliche Hinweise...................................................................................... 121

| | vii

Änderung der Zertifikate BlackBerry UEMWenn Sie BlackBerry UEM installieren, generiert die Setup-Anwendung mehrere selbst signierte Zertifikate, dieverwendet werden, um die Kommunikation zwischen verschiedenen UEM-Komponenten und mit Geräten zuauthentifizieren. Sie können die Zertifikate ändern, wenn die Sicherheitsrichtlinien Ihrer Organisation verlangen,dass Zertifikate von der CA Ihrer Organisation unterzeichnet werden oder wenn Sie Zertifikate verwendenmöchten, die von einer CA ausgestellt werden, der Geräte und Browser bereits Vertrauen.

Hinweis: Wenn Probleme auftreten, wenn Sie ein Zertifikat ändern, kann die Kommunikation zwischen UEM-Komponenten und zwischen BlackBerry UEM und Geräten unterbrochen werden. Wenn Sie sich entscheiden,Zertifikate zu ändern, planen und testen Sie die Änderung sorgfältig.

Sie können folgende Zertifikate ändern:

Certificate Description

SSL Zertifikat fürKonsolen

Ein SSL-Zertifikat, das die BlackBerry UEM Verwaltungskonsole und der BlackBerryUEM Self-Service zur Authentifizierung von Browsern verwenden.

Wenn Sie eine hohe Verfügbarkeit konfigurieren, muss das Zertifikat haben denNamen des BlackBerry UEM Domäne. Sie können den BlackBerry UEM Domain-Namen in dem Verwaltungskonsole finden Sie unter Einstellungen> Infrastruktur>Instanzen.

SSL Zertifikate fürBlackBerry Web Services

Ein SSL-Zertifikat, das die BlackBerry Web Services zur Authentifizierung vonAnwendungen verwenden, die verwendet werden Die BlackBerry Web ServicesAPIs zum Verwalten von BlackBerry UEM.

Wenn Sie das BlackBerry UEM konfigurieren Domäne. Sie finden die BlackBerryUEM Einstellungen> Infrastruktur> Instanzen.

AppleProfilunterzeichnungZertifikat

Ein Zertifikat, das BlackBerry UEM verwendet, um das MDM-Profil zu signieren,das die Benutzer akzeptieren müssen Sie aktivieren iOS-Geräte.

Wenn Sie ein von einer CA signiertes Zertifikat verwenden, stellen Sie sicher, dassInstalliert auf den iOS-Geräten der Benutzer vor der Aktivierung.

SSL-Zertifikat fürBewerbungen BlackBerryDynamics

Ein SSL-Zertifikat, das BlackBerry Dynamics Launcher zum Herstellen einessicheren Kommunikationskanals mit BlackBerry UEM verwendet. BlackBerryDynamics-Apps, die die integrierte BlackBerry Dynamics Launcher enthalten,können BlackBerry UEM das Zertifikat für die Authentifizierung beim Serverpräsentieren.

SSL-Zertifikat fürBlackBerry Dynamicsserver

An SSL certificate that authenticates connections between BlackBerry UEM andBlackBerry Proxy.

Ensure that the names of any additional instances of BlackBerry UEM Core orBlackBerry Connectivity Node are added to the Subject Alternative Name of thiscertificate.

| Änderung der Zertifikate BlackBerry UEM | 8

Certificate Description

BewerbungsbescheinigungManagement

An SSL certificate that is used for authentication between BlackBerry UEM andBlackBerry Dynamics apps.

Das Stammzertifizierungsstellenzertifikat für dieses Zertifikat wird in der Listeder vertrauenswürdigen CA-Zertifikate auf dem Gerät gespeichert. Wenn derServer sich bei dem Gerät authentifiziert, präsentiert der Server dem Gerät diesesZertifikat für die Validierung.

Wenn Sie dieses Zertifikat ändern und die Änderung wirksam wird, bevorBlackBerry UEM das Zertifikat an alle BlackBerry Dynamics-Apps sendet, müssenalle Apps, die das Zertifikat nicht erhalten haben, erneut aktiviert werden.

Stellen Sie sicher, dass die Namen aller zusätzliche Instanzen von BlackBerry UEMCore oder BlackBerry Connectivity Node dem alternativen Antragstellernamendieses Zertifikats hinzugefügt werden.

Zertifikat für DirectConnect

Ein SSL-Zertifikat, das für die Authentifizierung zwischen und BlackBerry DynamicsDirect Connect verwendet wird Verbinden und andere Komponenten.

Wenn Sie dieses Zertifikat ändern und die Änderung vor BlackBerry UEM wirksamwird Schiebt das Zertifikat auf alle BlackBerry Dynamics Apps, alle Apps, die dasnicht erhalten haben Zertifikat muss reaktiviert werden.

Assurez-vous que les noms de toute instance supplémentaire de BlackBerry UEMCore ou BlackBerry Connectivity Node sont ajoutés au Nom alternatif du sujet dece certificat.

Stellen Sie sicher, dass die Namen der zusätzlichen Instanzen von BlackBerry UEMCore oder BlackBerry Connectivity Node werden dem Betreff-Alternativnamendieses Zertifikats hinzugefügt.

Überlegungen zum Ändern von BlackBerry DynamicsIf you want to change any of the BlackBerry Dynamics SSL certificates, keep the following considerations in mind.If problems occur when you change a certificate, communication between BlackBerry UEM components andbetween BlackBerry UEM and BlackBerry Dynamics apps could be disrupted. Plan and test certificate changescarefully.

Füge neue Peripheriegeräte hinzu

Wenn Sie irgendwelche BlackBerry Dynamics-Zertifikate zu Peripheriegeräten in Ihrem Netzwerk hinzugefügthaben, fügen Sie das neue Zertifikat hinzu Peripheriegeräte vor dem Hinzufügen zu BlackBerry UEM.

Aktualisieren Sie die BlackBerry Dynamics

If you are replacing the BlackBerry Dynamics certificate for application management or Direct Connect, ensurethat users' BlackBerry Dynamics apps are updated to the most recent versions before you replace the certificate.

Any BlackBerry Dynamics apps developed by your organization must be built with version 3.2 or later of theBlackBerry Dynamics SDK. Older apps can't receive the new certificate from BlackBerry UEM.


BlackBerry Dynamics apps müssen offen sein, um ein Zertifikat zu erhalten

Users must open a BlackBerry Dynamics app for the app to receive a certificate from BlackBerry UEM. If you arereplacing the BlackBerry Dynamics certificate for application management or Direct Connect and the changebecomes effective before BlackBerry UEM pushes the certificate to all BlackBerry Dynamics apps, any apps thatdid not receive the certificate must be reactivated. Apps do not receive certificates while they are suspended oniOS devices or while Android devices are in Doze mode.

Stellen Sie sicher, dass der BlackBerry Connectivity Node zugänglich ist

If any BlackBerry Proxy instances are unreachable by BlackBerry UEM when BlackBerry Dynamics certificatesare replaced, BlackBerry Dynamics apps will not be able to connect to those instances following the certificatereplacement.

Planen Sie die Zertifikatsänderungen entsprechend

Wenn Sie das Zertifikat für BlackBerry Dynamics-Server ersetzen, wählen Sie einen Zeitraum mit geringer Aktivität,um die Server neu zu starten.

Erlaube genügend Zeit für neue Zertifikate, die an BlackBerry Proxy und BlackBerry DynamicsApps weitergegebenwerden. Wenn Sie ersetzen Nur das Zertifikat für BlackBerry Dynamics Server, erlaube mindestens 10 Minuten,bevor der Server neu gestartet wird.

Wenn Sie das BlackBerry Dynamics-Zertifikat für die Anwendungsverwaltung oder Direct Connect ersetzen, wirdes empfohlen Die Zeit bis zum Zeitpunkt des Inkrafttretens länger als die Konnektivitätsüberprüfung "LetzteKontaktzeit" in der Einhaltung Profil.

Wenn Sie sowohl die BlackBerry Dynamics-Zertifikate für die Anwendungsverwaltung als auch die Direct Connectersetzen, setzen Sie die Effektive Zeiten mindestens 30 Minuten auseinander. Wenn Sie eine große Anzahl vonBenutzern und BlackBerry Dynamics Apps haben, sollten Sie warten Länger als 30 Minuten zwischen jedemZertifikat.

Ändern eines BlackBerry UEM-ZertifikatsBevor Sie beginnen:

• Erhalten Sie ein Zertifikat, das von einer vertrauenswürdigen CA signiert wurde. Das Zertifikat muss imKeystore-Format vorliegen (.pfx, .pkcs12).

• Wenn Sie das BlackBerry Dynamics-Zertifikat für das Anwendungsmanagement oder Direct Connect ersetzen,stellen Sie sicher, dass die BlackBerry Dynamics-Apps der Benutzer zuerst auf die aktuellsten Versionenaktualisiert werden.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate.2. Klicken Sie im Abschnitt für das Zertifikat, das Sie ersetzen möchten, aufView details.3. Klicken Sie auf Zertifikat ersetzen.4. Navigieren Sie zur Zertifikatdatei und wählen Sie sie aus.5. Geben Sie ein Verschlüsselungskennwort für das Zertifikat ein.6. Wenn Sie das Zertifikat für BlackBerry Dynamics-Server ersetzen, legen Sie fest, wann BlackBerry UEM

neustarten soll, um die Änderung zu übernehmen.Es wird empfohlen, dass Sie einen Zeitraum mit geringer Aktivität wählen, um die Server neu zu starten.

7. Wenn Sie das BlackBerry Dynamics-Zertifikat für die Anwendungsverwaltung oder Direct Connect ersetzen,geben Sie das effektive Datum für die Zertifikatsänderung an.


Es wird empfohlen, dass das effektive Datum weiter weg ist als die Konnektivitätsprüfung "Letzte Kontaktzeit"im Compliance-Profil. Wenn Sie mehr als ein Zertifikat ändern, sollten Sie die effektiven Zeiten um mindestens30 Minuten trennen.

8. Klicken Sie auf Ersetzen.

Wenn Sie fertig sind:

• Wenn Sie eines der Zertifikate auf der Registerkarte Serverzertifikate ersetzt haben, starten Sie den BlackBerryUEM Core-Dienst auf allen Servern neu. Es wird empfohlen, dass Sie einen Zeitraum mit geringer Aktivitätwählen, um die Server neu zu starten.

• Für Zertifikate auf der Registerkarte "BlackBerry Dynamics-Zertifikate" können Sie auf "Zurücksetzen" klicken,um auf ein selbst signiertes Zertifikat zurückzukehren.

• Auf der Registerkarte BlackBerry Dynamics-Zertifikate können Sie die Kontrollkästchen Trust BlackBerry UEMCA und Trust BlackBerry Dynamics CA deaktivieren, wenn Sie nicht mehr die selbst signierten Zertifikatevertrauen müssen. Sie können das Kontrollkästchen Trust BlackBerry Dynamics CA nur dann löschen, wennSie alle Zertifikate auf der Registerkarte BlackBerry Dynamics-Zertifikate ersetzt haben.

• Wenn BlackBerry Dynamics Apps nach dem Ändern der Zertifikate nicht mehr kommunizieren, stellen Siesicher, dass die Apps aktuell sind und dann die Benutzer anweisen, die Apps zu reaktivieren.


Konfigurieren von BlackBerry UEM zum Senden vonDaten über einen ProxyserverSie können BlackBerry UEM so konfigurieren, dass Daten zuerst über einen TCP-Proxyserver oder eine Instanz desBlackBerry Router gesendet werden, bevor sie die BlackBerry Infrastructure erreichen.

Standardmäßig stellt BlackBerry UEM über Port 3101 eine direkte Verbindung mit der BlackBerry Infrastructureher. Wenn die Sicherheitsrichtlinie Ihres Unternehmens jedoch vorschreibt, dass interne Systeme keine direktenVerbindungen mit dem Internet herstellen dürfen, können Sie den BlackBerry Router oder einen TCP-Proxyserverinstallieren. Der BlackBerry Router bzw. der TCP-Proxy-Server fungiert als Vermittler zwischen BlackBerry UEMund der BlackBerry Infrastructure.

Sie können einen BlackBerry Router oder einen Proxyserver außerhalb der Unternehmens-Firewall in einer DMZinstallieren. Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Servers in einer DMZ wird dieSicherheit für BlackBerry UEM zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen vonaußerhalb der Firewall eine Verbindung zu BlackBerry UEM her. Alle Verbindungen zur BlackBerry Infrastructurezwischen BlackBerry UEM und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet.

Bei BlackBerry OS-Geräten (Version 5.0 bis 7.1) sendet der BlackBerry Router Daten auch direkt an Geräteund empfängt Daten von Geräten, die mit einem geschäftlichen Wi-Fi-Netzwerk oder mit einem Computer mitBlackBerry Device Manager verbunden sind.

Diese Abbildung zeigt die folgenden Optionen, die zum Senden von Daten über einen Proxyserver an dieBlackBerry Infrastructure genutzt werden können: kein Proxyserver, TCP-Proxyserver in einer DMZ und BlackBerryRouter in einer DMZ.

Senden von Daten über einen TCP-Proxyserver an die BlackBerryInfrastructureSie können einen transparenten TCP-Proxy-Server für den BlackBerry UEM Core-Dienst und einen weiterentransparenten TCP-Proxy-Server für den BlackBerry Affinity Manager-Dienst konfigurieren. Diese Dienste erforderneine ausgehende Verbindung, für die möglicherweise auch unterschiedliche Ports konfiguriert werden müssen.Sie können nicht mehrere transparente TCP-Proxy-Server für den jeweiligen Dienst installieren oder konfigurieren.

Sie können jedoch mehrere TCP-Proxy-Server, die mit SOCKS v5 (keine Authentifizierung) konfiguriert wurden,für die Verbindung mit BlackBerry UEM festlegen. Mehrere TCP-Proxy-Server mit SOCKS v5-Konfiguration(keine Authentifizierung) können Unterstützung bereitstellen, wenn eine der aktiven Proxy-Serverinstanzen nichtordnungsgemäß funktioniert.

Sie konfigurieren nur einen einzelnen Port, der von allen Dienstinstanzen mit SOCKS v5 überwacht wird. Wenn Siemehr als einen TCP-Proxyserver mit SOCKS v5 konfigurieren, muss der Überwachungsport für jeden freigegebenwerden.

| Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver | 12

Vergleichen von TCP-Proxys

Proxy Beschreibung

Transparent TCP proxy • Fängt die normale Kommunikation auf Netzwerkebene ohne spezielleClient-Konfiguration ab

• Keine Client-Browser-Konfiguration erforderlich• Befindet sich in der Regel zwischen Client und Internet• Führt Funktionen eines Gateways oder Routers aus• Wird häufig zur Durchsetzung von Richtlinien für die zulässige

Nutzung verwendet• Wird von Internetdienstanbietern in einigen Ländern häufig verwendet,

um Upstream-Bandbreite einzusparen und Kundenreaktionszeitendurch Zwischenspeicherung zu verbessern

SOCKS v5 proxy • Ein Internetprotokoll für die Verarbeitung von Internetdatenverkehrüber einen Proxy-Server

• Die Verarbeitung ist mit nahezu jeder TCP/UDP-Anwendung möglich,einschließlich Browsern und FTP-Clients, die SOCKS unterstützen

• Kann eine gute Lösung für Internetanonymität und -sicherheit sein• Leitet Netzwerkpakete zwischen einem Client und einem Server über

einen Proxy-Server weiter• Bietet Authentifizierungsmöglichkeiten, sodass nur autorisierte

Benutzer auf einen Server zugreifen können• Leitet TCP-Verbindungen an eine beliebige IP-Adresse weiter• Ermöglicht die Anonymisierung von UDP- und TCP-Protokollen wie

HTTP

Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-ServersBevor Sie beginnen: Installieren Sie einen kompatiblen transparenten TCP-Proxy-Server in derBlackBerry UEM-Domäne.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy.2. Wählen Sie die Option Proxy-Server.3. Führen Sie eine der folgenden Aufgaben aus:

Aufgabe Schritte

Weiterleiten von TCP-Datenüber einen TCP-Proxyserver.

Geben Sie in den Feldern BlackBerry UEM Core, BlackBerry SecureGateway Service den FQDN oder die IP-Adresse und die Portnummer desProxyservers ein. In jedes Feld muss ein einzelner Wert eingegeben werden.

Weiterleiten von SRP-Datenverkehr über einenTCP-Proxyserver.

Geben Sie in den Feldern für Affinity Manager den FQDN oder die IP-Adresse und die Portnummer des Proxy-Servers ein. In jedes Feld muss eineinzelner Wert eingegeben werden.

Weiterleiten von BlackBerrySecure Connect Plus-Datenverkehr über einenTCP-Proxyserver.

Geben Sie in den Feldern BlackBerry Secure Connect Plus den FQDN oderdie IP-Adresse und die Portnummer des Proxy-Servers ein. In jedes Feldmuss ein einzelner Wert eingegeben werden.


4. Klicken Sie auf Speichern.

Aktivieren von SOCKS v5 auf einem TCP-Proxy-ServerBevor Sie beginnen: Installieren Sie einen kompatiblen TCP-Proxy-Server mit SOCKS v5 (ohne Authentifizierung)in der BlackBerry UEM-Domäne.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry Router und Proxy.2. Wählen Sie die Option Proxy-Server.3. Aktivieren Sie das Kontrollkästchen SOCKS v5 aktivieren.4. Klicken Sie auf .5. Geben Sie in das Feld Serveradresse die IP-Adresse oder den Hostnamen des SOCKS v5-Proxy-Servers ein.6. Klicken Sie auf Hinzufügen.7. Wiederholen Sie die Schritte 1 bis 6 für jeden zu konfigurierenden SOCKS v5-Proxyserver.8. Geben Sie im Feld Port die Portnummer ein.9. Klicken Sie auf Speichern.

Senden von Daten über den BlackBerry Router an die BlackBerryInfrastructureSie können mehrere Instanzen des BlackBerry Router für hohe Verfügbarkeit konfigurieren. Sie konfigurieren nureinen Port für die Überwachung durch BlackBerry Router-Instanzen.

BlackBerry UEM bietet keine Unterstützung für eine BlackBerry Router-Instanz, die ursprünglich mit BES5verwendet wurde.

Standardmäßig stellt BlackBerry UEM eine Verbindung zum BlackBerry Router über Port 3102 für BlackBerryUEM-Dienste und Port 3101 für BES5-Dienste her. Der BlackBerry Router unterstützt den gesamten ausgehendenDatenverkehr von BlackBerry UEM Core und BlackBerry Affinity Manager.

Hinweis: Wenn ein anderer Port als der Standardport für den BlackBerry Router verwendet werden soll, finden Sieweitere Informationen unter http://support.blackberry.com/kb im Artikel KB36385.

Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry RouterBevor Sie beginnen: Installieren Sie den BlackBerry Router in der BlackBerry UEM-Domäne. Anweisungen zumInstallieren des BlackBerry Router, finden Sie in der Dokumentation zu Installation und Upgrade.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy.2. Wählen Sie die Option BlackBerry Router.3. Klicken Sie auf .4. Geben Sie die IP-Adresse oder den Hostnamen der BlackBerry Router-Instanz ein, zu der BlackBerry UEM eine

Verbindung herstellen soll.5. Klicken Sie auf Hinzufügen.6. Wiederholen Sie die Schritte 1 bis 5 für jede BlackBerry Router-Instanz, die Sie konfigurieren möchten.7. Geben Sie in das Feld Port die Portnummer ein, die von allen BlackBerry Router-Instanzen überwacht wird. Der

Standardwert ist 3102.8. Klicken Sie auf Speichern.


http://support.blackberry.com/kb

http://help.blackberry.com/detectLang/blackberry-uem/current/installation-and-upgrade/

Senden von Daten über einen HTTP-Proxy an BlackBerry DynamicsNOCSie können BlackBerry UEM so konfigurieren, dass Daten über einen HTTP-Proxy zwischen BlackBerry UEM undBlackBerry Dynamics NOC gesendet werden.

Hinweis: Der Proxy muss über Port 443 auf BlackBerry Dynamics NOC zugreifen können. Weitere Informationenzu den Portanforderungen finden Sie unter Ausgehende Verbindungen:BlackBerry UEM zu BlackBerry DynamicsNOC.

Konfigurieren der HTTP-Proxy-Einstellungen1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy.2. Wählen Sie HTTP-Proxy aktivieren aus.3. Wählen Sie eine der folgenden Optionen aus:

• Über Proxy nur mit NOC-Servern von BlackBerry Dynamics verbinden• Über Proxy mit allen Servern verbinden• Über Proxy nur mit bestimmten Servern verbinden

4. Wenn Sie den Proxy verwenden möchten, um eine Verbindung mit den angegebenen Servern herzustellen,klicken Sie auf , um zusätzliche Server anzugeben.

5. Geben Sie in das Feld Adresse die Adresse für den Proxyserver ein6. Geben Sie im Feld Port die vom Proxy-Server überwachte Portnummer ein.7. Wenn der Proxy-Server eine Authentifizierung benötigt, wählen Sie Authentifizierung verwenden und legen

Sie den Benutzernamen, das Kennwort und, wenn nötig, die Domäne fest, die BlackBerry UEM für dieAuthentifizierung verwenden soll.



http://help.blackberry.com/en/blackberry-uem/12.9/installation-and-upgrade/fru1475177895630.html

http://help.blackberry.com/en/blackberry-uem/12.9/installation-and-upgrade/fru1475177895630.html

Konfigurieren von Verbindungen über interne Proxy-ServerWenn Ihr Unternehmen einen Proxyserver für Verbindungen zwischen den Servern in Ihrem Netzwerk nutzt,müssen Sie die serverseitigen Proxyeinstellungen möglicherweise so konfigurieren, dass BlackBerry UEM Coremit der BlackBerry UEM-Verwaltungskonsole kommunizieren kann, falls diese auf einem separaten Computerinstalliert wurde. Sie müssen möglicherweise auch die serverseitigen Proxy-Einstellungen konfigurieren, damitBlackBerry UEM mit anderen internen Diensten kommunizieren kann, wie z. B. Zertifizierungsstellen und Server,die Push-Anwendungen zur Übertragung von Daten an BlackBerry MDS Connection Service hosten.

Die serverseitigen Proxy-Einstellungen gelten nicht für ausgehende Verbindungen. Weitere Informationen zumKonfigurieren von BlackBerry UEM für die Verwendung eines TCP-Proxyservers finden Sie unter Konfigurieren vonBlackBerry UEM zum Senden von Daten über einen Proxyserver.

Konfigurieren von serverseitigen ProxyeinstellungenBevor Sie beginnen: Vergewissern Sie sich, dass Ihnen die PAC-URL oder der Hostname und die Portnummersowie etwaige weitere Einstellungen zur Verfügung stehen, die Sie benötigen, um eine Verbindung zum Proxy-Server herzustellen.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverseitiger Proxy.2. Wenn die meisten oder alle Server, die Bestandteil Ihrer BlackBerry UEM-Installation sind, eine Verbindung zu

einem Proxy-Server herstellen müssen, führen Sie die folgenden Schritte durch, um globale serverseitige Proxy-Einstellungen festzulegen:a) Wählen Sie unter Globale serverseitige Proxy-Einstellungen in der Liste Typ die Option PAC-Konfiguration

oder Manuelle Konfiguration aus.b) Geben Sie die Einstellungen an, die der Proxy-Server benötigt, und klicken Sie auf Speichern.

3. Wenn einer oder mehrere Server Proxy-Einstellungen benötigen, die sich von den globalen Einstellungenunterscheiden, führen Sie die folgenden Schritte durch, um die Proxy-Einstellungen für den Server festzulegen:a) Wählen Sie unter dem Servernamen in der Liste Typ die Option Keine, PAC-Konfiguration oder Manuelle

Konfiguration aus.b) Wenn Sie PAC-Konfiguration oder Manuelle Konfiguration ausgewählt haben, geben Sie die vom Proxy-

Server benötigten Einstellungen an.c) Klicken Sie auf Speichern.

| Konfigurieren von Verbindungen über interne Proxy-Server | 16

Herstellen einer Verbindung zu Unternehmensver-zeichnissenSie können BlackBerry UEM mit Ihrem Unternehmensverzeichnis verbinden, sodass der Zugriff auf dieBenutzerliste Ihres Unternehmens möglich ist. Sie können BlackBerry UEM mit mehreren Verzeichnissenverbinden, und die Verzeichnisse können sich aus Microsoft Active Directory und LDAP zusammensetzen.

Wenn Ihr Unternehmensverzeichnis verbunden ist, können Sie die folgenden Funktionen nutzen:

• Sie können in BlackBerry UEM mit Benutzerdaten aus dem Verzeichnis Benutzerkonten erstellen, undBlackBerry UEM kann Administratoren für die Verwaltungskonsole und Benutzer für BlackBerry UEM Self-Service authentifizieren.

• Sie können Gruppen aus dem Unternehmensverzeichnis mit BlackBerry UEM-Gruppen verknüpfen, umBenutzer in BlackBerry UEM auf dieselbe Weise wie in Ihrem Unternehmensverzeichnis zu ordnen. SieheAktivieren von per Verzeichnis verknüpften Gruppen.

• Sie haben die Möglichkeit, für bestimmte Gruppen in Ihrem Unternehmensverzeichnis, Onboarding zuaktivieren, um BlackBerry UEM-Benutzer automatisch erstellen zu lassen. Wenn Sie Onboarding aktivieren,können Sie mithilfe von Offboarding-Konfigurationen auch Gerätedaten oder Benutzerkonten löschen, wennBenutzer aus Gruppen in Ihrem Unternehmensverzeichnis entfernt werden. Siehe Aktivieren von Onboarding.

Wenn Sie BlackBerry UEM nicht mit einem Unternehmensverzeichnis verbinden, ist es möglich, lokaleBenutzerkonten manuell zu erstellen und Administratoren über die Standardauthentifizierung anzumelden.

Führen Sie die folgenden Schritte aus, um BlackBerry UEM mit einem Unternehmensverzeichnis zu verbinden:

Schritt Aktion

Stellen Sie eine Verbindung mit einer Microsoft Active Directory-Instanz oder einem LDAP-Verzeichnis her.

Wenn in Ihrer Umgebung eine Ressourcengesamtstruktur enthalten ist, lesen Sie Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eineRessourcengesamtstruktur enthält .

Aktivieren Sie optional per Verzeichnis verknüpfte Gruppen.

Aktivieren Sie optional Onboarding.

Fügen Sie optional einen Synchronisierungszeitplan hinzu.

Konfigurieren der Microsoft Active Directory-Authentifizierung ineiner Umgebung, die eine Ressourcengesamtstruktur enthältWenn Ihre Unternehmensumgebung eine Ressourcengesamtstruktur enthält, die für das Ausführen von MicrosoftExchange verwendet wird, können Sie die Microsoft Active Directory-Authentifizierung für Benutzerkontenkonfigurieren, die sich in vertrauenswürdigen Kontengesamtstrukturen befinden.

| Herstellen einer Verbindung zu Unternehmensverzeichnissen | 17

Wenn Ihre Umgebung eine Ressourcengesamtstruktur enthält, müssen Sie BlackBerry UEM in dieser installieren.In der Ressourcengesamtstruktur erstellen Sie für jedes Benutzerkonto ein Postfach und weisen die Postfächerden Benutzerkonten zu. Wenn Sie die Postfächer in der Ressourcengesamtstruktur Benutzerkonten in denKontengesamtstrukturen zuweisen, erhalten die Benutzerkonten vollen Zugriff auf die Postfächer, und es wirdeine Verbindung zwischen den Benutzerkonten in den Kontengesamtstrukturen und dem Microsoft Exchange-Server hergestellt.

Um Benutzer zu authentifizieren, die sich bei BlackBerry UEM anmelden, muss BlackBerry UEM dieBenutzerinformationen lesen, die auf den zur Ressourcengesamtstruktur gehörenden globalen Katalogserverngespeichert sind. Sie müssen ein Microsoft Active Directory-Konto für BlackBerry UEM erstellen, das sich in einerWindows-Domäne befindet, die Teil der Ressourcengesamtstruktur ist. Beim Erstellen der Verzeichnisverbindunggeben Sie die Windows-Domäne, den Benutzernamen und das Kennwort für das Microsoft Active Directory-Kontound ggf. die Namen der globalen Katalogserver an, die BlackBerry UEM nutzen kann.

Weitere Informationen finden Sie auf technet.microsoft.com unter Verwalten verknüpfter Postfächer.

Herstellen der Verbindung zu einer Microsoft Active Directory-InstanzBevor Sie beginnen: Erstellen Sie ein Microsoft Active Directory-Konto, das von BlackBerry UEM verwendetwerden kann. Das Konto muss die folgenden Anforderungen erfüllen:

• Es muss sich in einer Windows-Domäne befinden, die Teil der Microsoft Exchange-Gesamtstruktur ist.• Es muss Berechtigungen für den Zugriff auf den Benutzercontainer und Leseberechtigungen für die

Benutzerobjekte aufweisen, die in den globalen Katalogservern in der Microsoft Exchange-Gesamtstrukturgespeichert sind.

• Das Kennwort muss so konfiguriert werden, dass es nicht abläuft und dass es bei der nächsten Anmeldungnicht geändert werden muss.

• Wenn Sie die einmalige Anmeldung aktivieren, muss die eingeschränkte Delegierung für das Konto konfiguriertwerden.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie auf Hinzufügen einer Microsoft Active Directory-Verbindung.3. Geben Sie im Feld Name der Verbindung des Verzeichnisses den Namen der Verzeichnisverbindung ein.4. Geben Sie im Feld Benutzername den Benutzernamen des Microsoft Active Directory-Kontos ein.5. Geben Sie im Feld Domäne den Namen der Windows-Domäne, die Teil der Microsoft Exchange-Gesamtstruktur

ist, im DNS-Format ein (Beispiel: beispiel.com).6. Geben Sie im Feld Kennwort das Kontokennwort ein.7. Führen Sie in der Dropdown-Liste für die Auswahl der Kerberos-Schlüsselverteilungscenter eine der folgenden

Aktionen durch:

• Damit BlackBerry UEM die Schlüsselverteilungscenter (KDCs) automatisch erkennen kann, klicken Sie aufAutomatisch.

• Um die Liste der KDCs anzugeben, die BlackBerry UEM für die Authentifizierung verwenden soll, klickenSie auf Manuell. Geben Sie im Feld Servernamen den Namen des KDC-Domänencontrollers im DNS-Format (z. B. kdc01.beispiel.com) ein. Fügen Sie optional die Portnummer ein, die der Domänencontrollerverwendet (z. B. kdc01.beispiel.com:88). Klicken Sie auf um zusätzliche KDC-Domänencontrolleranzugeben, die BlackBerry UEM verwenden soll.

8. Führen Sie in der Dropdown-Liste Auswahl des globalen Katalogs eine der folgenden Aktionen aus:

• Wenn BlackBerry UEM die globalen Katalogserver automatisch erkennen soll, klicken Sie auf Automatisch.


http://technet.microsoft.com

• Um die Liste der globalen Katalogserver anzugeben, die BlackBerry UEM verwenden soll, klicken Sie aufManuell. Geben Sie im Feld Servernamen den DNS-Namen des globalen Katalogservers ein, auf denBlackBerry UEM zugreifen soll (z. B. globalcatalog01.beispiel.com). Fügen Sie optional die Portnummerein, die der globale Katalogserver verwendet (z. B. globalcatalog01.com:3268). Klicken Sie auf , umzusätzliche Server anzugeben.

9. Klicken Sie auf Fortfahren.10.Führen Sie im Feld Suchbasis des globalen Katalogs eine der folgenden Aktionen aus:

• Lassen Sie das Feld leer, um BlackBerry UEM zu ermöglichen, den globalen Katalog zu durchsuchen.• Geben Sie den Distinguished Name des Benutzercontainers ein (z. B. OU=sales,DC=example,DC=com), um

zu steuern, welche Benutzerkonten BlackBerry UEM authentifizieren kann.11.Wenn Sie die Unterstützung für globale Gruppen aktivieren möchten, klicken Sie in der Dropdown-Liste

Unterstützung für globale Gruppen auf Ja.Um eine globale Gruppendomäne zu konfigurieren, klicken Sie im Abschnitt Liste der globalenGruppendomänen auf . Wählen Sie im Feld Domäne die Domäne aus, die hinzugefügt werden soll.Die Standardauswahl für das Feld Benutzername und Kennwort angeben? ist „Nein“. Wenn Sie dieseStandardauswahl beibehalten, werden der Benutzername und das Kennwort für die Verbindung mit derGesamtstruktur verwendet. Wenn Sie „Ja“ wählen, müssen Sie gültige Anmeldeinformationen für einMicrosoft Active Directory-Konto in der ausgewählten Domäne angeben. Im Feld KDC-Auswahl können Sie„Automatisch“ auswählen, damit BlackBerry UEM Key Distribution Centers automatisch sucht. Wenn Sie„Manuell“ auswählen, können Sie die für die Authentifizierung zu verwendende KDC-Liste für BlackBerry UEMselbst angeben. Klicken Sie auf Hinzufügen.

12.Wenn Sie die Unterstützung für verknüpfte Microsoft Exchange-Postfächer aktivieren möchten, klicken Sie inder Dropdown-Liste Unterstützung für verknüpfte Microsoft Exchange-Postfächer auf Ja.Um das Microsoft Active Directory-Konto für jede Gesamtstruktur zu konfigurieren, auf die BlackBerry UEMzugreifen soll, klicken Sie im Abschnitt Auflisten von Kontengesamtstrukturen auf . Geben Sie den Namender Benutzerdomäne (der Benutzer kann einer beliebigen Domäne in der Kontengesamtstruktur angehören)sowie den Benutzernamen und das Kennwort an. Geben Sie bei Bedarf die KDCs an, die BlackBerry UEMdurchsuchen soll. Geben Sie bei Bedarf die globalen Katalogserver an, auf die BlackBerry UEM zugreifen soll.Klicken Sie auf Hinzufügen.

13.Zum Aktivieren der einmaligen Anmeldung wählen Sie das Kontrollkästchen Windows Single Sign-onaktivieren aus. Weitere Informationen zu Single Sign-on finden Sie unter Konfigurieren der einmaligenAnmeldung für BlackBerry UEM.

14.Um, weitere Benutzerdetails aus Ihrem Unternehmensverzeichnis zu synchronisieren, aktivieren Sie dasKontrollkästchen Zusätzliche Benutzerdetails synchronisieren. Zu den zusätzlichen Details gehören der Namedes Unternehmens und die geschäftliche Telefonnummer.

15.Klicken Sie auf Speichern.16.Klicken Sie auf Schließen.

Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sieunter Hinzufügen eines Synchronisationsplans.

Verwandte Aufgaben

Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung dereinmaligen Anmeldung

Verwandte Referenzen

Anforderungen an den Browser für die einmalige Anmeldung


Herstellen der Verbindung zu einem LDAP-VerzeichnisBevor Sie beginnen:

• Erstellen Sie ein LDAP-Konto für BlackBerry UEM im entsprechenden LDAP-Verzeichnis. Das Konto muss diefolgenden Anforderungen erfüllen:• Das Konto verfügt über Leseberechtigungen für alle Benutzer im Verzeichnis.• Das Kennwort des Kontos läuft nie ab, und der Benutzer muss das Kennwort bei der nächsten Anmeldung

nicht ändern.• Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für

die LDAP-Verbindung haben.• Überprüfen Sie die von Ihrem Unternehmen verwendeten LDAP-Attributwerte (die nachstehenden Schritte

enthalten Beispiele für typische Attributwerte). Sie müssen die LDAP-Attributwerte aus Schritt 11 und denweiteren Schritten angeben.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie auf Hinzufügen einer LDAP-Verbindung.3. Geben Sie im Feld Name der Verbindung des Verzeichnisses einen Namen für die Verzeichnisverbindung ein.4. Führen Sie in der Dropdown-Liste LDAP-Servererkennung eine der folgenden Aktionen aus:

• Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf Automatisch. Geben Sie im Feld DNS-Domänenname den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet.

• Um die Liste der LDAP-Server festzulegen, klicken Sie auf Server aus der Liste unten auswählen. Geben Siein das Feld LDAP-Server den Namen des LDAP-Servers ein. Um weitere LDAP-Server hinzuzufügen, klickenSie auf .

5. Führen Sie in der Dropdown-Liste SSL aktivieren eine der folgenden Aktionen aus:

• Wenn die LDAP-Verbindung eine SSL-Verschlüsselung aufweist, klicken Sie auf Ja. Klicken Sie neben demFeld LDAP-Server-SSL-Zertifikat auf Durchsuchen, und wählen Sie das LDAP-Serverzertifikat aus.

• Wenn die LDAP-Verbindung keine SSL-Verschlüsselung aufweist, klicken Sie auf Nein.6. Geben Sie im Feld LDAP-Port die TCP-Portnummer für die Verbindung ein. Die Standardwerte sind 636 für

„SSL aktiviert“ oder 389 für „SSL deaktiviert“.7. Führen Sie in der Dropdown-Liste Autorisierung erforderlich eine der folgenden Aktionen aus:

• Wenn für die Verbindung eine Autorisierung erforderlich ist, klicken Sie auf Ja. Geben Sie imFeld Anmeldung den DN des Benutzers ein, der für die Anmeldung bei LDAP autorisiert ist (z. B.an=admin,o=Org1). Geben Sie im Feld Kennwort das Kennwort ein.

• Wenn für die Verbindung keine Autorisierung erforderlich ist, klicken Sie auf Nein.8. Geben Sie im Feld Benutzersuchbasis den Wert ein, der als Basis-DN für Benutzerinformationssuchen

verwendet werden soll.9. Geben Sie im Feld LDAP-Suchfilter nach Benutzer den LDAP-Suchfilter ein, der zum Auffinden von

Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie beispielweise für einIBM Domino Directory Folgendes ein: (objectClass=Person).

Hinweis: Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, geben SieFolgendes ein: (&(objectclass=user)(logindisabled=false)).

10.Führen Sie in der Dropdown-Liste LDAP-Benutzer-Suchbereich eine der folgenden Aktionen aus:

• Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf Alle Ebenen. Dies ist dieStandardeinstellung.

• Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf EineEbene.


11.In the Unique identifier field, type the name of the attribute that uniquely identifies each user in yourorganization's LDAP directory (must be a string that is immutable and globally unique). For example,dominoUNID in IBM Domino LDAP 7 and later.

12.Geben Sie im Feld Vorname das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweisegivenName).

13.Geben Sie im Feld Nachname das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise sn).14.Geben Sie im Feld Anmeldeattribute das für die Authentifizierung zu verwendende Anmeldeattribut ein

(beispielsweise uid).15.Geben Sie im Feld E-Mail-Adresse das Attribut für die E-Mail-Adresse der einzelnen Benutzer ein

(beispielsweise mail). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.16.Geben Sie im Feld Anzeigename das Attribut für den Anzeigenamen der einzelnen Benutzer ein

(beispielsweise displayName). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.17.Geben Sie im Feld Kontoname des E-Mail-Profils das Attribut für den Kontonamen des E-Mail-Profils der

einzelnen Benutzer ein (beispielsweise mail).18.Geben Sie im Feld Benutzerprinzipalname den Benutzerprinzipalnamen für SCEP ein (beispielsweise mail).19.Um per Verzeichnis verknüpfte Gruppen für die Verzeichnisverbindung zu aktivieren, aktivieren Sie das

Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen.Geben Sie die folgenden Informationen an:

• Geben Sie im Feld Suchbasis für Gruppen den Wert ein, der als Basis-DN für Gruppeninformationssuchenverwendet werden soll.

• Geben Sie im Feld LDAP-Suchfilter für Gruppen den LDAP-Suchfilter ein, der zum Auffinden vonGruppenobjekten in Ihrem Unternehmensverzeichnis erforderlich ist. Geben Sie beispielsweise für IBMDomino Directory Folgendes ein: (objectClass=dominoGroup).

• Geben Sie im Feld Eindeutige Kennung der Gruppe das Attribut für die eindeutige Kennung der einzelnenGruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. cn).

• Geben Sie im Feld Anzeigename der Gruppe das Attribut für den Anzeigenamen der einzelnen Gruppen ein(z. B. cn).

• Geben Sie im Feld Gruppenmitgliedschaftsattribut das Attribut für den Mitgliedschaftsbezeichner dereinzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. member).

• Geben Sie im Feld Gruppenname testen einen vorhandenen Gruppennamen ein, um die festgelegtenGruppenattribute zu validieren.

20.Klicken Sie auf Speichern.21.Klicken Sie auf Schließen.

Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sieunter Hinzufügen eines Synchronisationsplans.

Aktivieren von per Verzeichnis verknüpften GruppenBevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnissesausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen,erst nach Beendigung der Synchronisierung speichern.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses.3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per

Verzeichnis verknüpften Gruppen.


4. Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie dasKontrollkästchen Synchronisierung erzwingen.Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werdendie Verknüpfungen für diese Gruppe aus den per Verzeichnis verknüpften Gruppen und den Onboarding-Verzeichnisgruppen entfernt. Wenn alle Unternehmensverzeichnisgruppen, die einer per Verzeichnisverknüpften Gruppe zugeordnet sind, entfernt werden, wird die per Verzeichnis verknüpfte Gruppe in einelokale Gruppe umgewandelt. Wenn diese nicht ausgewählt sind und keine Unternehmensverzeichnisgruppegefunden werden kann, wird der Synchronisierungsvorgang abgebrochen.

5. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die proSynchronisierungsprozess zulässig sein sollen.Die Standardeinstellung ist 5. Falls die Anzahl der zu synchronisierenden Änderungen dasSynchronisierungslimit übersteigt, können Sie die Ausführung der Synchronisierung verhindern. Änderungenwerden berechnet, indem die folgenden Elemente addiert werden: die den Gruppen hinzuzufügenden Benutzer,die aus den Gruppen zu entfernenden Benutzer, die per Onboarding zu integrierenden Benutzer, die durchOffboarding zu entfernenden Benutzer.

6. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl derVerschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen.


Wenn Sie fertig sind: Erstellen Sie einer per Verzeichnis verknüpfte Gruppe. Weitere Informationenfinden Sie inder Dokumentation für Administratoren unter „Erstellen von per Verzeichnis verknüpften Gruppen“.

Aktivieren von OnboardingOnboarding bedeutet, dass Benutzerkonten basierend auf der Benutzermitgliedschaft in einerUnternehmensverzeichnisgruppe automatisch zu BlackBerry UEM hinzugefügt werden können. DieBenutzerkonten werden BlackBerry UEM während des Synchronisierungsvorgangs hinzugefügt.

Außerdem können Sie auswählen, ob die per Onboarding integrierten Benutzer automatisch eine E-Mail-Nachrichtund Aktivierungskennwörter oder Zugriffsschlüssel für BlackBerry Dynamics-Apps erhalten sollen.

Offboarding

Wenn Sie Onboarding aktivieren, können Sie auch den Offboarding-Vorgang konfigurieren. Wenn ein Benutzer ausallen Unternehmensverzeichnisgruppen in den Onboarding-Verzeichnisgruppen entfernt wird, kann BlackBerryUEM das Offboarding des Benutzers auf eine der folgenden Arten automatisch durchführen:

• Löschen der geschäftlichen Daten oder aller Daten von den Geräten der Benutzer• Löschen des Benutzerkontos aus BlackBerry UEM

Mithilfe des Offboarding-Schutzes können Sie das Löschen von Gerätedaten oder Benutzerkonten um einenSynchronisierungszyklus verzögern, damit unerwartete Löschvorgänge vermieden werden, die aufgrundder Verzeichnisreplikationslatenz auftreten können. Unabhängig vom Synchronisierungsintervall nimmt dieVerzögerung, die durch den Offboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch.

Hinweis: Die Offboarding-Einstellungen gelten auch für bestehende Verzeichnisbenutzer in BlackBerry UEM. Eswird empfohlen, durch Klicken auf das Vorschausymbol einen Verzeichnissynchronisierungsbericht zu erzeugenund die Änderungen zu überprüfen.


http://help.blackberry.com/detectLang/blackberry-uem/current/administration/creating-a-directory-linked-group.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/creating-a-directory-linked-group.html

Synchronisierung

Nachdem Sie Offboarding aktiviert haben, werden die Offboarding-Regeln während der nächsten Synchronisierungauf alle Benutzer angewendet, die Sie vor der Aktivierung von Offboarding in der Verwaltungskonsole manuellhinzugefügt haben und die keine Mitglieder von Gruppen sind, die per Verzeichnis verknüpft sind.

Nach der Aktivierung von Onboarding können Sie BlackBerry UEM Benutzer auch dann manuell hinzufügen,wenn sie sich bereits in einer Gruppe befinden, die per Verzeichnis verknüpft ist. Wenn Offboarding aktiviert ist,werden bei der nächsten Synchronisierung Offboarding-Regeln auf die Geräte der Benutzer angewendet, die SieBlackBerry UEM manuell hinzufügen, falls es sich zum Zeitpunkt der Synchronisierung nicht um Mitglieder einerOnboarding-Synchronisierungsgruppe handelt.

Aktivieren und Konfigurieren von Onboarding und OffboardingBevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnissesausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen,erst nach Beendigung der Synchronisierung speichern.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses.3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per

Verzeichnis verknüpften Gruppen.4. Aktivieren Sie das Kontrollkästchen Onboarding aktivieren.5. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie mit einer Geräteaktivierungsoption für

Onboarding konfigurieren möchten:a) Klicken Sie auf .b) Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf .c) Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen.d) Wählen Sie optional Verschachtelte Gruppen verknüpfen aus.e) Geben Sie im Abschnitt Geräteaktivierung an, ob integrierte Benutzer ein automatisch generiertes

Aktivierungskennwort oder kein Aktivierungskennwort erhalten sollen. Wenn Sie die Option für dasautomatisch generierte Kennwort auswählen, konfigurieren Sie den Aktivierungszeitraum und wählen eineVorlage für die Aktivierungs-E-Mail aus.

6. Um das Onboarding von Benutzern mit BlackBerry Dynamics auszuführen, aktivieren Sie das KontrollkästchenNur Onboard-Benutzer mit BlackBerry Dynamics-Apps.

7. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie per Onboarding aufnehmen möchten und dienur eine Aktivierung für BlackBerry Dynamics-Apps erhalten sollen:a) Klicken Sie auf .b) Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf .c) Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen.d) Wählen Sie optional Verschachtelte Gruppen verknüpfen aus.e) Wählen Sie die Anzahl der Zugriffsschlüssel aus, die pro hinzugefügtem Benutzer erzeugt werden sollen,

den Ablauf des Zugriffsschlüssels und E-Mail-Vorlage.8. Wenn Gerätedaten beim Offboarding eines Benutzers gelöscht werden sollen, aktivieren Sie das

Kontrollkästchen Gerätedaten löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entferntwird. Wählen Sie eine der folgenden Optionen aus:

• Nur Geschäftsdaten löschen• Alle Gerätedaten löschen• Alle Gerätedaten für Eigentum des Unternehmens löschen/Nur Geschäftsdaten für Privateigentum löschen


9. Um ein Benutzerkonto aus BlackBerry UEM zu löschen, wenn ein Benutzer aus allen Onboarding-Gruppenentfernt wird, aktivieren Sie das Kontrollkästchen Benutzer löschen, wenn der Benutzer von allen integriertenVerzeichnisgruppen entfernt wird. Beim ersten Synchronisierungszyklus, der durchgeführt wird, nachdemein Benutzerkonto aus allen Onboarding-Verzeichnisgruppen entfernt wurde, wird das Benutzerkonto ausBlackBerry UEM gelöscht.

10.Um zu verhindern, dass Benutzerkonten oder Gerätedaten unerwartet aus BlackBerry UEM gelöscht werden,wählen Sie Offboarding-Schutz aus.Offboarding-Schutz bedeutet, dass Benutzer nicht aus BlackBerry UEM gelöscht werden, es sei denn, ihrBenutzerkonto befindet sich in zwei aufeinanderfolgenden Synchronisierungszyklen nicht in den Onboarding-Verzeichnisgruppen. Unabhängig vom Synchronisierungsintervall nimmt die Verzögerung, die durch denOffboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch.

11.Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie dasKontrollkästchen Synchronisierung erzwingen.Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werden dieVerknüpfungen für diese Gruppe aus den Onboarding-Verzeichnisgruppen und den per Verzeichnis verknüpftenGruppen entfernt. Wenn diese Option nicht aktiviert ist und eine Unternehmensverzeichnisgruppe gefundenwerden kann, wird der Synchronisierungsvorgang abgebrochen.

12.Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die proSynchronisierungsprozess zulässig sein sollen. Die Standardeinstellung lautet 5.Falls die Anzahl der zu synchronisierenden Änderungen das Synchronisierungslimit übersteigt, können Sie dieAusführung der Synchronisierung verhindern. Änderungen werden berechnet, indem die folgenden Elementeaddiert werden: die den Gruppen hinzuzufügenden Benutzer, die aus den Gruppen zu entfernenden Benutzer,die per Onboarding zu integrierenden Benutzer, die durch Offboarding zu entfernenden Benutzer.

13.Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl derVerschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen.

14.Klicken Sie auf Speichern.

Synchronisieren einer UnternehmensverzeichnisVerbindungBevor Sie beginnen: Vorschau des Synchronisationsberichts

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie in der Spalte Synchronisierung auf .

Wenn Sie fertig sind: Anzeigen eines Synchronisierungsberichts

Vorschau des SynchronisationsberichtsIn der Vorschau eines Synchronisationsberichts können Sie vor der Synchronisierung überprüfen, ob geplanteUpdates Ihren Erwartungen entsprechen.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie in der Spalte Vorschau auf .3. Klicken Sie auf Jetzt Vorschau anzeigen.4. Wenn die Verarbeitung des Berichts abgeschlossen ist, klicken Sie auf das Datum in der Spalte Letzter Bericht.5. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü.

Anzeigen eines Synchronisierungsberichts1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie in der Spalte Letzter Bericht auf das Datum.


3. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü.

Hinzufügen eines SynchronisationsplansSie können einen Synchronisierungszeitplan hinzufügen, um BlackBerry UEM automatisch mit demFirmenverzeichnis Ihres Unternehmens zu synchronisieren. Es gibt drei Arten von Synchronisierungszeitplänen:

• Intervall: Sie geben den Zeitraum zwischen den einzelnen Synchronisierungen, den Zeitrahmen und die Tagean, an denen die Synchronisierung erfolgt.

• Einmal täglich: Sie geben die Tageszeit an, zu der die Synchronisierung beginnt, und die Tage, an denen sieerfolgt.

• Keine Wiederholung: Sie geben die Uhrzeit und den Tag für eine einmalige Synchronisierung an.

Im Bildschirm „Unternehmensverzeichnis“ können Sie BlackBerry UEM jederzeit manuell mit IhremUnternehmensverzeichnis synchronisieren.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses.3. Klicken Sie auf der Registerkarte Synchronisierungszeitplan auf .4. Wählen Sie in der Dropdown-Liste Wiederholung eine der folgenden Optionen aus:

Option Schritte

Intervall a. Geben Sie im Feld Intervall die Zeit zwischen den einzelnenSynchronisierungsvorgängen in Minuten ein.

b. Geben Sie den Zeitrahmen für die Synchronisierung an.c. Wählen Sie die Wochentage aus, an denen die Synchronisierungen

erfolgen sollen.

Einmal täglich a. Geben Sie an, wann die Synchronisierung gestartet werden soll.b. Wählen Sie die Wochentage aus, an denen die Synchronisierungen

erfolgen sollen.

Keine Wiederholung a. Geben Sie an, wann die Synchronisierung gestartet werden soll.b. Wählen Sie den Tag aus, an dem die Synchronisierung stattfinden

soll.

5. Klicken Sie auf Hinzufügen.


Herstellen einer Verbindung zu einem SMTP-Server zumSenden von E-Mail-BenachrichtigungenDamit BlackBerry UEM E-Mail-Benachrichtigungen senden kann, muss eine Verbindung zwischen BlackBerry UEMund dem SMTP-Server bestehen.

BlackBerry UEM sendet über E-Mail-Benachrichtigungen Aktivierungsanweisungen an Benutzer. Sie könnenBlackBerry UEM auch so konfigurieren, dass Kennwörter für BlackBerry UEM Self-Service und Warnungen zuVorschrifteneinhaltung auf Geräten oder E-Mail-Nachrichten an Einzelpersonen gesendet werden.

Wenn keine Verbindung zwischen BlackBerry UEM und SMTP-Server besteht, ist BlackBerry UEM nicht in der Lage,Kennwörter, Aktivierungs- oder E-Mail-Nachrichten zu senden. Sie können BlackBerry UEM jedoch trotzdem sokonfigurieren, dass Warnmeldungen zur Vorschrifteneinhaltung direkt an Geräte gesendet werden.

Weitere Informationen zu Aktivierungsnachrichten, Warnmeldungen zur Vorschrifteneinhaltung auf Geräten undzum Senden einzelner E-Mail-Nachrichtenfinden Sie in der Dokumentation für Administratoren

Herstellen einer Verbindung zu einem SMTP-Server zum Senden vonE-Mail-Benachrichtigungen1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > SMTP-Server.2. Klicken Sie auf .3. Geben Sie in das Feld Angezeigter Name des Absenders einen Namen ein, der für BlackBerry UEM-E-Mail-

Benachrichtigungen verwendet werden soll. Zum Beispiel donotreply oder BUEM Admin.4. Geben Sie in das Feld Absenderadresse die E-Mail-Adresse ein, die BlackBerry UEM zum Senden von E-Mail-

Benachrichtigungen verwenden soll.5. Geben Sie in das Feld SMTP-Server den FQDN des SMTP-Servers ein. Beispiel: mail.example.com.6. Geben Sie im Feld SMTP-Server-Port die Portnummer des SMTP-Servers ein. Die Standardportnummer ist 25.7. Wählen Sie im Dropdown-Menü Unterstützte Verschlüsselungsmethode die Verschlüsselung aus, die auf E-

Mail-Nachrichten angewendet werden soll.8. Wenn der SMTP-Server eine Authentifizierung erfordert, geben Sie im Feld Benutzername den Anmeldenamen

des SMTP-Servers ein. Geben Sie im Feld Kennwort das Kennwort des SMTP-Servers ein.9. Importieren Sie ggf. ein SMTP-Zertifizierungsstellenzertifikat:

a) Kopieren Sie die SSL-Zertifikatsdatei für den SMTP-Server Ihres Unternehmens auf den von Ihnenverwendeten Computer.

b) Klicken Sie auf Durchsuchen.c) Navigieren Sie zur SSL-Zertifikatsdatei, und klicken Sie auf Hochladen.

10.Klicken Sie auf Speichern.

Wenn Sie fertig sind: Klicken Sie auf Verbindung testen, wenn Sie die Verbindung zum SMTP-Server testenund eine Test-E-Mail senden möchten. BlackBerry UEM sendet die Nachricht an die von Ihnen im FeldAbsenderadresse festgelegte E-Mail-Adresse.

| Herstellen einer Verbindung zu einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen | 26

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/

Konfigurieren der einmaligen Anmeldung für BlackBerryUEMWenn Sie eine Verbindung zwischen BlackBerry UEM und Microsoft Active Directory herstellen, können Siedie Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer dieWebseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service zugreifen können. Wenn Administratoren oder Benutzer sich bei Windows anmelden, verwendet derBrowser ihre Anmeldeinformationen zur automatischen Authentifizierung bei BlackBerry UEM. Windows-Anmeldeinformationen können Microsoft Active Directory-Anmeldeinformationen oder abgeleiteteAnmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen.

Bevor Sie die einmalige Anmeldung bei BlackBerry UEM für eine Microsoft Active Directory-Verbindung aktivieren,müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das vonBlackBerry UEM für die Verzeichnisverbindung verwendet wird.

Hinweis: Wenn Sie die einmalige Anmeldung aktivieren, erfordern alle Änderungen, die Sie am Microsoft ActiveDirectory-Konto vornehmen, einen Neustart der BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerryUEM-Instanz hostet. Administratoren und Benutzer müssen sich von ihrem Computer ab- und dann wiederanmelden, um die einmalige Anmeldung für BlackBerry UEM zu verwenden.

Zum Konfigurieren der einmaligen Anmeldung für BlackBerry UEM führen Sie die folgenden Aktionen aus:

Schritt Aktion

Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zurUnterstützung der einmaligen Anmeldung.

Aktivieren Sie Single Sign-on für eine Microsoft Active Directory-Verbindung.

Überprüfen Sie die Browseranforderungen für die einmalige Anmeldung.

Konfigurieren der eingeschränkten Delegierung für das MicrosoftActive Directory-Konto zur Unterstützung der einmaligen AnmeldungDamit die einmalige Anmeldung für BlackBerry UEM unterstützt wird, müssen Sie die eingeschränkte Delegierungfür das Microsoft Active Directory-Konto konfigurieren, das von BlackBerry UEM für die Verzeichnisverbindungverwendet wird. Die eingeschränkte Delegierung ermöglicht eine Authentifizierung von Administratoren oderBenutzern bei BlackBerry UEM über den Browser, wenn diese auf die Verwaltungskonsole oder BlackBerry UEMSelf-Service zugreifen.

1. Fügen Sie dem Microsoft Active Directory-Konto mithilfe von Windows Server ADSI Edit oder demBefehlszeilentool „setspn“ die folgenden SPN für BlackBerry UEM hinzu:

• HTTP/<host_FQDN_or_pool_name> (z. B. HTTP/domäne123.beispiel.com)• BASPLUGIN111/<host_FQDN_or_pool_name> (z. B. BASPLUGIN111/domäne123.beispiel.com)

Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einer BlackBerry UEM-Domäne konfigurierthaben, geben Sie den Poolnamen ein. Geben Sie andernfalls den FQDN des Computers ein, der dieVerwaltungskonsole hostet.

| Konfigurieren der einmaligen Anmeldung für BlackBerry UEM | 27

Hinweis: Vergewissern Sie sich, dass keine anderen Konten in der Microsoft Active Directory-Gesamtstrukturdieselben SPN haben.

2. Öffnen Sie Microsoft Active Directory Users and Computers.3. Wählen Sie für die Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die

folgenden Optionen aus:

• Benutzer bei Delegierungen angegebener Dienste vertrauen• Nur Kerberos verwenden

4. Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu.

Verwandte Konzepte

Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole

Einmalige Anmeldung für BlackBerry UEM einrichtenWenn Sie die einmalige Anmeldung für Administratoren und Benutzer konfigurieren, die sich bei BlackBerry UEManmelden, gilt die Konfiguration für die Verwaltungskonsole und BlackBerry UEM Self-Service.

Bevor Sie beginnen:

• Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das von BlackBerryUEM für das Verzeichnis verwendet wird.

• Wenn Sie die einmalige Anmeldung für mehrere Microsoft Active Directory-Verbindungen aktivieren, stellen Siesicher, dass es keine Vertrauensbeziehungen zwischen den Microsoft Active Directory-Gesamtstrukturen gibt.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis.2. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf den Namen einer Microsoft

Active Directory-Verbindung.3. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Windows Single Sign-On

aktivieren.4. Klicken Sie auf Speichern.5. Klicken Sie auf Speichern.

BlackBerry UEM überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn dieInformationen nicht gültig sind, werden Sie von BlackBerry UEM aufgefordert, die richtigen Informationenanzugeben.

6. Klicken Sie auf Schließen.


• Starten Sie die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu.• Weisen Sie Administratoren und BlackBerry UEM Self-Service-Benutzer an, ihre Browser für die einmalige

Anmeldung an BlackBerry UEM zu konfigurieren.

Verwandte Aufgaben



Konsolen-URLs für die einmalige AnmeldungWenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen Sie Administratoren und Benutzeranweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zuverwenden:

Konsole URL für die einmalige Anmeldung

BlackBerry UEM-Verwaltungskonsole

https://<host_FQDN_or_pool_name>:<port>/admin

BlackBerry UEM Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice

Die Authentifizierung über die einmalige Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden zurAnmeldung bei der Verwaltungskonsole durch Administratoren bzw. bei BlackBerry UEM Self-Service durchBenutzer. Wenn die Sicherheitsstandards in Ihrem Unternehmen es erfordern, dass Administratoren bzw.Benutzer eine andere Authentifizierungsmethode verwenden, müssen Sie sie anweisen, für den Zugriff auf dieVerwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zu verwenden:

Konsole URL für andere Authentifizierungsmethoden

BlackBerry UEM-Verwaltungskonsole

https://<host_FQDN_or_pool_name>:<port>/admin?sso=n

BlackBerry UEM Self-Service https://<host_FQDN_or_pool_name>:<port>/mydevice?sso=n

Hinweis: Wenn SieBlackBerry UEMinstallieren, versucht die Setup-Anwendung standardmäßig Port 8000zuBlackBerry UEM Self-Serviceund Port 443 der Verwaltungskonsole zuzuweisen. Wenn Port 443 nicht verfügbarist, versucht die Setup-Anwendung, Port 8008 zu verwenden. Wenn die Standardports nicht verfügbar sind, weistdie Setup-Anwendung einen Portwert zwischen 12000 und 12999 zu. Informationen zu den Ports, dieBlackBerryUEM Self-Serviceund der Verwaltungskonsole zugewiesen wurden, finden Sie unter„Überprüfen der Portwerte, dievon derBlackBerry UEM-Setupanwendung zugewiesen wurden“ in der Dokumentation zu Installation und Upgrade.

Anforderungen an den Browser für die einmalige AnmeldungWenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen die von Administratoren undBlackBerry UEM Self-Service-Benutzern verwendeten Browser die nachfolgend aufgeführten Anforderungenerfüllen.

Objekt Anforderungen

Browser Einer der folgenden:

• Internet Explorer• Microsoft Edge• Mozilla Firefox• Google Chrome

Weitere Informationen zu den unterstützten Versionen finden Sie in derKompatibilitätsmatrix.


http://help.blackberry.com/detectLang/blackberry-uem/current/installation-and-upgrade/mca1457033563739.html

http://help.blackberry.com/detectLang/blackberry-uem/current/installation-and-upgrade/mca1457033563739.html

http://help.blackberry.com/detectLang/bes-compatibility-matrix/latest/



Browsereinstellungen Internet Explorer mit folgenden Einstellungen:

• Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service sindder lokalen Intranetzone zugewiesen (Internetoptionen > Sicherheit).

• „Integrierte Windows-Authentifizierung aktivieren“ ist ausgewählt(Internetoptionen > Erweitert).

Firefox mit folgenden Einstellungen:

• In der Liste „about:config“ wurde „https://<host_FQDN_or_pool_name>“zur Einstellung „network.negotiate-auth.trusted-uris“ hinzugefügt. WeitereInformationen finden Sie unter kb.mozillazine.org/about:config.

Google Chrome verwendet die Einstellungen der lokalen Intranetzone ausInternet Explorer. Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service müssen der lokalen Intranetzone zugewiesen sein (Internetoptionen >Sicherheit).


http://kb.mozillazine.org/about:config

Abrufen eines APNs-Zertifikats für die Verwaltung voniOS- und macOS-GerätenAPNs ist der Apple Push Notification Service. Sie müssen das APNs-Zertifikat abrufen und registrieren, wenn SieBlackBerry UEM für die Verwaltung von iOS- oder -macOS Geräten verwenden möchten. Wenn Sie mehr als eineBlackBerry UEM-Domäne einrichten, ist für jede Domäne ein APNs-Zertifikat erforderlich.

APNs-Zertifikate können mithilfe des Assistenten für die erstmalige Anmeldung oder unter Verwendung desAbschnitts „Externe Integration“ der Verwaltungskonsole abgerufen und registriert werden.

Hinweis: Jedes APNs-Zertifikat ist ein Jahr lang gültig. Auf der Verwaltungskonsole wird das Ablaufdatumangezeigt. Sie müssen das APNs-Zertifikat vor dem Ablaufdatum erneuern. Verwenden Sie hierzu die Apple-ID,die Sie zum Abrufen des Zertifikats benötigen. Sie können eine E-Mail Ereignisbenachrichtigung erstellen, um Siedaran zu erinnern, das Zertifikat 30 Tage vor Ablauf zu erneuern. Wenn das Zertifikat abläuft, empfangen Gerätevon BlackBerry UEM keine Daten mehr. Wenn Sie ein neues APNs-Zertifikat registrieren, müssen Benutzer ihreGeräte neu aktivieren, um Daten zu empfangen.

Weitere Informationen finden Sie unter https://developer.apple.com im Artikel TN2265 Probleme beim Senden vonPush-Benachrichtigungen.

In der Praxis hat es sich bewährt, auf die Verwaltungskonsole und das Apple Push Certificates Portal über denGoogle Chrome-Browser oder den Safari-Browser zuzugreifen. Diese Browser bieten optimale Unterstützung beider Anforderung und Registrierung von APNs-Zertifikaten.

Führen Sie zum Abrufen und Registrieren eines APNs-Zertifikats die folgenden Aktionen aus:

Schritt Aktion

Rufen Sie eine signierte CSR von BlackBerry ab.

Fordern Sie mit der signierten CSR ein APNs-Zertifikat von Apple an.

Registrieren Sie das APNs-Zertifikat.

Abrufen einer signierten CSR von BlackBerrySie müssen eine signierte CSR (Certificate Signing Request) von BlackBerry abrufen, bevor Sie ein APNs-Zertifikatanfordern können.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification.2. Klicken Sie auf APNs-Zertifikat abrufen.

Wenn Sie ein aktuell verwendetes APNs-Zertifikat erneuern möchten, klicken Sie stattdessen auf Zertifikaterneuern.

3. Klicken Sie im Abschnitt Schritt 1 von 3 – Signiertes CSR-Zertifikat von BlackBerry herunterladen aufZertifikat herunterladen.

4. Klicken Sie auf Speichern, um die signierte CSR-Datei (.scsr) auf Ihrem Computer zu speichern.

Wenn Sie fertig sind: Anfordern eines APNs-Zertifikats von Apple .

| Abrufen eines APNs-Zertifikats für die Verwaltung von iOS- und macOS-Geräten | 31

http://help.blackberry.com/en/blackberry-uem/current/administration/event-notifications.html

https://developer.apple.com

Anfordern eines APNs-Zertifikats von AppleBevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry .

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification.2. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates

Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet.3. Melden Sie sich beim Apple Push Certificates Portal mit einer gültigen Apple-ID an.4. Befolgen Sie die Anweisungen zum Hochladen der signierten CSR (.scsr).5. Laden Sie das APNs-Zertifikat (.pem) auf Ihren Computer herunter, und speichern Sie es.

Wenn Sie fertig sind: Registrieren des APNs-Zertifikats.

Registrieren des APNs-ZertifikatsBevor Sie beginnen: Anfordern eines APNs-Zertifikats von Apple .

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification.2. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zum

APNs-Zertifikat (.pem), und wählen Sie es aus.3. Klicken Sie auf Senden.


• Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikattesten.

• Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > ExterneIntegration > iOS-Verwaltung. Weitere Informationen zur Erneuerung von APNs-Zertifikaten finden Sie unterErneuern des APNs-Zertifikats.

Erneuern des APNs-ZertifikatsDas APNs-Zertifikat ist ein Jahr lang gültig. Sie müssen das APNs-Zertifikat jährlich vor dem Ablaufdatumerneuern.

Sie können eine E-Mail Ereignisbenachrichtigung erstellen, um Sie daran zu erinnern, das Zertifikat 30 Tage vorAblauf zu erneuern.

Bevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry .

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification.2. Klicken Sie im Abschnitt Schritt 2 von 3 – APNs-Zertifikat von Apple anfordern auf Apple Push Certificates

Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet.3. Melden Sie sich beim Apple Push Certificates Portal mit derselben Apple-ID an, die Sie zum Abrufen des

ursprünglichen APNs-Zertifikats verwendet haben.4. Befolgen Sie die Anweisungen zum Erneuern des APNs-Zertifikats (.pem). Sie müssen die neue signierte CSR

hochladen.5. Laden Sie das erneuerte APNs-Zertifikat auf Ihren Computer herunter, und speichern Sie es.6. Klicken Sie im Abschnitt Schritt 3 von 3 – APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zu

dem erneuerten APNs-Zertifikat, und wählen Sie es aus.


http://help.blackberry.com/en/blackberry-uem/current/administration/event-notifications.html

7. Klicken Sie auf Senden.


• Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikattesten.

• Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > ExterneIntegration > iOS-Verwaltung.

Fehlerbehebung: APNsDieser Abschnitt hilft Ihnen bei der Behebung von APNs-Problemen.

Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit,oder senden Sie eine neue CSR.

Beschreibung

Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein APNs-Zertifikat zu registrieren unddie neueste signierte CSR-Datei nicht von BlackBerry auf das Apple Push Certificates Portal hochgeladen haben.

Mögliche Lösung

Wenn Sie mehrere CSR-Dateien von BlackBerry heruntergeladen haben, ist nur die letzte heruntergeladene Dateigültig. Wenn Sie wissen, welche CSR die aktuellste ist, kehren Sie zum Apple Push Certificates Portal zurück, undladen Sie sie hoch. Wenn Sie nicht sicher sind, welche CSR die aktuellste ist, rufen Sie eine neue von BlackBerryab. Kehren Sie dann zum Apple Push Certificates Portal zurück und laden Sie sie hoch.

Beim Abrufen einer signierten CSR erhalte ich die Meldung „Im System ist ein Fehler aufgetreten“

Beschreibung

Beim Versuch, eine signierte CSR abzurufen, erhalten Sie folgende Fehlermeldung: „Im System ist ein Fehleraufgetreten. Versuchen Sie es erneut.“

Mögliche Lösung

Gehen Sie zu http://support.blackberry.com/kb, um Artikel KB37266 zu lesen.

Ich kann iOS- oder macOS-Geräte nicht aktivieren

Problemursache

Wenn Sie iOS- oder macOS-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nichtordnungsgemäß registriert.

Mögliche Lösung

Führen Sie eine oder mehrere der folgenden Aktionen aus:



• Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Apple PushNotification. Stellen Sie sicher, dass der Status des APNs-Zertifikats „Installiert“ lautet. Wenn der Status nichtkorrekt ist, versuchen Sie, das APNs-Zertifikat erneut zu registrieren.

• Klicken Sie auf APNS-Zertifikat testen, um die Verbindung zwischen BlackBerry UEM und dem APNs-Server zutesten.

• Rufen Sie ggf. eine neue signierte CSR von BlackBerry und ein neues APNs-Zertifikat ab.


Steuern, welche Geräte Zugriff auf Exchange ActiveSynchaben dürfenSie können die unbefugte Nutzung von Exchange ActiveSync durch Geräte unterbinden, die nicht explizit aufeiner Positivliste aufgeführt sind. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mailund Terminplanerdaten zugreifen. Mit BlackBerry Gatekeeping Service können Geräte einfach einer Positivlistehinzugefügt werden.

Für die Verwendung des BlackBerry Gatekeeping Service ist es erforderlich, eine Gatekeeping-Konfigurationfür Microsoft Exchange Server oder Microsoft Office 365 zu erstellen und Benutzern ein Gatekeeping-Profilund ein E-Mail-Profil (oder eine E-Mail-App mit einer App-Konfiguration) zuzuweisen, bei dem der automatischeGatekeeping-Server ausgewählt ist.

Nachdem Sie das Gatekeeping konfiguriert und den Benutzern ein Gatekeeping-Profil und E-Mail-Profil (odereine E-Mail-App mit einer App-Konfiguration) zugewiesen haben, werden die Geräte der Benutzer automatischzur Positivliste hinzugefügt. Wenn das Gatekeeping-Profil, E-Mail-Profil oder die E-Mail-App für einen Benutzerentfernt wird, wird das Gerät des Benutzers aus der Positivliste entfernt und kann keine Verbindung zu MicrosoftExchange mehr herstellen, sofern es nicht über andere Methoden zugelassen wurde (z. B. Windows PowerShell).

Sie können eine oder mehrere Instanzen desBlackBerry Connectivity Nodeinstallieren, um weitere Instanzen derGeräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. JederBlackBerry ConnectivityNodeumfasst eine Instanz desBlackBerry Gatekeeping Service. Jede Instanz muss in der Lage sein, aufden Gatekeeping-Server Ihres Unternehmens zuzugreifen. Wenn Gatekeeping-Daten nur von demBlackBerryGatekeeping Serviceverwaltet werden sollen, der mit den primärenBlackBerry UEM-Komponenten installiert ist,können Sie die Standardeinstellungen ändern, umBlackBerry Gatekeeping Servicein jedemBlackBerry ConnectivityNodezu deaktivieren. Weitere Informationen zum Installieren und Konfigurieren einesBlackBerry ConnectivityNode, finden Sie in der Dokumentation zur Planungundin der Dokumentation zu Installation und Upgrade.

Sie können Servergruppen einrichten, um den Verbindungsdatenverkehr des Geräts an eine bestimmte regionaleVerbindung zur BlackBerry Infrastructure richten. Wenn Sie ein Gatekeeping-Profil mit einer Servergruppeverknüpfen, verwendet jeder Benutzer, dem dieses Gatekeeping-Profil zugewiesen wurde, eine aktive Instanzdes BlackBerry Gatekeeping Service in dieser Servergruppe. Beim Konfigurieren einer Servergruppe können Siefestlegen, dass die Instanzen des BlackBerry Gatekeeping Service in der Gruppe deaktiviert werden.

finden Sie in der Dokumentation für Administratoren for more information about:

• Hinzufügen eines automatischen Gatekeeping-Servers zu einem Gatekeeping-Profil• Zulassen oder Blockieren von Geräten, die der Positivliste nicht automatisch hinzugefügt werden

Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerryGatekeeping ServiceZum Konfigurieren des BlackBerry Gatekeeping Service führen Sie die folgenden Aktionen aus:

Schritt Aktion

Konfigurieren von Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung.

Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zurVerfügung.

| Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen | 35

http://help.blackberry.com/detectLang/blackberry-uem/current/planning/



http://help.blackberry.com/detectLang/blackberry-uem/current/administration/gatekeeping-profile.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/mij1411403668748.html

Schritt Aktion

Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zurVerfügung.

Erstellen einer Gatekeeping-Konfiguration-eigene Optionen zur Verfügung.

Erstellen Sie ein Gatekeeping-Profil, und weisen Sie es Benutzerkonten, Benutzergruppenoder Gerätegruppen zu. Anweisungen finden Sie unter „Erstellen eines Gatekeeping-Profils“in der Dokumentation für Administratoren.

Konfigurieren von Berechtigungen für GatekeepingZur Verwendung von Exchange ActiveSync Gatekeeping müssen Sie ein Benutzerkonto in Microsoft ExchangeServer oder Microsoft Office 365 erstellen und diesem die erforderlichen Gatekeeping-Berechtigungen zuweisen.

Wenn Sie Microsoft Office 365 verwenden, erstellen Sie ein Microsoft Office 365-Benutzerkonto, und ordnen Siees den E-Mail-Empfänger- und Clientzugriffsrollen des Unternehmens zu.

Wenn Sie Microsoft Exchange Server 2010 oder höher verwenden, folgen Sie den nachstehenden Anweisungenzum Konfigurieren der Verwaltungsrollen mit den korrekten Berechtigungen zum Verwalten der Postfächerund des Clientzugriffs für Exchange ActiveSync. Für die Durchführung dieses Schritts ist es erforderlich,Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Erstellen und Ändern vonVerwaltungsrollen zu sein.

Bevor Sie beginnen:

• Erstellen Sie auf dem Computer, der Microsoft Exchange hostet, ein Konto und ein Postfach für die Verwaltungvon Gatekeeping in BlackBerry UEM (z. B. BUEMAdmin). Sie müssen die Anmeldeinformationen für diesesKonto festlegen, wenn Sie eine Exchange ActiveSync-Konfiguration erstellen. Notieren Sie sich den Namendieses Kontos, da Sie diesen am Ende der folgenden Aufgabe eingeben müssen.

• WinRM muss mit den Standardeinstellungen auf dem Computer konfiguriert werden, der den MicrosoftExchange Server hostet, den Sie für Gatekeeping festlegen. Sie müssen den Befehl Winrm quickconfigüber eine Eingabeaufforderung als Administrator ausführen. Wenn das Tool Make these changes [y/n]anzeigt, geben Sie y ein. Nach der erfolgreichen Ausführung des Befehls sehen Sie die folgende Meldung.

WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.

WinRM service started.

Created a WinRM listener on HTTP://* to accept WS-Man requests to any IP on this

machine.

1. Öffnen Sie Microsoft Exchange Management Shell.2. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle der Mail-Empfänger>" -

Parent "Mail Recipients" ein. Drücken Sie die Eingabetaste.3. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für den Unternehmens-

Clientzugriff>" -Parent "Organization Client Access" ein. Drücken Sie die Eingabetaste.4. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für Exchange-Server>" -

Parent "Exchange Servers" ein. Drücken Sie die Eingabetaste.




5. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\*" |Where {$_.Name -ne "Get-ADServerSettings"} | Remove-ManagementRoleEntry ein. DrückenSie die Eingabetaste.

6. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\*" | Where {$_.Name -ne "Get-CasMailbox"} | Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste.

7. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für Exchange-Server>\*" |Where {$_.Name -ne "Get-ExchangeServer"} | Remove-ManagementRoleEntry ein. Drücken Siedie Eingabetaste.

8. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox ein. Drücken Sie die Eingabetaste.

9. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDevice" -Parameters Identity ein. Drücken Sie die Eingabetaste.

10.Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben SieAdd-ManagementRoleEntry “<Name der neuen Rolle der Mail-Empfänger>\Get-MobileDeviceStatistics” –Parameters Mailbox ein. Drücken Sie die Eingabetaste.

11.Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie Add-ManagementRoleEntry “<Name der neuen Rolle der Mail-Empfänger>\Get-MobileDevice”–Parameters Mailbox ein. Drücken Sie die Eingabetaste.

12.Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\Set-CasMailbox" -Parameters Identity, ActiveSyncBlockedDeviceIDs,ActiveSyncAllowedDeviceIDs ein. Drücken Sie die Eingabetaste.

13.Geben SieNew-RoleGroup "<name_new_group>" -Roles "<name_new_role_mail_recipients>","<name_new_role_org_ca>", "<name_new_role_exchange_servers>"ein. Drücken Sie dieEingabetaste.

14.Geben Sie Add-RoleGroupMember -Identity "<Name der neuen Gruppe>" -Member"BUEMAdmin“ ein. Drücken Sie die Eingabetaste.

15.Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für E-Mail-Empfänger>\Set-AdServerSettings" ein. Drücken Sie die Eingabetaste.

16.Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für E-Mail-Empfänger>\Remove-ActiveSyncDevice" -Parameters Identity,Confirm ein. Drücken Sie dieEingabetaste.

17.Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Typ Add-ManagementRoleEntry "<Name der neuen Rolle für E-Mail-Empfänger\Remove-MobileDevice" -Parameters Identity,Confirm ein. Drücken Sie die Eingabetaste.

Wenn Sie fertig sind: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen.

Zugriff auf Exchange ActiveSync nur über autorisierte GerätezulassenWenn Ihr Unternehmen Microsoft Exchange Server 2010 oder höher verwendet, lesen Sie die Informationenunter Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf ExchangeActiveSync .

Wenn Ihr Unternehmen Microsoft Office 365 verwendet, lesen Sie die Informationen unter Konfigurieren derZugriffsrichtlinie für mobile Geräte in Microsoft Office 365.


Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte aufExchange ActiveSyncSie müssen Microsoft Exchange Server 2010 oder höher so konfigurieren, dass nur autorisierte Geräte Zugriffauf Exchange ActiveSync erhalten. Geräte bestehender Benutzer, die nicht explizit der Liste zulässiger Gerätein Microsoft Exchange hinzugefügt wurden, müssen unter Quarantäne gestellt werden, bis BlackBerry UEM siezulässt.

Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit denentsprechenden Berechtigungen zum Konfigurieren des Parameters „Set-ActiveSyncOrganizationSettings“zu sein. Informationen über die ausschließliche Zulassung autorisierter Geräte für den Zugriff auf ExchangeActiveSync finden Sie auf https://technet.microsoft.com in dem Artikel Aktivieren eines Geräts für ExchangeActiveSync .

Bevor Sie beginnen:

• Konfigurieren von Berechtigungen für Gatekeeping.• Überprüfen Sie zusammen mit dem Microsoft Exchange-Administrator, ob es Benutzer gibt, die Exchange

ActiveSync verwenden.

Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt istund Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dassden Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie dieStandardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt undihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden.

Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne findenSie unter http://support.blackberry.com/kb im Artikel KB33531.

1. Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die MicrosoftExchange Management Shell.

2. Geben Sie Set-ActiveSyncOrganizationSettings –DefaultAccessLevel Quarantine ein.Drücken Sie die Eingabetaste.

Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping.

Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365Zum Verwenden von BlackBerry Gatekeeping Service mit Microsoft Office 365 müssen Sie dieStandardzugriffsrichtlinie für mobile Geräte in Microsoft Office 365 auf Quarantäne (Isolieren) festlegen.

Bevor Sie beginnen: Konfigurieren von Berechtigungen für Gatekeeping.

Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf „Zulassen“ festgelegt istund Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dassden Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie dieStandardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt undihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden.

Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne findenSie unter http://support.blackberry.com/kb im Artikel KB33531.

1. Melden Sie sich beim Microsoft Office 365-Verwaltungsportal an.2. Klicken Sie im Seitenmenü auf Admin.3. Klicken Sie auf Exchange.4. Klicken Sie auf im Bereich Mobil auf Zugriff auf mobile Geräte.5. Klicken Sie auf Bearbeiten.6. Klicken Sie auf Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll.


https://technet.microsoft.com



Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping.

Konfigurieren von Microsoft IIS-Berechtigungen für GatekeepingUnter BlackBerry UEM werden Windows PowerShell-Befehle für die Verwaltung der Liste zulässiger Geräteverwendet. Um den BlackBerry Gatekeeping Service zu nutzen, müssen Sie Microsoft IIS-Berechtigungenkonfigurieren. Führen Sie die folgenden Aktionen auf dem Computer aus, der die Microsoft-Client-Zugriffs-Serverrolle hostet.

Bevor Sie beginnen: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen.

1. Öffnen Sie den Microsoft Internet Information Services (IIS) Manager.2. Erweitern Sie im linken Fensterbereich den Server.3. Erweitern Sie Websites > Standard-Website.4. Klicken Sie mit der rechten Maustaste auf den PowerShell-Ordner. Wählen Sie Berechtigungen bearbeiten.5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie auf Bearbeiten.6. Klicken Sie auf Hinzufügen, und geben Sie die <neue_Gruppe> ein, die bei der Konfiguration der Microsoft

Exchange-Berechtigungen für Gatekeeping erstellt wurde.7. Klicken Sie auf OK.8. Vergewissern Sie sich, dass Lesen & Ausführen, Auflisten von Verzeichnisinhalten und Gelesen ausgewählt

sind. Klicken Sie auf OK.9. Wählen Sie den PowerShell-Ordner aus. Doppelklicken Sie auf das Symbol Authentifizierung.10.Wählen Sie Windows-Authentifizierung. Klicken Sie auf Aktivieren.11.Schließen Sie den Microsoft Internet Information Services (IIS) Manager.

Wenn Sie fertig sind: Erstellen einer Gatekeeping-Konfiguration.

Erstellen einer Gatekeeping-KonfigurationSie können eine Gatekeeping-Konfiguration so erstellen, dass die den Sicherheitsrichtlinien Ihres Unternehmensentsprechenden Geräte eine Verbindung zu Microsoft Exchange Server oder Microsoft Office 365 herstellenkönnen.

Bevor Sie beginnen:

• Konfigurieren von Berechtigungen für Gatekeeping.• Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung.• Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Microsoft Exchange-Gatekeeping.2. Klicken Sie im Abschnitt mit der Microsoft Exchange Server-Liste auf .3. Geben Sie im Feld Servername den Namen der Microsoft Exchange Server- oder Microsoft Office 365-

Umgebung ein, für die der Zugriff verwaltet werden soll.4. Geben Sie den Benutzernamen und das Kennwort für das Konto ein, das Sie für die Verwaltung von Exchange

ActiveSync-Gatekeeping erstellt haben.5. Wählen Sie in der Dropdown-Liste Authentifizierungstyp die unter Microsoft Exchange Server oder Microsoft

Office 365 verwendete Authentifizierung aus.


6. Um die SSL-Authentifizierung zwischen BlackBerry UEM und dem Microsoft Exchange Server oder MicrosoftOffice 365 zu ermöglichen, aktivieren Sie das Kontrollkästchen SSL verwenden. Optional können weitereZertifikatprüfungen ausgewählt werden.

7. Wählen Sie in der Dropdown-Liste Proxy-Typ ggf. die Art der Proxy-Konfiguration aus, die zwischen BlackBerryUEM und dem Microsoft Exchange Server oder Microsoft Office 365 verwendet wird.

8. Wenn Sie im vorhergehenden Schritt eine Proxy-Konfiguration ausgewählt haben, wählen Sie denAuthentifizierungstyp für den Proxy-Server aus.

9. Wählen Sie bei Bedarf Authentifizierung erforderlich, und geben Sie den Benutzernamen und das Kennwortein.

10.Klicken Sie auf Verbindung testen, um zu prüfen, ob die Verbindung erfolgreich ist.11.Klicken Sie auf Speichern.12.Klicken Sie im Abschnitt E-Mail-Client-Liste für Android for Work auf .Hinweis: BlackBerry Hub +-Dienste werden standardmäßig zur Liste hinzugefügt.13.Wählen Sie eine E-Mail-App aus, und klicken Sie auf Weiter.14.Wählen Sie in der Dropdown-Liste Geräte-ID das Feld der App-Konfiguration aus, das der Geräte-ID zugeordnet

ist.15.Wählen Sie in der Dropdown-Liste E-Mail-Adresse das Feld der App-Konfiguration aus, das der E-Mail-Adresse

des Benutzers zugeordnet ist.


• Erstellen Sie ein Gatekeeping-Profil, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppenzu. Siehe „Erstellen eines Gatekeeping-Profils“ in der Dokumentation für Administratoren.

• Wenn Sie eine Servergruppe mit einer oder mehreren aktiven Instanzen des BlackBerry Gatekeeping Servicekonfiguriert haben, ordnen Sie das Gatekeeping-Profil der entsprechenden Servergruppe zu. Jeder Benutzer,dem dieses Gatekeeping-Profil zugewiesen ist, kann jede aktive Instanz des BlackBerry Gatekeeping Service indieser Servergruppe verwenden.


http://help.blackberry.com/detectLang/blackberry-uem/12.7/administration/gatekeeping-profile.html

Verbinden von BlackBerry UEM mit Microsoft AzureMicrosoft Azure ist der Microsoft-Cloud-Computing-Service für die Bereitstellung und Verwaltung vonAnwendungen und Services. Sie müssen BlackBerry UEM mit Azure verbinden, wenn Sie BlackBerry UEM zurBereitstellung von iOS- und Android-Apps verwenden möchten, die mit Microsoft Intune verwaltet werden, oderwenn Sie Windows 10-Apps in BlackBerry UEM verwalten möchten.

BlackBerry UEM unterstützt die Konfiguration nur eines Azure-Mieters. Um BlackBerry UEM mit Azure zuverbinden, führen Sie folgende Aktionen aus:

Step Action

Erstellen eines Microsoft Azure-Kontos.

Synchronisieren von Microsoft Active Directory mit Microsoft Azure.

Create an enterprise endpoint in Azure.

Konfigurieren Sie BlackBerry UEM für die Synchronisierung mit Microsoft Intune undWindows Store für Unternehmen.

Erstellen eines Microsoft Azure-KontosTo deploy apps protected by Microsoft Intune to iOS and Android devices or manage Windows 10 apps inBlackBerry UEM, you must have a Microsoft Azure account and authenticate BlackBerry UEM with Azure.

Complete this task if your organization doesn't have a Microsoft Azure account.

1. Go to https://azure.microsoft.com and click Free account, then follow the prompts to create the account.Zum Erstellen des Kontos müssen Sie Kreditkarteninformationen angeben.

2. Registrieren Sie sich beim Azure-Verwaltungsportal unter https://portal.azure.com, und melden Sie sich mitdem bei der Registrierung erstellten Benutzernamen und Kennwort an.

Wenn Sie fertig sind: Synchronisieren von Microsoft Active Directory mit Microsoft Azure.

Synchronisieren von Microsoft Active Directory mit Microsoft AzureUm Windows 10-Benutzern die Installation von Online-Apps oder das Senden von Apps zu erlauben, die durchMicrosoft Intune- iOS- und Android-Geräte geschützt sind, müssen die Benutzer in Microsoft AzureActive Directoryvorhanden sein. Sie Benutzer und Gruppen zwischen Ihrem lokalen Active Directory und AzureActive Directorymithilfe von Microsoft Azure Active Directory Connect synchronisieren. Weitere Informationen finden Sie unterhttps://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect.

Bevor Sie beginnen: Erstellen eines Microsoft Azure-Kontos

1. Laden Sie Azure AD Connect von http://www.microsoft.com/en-us/download/details.aspx?id=47594 herunter.2. Installieren Sie die Azure AD Connect-Software.

| Verbinden von BlackBerry UEM mit Microsoft Azure | 41

https://azure.microsoft.com

https://portal.azure.com

https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect

http://www.microsoft.com/en-us/download/details.aspx?id=47594

3. Konfigurieren Sie Azure AD Connect für die Verbindung mit Ihrem firmeninternen Active Directory mit demAzureActive Directory.

Wenn Sie fertig sind: Create an enterprise endpoint in Azure

Create an enterprise endpoint in AzureTo provide BlackBerry UEM access to Microsoft Azure, you must create an enterprise endpoint within Azure.The enterprise endpoint allows BlackBerry UEM to authenticate with Microsoft Azure. For more information, seehttps://docs.microsoft.com/en-us/azure/active-directory/active-directory-app-registration.

If you are connecting BlackBerry UEM to both Microsoft Intune and the Windows Store for Business, use adifferent enterprise application for each purpose due to differences in permissions and potential future changes.

Bevor Sie beginnen: Synchronisieren von Microsoft Active Directory mit Microsoft Azure

1. Melden Sie sich bei der Azure portal.2. Gehu zu Microsoft Azure > Azure Active Directory > App registrations.3. klicken Endpoints.4. Kopiere die OAUTH 2.0 TOKEN ENDPOINT Wert und füge ihn in eine Textdatei ein.

Dies ist das OAUTH 2.0 token endpoint erforderlich in BlackBerry UEM.5. Schließe Endpoints Liste und auswählenNew application registration.6. Geben Sie die folgenden Informationen für Ihre App ein:

Feld Rahmen

Name <A name for your application>

Anwendungstyp Web-App / API

Sign-on URL Gultig URL

Hinweis: Wenn Sie keine registrierte Domain haben, können Sie:http://localhost/

7. Klicken Create.8. Klicke auf die App, die du gerade erstellt hast.9. Kopiere die Application ID Ihrer Anwendung und fügen Sie sie in eine Textdatei ein.

Dies ist das Client ID Erforderlich in BlackBerry UEM.10.Wenn Sie die Anwendung zur Verwendung von Microsoft Intune erstellen, klicken Sie auf Erforderliche

Berechtigungen im Menü Einstellungen. Führen Sie folgende Schritte aus:a) Klicken Add.b) Klicken Select an API.c) Wahlen Microsoft Graph.d) Klicken Select.e) Blättern Sie in der Berechtigungsliste nach unten und unterDelegated Permissions, Legen Sie die folgenden

Berechtigungen fest Microsoft Intune:

• Lesen und Schreiben von Microsoft Intune Apps (Vorschau)• Lesen Sie das Benutzerprofil aller Benutzer• Lesen Sie alle Gruppen


https://docs.microsoft.com/en-us/azure/active-directory/active-directory-app-registration

https://portal.azure.com

f) Klicken Select.g) Klicken Done.h) Klicken Sie im Fenster Erforderliche Berechtigungen auf Berechtigungen.

Hinweis: You must be a global administrator to grant permissions.i) Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja, um die Berechtigungen für alle Konten im aktuellen

Verzeichnis zu gewähren.Sie können die Standardberechtigungen verwenden, wenn Sie die App erstellen, um eine Verbindung zumWindows Store for Business herzustellen.

11.Wahlen Keys in dem Settings menü. Führen Sie die folgenden Schritte aus:a) Geben Sie einen Namen für Ihren Schlüssel ein.b) Wählen Sie eine Dauer für Ihren Schlüssel aus.c) Klicken Save.d) Kopiere den Wert deines Schlüssels.

Dies ist der Client-Schlüssel, der in BlackBerry UEM erforderlich ist.

Warnung: Wenn Sie den Wert Ihres Schlüssels zu diesem Zeitpunkt nicht kopieren, müssen Sieeinen neuen Schlüssel erstellen, da der Wert nicht angezeigt wird, nachdem Sie diesen Bildschirmverlassen.

Wenn Sie fertig sind: Konfigurieren von BlackBerry UEM für die Synchronisierung mit Microsoft Intune orKonfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen.

Konfigurieren von BlackBerry UEM für die Synchronisierung mitMicrosoft IntuneMicrosoft Intune ist ein cloudbasierter EMM-Service, der sowohl MDM- als auch MAM-Funktionen bietet. IntuneMAM bietet Sicherheitsfunktionen für Apps, einschließlich Office 365-Apps zum Schutz der Daten innerhalb derApps. Über Intune kann z. B. festgelegt werden, dass Daten innerhalb von Apps verschlüsselt werden müssen, unddass das Kopieren und Einfügen, Drucken und Verwenden des Befehls „Speichern unter“ nicht zulässig ist.

Nachdem Sie BlackBerry UEM mit Microsoft Intune verbunden haben, können Sie die UEM-Verwaltungskonsolezum Erstellen von Sicherheitsprofilen für Microsoft Intune-Apps wie in der Dokumentation für Administratorenbeschrieben verwenden.

Before you configure BlackBerry UEM to synchronize with Microsoft Intune, you must connect BlackBerry UEM toMicrosoft Azure.

Konfigurieren von BlackBerry UEM für die Synchronisierung mit Microsoft IntuneBevor Sie beginnen: Create an enterprise endpoint in Azure

1. Melden Sie sich bei der BlackBerry UEM-Verwaltungskonsole an.2. Gehen Sie zu Einstellungen > Externe Integration > Microsoft Intune.3. Geben Sie die Informationen ein, die Sie beim Erstellen der Unternehmensanwendung in Azure aus dem Azure

Portal kopiert haben.

• Client-ID: Die Anwendungs-ID, die durch die Azure-Anwendungsregistrierung erzeugt wurde• Clientschlüssel: Der Client-Geheimcode, der durch die Azure-Anwendungsregistrierung erzeugt wurde• OAUTH 2.0-Token-Endpunkt: Die mandantenspezifische OAUTH-Endpunkt-URL zur Anforderung von

Authentifizierungs-Token


http://help.blackberry.com/detectLang/blackberry-uem/12.7/administration/intune-app-protection-profile.html

• Username: The administrator account that BlackBerry UEM uses to access Intune. Visit https://support.blackberry.com/kb to read article 50341 for information on the permissions required for the Intuneadministrator account.

• Password: The password for the Intune administrator account4. Klicken Sie auf Weiter.

Wenn Sie fertig sind: Ein Sicherheitsprofil für die Microsoft Intune-App erstellen

Konfigurieren von BlackBerry UEM für die Synchronisierung mit demWindows Store für UnternehmenWenn Sie Windows 10-Apps verwalten wollen, müssen Sie BlackBerry UEM konfigurieren, um mit dem WindowsStore für Unternehmen eine Synchronisierung durchzuführen, bevor Sie Windows 10-Apps zur App-Listehinzufügen können.

Wenn Sie später die Verbindung zu Windows Store für Unternehmen entfernen möchten, werden alle Windows 10-Apps, die mit BlackBerry UEM synchronisiert wurden, entfernt, und die Apps werden von Benutzern und Gruppenzurückgenommen.

Wenn Sie BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen konfigurieren, führenSie die folgenden Schritte aus:

Schritt Aktion

Erstellen eines Microsoft Azure-Kontos.

Synchronisieren von Microsoft Active Directory mit Microsoft Azure.

Create an enterprise endpoint in Azure.

Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store fürUnternehmen.

Erstellen eines Administrators für den Windows Store für Unternehmen.

Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für UnternehmenBevor Sie beginnen: Erstellen eines Microsoft Azure-Kontos.

1. Melden Sie sich bei der BlackBerry UEM-Verwaltungskonsole an.2. Gehen Sie zu Einstellungen > App-Verwaltung > Windows 10-Apps.3. Geben Sie die Informationen ein, die Sie aus dem Azure-Portal bei der Erstellung der Unternehmensanwendung

in Azure kopiert haben.

• Client-ID: Die Anwendungs-ID, die durch die Azure-Anwendungsregistrierung erzeugt wurde• Client-Schlüssel: Der Client-Geheimcode, der durch die Azure-Anwendungsregistrierung erzeugt wurde


https://support.blackberry.com/kb/articleDetail?articleNumber=000050341

https://support.blackberry.com/kb/articleDetail?articleNumber=000050341

http://help.blackberry.com/detectLang/blackberry-uem/12.7/administration/create-app-protection-profile.html

• OAUTH 2.0-Token-Endpunkt: Die mandantenspezifische OAUTH-Endpunkt-URL zur Anforderung vonAuthentifizierungs-Token

• Benutzername: Der Administrator-Benutzername für BlackBerry UEM für den Zugriff auf Intune• Kennwort: Das Kennwort für den Benutzernamen

4. Klicken Sie auf Weiter.

Wenn Sie fertig sind: Erstellen eines Administrators für den Windows Store für Unternehmen.

Erstellen eines Administrators für den Windows Store für UnternehmenUm Windows 10-Apps auf Geräten zu verwalten, müssen Sie einen App-Katalog im Windows Store fürUnternehmen erstellen und die Apps mit BlackBerry UEM synchronisieren. Zum Erstellen des Katalogs imWindows Store für Unternehmen müssen Sie mindestens ein Administratorkonto für die Anmeldung im Storeeinrichten.

Bevor Sie beginnen:

• Erstellen eines Microsoft Azure-Kontos.• Create an enterprise endpoint in Azure.• Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen.

1. Gehen Sie im Microsoft Azure Portal zu Microsoft Azure > Azure Active Directory > Benutzer und Gruppen >Alle Benutzer.

2. Klicken Sie auf Benutzer hinzufügen.3. Geben Sie die erforderlichen Benutzerdaten auf dem Bildschirm ein.4. Klicken Sie auf den Pfeil neben Verzeichnisrolle, wählen Sie Globaler Administrator, und klicken Sie dann auf

OK.5. Erstellen Sie ein Kennwort, oder wählen Sie Kennwort anzeigen und kopieren Sie das generierte Kennwort.6. Klicken Sie auf Erstellen.7. Klicken Sie auf Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen, und wählen Sie die

von Ihnen erstellte Unternehmensanwendung aus.8. Fügen Sie das globale Administratorkonto hinzu, das Sie als Benutzer der Anwendung erstellt haben.

Aktivieren der App in Windows Store für Unternehmen

Bevor Sie beginnen:

• Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen.• Erstellen eines Administrators für den Windows Store für Unternehmen

1. Melden Sie sich mit dem von Ihnen erstellten globalen Administratorkonto beim Windows Store fürUnternehmen an.

2. Klicken Sie auf Einstellungen > Verwaltungstool.3. Wählen Sie die App aus, die Sie als MDM-Tool erstellt haben, das mit Windows Store für Unternehmen

synchronisiert werden soll.4. Klicken Sie auf Aktivieren.


https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=be326d53-37a5-4abd-913c-1cd66aa8852f&response_mode=form_post&redirect_uri=https:%2f%2fbusinessstore.microsoft.com%2fauth%2fL2VuLXVzL3N0b3JlL2FwcHM%3d

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=be326d53-37a5-4abd-913c-1cd66aa8852f&response_mode=form_post&redirect_uri=https:%2f%2fbusinessstore.microsoft.com%2fauth%2fL2VuLXVzL3N0b3JlL2FwcHM%3d

Konfigurieren von BlackBerry UEM für die Unterstützungvon Android-Geräten, die ein Arbeitsprofil besitzenAndroid-Geräte, die ein Arbeitsprofil besitzen, bieten zusätzliche Sicherheit für Unternehmen, die ihre Android-Geräte verwalten möchten. Weitere Informationen zu Android-Geräten, die ein Arbeitsprofil besitzen, finden Sieunter https://support.google.com/work/android/.

Hinweis: Sie können die Anwendungsrichtlinien zum Konfigurieren der Gmail-App verwenden. Sie müssen jedochdie Aktivierungsart „Geschäftlich und persönlich“ oder „Nur geschäftlich“ verwenden, um das Gerät zu aktivieren,und keine MDM-Aktivierung.

Es gibt zwei Möglichkeiten zur Konfiguration von BlackBerry UEM zur Unterstützung von Android-Geräten, die einArbeitsprofil besitzen.

1. Stellen Sie eine Verbindung zwischen BlackBerry UEM und einer Google Cloud- oder G Suite-Domäne her.

Hinweis: Sie können nur eine BlackBerry UEM-Domäne mit einer Google-Domäne verbinden.2. Gewähren Sie BlackBerry UEM die Berechtigung zum Verwalten von Android-Geräten, die über

Arbeitsprofilkonten verfügen (jetzt bekannt als verwaltete Google Play-Konten). Sie benötigen keine Google-Domäne, um diese Option zu verwenden. Weitere Informationen finden Sie unter https://support.google.com/googleplay/work/.

In der folgenden Tabelle werden die verschiedenen Optionen für die Konfiguration von Android-Geräten, die einArbeitsprofil besitzen, zusammengefasst:

Methode zumKonfigurieren vonBlackBerry UEM zurUnterstützung vonAndroid Geräten, die einArbeitsprofil besitzen.

Wann diese Methodeverwendet werden sollte

Typ des Benutzerkontos Unterstützte Google-Dienste

BlackBerry UEM mitIhrer G Suite-Domäneverbinden

Sie haben eine G Suite-Domäne im Unternehmen

G Suite-Konten (fürUnternehmen)

Unterstützt alle G Suite-Dienste, z B. Gmail,Google Calendar undDrive.

Unterstützt die App-Verwaltung über GooglePlay.

BlackBerry UEM mit IhrerGoogle Cloud-Domäneverbinden

Sie haben eine GoogleCloud-Domäne imUnternehmen

Google Cloud-Konten,die auch als ManagedGoogle-Konten(für Unternehmen)bezeichnet werden

Ähnlich wie G Suite,aber ohne Zugriffauf kostenpflichtigeProdukte, z. B. Gmail,Google Calendar undDrive.


| Konfigurieren von BlackBerry UEM für die Unterstützung von Android-Geräten, die ein Arbeitsprofil besitzen | 46

https://support.google.com/work/android/

https://support.google.com/googleplay/work/answer/7042221?hl=en&ref_topic=7042018

https://support.google.com/googleplay/work/answer/7042221?hl=en&ref_topic=7042018

Methode zumKonfigurieren vonBlackBerry UEM zurUnterstützung vonAndroid Geräten, die einArbeitsprofil besitzen.

Wann diese Methodeverwendet werden sollte

Typ des Benutzerkontos Unterstützte Google-Dienste

Gewähren Sie BlackBerryUEM die Berechtigungzum Verwalten vonAndroid-Geräten, dieüber Arbeitsprofilkontenverfügen (jetzt bekanntals verwaltete GooglePlay-Konten)

• Sie haben keineGoogle-Domäne imUnternehmen

• Sie haben eineGoogle-Domäne,die bereits mit einerBlackBerry UEM-Domäne verbundenist, und möchtenAndroid-Geräte mitArbeitsprofil in einerzweiten BlackBerryUEM-Domäne nutzen

Android-Geräte mitArbeitsprofilkonten


Google-Dienste werdennicht unterstützt.

Konfigurieren Sie BlackBerry UEM, um Android-Geräte zuunterstützen, die über ein Arbeitsprofil verfügenBevor Sie beginnen:

• BlackBerry UEM unterstützt Android-Geräte mit Arbeitsprofil, auf denen Android 5.1 und höher ausgeführtwerden.

• If you configure BlackBerry UEM to support Android devices that have a work profile using the managedGoogle Play accounts option, activating devices with a "work space only" activation type is supported only ondevices running Android 6.0 and later.

• You can connect only one BlackBerry UEM domain to your Google domain. Before you connect anotherBlackBerry UEM domain, you must remove the existing connection. See Entfernen Sie die Android-Arbeitsprofil-Verbindung zu Ihrer Google-Domain.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Google-Domänenverbindung.2. Führen Sie eine der folgenden Aufgaben aus:

Aufgabe Schritte

Use a Google domain a. Wählen Sie Verbinden Sie BlackBerry UEM mit Ihrer vorhandenenGoogle-Domäne.

b. Klicken Sie auf Weiter.c. Füllen Sie die Felder zum Erstellen eines Dienstkontos aus, und

klicken Sie auf Weiter. Weitere Schritt-für-Schritt-Anleitungen findenSie unter http://support.blackberry.com/kb in Artikel 000037748.


http://support.blackberry.com/kb/articleDetail?articleNumber=000037748&language=English#bes12onprem

Aufgabe Schritte

Verwenden von Android-Gerätenmit Arbeitsprofilkonten

a. Wählen Sie Ermöglichen Sie die Verwaltung von Google Play-Konten durch BlackBerry UEM.

b. Klicken Sie auf Weiter.c. Melden Sie sich im Fenster Bring Android to Work mit einem

Google-Konto an. Sie können hierfür ein beliebiges Google- oderGmail-Konto verwenden. Das von Ihnen verwendete Konto wird zumAdministratorkonto für den Dienst Bring Android to Work.

d. Klicken Sie auf Erste Schritte.e. Geben Sie den Namen Ihres Unternehmens ein. Klicken Sie auf

Bestätigen.f. Klicken Sie auf Registrierung abschließen. Die BlackBerry UEM-

Verwaltungskonsole wird wieder angezeigt.

3. When you are prompted, click Accept to accept the permissions set for some or all of the following apps:

• Google Chrome• BlackBerry Connectivity• BlackBerry Hub +-Dienste• BlackBerry Hub• BlackBerry-Kalender• Kontakte von BlackBerry• Notizen von BlackBerry• Aufgaben von BlackBerry

4. Klicken Sie auf Fertig.

Wenn Sie fertig sind: Führen Sie die Schritte aus, um Android-Geräte zu aktivieren, die über ein Arbeitsprofilverfügen. Für weitere Informationen zur Geräteaktivierung,see "Device activation" in the Administration content.

Entfernen Sie die Android-Arbeitsprofil-Verbindung zu Ihrer Google-DomainSie können nur eine BlackBerry UEM-Domäne mit der Google Cloud- bzw. G Suite-Domäne verbinden. Bevor Sieeine Verbindung mit einer anderen BlackBerry UEM-Domäne herstellen, müssen Sie die bestehende Verbindungentfernen.

Entfernen Sie die Android-Arbeitsprofilverbindung, bevor Sie eine der folgenden Aufgaben ausführen:

• Deinstallieren Sie eine BlackBerry UEM-Instanz• Wechseln Sie zu einem virtuellen Computer-Snapshot, den Sie erstellt haben, bevor Sie die Android-

Arbeitsprofilverbindung hergestellt haben• Verbinde eine andere BlackBerry UEM-Instanz mit deiner Google Cloud- oder G Suite-Domain

Wenn Sie die Android-Arbeitsprofilverbindung nicht entfernen, können Sie Ihre Google Cloud- oder G Suite-Domäne möglicherweise nicht mit einer neuen BlackBerry UEM-Instanz verbinden. Wenn Sie die Android-Arbeitsprofil-Verbindung in BlackBerry UEM entfernen, deaktivieren Sie auch alle Geräte, die mit einem Android-Arbeitsprofil aktiviert sind.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration.2. Klicken Google Domain-Verbindung.


http://help.blackberry.com/detectLang/blackberry-uem/current/administration/activating_devices.html

3. Klicken Verbindung entfernen.4. Klicken Sie auf Entfernen.

Entfernen Sie die Google-Domänenverbindung mit Ihrem Google-KontoWenn Sie BlackBerry UEM konfiguriert haben, um Android-Geräte zu unterstützen, die über ein Arbeitsprofilverfügen, können Sie die Verbindung in Google entfernen.

1. Mit dem Google-Konto, mit dem Sie Android-Geräte eingerichtet haben, die über ein Arbeitsprofil verfügen,melden Sie sich an https://play.google.com/work.

2. Klicken Sie auf Admin-Einstellungen.3. Klicken Sie im Abschnitt Unternehmensinformationen auf .4. Klicken Sie auf Unternehmen löschen.5. Klicken Sie auf Löschen.6. Klicken Sie in der Menüleiste der BlackBerry UEM-Konsole auf Einstellungen > Externe Integration.7. Klicken Sie Google domain connection.8. Klicken Sie auf Verbindung testen.9. Klicken Sie Remove connection.10.Klicken Sie auf Entfernen.

Bearbeiten oder testen Sie die Google-Domain-VerbindungSie können die Google-Domänenverbindung in BlackBerry UEM bearbeiten, um die Art der Google-Domänezu ändern, die Sie zum Verwalten von Android-Geräten mit einem Arbeitsprofil oder zum Testen der Google-Domänenverbindung verwenden. Wenn Sie die Verbindung bearbeiten oder testen, werden bereits aktivierteGeräte nicht betroffen.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration.2. Klicken Google domain connection.3. Klicken .4. Führen Sie eine der folgenden Aufgaben aus:

• Klicken Testen Sie die Verbindung, um den aktuellen Status der Verbindung zu sehen.• Wählen Sie die Art der Domäne aus, um Android-Geräte zu verwalten, die über ein Arbeitsprofil verfügen,

und klicken Sie auf Speichern.


https://play.google.com/work

Hinzufügen einer E-FOTA-LizenzSie können Enterprise Firmware Over the Air (E-FOTA) verwenden, um zu steuern, wann Firmware-Aktualisierungen von Samsung auf Samsung KNOX Geräten installiert werden. Durch die Kontrolle der Firmware-Versionen wird sichergestellt, dass die Geräte von Benutzern Firmware-Versionen verwenden, die ihre Appsunterstützen und die Richtlinien Ihres Unternehmens einhalten.

Before you can create a device SR requirements profile to control firmware versions, you must add an E-FOTAlicense in UEM.

1. Klicken Sie in der Menüleiste auf Lizenzierung > Lizenzierungsübersicht.2. Klicken Sie im Abschnitt E-FOTA auf Lizenz hinzufügen.3. In the Add an E-FOTA license dialog box, enter the name, client ID, client secret, customer ID, and license key.4. Klicken Sie auf Speichern.

Wenn Sie fertig sind: Erstellen Sie ein Profil für Gerätedienstanforderungen für Android-Geräte.

| Hinzufügen einer E-FOTA-Lizenz | 50

http://help.blackberry.com/en/blackberry-uem/12.8/administration/hpi1518458007332.html

Verwalten von Nachweisen für Samsung KNOX-GeräteWenn Sie Nachweise aktivieren, sendet BlackBerry UEM Anforderungen zum Testen der Authentizität und derIntegrität von Samsung KNOX-Geräten, die mit den folgenden Aktivierungsarten aktiviert wurden:

• Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)• Nur geschäftlicher Bereich (Samsung KNOX)• Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX)

1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Nachweis.2. Um Nachweise für Samsung KNOX-Geräte zu aktivieren, wählen Sie Regelmäßige Nachweisabfragen für

KNOX Workspace-Geräte aktivieren aus.3. Geben Sie im Abschnitt Abfragehäufigkeit in Tagen oder Stunden an, wie oft das Gerät eine Nachweisantwort

an BlackBerry UEM senden muss.4. Geben Sie im Abschnitt Übergangsfrist eine Übergangsfrist in Stunden oder Tagen an. Nach Ablauf der

Übergangsfrist ohne erfolgreiche Nachweisantwort wird ein Gerät als nicht konform betrachtet. Es unterliegtdann den Bedingungen des Konformitätsprofils, das diesem Benutzer zugewiesen wurde. Wenn sich dasGerät eines Benutzers außerhalb der Mobilfunkabdeckung befindet, ausgeschaltet ist oder der Akku leer ist,kann es nicht auf die Nachweisabfragen antworten, die von BlackBerry UEM gesendet werden, und BlackBerryUEM stuft das Gerät als nicht konform ein. Wenn Sie die Konformitätsrichtlinie Ihres Unternehmens sofestgelegt haben, dass das Gerät bereinigt wird, wenn es nicht richtlinienkonform ist und nicht reagiert, bevordie Übergangsfrist abgelaufen ist, werden die Daten auf dem Gerät gelöscht.


Wenn Sie fertig sind: Erstellen Sie ein Compliance-Profil, in dem die Schritte aufgeführt sind, die durchgeführtwerden, wenn ein Gerät als „gehackt“ betrachtet wird. Anweisungen finden Sie unter„Durchsetzen vonKompatibilitätsregeln für Geräte“ in der BlackBerry UEM-Dokumentation für Administratoren.

| Verwalten von Nachweisen für Samsung KNOX-Geräte | 51

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/enforcing-compliance-rules.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/enforcing-compliance-rules.html

Verwalten von Nachweisen für Windows 10-GeräteWenn Sie die Bestätigung aktivieren, sendet BlackBerry UEM Herausforderungen zum Testen der Authentizitätund Integrität der Windows 10-Geräte. Das Gerät kommuniziert mit dem Microsoft Health Attestation-Dienst,um die Konformität basierend auf Einstellungen zu prüfen, die Sie im Konformitätsprofil Ihres Unternehmensfestlegen.

1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Nachweis.2. Um Nachweise für Windows 10-Geräte zu aktivieren, wählen Sie Regelmäßige Nachweisabfragen für

Windows 10-Geräte aktivieren aus.3. Geben Sie im Abschnitt Abfragehäufigkeit in Tagen oder Stunden an, wie oft das Gerät eine Nachweisantwort

an BlackBerry UEM senden muss.4. Geben Sie im Abschnitt Übergangsfrist eine Übergangsfrist in Stunden oder Tagen an. Nach Ablauf der

Übergangsfrist wird ein Gerät als „gehackt“ betrachtet. Es unterliegt dann den Bedingungen des Compliance-Profils, das diesem Benutzer zugewiesen wurde.


Sie können alle Konformitätsverstöße auf der Seite „Gerätedetails“ anzeigen.


Erstellen Sie ein Compliance-Profil, in dem die Schritte aufgeführt sind, die durchgeführt werden, wenn ein Gerätals „gehackt“ betrachtet wird. Anweisungen finden Sie unter „Durchsetzen von Kompatibilitätsregeln für Geräte“ inder BlackBerry UEM-Dokumentation für Administratoren.

| Verwalten von Nachweisen für Windows 10-Geräte | 52

http://help.blackberry.com/en/blackberry-uem/current/administration/enforcing-compliance-rules.html

http://help.blackberry.com/en/blackberry-uem/current/

Konfigurieren von BlackBerry UEM für DEPSie müssen BlackBerry UEM für die Verwendung des Programms zur Geräteregistrierung (DEP) von Applekonfigurieren, damit Sie BlackBerry UEM mit DEP synchronisieren können. Nach der Konfiguration von BlackBerryUEM können Sie die Aktivierung der von Ihrem Unternehmen für DEP erworbenen iOS-Geräte mit der BlackBerryUEM-Verwaltungskonsole verwalten.

Beim Konfigurieren von BlackBerry UEM für das Programm zur Geräteregistrierung von Apple führen Sie diefolgenden Schritte aus:

Schritt Aktion

Erstellen eines DEP-Kontos.

Herunterladen eines öffentlichen Schlüssels.

Generieren eines Server-Tokens.

Registrieren des Server-Tokens bei BlackBerry UEM .

Hinzufügen der ersten Registrierungskonfiguration.

Erstellen eines DEP-Kontos1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur

Geräteregistrierung.2. Klicken Sie auf .3. Geben Sie im Feld Name einen Namen für das Konto ein.4. Klicken Sie in Schritt 1 von 4: Erstellen eines Apple DEP-Kontos auf Erstellen eines Apple DEP-Kontos.5. Füllen Sie die Felder aus, und befolgen Sie die Anweisungen zum Erstellen des Kontos.

Wenn Sie fertig sind: Herunterladen eines öffentlichen Schlüssels.

Herunterladen eines öffentlichen SchlüsselsBevor Sie beginnen: Erstellen eines DEP-Kontos.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zurGeräteregistrierung.

2. Click .3. Klicken Sie in Schritt 2 von 4: Herunterladen eines öffentlichen Schlüssels auf Herunterladen des

öffentlichen Schlüssels.

| Konfigurieren von BlackBerry UEM für DEP | 53


Wenn Sie fertig sind: Generieren eines Server-Tokens.

Generieren eines Server-TokensBevor Sie beginnen: Herunterladen eines öffentlichen Schlüssels.


2. Click .3. Klicken Sie in Schritt 3 von 4: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-

Portals von Apple.4. Melden Sie sich bei Ihrem DEP-Konto an.5. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens.

Wenn Sie fertig sind: Registrieren des Server-Tokens bei BlackBerry UEM .

Registrieren des Server-Tokens bei BlackBerry UEMBlackBerry UEM verwendet bei der Kommunikation mit dem Programm zur Geräteregistrierung von Apple einServer-Token zur Authentifizierung.

Bevor Sie beginnen: Generieren eines Server-Tokens.


2. Klicken Sie auf .3. Klicken Sie in Schritt 4 von 4: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen.4. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus.5. Klicken Sie auf Öffnen.6. Klicken Sie auf Weiter.

Wenn Sie fertig sind: Hinzufügen der ersten Registrierungskonfiguration.

Hinzufügen der ersten RegistrierungskonfigurationBevor Sie beginnen: Registrieren des Server-Tokens bei BlackBerry UEM , bevor Sie Ihre ersteRegistrierungskonfiguration hinzufügen.

Nachdem Sie ein Server-Token registriert haben, wird in BlackBerry UEM automatisch das Fenster zumHinzufügen der ersten Registrierungskonfiguration angezeigt.

1. Geben Sie einen Namen für die Konfiguration ein.2. Führen Sie eine der folgenden Aufgaben aus:

• Wenn Sie möchten, dass BlackBerry UEM Geräten bei der Registrierung im Apple-Programmzur Geräteregistrierung automatisch die Registrierungskonfiguration zuweist, aktivieren Sie dasKontrollkästchen „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ aus.


• Wenn Sie die BlackBerry UEM-Konsole verwenden möchten, um die Registrierungskonfiguration manuellbestimmten Geräten zuzuweisen, deaktivieren Sie das Kontrollkästchen „Alle neuen Geräte automatischdieser Konfiguration zuweisen“.

3. Optional können Sie einen Abteilungsnamen und eine Support-Telefonnummer eingeben, die während derEinrichtung auf Geräten angezeigt werden.

4. Treffen Sie im Abschnitt Gerätekonfiguration Ihre Auswahl aus folgenden Kontrollkästchen:

• Kopplung zulassen: Wenn diese Option ausgewählt ist, können Benutzer das Gerät mit einem Computerkoppeln.

• Beaufsichtigten Modus aktivieren: Wenn diese Option ausgewählt ist, werden Geräte im beaufsichtigtenModus aktiviert. Mindestens eine der Optionen „Beaufsichtigten Modus aktivieren“ und „Entfernen desMDM-Profils zulassen“ muss ausgewählt werden.

• Erforderlich: Wenn diese Option ausgewählt ist, können Benutzer Geräte mit ihremUnternehmensbenutzernamen und -kennwort aktivieren.

• Entfernen des MDM-Profils zulassen: Wenn diese Option ausgewählt ist, können Benutzer Gerätedeaktivieren. Mindestens eine der Optionen „Beaufsichtigten Modus aktivieren“ und „Entfernen des MDM-Profils zulassen“ muss ausgewählt werden.

• Warten, bis das Gerät konfiguriert wurde: Wenn diese Option ausgewählt ist, können Benutzer dieGeräteeinrichtung nicht abbrechen, bis die Aktivierung bei BlackBerry UEM abgeschlossen ist. DieseEinstellung ist nur dann gültig, wenn Sie „Beaufsichtigten Modus aktivieren“ ausgewählt haben.

5. Im Abschnitt Bei der Einrichtung überspringen können Sie die Elemente auswählen, die nicht Teil derGeräteregistrierung sein sollen:

• Kennung: Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, eine Gerätekennung zuerstellen.

• Standortdienste: Wenn diese Option ausgewählt ist, sind Standortdienste auf dem Gerät deaktiviert.• Wiederherstellen: Wenn diese Option ausgewählt ist, können Benutzer keine Daten aus einer

Sicherungsdatei wiederherstellen.• Von Android migrieren: Wenn diese Option ausgewählt ist, können Sie keine Daten von einem Android-Gerät

wiederherstellen.• Apple-ID: Wenn diese Option ausgewählt ist, können Benutzer sich nicht bei Apple-ID und iCloud anmelden.• Geschäftsbedingungen: Wenn diese Option ausgewählt ist, werden Benutzern die iOS-

Geschäftsbedingungen nicht angezeigt.• Siri: Wenn diese Option ausgewählt ist, ist Siri auf Geräten deaktiviert.• Diagnose: Wenn diese Option ausgewählt ist, werden vom Gerät während der Einrichtung nicht automatisch

Diagnoseinformationen gesendet.• Biometrisch: Wenn diese Option ausgewählt ist, können Benutzer keine Touch-ID einrichten.• Zahlung: Wenn diese Option ausgewählt ist, können Benutzer Apple Pay nicht einrichten.• Zoom: Wenn diese Option ausgewählt ist, können Benutzer Zoom nicht einrichten.• Einrichtung der Home-Taste – Wenn diese Option ausgewählt ist, können Benutzer den Klick der Home-

Taste nicht anpassen6. Klicken Sie auf Speichern.

Wenn die Meldung „Ein Fehler ist aufgetreten. Die Server-Token-Datei konnte nicht entschlüsselt werden.“angezeigt wird, lesen Sie Artikel 37282 unter http://support.blackberry.com/kb.

7. Wenn Sie die Option „Alle neuen Geräte automatisch dieser Konfiguration zuweisen“ ausgewählt haben,klicken Sie auf Ja.

Wenn Sie fertig sind: Aktivieren Sie iOS-Geräte. Weitere Informationen zur Aktivierung von Geräten, die bei DEPregistriert sind, finden Sie in der Dokumentation für Administratoren.


http://support.blackberry.com/kb/


Aktualisieren des Server-TokensDas Server-Token ist ein Jahr lang gültig. Sie müssen das Token jährlich vor dem Ablaufdatum erneuern. DenStatus des Tokens finden Sie unter dem „Ablaufdatum“ im Programm zur Geräteregistrierung von Apple.

Bevor Sie beginnen: Wenn der öffentliche Schlüssel geändert wurde, laden Sie einen neuen öffentlichen Schlüsselherunter.


2. Klicken Sie auf den Namen des DEP-Kontos.3. Klicken Sie im Bereich Ablaufdatum auf Server-Token aktualisieren .4. Klicken Sie in Schritt 1 von 2: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-

Portals von Apple.5. Melden Sie sich bei Ihrem DEP-Konto an.6. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens.7. Klicken Sie in Schritt 2 von 2: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen.8. Wählen Sie die Server-Token-Datei mit der Erweiterung .p7m aus.9. Klicken Sie auf Öffnen.10.Klicken Sie auf Speichern.

Entfernen einer DEP-VerbindungVORSICHT: Wenn Sie alle DEP-Verbindungen entfernen, können Sie keine neuen iOS-Geräte imGeräteregistrierungsprogramm von Apple aktivieren. Wenn Sie Geräten Registrierungskonfigurationenzuweisen und die Konfigurationen nicht angewendet wurden, entfernt BlackBerry UEM dieRegistrierungskonfigurationen, die den Geräten zugewiesen sind. Das Entfernen der Verbindung wirkt sichnicht auf Geräte aus, die auf BlackBerry UEM aktiviert sind.

Wenn Ihr Unternehmen keine iOS-Geräte mehr bereitstellt, die DEP verwenden, können Sie die BlackBerry UEM-Verbindungen zu DEP entfernen.


2. Klicken Sie auf den Namen des DEP-Kontos.3. Klicken Sie auf DEP-Verbindung entfernen.4. Klicken Sie auf Entfernen.5. Klicken Sie auf OK.


Einrichten von BlackBerry UEM Self-Service für BenutzerBlackBerry UEM Self-Service ist eine webbasierte Anwendung, die Sie Benutzern für Verwaltungsaufgaben wiedas Erstellen von Aktivierungskennwörtern, das Sperren von Geräten per Fernzugriff oder das Löschen von Datenvon Geräten zur Verfügung stellen können. Eine Installation von Software auf den Geräten der Benutzer ist für dieVerwendung von BlackBerry UEM Self-Service nicht erforderlich. Sie müssen den Benutzern die Webadresse unddie Anmeldeinformationen bereitstellen.

Sie können Benutzer zwingen, eine Anmeldemitteilung zu lesen und anzunehmen, bevor sie sich beiBlackBerryUEM Self-Serviceanmelden können. Weitere Informationen zu dieser Mitteilung finden Siein der Dokumentationfür Administratoren unter „Erstellen eines Anmeldungshinweises für die Konsolen“.

BlackBerry UEM Self-Service einrichtenSet up BlackBerry UEM Self-Service so that users can log in and perform some self-service tasks.

1. Klicken Sie in der Menüleiste auf Einstellungen > Self-Service.2. Klicken Sie auf Self-Service-Einstellungen.3. Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist.4. Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des

Aktivierungskennworts aktivieren kann.5. Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind.6. Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter

erforderliche Komplexität aus.7. To automatically send an activation email to users when they create an activation password in BlackBerry UEM

Self-Service, select the Send an activation email check box. You can use the default activation email templateor select a different template from the drop-down list.

8. To send a login notification email to the user each time they log in to BlackBerry UEM Self-Service, select theSend self-service login notification check box.


Wenn Sie fertig sind: Geben Sie die Webadresse für BlackBerry UEM Self-Service und die Anmeldeinformationenfür die Benutzer an.

| Einrichten von BlackBerry UEM Self-Service für Benutzer | 57

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/cfu1421853416118.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/cfu1421853416118.html

Konfigurieren der hohen Verfügbarkeit für eineBlackBerry UEM-DomäneBlackBerry UEM verwendet ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit, um Dienstausfälle für Gerätebenutzermöglichst gering zu halten. Zum Konfigurieren von hoher Verfügbarkeit installieren Sie mehrere Instanzen vonBlackBerry UEM jeweils auf einem separaten Computer. Jede Instanz stellt eine Verbindung zur BlackBerry UEM-Datenbank her und ermöglicht die aktive Verwaltung von Benutzerkonten und -geräten.

Die hohe Verfügbarkeit in BlackBerry UEM beinhaltet die folgenden Funktionen:

Funktion Beschreibung

BlackBerry 10-Geräte automatischauf eine fehlerfreie Instanz vonBlackBerry UEM verschieben

Wenn BlackBerry 10-Geräte einer BlackBerry UEM-Instanz nichtmithilfe der Enterprise-Konnektivität eine Verbindung zu geschäftlichenRessourcen herstellen können, werden diese Geräte fehlerfreienInstanzen von BlackBerry UEM neu zugewiesen. BlackBerry 10-Geräte können die Enterprise-Konnektivität für den Zugriff auf E-Mail- und Kalenderdaten, den geschäftlichen Browser und dasUnternehmensnetzwerk verwenden. Die meisten Verwaltungsaufgaben(z. B. das Zuweisen von Profilen) erfordern die Enterprise-Konnektivitätfür eine erfolgreiche Durchführung.

iOS-, Android- und Windows-Gerätekönnen eine Verbindung zu einerbeliebigen BlackBerry UEM-Instanzherstellen

Wenn eine oder mehrere BlackBerry UEM-Instanzen Fehler aufweisen,können iOS-,Android- sowie Windows-Geräte eine Verbindung mit einerfehlerfreien Instanz herstellen. Auf diese Weise bleibt der Gerätedienstohne Unterbrechung.

BlackBerry Affinity Manager-Ausfallsicherung

Der BlackBerry Affinity Manager weist BlackBerry 10-Geräte einerBlackBerry UEM-Instanz zu, überwacht die Enterprise-Konnektivitätfür die jeweilige Instanz und verschiebt BlackBerry 10-Benutzer, wennProbleme mit der Enterprise-Konnektivität auftreten. Der BlackBerryAffinity Manager kann keine iOS-, Android- oder Windows-Geräte zu einerbestimmten BlackBerry UEM-Instanz zuweisen.

Hierbei ist nur ein BlackBerry Affinity Manager aktiv. Die anderenBlackBerry Affinity Manager-Instanzen sind im Standby. Wenn einProblem mit dem aktiven BlackBerry Affinity Manager auftritt, wird einAuswahlprozess durchgeführt, in dem bestimmt wird, welche Instanzaktiv werden soll. Die Instanz, in der der Auswahlprozess am schnellstenabgeschlossen wird, fungiert als aktive BlackBerry Affinity Manager-Instanz.

Geräte von einer beliebigenBlackBerry UEM-Instanz ausverwalten

Wenn ein Problem mit der Verwaltungskonsole oder mit BlackBerryUEM Core bei einer BlackBerry UEM-Instanz auftreten sollte, könnenSie jedes Gerät (BlackBerry 10, iOS, Android und Windows) mithilfeder Verwaltungskonsole und BlackBerry UEM Core einer beliebigenfehlerfreien Instanz weiterhin verwalten.

| Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne | 58

Funktion Beschreibung

Round-Robin-DNS-Pool für dieVerwaltungskonsole

Mithilfe von Drittanbietersoftware können Sie einen Roundrobin-DNS-Pool konfigurieren, der eine Verbindung zur Verwaltungskonsole derjeweiligen BlackBerry UEM-Instanz herstellt. Wenn ein Problem miteiner Konsole auftritt, sorgt der Pool für eine Verbindung zu einerfunktionsfähigen Konsole.

BlackBerry Connectivity Node Sie können eine oder mehrere Instanzen des BlackBerryConnectivity Node installieren, um weitere Instanzen derGeräteverbindungskomponenten zur Domäne Ihres Unternehmenshinzuzufügen. Sie können auch Servergruppen erstellen, um regionaleDatenpfade für sichere Verbindungen festzulegen und um hoheVerfügbarkeit für die Komponenten von BlackBerry Connectivity Nodeeinzurichten. Weitere Informationen finden Sie unter Hohe Verfügbarkeitund der BlackBerry Connectivity Node.

Während BlackBerry UEM eine Wiederherstellungsaktion ausführt, nehmen die betroffenen Benutzer eine kurzeDienstunterbrechung wahr. Die Dauer hängt von mehreren Faktoren ab, z. B. der Anzahl der BlackBerry 10-Geräte und der Anzahl der BlackBerry UEM-Instanzen. Wenn BlackBerry 10-Benutzer einer anderen Instanzzugewiesen werden, beträgt die durchschnittliche Ausfallzeit 3 Minuten. Wenn eine BlackBerry Affinity Manager-Ausfallsicherung erfolgt, beträgt die durchschnittliche Ausfallzeit 10 Minuten.

Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-GeräteverwaltenWenn Sie hohe Verfügbarkeit für BES5 vor dem Upgrade von BES5 auf BlackBerry UEM konfiguriert haben,funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Hochverfügbarkeitskonfigurationbezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind.

Weitere Informationen zur Konfiguration hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräteverwalten, finden Sie unter help.blackberry.com/detectLang/category/enterprise-services im BlackBerry EnterpriseServer Administratorhandbuch für 5.

Architektur: Hohe Verfügbarkeit für BlackBerry UEMIm folgenden Diagramm wird eine Domäne mit hoher Verfügbarkeit dargestellt, die zweiBlackBerry UEM-Instanzen aufweist. Sie können eine beliebige Anzahl anBlackBerry UEM-Instanzen installieren. In diesem Kapitelwird erklärt, welche Rolle spezielle Komponenten bei der Konfiguration hoher Verfügbarkeit spielen. WeitereInformationen zuBlackBerry UEM-Architektur und -Komponenten finden Sie in derDokumentation zur Architektur.

Komponenten Beschreibung

BlackBerry UEM-Datenbank Jede BlackBerry UEM-Instanz stellt für den Zugriff auf Benutzer- undGerätedaten eine Verbindung zur BlackBerry UEM-Datenbank her.


http://help.blackberry.com/detectLang/category/enterprise-services/#earlier-solutions

http://help.blackberry.com/detectLang/blackberry-uem/current/architecture/

Komponenten Beschreibung

Verwaltungskonsole undBlackBerry UEM Core

Sie können eine beliebige Verwaltungskonsole für die Verwaltung vonBenutzerkonten und Geräten der Domäne verwenden. Der BlackBerry UEMCore, der dieser Konsole zugeordnet ist, führt die Verwaltungsaufgaben durch.

Sie können einen Round-Robin-DNS-Pool konfigurieren, der die Verbindungzu der jeweiligen Konsole herstellt. Wenn ein Problem mit einer der Konsolenauftreten sollte, stellt der Pool die Verbindung zu einer funktionsfähigenKonsole her.

Jede Instanz verwaltet die Enterprise-Konnektivität für die BlackBerry 10-Geräte, die ihr von BlackBerry Affinity Manager zugewiesen wurden. Jedefehlerfreie Instanz kann Geräteverwaltungsaufgaben für alle Gerätetypenverarbeiten.

BlackBerry MDS ConnectionService und BlackBerryDispatcher

Diese Komponenten ermöglichen, dass BlackBerry 10-Geräte Verbindungen zuGeschäftsressourcen herstellen und diese nutzen.

BlackBerry Affinity Manager Der BlackBerry Affinity Manager ist verantwortlich für:

• Zuweisen von BlackBerry 10-Geräten zu BlackBerry UEM-Instanzen• Aufrechterhalten der Verbindung mit der BlackBerry Infrastructure• Konfigurieren und Starten des aktiven BlackBerry Work Connect

Notification Service• Überprüfen des Zustands des BlackBerry MDS Connection Service und

des BlackBerry Dispatcher in der jeweiligen Instanz zur Überwachung derEnterprise-Konnektivität

Nur eine BlackBerry Affinity Manager-Instanz ist aktiv (die anderen sind imStandby). Wenn die aktive Instanz ein Problem mit der Enterprise-Konnektivitätfeststellt, weist sie BlackBerry 10-Benutzer den funktionsfähigen BlackBerryUEM-Instanzen neu zu.

Jeder BlackBerry Affinity Manager, der im Standby ist, überwacht den aktivenBlackBerry Affinity Manager. Wenn ein Problem mit dem aktiven BlackBerryAffinity Manager auftritt, erfolgt eine Ausfallsicherung, und eine der Standby-Instanzen wird aktiv.

Lastverteilungsdaten für BlackBerry 10-GeräteIf you install multiple instances of BlackBerry UEM in the same domain, data for BlackBerry 10 devices is load-balanced approximately equally across all healthy, running instances. For example, if you install three instancesof BlackBerry UEM and the domain includes 3000 BlackBerry 10 devices, BlackBerry UEM assigns approximately1000 devices to each of the three running instances.

BlackBerry UEM load-balances when the number of devices on a specific server is more than 500 devices abovethe average device count per server.

You cannot manually assign BlackBerry 10 devices to a specific instance. The BlackBerry Affinity Managerdetermines which instances manage BlackBerry 10 devices.

If an instance is temporarily unavailable, the remaining instances manage user and device data.


Each BlackBerry UEM instance uses the same SRP ID and connects to the same BlackBerry UEM database.The components on each instance are all running and actively managing data for all device types, except forthe BlackBerry Affinity Manager and BlackBerry Work Connect Notification Service. Only one instance of theBlackBerry Affinity Manager and the BlackBerry Work Connect Notification Service are active.

You can view the status of each instance in the management console.

Hohe Verfügbarkeit und der BlackBerry Connectivity NodeSie können eine oder mehrere Instanzen des BlackBerry Connectivity Node installieren, um weitere Instanzen derGeräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Jeder BlackBerry ConnectivityNode enthält die folgenden BlackBerry UEM-Komponenten: BlackBerry Secure Connect Plus, den BlackBerryGatekeeping Service, den BlackBerry Secure Gateway, BlackBerry Proxy und den BlackBerry Cloud Connector.

Jeder BlackBerry Connectivity Node stellt eine weitere aktive Instanz dieser Komponenten der BlackBerry UEM-Domäne zur Verfügung, die sichere Geräteverbindungen verarbeiten und verwalten kann. Weitere Informationenzum Planen und Installieren eines BlackBerry Connectivity Node finden Sie in der Dokumentation zur Planung undin der Dokumentation zu Installation und Upgrade.

Sie können auch Servergruppen erstellen. Eine Servergruppe enthält eine oder mehrere Instanzen des BlackBerryConnectivity Node. Beim Erstellen einer Servergruppe geben Sie den regionalen Datenpfad an, den die zuverwendenden Komponenten für die Verbindung mit der BlackBerry Infrastructure nutzen sollen. Sie könnenbeispielsweise eine Servergruppe erstellen, um Geräteverbindungen für BlackBerry Secure Connect Plus undBlackBerry Secure Gateway so zu lenken, dass der Pfad für die USA zur BlackBerry Infrastructure verwendetwird. Sie können E-Mail- und Enterprise-Konnektivitätsprofile mit einer Servergruppe verknüpfen. Jedes Gerät,dem diese Profile zugewiesen wurden, nutzt die regionale Verbindung dieser Servergruppe zur BlackBerryInfrastructure, wenn Komponenten der BlackBerry Connectivity Node verwendet werden.

Wenn eine Servergruppe mehrere Instanzen des BlackBerry Connectivity Node enthält, kann von den Gerätenjede ausgeführte Instanz verwendet werden. Geräteverbindungen werden auf die verfügbaren Instanzen in derGruppe verteilt. Wenn keine Instanzen verfügbar sind, können die Geräte diese Komponenten nicht für sichereVerbindungen nutzen. Mindestens eine der Instanzen muss verfügbar sein.

Überprüfung des Zustands von Komponenten durch BlackBerry UEMFür die folgenden BlackBerry UEM-Komponenten sind Integritätsbewertungen verfügbar, um festzustellen, ob eineWiederherstellungsaktion erforderlich ist:

Komponenten Zustandsüber-wachung

Faktoren für die Integritätsbewertung Aktion, wenn der Zustandunter den Schwellenwertfällt

BlackBerry MDSConnectionService undBlackBerryDispatcher(aggregierteIntegritätsbewertung)

AktiverBlackBerryAffinity Manager

• Werden die Komponentenausgeführt?

• Können sie eine Verbindungzum aktiven BlackBerry AffinityManager herstellen?

• Können sie eine Verbindung zu denBlackBerry 10-Geräten herstellen?

• Können sie eine Verbindung zurDatenbank herstellen?

Der BlackBerry AffinityManager verschiebtBlackBerry 10-Gerätevon einer fehlerhaftenBlackBerry UEM-Instanz auffehlerfreie Instanzen.


http://help.blackberry.com/detectLang/blackberry-uem/current/planning/


Komponenten Zustandsüber-wachung

Faktoren für die Integritätsbewertung Aktion, wenn der Zustandunter den Schwellenwertfällt

AktiverBlackBerryAffinity Manager

Jede Standby-Instanz desBlackBerryAffinity Manager

• Der Status des BlackBerry AffinityManager (aktiv, standby oder durchAuswahlprozess aktiv werdend)

• Kann eine Verbindung zumBlackBerry Dispatcher hergestelltwerden?

• Können Aufrufe von BlackBerryUEM Core und jeder Standby-Instanz von BlackBerry AffinityManager empfangen werden?

• Kann eine Verbindung zumBlackBerry Infrastructurehergestellt werden?

• Kann eine Verbindung zu denKonfigurationseinstellungen derDatenbank hergestellt und könnendiese geladen werden?

Die Standby-Instanzenleiten die Ausfallsicherungein, und eine Instanzübernimmt die Aufgabe desaktiven BlackBerry AffinityManager.

Installieren einer zusätzlichen BlackBerry UEM-InstanzInformationen zur Installation zusätzlicherBlackBerry UEM-Instanzen, um eine Domäne mit hoher Verfügbarkeitzu erstellen,finden Sie in der Dokumentation zu Installation und Upgrade.Vergewissern Sie sich, dass derComputer die Systemanforderungen für die Installation einerBlackBerry UEM-Instanz erfüllt, und führen Sie dienotwendigen Schritte vor und nach der Installation aus. Ausführliche Informationen zur Kompatibilitätfinden Sie inder Kompatibilitätsmatrix.

Beachten Sie bei der Installation zusätzlicher BlackBerry UEM-Instanzen Folgendes:

• Installieren Sie jede Instanz auf einem separaten Computer.• Wählen Sie in der Setupanwendung im Bildschirm Setuptyp die Option Bestehende Domäne verwenden.• Geben Sie im Bildschirm Datenbankinformationen die Informationen der BlackBerry UEM-Datenbank an, die

Sie bei der Installation der ursprünglichen BlackBerry UEM-Instanz erstellt haben.

Nachdem Sie die zusätzliche BlackBerry UEM-Instanz installiert und die nach der Installation erforderlichenSchritte ausgeführt haben, ist ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit in der Domäne vorhanden. Geräte- undBenutzerdaten werden mit Lastausgleich über die BlackBerry UEM-Instanzen hinweg verteilt, der aktive BlackBerryAffinity Manager überwacht die Enterprise-Konnektivität der jeweiligen Instanz, und die Standby-Instanzenvon BlackBerry Affinity Manager überwachen die aktive Instanz, um festzustellen, ob eine Ausfallsicherungerforderlich ist.

Konfigurieren der hohen Verfügbarkeit für die VerwaltungskonsoleUm hohe Verfügbarkeit für die BlackBerry UEM-Verwaltungskonsolen zu konfigurieren, können Sie mithilfe desHardware-Lastausgleichers oder des DNS-Servers Ihres Unternehmens einen Round-Robin-Pool festlegen, derdie Verbindung zu der jeweiligen Verwaltungskonsole in der Domäne herstellt. Wenn keine Verwaltungskonsole



http://help.blackberry.com/detectLang/blackberry-uem-compatibility-matrix/latest/

http://help.blackberry.com/detectLang/blackberry-uem-compatibility-matrix/latest/

verfügbar ist, stellen der Lastausgleicher oder der DNS-Server eine Verbindung zu einer der verfügbarenKomponenten her.

Weitere Informationen über die Einrichtung eines Round-Robin-Pools finden Sie in der Dokumentation desHardware-Lastausgleichers oder des DNS-Servers Ihres Unternehmens.

Nach der Konfiguration eines Round-Robin-Pools empfiehlt es sich, die Variablen %AdminPortalURL%und %UserSelfServicePortalURL% in der Verwaltungskonsole (Einstellungen > Allgemeine Einstellungen >Standardvariablen) mit dem Poolnamen zu aktualisieren. Wenn Sie dies tun, können die E-Mail-Nachrichten, diediese Variablen für die Verknüpfung mit der Verwaltungskonsole und dem BlackBerry UEM Self-Service nutzen,den Round-Robin-Pool verwenden.

Wenn Sie die einmalige Anmeldung aktiviert haben, müssen Sie die SPN für das Microsoft Active Directory-Kontomit dem Poolnamen aktualisieren und die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu starten.

Eine Instanz der BlackBerry UEM-Verwaltungskonsole im Round-Robin-Pool kann die Verbindung mit derBlackBerry UEM-Domäne verlieren, wenn ihr vom DNS-Server eine andere IP-Adresse zugewiesen wird. DieVerbindung wird getrennt, weil die neue IP-Adresse die Anmeldeinformationen des Benutzers nicht erkennt. Indiesem Fall muss der Benutzer sich ab- und wieder anmelden.

Verwandte Aufgaben



Konfigurieren von hoher Verfügbarkeit der Datenbankmithilfe der Datenbankspiegelung

Sie können die Datenbankspiegelung verwenden, um hohe Verfügbarkeit für die BlackBerry UEM-Datenbankzu gewährleisten. Die Datenbankspiegelung ist eine Microsoft SQL Server-Funktion, die Ihnen ermöglicht, denDatenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BlackBerry UEM-Datenbankauftreten.

Hinweis: Microsoft plant die Einstellung der Datenbankspiegelung in zukünftigen Versionen vonMicrosoft SQLServerund empfiehlt stattdessen den Einsatz der AlwaysOn-Funktion für die Konfiguration hoher Verfügbarkeit beiDatenbanken. Für den Einsatz von AlwaysOn sind vor der Installation vonBlackBerry UEMKonfigurationsschritteerforderlich. Weitere Informationen zur Verwendung von AlwaysOnfinden Sie im Abschnitt zu Installation undUpgrade.AlwaysOn kann nicht verwendet werden, wenn Sie ein Upgrade vonBES5aufBlackBerry UEMdurchführen(d. h. ein Upgrade derBES5-Datenbank auf eineBlackBerry UEM-Datenbank). AlwaysOn wird nicht fürKomponenten unterstützt, dieBlackBerryOS-Geräte verwalten.

Wenn Sie die Datenbankspiegelung konfigurieren, erstellen Sie ein Backup der BlackBerry UEM-Prinzipaldatenbank (Datenbank, die während der Installation erstellt wird), und verwenden Sie die Backup-Dateien zum Erstellen einer Spiegeldatenbank auf einem anderen Computer. Anschließend konfigurieren Sie eineSpiegelungsbeziehung zwischen den beiden Datenbanken, sodass die Spiegeldatenbank die gleichen Aktionenausführt und die gleichen Daten speichert.

Um eine automatische Ausfallsicherung (Failover) zu aktivieren, richten Sie einen Zeugenserver für dieÜberwachung der Prinzipaldatenbank ein. Wenn die Prinzipaldatenbank nicht mehr reagieren sollte, startet derZeuge eine automatische Ausfallsicherung über die Spiegeldatenbank. Die BlackBerry UEM-Komponenten stelleneine Verbindung zur Spiegeldatenbank her, und der Gerätedienst kann ohne Unterbrechung weitergeführt werden.Nun findet ein Rollentausch statt: die Spiegeldatenbank wird zur Prinzipaldatenbank, und die ursprünglichePrinzipaldatenbank wird zur Spiegeldatenbank. Dieser Rollentausch kann während einer Spiegelungssitzungmehrmals stattfinden.

In diesem Abschnitt wird erläutert, wie Sie eine Spiegeldatenbank erstellen und die BlackBerry UEM-Komponenten für die Unterstützung der Datenbankspiegelung konfigurieren. Sie haben zudem die Möglichkeit,die Datenbankspiegelung für die Komponenten zu konfigurieren, die BlackBerry OS-Geräte verwalten. WeitereInformationen finden Sie unter Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung vonBlackBerry OS-Geräten.

To learn more about database mirroring, visit technet.microsoft.com/sqlserver to read Database Mirroring - SQLServer 2012 or Database Mirroring - SQL Server 2014.

Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltungvon BlackBerry OS-GerätenDie BlackBerry UEM-Komponenten, die Geräte mit BlackBerry 10, iOS, Android und Windows verwalten,verwenden die gleiche Datenbank wie Komponenten, die BlackBerry OS-Geräte verwalten. Die Komponentenfür die Verwaltung von BlackBerry OS-Geräten nutzen eine unterschiedliche Methode, um die Verbindungzur Spiegeldatenbank herzustellen. Wenn Sie die Datenbankspiegelung für die Komponenten konfigurierenmöchten, die BlackBerry OS-Geräte verwalten, können Sie nach Beendigung dieses Abschnitts zusätzliche Schritteausführen.

Weitere Informationen finden Sie unter help.blackberry.com/detectLang/category/enterprise-services imAdministratorhandbuch für BlackBerry Enterprise Server 5 im Kapitel „Konfigurieren der BlackBerry Configuration

| Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung | 64



http://technet.microsoft.com/en-us/sqlserver

http://msdn.microsoft.com/en-us/library/ms189852(v=sql.110).aspx


https://msdn.microsoft.com/en-us/library/ms189852(v=sql.120).aspx

http://help.blackberry.com/detectLang/category/enterprise-services/#earlier-solutions

Database für hohe Verfügbarkeit“. In diesem Kapitel finden Sie Anweisungen, wie Sie die Komponenten für dieVerwaltung von BlackBerry OS-Geräten mit der Spiegeldatenbank verbinden.

Hinweis: Das Kapitel „Konfigurieren der BlackBerry Configuration Database für hohe Verfügbarkeit“ beinhaltetReferenzen auf Microsoft SQL Server 2005. Microsoft SQL Server wird in dieser Version nicht mehr unterstützt.

Wenn Sie die Datenbankspiegelung für BES5 vor dem Upgrade von BES5 auf BlackBerry UEM konfiguriert haben,funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Konfiguration bezieht sich nur auf dieKomponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind.

Schritte zum Konfigurieren der DatenbankspiegelungFühren Sie die folgenden Aktionen aus, um die Datenbankspiegelung zu konfigurieren:

Schritt Aktion

Vergewissern Sie sich, dass die BlackBerry UEM-Domäne die Systemanforderungen und -voraussetzungen erfüllt.

Erstellen Sie eine Spiegeldatenbank, starten Sie eine Spiegelungssitzung, und richten Sieeinen Zeugenserver ein.

Konfigurieren Sie die jeweilige BlackBerry UEM-Instanz, die eine Verbindung zurSpiegeldatenbank herstellt.

Systemanforderungen: Datenbankspiegelung


Microsoft SQL Server BlackBerry UEM supports database mirroring using one of the following:

• Microsoft SQL Server 2012• Microsoft SQL Server 2014

SQL Server Native Client Der SQL Server 2012 Native Client muss auf jedem Computer verfügbar sein, dereine BlackBerry UEM-Instanz hostet. Die Setupanwendung von BlackBerry UEMinstalliert den SQL Server 2012 Native Client.

Versionsgleichheit Der Microsoft SQL Server, der die Spiegeldatenbank hostet, muss diegleiche Version und Edition aufweisen, wie der Microsoft SQL Server, der diePrinzipaldatenbank hostet.

EinheitlichesRechenzentrum

Die Prinzipal- und die Spiegeldatenbank müssen sich im gleichen Rechenzentrumbefinden.

Speicherort derDatenbank

Erstellen Sie die Spiegeldatenbank auf einem anderen Computer als diePrinzipaldatenbank.



Betriebsmodus Konfigurieren Sie die Datenbankspiegelung im Modus für hohe Sicherheit mitautomatischer Ausfallsicherung.

Zeuge Ein Zeugenserver ist für die automatische Ausfallsicherung erforderlich.Der Zeugenserver muss ein anderer Server als der Prinzipalserver oder derSpiegelserver sein.

For more information, see Database Mirroring Witness – SQL Server 2012 orDatabase Mirroring Witness – SQL Server 2014.

Voraussetzungen: Konfigurieren der Datenbankspiegelung• Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass der Zugriff von Remote-Computern

zulässig ist.• Konfigurieren Sie den Prinzipalserver und den Spiegelserver so, dass sie die gleichen Berechtigungen

aufweisen.• Set up a witness server that you will use to monitor the principal server.• Konfigurieren Sie den Microsoft SQL Server-Agent so, dass ein Domänenbenutzerkonto mit den gleichen

lokalen Administratorrechten wie für das Windows-Konto verwendet wird, das die BlackBerry UEM-Diensteausführt.

• Vergewissern Sie sich, dass das Domänenbenutzerkonto Berechtigungen für den Prinzipal- und denSpiegelserver aufweist.

• Vergewissern Sie sich, dass der DNS-Server ausgeführt wird.• Deaktivieren Sie auf jedem Computer, der eine BlackBerry UEM-Datenbankinstanz hostet, im SQL Server 2012

Native Client die Option „Named Pipes“. Wenn Sie die Option „Named Pipes“ nicht deaktivieren möchten, lesenSie Artikel KB34373 unter http://support.blackberry.com/kb.

• To review additional prerequisites for your organization’s version of Microsoft SQL Server, visittechnet.microsoft.com/sqlserver to read Database Mirroring - SQL Server 2012 or Database Mirroring - SQLServer 2014.

• Wenn die Spiegeldatenbank die standardmäßige Instanz verwendet, können die BlackBerry UEM-Komponenteneine Verbindung mit dieser nur über den standardmäßigen Port 1433, nicht aber über einen benutzerdefiniertenstatischen Port herstellen. Dies wird bedingt durch eine Einschränkung von Microsoft SQL Server 2005 undhöher. Weitere Informationen hierzu finden Sie unter SQL 2005 JDBC Driver and Database Mirroring.

Erstellen und Konfigurieren einer SpiegeldatenbankBevor Sie beginnen: Zur Pflege der Datenbankintegrität während der Erstellung und Konfiguration derSpiegeldatenbank sollten die BlackBerry UEM-Dienste auf allen Computern, die eine BlackBerry UEM-Instanzhosten, heruntergefahren werden.

1. Navigieren Sie in Microsoft SQL Server Management Studio zur Prinzipaldatenbank.2. Ändern Sie die Eigenschaft Wiederherstellungsmodell in VOLLSTÄNDIG.3. Führen Sie im Abfrageeditor die Abfrage -- ALTER DATABASE <BUEM_db> SET TRUSTWORTHY ON aus,

wobei <BUEM_db> der Name der Prinzipaldatenbank ist.4. Erstellen Sie eine Sicherungskopie der Prinzipaldatenbank. Ändern Sie die Option Art der Sicherungskopie in

Vollständig.





http://technet.microsoft.com/en-us/sqlserver




http://blogs.msdn.com/b/psssql/archive/2008/12/31/sql-2005-jdbc-driver-and-database-mirroring.aspx

5. Kopieren Sie die Sicherungsdateien auf den Spiegelserver.6. Stellen Sie die Datenbank auf dem Spiegelserver wieder her, um die Spiegeldatenbank zu erstellen. Wählen Sie

beim Wiederherstellen der Datenbank die Option KEINE NOTFALLWIEDERHERSTELLUNG.7. Vergewissern Sie sich, dass der Name der Spiegeldatenbank mit dem Namen der Prinzipaldatenbank

übereinstimmt.8. Klicken Sie auf dem Prinzipalserver in Microsoft SQL Server Management Studio mit der rechten

Maustaste auf die Prinzipaldatenbank, und wählen Sie den Task Spiegeln aus. Klicken Sie auf der SeiteSpiegelung auf Konfigurieren der Sicherheit, um den Assistenten zum Konfigurieren der Sicherheit für dieDatenbankspiegelung zu starten.

9. Start the mirroring process. For more information, see Setting Up Database Mirroring – SQL Server 2012 orSetting Up Database Mirroring – SQL Server 2014.

10.To enable automatic failover, add a witness to the mirroring session. For more information, see DatabaseMirroring Witness – SQL Server 2012 or Database Mirroring Witness – SQL Server 2014.


• Um sich zu vergewissern, dass die Ausfallsicherung richtig funktioniert, führen Sie manuell eineAusfallsicherung zur Spiegeldatenbank und zurück zur Prinzipaldatenbank durch.

• Starten Sie die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu.Beenden Sie BlackBerry UEM - BlackBerry Work Connect Notification Service nicht zum Ausführen einesNeustarts. Dieser Dienst wird beim Neustart des BlackBerry UEM - BlackBerry Affinity Manager-Dienstsautomatisch neu gestartet.

• Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank.

Herstellen der Verbindung von BlackBerry UEM zur SpiegeldatenbankSie müssen diesen Schritt auf jedem Computer wiederholen, auf dem eine BlackBerry UEM-Instanz gehostet wird.Wenn der BlackBerry Router als einzige BlackBerry UEM-Komponente auf einem Computer vorhanden ist, müssenSie diesen Schritt auf diesem Computer nicht ausführen.

Bevor Sie beginnen:

• Erstellen und Konfigurieren einer Spiegeldatenbank.• Vergewissern Sie sich, dass der Spiegelserver ausgeführt wird.• Sie können diese Aufgabe mithilfe des BlackBerry UEM-Konfigurationstools durchführen, oder Sie können

die Datei mit den Datenbankeigenschaften manuell mithilfe der folgenden Anweisungen aktualisieren.Wenn Sie das BlackBerry UEM-Konfigurationstool verwenden möchten, lesen Sie den Artikel KB36443 unterhttp://support.blackberry.com/kb. Befolgen Sie die Anweisungen im Abschnitt „Aktualisieren der BlackBerryUEM-Datenbankeigenschaften“, um die SQL-Spiegelung zu aktivieren und den FQDN des Spiegelserversbereitzustellen.

1. Navigieren Sie auf dem Computer, auf dem die BlackBerry UEM-Instanz gehostet wird, zu <Laufwerk>:\Programme\BlackBerry\UEM\common-settings.

2. Öffnen Sie DB.properties in einem Texteditor.3. Geben Sie im Abschnitt Optionale Einstellungen für die Verwendung der Ausfallsicherung

nach configuration.database.ng.failover.server= den FQDN des Spiegelservers ein (z. B.configuration.database.ng.failover.server=mirror_server.domain.net).

4. Falls erforderlich, führen Sie eine der folgenden Aktionen aus:

• Wenn Sie während der Installation eine benannte Instanz für die Prinzipaldatenbank festgelegthaben, die Spiegeldatenbank jedoch die Standardinstanz verwendet, löschen Sie den Wert nachconfiguration.database.ng.failover.instance=.








• Wenn die Prinzipaldatenbank eine Standardinstanz und die Datenbank eine benannte Instanz verwendet,geben Sie nach configuration.database.ng.failover.instance= die benannte Instanz ein.

5. Speichern und schließen Sie DB.properties.


• Starten Sie die BlackBerry UEM-Dienste neu. Beenden Sie BlackBerry UEM - BlackBerry Work ConnectNotification Service nicht zum Ausführen eines Neustarts. Dieser Dienst wird beim Neustart des BlackBerryUEM - BlackBerry Affinity Manager-Diensts automatisch neu gestartet.

• Wiederholen Sie diesen Schritt auf jedem Computer, der eine BlackBerry UEM-Instanz hostet.• Überprüfen Sie, ob jeder Computer, auf dem eine Instanz von BlackBerry UEM gehostet wird, mithilfe des

Serverkurznamens eine Verbindung zum Spiegelserver herstellen kann.

Konfigurieren einer neuen SpiegeldatenbankWenn Sie eine neue Spiegeldatenbank erstellen und konfigurieren nachdem ein Rollentausch stattgefundenhat (d. h. die BlackBerry UEM-Komponenten wurden im Zuge der Ausfallsicherung von der vorhandenenSpiegeldatenbank übernommen und die vorhandene Spiegeldatenbank wurde zur Prinzipaldatenbank),wiederholen Sie den Schritt Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank auf jedemComputer, auf dem eine BlackBerry UEM-Instanz gehostet wird.

Konfigurieren Sie bei Bedarf die Komponenten, die BlackBerry OS-Geräte verwalten, sodass diese eine Verbindungzu dem neuen Spiegelserver herstellen können (siehe Datenbank mit hoher Verfügbarkeit für Komponenten zurVerwaltung von BlackBerry OS-Geräten).


Konfigurieren von TLS/SSL-Verbindungen mit ExchangeActiveSync bei der Aktivierung von BlackBerry SecureGatewayWenn Sie den BlackBerry Secure Gateway aktivieren, um über BlackBerry UEM eine sichere Verbindung zwischendem E-Mail-Server Ihres Unternehmens und iOS-Geräten mit der Aktivierungsart MDM-Steuerelemente zurVerfügung zu stellen, können Sie BlackBerry UEM so konfigurieren, dass TLS/SSL-Verbindungen zu ExchangeActiveSync hergestellt werden. Weitere Informationen zum Aktivieren des BlackBerry Secure Gateway finden Sieunter „Schutz von E-Mail-Daten mit BlackBerry Secure Gateway“ in der Dokumentation für Administratoren.

Wenn Ihr Exchange ActiveSync-Server so konfiguriert ist, dass eine TLS-Verbindung erforderlich ist, müssen Siedas Exchange ActiveSync-Serverzertifikat (oder dessen Stammzertifikat) zu BlackBerry UEM hinzufügen. DerBlackBerry Secure Gateway verlangt das Zertifikat, damit der Exchange ActiveSync-Server als vertrauenswürdigerkannt wird, wenn die TLS/SSL-Verbindung eingerichtet wird.

Je nach den Sicherheitsanforderungen des Exchange ActiveSync-Servers müssen Sie möglicherweise auchdie Liste der TLS-Versionen und Chiffrierschlüssel aktualisieren, die der BlackBerry Secure Gateway für dieAuthentifizierung mit Exchange ActiveSync verwenden kann.

Konfigurieren von BlackBerry UEM, sodass das Exchange ActiveSync-Serverzertifikat als vertrauenswürdig erkannt wirdBevor Sie beginnen: Exportieren Sie das Zertifikat vom Exchange ActiveSync-Server im X.509-Format (*.cer,*.der), und speichern Sie es in einem Netzwerkpfad, auf den Sie über die Verwaltungskonsole zugreifen können.

1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Vertrauenswürdige Zertifikate.2. Click neben Exchange ActiveSync-Server-Vertrauensstellungen.3. Klicken Sie auf Durchsuchen.4. Wählen Sie das zu verwendende E-Mail-Profil aus.5. Klicken Sie auf Öffnen.6. Geben Sie eine Beschreibung für das Zertifikat ein.7. Klicken Sie auf Hinzufügen.

Konfigurieren von BlackBerry UEM zur Verwendung der TLS-Versionen und der Chiffrierschlüssel, die Exchange ActiveSyncunterstützt1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > BlackBerry Secure Gateway.2. Click in der Tabelle, an der Sie Änderungen vornehmen möchten.3. Klicken Sie auf die TLS-Version oder den Chiffrierschlüssel, den bzw. die Sie in der Liste Ausgewählt

hinzufügen oder aus der Liste entfernen möchten.4. Klicken Sie auf den Pfeil, um das Element in die gewünschte Liste zu verschieben.5. Klicken Sie auf Zuweisen.

| Konfigurieren von TLS/SSL-Verbindungen mit Exchange ActiveSync bei der Aktivierung von BlackBerry Secure Gateway | 69

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/secure-gateway-service.html

Vereinfachung von Windows 10-AktivierungenSie können eine Java-Webanwendung von BlackBerry als Suchdienst verwenden, um den Aktivierungsvorgang fürBenutzer mit Windows 10-Geräten zu vereinfachen. Wenn Sie den Suchdienst verwenden, müssen Sie währenddes Aktivierungsvorgangs keine Serveradresse eingeben. Wenn Sie diese Webanwendung nicht bereitstellenmöchten, können Benutzer Windows 10-Geräte auch aktivieren, indem sie die Serveradresse bei Aufforderungeingeben.

Sie können verschiedene Betriebssysteme und Webanwendungs-Tools zur Bereitstellung einer Suchdienst-Webanwendung verwenden. Dieser Abschnitt beinhaltet die Schritte der oberen Ebene. Unter Bereitstellen einesSuchdienstes zur Vereinfachung von Windows 10-Aktivierungen finden Sie ein Beispiel für die spezifischenSchritte für gängige Betriebssysteme und Tools.

Wenn Sie eine Suchdienst-Webanwendung bereitstellen, führen Sie die folgenden Schritte aus:

Schritt Aktion

Erstellen Sie einen statischen DNS-Host-A-Datensatz für den Java-Anwendungsserver. DerDatensatz muss enterpriseenrollment.<E-Mail-Domäne> lauten. Dabei entspricht<E-Mail-Domäne> der E-Mail-Adresse der Benutzer.

Wenn Sie Benutzern die Berechtigung erteilen möchten, Geräte zu aktivieren, wenn sie sichaußerhalb des Unternehmensnetzwerks befinden, konfigurieren Sie den Computer, der denSuchdienst hostet, für den externen Empfang über Port 443.

Erstellen und installieren Sie ein Zertifikat, um für sichere TLS-Verbindungen zwischenWindows 10-Geräten und dem Suchdienst zu sorgen.

Besuchen Sie BlackBerry UEM-Tools, um das Tool für die automatische Proxyermittlungherunterzuladen. Führen Sie die Datei aus, um eine .war-Datei zu extrahieren, und stellen Siesie im Stamm des Java-Anwendungsservers bereit.

Aktualisieren Sie die wdp.properties-Datei der Suchdienst-Webanwendung, um eine Liste derSRP-IDs Ihres Unternehmens hinzuzufügen.

Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-AktivierungenDie folgenden Schritte zeigen, wie Sie die Suchdienst-Webanwendung in der unten beschriebenen Umgebungbereitstellen können.

Bevor Sie beginnen: Stellen Sie sicher, dass die folgende Software in Ihrer Umgebung installiert ist und ausgeführtwird:

• Windows Server 2012 R2• Java JRE 1.8 oder höher• Apache Tomcat 8 Version 8.0 oder höher

1. Konfigurieren Sie eine statische IP-Adresse für den Computer, der den Suchdienst hostet.

| Vereinfachung von Windows 10-Aktivierungen | 70

http://help.blackberry.com/bes12tools

Hinweis: Wenn Sie Benutzern die Berechtigung erteilen möchten, Geräte zu aktivieren, wenn sie sichaußerhalb des Unternehmensnetzwerks befinden, muss der Zugriff auf die IP-Adresse extern über Port 443möglich sein.

2. Erstellen Sie einen DNS-Host-A-Datensatz für den Namen enterpriseenrollment.<E-Mail-Domäne>, der auf diein Schritt 1 konfigurierte statische IP-Adresse verweist.

3. Durchsuchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, die Datei „server.xml“ nach8080, und wenden Sie Kommentar-Tags wie im folgenden Beispiel an:



4. Durchsuchen Sie server.xml, und ändern Sie alle Instanzen von 8443 zu 443.5. Suchen Sie nach dem Abschnitt <Connector port= "443", entfernen Sie die Kommentar-Tags darüber und

darunter, und ändern Sie sie wie im folgenden Beispiel:

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="150" SSLEnabled="true" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Users\<account name>\.keystore" />

6. Generieren Sie, während Sie mit dem Konto angemeldet sind, das Sie im Beispiel oben angegeben haben,ein Zertifikat, indem Sie die zwei im folgenden Beispiel gezeigten Befehle ausführen. Wenn Sie aufgefordertwerden, Ihren Vor- und Nachnamen einzugeben, geben Sie enterpriseenrollment.<email domain> wieunten angezeigt ein:

C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg RSA -keysize 2048C:\Program Files (x86)\Java\jre1.8.0_60\bin> keytool -certreq -alias tomcat -keyalg RSA -file <filename>.csr

C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -genkey -alias tomcat -keyalg RSA -keysize 2048Enter keystore password: changeitWhat is your first and last name? [Unknown]: enterpriseenrollment.example.com

What is the name of your organizational unit? [Unknown]: IT DepartmentWhat is the name of your organization? [Unknown]: Manufacturing Co.What is the name of your City or Locality? [Unknown]: WaterlooWhat is the name of your State or Province? [Unknown]: OntarioWhat is the two-letter country code for this unit? [Unknown]: CAIs CN=enterpriseenrollment.example.com, OU=Business Unit, O=Example Company, L=Waterloo, ST=Ontario, C=CA correct? [no]: yes

C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -certreq -alias tomcat -keyalg RSA -file <enterpriseenrollment.example.com>.csrEnter key password for <enterpriseenrollment.example.com>


(RETURN if same as keystore password):

7. Senden Sie die Anforderung für die Zertifikatssignatur an eine Zertifizierungsstelle. Die Zertifizierungsstellesendet eine .p7b-Datei zurück. Beim Beispiel oben würde die Zertifizierungsstelle die Dateienterpriseenrollment.example.com.p7b zurücksenden.

• Wenn Sie die Anforderung für die Zertifikatssignatur an eine große, externe Zertifizierungsstelle senden,sollten Benutzer keine weiteren Schritte unternehmen müssen, um die Glaubwürdigkeit des Zertifikats beider Aktivierung nicht zu gefährden.

• Wenn Sie die Anforderung für die Zertifikatssignatur an eine interne Zertifizierungsstelle senden, müssenSie das Zertifizierungsstellenzertifikat auf dem Gerät installieren, bevor Sie mit der Aktivierung beginnen.

8. Installieren Sie das Zertifikat mithilfe des im folgenden Beispiel gezeigten Befehls:

C:\Program Files (x86)\Java\jre1.8.0_60\bin>keytool -import -trustcacerts -alias tomcat -file <filename>.p7b

9. Beenden Sie Apache Tomcat.10.Besuchen Sie BlackBerry UEM-Tools, um das Tool für die automatische Proxyermittlung herunterzuladen.

Extrahieren Sie den Inhalt der ZIP-Datei, und starten Sie W10AutoDiscovery-<Version>.exe.Die Datei W10AutoDiscovery-<Version>.war wird aus der EXE-Datei in das Verzeichnis C:\BlackBerryextrahiert.

11.Suchen Sie in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben, nach dem Ordner \webapps\ROOT. Wenn dieser bereits vorhanden ist, löschen Sie den Ordner \ROOT.

12.Benennen Sie W10AutoDiscovery-<Version>.war in ROOT.war um. Verschieben Sie die Datei in denOrdner \webapps in dem Verzeichnis, in dem Sie Apache Tomcat installiert haben.

13.Starten Sie Apache Tomcat.Apache Tomcat stellt die neue Webanwendung bereit und erstellt einen \webapp\ROOT folder.

14.Führen Sie notepad.exe als Administrator aus. Öffnen Sie in dem Verzeichnis, in dem Apache Tomcatinstalliert wurde, \webapps\ROOT\WEB-INF\classes\config\wdp.properties.

15.Fügen Sie die Host-ID für Ihre BlackBerry UEM-Domäne, wie im Beispiel unten gezeigt wird, zur Zeilewdp.whitelisted.srpid hinzu. Sie finden die Host-ID für Ihre BlackBerry UEM-Domäne in der BlackBerryUEM-Verwaltungskonsole. Wenn Sie über mehrere BlackBerry UEM-Domänen verfügen, geben Sie die Host-IDfür jede Domäne ein. Führen Sie folgende Aktionen aus:a) Klicken Sie in der Menüleiste auf Einstellungen > Lizenzierung > Lizenzierungszusammenfassung.b) Klicken Sie auf Lizenzen aktivieren.c) Klicken Sie in der Dropdown-Liste Lizenz-Aktivierungsmethode auf Host-ID.

wdp.whitelisted.srpid=<Host ID>, <Host ID>, <Host ID>

16.Starten Sie Apache Tomcat neu.


http://help.blackberry.com/bes12tools

Migrieren von Benutzern, Geräten, Gruppen und anderenDaten aus einem QuellserverÜber die BlackBerry UEM-Verwaltungskonsole können Sie Benutzer, Geräte, Gruppen und andere Daten von denfolgenden Quellservern migrieren:

• BlackBerry UEM (lokal)• BES10• Good Control (Standalone)

Hinweis: Wenn Sie nur Good Control-Benutzer von einem Good Control-Server migrieren möchten, der in BES12Version 12.5 integriert ist, finden Sie unter support.blackberry.com/kb im Artikel KB48870 weitere Informationen.

Hinweis: Weitere Informationen zur Migration von BlackBerry Dynamics-Benutzern und -Geräten in Batchesmit .csv-Dateien finden Sie unter support.blackberry.com/kb im Artikel 49442.

Führen Sie zum Migrieren von Benutzern, Geräten, Gruppen und anderen Daten die folgenden Schritte durch:

Schritt Aktion

Überprüfen Sie die Migrationsvoraussetzungen.

Herstellen einer Verbindung zu einem Quellserver.

Migrieren Sie optional IT-Richtlinien, Profilen und Gruppen.

Für Migrationen von einem Good Control-Quellserver: Vollständige Richtlinie undProfilmigration von Good Control auf BlackBerry UEM.

Migrieren Sie Benutzer.

Migrieren Sie Geräte.

Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen undanderen Daten aus einem QuellserverStellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie mit der Migration beginnen.

Voraussetzung Details

Anmelden Melden Sie sich bei BlackBerry UEM als Sicherheitsadministrator an.

| Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einem Quellserver | 73

http://support.blackberry.com/kb/articleDetail?articleNumber=000048870


http://help.blackberry.com/en/blackberry-uem/current/configuration/ysk1520869256810.html



Überprüfen derSoftwareversion

So migrieren Sie Daten zu BlackBerry UEM:

• The BlackBerry UEM instance you are migrating data from must be version12.7 or later.

• Die BES10-Instanz, aus der Sie Daten migrieren, muss in Version 10.2.3 oderhöher vorliegen.

• The Good Control (standalone) instance that you are migrating data from mustbe at version 5.0 or later.

BlackBerry UEMsynchronization

If you are migrating from a Good Control source server, the destination BlackBerryUEM database must be synchronized before beginning migration.

A Good Control source server must NOT be integrated with BlackBerry UEM in anyway before beginning migration.

Konfigurieren derVerbindung mit demBlackBerry UEM-Unternehmensverzeichnis

Konfigurieren Sie die Verbindung mit dem BlackBerry UEM-Zielunternehmensverzeichnis auf die gleiche Weise wie in der Quelle. Wenn dieQuelle beispielsweise für die Active Directory-Integration konfiguriert und mit derDomäne „beispiel.com“ verbunden ist, konfigurieren Sie das BlackBerry UEM-Ziel für die Active Directory-Integration und die Verbindung mit der Domäne„beispiel.com“.

Wichtig: Migration does not work if the company directory on the destinationserver does not match the company directory on the source server.

Defragmentieren Sie dieDatenbanken (BES10 undBlackBerry UEM).

Defragmentieren Sie die Quelldatenbanken und die BlackBerry UEM-Zieldatenbank(sofern vorhanden), bevor Sie die Migration beginnen. Wenn Sie eine großeBenutzerzahl migrieren, sollten Sie die BlackBerry UEM-Zieldatenbank nachjeder Migration einer Benutzergruppe defragmentieren. Weitere Informationenzur Defragmentierung einer Microsoft SQL Server-Datenbank finden Sie unterwww.technet.microsoft.com im Artikel „Neuorganisieren und Neuerstellen vonIndizes“.

Check the status ofBlackBerry Dynamicsapps

Check the version of all BlackBerry Dynamics apps you want to migrate. Thisincludes first-party apps, BlackBerry Dynamics apps, third-party ISV apps, andinternal custom apps. All apps must be at BlackBerry Dynamics SDK version 4.0.0or later. To determine the version of SDK used for the apps to be migrated, run thecontainer activity report on Good Control. BlackBerry Dynamics apps that are notsupported for migration are wiped from the device when the administrator startsthe migration.


https://technet.microsoft.com


Check the status ofBlackBerry Dynamics appentitlements

Make sure that:

• The destination BlackBerry UEM has the same list of BlackBerry Dynamics appentitlements as the source Good Control server.

• All migrated user accounts are assigned the same list of BlackBerry Dynamicsapp entitlements on the destination BlackBerry UEM as they have on the sourceGood Control server.

• The authentication delegate is the same on the source Good Control server andthe destination BlackBerry UEM. You can change the authentication delegateafter migration.

Missing entitlements will result in BlackBerry Dynamics apps being disabled aftermigration.

Review the Good Controlorganization IDs

Custom apps migrate only if the source and destination servers are the sameGood Control organization ID. It is possible to merge two organizations. For moreinformation, visit support.blackberry.com/kb/ to read article KB47626.

Herstellen einer Verbindung zu einem QuellserverSie müssen eine Verbindung zwischen BlackBerry UEM und dem Quellserver herstellen, von dem aus Datenmigriert werden. Sie können mehrere Quellen hinzufügen, es kann jedoch immer nur eine aktive Quelle geben.

Hinweis: Stellen Sie sicher, dass das mit den Anmeldeinformationen für die Datenbank verknüpfte Konto, das Siefür die Anmeldung bei der Datenbank verwenden, über Schreibrechte verfügt.

1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Konfiguration.2. Klicken Sie auf .3. Wählen Sie in der Dropdown-Liste Quelltyp den Typ des Quellservers aus.4. Je nach Art des Quellservers, den Sie ausgewählt haben, füllen Sie die Felder wie folgt aus:

Typ desQuellservers

Feld Inhalt

BES10 Anzeigename Geben Sie einen beschreibenden Namen für denQuellserver ein.

Datenbankserver Geben Sie den Namen des Computers ein, derdie Quelldatenbank hostet. Verwenden Sie dabeifür einen dynamischen Port das Format <Host>\<Instanz> und für einen statischen Port das Format<Host>:<Port>.

Datenbank-Authentifizierungstyp Wählen Sie den Authentifizierungstyp aus, der fürdie Verbindung zur Quelldatenbank verwendetwerden soll.



Typ desQuellservers

Feld Inhalt

Benutzername

Kennwort

Wenn Sie die SQL-Authentifizierung gewählt haben,geben Sie in den Feldern „Benutzername“ und„Kennwort“ Ihre Anmeldeinformationen für dieVerbindung mit dem Quellserver ein.

BDS-Datenbankname Geben Sie den Namen der Quelldatenbank ein (zumBeispiel „BDSMgmt“).

BlackBerryUEM

Anzeigename Geben Sie einen beschreibenden Namen für denQuellserver ein.

Datenbankserver Geben Sie den Namen des Computers ein, derdie Quelldatenbank hostet. Verwenden Sie dabeifür einen dynamischen Port das Format <Host>\<Instanz> und für einen statischen Port das Format<Host>:<Port>.

Datenbank-Authentifizierungstyp Wählen Sie den Authentifizierungstyp aus, der fürdie Verbindung zur Quelldatenbank verwendetwerden soll.

SQL-Benutzername

SQL-Kennwort

Wenn Sie die SQL-Authentifizierung gewählt haben,geben Sie in den Feldern „SQL-Benutzername“ und„SQL-Kennwort“ Ihre Anmeldeinformationen für dieVerbindung mit der Quelldatenbank ein.

Datenbankname Geben Sie den Namen der Quelldatenbank ein.

UEM-Quellauthentifizierungstyp Wählen Sie den Authentifizierungstyp aus, derfür die Anmeldung an der BlackBerry UEM-Quellverwaltungskonsole verwendet wird.

Benutzername

Kennwort

Geben Sie Ihre Anmeldeinformationen für dieQuellverwaltungskonsole ein.

Domäne Wenn Sie die Microsoft Active Directory-Authentifizierung ausgewählt haben, gebenSie den Namen der Domäne ein, in der sich dieQuellverwaltungskonsole befindet.

Good Control(standalone)

Display name Type a descriptive name for the source server.

Source Good Control(standalone) host name

Type the FQDN of the Good Control managementconsole.


Typ desQuellservers

Feld Inhalt

Source Good Control(standalone) certificate

Laden Sie das Good Control-CA-Stammzertifikathoch, um SSL-Verbindungen herzustellen. DasZertifikat muss das CER-Format aufweisen.Anweisungen dazu finden Sie unter „Exportieren desselbst signierten Stammzertifikats für den Good-Control-Server“.

Username

Password

Type your login information to log in to theadministrator account for the source managementconsole.

Hinweis: These credentials must correspondto a Good Control administrator with theaccess rights MANAGE_CONTAINERS andMANAGE_USERS_AND_GROUPS. The accountcan be either a Good Control service account ora regular administrator account, provided thepassword associated with the account allowsaccess to the management console. You can't usean Active Directory user account with a hardwaretoken and no password.

Domain Type the name of the domain where theadministrator account for the source managementconsole is located. You can leave this field blank ifthe administrator is a local user who does not havea domain.

5. Klicken Sie auf Speichern.6. Klicken Sie zum Testen der Verbindung zwischen der Quelle und dem Ziel auf Verbindung testen.7. Klicken Sie auf Speichern.


• Informationen zur Migration von IT-Richtlinien, Profilen und Gruppen finden Sie unter Bewährte Verfahren imAbschnitt Migrieren von IT-Richtlinien, Profilen und Gruppen aus einem Quellserver.

• Informationen zur Migration von Benutzern finden Sie unter Erwägungen im Abschnitt Migrieren von Benutzernaus einem Quellserver.

• Informationen, die nach der Migration von Benutzern hilfreich sind, finden Sie unter Migrieren von Geräten auseinem Quellserver.

Export the self-signed root certificate for the Good Control serverComplete the following task if the Good Control certificate has not been replaced with a third-party certificate.BlackBerry UEM inherently trusts certificates from third-party providers, so you do not need to export thecertificate from the Good Control server and import it in to BlackBerry UEM.

Hinweis: The following task is not browser-specific. For specific instructions, see the documentation for thebrowser you are using.


1. In a browser, navigate to the login screen of any of your Good Control servers. You may see a certificate errormessage because the CA that signed the certificate was Good Control, and the browser does not recognize itas a well-known CA.

2. To open the Certificate dialog, click the certificate icon in the URL field.3. Click View certificate or Certificate information to open the Certificate management menu.4. Click the Certification Path tab.5. Select the root certificate. The root certificate is the first item in the Certificate hierarchy (for example,

GD12345678 CA).6. Click View Certificate.7. Click the Details tab.8. Click Copy to file or Export.9. Select either the DER encoded binary X.509 (.CER) or the Base-64 encoded X.509 (.CER) format.10.Enter a location and file name for the certificate.11.Click Next or Save.12.Click Finish.

Überlegungen: Migrieren von IT-Richtlinien, Profilen und Gruppen auseinem QuellserverEine Migration von einer BlackBerry UEM- oder BES10-Quelle kopiert die folgenden Elemente in die Zieldatenbank:

• Ausgewählte IT-Richtlinien• E-Mail-Profile• Wi-Fi -Profile• VPN-Profile• Proxy-Profile• BlackBerry Dynamics -Profile• Profile für Zertifizierungsstellenzertifikate• Profile für freigegebenes Zertifikat• SCEP-Profile• Profile für Benutzeranmelde-informationen• Einstellungen für die Zertifizierungsstelle• Alle Richtlinien und Profile, die mit den Richtlinien und Profilen verknüpft sind, die Sie auswählen

Hinweis: Bei Migrationen von BES10 werden alle Gruppen migriert. Für Gruppen von BlackBerry UEM werdenBenutzer, Rollen, Softwarekonfigurationszuordnungen und Attribute von BlackBerry OS nicht migriert.

A migration from a Good Control (standalone) source copies the following items to the destination database:

• Policy sets• Connectivity profiles• App groups• App usage (for certificates)• Certificates


BlackBerry UEM

Wenn Sie BlackBerry UEM-IT-Richtlinien, -Profile und -Gruppen in eine andere Domäne migrieren, beachten SieFolgendes:

Objekt Überlegungen

Kennwörter für IT-Richtlinien

Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für Android-Geräteeine Mindestkennwortlänge von weniger als 4 oder eine Höchstlänge von über16 vorschreibt, können keine BES12- oder BlackBerry UEM-IT-Richtlinien oder -Profile migriert werden. Heben Sie die Auswahl auf, oder aktualisieren Sie die IT-Quellrichtlinie, und starten Sie die Migration neu.

Profilnamen Nach der Migration müssen Sie sicherstellen, dass alle Profile fürSCEP, Benutzeranmeldeinformationen, freigegebene Zertifikate undZertifizierungsstellenzertifikate eindeutige Namen haben. Wenn zwei Profile desgleichen Typs den gleichen Namen haben, müssen Sie den Namen eines derProfile bearbeiten.

Verzeichnisgruppen Für die Migration von Verzeichnisgruppen muss für die Quell- und Zieldatenbankjeweils ein Verzeichnis konfiguriert sein. Dieses Verzeichnis muss in der Quell-und Zieldatenbank auf die gleiche Weise konfiguriert sein. Wenn die Verzeichnissenicht entsprechend eingerichtet sind, werden die Verzeichnisgruppen nichtmigriert.

Verschachtelte Gruppen Wenn die Quell- und Zieldatenbanken BES12- oder BlackBerry UEM-Datenbankensind, die in BES5 integriert wurden, können verschachtelte Benutzergruppen nichtmigriert werden. Wenn Sie versuchen, verschachtelte Gruppen zu migrieren, istdie Migration anderer Gruppen, Profile und PKI-Konfigurationsinformationenmöglicherweise nicht möglich.

BES10

Wenn Sie BES10-IT-Richtlinien, -Profile und -Gruppen zu BlackBerry UEM migrieren, beachten Sie folgendeRichtlinien:


Gruppen Migrierte Gruppen behalten die ihnen zugewiesenen IT-Richtlinien und Profile.

Benutzer Migrierte Benutzer behalten die ihnen zugewiesenen IT-Richtlinien, Profile undGruppen nicht.

Nach der Migration müssen Sie jeder Gruppe in BlackBerry UEM Benutzer neuzuweisen.

Kennwörter für IT-Richtlinien

Wenn eine der von Ihnen ausgewählten IT-Quellrichtlinien für iOS- oder Android-Geräte eine Mindestkennwortlänge von weniger als 4 oder eine Höchstlängevon über 16 vorschreibt, können keine BES10-IT-Richtlinien oder -Profile migriertwerden. Heben Sie die Auswahl auf, oder aktualisieren Sie die IT-Quellrichtlinie,und starten Sie die Migration neu.



BenutzerdefinierteVariablen

Während der Migration ordnet BlackBerry UEM die benutzerdefinierten Variablenvon BES10 %custom1% bis %custom5% den benutzerdefinierten Variablen fürKennwörter %custom_pswd1% bis %custom_pswd5% unter BlackBerry UEMzu. Um Fehler mit Kennwörtern bei Verwendung dieser Variablen in BES10 zuvermeiden, verwenden Sie diese auf die gleiche Weise wie in BlackBerry UEM.Wenn %custom1% beispielsweise als Kennwort für ein ActiveSync-E-Mail-Profilin BES10 verwendet wurde, muss %custom_pwd1% in BlackBerry UEM für dengleichen Zweck verwendet werden. Diese Variablen werden in der BlackBerry UEM-Datenbank verschlüsselt.

Profile für freigegebenesZertifikat

Nach der Migration werden Profile für freigegebene Zertifikate, die ein SCEP-Zertifikat beinhalten, im SCEP-Abschnitt angezeigt.

Aktivierungsprofile Aktivierungsprofile werden nicht migriert. Nach der Benutzer- und vor derGerätemigration müssen Sie jedem Benutzer ein Aktivierungsprofil mit demselbenAktivierungstyp zuweisen, den er in BES10 hatte.

ZertifizierungsstellenzertifikateIn BlackBerry UEM müssen Sie alle migrierten ZertifizierungsstellenzertifikateGeräten manuell zuweisen (diese wurden in BES10 automatisch zugewiesen).Bevor Sie ein migriertes Zertifizierungsstellenzertifikat Benutzern oder einerGruppe, die Benutzer mit iOS-, Android- oder Windows-Geräten enthält, zuweisenkönnen, müssen Sie das Profil für Zertifizierungsstellenzertifikate in BlackBerryUEM öffnen und auf „Bearbeiten“ und dann auf „Speichern“ klicken.

IT-Richtlinienregeln Die folgenden IT-Richtlinienregeln können nicht von BES10 nach BlackBerry UEMmigriert werden:

• Gerät sichern und wiederherstellen• Geschäftlichen Bereich sichern und wiederherstellen• Cloud-Speicherzugriff über den geschäftlichen Bereich• Hotspot WPA2-Personal-Sicherheitstyp• Erstellung eines Verschlüsselungsschlüssels für die Zwei-Faktor-

Authentifizierung• WebGL

Good Control (standalone)

When you migrate Good Control (standalone) security policy sets, connectivity profiles, app groups, andcertificates to BlackBerry UEM, consider the following guidelines:

Item Considerations

Policy sets After migration, each Good Control policy set appears as the following items inBlackBerry UEM:

• an app configuration for each app in the policy set• a security policy• a compliance policy


Item Considerations

Connectivity profiles When BlackBerry Dynamics connectivity profiles are migrated from Good Control(standalone) to BlackBerry UEM, the values from the App servers tab are notmigrated. The values are populated using the default values from the destinationUEM server, the same as when manually creating a new BlackBerry Dynamicsconnectivity profile in UEM.

When BlackBerry Dynamics connectivity profiles are migrated from Good Control(standalone) to BlackBerry UEM, some of the values from the Infrastructure tabare not migrated. The administrator must manually edit each migrated profileand set the values for the Primary BlackBerry Proxy cluster and the SecondaryBlackBerry Proxy cluster.

App groups The Everyone group is migrated but has no users assigned to it and is not relatedto the All Users group on the destination BlackBerry UEM. The administrator mustmanually assign it to users if needed.

Apps If an app entitlement from the source server doesn't exist in the destination server,that app assignment is not migrated. The app group is migrated.

App usage (forcertificates)

App usage is migrated, except for:

• App usages that already exist on the destination server• Non-BlackBerry Dynamics apps• Custom apps from another Good Control organization

Migrieren von IT-Richtlinien, Profilen und Gruppen aus einemQuellserverIT-Richtlinien, Profile und Gruppen können optional aus einem Quellserver migriert werden.

1. Klicken Sie in der Menüleiste auf Einstellungen.2. Wenn mehr als eine Quelle konfiguriert wurde, klicken Sie im linken Fensterbereich auf Migration >

Konfiguration, und aktivieren Sie dann das Optionsfeld neben dem Namen des Quellservers, aus dem dieDaten migriert werden sollen.

3. Klicken Sie auf Migration > IT-Richtlinien, Profile, Gruppen.4. Klicken Sie auf Weiter.5. Aktivieren Sie die Kontrollkästchen für die Elemente, die Sie migrieren möchten.

Der Name des Quellservers ist für jede Richtlinie und jeden Profilnamen angehängt, wenn diese zum Zielmigriert wurden.

6. Klicken Sie auf Vorschau, um die von Ihnen ausgewählten Richtlinien und Profilen zu prüfen.7. Klicken Sie auf Migrieren.8. Um die IT-Richtlinien, Profile und Gruppen zu konfigurieren, klicken Sie auf IT-Richtlinien und -Profile

konfigurieren. Der Bildschirm Richtlinien und Profile wird geöffnet.

Wenn Sie fertig sind: Erstellen Sie auf dem Zielserver die Richtlinien und Profile, die nicht migriert werdenkonnten, und weisen Sie sie den Benutzern vor der Migration von Geräten zu. Für spezifische Informationen zuder Vorgehensweise bei einer Migration von einem Good Control-Source-Server, siehe Komplette Richtlinie undProfilmigration von Good Control zu BlackBerry UEM.




Schließen Sie die Migration der Richtlinie und des Profils von GoodControl nach BlackBerry UEM abNachdem Sie die Benutzer, Geräte, Gruppen und andere Daten von Good Control nach BlackBerry UEM migrierthaben, müssen Sie die folgenden Aufgaben am Ziel BlackBerry UEM durchführen. Für Informationen zur Positionder Good Control-Funktionen in BlackBerry UEM, siehe Good Control-Funktionen in BlackBerry UEM.

Wiederherstellen der Beziehungen zwischen den Apps, Richtlinien und Benutzern:

• Weisen Sie App-Konfigurationen BlackBerry Dynamics-Apps in Gruppen zu.• Weisen Sie Konnektivitätsprofile Gruppen zu.• Weisen Sie migrierte BlackBerry Dynamics-Richtlinien und -Konformitätsrichtlinien Benutzern zu.• Richten Sie Überschreibungsprofile ein (BlackBerry Dynamics-Profile und Konformitätsprofile).

Verschieben Sie JSON-Dateikonfigurationen von Good Control nach BlackBerry UEM.

Schließen Sie die migrierten Konnektivitätsprofile ab:

• Geben Sie die App-Server-Informationen ein.• Legen Sie die BlackBerry Proxy-Cluster auf der Registerkarte „Infrastruktur“ fest.

Good Control-Funktionen in BlackBerry UEMIn der folgenden Tabelle sind Good Control-Funktionen den Positionen in BlackBerry UEM zugeordnet, an denenSie vergleichbare Aufgaben ausführen können.

Good Control-Funktion Position in BlackBerry UEM

Benutzer und Gruppen Klicken Sie auf Benutzer.

Administratoren Klicken Sie auf Einstellungen > Administratoren.

Verwalten von BlackBerryDynamics-Apps undBerechtigungen

Apps und klicken Sie auf die App, die Sie verwalten möchten

.

Entfernen, Entsperren, Sperrenund Verwalten von Protokollen fürBlackBerry Dynamics-Apps

1. Klicken Sie in der Menüleiste auf Benutzer.2. Suchen Sie nach einem Benutzerkonto.3. Klicken Sie in den Suchergebnissen auf den Namen des

Benutzerkontos.4. Wählen Sie die Registerkarte für das Gerät, auf dem die zu

verwaltende App installiert ist.5. Wählen Sie den Befehl im Abschnitt BlackBerry Dynamics-Apps

neben der App aus, die Sie verwalten möchten.

Generieren von Zugriffsschlüsseln 1. Klicken Sie auf Benutzer.2. Wählen Sie den Benutzer aus, für den Sie einen Zugriffsschlüssel

generieren möchten.3. Klicken Sie auf Aktivierungskennwort festlegen.4. Wählen Sie die Option Generieren des BlackBerry Dynamics-

Zugriffsschlüssels aus.

Verwalten von Diensten Klicken Sie auf Einstellungen > BlackBerry Dynamics > App-Dienste.



App-Gruppen Klicken Sie auf Gruppen > Benutzer.

Sicherheitsrichtlinien Klicken Sie auf Richtlinien und Profile > BlackBerry Dynamics.

Konformitätsrichtlinien Klicken Sie auf Richtlinien und Profile > Konformität (BlackBerryDynamics).

Bereitstellungsprofile Klicken Sie auf Einstellungen > Aktivierungsstandards.

App-spezifische Richtlinien Klicken Sie auf Apps und dann auf die BlackBerry Dynamics-App, die Sieverwalten möchten.

App-Server hinzufügen Klicken Sie auf Richtlinien und Profile > Verbindungen (BlackBerryDynamics).

Verbindungsprofil Klicken Sie auf Richtlinien und Profile > BlackBerry Dynamics-Verbindungen.

Geräterichtlinien Klicken Sie auf Richtlinien und Profile > Richtlinien > IT-Richtlinien

Gerätekonfigurationen Klicken Sie auf Richtlinien und Profile > Netzwerke und Verbindungenund wählen Sie die folgenden Profile:

• Wi-Fi• VPN• Proxy• E-Mail• Websymbol• Benutzerdefinierte Payload

Apple DEP Klicken Sie auf Einstellungen > Externe Integration > Apple-Programmzur Geräteregistrierung.

APNS-Verwaltung Klicken Sie auf Einstellungen > Externe Integration > Apple PushNotification.

Verwalten des Self-Service fürBenutzer

Klicken Sie auf Einstellungen > Self-Service.

Direct Connect-Einstellungen Klicken Sie auf Einstellungen > BlackBerry Dynamics > Direct Connect.

Servereigenschaften Klicken Sie auf Einstellungen > BlackBerry Dynamics > Eigenschaften.

Good Proxy-Clusterkonfiguration Klicken Sie auf Einstellungen > BlackBerry Dynamics > Cluster.

Vertrauenswürdige Stellen Klicken Sie auf Richtlinien und Profile > Zertifikate >Zertifizierungsstellenzertifikat

Klicken Sie auf Einstellungen > Externe Integration >Zertifizierungsstelle



Zertifikatdefinitionen Klicken Sie auf Richtlinien und Profile > Zertifikate >Benutzeranmeldeinformationen

Klicken Sie auf Einstellungen > Externe Integration >Zertifizierungsstelle

Hochgeladene Zertifikate fürBenutzer

Klicken Sie auf Benutzer>AlleBenutzer>Benutzerdetails>Zusammenfassung>IT-Richtlinien und -Profile

App-Nutzung BlackBerry Dynamics-Apps die Verwendung von Benutzerzertifikatenund Profilen für Benutzeranmeldeinformationen gestatten auf denentsprechenden Anwendungsseiten mit den Detailinformationen.

Berichte Klicken Sie auf Einstellungen > BlackBerry Dynamics > Berichte.

Serverjobs Klicken Sie auf Einstellungen > BlackBerry Dynamics > Jobs.

Überlegungen: Migrieren von Benutzern aus einem QuellserverBerücksichtigen Sie die folgenden Punkte, wenn Sie Benutzer in ein BlackBerry UEM-Ziel migrieren:


Maximale Anzahl für dieMigration

Sie können maximal 1000 Benutzer gleichzeitig aus einer Quelle migrieren. Ist dasZiel eine von BES5 aktualisierte BlackBerry UEM-Datenbank, können Sie maximal300 Benutzer gleichzeitig migrieren.

Wenn Sie mehr als die maximale Anzahl Benutzer für die Migration auswählen,wird nur die maximale Anzahl Benutzer in das BlackBerry UEM-Ziel migriert.Die verbleibenden Benutzer werden ausgelassen. Wiederholen Sie denMigrationsvorgang so häufig wie nötig, um alle Benutzer aus dem Quellserver zumigrieren.

Hinweis: Wenn BlackBerry UEM das Zeitlimit während der Migration von1000 Benutzern überschreitet, versuchen Sie die Migration mit weniger Benutzern.



E-Mail-Adresse • Benutzer benötigen eine E-Mail-Adresse, bevor die Migration erfolgen kann.• Benutzer, die eine im BlackBerry UEM-Ziel bereits vorhandene E-Mail-Adresse

verwenden, können nicht migriert werden. Diese Benutzer erscheinen nicht inder Liste der zu migrierenden Benutzer.

• Wenn zwei Benutzer in der Quelle die gleiche E-Mail-Adresse haben, wird nurein Benutzer auf dem Bildschirm „Migrieren von Benutzern“ angezeigt.

• Wenn zwei Benutzer in der Quelle die gleiche E-Mail-Adresse aufweisen,können die auf dem Bildschirm „Migrieren von Geräten“ angezeigtenBenutzerinformationen entweder von dem einen oder dem anderen Benutzerstammen.

• Wenn zwei Benutzer in einem integrierten BES10-Unternehmensverzeichnisdie gleiche E- Mail-Adresse haben, wird der zuerst erkannte Benutzer migriert.Dieser Benutzer ist möglicherweise nicht der gleiche Benutzer, der ursprünglichin der Quelle angelegt wurde.

Gerät • Wenn ein Benutzer in der Quelle sowohl ein BlackBerry 10-Gerät als auch einiOS- oder Android-Gerät aufweist und für die Geräte die gleiche E-Mail-Adressemit unterschiedlichen Benutzernamen verwendet wird, werden nicht alle Gerätemigriert.

• Wenn ein Benutzer ein BlackBerry 10-Gerät sowie ein iOS-, Android-, Windows-oder macOS-Gerät hatte, muss er nach der Migration für BlackBerry UEM Self-Service dieselben Anmeldeinformationen verwenden wie zuvor für BES10 Self-Service, BES12 Self-Service oder BlackBerry UEM Self-Service.

Kennwort Nach der Migration müssen lokale Benutzer nach dem ersten Anmelden beiBlackBerry UEM Self-Service Ihr Kennwort ändern. Benutzer, die vor der Migrationkeine Zugriffsberechtigung für BES12 Self-Service oder BlackBerry UEM Self-Service hatten, erhalten nach der Migration nicht automatisch Berechtigung.

Gruppen Sie können Benutzer ohne Gruppenzuordnung filtern, um diese Benutzergruppe beieiner Migration mit aufzunehmen.

Good Dynamics Sie können Benutzer migrieren, denen Good Dynamics-Profile zugewiesen sind.

Migrieren von Benutzern aus einem QuellserverSie können Benutzer aus dem Quellserver in das BlackBerry UEM-Ziel migrieren. Nach Abschluss der Migrationsind die Benutzer sowohl in Quelle als auch in Ziel vorhanden.

1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Benutzer.2. Wenn die Quelle auf dem Bildschirm Migrieren von Benutzern eine Good Control-(Standalone)-Konfiguration

ist, klicken Sie auf Cache aktualisieren.Der Cache benötigt etwa 10 Minuten, um 1000 Benutzer einzupflegen.BlackBerry UEM nimmt die Benutzerdaten in den Cache auf, um die Suchfunktionen zu beschleunigen, aber dieBenutzerdaten werden direkt von der Quelle migriert. Das Aktualisieren des Cache ist nur für den ersten Satzder Benutzermigration erforderlich. Danach ist es optional.

3. Klicken Sie auf Weiter.


4. Wählen Sie die zu migrierenden Benutzer aus.Für Good Control-Migrationen werden nur die ersten 20.000 Benutzer angezeigt. Durchsuchen Sie dieBenutzernamen oder E-Mail-Adressen, um bestimmte Benutzer zu finden, die sich möglicherweise nicht unterden ersten 20.000 befinden. Wenn Sie auf „Alle auswählen“ klicken, werden nur die Benutzer auf der erstenSeite ausgewählt. Legen Sie die Seitengröße für die Anzahl von Benutzern fest, die Sie auswählen möchten.Wenn bei Good Control-Migrationen Änderungen in der Quelle vorgenommen werden, nachdem der Cacheaktualisiert wurde, erscheinen diese Änderungen nicht in den angezeigten Cache-Daten. Sie sollten währendeiner Migration keine Änderungen am Quellserver vornehmen. Falls Sie dies tun, aktualisieren Sie den Cacheregelmäßig.

5. Klicken Sie auf Weiter.6. Weisen Sie den ausgewählten Benutzern mindestens eine Gruppe, eine IT-Richtlinie und mindestens ein Profil

zu.Weitere Informationen finden Sie in der Dokumentation für Administratoren

7. Klicken Sie auf Vorschau.8. Klicken Sie auf Migrieren.

Wenn Sie fertig sind: Migrieren von Geräten aus einem Quellserver.

Überlegungen: Migrieren von Geräten aus einem QuellserverBerücksichtigen Sie die folgenden Punkte, wenn Sie Geräte in ein BlackBerry UEM-Ziel migrieren:


Bewährtes Verfahren Es ist ein bewährtes Verfahren, ein Gerät für jede eindeutige Konfiguration zumigrieren (z. B. verschiedene Gruppen, Richtlinien, App-Konfigurationen usw.),um sicherzustellen, dass der Zielserver korrekt eingerichtet ist, bevor die übrigenGeräte migriert werden.

Maximale Anzahl für dieMigration

Sie können maximal 2000 Geräte gleichzeitig aus einem Quellserver migrieren.

Ziel-BlackBerry UEM Überprüfen Sie vor der Migration von Geräten, ob BlackBerry UEM den Gerätetypund das Betriebssystem unterstützt.

Benutzer • Die Benutzer müssen in der BlackBerry UEM-Zieldomäne vorhanden sein.• Für Migrationen aus BES10 und BlackBerry UEM können Sie pro Benutzer nicht

mehr als fünf Geräte gleichzeitig migrieren.

iOS-Geräte in einerBlackBerry UEM- odereiner BES10-Quelle

• Auf den iOS-Geräten muss die aktuelle Version von BlackBerry UEM Clientinstalliert sein.

• Alle iOS-Geräte müssen vertrauenswürdig sein (nicht vertrauenswürdige iOS-Geräte können nicht migriert werden).

• iOS-Geräten, denen das App-Sperrprofil zugewiesen ist, können nicht migriertwerden, weil BlackBerry UEM Client nicht für die Migration geöffnet werdenkann.




Android-Geräte in einerBlackBerry UEM- odereiner BES10-Quelle

• Auf den Android-Geräten muss die aktuelle Version von BlackBerry UEM Clientinstalliert sein.

• Sie können Android-Geräte, die ein Arbeitsprofil haben, nicht migrieren.

Windows -Geräte Windows-Geräte können nicht migriert werden.

macOS -Geräte macOS-Geräte können nicht migriert werden.

MDM-Steuerelemente(BlackBerry UEM)

Geräte, die über „MDM-Steuerelemente“ aktiviert wurden, können vorübergehendnicht auf E-Mails zugreifen, wenn die Migration beginnt. Der E-Mail-Dienst wirdwiederhergestellt, wenn die Migration abgeschlossen ist.



Good Control-Geräte(von Standalone GoodControl)

BlackBerry Dynamics apps

• All BlackBerry Dynamics apps compatible with migration are migrated.BlackBerry Dynamics apps that are incompatible with migration are wipedfrom the device when the administrator triggers the migration. These appsmust be reactivated on the destination BlackBerry UEM.

• Incompatible apps are apps that are built with BlackBerry Dynamics SDKversions earlier than 4.0.0. Before migration, you can run the container activityreport to check the SDK versions of the apps.

• In the Migrate devices screen, the Incompatible containers column displays thenumber of BlackBerry Dynamics apps for each device that cannot be migratedand the total number of BlackBerry Dynamics apps for each device. Click onthe number to see the BlackBerry Dynamics apps that are incompatible withmigration.

• Make sure that the user has entitlements for the app on the destinationBlackBerry UEM. If the app doesn't have the entitlement, after migration, theuser will receive a message that the app is blocked.

• BlackBerry Dynamics apps are not migrated if the destination BlackBerry UEMalready has apps registered for that user.

• Custom apps migrate only if the source and destination servers are the sameGood Control organization ID. It is possible to merge two organizations. Formore information, visit support.blackberry.com/kb/ to read article KB47626.

Device authentication

• Devices with a device authentication delegate of Good for Enterprise are notmigrated. After removing Good for Enterprise as the authentication delegate,refresh the cache before continuing with the migration. It is a best practiceto ensure that the user is assigned the same authentication delegate onBlackBerry UEM as they had on the source server.

• The authentication delegate must be the same on the source Good Controlserver and the destination BlackBerry UEM. You can change the authenticationdelegate after migration.

Device management

• Good Dynamics MDM enrolments are not migrated. The user must unenrollfrom MDM. If the destination BlackBerry UEM requires MDM, the user mustmanually delete the old MDM profile and install and activate the BlackBerryUEM Client and re-enroll the device for MDM.

Operating system

• Devices with an unknown operating system are not migrated.

Chat sessions

• The source BEMS server may keep stale Connect chat sessions open for up to24 hours so the user may temporarily appear to be logged into chat from twodevices.

• Unread Connect chat messages are deleted during migration. Users should logout of Connect before migration.

Users

• If a user has more than one device with BlackBerry Dynamics apps, all thedevices are automatically selected for migration.

• You can't migrate devices for the same user from multiple Good Control sourceservers. You can migrate devices from multiple Good Control sources, but theusers cannot already have a BlackBerry Dynamics device on the destinationBlackBerry UEM.

Unlock keys

• If a user forgets the password for a BlackBerry Dynamics app after migrationhas been initiated, but before the container has completed migration, theunlock access key must be obtained from the Good Control source. Afterthe migration is complete the key must be obtained from the destinationBlackBerry UEM.

Access keys

• After migration, access keys can no longer be generated on the Good Controlsource server.

After migration

• To trigger the migration, Android users must restart their device to forcethe BlackBerry Dynamics apps to cold start. Sometimes a second restart isrequired.

• iOS device users must swipe up to close apps.• To trigger the migration, it is a best practice to first open the app that is

configured as the authentication delegate.• Not all apps will appear on the launcher until the migration is complete.• After migration, app icon arrangements in the launcher are reset to the default.• Geräte laden die VIP-Regeln, Lesezeichen und Benutzer-Zertifikate auf den

neuen Server hoch.

.json configurations

• Because .json configurations are global, migrating them could overwrite .jsonconfigurations in the destination database. Therefore .json configurations arenot migrated. Ensure that any required .json configurations are reapplied in thedestination server.



Kurzanleitung für Gerätemigration

Gerätetyp Aktivierungstyp/Konfiguration Migration

BlackBerry 10 Beliebige Unterstützt

Android • MDM-Steuerelemente• BlackBerry 2FA

Unterstützt

Android devices that have a workprofile

Any Not supported

Android Samsung KNOXWorkspace devices

Any Supported

iOS • MDM-Steuerelemente• Device registration for

BlackBerry 2FA only• DEP devices that have the

BlackBerry UEM Client installed

Unterstützt

iOS • DEP devices that do have theBlackBerry UEM Client installed

Nicht unterstützt

Windows Beliebige Nicht unterstützt

macOS Beliebige Nicht unterstützt

Migrieren von Geräten aus einem QuellserverNachdem Sie die Benutzer aus dem Quellserver in das BlackBerry UEM-Ziel migriert haben, können Sie dessenGeräte migrieren. Die Geräte werden vom Quellserver in das BlackBerry UEM-Ziel verschoben und sind nach derMigration in der Quelle nicht mehr vorhanden.

Bevor Sie beginnen:

• Bevor Sie Geräte migrieren, stellen Sie sicher, dass den migrierten Benutzern die richtigen Richtlinien undBerechtigungen zugewiesen sind.

• Für Migrationen von BlackBerry UEM und BES10: Benachrichtigen Sie Benutzer von iOS-Geräten darüber, dassder BlackBerry UEM Client zum Starten der Migration auf BlackBerry UEM geöffnet werden und der BlackBerryUEM Client bis zum Abschluss der Migration geöffnet bleiben muss.

1. Klicken Sie in der Menüleiste auf Einstellungen > Migration > Geräte.2. On the Migrate devices screen, if the source is a Good Control (standalone) configuration, click Refresh cache.

The cache can take approximately 10 minutes for each 1000 devices to populate.BlackBerry UEM caches the device data to speed searching capabilities, but the device data is migrateddirectly from the source. Refreshing the cache is mandatory only for the first set of device migration andoptional afterward.

3. Klicken Sie auf Weiter.4. Wählen Sie die zu migrierenden Geräte aus.


For Good Control migrations, only the first 20,000 devices are displayed. Search on the user name or emailaddress to locate specific users that may not be in the first 20,000. Selecting all selects only those devices onthe first page. Set the page size for the number of devices that you want to select.

Hinweis: You may see fewer line items than number of devices because the cache is displayed by user andsome users may have more than one device.

For Good Control migrations, if changes are made in the source after the cache is refreshed, those changesare not reflected in the cache data displayed. You should not make changes to the source server duringmigration, but if you do, refresh the cache periodically.

5. Klicken Sie auf Vorschau.6. Klicken Sie auf Migrieren.7. Um den Status der zu migrierenden Geräte anzuzeigen, klicken Sie auf Migration > Status.

To determine which BlackBerry Dynamics apps have been migrated, run the container activity report on GoodControl.

Make sure that the Good Control configuration remains running until all of the users' authentication delegateapps have completed migration, even if all devices are migrated.

Migrieren von DEP-GerätenSie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind, auseiner BES12- oder BlackBerry UEM-Quelldatenbank in eine andere BlackBerry UEM-Datenbank migrieren.

Migrieren von DEP-Geräten mit installiertem BlackBerry UEM ClientSie können iOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind undüber die Aktivierungsart „Geschäftlich und persönlich – vollständige Kontrolle“ oder „MDM-Steuerelemente“aktiviert werden, migrieren.

Bevor Sie beginnen: Deaktivieren Sie in den App-Einstellungen für den BlackBerry UEM Client dasKontrollkästchen Die App vom Gerät entfernen, wenn das Gerät von BlackBerry UEM entfernt wird.

1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server.2. Verbinden Sie die BlackBerry UEM-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen

finden Sie unter Konfigurieren von BlackBerry UEM für DEP.Stellen Sie sicher, dass das DEP-Profil der BlackBerry UEM-Zielinstanz dem der BES12- oder BlackBerry UEM-Quellinstanz entspricht.

3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server.4. Migrieren Sie in der BlackBerry UEM-Verwaltungskonsole die DEP-Geräte aus der Quellinstanz zur BlackBerry

UEM-Zielinstanz.

Migrieren von DEP-Geräten ohne BlackBerry UEM ClientiOS-Geräte, die bei dem Programm für die Geräteregistrierung (DEP) von Apple registriert sind und auf denenBlackBerry UEM Client nicht installiert ist, werden in der Liste der Geräte aufgeführt, deren Migration nichtunterstützt wird.

1. Erstellen Sie im DEP-Portal einen neuen virtuellen MDM-Server.2. Verbinden Sie die BlackBerry UEM-Zielinstanz mit dem neuen virtuellen MDM-Server. Weitere Informationen

finden Sie unter Konfigurieren von BlackBerry UEM für DEP.Stellen Sie sicher, dass die BlackBerry UEM-Zielinstanz das gleiche DEP-Profil hat wie die Quellinstanz.


3. Verschieben Sie die DEP-Geräte vom virtuellen MDM-Quellserver auf den neuen virtuellen MDM-Server.4. Setzen Sie alle DEP-Geräte auf die Werkseinstellungen zurück.5. Aktivieren Sie alle DEP-Geräte erneut.


Configuring BlackBerry UEM to support BlackBerryDynamics appsFollow the instructions in this section to configure BlackBerry UEM settings that are specific to BlackBerry Proxyand BlackBerry Dynamics apps.

Verwalten von BlackBerry Proxy-ClusternWenn Sie die erste Instanz von BlackBerry Proxy installieren, erstellt BlackBerry UEM ein BlackBerry Proxy-Clustermit dem Namen „First“. Wenn nur ein Cluster vorhanden ist, werden zusätzliche BlackBerry Proxy-Instanzendiesem Cluster standardmäßig hinzugefügt. Sie können weitere Cluster erstellen und BlackBerry Proxy-Instanzenzwischen allen verfügbaren Clustern verschieben. Wenn mehr als ein BlackBerry Proxy-Cluster verfügbar ist,werden neue Instanzen nicht automatisch zu einem Cluster hinzugefügt. Die neuen Cluster werden stattdessenals nicht zugeordnet betrachtet und müssen einem der verfügbaren Cluster manuell hinzugefügt werden.

1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics.2. Klicken Sie auf Cluster.3. Führen Sie eine der folgenden Aufgaben aus:

Aufgabe Schritte

Erstellen Sie ein neues BlackBerryProxy-Cluster.

a. Klicken Sie auf .b. Geben Sie einen Namen für das Cluster ein.c. Klicken Sie auf Speichern.

Benennen Sie ein BlackBerryProxy-Cluster um.

a. Klicken Sie auf einen Clusternamen.b. Ändern Sie den Namen des Clusters. Jedes Cluster muss über

einen eindeutigen Namen verfügen.c. Klicken Sie auf Speichern.

Verschieben Sie eine BlackBerryProxy-Instanz in ein anderesBlackBerry Proxy-Cluster.

a. Klicken Sie in der Spalte Server auf den Namen einer BlackBerryProxy-Instanz.

b. Wählen Sie in der Dropdown-Liste BlackBerry ProxyCluster dasCluster aus, zu dem die Instanz hinzugefügt werden soll.

c. Klicken Sie auf Speichern.

Löschen Sie ein leeres BlackBerryProxy-Cluster.

a. Klicken Sie auf für das Cluster.b. Klicken Sie auf Entfernen.

Aktivieren Sie BlackBerry Proxyfür die Aktivierung

Select the Enabled for activation option for the BlackBerry Proxyinstance that you want to use for activation purposes. At least oneinstance must be selected.

| Configuring BlackBerry UEM to support BlackBerry Dynamics apps | 92

Konfigurieren von Direct Connect oder eines Web-Proxy fürBlackBerry Proxy-VerbindungenDie BlackBerry Dynamics-Apps auf den Geräten der Benutzer senden standardmäßig Daten an das BlackBerryDynamics-NOC. Abhängig vom physischen Abstand zwischen den Geräten und dem BlackBerry Dynamics-NOCkönnen bei einigen Verbindungen Netzwerklatenzen auftreten.

Diese Probleme können durch die Aktivierung von BlackBerry Dynamics Direct Connect verringert werden. DirectConnect ermöglicht BlackBerry Dynamics-Apps das Umgehen der Verbindung zum NOC und das Herstellen einerdirekten Verbindung zu einer BlackBerry Proxy-Instanz hinter der Firewall Ihres Unternehmens. Wenn Gerätephysisch näher an den BlackBerry Proxy-Instanzen in Ihrer Domäne als am BlackBerry Dynamics NOC sind, kannDirect Connect die Netzwerklatenz reduzieren.

Sie können BlackBerry Dynamics-Apps auch so konfigurieren, dass Daten über einen Web-Proxyserver in der DMZgesendet werden, wenn sie die Verbindung zu einer BlackBerry Proxy-Instanz herstellen.

Bevor Sie beginnen:

• Wenn Sie Verbindungen von BlackBerry Dynamics-Apps über einen Web-Proxyserver weiterleiten möchten,muss der Proxyserver den HTTP Connect-Befehl unterstützen ohne eine Authentifizierung anzufordern. Dieinterne Firewall Ihres Unternehmens muss Verbindungen über Port 17533 zulassen.

• Wenn Sie für eine BlackBerry Proxy-Instanz keinen Web-Proxyserver definieren, müssen die internen undexternen Firewalls Ihres Unternehmens Verbindungen über Port 17533 zulassen.

1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics.2. Klicken Sie auf Direct Connect.3. Klicken Sie auf eine BlackBerry Proxy-Instanz.4. Um Direct Connect zu aktivieren, markieren Sie das Kontrollkästchen Direct Connect aktivieren. Überprüfen Sie

im Feld BlackBerry Proxy-Hostname den Hostnamen auf Richtigkeit.Wenn Sie den Hostnamen ändern, erzeugt die BlackBerry Proxy-Instanz ein neues Zertifikat fürClientverbindungen und sendet eine Anfrage zum Signieren des Zertifikats an die BlackBerry Dynamics-Zertifizierungsstelle.

5. Um einen Web-Proxy zu konfigurieren, aktivieren Sie das Kontrollkästchen Web-Proxy verwenden. Geben Sieden vollständig qualifizierten Hostnamen und die Portnummer an.


Konfigurieren von BlackBerry Dynamics-EigenschaftenSie können Eigenschaften, die sich speziell auf die Verwendung von BlackBerry Dynamics-Apps in IhremUnternehmen beziehen, konfigurieren. Weitere Informationen zu den einzelnen Eigenschaften und zu denAuswirkungen von Änderungen an Standardeinstellungen finden Sie unter Globale Eigenschaften von BlackBerryDynamics, BlackBerry Dynamics-Eigenschaften und BlackBerry Proxy-Eigenschaften. Informationen zu bewährtenVerfahren zur Konfiguration von BlackBerry Proxy-Eigenschaften finden Sie unter http://support.blackberry.com/kb im Artikel 47875.

1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics.2. Führen Sie einen der folgenden Schritte aus:

• Um die globalen Eigenschaften zu konfigurieren, klicken Sie auf Globale Eigenschaften.• Um die Eigenschaften für eine bestimmte BlackBerry UEM-Instanz zu konfigurieren, klicken Sie auf

Eigenschaften. Klicken Sie in der Dropdown-Liste Servertyp auf BlackBerry Control-Server und wählen denBlackBerry UEM-Server, den Sie konfigurieren möchten.




• Um die Eigenschaften für eine bestimmte BlackBerry Proxy-Instanz zu konfigurieren, klicken Sie aufEigenschaften. Klicken Sie in der Dropdown-Liste Servertyp auf BlackBerry Proxy-Server und wählen denBlackBerry Proxy-Server, den Sie konfigurieren möchten.

3. Konfigurieren Sie die Eigenschaften nach Bedarf.4. Klicken Sie auf Speichern.

Globale Eigenschaften von BlackBerry DynamicsIn den folgenden Tabellen werden die konfigurierbaren globalen Eigenschaften von BlackBerry Dynamicsbeschrieben.

Die Spalte „Neustart“ gibt an, ob nach dem Ändern der Eigenschaft ein Neustart von BlackBerry UEM erforderlichist.

Hinweis: Eigenschaften, die in der Verwaltungskonsole angezeigt, aber hier nicht dokumentiert werden, sindveraltet und werden nicht mehr verwendet.

Zertifikatverwaltung

Eigenschaft Beschreibung Standard Neustarten

Gültigkeitsdauer desSchlüsselspeichers inSekunden für PKCS12-Zertifikate einzelnerEndbenutzer

Die Lebensdauer (Gültigkeit) desSchlüsselspeichers der PKCS 12-Zertifikate,die Gerätebenutzer zum Signieren von E-Mail-Nachrichten und für die Client-Authentifizierunghochladen können, in Sekunden.

Hinweis: Diese Eigenschaft ist schreibgeschützt.Sie kann nicht geändert werden.

86400 —

Kommunikation


cntmgmt.internal.port Der interne Port für denContainerverwaltungsdienst.

Null(Standardwert17317)

Ja

cntmgmt.max.conns.above.limit Die maximale Anzahl der Verbindungen,die über das in der Eigenschaft„cntmgmt.max.conns.persec“ definierte Limithinaus zulässig sind.

Hinweis: Ändern Sie diese Einstellung nichtohne Rücksprache mit dem BlackBerry TechnicalSupport.

3 Ja



cntmgmt.max.conns.persec Die maximale Anzahl der Verbindungen für dieContainerverwaltung pro Sekunde.


30 Ja

cntmgmt.max.active.sessions Die maximale Anzahl der aktiven Sitzungen für dieContainerverwaltung.

10000 Ja

cntmgmt.max.idle.count Die maximale Anzahl der für dieContainerverwaltung zulässigen Verbindungen ohneAktivität.


0 Ja

cntmgmt.max.read.throughput Die maximale Anzahl gleichzeitiger Lesevorgängefür die Containerverwaltung.


500 Ja

cntmgmt.max.write.throughput Die maximale Anzahl gleichzeitigerSchreibvorgänge für die Containerverwaltung.


500 Ja

cntmgmt.ssl.external.enable Steuert die SSL-Aktivierung für die externeContainerverwaltung.

Aktiviert Ja

cntmgmt.ssl.internal.enable Steuert die SSL-Aktivierung für die interneContainerverwaltung.

Aktiviert Ja

Doppelte Container

Wenn BlackBerry UEM doppelte Container auf Geräten erkennt, werden Batchaufträge geplant, um diese zuentfernen. Ein doppelter Container weist dieselbe Benutzer-ID und Berechtigungs-ID (auch als BlackBerryDynamics-App-ID bezeichnet) auf wie ein anderer Container auf demselben Gerät. Wenn ein doppelter Containerentfernt wird, wird dieser Vorgang in der BlackBerry UEM-Protokolldatei erfasst.



Automatically remove olderduplicate containers on samedevice for the user afterprovisioning.

Legen Sie fest, ob BlackBerry UEM doppelteContainer automatisch entfernt, wenn eine neueVersion einer App verfügbar ist. Wenn dieseEinstellung ausgewählt wird, hat sie Vorrang vor denanderen Eigenschaften doppelter Container.

Aktiviert Nein

Auftrag für automatischesEntfernen von doppeltenContainern aktivieren (ein/aus)

Legen Sie fest, ob BlackBerry UEM Aufträge zumErkennen und Entfernen doppelter Container vonGeräten automatisch plant.

Aktiviert Nein

Timeout nach Inaktivität inSekunden vor dem Löschendoppelter Container

Die Zeitspanne in Sekunden, über die ein doppelterContainer inaktiv sein muss, bevor von BlackBerryUEM ein Auftrag zum Entfernen des Containersgeplant wird.

259200 Nein

Häufigkeit der Ausführungdes Auftrags zum Entfernendes Containers in Sekunden

Gibt an, wie häufig (in Sekunden) BlackBerryUEM einen Auftrag zum Erkennen und Entfernendoppelter Container ausführt.

86400 Nein

Maximale Anzahl der ineinem einzelnen Auftrag zuentfernenden Container

Die maximale Anzahl der inaktiven Container, diesich über einen einzelnen Auftrag von Gerätenentfernen lassen

100 Nein

Eingeschränkte Kerberos-Delegierung


KCD aktivieren(gc.krb5.enabled)

Legen Sie fest, ob BlackBerry UEM dieeingeschränkte Kerberos-Delegierung für BlackBerryDynamics-Apps unterstützt.

Deaktiviert Ja

Verschiedenes


config.command.expiry Gibt die Wartezeit von BlackBerry UEM bis zumerneuten Senden einer nicht bestätigen Nachricht inSekunden an.

60 Ja



config.command.retry Gibt an, wie häufig (in Sekunden) BlackBerry UEMden Vorgang zum Erkennen und erneuten Sendennicht bestätigter Nachrichten ausführt. Wenn dieseEigenschaft auf 0 gesetzt wird, führt BlackBerryUEM den Vorgang nicht aus.

900 Ja

gc.entgw.report.userinfo Legen Sie fest, ob die Anzeigenamen von Benutzernan das BlackBerry Dynamics NOC weitergegebenwerden.

Deaktiviert Nein

policy.compliance.interval Gibt an, wie häufig (in Minuten) BlackBerryUEM Konformitätsrichtlinien für alleRichtliniendatensätze aus dem BlackBerryDynamics NOC abruft.

1440 Ja

Inaktive Container löschen

Wenn BlackBerry UEM inaktive Container auf Geräten erkennt, werden Batchaufträge geplant, um diese zuentfernen. BlackBerry UEM stuft einen Container als inaktiv ein, wenn dieser über einen Standardzeitraum von 90Tagen keine Verbindung zu BlackBerry UEM hergestellt hat. Wenn ein inaktiver Container entfernt wird, wird dieserVorgang in der BlackBerry UEM-Protokolldatei erfasst.


Auftrag für automatischesEntfernen von inaktivenContainern aktivieren (ein/aus)

Legen Sie fest, ob BlackBerry UEM Aufträge zumErkennen und Entfernen inaktiver Container vonGeräten automatisch plant.

Deaktiviert Nein

Intervall für die Container-Inaktivität in Sekunden

Die Zeitspanne in Sekunden, bevor BlackBerry UEMeinen Container als inaktiv einstuft.

7776000 Nein

Häufigkeit der Ausführungdes Auftrags zum Entfernenvon inaktiven Containern inSekunden

Gibt an, wie häufig (in Sekunden) BlackBerry UEMeinen Auftrag zum Erkennen und Entfernen inaktiverContainer ausführt.

86400 Nein

Maximale Anzahl der ineinem einzelnen Auftrag zuentfernenden Container

Die maximale Anzahl der inaktiven Container, diesich über einen einzelnen Auftrag von Gerätenentfernen lassen.

100 Nein


Berichte


Fester Grenzwertfür Datensätze inexportierbaren Berichten,um Speichermangel zuvermeiden

Die maximale Anzahl von Zeilen, die in einen Berichtaufgenommen werden können. Der maximale Wert,der eingegeben werden kann, ist 1000000.

5000 Nein

Richtlinie zur Aufbewahrung von Daten


Protokoll-Lesevorgänge in derDatenbank

Gibt an, ob BlackBerry Control Lesevorgänge in derBlackBerry Control-Datenbank protokolliert.

Aktiviert Ja

Serveraufträge löschen Legen Sie fest, ob Serveraufträge von BlackBerryUEM in regelmäßigen Abständen automatischgelöscht werden.

Aktiviert Ja

Intervall zum Löschen vonServeraufträgen (in Tagen)

Wenn „Serveraufträge löschen“ aktiviert ist, legenSie fest, wie häufig (in Tagen) Serveraufträge vonBlackBerry UEM gelöscht werden.

30 Ja

BlackBerry Dynamics-EigenschaftenDie folgenden Tabellen beschreiben die Eigenschaften, die Sie für die einzelnen BlackBerry UEM Core-InstanzenIhres Unternehmens konfigurieren können.

Eingeschränkte Kerberos-Delegierung


Speicherort der Datei„krb5.config“ auf dem GC-Server (gc.krb5.config.file)

Die krb5.conf-Datei wird für diebereichsübergreifende Authentifizierung verwendet,wenn eine vertrauenswürdige CAPATH-Verbindungmit mehreren Kerberos-Domänen vorhanden ist.

Nichtfestgelegt

Ja

KCD-Debugging-Modusaktivieren (gc.krb5.debug)

Gibt an, ob BlackBerry UEM Daten aufFehlerbehebungsebene protokolliert.

Deaktiviert Ja

Voll qualifizierter Name fürdas KDC (gc.krb5.kdc)

Der FQDN des Servers, der den Dienst Kerberos KeyDistribution Center (KDC) hostet.

Nichtfestgelegt

Ja



Speicherort derSchlüsseltabellendatei(gc.krb5.keytab.file)

Der Speicherort der Kerberos-Schlüsseltabellendateiauf dem Computer, der BlackBerry UEM hostet.

Nichtfestgelegt

Ja

Dienstkontoname, unter demder KDC-Dienst ausgeführtwird (gc.krb5.principal.name)

Der Benutzername des Kerberos-Kontos. Domäneoder Bereich dürfen nicht enthalten sein.

Nichtfestgelegt

Ja

Bereich – Active Directory(gc.krb5.realm)

Der Bereich des Kerberos-Kontos. Nichtfestgelegt

Ja

BlackBerry Proxy-EigenschaftenDie folgenden Tabellen beschreiben die Eigenschaften, die Sie für die einzelnen BlackBerry Proxy-Instanzen IhresUnternehmens konfigurieren können.


gp.gps.max.sessions Maximale Anzahl aktiver Sitzungen.


15000 —

gp.gps.dns.server.ttl.ms Zeit, die auf Antwort des DNS-Servers gewartet wird,in Millisekunden.


1800000 —

gp.gps.server.flowcontrol Legen Sie fest, ob die Flusskontrolle für den Serveraktiviert ist

Deaktiviert —

gp.gps.tcp.keepalive Legen Sie fest, ob TCP Keep-alive für den Serveraktiviert ist.

Deaktiviert —

gp.gps.unalias.hostname Für DNS-Anfragen von App-Servern wird entwederdie IP-Adresse oder der Hostname verwendet.

Wenn Sie diese Option auswählen, verwendetBlackBerry Proxy inverse DNS-Anfragen mit der IP-Adresse des App-Servers

Wenn Sie diese Option nicht auswählen, verwendetBlackBerry Proxy den Hostnamen des App-Serversfür DNS-Anfragen

Deaktiviert Ja



gp.eacp.command.service.nslookup.srv.ldapErmöglicht LDAP über TCP für Active Directory-Server. Active Directory-Server bieten den LDAP-Dienst über das TCP-Protokoll; so können Clientseinen LDAP-Server durch Abfrage der DNS aufeinen Eintrag in folgender Form finden: _ldap._tcp.DnsDomainName.

Wenn Sie diese Option auswählen, verwendetBlackBerry Proxy LDAP für die DNS-Anfrage einesbestimmten Diensthostnamens.

Wenn Sie diese Option nicht auswählen, verwendetBlackBerry Proxy direkte inverse DNS-Anfragen mitdem Diensthostnamen, den Sie angeben.

Deaktiviert Ja

gc.mdc.hb.timeout Legen Sie den Heartbeat-Timeout fest. 0 —

gp.proxy.auth.username Benutzername für die Verbindung mit dem externenWeb-Proxyserver

Nichtfestgelegt

Nein

gp.proxy.auth.domain Active Directory-Domäne für dieAuthentifizierungsanmeldung bei einem externenWeb-Proxyserver

Nichtfestgelegt

Nein

gp.proxy.auth.password Kennwort für die Authentifizierung beim externenWeb-Proxyserver

Nichtfestgelegt

Nein

gp.proxy.https.host Name des externen Web-Proxyservers Nichtfestgelegt

Nein

gp.proxy.https.port Portnummer für die HTTPS-Verbindung zumexternen Web-Proxyserver

Nichtfestgelegt

Nein

GP Proxy URLs Control Geben Sie eine der folgenden Optionen ein:

1. NOC URLs (qp.proxy.urls wird ignoriert)2. Route All (qp.proxy.urls wird ignoriert)3. Custom URLs List (Geben Sie URLs in

qp.proxy.urls ein. Die NOC URLs müssen in dieListe aufgenommen werden.)

1 Nein

gp.proxy.urls URLs, die über einen Proxy verfügen müssen Nichtfestgelegt

Ja

gp.proxy.use Einen externen Web-Proxyserver verwenden Deaktiviert Nein


Konfigurieren Sie die Kommunikationseinstellungen für BlackBerryDynamics-AppsSie können die Kommunikationseinstellungen für BlackBerry Dynamics-Apps in der Domäne Ihres Unternehmenskonfigurieren. Die Kommunikationseinstellungen ermöglichen Ihnen die sichere Kommunikation in IhremNetzwerk mit einem Protokoll Ihrer Wahl. Standardmäßig sind TLSv1, v1.1 und v1.2 zulässig, SSLv3 hingegennicht. Sie müssen mindestens ein Protokoll auswählen.

Hinweis: Wählen Sie nicht nur SSLv3 aus. Dies kann dazu führen, dass alle Verbindungen zu Clients gelöschtwerden.

1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > BlackBerry Dynamics.2. Klicken Sie auf Kommunikationseinstellungen.3. Konfigurieren Sie die Einstellungen nach Bedarf.4. Klicken Sie auf Speichern.


Konfigurieren von Zertifikaten für BlackBerry Dynamics-AppsWenn BlackBerry Dynamics-Apps auf Benutzergeräten Clientzertifikate verwenden sollen, können Sie Zertifikateauf einzelne Benutzerkonten hochladen oder eine PKI-Verbindung definieren, über die BlackBerry UEMClientzertifikate von Ihrer Zertifizierungsstelle automatisch anmelden und an die Geräte senden kann.

Wenn Sie Zertifikate auf einzelne Benutzerkonten hochladen, sollten Sie eine Gültigkeitsdauer fürBenutzerzertifikate festlegen. Wenn die Gültigkeitsdauer abgelaufen ist, werden die Zertifikate vom Servergelöscht.

Wenn die Registrierung der von Ihrer Zertifizierungsstelle ausgegebenen Zertifikate bei BlackBerry Dynamics-Appsautomatisch erfolgen soll, müssen Sie einen PKI-Konnektor konfigurieren.

Sie können auch eine App-basierte PKI-Lösung, wie z. B. Purebred, für die Registrierung von Zertifikatenfür BlackBerry Dynamics-Apps verwenden. Weitere Informationen finden Sie in der Dokumentation fürAdministratoren

Konfigurieren der Gültigkeitsdauer für ClientzertifikateWenn Sie Zertifikate für BlackBerry Dynamics-Apps auf einzelne Benutzerkonten hochladen, sollten Sie eineGültigkeitsdauer für Clientzertifikate festlegen. Wenn die Gültigkeitsdauer abgelaufen ist, werden die Zertifikatevom Server gelöscht. Damit wird verhindert, dass ein Clientzertifikat eine längere Zeit auf dem Server verbleibt,nachdem die Push-Übertragung auf das Gerät erfolgt ist. Die standardmäßige Gültigkeitsdauer liegt bei 24Stunden.

1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Zertifikate.2. Legen Sie die Gültigkeitsdauer für PKCS12-Zertifikate auf dem Server fest.

Wenn Sie fertig sind: Wenn noch nicht erfolgt, fügen Sie den Benutzerkonten Clientzertifikate hinzu.

Konfigurieren von PKI-Verbindungen für BlackBerry Dynamics-AppsDamit die Anmeldung der von Ihrer Zertifizierungsstelle ausgegebenen Zertifikate bei BlackBerry Dynamics-Appsautomatisch erfolgen kann, muss die Kommunikation mit der Zertifizierungsstelle über einen PKI-Konnektorerfolgen. Ein PKI-Konnektor besteht aus einer Reihe von Java-Programmen und Webdiensten auf einem Back-End-Server, der BlackBerry UEM das Senden von Zertifikatanfragen und das Empfangen von Antworten von derZertifizierungsstelle ermöglicht.

BlackBerry UEM verwendet das Benutzerzertifikat-Verwaltungsprotokoll von BlackBerry Dynamics für dieKommunikation mit dem PKI-Konnektor. Dieses Protokoll läuft über HTTPS und definiert Nachrichten im JSON-Format.

Der PKI-Konnektor implementiert das Benutzerzertifikat-Verwaltungsprotokoll. Ein Beispiel für dieImplementierung eines PKI-Konnektors finden Sie unterPKI-Zertifikaterstellung über Good Control:Referenzimplementierung. Das Beispiel in diesem Dokument, das den Aufbau und die Bereitstellung des PKI-Konnektors beschreibt, gilt auch fürBlackBerry UEM. Sie müssen jedoch die Verbindung zwischenBlackBerryUEMund dem PKI-Konnektor in derBlackBerry UEM-Verwaltungskonsole konfigurieren, wie in der Dokumentationfür Administratorenbeschrieben.

| Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps | 102

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/blackberry-dynamics-pki-app.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/blackberry-dynamics-pki-app.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/add-client-certificate.html

http://help.blackberry.com/en/good-control-good-proxy/4.2/pkicert/PKI-Cert-Creation-via-Good-Control.pdf

http://help.blackberry.com/en/good-control-good-proxy/4.2/pkicert/PKI-Cert-Creation-via-Good-Control.pdf

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/blackberry-dynamics-pki-connector.html

http://help.blackberry.com/detectLang/blackberry-uem/current/administration/blackberry-dynamics-pki-connector.html

PKI-KonnektorinteraktionenBlackBerry UEM führt API-Aufrufe zum PKI-Konnektor mithilfe der HTTP POST-Methode aus. Der PKI-Konnektorunterstützt die Authentifizierung per Kennwort und per Zertifikat.

GetInfo-API

Diese API erkennt die vom PKI-Konnektor implementierten Befehle. Der Befehl wird zudem zur Verifizierung derin BlackBerry UEM bereitgestellten Authentifizierungs-Anmeldedaten und zum Testen der Verbindung zwischenBlackBerry UEM und dem PKI-Konnektor verwendet.

If this command is not implemented, BlackBerry UEM will assume this is not a valid PKI connector.

Die Pfadkomponente der URI wird wie folgt gesendet: customerSpecifiedPrefix/pki?operation=getInfo

customerSpecifiedPrefix ist hierbei optional. Es gibt an, wo der Dienst auf dem Server gehostet wird, wenner sich nicht im Standardpfad befindet.

Die im HTTP-Text erwartete Antwort im JSON-Format lautet wie folgt:

Element oderSchlüssel

Typ Erforderlich Antwort

operations Array vonZeichenfolgen

J Array mit allen Befehlen, die vom PKI-Konnektorimplementiert werden

Beispielanfrage/-antwort

Angenommen, dass die URL des PKI-Konnektors in der BlackBerry UEM-Verwaltungskonsole wie folgt lautet:https://cert.example.com

GET /pki?operation=getInfo HTTP/1.0Host: cert.example.comContent-Type: application/jsonContent-Length: 0

Antwort

HTTP/1.0 200 OK Host: cert.example.comContent-Type: application/jsonContent-Length: XYZ

{ “operations” : [“getInfo”, “getUserKeyPair”]}

API für Anforderungsschlüsselpaar

Diese API wird nach dem Erstellen des Schlüsselpaars für den Abruf eines Benutzerzertifikats verwendet. DieseAnfrage kann für erste Zertifikatanfragen verwendet werden.

Die Pfadkomponente der URI wird wie folgt gesendet: customerSpecifiedPrefix/pki?operation=getUserKeyPair.

customerSpecifiedPrefix ist hierbei optional. Es gibt an, wo der Dienst auf dem Server gehostet wird, wenner sich nicht im Standardpfad befindet.


Die im HTTP-Text gesendete Eingabe im JSON-Format lautet wie folgt:

Element oderSchlüssel

Typ Erforderlich Kommentar

mType Zeichenfolge J {"initialCert"]

user Zeichenfolge J E-Mail-Adresse des Benutzers oder andere Kennung

Antragsteller für das vom Aussteller erzeugteZertifikat

authToken Zeichenfolge N OTP oder Kennwort (für initialCert)

reqId Zeichenfolge J Hilfe für den Absender beim Antwortabgleich

Die im HTTP-Text enthaltene Antwort im JSON-Format, eine möglicherweise verschlüsselte PKCS12-Payload, diewie folgt lautet:

Element/Schlüssel Typ Erforderlich Kommentare

status Zeichenfolge J {success, failure}

failureInfo Zeichenfolge N Siehe Fehlerursachen weiter unten

payloadType Zeichenfolge N =pkcs12

payload Base64-Kodierung

N PKCS12 mit dem privaten Schlüssel des Benutzersund einem öffentlichen Zertifikat. Kann verschlüsseltsein.

decryptionPassword Base64-Kodierung

N Wenn das Verschlüsselungskennwort mit dem vomBenutzer eingegebenen Einmalkennwort identischist, ist die Bereitstellung eines Kennworts für dieEntschlüsselung nicht erforderlich.

Wenn PKCS12 per Kennwort verschlüsselt undkein Einmalkennwort verwendet wurde, kann dasKennwort über „decryptionPassword“ zurückgegebenwerden.

reqId Zeichenfolge J Die in der Anfrage empfangene erforderliche ID(reqID).

Beispielanfrage/-antwort

Angenommen, dass die URL des PKI-Konnektors in der BlackBerry UEM-Verwaltungskonsole wie folgt lautet:https://cert.example.com

Anfrage: Über die SSL-Verbindung zu Server cert.example.com wird die folgende Payload gesendet:

POST /pki?operation=getUserKeyPair HTTP/1.0Host: cert.example.comContent-Type: application/json


Content-Length: XYZ{ "mType": "initialCert", "user": "[email protected]", "authToken": "56ht12d0", "reqId": "12487" }

If the server URL was set as https://cert.example.com/foo, the request will look like:

POST /foo/pki?operation=getUserKeyPair HTTP/1.0Host: cert.example.comContent-Type: application/jsonContent-Length: XYZ

Antwort:

HTTP/1.0 200 OKHost: cert.example.comContent-Type: application/jsonContent-Length: XYZ { "status":"success", "reqId": "12487", "payloadType":"pkcs12", "decryptionPassword":"NTZodDEyZDA=", "payload":"BASE64 Encoded PKCS#12" }

Fehlerursachen

Die folgenden Fehler können von der Zertifizierungsstelle zurückgegeben werden:

Fehler Beschreibung

unknownUser Benutzer ist nicht vorhanden oder nicht zulässig.

badRequest Das Anfrageformat weist Fehler auf.

unknownRequest Die angeforderte Aktion wird nicht unterstützt.

authFailure OTP oder Kennwort ist abgelaufen oder nicht korrekt.

badAlg Es wird ein nicht unterstützter oder nicht erkannter Algorithmusverwendet.

unknownCert Das in der Operation verwendete oder referenzierte Zertifikat wurde nichtgefunden.

badMessageCheck Die Signatur- oder Integritätsprüfung ist fehlgeschlagen.

badTime Die in der Signatur angegebene Zeit war nicht nahe genug an dergeforderten Zeit.

unknown Alle anderen Fehler, die als unbekannte Fehler behandelt werden.


Integrieren von BlackBerry UEM mit Cisco ISECisco Identity Services Engine (ISE) ist eine Software zur Netzwerkverwaltung, die einem Unternehmen dieMöglichkeit bietet, den Zugriff von Geräten auf das Unternehmensnetzwerk zu steuern (z. B. Zugriff auf Wi-Fi oderVPN-Verbindungen zulassen oder verweigern). Cisco ISE-Administratoren können Zugriffsrichtlinien erstellen unddurchsetzen, um sicherzustellen, dass nur zugelassene Geräte auf das Unternehmensnetzwerk zugreifen können.

Sie können eine Verbindung zwischen Cisco ISE und BlackBerry UEM herstellen, damit Cisco ISE auf Daten vonGeräten zugreifen kann, die auf BlackBerry UEM aktiviert sind. Cisco ISE überprüft Gerätedaten, um festzustellen,ob die Geräte die Zugriffsrichtlinien erfüllen. Beispiel:

• Cisco ISE überprüft, ob das Gerät eines Benutzers auf BlackBerry UEM aktiviert ist. Wenn das Gerät nichtaktiviert ist, kann eine Zugriffsrichtlinie verhindern, dass das Gerät eine Verbindung zu geschäftlichen Wi-Fi-oder zu -VPN-Zugriffspunkten herstellt.

• Cisco ISE überprüft, ob das Gerät eines Benutzers mit BlackBerry UEM richtlinienkonform ist. Wenn das Geräteine Richtlinie verletzt (z. B. wenn es entsperrt oder gehackt wurde), kann eine Zugriffsrichtlinie verhindern,dass das Gerät eine Verbindung zu Wi-Fi-Zugriffspunkten des Unternehmens oder zu -VPN-Zugriffspunktenherstellt.

Cisco ISE-Administratoren können in der Cisco ISE-Verwaltungskonsole Daten von Geräten anzeigen, sortierenund filtern. Administratoren können außerdem die folgenden Geräteverwaltungsaufgaben durchführen: Sperreneines Geräts, Löschen von Unternehmensdaten von einem Gerät oder Löschen aller Gerätedaten.

führen Sie die folgenden Aktionen aus, um BlackBerry UEM und Cisco ISE zu integrieren:

Schritt Aktion

Stellen Sie sicher, dass die Umgebung Ihres Unternehmens die Anforderungen an dieVernetzung von BlackBerry UEM mit Cisco ISE erfüllt.

Erstellen Sie ein BlackBerry UEM-Administratorkonto, das Cisco ISE verwenden kann, umGerätedaten abzurufen.

Fügen Sie das BlackBerry Web Services-Zertifikat zum Cisco ISE-Zertifikatspeicher hinzu.

Verbinden Sie BlackBerry UEM mit Cisco ISE, und richten Sie ein Autorisierungsprofil undZugriffsrichtlinien ein.

Anforderungen: Integration von BlackBerry UEM und Cisco ISE


Version von Cisco ISE BlackBerry UEM unterstützt sie Integration von Cisco ISE Version 1.2 undhöher.

| Integrieren von BlackBerry UEM mit Cisco ISE | 106


UnterstütztesBetriebssystem

Jedes Betriebssystem, das BlackBerry UEM unterstützt (sieheKompatibilitätsmatrix), mit Ausnahme der folgenden:

• BlackBerry 10 OS Version 10.3.2 oder älter (10.3.3 oder höher erforderlich)• Android 6.0 (Marshmallow)• BlackBerryOS (Version 7.1 und älter)• Windows 10 für Desktop

Cisco ISE kann keine Daten für iOS-Geräte mit der Aktivierungsart„Geschäftlich und persönlich – Benutzer-Datenschutz“ abrufen.

Abhörport Cisco ISE verwendet den standardmäßigen BlackBerry Web Services-Überwachungsport 18084, um Gerätedaten aus BlackBerry UEM abzurufen.

Wenn Port 18084 bei der Installation von BlackBerry UEM nicht verfügbarwar, hat die Setupanwendung einen anderen verfügbaren Port für diesenZweck ausgewählt. Um den richtigen Portwert zu überprüfen, suchen Sie inder BlackBerry UEM Core-Protokolldatei (CORE) nach (^/ciscoise/.*),und notieren Sie sich die vor diesem Text aufgeführte Portnummer.

Firewall Falls eine Firewall zwischen BlackBerry UEM und Cisco ISE vorhanden ist,konfigurieren Sie die Firewall so, dass HTTPS-Sitzungen zwischen beidenSystemen zulässig sind.

Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendetwerden kann.Cisco Identity Services Engine(ISE) erfordert ein dediziertesBlackBerry UEM-Administratorkonto, das Sieverwenden können, um Informationen über Geräte abzurufen. Sie können ein vorhandenes Administratorkontoverwenden oder ein neues Administratorkonto erzeugen. Es ist ein lokales Administratorkonto (keinVerzeichnisbenutzer) erforderlich. Das Administratorkonto erfordert eine Rolle mit den folgenden Berechtigungen:

• Benutzer und aktivierte Geräte anzeigen• Verwalten von Geräten• Gerät sperren und Nachricht einrichten• Nur Geschäftsdaten löschen• Alle Gerätedaten löschen

Standardmäßig verfügen die Rollen „Sicherheitsadministrator“ und „Enterprise-Administrator“ über dieseBerechtigungen. Um ein neues Administratorkonto mit einer benutzerdefinierten Rolle zu erstellen, führen Sie diefolgenden Schritte über ein Administratorkonto mit der Rolle „Sicherheitsadministrator“ aus.

Bevor Sie beginnen: Wenn Sie eine benutzerdefinierte Rolle für das Administratorkonto erstellen möchten, klickenSie in der BlackBerry UEM-Verwaltungskonsole auf Einstellungen > Administratoren > Rollen > . Wählen Sie dieerforderlichen Berechtigungen aus. Klicken Sie auf Speichern.

1. Klicken Sie in der Menüleiste der BlackBerry UEM-Verwaltungskonsole auf Benutzer.2. Klicken Sie auf Benutzer hinzufügen.3. Klicken Sie auf die Registerkarte Lokal.4. Geben Sie einen Vornamen, Nachnamen, Anzeigenamen, Benutzernamen und eine E-Mail-Adresse an.




5. Geben Sie im Feld Konsolenkennwort das Kennwort für das Administratorkonto ein.6. Aktivieren Sie die Option Aktivierungskennwort für das Gerät nicht festlegen.7. Klicken Sie auf Speichern.8. Klicken Sie in der Menüleiste auf Einstellungen.9. Klicken Sie auf Administratoren > Benutzer.10.Klicken Sie auf .11.Suchen und klicken Sie auf das Benutzerkonto, das Sie erstellt haben.12.Klicken Sie in der Dropdown-Liste Rolle auf die zuvor erstellte benutzerdefinierte Rolle, die standardmäßige

Sicherheitsadministratorrolle oder die standardmäßige Enterprise-Administratorrolle.13.Klicken Sie auf Speichern.

Wenn Sie fertig sind: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher

Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-ZertifikatspeicherUm Cisco Identity Services Engine (ISE) für die Verbindung mit BlackBerry UEM zu aktivieren, müssen Sie dasBlackBerry Web Services-Zertifikat exportieren und in den Cisco ISE-Zertifikatspeicher importieren. Wenn dieBlackBerry UEM-Domain Ihres Unternehmens mehrere Instanzen von BlackBerry UEM aufweist, müssen Sie nurdas Zertifikat von einer Instanz exportieren.

Wenn Sie nicht über ein Cisco ISE-Administratorkonto verfügen, senden Sie diese Anweisungen an einen CiscoISE-Administrator.

Hinweis: Die Schritte ab Schritt 3 beziehen sich auf Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentationfinden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide.

Bevor Sie beginnen: Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann.-eigeneOptionen zur Verfügung.

1. Navigieren Sie in einem Browser zu https://<server_name>:<BlackBerry_Web_Services_port>/enterprise/admin/util/ws?wsdl, wobei <server_name> der FQDN des Computers ist, der die BlackBerry UEM Core-Komponentehostet. Der <BlackBerry_Web_Services_port>-Standardwert ist 18084.

2. Exportieren Sie das BlackBerry Web Services-Zertifikat, und speichern Sie es auf Ihrem Desktop. WeitereAnleitungen finden Sie in der Dokumentation des verwendeten Browsers.

Beispiel: Klicken Sie in Google Chrome auf das Schlosssymbol neben der URL. Klicken Sie auf derRegisterkarte Verbindungen auf Zertifikatinformationen. Klicken Sie auf der Registerkarte Details auf Dateikopieren, und folgen Sie den Anweisungen auf dem Bildschirm.

3. Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an.4. Klicken Sie in der Menüleiste auf Administration > System > Zertifikate.5. Klicken Sie im linken Fensterbereich auf Vertrauenswürdige Zertifikate.6. Klicken Sie auf Importieren. Navigieren Sie zu dem BlackBerry Web Services-Zertifikat, und wählen Sie es aus.7. Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für Client-Authentifizierung und Syslog.8. Aktivieren Sie das Kontrollkästchen Vertrauenswürdigkeit für die Authentifizierung von Cisco Services.9. Klicken Sie auf Senden.

Wenn Sie fertig sind: Verbinden von BlackBerry UEM mit Cisco ISE -eigene Optionen zur Verfügung.


http://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.html

Verbinden von BlackBerry UEM mit Cisco ISEWenn Sie kein Cisco Identity Services Engine (ISE) Administratorkonto haben, senden Sie dieseAnweisungen zusammen mit den erforderlichen Informationen zu BlackBerry UEM und dem BlackBerry UEM-Administratorkonto an einen Cisco ISE-Administrator.

Hinweis: Die folgenden Schritte gelten für Cisco ISE Version 1.4. Die neueste Cisco ISE-Dokumentation finden Sieunter Cisco ISE Configuration Guides im Cisco Identity Services Engine Administrator Guide.

Bevor Sie beginnen: Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher-eigeneOptionen zur Verfügung.

1. Melden Sie sich erneut bei der Cisco ISE-Verwaltungskonsole an.2. Klicken Sie in der Menüleiste auf Verwaltung > Netzwerkressourcen > External MDM.3. Klicken Sie auf Hinzufügen.4. Geben Sie im Feld Name den Anzeigenamen für die Verbindung ein.5. Geben Sie im Feld Hostname oder IP-Adresse den FQDN oder die IP-Adresse der BlackBerry UEM-Domäne ein.6. Geben Sie in das Feld Port 18084 ein.

Wenn Port 18084 bei der Installation von BlackBerry UEM nicht verfügbar war, hat die Setupanwendung einenanderen verfügbaren Port für diesen Zweck ausgewählt. Um den richtigen Portwert zu überprüfen, suchenSie in der BlackBerry UEM Core-Protokolldatei (CORE) nach (^/ciscoise/.*), und notieren Sie sich die vordiesem Text aufgeführte Portnummer.

7. Geben Sie im Feld Benutzername den Benutzernamen des BlackBerry UEM-Administratorkontos ein.8. Geben Sie im Feld Kennwort das Kennwort für das BlackBerry UEMAdministratorkonto ein.9. Geben Sie im Feld Abfrageintervall ein, wie oft (in Minuten) Cisco ISE Gerätedaten von BlackBerry UEM

abrufen soll. Es wird empfohlen, den Standardwert von 240 Minuten zu verwenden.

Hinweis: Wenn Sie diesen Wert auf 60 Minuten oder weniger setzen, kann sich dies deutlich auf die LeistungUnternehmensumgebung auswirken. Wenn Sie diesen Wert auf 0 setzen, ruft Cisco ISE keine Daten vonBlackBerry UEM ab.

10.Klicken Sie auf das Kontrollkästchen Aktivieren.11.Klicken Sie auf Verbindung testen, um zu prüfen, ob Cisco ISE eine Verbindung zu BlackBerry UEM herstellen

kann.12.Klicken Sie auf Senden.

Nachdem die Verbindung hergestellt wurde, können Sie die Wörterbuchattribute für BlackBerry UEMunter Richtlinie > Richtlinienelemente > Wörterbücher > System > MDM > Wörterbuchattribute abrufen.Protokolleinträge für die Cisco ISE-Abfrage werden in die BlackBerry UEM Core (CORE)-Protokolldateigeschrieben.

Wenn Sie fertig sind: Führen Sie die folgenden Konfigurationsaufgaben in der Cisco ISE-Verwaltungskonsoleaus. Die neuesten Anweisungen finden Sie unter Cisco ISE Configuration Guides im Cisco Identity Services EngineAdministrator Guide (siehe Set Up MDM Servers With Cisco ISE).

• Konfigurieren Sie ACLs auf dem Wireless-LAN-Controller.• Konfigurieren Sie ein Berechtigungsprofil für die Umleitung von Geräten, die nicht unter BlackBerry UEM

aktiviert wurden. Weitere Informationen finden Sie unter Umleiten von Geräten, die nicht unter BlackBerry UEMaktiviert wurden.

• Konfigurieren Sie Richtlinienregeln für die Autorisierung, die bestimmen, wie Cisco ISE Geräte verarbeitet, dienicht unter BlackBerry UEM aktiviert wurden oder mit BlackBerry UEM nicht richtlinienkonform sind. ErstellenSie unter Richtlinie > Richtliniensätze eine Richtlinie. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel:Authentifizierungsrichtlinienregeln für BlackBerry UEM.




http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/admin_guide/b_ise_admin_guide_14/b_ise_admin_guide_14_chapter_01001.html#task_820C9C2A1A6647E995CA5AAB01E1CDEF

http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/admin_guide/b_ise_admin_guide_14/b_ise_admin_guide_14_chapter_0100001.html#task_629D9FE1D65F4163BCF2687DE0832C41

http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/admin_guide/b_ise_admin_guide_14/b_ise_admin_guide_14_chapter_01001.html#ID651

http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/admin_guide/b_ise_admin_guide_14/b_ise_admin_guide_14_chapter_01001.html#ID685

Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEMAuthentifizierungsrichtlinie

Autorisierungsrichtlinie


Verwalten von Netzwerkzugriff und Gerätesteuerelementen überCisco ISECisco Identity Services Engine (ISE) Administratoren können die folgenden Aktionen durchführen. WeitereAnweisungen finden Sie unter Set Up MDM Servers With Cisco ISE im Cisco Identity Services Engine AdministratorGuide.

Aktion Beschreibung

Gerätedaten anzeigen Sie können Informationen über die mit BlackBerry UEM verknüpften Geräteanzeigen, z. B.:

• MAC-Adresse: die eindeutige MAC-Adresse des Geräts• Konformität: ob das Gerät mit BlackBerry UEM richtlinienkonform ist• Festplattenverschlüsselung: ob Gerätedaten verschlüsselt werden• Anmeldung: ob das Gerät unter BlackBerry UEM aktiviert ist• Jailbreak: ob das Gerät gegen eine der Bedingungen für Richtlinientreue

(z. B. im Hinblick auf Jailbreak oder Rooting) verstößt• Pin-Sperre: ob das Gerät ein Kennwort verwendet• Hersteller• Modell• Seriennummer• Betriebssystemversion

Konfigurieren von NAC-Richtlinien

Konfigurieren Sie Zugriffsrichtlinien, die steuern, ob Geräte eine Verbindung zugeschäftlichen Wi-Fi- oder VPN-Zugriffpunkten herstellen können. Sie könnenzum Beispiel Zugriffsrichtlinie festlegen, die verhindert, dass Geräte, die nichtmit BlackBerry UEM richtlinienkonform sind, auf das Unternehmensnetzwerkzugreifen.

Gerät sperren Sperren Sie das iOS-, Android- oder Windows-Gerät eines Benutzers(BlackBerry 10-Geräte unterstützen diese Funktion nicht). Diese Funktionist nützlich, wenn das Gerät eines Benutzers vorübergehend verlegt wurde.BlackBerry UEM sperrt das Gerät über einen IT-Administrationsbefehl. DerBenutzer muss das Gerätekennwort eingeben, um das Gerät zu entsperren.

Gerätebenutzer können diese Aktion auch über das My Device portalausführen.

Geschäftliche Daten löschen Löschen Sie nur geschäftliche Daten und Apps von einem Gerät, sodass diepersönlichen Daten und Anwendungen des Benutzers erhalten bleiben. DieseFunktion ist nützlich, wenn das Gerät eines Benutzers verloren gegangen istoder der Benutzer nicht länger Angestellter des Unternehmens ist. BlackBerryUEM löscht geschäftliche Daten mithilfe eines IT-Administrationsbefehls.



http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/admin_guide/b_ise_admin_guide_14/b_ise_admin_guide_14_chapter_01001.html#task_820C9C2A1A6647E995CA5AAB01E1CDEF

Aktion Beschreibung

Alle Daten löschen Löschen Sie alle Daten und Anwendungen von einem Gerät, und setzen Siedas Gerät auf die Werkseinstellungen zurück. Diese Funktion ist nützlich, wenndas Gerät eines Benutzers verloren geht oder gestohlen wird, oder wenn dasGerät an einen anderen Benutzer zugeteilt wird. BlackBerry UEM löscht alleGerätedaten mithilfe eines IT-Administrationsbefehls.


Weitere Informationen zu IT-Administrationsbefehlen und Aktivierungsarten, die Befehle zum Sperren, Löschengeschäftlicher Daten und Löschen aller Daten unterstützenfinden Sie in der Dokumentation für Administratoren.

Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurdenWenn Cisco Identity Services Engine (ISE) ein Geräte erkennt, das auf das geschäftliche Netzwerk (Wi-Fioder VPN) zuzugreifen versucht, und das Gerät nicht unter BlackBerry UEM aktiviert ist, öffnet Cisco ISE eineAnmeldungsseite im Gerätebrowser, die den Benutzer zur BlackBerry UEM Self-Service-Konsole umleitet.

Der Benutzer benötigt ein BlackBerry UEM-Benutzerkonto für die Anmeldung bei BlackBerry UEM Self-Serviceund die Aktivierung des Geräts. Teilen Sie den Benutzern mit, dass sie sich an denBlackBerry UEM-Administratorwenden müssen, wenn sie von Cisco ISE auf die Anmeldungsseite umgeleitet werden.

Weitere Informationen zum Hinzufügen und Aktivieren von Administratorkontenfinden Sie in der Dokumentationfür Administratoren.

Hinweis: Wenn das Gerät eines Benutzers zuvor mit BlackBerry UEM aktiviert war und dann deaktiviert wurde,wird der Benutzer nicht zu BlackBerry UEM Self-Service umgeleitet, falls er versucht, über das Gerät aufgeschäftliche Netzwerk zuzugreifen. Um dieses Problem zu lösen, löschen Sie die Daten für das Gerät aus CiscoISE, wenn Sie ein Gerät aus BlackBerry UEM entfernen.





Überwachen von BlackBerry UEM mithilfe von SNMP-ToolsMithilfe von SNMP-Tools von Drittanbietern können Sie die Aktivität von verschiedenen BlackBerryUEM-Komponenten überwachen. Die SNMP-Überwachung erfordert einen SNMP-Dienst und ein SNMP-Verwaltungstool. Sie führen den SNMP-Dienst auf den Computern aus, die BlackBerry UEM hosten. Der SNMP-Dienst befindet sich in den Windows-Diensten und umfasst einen SNMP-Agent, der Daten aus den BlackBerryUEM-Komponenten sammelt.

Mithilfe eines SNMP-Verwaltungstools (z. B. eines MIB-Browsers) können Sie die Daten, die der Agent empfängt,anzeigen und analysieren. Das Verwaltungstool beinhaltet in der Regel ein SNMP-Trap-Verwaltungstool, das zumAbrufen und Interpretieren der Trap-Nachrichten vom Agent verwendet wird. Das Verwaltungstool kann auf demComputer, der BlackBerry UEM hostet, oder auf einem separaten Computer installiert werden.

Es gibt zwei Stellen, an denen Sie SNMP konfigurieren:

• In der Verwaltungskonsole zur Überwachung von BlackBerry UEM Core, BlackBerry Secure Connect Plus,BlackBerry Secure Gateway und BlackBerry Cloud Connector. Siehe SNMP-Konfiguration für die Überwachungvon Komponenten.

• Im SNMP-Dienst zur Überwachung der Enterprise-Konnektivitätskomponenten von BlackBerry UEM

Standardmäßig zeigt das Verwaltungstool die OID einer Bedingung an, die aus einer Folge von Ganzzahlenbesteht, die einen Klassenwert in einer Klassenhierarchie bezeichnen. Alle SNMP-OIDs und SNMP-Traps fürBlackBerry UEM beginnen mit dem Klassenwert 1.3.6.1.4.1.3530.8. Jeder OID-Wert wird durch ein Suffix (z. B.25.1.1) eindeutig identifiziert.

In MIBs sind die Bedingungen für die Überwachung durch den SNMP-Agent festgelegt. Eine MIB ist eineDatenbank, in der die Variablen und Verwaltungsdaten der BlackBerry UEM-Komponenten sowie die Bedeutungder jeweiligen SNMP-Trapwerte definiert und beschrieben werden. Die MIB legt die Datentypen fest, die derSNMP-Dienst über die Komponenten erfassen kann. Wenn Sie die SNMP-Überwachung konfigurieren, müssen Siedas Verwaltungstool zum Kompilieren der MIB verwenden.

Weitere Informationen zur Netzwerksicherheit für SNMP finden Sie unter support.microsoft.com.

Unterstützte SNMP-VorgängeSNMP-Vorgänge können zur Erfassung von Daten des SNMP-Agents verwendet werden, der auf den Computernausgeführt wird, auf denen BlackBerry UEM installiert ist. BlackBerry UEM unterstützt die folgenden SNMP-Vorgänge:

Vorgang Beschreibung

Get Dieser Vorgang ruft den Wert für ein bestimmtes MIB-Element ab.

Get next Dieser Vorgang ruft den Wert und die OID von Elementen in der Reihenfolgeab, in der sie in einer MIB-Datei aufgeführt sind.

Trap Dieser Vorgang sendet SNMP-Trap-Nachrichten vom SNMP-Agent zumSNMP-Trap-Verwaltungstool. SNMP-Trap-Nachrichten enthalten Daten zubestimmten Aktionen, die eine BlackBerry UEM-Komponente durchführt.

| Überwachen von BlackBerry UEM mithilfe von SNMP-Tools | 113

http://support.microsoft.com

Systemanforderungen: SNMP-Überwachung


Unterstützte BlackBerryUEM-Komponenten

Sie können die SNMP-Überwachung für folgende BlackBerry UEM-Komponentenkonfigurieren:

• BlackBerry Affinity Manager• BlackBerry Cloud Connector• BlackBerry Dispatcher• BlackBerry MDS Connection Service• BlackBerry Router• BlackBerry Secure Connect Plus• BlackBerry Secure Gateway• BlackBerry UEM Core

Andere BlackBerry UEM-Komponenten unterstützen die SNMP-Überwachung nicht.

SNMP-Verwaltungstool Wenn das Verwaltungstool keinen MIB-Compiler aufweist, installieren Sie einenMIB-Compiler auf dem Computer, auf dem sich das Verwaltungstool befindet.

Wenn der SNMP-Dienst Trap-Nachrichten für Berichte über Serveraktivitätensenden soll, prüfen Sie, ob das Verwaltungstool ein SNMP-Trap-Verwaltungstoolumfasst. Sie können auch ein eigenständiges SNMP-Trap-Verwaltungstool aufeinem Computer, auf dem BlackBerry UEM gehostet wird, oder einem separatenComputer installieren.

Netzwerkzugriff Der Computer, auf dem das SNMP-Verwaltungstool oder ein eigenständigesSNMP-Trap-Verwaltungstool gehostet wird, muss in der Lage sein, auf Datender Computer, auf denen BlackBerry UEM installiert ist, zuzugreifen und diese zuempfangen.

SNMP-Dienst Installieren Sie auf den Computern, auf denen BlackBerry UEM installiert ist, einenSNMP-Dienst mit SNMP-Agent und SNMP-Trap-Dienst.

Ein SNMP-Dienst ist in den meisten Versionen von Windows enthalten. WeitereInformationen finden Sie unter support.microsoft.com.

Einstellungen für denSNMP-Dienst

Konfigurieren Sie auf den Computern, auf denen BlackBerry UEM installiert ist, inden Windows-Diensten die folgenden Einstellungen für den SNMP-Dienst:

• Einen gültigen SNMP-Community-Namen• Mindestens die Leseberechtigung für die SNMP-Community• Die IP-Adressen der Computer, von denen der SNMP-Dienst SNMP-Daten

annehmen kann.

MIBs für BlackBerry UEMDie MIBs für BlackBerry UEM befinden sich standardmäßig auf dem Computer, auf dem BlackBerry UEM installiertist, unter dem Pfad <Laufwerk> \Program Files\BlackBerry\UEM\Monitoring\bin\mib.


http://support.microsoft.com/

BlackBerry UEM enthält die folgenden MIBs, die Sie verwenden können, um Daten von BlackBerry UEM-Komponenten zu analysieren:

MIB-Datei Beschreibung

BES-BCCMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BlackBerry Cloud Connector

BES-BCCMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry CloudConnector-Objekte, die über das SNMP-Verwaltungstoolzugänglich und abrufbar sind

BES-BSCPMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BlackBerry Secure Connect Plus

BES-BSCPMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry SecureConnect Plus-Objekte, die über das SNMP-Verwaltungstoolzugänglich und abrufbar sind

BES-BSGMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BlackBerry Secure Gateway

BES-BSGMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten BlackBerry SecureGateway-Objekte, die über das SNMP-Verwaltungstoolzugänglich und abrufbar sind

BES-CoreEventingMIB-SMIV2 Enthält Definitionen der Traps und Benachrichtigungen, dievon BlackBerry UEM Core ausgegeben werden

BES-CoreMIB-SMIV2 Enthält eine Definition des OID-Strukturstamms für die SNMP-Schnittstelle von BlackBerry UEM Core

BES-CoreMonitoringMIB-SMIV2 Enthält Definitionen der verwalteten Objekte, die über dasSNMP-Verwaltungstool zugänglich und abrufbar sind

BES-EC-MIB-SMIV2 Enthält Definitionen verwalteter Objekte, Traps undBenachrichtigungen, die von folgenden Enterprise-Konnektivitätskomponenten von BlackBerry UEM ausgegebenwerden:

• BlackBerry Affinity Manager• BlackBerry Dispatcher• BlackBerry MDS Connection Service• BlackBerry Router

Kompilieren der MIB und Konfigurieren des SNMP-VerwaltungstoolsDamit die SNMP-Überwachungssoftware Ihres Unternehmens BlackBerry UEM-Komponenten überwachen kann,müssen Sie mithilfe des SNMP-Verwaltungstools die MIB-Dateien von BlackBerry UEM kompilieren. Wenn dasTool keinen MIB-Compiler umfasst, installieren Sie einen MIB-Compiler auf dem Computer, auf dem sich das Toolbefindet.


Bevor Sie beginnen: Weitere Informationen über die Verwendung des Tools zum Kompilieren einer MIB finden Siein der Dokumentation zum SNMP-Verwaltungstool.

1. Öffnen Sie auf dem Computer, auf dem BlackBerry UEM gehostet wird, <Laufwerk>\Programme\BlackBerry\UEM\Monitoring\bin\mib.

2. Verwenden Sie das SNMP-Verwaltungstool (oder einen separat installierten MIB-Compiler) zum Kompilierender MIB-Dateien.

Verwenden von SNMP zur Überwachung von KomponentenZur Überwachung der folgenden Komponenten mit SNMP müssen Sie die Einstellungen in der BlackBerry UEM-Verwaltungskonsole konfigurieren:

• BlackBerry UEM Core• BlackBerry Secure Connect Plus• BlackBerry Secure Gateway

BlackBerry UEM Core umfasst verschiedene Unterkomponenten, die für die Verwaltung der Geräte zuständig sind.Mit BlackBerry Secure Connect Plus können Sie einen sicheren IP-Tunnel zwischen Apps für den geschäftlichenBereich auf BlackBerry 10-, KNOX Workspace- und Android-Geräten mit Arbeitsprofil und dem Netzwerk IhrerOrganisation bereitstellen. BlackBerry Secure Gateway stellt eine sichere Verbindung für iOS-Geräte zum E-Mail-Server Ihres Unternehmens über die BlackBerry Infrastructure zur Verfügung.

SNMP-Konfiguration für die Überwachung von KomponentenUm SNMP für die Überwachung von BlackBerry UEM Core,BlackBerry Secure Connect Plus, BlackBerrySecure Gateway oder BlackBerry Cloud Connector zu verwenden, müssen Sie die Einstellungen in derVerwaltungskonsole konfigurieren.

1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > SMTP-Server.2. Erweitern Sie Globale Einstellungen, und aktivieren Sie das Kontrollkästchen SNMP-Überwachung aktivieren.3. Ersetzen Sie im Feld Community den Standardwert, indem Sie einen neuen Community-Namen eingeben.4. Geben Sie im Feld „IP-Adresse“ die IPv4-UDP-Adresse des Servers ein, auf dem das Trap-Verwaltungstool

installiert ist.5. Geben Sie in das Feld Port die Portnummer für das Trap-Verwaltungstool ein. Standardmäßig ist die

Portnummer 1620.6. Klicken Sie auf Speichern.7. Erweitern Sie den jeweiligen BlackBerry UEM-Instanznamen. Bei Bedarf können die Portnummern, die

BlackBerry UEM zum Empfangen von SNMP-Datenanforderungen verwenden soll, geändert werden. Diefolgenden Portnummern werden standardmäßig zugewiesen:

• BlackBerry UEM Core: 1610• BlackBerry Secure Connect Plus: 1611• BlackBerry Secure Gateway: 1612• BlackBerry Cloud Connector: 1613

Hinweis: Zum Ändern der Portnummer für den BlackBerry Cloud Connector, müssen Sie den Wertcom.rim.platform.mdm.zed.snmp.monitoring.udpport in der BlackBerry UEM-Datenbankbearbeiten.


Wenn Sie fertig sind: Führen Sie eine der folgenden Aufgaben aus:


• Wenn Sie für BlackBerry UEM Core die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM - UEMCore in den Windows-Diensten neu.

• Wenn Sie für BlackBerry Secure Connect Plus die Überwachung aktivieren, starten Sie den Dienst BlackBerryUEM - BlackBerry Secure Connect Plus in den Windows-Diensten neu.

• Wenn Sie für BlackBerry Secure Gateway die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM -BlackBerry Secure Gateway in den Windows-Diensten neu.

• Wenn Sie für BlackBerry Cloud Connector die Überwachung aktivieren, starten Sie den Dienst BlackBerry UEM- BlackBerry Cloud Connector in den Windows-Diensten neu.


GlossarADSI Active Directory Service Interfaces (Active Directory-

Dienstschnittstellen)

APNs Apple Push Notification service (Apple PushNotification-Dienst)

BES5 BlackBerry Enterprise Server 5

BES10 BlackBerry Enterprise Service 10

BlackBerry UEM-Instanz Unter einer BlackBerry UEM-Instanz ist eineInstallation des BlackBerry UEM Core sowie allerzugehörigen BlackBerry UEM-Komponenten, diemit diesem kommunizieren, zu verstehen. DieKomponenten können auf demselben oder aufmehreren Servern installiert werden. In einerBlackBerry UEM-Domäne können sich mehrereBlackBerry UEM-Instanzen befinden.

BlackBerry UEM-Domäne Eine BlackBerry UEM-Domäne besteht aus einerBlackBerry UEM-Datenbank, einer BlackBerry Control-Datenbank sowie sämtlichen BlackBerry UEM-Instanzen, die damit verbunden sind.

BES12 BlackBerry Enterprise Service 12

BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind,mit Ausnahme des BlackBerry Router, bei dem es sichum eine separat installierte optionale Komponentehandelt. Eine BES12-Instanz wird auch manchmal als„Einheit“ bezeichnet.

CAS Client Access Server (Client-Zugriffsserver)

CSR Certificate Signing Request (Anforderung für dieZertifikatssignatur)

DEP Device Enrollment Program (Programm zurGeräteregistrierung)

DNS Domain Name System (Domänennamensystem)

FQDN Fully Qualified Domain Name (vollständigerDomänenname)

HTTPS Hypertext Transfer Protocol over Secure SocketsLayer

| Glossar | 118

IIS Internet Information Services (Internet-Informationsdienste)

LDAP Lightweight Directory Access Protocol(Anwendungsprotokoll)

MIB Management Information Base (Datenbasis fürNetzwerkmanagement)

MMC Microsoft Management Console

OID Objektbezeichner

PAC Proxy Auto Configuration (Proxy-Autokonfiguration)

PAP

SCEP Simple Certificate Enrollment-Protokoll

SMTP Simple Mail Transfer Protocol (einfachesNachrichtenübertragungsprotokoll) ist ein TCP/IP-Protokoll, das zusammen mit POP oder IMAP für dasSenden und Empfangen von Nachrichten über einNetzwerk wie das Internet verwendet wird.

SNMP Simple Network Management Protocol (einfachesNetzwerkverwaltungsprotokoll)

SPN Ein SPN (Service Principal Name -Dienstprinzipalname) ist ein Attribut eines Benutzersoder einer Gruppe in Microsoft Active Directory, dasdie gegenseitige Authentifizierung zwischen einemClient eines Kerberos-fähigen Diensts und einemKerberos-fähigen Dienst unterstützt. Ein MicrosoftActive Directory-Konto kann eine oder mehrere SPNshaben.

SRP Server Routing Protocol

SSL Secure Sockets Layer (Netzwerkprotokoll zur sicherenÜbertragung von Daten)

TCP Transmission Control Protocol(Übertragungssteuerungsprotokoll)

TCP/IP Transmission Control Protocol/InternetProtocol (Transmission Control-Protokoll/Internetprotokoll) bezeichnet einen Satzvon Kommunikationsprotokollen, der für dieDatenübertragung über Netzwerke wie das Internetverwendet wird.

| Glossar | 119

TLS Transport Layer Security (Netzwerkprotokoll zursicheren Datenübertragung)

| Glossar | 120

Rechtliche Hinweise©2018 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BBM, BES, EMBLEMDesign, ATHOC, MOVIRTU und SECUSMART, sind Marken oder eingetragene Marken von BlackBerry Limited,deren Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Dasexklusive Recht an diesen Marken wird ausdrücklich vorbehalten. Alle anderen Marken sind Eigentum ihrerjeweiligen Inhaber.

Microsoft, Active Directory, ActiveSync, Internet Explorer, Microsoft Edge, Microsoft Exchange, MicrosoftExchange Server, Microsoft Exchange Management Console, Microsoft Internet Information Services, SQL Server,Windows, Windows Phone, Windows PowerShell und Windows Server sind Marken oder eingetragene Marken derMicrosoft Corporation in den USA und/oder anderen Ländern. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz vonApple Inc. verwendet. Apple und macOS sind Marken von Apple Inc. Android und Google Chrome are trademarksof Google Inc. Mozilla und Firefox sind Marken der Mozilla Foundation. KNOX und Samsung KNOX sind Markenvon Samsung Electronics Co., Ltd. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.

Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alleüber die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeitbereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oderGarantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt.BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitigeUngenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologieist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und dievertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behältsich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry istjedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitigbzw. überhaupt in Kenntnis zu setzen.

Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software,Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oderWebsites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einflussauf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltungder Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oderandere Aspekte der Drittprodukte und -dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste indieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oderdes Drittanbieters durch BlackBerry.

SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGTIST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN,GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNEEINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGENHINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK,MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER,ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜRZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT,USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DERDOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VONSOFTWARE, HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIEHIER VERWIESEN WIRD. MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE.IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTERGEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANGWERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANGMIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN

| Rechtliche Hinweise | 121

DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DERDOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.

IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASSHAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANGMIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNGJEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUGGENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN:DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE,KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCHAUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNENODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN,VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNGBZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN,PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTENUND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEITVON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIME-DIENSTEN,KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDEREVERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHTABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDENHINGEWIESEN WURDE.

IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASSÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIEVERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜRFAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG.

DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSEGELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN,EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHERDELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHENVERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARINENTHALTENEN RECHTSBEHELFS WIRKSAM; UND GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGENUNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICHAIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRY-DISTRIBUTOREN (EBENFALLS EINSCHLIESSLICHAIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGENAUFTRAGNEHMER.

ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIEFÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGENAUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISEIM ZUSAMMENHANG MIT DER DOKUMENTATION.

Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dassIhr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. EinigeMobilfunkanbieter bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einemAbonnement für BlackBerry® Internet Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglichVerfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendungvon Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-,Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt inIhrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen,ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oderverwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukteund -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohneMängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oderGewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang


keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu denBedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklichvon einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird.

Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenzoder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTENBESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODERGEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSERKRAFT.

BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.

BlackBerry Limited2200 University Avenue EastWaterloo, OntarioCanada N2K 0A7

BlackBerry UK Limited200 Bath RoadSlough, Berkshire SL1 3XEUnited Kingdom

Veröffentlicht in Kanada


http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp

http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp

Documents

BUEM-Konfigurationshandbuch (lokal, PDF-HTML)...Füge neue Peripheriegeräte hinzu Wenn Sie irgendwelche BlackBerry Dynamics-Zertifikate zu Peripheriegeräten in Ihrem Netzwerk hinzugefügt