Konfigurationshandbuc h

Transkript

1 Konfigurationshandbuc h BlackBerry UEM Version 12.6 Maintenance Release 1

2 Veröffentlicht: SWD

3 Inhalt Info zu diesem Handbuch... 8 Erste Schritte...9 Erstmaliges Konfigurieren von BlackBerry UEM...9 Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten Administratorberechtigungen, die für die Konfiguration von BlackBerry UEM benötigt werden Abrufen und Aktivieren von Lizenzen...15 BlackBerry Enterprise Mobility Suite-Dienste...15 Hinzufügen vertrauenswürdiger Zertifikate...17 Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats...17 Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats...17 Ändern des von den BlackBerry Web Services verwendeten Zertifikats Ändern des von den BlackBerry Web Services verwendeten Zertifikats Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf ios-geräten verwendeten Zertifikats...19 Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf ios-geräten verwendeten Zertifikats...19 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Senden von Daten über einen TCP-Proxyserver an die BlackBerry Infrastructure Vergleichen von TCP-Proxys...23 Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-Servers Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server...24 Senden von Daten über den BlackBerry Router an die BlackBerry Infrastructure Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry Router...25 Konfigurieren von Verbindungen über interne Proxy-Server Konfigurieren von serverseitigen Proxyeinstellungen...26 Herstellen einer Verbindung zu Unternehmensverzeichnissen...27 Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält...28 Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz Herstellen der Verbindung zu einem LDAP-Verzeichnis Aktivieren von per Verzeichnis verknüpften Gruppen... 32

4 Aktivieren von Onboarding Aktivieren und Konfigurieren von Onboarding und Offboarding Synchronisieren einer UnternehmensverzeichnisVerbindung...36 Vorschau des Synchronisationsberichts Anzeigen eines Synchronisierungsberichts...36 Hinzufügen eines Synchronisationsplans Synchronisieren von Good Control mit BlackBerry UEM...38 Voraussetzungen: Synchronisieren von Good Control mit BlackBerry UEM Synchronisieren von Good Control mit BlackBerry UEM Herstellen einer Verbindung zu einem SMTP-Server zum Senden von - Benachrichtigungen Herstellen einer Verbindung zu einem SMTP-Server zum Senden von -Benachrichtigungen Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung Einmalige Anmeldung für BlackBerry UEM einrichten Konsolen-URLs für die einmalige Anmeldung Anforderungen an den Browser für die einmalige Anmeldung...45 Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X-Geräten...47 Abrufen einer signierten CSR von BlackBerry...47 Anfordern eines APNs-Zertifikats von Apple...48 Registrieren des APNs-Zertifikats Erneuern des APNs-Zertifikats Fehlerbehebung: APNs Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR Ich kann ios- oder OS X-Geräte nicht aktivieren Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service Konfigurieren von Berechtigungen für Gatekeeping Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync...54 Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping...55

5 Erstellen einer Gatekeeping-Konfiguration...56 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work...59 Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne Entfernen der Android for Work-Verbindung mithilfe Ihres Google-Kontos...61 Bearbeiten oder Testen der Android for Work-Verbindung Verwalten von Nachweisen für Samsung KNOX-Geräte...63 Konfigurieren von BlackBerry UEM für DEP...64 Erstellen eines DEP-Kontos Herunterladen eines öffentlichen Schlüssels Generieren eines Server-Tokens Registrieren des Server-Tokens bei BlackBerry UEM Hinzufügen einer Registrierungskonfiguration Aktualisieren des Server-Tokens...66 Entfernen der DEP-Verbindung...67 Einrichten von BlackBerry UEM Self-Service für Benutzer BlackBerry UEM Self-Service einrichten...68 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten...70 Architektur: Hohe Verfügbarkeit für BlackBerry UEM Lastverteilungsdaten für BlackBerry 10-Geräte Hohe Verfügbarkeit und der BlackBerry Connectivity Node...73 Überprüfung des Zustands von Komponenten durch BlackBerry UEM Installieren einer zusätzlichen BlackBerry UEM-Instanz...75 Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung...77 Datenbank mit hoher Verfügbarkeit für Komponenten zur Verwaltung von BlackBerry OS-Geräten Schritte zum Konfigurieren der Datenbankspiegelung Systemanforderungen: Datenbankspiegelung Voraussetzungen: Konfigurieren der Datenbankspiegelung...80 Erstellen und Konfigurieren einer Spiegeldatenbank...80 Herstellen der Verbindung von BlackBerry UEM zur Spiegeldatenbank Konfigurieren einer neuen Spiegeldatenbank... 82

6 Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen zu Exchange ActiveSync herzustellen...83 Konfigurieren von BlackBerry UEM, sodass das Exchange ActiveSync-Serverzertifikat als vertrauenswürdig erkannt wird Konfigurieren von BlackBerry UEM zur Verwendung der TLS-Versionen und der Chiffrierschlüssel, die Exchange ActiveSync unterstützt Vereinfachung von Windows 10-Aktivierungen Bereitstellen eines Suchdienstes zur Vereinfachung von Windows 10-Aktivierungen Konfigurieren von BlackBerry UEM für die Synchronisierung mit dem Windows Store für Unternehmen...89 Erstellen und Konfigurieren eines Microsoft Azure-Kontos Erhalten der Client-ID, des Client-Schlüssels und des OAuth 2.0-Token-Endpunktes Erstellen eines Administrators für den Windows Store für Unternehmen...91 Aktivieren der App in Windows Store für Unternehmen Entfernen der Verbindung zum Windows Store für Unternehmen Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank...93 Voraussetzungen: Migrieren von Benutzern, Geräten, Gruppen und anderen Daten aus einer Quelldatenbank Herstellen einer Verbindung zu einer Quelldatenbank...94 Bewährte Verfahren: Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank...96 Migrieren von IT-Richtlinien, Profilen und Gruppen aus einer Quelldatenbank...98 Bewährte Verfahren: Migrieren von Benutzern aus einer Quelldatenbank...98 Migrieren von Benutzern aus der Quelldatenbank Migrieren von Geräten aus der Quelldatenbank Migrieren von DEP-Geräten Migrieren von DEP-Geräten mit installiertem BlackBerry UEM Client Migrieren von DEP-Geräten ohne BlackBerry UEM Client Konfigurieren von BlackBerry Control und BlackBerry Proxy Verwalten der Prioritätszuweisung von BlackBerry Control-Instanzen Verwalten von BlackBerry Proxy-Clustern Konfigurieren von Direct Connect oder eines Web-Proxy für BlackBerry Proxy-Verbindungen Konfigurieren von BlackBerry Control-Eigenschaften BlackBerry Control-Eigenschaften Konfigurieren von Zertifikaten für BlackBerry Dynamics-Apps Konfigurieren der Gültigkeitsdauer für Clientzertifikate

7 Konfigurieren von PKI-Verbindungen für BlackBerry Dynamics-Apps PKI-Konnektorinteraktionen Integrieren von BlackBerry UEM mit Cisco ISE Anforderungen: Integration von BlackBerry UEM und Cisco ISE Erstellen Sie ein Administratorkonto, das von Cisco ISE verwendet werden kann Hinzufügen des BlackBerry Web Services-Zertifikats zum Cisco ISE-Zertifikatspeicher Verbinden von BlackBerry UEM mit Cisco ISE Beispiel: Authentifizierungsrichtlinienregeln für BlackBerry UEM Verwalten von Netzwerkzugriff und Gerätesteuerelementen über Cisco ISE Umleiten von Geräten, die nicht unter BlackBerry UEM aktiviert wurden Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden Schritte zum Konfigurieren des BlackBerry MDS Connection Service Konfigurieren des BlackBerry MDS Connection Service Einstellungen für Komponenteninformationen Konfigurieren von BlackBerry MDS Connection Service Konfigurieren der Push-Informationen für den BlackBerry MDS Connection Service Einstellungen für Push-Informationen Konfigurieren von Push-Informationen Konfigurieren des BlackBerry MDS Connection Service-Schlüsselspeichers Schlüsselspeichereinstellungen Konfigurieren des Schlüsselspeichers Konfigurieren von BlackBerry MDS Connection Service-Proxyzuordnungen Festlegen der Rangfolge der Proxyzuordnungen Überwachen von BlackBerry UEM mithilfe von SNMP-Tools Unterstützte SNMP-Vorgänge Systemanforderungen: SNMP-Überwachung MIBs für BlackBerry UEM Kompilieren der MIB und Konfigurieren des SNMP-Verwaltungstools Verwenden von SNMP zur Überwachung von Komponenten SNMP-Konfiguration für die Überwachung von Komponenten Glossar Rechtliche Hinweise...149

8 Info zu diesem Handbuch Info zu diesem Handbuch 1 BlackBerry UEM unterstützt Sie bei der Verwaltung von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), ios, OS X, Android und Windows in Ihrem Unternehmen. In diesem Handbuch finden Sie Anweisungen, wie Sie BlackBerry UEM entsprechend dem Bedarf Ihres Unternehmens konfigurieren. Es ist für erfahrene IT-Mitarbeiter gedacht, die mit der Einrichtung und Bereitstellung des Produkts betraut sind. Bevor Sie die Schritte in diesem Handbuch abschließen können, müssen Sie das Produkt installieren undlizenzen aktivieren.installationsanweisungen finden Sie in derdokumentation zu Installation und Upgrade.Weitere Informationen zur Aktivierung von Lizenzenfinden Sie in der Dokumentation zur Lizenzierung. Wenn Sie die in diesem Handbuch beschriebenen Schritte ausgeführt haben,lesen Sie in der Dokumentation für Administratorenlesen Sie in der Dokumentation für Administratoren nach, wie Sie dieblackberry UEM-Domäne verwalten. 8

9 Erste Schritte Erste Schritte 2 Erstmaliges Konfigurieren von BlackBerry UEM In der folgenden Tabelle werden die in diesem Handbuch beschriebenen Konfigurationsaufgaben zusammengefasst. Die Schritte sind je nach Unternehmensanforderungen optional. Verwenden Sie diese Tabelle, um zu bestimmen, welche Konfigurationsschritte ausgeführt werden müssen. Nach Durchführung der entsprechenden Schritte sind Sie bereit, Administratoren und Gerätekontrollen einzurichten, Benutzer und Gruppen zu erstellen und Geräte zu aktivieren. Aufgabe Standardzertifikate durch vertrauenswürdige Zertifikate ersetzen BlackBerry UEM zum Senden von Daten über einen Proxyserver konfigurieren Konfigurieren von Verbindungen über interne Proxyserver Herstellen einer Verbindung zwischen BlackBerry UEM und Unternehmensverzeichnissen Synchronisieren von Good Control mit BlackBerry UEM Erforderlich oder optional Optional Optional Optional Optional Optional Beschreibung Sie können das Standard-SSL-Zertifikat, das von den BlackBerry UEM- Konsolen verwendet wird, sowie das Standard-Zertifikat, das von BlackBerry UEM zum Signieren des MDM-Profils für ios-geräte verwendet wird, durch vertrauenswürdige Zertifikate ersetzen. Sie können BlackBerry UEM so konfigurieren, dass Daten zuerst über einen TCP-Proxyserver oder eine Instanz des BlackBerry Router gesendet werden, bevor sie die BlackBerry Infrastructure erreichen. Wenn Ihr Unternehmen einen Proxyserver für Verbindungen zwischen den Servern in Ihrem Netzwerk nutzt, müssen Sie die serverseitigen Proxyeinstellungen möglicherweise so konfigurieren, dass BlackBerry UEM Core mit Remote-Instanzen der Verwaltungskonsole kommunizieren kann. Sie können BlackBerry UEM mit einem oder mehreren Unternehmensverzeichnissen verbinden, z. B. Microsoft Active Directory oder ein LDAP-Verzeichnis, sodass BlackBerry UEM zum Erstellen von Benutzerkonten auf Benutzerdaten zugreifen kann. Nach der Installation von BlackBerry UEM in einer Umgebung mit einem bestehenden Good Control-Server müssen Sie Good Control mit BlackBerry UEM synchronisieren, um die BlackBerry UEM-Funktionen zu aktivieren. 9

10 Erste Schritte Aufgabe Herstellen einer Verbindung zwischen BlackBerry UEM und einem SMTP-Server Konfigurieren der einmaligen Anmeldung für BlackBerry UEM- Administratoren Abrufen und Registrieren eines APNs-Zertifikats Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Verwalten von Nachweisen für Samsung KNOX-Geräte BlackBerry UEM für das Programm zur Geräteregistrierung von Apple konfigurieren BlackBerry UEM Self-Service einrichten Erforderlich oder optional Optional Optional Optional Optional Optional Optional Optional Optional Beschreibung Wenn Sie möchten, dass BlackBerry UEM Aktivierungs- s und andere Benachrichtigungen an Benutzer sendet, müssen Sie die Einstellungen für den SMTP-Server festlegen, den BlackBerry UEM verwenden kann. Wenn Sie eine Verbindung zwischen BlackBerry UEM und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service zugreifen können. Wenn Sie ios- oder OS X-Geräte verwalten und Daten an diese Geräte senden möchten, müssen Sie eine signierte CSR von BlackBerry abrufen, mit dieser ein APNs-Zertifikat von Apple abrufen und das APNs-Zertifikat bei der BlackBerry UEM-Domäne registrieren. Wenn Sie Microsoft Exchange so konfiguriert haben, dass Geräten der Zugriff auf geschäftliche s und Terminplanerdaten nur dann gewährt wird, wenn die Geräte einer Positivliste hinzugefügt wurden, müssen Sie eine Microsoft Exchange-Konfiguration in BlackBerry UEM erstellen. Zur Unterstützung von Android for Work müssen Sie Ihre G Suite- bzw. Google Cloud-Domäne zur Unterstützung der Verwaltung mobiler Geräte von Drittanbietern und BlackBerry UEM für die Kommunikation mit Ihrer G Suite- bzw. Google Cloud-Domäne konfigurieren. Wenn Sie Nachweise aktivieren, sendet BlackBerry UEM Anforderungen zum Testen der Authentizität und der Integrität von Samsung KNOX-Geräten. Wenn Sie die BlackBerry UEM-Verwaltungskonsole zum Verwalten der ios-geräte verwenden möchten, die von Ihrem Unternehmen von Apple für das Programm zur Geräteregistrierung (DEP) erworben wurden, müssen Sie diese Funktion konfigurieren. Wenn Sie die Ausführung bestimmter Verwaltungsaufgaben durch Benutzer zulassen möchten, z. B. Ändern von Kennwörtern, können Sie die BlackBerry UEM Self-Service-Webanwendung einrichten und verteilen. 10

11 Erste Schritte Aufgabe BlackBerry Enterprise Identity aktivieren Konfigurieren von hoher Verfügbarkeit Datenbankspiegelung konfigurieren Konfigurieren von BlackBerry UEM, um TLS/SSL-Verbindungen mit Exchange ActiveSync herzustellen Konfigurieren des Netzwerks zur Vereinfachung von Windows 10- Aktivierungen konfigurieren BlackBerry UEM für die Synchronisierung mit Windows Store für Unternehmen konfigurieren Benutzer, Gruppen und andere Daten aus BES10 oderblackberry UEM migrieren BlackBerry Control und BlackBerry Proxy konfigurieren Zertifikate für BlackBerry Dynamics-Apps konfigurieren Erforderlich oder optional Optional Optional Optional Optional Optional Optional Optional Optional Optional Beschreibung Sie können BlackBerry Enterprise Identity aktivieren, um Benutzern per einmaliger Anmeldung (SSO) Zugriff auf Dienstanbieter wie beispielsweise Box, Concur, Dropbox, Salesforce, Arbeitsbereiche und weitere zu gewähren. Um Dienstunterbrechungen für Benutzer minimal zu halten, können Sie mehrere aktive BlackBerry UEM-Instanzen installieren. Um den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BlackBerry UEM-Datenbank auftreten, können Sie eine Failover-Datenbank als Sicherung der Prinzipaldatenbank installieren und konfigurieren. Wenn Sie den BlackBerry Secure Gateway Service aktivieren, um eine sichere Verbindung zwischen Ihrem -Server und ios-geräten mit der Aktivierungsart MDM-Steuerelemente zur Verfügung zu stellen, müssen Sie ggf. das Exchange ActiveSync-Serverzertifikat zu BlackBerry UEM hinzufügen. Sie können diesen Vorgang zur Aktivierung von Windows 10-Geräten vereinfachen, indem Sie Konfigurationsänderungen an Ihrem Netzwerk vornehmen, sodass die Benutzer keine Serveradresse mehr eingeben müssen. Wenn Sie Windows 10-Apps verwalten möchten, müssen Sie BlackBerry UEM zur Synchronisierung mit dem Windows Store für Unternehmen konfigurieren. Über die Verwaltungskonsole können Sie Benutzer, Geräte, Gruppen und andere Daten von einer lokalen BES10- bzw. BES12- Quelldatenbank oder einer BlackBerry UEM-Datenbank migrieren. Sie können BlackBerry Control und BlackBerry Proxy so konfigurieren, dass die Standards und Anforderungen Ihres Unternehmens erfüllt werden. Wenn BlackBerry Dynamics-Apps auf Benutzergeräten Clientzertifikate verwenden sollen, können Sie Zertifikate auf einzelne Benutzerkonten hochladen oder eine PKI-Verbindung definieren, über die BlackBerry UEM Clientzertifikate von Ihrer Zertifizierungsstelle automatisch anmelden und an die Geräte senden kann. 11

12 Erste Schritte Aufgabe Integrieren von BlackBerry UEM mit Cisco ISE Konfigurieren, wie Daten per Push auf BlackBerry 10-Geräte übertragen werden SNMP-Überwachung konfigurieren Erforderlich oder optional Optional Optional Optional Beschreibung Sie können eine Verbindung zwischen Cisco ISE und BlackBerry UEM herstellen, damit Cisco ISE Gerätedaten aus BlackBerry UEM abrufen und die Steuerung des Netzwerkzugriffs durchsetzen kann. Sie können anpassen, wie BlackBerry UEM Push-Daten an BlackBerry 10-Geräte sendet. Mithilfe von SNMP-Tools von Drittanbietern können Sie die Aktivität von BlackBerry UEM-Komponenten überwachen. Konfigurationsschritte für die Verwaltung von BlackBerry OS-Geräten Wenn die BlackBerry UEM-Domäne Ihres Unternehmens Geräte mit BlackBerry OS (Version 5.0 bis 7.1) unterstützt, können Sie die Verwaltung von BlackBerry OS-Geräten individualisieren. Wenn Sie ein Upgrade von BES5 auf BlackBerry UEM durchgeführt haben, bleiben die Konfigurationen der BES5-Komponenten nach dem Upgrade intakt, sodass keine weiteren Konfigurationsschritte erforderlich sind. Anweisungen für den jeweiligen Schritt, der in der Tabelle beschrieben wird, finden Sie unter help.blackberry.com/detectlang/ category/enterprise-services im BlackBerry Enterprise Server Installations- und Konfigurationshandbuch für 5 oder im BlackBerry Enterprise Server Administratorhandbuch für 5. Durchzuführende Aufgabe Festlegen, welcher Dienst Kalenderdaten verwaltet Standardmäßig übernimmt Microsoft Exchange Web Services die Verwaltung von Kalenderdaten für BlackBerry OS-Geräte. Wenn ein Benutzer nicht die Berechtigung zum Verwenden dieses Dienstes aufweist, werden die Kalenderdaten des Benutzers mithilfe von MAPI- und CDO-Bibliotheken verwaltet. Sie können entscheiden, ob Kalenderdaten ausschließlich über Microsoft Exchange Web Services oder ausschließlich über MAPI- und CDO-Bibliotheken verwaltet werden sollen. Verwenden des SNMP-Diensts zur Überwachung der Komponenten, die BlackBerry OS-Geräte verwalten Ressource Installations- und Konfigurationshandbuch Aufgaben nach der Installation: Konfigurieren des BlackBerry Enterprise Server für die Verwendung von Microsoft Exchange Web Services Installations- und Konfigurationshandbuch 12

13 Erste Schritte Durchzuführende Aufgabe Ressource Aufgaben nach der Installation: Konfigurieren eines Computers für die Überwachung Mithilfe einer Enterprise Service Policy steuern, welche BlackBerry OS-Geräte auf BlackBerry UEM zugreifen können Administratorhandbuch Konfigurieren von Sicherheitsoptionen: Verwalten des Zugriffs von Geräten auf den BlackBerry Enterprise Server Konfigurieren von BlackBerry MDS Connection Service, BlackBerry Collaboration Service und BlackBerry Administration Service, sodass Daten über einen Proxy-Server gesendet werden Konfigurieren hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten Administratorhandbuch Konfiguration der BlackBerry Enterprise Server- Umgebung Administratorhandbuch Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise Server Konfigurieren hoher Verfügbarkeit für BlackBerry Enterprise Server-Komponenten Konfigurieren hoher Verfügbarkeit für BlackBerry Configuration Database Ändern der Handhabung von Push-Daten und des benutzerseiteigen Zugriffs auf Webinhalte durch BlackBerry MDS Connection Service für BlackBerry OS-Geräte Administratorhandbuch Konfigurieren des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte Verwalten des Zugriffs von Benutzern auf Unternehmensanwendungen und Webinhalte Verwenden von Erweiterungs-Plug-Ins für die Verarbeitung von und Änderungen an -Nachrichten und Anlagen auf BlackBerry OS-Geräten Administratorhandbuch Einrichten der Nachrichtenumgebung: Erweiterungs-Plug-Ins für die Verarbeitung von Nachrichten Zulassen, dass BlackBerry OS-Geräte Zertifikate für die Authentifizierung bei Anwendungen oder Netzwerken anmelden Administratorhandbuch Konfigurieren von BlackBerry-Geräten zur Zertifikatregistrierung über das Drahtlosnetzwerk 13

14 Erste Schritte Durchzuführende Aufgabe Zulassen, dass Benutzer von BlackBerry OS-Geräten Selbsthilfeaufgaben mithilfe des BlackBerry Web Desktop Manager ausführen Ressource Administratorhandbuch Bereitstellen von BlackBerry Web Desktop Manager für Benutzer Konfigurieren des BlackBerry Web Desktop Manager Ändern, wie Apps, OS-Updates und Einstellungen an BlackBerry OS-Geräte gesendet werden Administratorhandbuch Handhabung der Übermittlung von BlackBerry Java Applications, BlackBerry Device Software und Geräteeinstellungen an BlackBerry-Geräte Ändern der Synchronisierung von Terminplanerdaten für Benutzer von BlackBerry OS-Geräten Administratorhandbuch Verwalten der Synchronisierung von Terminplanerdaten Ändern der Nachrichtenkonfiguration und der Anlagenunterstützung für Komponenten, die BlackBerry OS- Geräte verwalten Administratorhandbuch Verwalten der Nachrichtenumgebung Ihres Unternehmens und Unterstützung von Anlagen Ändern verschiedener Protokolldateieinstellungen, z. B. Speicherort, Detailebene und Maximalgröße Administratorhandbuch BlackBerry Enterprise Server-Protokolldateien Überprüfen und ggf. Ändern der Ports, die von Komponenten verwendet werden, die BlackBerry OS-Geräte verwalten Administratorhandbuch BlackBerry Enterprise Solution-Verbindungstypen und -Portnummern Administratorberechtigungen, die für die Konfiguration von BlackBerry UEM benötigt werden Wenn Sie die in diesem Handbuch beschriebenen Konfigurationsschritte ausführen, melden Sie sich mit dem während der Installation vonblackberry UEMerstellten Administratorkonto bei der Verwaltungskonsole an. Wenn mehrere Personen Konfigurationsaufgaben durchführen sollen, können Sie zusätzliche Administratorkonten erstellen. Weitere Informationen zum Erstellen von Administratorkontenfinden Sie in der Dokumentation für Administratoren. 14

15 Erste Schritte Wenn Sie zusätzliche Administratorkonten für die Konfiguration von BlackBerry UEM erstellen, müssen Sie den Konten die Sicherheitsadministratorrolle zuweisen. Die Standard-Sicherheitsadministratorrolle weist die erforderlichen Berechtigungen für die Ausführung aller Konfigurationsaufgaben auf. Abrufen und Aktivieren von Lizenzen Um die Geräte in der BlackBerry UEM-Domäne Ihres Unternehmens zu aktivieren, müssen Sie die erforderlichen Lizenzen abrufen und aktivieren. Die Lizenzen müssen aktiviert werden, bevor Sie die Konfigurationsanweisungen in diesem Handbuch ausführen und Benutzerkonten hinzufügen können. Weitere Informationen zu den unterschiedlichen Lizenztypen und zur Aktivierung von Lizenzenfinden Sie in der Dokumentation zur Lizenzierung BlackBerry Enterprise Mobility Suite-Dienste Neben den Sicherheits- und Produktivitätsfunktionen von BlackBerry UEM bietet BlackBerry weitere Dienste, die den Wert Ihrer BlackBerry UEM-Domäne steigern, indem sie die individuellen Anforderungen Ihres Unternehmens erfüllen. Sie können die nachfolgenden Dienste hinzufügen und sie über die BlackBerry UEM-Verwaltungskonsole verwalten: Diensttyp Name und Beschreibung des Dienstes Enterprise-Dienste BlackBerry Workspaces ermöglicht Benutzern das sichere Zugreifen auf, Synchronisieren, Bearbeiten und Freigeben von Dateien und Ordnern auf Windows- und Mac OS-Tablets und -Computern sowie auf Android-, ios und BlackBerry 10-Geräten. BlackBerry Workspaces schützt Dateien durch die Anwendung von DRM-Steuerelementen, um den Zugriff auch bei gemeinsamer Verwendung außerhalb Ihres Unternehmens einzuschränken. BlackBerry Enterprise Identity ermöglicht den Zugriff per einmaliger Anmeldung (Single Sign-On, SSO) auf Dienstanbieter wie BlackBerry Workspaces, Box, Workday, WebEx, Salesforce, Google Apps for Work und weitere. Sie können auch Unterstützung für benutzerdefinierte SaaS-Dienste hinzufügen. BlackBerry 2FA schützt den Zugang auf die kritischen Ressourcen Ihres Unternehmens mithilfe der Zwei-Faktor-Authentifizierung. BlackBerry 2FA fordert ein Kennwort von Benutzern und zeigt jedes Mal eine Sicherheitsaufforderung auf ihrem Android-, ios- oder BlackBerry 10-Gerät an, wenn diese auf Ressourcen zugreifen möchten. 15

16 Erste Schritte Diensttyp Name und Beschreibung des Dienstes BlackBerry Dynamics-Plattform Der BlackBerry Enterprise Mobility Server (BEMS) stellt zusätzliche Dienste für BlackBerry Dynamics-Apps bereit. BEMS integriert die folgenden Dienste: BlackBerry Mail, BlackBerry Connect, BlackBerry Presence und BlackBerry Docs. Wenn diese Dienste integriert wurden, können Benutzer über sicheres Instant Messaging miteinander kommunizieren, die Verfügbarkeit von Benutzern in BlackBerry Dynamics-Apps in Echtzeit abrufen und auf geschäftliche Dateiserver und Microsoft SharePoint-Dokumente zugreifen, diese synchronisieren und teilen. Das BlackBerry Dynamics SDK ermöglicht es den Entwicklern, sichere Apps für Android- und ios-geräte sowie Mac OS- und Windows-Computer zu erstellen. Dies ist die Client-Seite der BlackBerry Dynamics-Plattform. BlackBerry Dynamics- Produktivitätsanwendungen BlackBerry Work beinhaltet alles, was Benutzer benötigen, um sicher mobil zu arbeiten, darunter Zugriff auf s, Kalender und Kontakte (vollständige Synchronisierung mit Microsoft Exchange). Die App ermöglicht zudem erweiterte Zusammenarbeitsfunktionen für Dokumente. BlackBerry Work trennt geschäftliche von persönlichen Daten und kann problemlos auch ohne MDM-Profile auf dem Gerät in andere geschäftliche Apps integriert werden. BlackBerry Access ermöglicht den Benutzern, von einem beliebigen Mobilgerät über eine sichere Verbindung auf das Intranet des Unternehmens zuzugreifen. BlackBerry Connect verbessert die Kommunikation und Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers. BlackBerry Share ermöglicht es Benutzern durch die Integration von Microsoft SharePoint und anderen geschäftlichen Repositories auf den jeweiligen Geräten, über eine sichere Verbindung auf Dokumente zuzugreifen, diese herunterzuladen und zu teilen. BlackBerry Tasks ermöglicht Benutzern, Notizen, die mit Microsoft Exchange auf Android- und ios-geräten synchronisiert wurden, zu erstellen, zu bearbeiten und zu verwalten. BlackBerry Notes ermöglicht Benutzern, Notizen, die mit Microsoft Exchange auf einem beliebigen Mobilgerät synchronisiert wurden, zu erstellen, zu bearbeiten und zu verwalten. 16

17 Hinzufügen vertrauenswürdiger Zertifikate Hinzufügen vertrauenswürdiger Zertifikate 2 Wenn Sie BlackBerry UEM installieren, erstellt die Setup-Anwendung die folgenden selbstsignierten Zertifikate: Ein SSL-Zertifikat, das von den BlackBerry UEM-Konsolen zum Herstellen von HTTPS-Verbindungen mit Browsern verwendet wird Ein SSL-Zertifikat, das vom BlackBerry Web Services zum Herstellen von HTTPS-Verbindungen mit Anwendungen verwendet wird Ein Zertifikat, das von BlackBerry UEM zum Signieren des an ios-geräte gesendeten MDM-Profils gesendet wird Da es sich bei den Zertifikaten um selbstsignierte Zertifikate handelt, erhalten die Administratoren und Benutzer eine Warnmeldung mit dem Hinweis, dass die Zertifikate nicht verifiziert werden können. Sie können die selbstsignierten Zertifikate durch vertrauenswürdige Zertifikaten ersetzen, die von einer Zertifizierungsstelle signiert wurden. Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, erzeugt die Setupanwendung ein selbst-signiertes SSL-Zertifikat, mit dem sich die folgenden Komponenten bei Browsern authentifizieren können: BlackBerry UEM-Verwaltungskonsole BlackBerry UEM Self-Service Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen, sodass Administratoren und Benutzer keine Warnmeldung von ihren Browsern mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. Ändern des von den BlackBerry UEM-Konsolen verwendeten Zertifikats Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. BlackBerry UEM unterstützt Zertifikate im PFX-Format entweder mit der Dateinamenerweiterung.pfx oder.p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen, 17

18 Hinzufügen vertrauenswürdiger Zertifikate das den Namen der BlackBerry UEM-Domäne verwendet. Sie finden den BlackBerry UEM-Domänennamen in der Verwaltungskonsole unter Einstellungen > Infrastruktur > Instanzen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt SSL-Zertifikat für Konsolen auf Details anzeigen. 3. Klicken Sie auf Zertifikat ersetzen. 4. Klicken Sie auf Durchsuchen. 5. Wählen Sie das zu verwendende -Profil aus. 6. Klicken Sie auf Öffnen. 7. Geben Sie das Verschlüsselungskennwort ein. 8. Klicken Sie auf Ersetzen. 9. Starten Sie den BlackBerry UEM Core-Dienst auf allen Servern neu. Ändern des von den BlackBerry Web Services verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, generiert die Setupanwendung ein selbst signiertes SSL-Zertifikat, das der BlackBerry Web Services zur Authentifizierung von Anwendungen verwendet, die die BlackBerry Web Services APIs zum Verwalten von BlackBerry UEM nutzen. Sie können das Zertifikat ändern, um eine vertrauenswürdige Beziehung herzustellen und zu vermeiden, dass Administratoren eine Warnmeldung mit dem Hinweis erhalten, dass das Zertifikat nicht verifiziert werden kann. Sie können ein vertrauenswürdiges SSL-Zertifikat hinzufügen, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. Ändern des von den BlackBerry Web Services verwendeten Zertifikats Bevor Sie beginnen: Rufen Sie ein SSL-Zertifikat ab, das von einer externen Zertifizierungsstelle oder einer Zertifizierungsstelle Ihres Unternehmens signiert wurde. BlackBerry UEM unterstützt Zertifikate im PFX-Format entweder mit der Dateinamenerweiterung.pfx oder.p12. Wenn Sie eine hohe Verfügbarkeit konfigurieren, müssen Sie ein SSL-Zertifikat abrufen, das den Namen der BlackBerry UEM-Domäne verwendet. Sie finden den BlackBerry UEM-Domänennamen in der Verwaltungskonsole unter Einstellungen > Infrastruktur > Instanzen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt SSL-Zertifikat für BlackBerry Web Services auf Details anzeigen. 18

19 Hinzufügen vertrauenswürdiger Zertifikate 3. Klicken Sie auf Zertifikat ersetzen. 4. Klicken Sie auf Durchsuchen. 5. Wählen Sie das zu verwendende -Profil aus. 6. Klicken Sie auf Öffnen. 7. Geben Sie das Verschlüsselungskennwort ein. 8. Klicken Sie auf Ersetzen. 9. Starten Sie den BlackBerry UEM Core-Dienst auf allen Servern neu. Wenn Sie fertig sind: Wenn Sie Anwendungen für BlackBerry Web Services entwickeln, fügen Sie das SSL-Zertifikat zu dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf Ihrem Computer und ggf. den Java Keystore für Ihre Anwendungen hinzu. Weitere Informationen finden Sie im Entwicklungshandbuch für BlackBerry Web Services. Ändern des von BlackBerry UEM zum Signieren des MDM-Profils auf ios-geräten verwendeten Zertifikats Wenn Sie BlackBerry UEM installieren, erzeugt die Setupanwendung ein Zertifikat, das von BlackBerry UEM zum Signieren eines MDM-Profils verwendet werden kann, das Benutzer zur Aktivierung der ios-geräte akzeptieren müssen. Um die Vertrauensstellung zwischen dem Gerät und BlackBerry UEM einzurichten, können Sie das Zertifikat in ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat ändern. Wenn Benutzer ein vertrauenswürdiges Zertifikat verwenden, erhalten sie keine Warnmeldung mehr, dass das Zertifikat nicht verifiziert werden kann. Ändern des von BlackBerry UEM zum Signieren des MDM- Profils auf ios-geräten verwendeten Zertifikats Bevor Sie beginnen: Generieren Sie ein selbstsigniertes Zertifikat, oder beziehen Sie ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Das Zertifikat muss ein Schlüsselspeicher-Format (.pfx,.pkcs12) aufweisen. Wenn Sie ein Zertifikat verwenden, das von einer Zertifizierungsstelle signiert wurde, stellen Sie sicher, dass das Stammzertifikat für die Zertifizierungsstelle vor der Aktivierung auf den ios-geräten der Benutzer installiert wurde. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverzertifikate. 2. Klicken Sie im Abschnitt Apple-Profil-Signaturzertifikat auf Details anzeigen. 3. Klicken Sie auf Zertifikat ersetzen. 4. Navigieren Sie zur Zertifikatsdatei, und geben Sie das Kennwort ein. 19

20 Hinzufügen vertrauenswürdiger Zertifikate 5. Klicken Sie auf Ersetzen. 20

21 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver 3 Sie können BlackBerry UEM so konfigurieren, dass Daten zuerst über einen TCP-Proxyserver oder eine Instanz des BlackBerry Router gesendet werden, bevor sie die BlackBerry Infrastructure erreichen. Standardmäßig stellt BlackBerry UEM über Port 3101 eine direkte Verbindung mit der BlackBerry Infrastructure her. Wenn die Sicherheitsrichtlinie Ihres Unternehmens jedoch vorschreibt, dass interne Systeme keine direkten Verbindungen mit dem Internet herstellen dürfen, können Sie den BlackBerry Router oder einen TCP-Proxyserver installieren. Der BlackBerry Router bzw. der TCP-Proxy-Server fungiert als Vermittler zwischen BlackBerry UEM und der BlackBerry Infrastructure. Sie können einen BlackBerry Router oder einen Proxyserver außerhalb der Unternehmens-Firewall in einer DMZ installieren. Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Servers in einer DMZ wird die Sicherheit für BlackBerry UEM zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BlackBerry UEM her. Alle Verbindungen zur BlackBerry Infrastructure zwischen BlackBerry UEM und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet. Bei BlackBerry OS-Geräten (Version 5.0 bis 7.1) sendet der BlackBerry Router Daten auch direkt an Geräte und empfängt Daten von Geräten, die mit einem geschäftlichen Wi-Fi-Netzwerk oder mit einem Computer mit BlackBerry Device Manager verbunden sind. Diese Abbildung zeigt die folgenden Optionen, die zum Senden von Daten über einen Proxyserver an die BlackBerry Infrastructure genutzt werden können: kein Proxyserver, TCP-Proxyserver in einer DMZ und BlackBerry Router in einer DMZ. 21

22 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Senden von Daten über einen TCP-Proxyserver an die BlackBerry Infrastructure Sie können einen transparenten TCP-Proxy-Server für den BlackBerry UEM Core-Dienst und einen weiteren transparenten TCP- Proxy-Server für den BlackBerry Affinity Manager-Dienst konfigurieren. Diese Dienste erfordern eine ausgehende Verbindung, für die möglicherweise auch unterschiedliche Ports konfiguriert werden müssen. Sie können nicht mehrere transparente TCP- Proxy-Server für den jeweiligen Dienst installieren oder konfigurieren. Sie können jedoch mehrere TCP-Proxy-Server, die mit SOCKS v5 (keine Authentifizierung) konfiguriert wurden, für die Verbindung mit BlackBerry UEM festlegen. Mehrere TCP-Proxy-Server mit SOCKS v5-konfiguration (keine Authentifizierung) können Unterstützung bereitstellen, wenn eine der aktiven Proxy-Serverinstanzen nicht ordnungsgemäß funktioniert. Sie konfigurieren nur einen einzelnen Port, der von allen Dienstinstanzen mit SOCKS v5 überwacht wird. Wenn Sie mehr als einen TCP-Proxyserver mit SOCKS v5 konfigurieren, muss der Überwachungsport für jeden freigegeben werden. 22

23 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Vergleichen von TCP-Proxys Proxy Beschreibung Transparenter TCP-Proxy Fängt die normale Kommunikation auf Netzwerkebene ohne spezielle Client- Konfiguration ab Keine Client-Browser-Konfiguration erforderlich Befindet sich in der Regel zwischen Client und Internet Führt Funktionen eines Gateways oder Routers aus Wird häufig zur Durchsetzung von Richtlinien für die zulässige Nutzung verwendet Wird von Internetdienstanbietern in einigen Ländern häufig verwendet, um Upstream-Bandbreite einzusparen und Kundenreaktionszeiten durch Zwischenspeicherung zu verbessern SOCKS v5-proxy Ein Internetprotokoll für die Verarbeitung von Internetdatenverkehr über einen Proxy-Server Die Verarbeitung ist mit nahezu jeder TCP/UDP-Anwendung möglich, einschließlich Browsern und FTP-Clients, die SOCKS unterstützen Kann eine gute Lösung für Internetanonymität und -sicherheit sein Leitet Netzwerkpakete zwischen einem Client und einem Server über einen Proxy-Server weiter Bietet Authentifizierungsmöglichkeiten, sodass nur autorisierte Benutzer auf einen Server zugreifen können Leitet TCP-Verbindungen an eine beliebige IP-Adresse weiter Ermöglicht die Anonymisierung von UDP- und TCP-Protokollen wie HTTP Konfigurieren von BlackBerry UEM für die Verwendung eines transparenten TCP-Proxy-Servers Bevor Sie beginnen: Installieren Sie einen kompatiblen transparenten TCP-Proxy-Server in derblackberry UEM-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy. 2. Wählen Sie die Option Proxy-Server. 3. Führen Sie eine der folgenden Aufgaben aus: 23

24 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Aufgabe Weiterleiten von TCP-Daten über einen TCP-Proxyserver. Weiterleiten von SRP- Datenverkehr über einen TCP- Proxyserver. Weiterleiten von BlackBerry Secure Connect Plus- Datenverkehr über einen TCP- Proxyserver. Schritte Geben Sie in den Feldern BlackBerry UEM Core, BlackBerry Secure Gateway Service den FQDN oder die IP-Adresse und die Portnummer des Proxyservers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. Geben Sie in den Feldern für Affinity Manager den FQDN oder die IP-Adresse und die Portnummer des Proxy-Servers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. Geben Sie in den Feldern BlackBerry Secure Connect Plus den FQDN oder die IP- Adresse und die Portnummer des Proxy-Servers ein. In jedes Feld muss ein einzelner Wert eingegeben werden. 4. Klicken Sie auf Speichern. Aktivieren von SOCKS v5 auf einem TCP-Proxy-Server Bevor Sie beginnen: Installieren Sie einen kompatiblen TCP-Proxy-Server mit SOCKS v5 (ohne Authentifizierung) in der BlackBerry UEM-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry Router und Proxy. 2. Wählen Sie die Option Proxy-Server. 3. Aktivieren Sie das Kontrollkästchen SOCKS v5 aktivieren. 4. Klicken Sie auf. 5. Geben Sie in das Feld Serveradresse die IP-Adresse oder den Hostnamen des SOCKS v5-proxy-servers ein. 6. Klicken Sie auf Hinzufügen. 7. Wiederholen Sie die Schritte 1 bis 6 für jeden zu konfigurierenden SOCKS v5-proxyserver. 8. Geben Sie im Feld Port die Portnummer ein. 9. Klicken Sie auf Speichern. 24

25 Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver Senden von Daten über den BlackBerry Router an die BlackBerry Infrastructure Sie können mehrere Instanzen des BlackBerry Router für hohe Verfügbarkeit konfigurieren. Sie konfigurieren nur einen Port für die Überwachung durch BlackBerry Router-Instanzen. BlackBerry UEM bietet keine Unterstützung für eine BlackBerry Router-Instanz, die ursprünglich mit BES5 verwendet wurde. Standardmäßig stellt BlackBerry UEM eine Verbindung zum BlackBerry Router über Port 3102 für BlackBerry UEM-Dienste und Port 3101 für BES5-Dienste her. Der BlackBerry Router unterstützt den gesamten ausgehenden Datenverkehr von BlackBerry UEM Core und BlackBerry Affinity Manager. Hinweis: Wenn ein anderer Port als der Standardport für den BlackBerry Router verwendet werden soll, finden Sie weitere Informationen unter im Artikel KB Konfigurieren von BlackBerry UEM für die Verwendung des BlackBerry Router Bevor Sie beginnen: Installieren Sie denblackberry Routerin derblackberry UEM-Domäne. Anweisungen zum Installieren desblackberry Router, finden Sie in der Dokumentation zu Installation und Upgrade. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry-Router und -Proxy. 2. Wählen Sie die Option BlackBerry Router. 3. Klicken Sie auf. 4. Geben Sie die IP-Adresse oder den Hostnamen der BlackBerry Router-Instanz ein, zu der BlackBerry UEM eine Verbindung herstellen soll. 5. Klicken Sie auf Hinzufügen. 6. Wiederholen Sie die Schritte 1 bis 5 für jede BlackBerry Router-Instanz, die Sie konfigurieren möchten. 7. Geben Sie in das Feld Port die Portnummer ein, die von allen BlackBerry Router-Instanzen überwacht wird. Der Standardwert ist Klicken Sie auf Speichern. 25

26 Konfigurieren von Verbindungen über interne Proxy-Server Konfigurieren von Verbindungen über interne Proxy-Server 4 Wenn Ihr Unternehmen einen Proxyserver für Verbindungen zwischen den Servern in Ihrem Netzwerk nutzt, müssen Sie die serverseitigen Proxyeinstellungen möglicherweise so konfigurieren, dass BlackBerry UEM Core mit der BlackBerry UEM- Verwaltungskonsole kommunizieren kann, falls diese auf einem separaten Computer installiert wurde. Sie müssen möglicherweise auch die serverseitigen Proxy-Einstellungen konfigurieren, damit BlackBerry UEM mit anderen internen Diensten kommunizieren kann, wie z. B. Zertifizierungsstellen und Server, die Push-Anwendungen zur Übertragung von Daten an BlackBerry MDS Connection Service hosten. Die serverseitigen Proxy-Einstellungen gelten nicht für ausgehende Verbindungen. Weitere Informationen zum Konfigurieren von BlackBerry UEM für die Verwendung eines TCP-Proxyservers finden Sie unter Konfigurieren von BlackBerry UEM zum Senden von Daten über einen Proxyserver. Konfigurieren von serverseitigen Proxyeinstellungen Bevor Sie beginnen: Vergewissern Sie sich, dass Ihnen die PAC-URL oder der Hostname und die Portnummer sowie etwaige weitere Einstellungen zur Verfügung stehen, die Sie benötigen, um eine Verbindung zum Proxy-Server herzustellen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > Serverseitiger Proxy. 2. Wenn die meisten oder alle Server, die Bestandteil Ihrer BlackBerry UEM-Installation sind, eine Verbindung zu einem Proxy-Server herstellen müssen, führen Sie die folgenden Schritte durch, um globale serverseitige Proxy-Einstellungen festzulegen: a. Wählen Sie unter Globale serverseitige Proxy-Einstellungen in der Liste Typ die Option PAC-Konfiguration oder Manuelle Konfiguration aus. b. Geben Sie die Einstellungen an, die der Proxy-Server benötigt, und klicken Sie auf Speichern. 3. Wenn einer oder mehrere Server Proxy-Einstellungen benötigen, die sich von den globalen Einstellungen unterscheiden, führen Sie die folgenden Schritte durch, um die Proxy-Einstellungen für den Server festzulegen: a. Wählen Sie unter dem Servernamen in der Liste Typ die Option Keine, PAC-Konfiguration oder Manuelle Konfiguration aus. b. Wenn Sie PAC-Konfiguration oder Manuelle Konfiguration ausgewählt haben, geben Sie die vom Proxy-Server benötigten Einstellungen an. c. Klicken Sie auf Speichern. 26

27 Herstellen einer Verbindung zu Unternehmensverzeichnissen Herstellen einer Verbindung zu Unternehmensverzeichnissen 5 Sie können BlackBerry UEM mit Ihrem Unternehmensverzeichnis verbinden, sodass der Zugriff auf die Benutzerliste Ihres Unternehmens möglich ist. Sie können BlackBerry UEM mit mehreren Verzeichnissen verbinden, und die Verzeichnisse können sich aus Microsoft Active Directory und LDAP zusammensetzen. Wenn Ihr Unternehmensverzeichnis verbunden ist, können Sie die folgenden Funktionen nutzen: Sie können in BlackBerry UEM mit Benutzerdaten aus dem Verzeichnis Benutzerkonten erstellen, und BlackBerry UEM kann Administratoren für die Verwaltungskonsole und Benutzer für BlackBerry UEM Self-Service authentifizieren. Sie können Gruppen aus dem Unternehmensverzeichnis mit BlackBerry UEM-Gruppen verknüpfen, um Benutzer in BlackBerry UEM auf dieselbe Weise wie in Ihrem Unternehmensverzeichnis zu ordnen. Siehe Aktivieren von per Verzeichnis verknüpften Gruppen. Sie haben die Möglichkeit, für bestimmte Gruppen in Ihrem Unternehmensverzeichnis, Onboarding zu aktivieren, um BlackBerry UEM-Benutzer automatisch erstellen zu lassen. Wenn Sie Onboarding aktivieren, können Sie mithilfe von Offboarding-Konfigurationen auch Gerätedaten oder Benutzerkonten löschen, wenn Benutzer aus Gruppen in Ihrem Unternehmensverzeichnis entfernt werden. Siehe Aktivieren von Onboarding. Wenn Sie BlackBerry UEM nicht mit einem Unternehmensverzeichnis verbinden, ist es möglich, lokale Benutzerkonten manuell zu erstellen und Administratoren über die Standardauthentifizierung anzumelden. Führen Sie die folgenden Schritte aus, um BlackBerry UEM mit einem Unternehmensverzeichnis zu verbinden: Schritt Aktion Stellen Sie eine Verbindung mit einer Microsoft Active Directory-Instanz oder einem LDAP-Verzeichnis her. Wenn in Ihrer Umgebung eine Ressourcengesamtstruktur enthalten ist, lesen Sie Konfigurieren der Microsoft Active Directory-Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält. Aktivieren Sie optional per Verzeichnis verknüpfte Gruppen. Aktivieren Sie optional Onboarding. Fügen Sie optional einen Synchronisierungszeitplan hinzu. 27

28 Herstellen einer Verbindung zu Unternehmensverzeichnissen Konfigurieren der Microsoft Active Directory- Authentifizierung in einer Umgebung, die eine Ressourcengesamtstruktur enthält Wenn Ihre Unternehmensumgebung eine Ressourcengesamtstruktur enthält, die für das Ausführen von Microsoft Exchange verwendet wird, können Sie die Microsoft Active Directory-Authentifizierung für Benutzerkonten konfigurieren, die sich in vertrauenswürdigen Kontengesamtstrukturen befinden. Wenn Ihre Umgebung eine Ressourcengesamtstruktur enthält, müssen Sie BlackBerry UEM in dieser installieren. In der Ressourcengesamtstruktur erstellen Sie für jedes Benutzerkonto ein Postfach und weisen die Postfächer den Benutzerkonten zu. Wenn Sie die Postfächer in der Ressourcengesamtstruktur Benutzerkonten in den Kontengesamtstrukturen zuweisen, erhalten die Benutzerkonten vollen Zugriff auf die Postfächer, und es wird eine Verbindung zwischen den Benutzerkonten in den Kontengesamtstrukturen und dem Microsoft Exchange-Server hergestellt. Um Benutzer zu authentifizieren, die sich bei BlackBerry UEM anmelden, muss BlackBerry UEM die Benutzerinformationen lesen, die auf den zur Ressourcengesamtstruktur gehörenden globalen Katalogservern gespeichert sind. Sie müssen ein Microsoft Active Directory-Konto für BlackBerry UEM erstellen, das sich in einer Windows-Domäne befindet, die Teil der Ressourcengesamtstruktur ist. Beim Erstellen der Verzeichnisverbindung geben Sie die Windows-Domäne, den Benutzernamen und das Kennwort für das Microsoft Active Directory-Konto und ggf. die Namen der globalen Katalogserver an, die BlackBerry UEM nutzen kann. Weitere Informationen finden Sie auf technet.microsoft.com unter Verwalten verknüpfter Postfächer. Herstellen der Verbindung zu einer Microsoft Active Directory-Instanz Bevor Sie beginnen: Erstellen Sie ein Microsoft Active Directory-Konto, das von BlackBerry UEM verwendet werden kann. Das Konto muss die folgenden Anforderungen erfüllen: Es muss sich in einer Windows-Domäne befinden, die Teil der Microsoft Exchange-Gesamtstruktur ist. Es muss Berechtigungen für den Zugriff auf den Benutzercontainer und Leseberechtigungen für die Benutzerobjekte aufweisen, die in den globalen Katalogservern in der Microsoft Exchange-Gesamtstruktur gespeichert sind. Das Kennwort muss so konfiguriert werden, dass es nicht abläuft und dass es bei der nächsten Anmeldung nicht geändert werden muss. Wenn Sie die einmalige Anmeldung aktivieren, muss die eingeschränkte Delegierung für das Konto konfiguriert werden. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 28

29 Herstellen einer Verbindung zu Unternehmensverzeichnissen 2. Klicken Sie auf Hinzufügen einer Microsoft Active Directory-Verbindung. 3. Geben Sie im Feld Name der Verbindung des Verzeichnisses den Namen der Verzeichnisverbindung ein. 4. Geben Sie im Feld Benutzername den Benutzernamen des Microsoft Active Directory-Kontos ein. 5. Geben Sie im Feld Domäne den Namen der Windows-Domäne, die Teil der Microsoft Exchange-Gesamtstruktur ist, im DNS-Format ein (Beispiel: beispiel.com). 6. Geben Sie im Feld Kennwort das Kontokennwort ein. 7. Führen Sie in der Dropdown-Liste für die Auswahl der Kerberos-Schlüsselverteilungscenter eine der folgenden Aktionen durch: Damit BlackBerry UEM die Schlüsselverteilungscenter (KDCs) automatisch erkennen kann, klicken Sie auf Automatisch. Um die Liste der KDCs anzugeben, die BlackBerry UEM für die Authentifizierung verwenden soll, klicken Sie auf Manuell. Geben Sie im Feld Servernamen den Namen des KDC-Domänencontrollers im DNS-Format (z. B. kdc01.beispiel.com) ein. Fügen Sie optional die Portnummer ein, die der Domänencontroller verwendet (z. B. kdc01.beispiel.com:88). Klicken Sie auf UEM verwenden soll. um zusätzliche KDC-Domänencontroller anzugeben, die BlackBerry 8. Führen Sie im Feld Suchbasis des globalen Katalogs eine der folgenden Aktionen aus: Lassen Sie das Feld leer, um BlackBerry UEM zu ermöglichen, den globalen Katalog zu durchsuchen. Geben Sie den Distinguished Name des Benutzercontainers ein (z. B. OU=sales,DC=example,DC=com), um zu steuern, welche Benutzerkonten BlackBerry UEM authentifizieren kann. 9. Führen Sie in der Dropdown-Liste Auswahl des globalen Katalogs eine der folgenden Aktionen aus: Wenn BlackBerry UEM die globalen Katalogserver automatisch erkennen soll, klicken Sie auf Automatisch. Um die Liste der globalen Katalogserver anzugeben, die BlackBerry UEM verwenden soll, klicken Sie auf Manuell. Geben Sie im Feld Servernamen den DNS-Namen des globalen Katalogservers ein, auf den BlackBerry UEM zugreifen soll (z. B. globalcatalog01.beispiel.com). Fügen Sie optional die Portnummer ein, die der globale Katalogserver verwendet (z. B. globalcatalog01.com:3268). Klicken Sie auf, um weitere Server anzugeben. 10. Wenn Sie die Unterstützung für verknüpfte Microsoft Exchange-Postfächer aktivieren möchten, klicken Sie in der Dropdown-Liste Unterstützung für verknüpfte Microsoft Exchange-Postfächer auf Ja. Um das Microsoft Active Directory-Konto für jede Gesamtstruktur zu konfigurieren, auf die BlackBerry UEM zugreifen soll, klicken Sie im Abschnitt Auflisten von Kontengesamtstrukturen auf. Geben Sie den Namen der Benutzerdomäne (der Benutzer kann einer beliebigen Domäne in der Kontengesamtstruktur angehören) sowie den Benutzernamen und das Kennwort an. Geben Sie bei Bedarf die KDCs an, die BlackBerry UEM durchsuchen soll. Geben Sie bei Bedarf die globalen Katalogserver an, auf die BlackBerry UEM zugreifen soll. Klicken Sie auf Hinzufügen. 11. Zum Aktivieren der einmaligen Anmeldung wählen Sie das Kontrollkästchen Windows Single Sign-on aktivieren aus. Weitere Informationen zu Single Sign-on finden Sie unter Konfigurieren der einmaligen Anmeldung für BlackBerry UEM. 29

30 Herstellen einer Verbindung zu Unternehmensverzeichnissen 12. Klicken Sie auf Speichern. 13. Klicken Sie auf Schließen. Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 Anforderungen an den Browser für die einmalige Anmeldung, auf Seite 45 Herstellen der Verbindung zu einem LDAP- Verzeichnis Bevor Sie beginnen: Erstellen Sie ein LDAP-Konto für BlackBerry UEM im entsprechenden LDAP-Verzeichnis. Das Konto muss die folgenden Anforderungen erfüllen: Das Konto verfügt über Leseberechtigungen für alle Benutzer im Verzeichnis. Das Kennwort des Kontos läuft nie ab, und der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern. Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAP- Verbindung haben. Überprüfen Sie die von Ihrem Unternehmen verwendeten LDAP-Attributwerte (die nachstehenden Schritte enthalten Beispiele für typische Attributwerte). Sie müssen die LDAP-Attributwerte aus Schritt 11 und den weiteren Schritten angeben. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf Hinzufügen einer LDAP-Verbindung. 3. Geben Sie im Feld Name der Verbindung des Verzeichnisses einen Namen für die Verzeichnisverbindung ein. 4. Führen Sie in der Dropdown-Liste LDAP-Servererkennung eine der folgenden Aktionen aus: Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf Automatisch. Geben Sie im Feld DNS- Domänenname den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet. Um die Liste der LDAP-Server festzulegen, klicken Sie auf Server aus der Liste unten auswählen. Geben Sie in das Feld LDAP-Server den Namen des LDAP-Servers ein. Um weitere LDAP-Server hinzuzufügen, klicken Sie auf. 5. Führen Sie in der Dropdown-Liste SSL aktivieren eine der folgenden Aktionen aus: 30

31 Herstellen einer Verbindung zu Unternehmensverzeichnissen Wenn die LDAP-Verbindung eine SSL-Verschlüsselung aufweist, klicken Sie auf Ja. Klicken Sie neben dem Feld LDAP-Server-SSL-Zertifikat auf Durchsuchen, und wählen Sie das LDAP-Serverzertifikat aus. Wenn die LDAP-Verbindung keine SSL-Verschlüsselung aufweist, klicken Sie auf Nein. 6. Geben Sie im Feld LDAP-Port die TCP-Portnummer für die Verbindung ein. Die Standardwerte sind 636 für SSL aktiviert oder 389 für SSL deaktiviert. 7. Führen Sie in der Dropdown-Liste Autorisierung erforderlich eine der folgenden Aktionen aus: Wenn für die Verbindung eine Autorisierung erforderlich ist, klicken Sie auf Ja. Geben Sie im Feld Anmeldung den DN des Benutzers ein, der für die Anmeldung bei LDAP autorisiert ist (z. B. an=admin,o=org1). Geben Sie im Feld Kennwort das Kennwort ein. Wenn für die Verbindung keine Autorisierung erforderlich ist, klicken Sie auf Nein. 8. Geben Sie im Feld Benutzersuchbasis den Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden soll. 9. Geben Sie im Feld LDAP-Suchfilter nach Benutzer den LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie beispielweise für ein IBM Domino Directory Folgendes ein: (objectclass=person). Hinweis: Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, geben Sie Folgendes ein: (&(objectclass=user)(logindisabled=false)). 10. Führen Sie in der Dropdown-Liste LDAP-Benutzer-Suchbereich eine der folgenden Aktionen aus: Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf Alle Ebenen. Dies ist die Standardeinstellung. Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf Eine Ebene. 11. In the Unique identifier field, type the name of the attribute that uniquely identifies each user in your organization's LDAP directory (must be a string that is immutable and globally unique). For example, dominounid in IBM Domino LDAP 7 and later. 12. Geben Sie im Feld Vorname das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise givenname). 13. Geben Sie im Feld Nachname das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise sn). 14. Geben Sie im Feld Anmeldeattribute das für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweise uid). 15. Geben Sie im Feld -Adresse das Attribut für die -Adresse der einzelnen Benutzer ein (beispielsweise mail). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 16. Geben Sie im Feld Anzeigename das Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweise displayname). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet. 31

32 Herstellen einer Verbindung zu Unternehmensverzeichnissen 17. Geben Sie im Feld Kontoname des -Profils das Attribut für den Kontonamen des -Profils der einzelnen Benutzer ein (beispielsweise mail). 18. Geben Sie im Feld Benutzerprinzipalname den Benutzerprinzipalnamen für SCEP ein (beispielsweise mail). 19. Um per Verzeichnis verknüpfte Gruppen für die Verzeichnisverbindung zu aktivieren, aktivieren Sie das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. Geben Sie die folgenden Informationen an: Geben Sie im Feld Suchbasis für Gruppen den Wert ein, der als Basis-DN für Gruppeninformationssuchen verwendet werden soll. Geben Sie im Feld LDAP-Suchfilter für Gruppen den LDAP-Suchfilter ein, der zum Auffinden von Gruppenobjekten in Ihrem Unternehmensverzeichnis erforderlich ist. Geben Sie beispielsweise für IBM Domino Directory Folgendes ein: (objectclass=dominogroup). Geben Sie im Feld Eindeutige Kennung der Gruppe das Attribut für die eindeutige Kennung der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. cn). Geben Sie im Feld Anzeigename der Gruppe das Attribut für den Anzeigenamen der einzelnen Gruppen ein (z. B. cn). Geben Sie im Feld Gruppenmitgliedschaftsattribut das Attribut für den Mitgliedschaftsbezeichner der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B. member). Geben Sie im Feld Gruppenname testen einen vorhandenen Gruppennamen ein, um die festgelegten Gruppenattribute zu validieren. 20. Klicken Sie auf Speichern. 21. Klicken Sie auf Schließen. Wenn Sie fertig sind: Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans. Aktivieren von per Verzeichnis verknüpften Gruppen Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der Synchronisierung speichern. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. 32

33 Herstellen einer Verbindung zu Unternehmensverzeichnissen 4. Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie das Kontrollkästchen Synchronisierung erzwingen. Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werden die Verknüpfungen für diese Gruppe aus den per Verzeichnis verknüpften Gruppen und den Onboarding- Verzeichnisgruppen entfernt. Wenn alle Unternehmensverzeichnisgruppen, die einer per Verzeichnis verknüpften Gruppe zugeordnet sind, entfernt werden, wird die per Verzeichnis verknüpfte Gruppe in eine lokale Gruppe umgewandelt. Wenn diese nicht ausgewählt sind und keine Unternehmensverzeichnisgruppe gefunden werden kann, wird der Synchronisierungsvorgang abgebrochen. 5. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die pro Synchronisierungsprozess zulässig sein sollen. Die Standardeinstellung ist 5. Falls die Anzahl der zu synchronisierenden Änderungen das Synchronisierungslimit übersteigt, können Sie die Ausführung der Synchronisierung verhindern. Änderungen werden berechnet, indem die folgenden Elemente addiert werden: die den Gruppen hinzuzufügenden Benutzer, die aus den Gruppen zu entfernenden Benutzer, die per Onboarding zu integrierenden Benutzer, die durch Offboarding zu entfernenden Benutzer. 6. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen. 7. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen Sie einer per Verzeichnis verknüpfte Gruppe. Weitere Informationen finden Sie in der Dokumentation für Administratoren unter Erstellen von per Verzeichnis verknüpften Gruppen. Aktivieren von Onboarding Onboarding bedeutet, dass Benutzerkonten basierend auf der Benutzermitgliedschaft in einer Unternehmensverzeichnisgruppe automatisch zu BlackBerry UEM hinzugefügt werden können. Die Benutzerkonten werden BlackBerry UEM während des Synchronisierungsvorgangs hinzugefügt. Außerdem können Sie auswählen, ob die per Onboarding integrierten Benutzer automatisch eine -Nachricht und Aktivierungskennwörter oder Zugriffsschlüssel für BlackBerry Dynamics-Apps erhalten sollen. Offboarding Wenn Sie Onboarding aktivieren, können Sie auch den Offboarding-Vorgang konfigurieren. Wenn ein Benutzer aus allen Unternehmensverzeichnisgruppen in den Onboarding-Verzeichnisgruppen entfernt wird, kann BlackBerry UEM das Offboarding des Benutzers auf eine der folgenden Arten automatisch durchführen: Löschen der geschäftlichen Daten oder aller Daten von den Geräten der Benutzer Löschen des Benutzerkontos aus BlackBerry UEM 33

34 Herstellen einer Verbindung zu Unternehmensverzeichnissen Mithilfe des Offboarding-Schutzes können Sie das Löschen von Gerätedaten oder Benutzerkonten um einen Synchronisierungszyklus verzögern, damit unerwartete Löschvorgänge vermieden werden, die aufgrund der Verzeichnisreplikationslatenz auftreten können. Unabhängig vom Synchronisierungsintervall nimmt die Verzögerung, die durch den Offboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch. Hinweis: Die Offboarding-Einstellungen gelten auch für bestehende Verzeichnisbenutzer in BlackBerry UEM. Es wird empfohlen, durch Klicken auf das Vorschausymbol einen Verzeichnissynchronisierungsbericht zu erzeugen und die Änderungen zu überprüfen. Aktivieren und Konfigurieren von Onboarding und Offboarding Bevor Sie beginnen: Vergewissern Sie sich, dass keine Synchronisierung des Unternehmensverzeichnisses ausgeführt wird. Sie können die Änderungen, die Sie an einer Unternehmensverzeichnisverbindung vornehmen, erst nach Beendigung der Synchronisierung speichern. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Aktivieren Sie auf der Registerkarte Synchronisierungseinstellungen das Kontrollkästchen Aktivieren von per Verzeichnis verknüpften Gruppen. 4. Aktivieren Sie das Kontrollkästchen Onboarding aktivieren. 5. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie mit einer Geräteaktivierungsoption für Onboarding konfigurieren möchten: a. Klicken Sie auf. b. Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf. c. Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen. d. Wählen Sie optional Verschachtelte Gruppen verknüpfen aus. e. Geben Sie im Abschnitt Geräteaktivierung an, ob integrierte Benutzer ein automatisch generiertes Aktivierungskennwort oder kein Aktivierungskennwort erhalten sollen. Wenn Sie die Option für das automatisch generierte Kennwort auswählen, konfigurieren Sie den Aktivierungszeitraum und wählen eine Vorlage für die Aktivierungs- aus. 6. Um das Onboarding von Benutzern mit BlackBerry Dynamics auszuführen, aktivieren Sie das Kontrollkästchen Nur Onboard-Benutzer mit BlackBerry Dynamics-Apps. 7. Führen Sie die folgenden Schritte für jede Gruppe durch, die Sie per Onboarding aufnehmen möchten und die nur eine Aktivierung für BlackBerry Dynamics-Apps erhalten sollen: a. Klicken Sie auf. b. Geben Sie den Namen der Unternehmensverzeichnisgruppe ein. Klicken Sie auf. c. Wählen Sie die Gruppe aus. Klicken Sie auf Hinzufügen. 34

35 Herstellen einer Verbindung zu Unternehmensverzeichnissen d. Wählen Sie optional Verschachtelte Gruppen verknüpfen aus. e. Wählen Sie die Anzahl der Zugriffsschlüssel aus, die pro hinzugefügtem Benutzer erzeugt werden sollen, den Ablauf des Zugriffsschlüssels und -Vorlage. 8. Wenn Gerätedaten beim Offboarding eines Benutzers gelöscht werden sollen, aktivieren Sie das Kontrollkästchen Gerätedaten löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird. Wählen Sie eine der folgenden Optionen aus: Nur Geschäftsdaten löschen Alle Gerätedaten löschen Alle Gerätedaten für Eigentum des Unternehmens löschen/nur Geschäftsdaten für Privateigentum löschen 9. Um ein Benutzerkonto aus BlackBerry UEM zu löschen, wenn ein Benutzer aus allen Onboarding-Gruppen entfernt wird, aktivieren Sie das Kontrollkästchen Benutzer löschen, wenn der Benutzer von allen integrierten Verzeichnisgruppen entfernt wird. Beim ersten Synchronisierungszyklus, der durchgeführt wird, nachdem ein Benutzerkonto aus allen Onboarding-Verzeichnisgruppen entfernt wurde, wird das Benutzerkonto aus BlackBerry UEM gelöscht. 10. Um zu verhindern, dass Benutzerkonten oder Gerätedaten unerwartet aus BlackBerry UEM gelöscht werden, wählen Sie Offboarding-Schutz aus. Offboarding-Schutz bedeutet, dass Benutzer nicht aus BlackBerry UEM gelöscht werden, es sei denn, ihr Benutzerkonto befindet sich in zwei aufeinanderfolgenden Synchronisierungszyklen nicht in den Onboarding- Verzeichnisgruppen. Unabhängig vom Synchronisierungsintervall nimmt die Verzögerung, die durch den Offboarding-Schutz bereitgestellt wird, jedoch mindestens zwei Stunden in Anspruch. 11. Um die Synchronisierung von Unternehmensverzeichnisgruppen zu erzwingen, aktivieren Sie das Kontrollkästchen Synchronisierung erzwingen. Wenn diese Option aktiviert ist und eine Gruppe aus dem Unternehmensverzeichnis entfernt wird, werden die Verknüpfungen für diese Gruppe aus den Onboarding-Verzeichnisgruppen und den per Verzeichnis verknüpften Gruppen entfernt. Wenn diese Option nicht aktiviert ist und eine Unternehmensverzeichnisgruppe gefunden werden kann, wird der Synchronisierungsvorgang abgebrochen. 12. Geben Sie im Feld Synchronisierungsbeschränkung die maximale Anzahl Änderungen ein, die pro Synchronisierungsprozess zulässig sein sollen. Die Standardeinstellung lautet 5. Falls die Anzahl der zu synchronisierenden Änderungen das Synchronisierungslimit übersteigt, können Sie die Ausführung der Synchronisierung verhindern. Änderungen werden berechnet, indem die folgenden Elemente addiert werden: die den Gruppen hinzuzufügenden Benutzer, die aus den Gruppen zu entfernenden Benutzer, die per Onboarding zu integrierenden Benutzer, die durch Offboarding zu entfernenden Benutzer. 13. Geben Sie im Feld Maximale Verschachtelung von Verzeichnisgruppen die Anzahl der Verschachtelungsebenen ein, die für Unternehmensverzeichnisgruppen synchronisiert werden sollen. 14. Klicken Sie auf Speichern. 35

36 Herstellen einer Verbindung zu Unternehmensverzeichnissen Synchronisieren einer Unternehmensverzeichnis Verbindung Bevor Sie beginnen: Vorschau des Synchronisationsberichts 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Synchronisierung auf. Wenn Sie fertig sind: Anzeigen eines Synchronisierungsberichts Vorschau des Synchronisationsberichts In der Vorschau eines Synchronisationsberichts können Sie vor der Synchronisierung überprüfen, ob geplante Updates Ihren Erwartungen entsprechen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Vorschau auf. 3. Klicken Sie auf Jetzt Vorschau anzeigen. 4. Wenn die Verarbeitung des Berichts abgeschlossen ist, klicken Sie auf das Datum in der Spalte Letzter Bericht. 5. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü. Anzeigen eines Synchronisierungsberichts 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie in der Spalte Letzter Bericht auf das Datum. 3. Klicken Sie zum Anzeigen der zuletzt erzeugten Synchronisierungsberichte auf das Dropdown-Menü. Hinzufügen eines Synchronisationsplans Sie können einen Synchronisierungszeitplan hinzufügen, um BlackBerry UEM automatisch mit dem Firmenverzeichnis Ihres Unternehmens zu synchronisieren. Es gibt drei Arten von Synchronisierungszeitplänen: Intervall: Sie geben den Zeitraum zwischen den einzelnen Synchronisierungen, den Zeitrahmen und die Tage an, an denen die Synchronisierung erfolgt. Einmal täglich: Sie geben die Tageszeit an, zu der die Synchronisierung beginnt, und die Tage, an denen sie erfolgt. Keine Wiederholung: Sie geben die Uhrzeit und den Tag für eine einmalige Synchronisierung an. 36

37 Herstellen einer Verbindung zu Unternehmensverzeichnissen Im Bildschirm Unternehmensverzeichnis können Sie BlackBerry UEM jederzeit manuell mit Ihrem Unternehmensverzeichnis synchronisieren. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie auf den Namen des zu bearbeitenden Unternehmensverzeichnisses. 3. Klicken Sie auf der Registerkarte Synchronisierungszeitplan auf. 4. Wählen Sie in der Dropdown-Liste Wiederholung eine der folgenden Optionen aus: Option Schritte Intervall 1. Geben Sie im Feld Intervall die Zeit zwischen den einzelnen Synchronisierungsvorgängen in Minuten ein. 2. Geben Sie den Zeitrahmen für die Synchronisierung an. 3. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. Einmal täglich 1. Geben Sie an, wann die Synchronisierung gestartet werden soll. 2. Wählen Sie die Wochentage aus, an denen die Synchronisierungen erfolgen sollen. Keine Wiederholung 1. Geben Sie an, wann die Synchronisierung gestartet werden soll. 2. Wählen Sie den Tag aus, an dem die Synchronisierung stattfinden soll. 5. Klicken Sie auf Hinzufügen. 37

38 Synchronisieren von Good Control mit BlackBerry UEM Synchronisieren von Good Control mit BlackBerry UEM 6 Wenn Sie eine Installation von oder ein Upgrade auf BlackBerry UEM Version 12.6 MR1 und höher durchführen, können BlackBerry UEM und Good Control synchronisiert werden, um BlackBerry UEM-Funktionen zu aktivieren. Beim Synchronisierungsprozess werden Backups der BlackBerry UEM- und Good Control-Datenbanken erstellt. Die Synchronisierung erfolgt in folgenden Fällen automatisch: Eine neue Installation von BlackBerry UEM Ein Upgrade von BES12 ohne Integration von Good Control Ein Upgrade von einer Good Control-Instanz ohne Benutzer Ein Upgrade von einer Good Control-Instanz mit einem Benutzer in derselben Verzeichnisdomäne wie der BlackBerry UEM-Verzeichnisdomäne Wenn Sie ein Upgrade von Good Control mit mehreren Benutzern oder von einer BES12-Umgebung mit einer vorhandenen Good Control-Datenbank mit mehreren Benutzern durchführen, muss ein Sicherheitsadministrator die Synchronisierung manuell über die BlackBerry UEM-Verwaltungskonsole starten. VORSICHT: Nach der Synchronisierung von Good Control können Sie nicht zur vorherigen Version zurückkehren. Weitere Informationen zur Synchronisierung finden Sie unter Informationen zur Synchronisierung in der Planungsdokumentation. Voraussetzungen: Synchronisieren von Good Control mit BlackBerry UEM VORSICHT: Initiieren Sie erst dann eine Synchronisierung, wenn für alle BES12-, Good Control- und Good Proxy-Server in Ihrer Umgebung ein Upgrade auf BlackBerry UEM Version 12.6 MR1 durchgeführt wurde. Eine Synchronisierung in einer Umgebung mit gemischten Versionen wird nicht unterstützt. Vergewissern Sie sich, dass alle Good Control-Server mit der BlackBerry Infrastructure verbunden sind. Wenn Sie ein Upgrade auf BlackBerry UEM Version 12.6 MR1 von BlackBerry UEM Version 12.6 oder BES12 durchführen: BlackBerry UEM muss mit einem Good Control-Server verbunden sein. Die Good Dynamics-Seriennumer und der Lizenzschlüssel müssen dem Produktionslizenztyp und nicht dem Entwicklungslizenztyp entsprechen. Sie müssen eine Unternehmensverzeichnisverbindung mit einer Microsoft Active Directory-Instanz in UEM konfigurieren. Wenn eine bestehende Good Control-Umgebung vorhanden war, muss das Unternehmensverzeichnis 38

39 Synchronisieren von Good Control mit BlackBerry UEM in UEM außerdem mit derselben Active Directory-Struktur wie der Good Control-Server konfiguriert werden. Wenn Active Directory in Good Control für die Verwendung mehrerer Verzeichnisse konfiguriert ist, muss jedes Unternehmensverzeichnis außerdem in BlackBerry UEM definiert sein. Zum Empfangen der Bestätigungs- muss das für die Initiierung der Synchronisierung verwendete Administratorkonto über eine in BlackBerry UEM konfigurierte -Adresse verfügen. Synchronisieren von Good Control mit BlackBerry UEM Wenn die Synchronisierung abgeschlossen ist, werden alle Verwaltungsaufgaben über die BlackBerry UEM-Verwaltungskonsole ausgeführt. 1. Klicken Sie in der Menüleiste auf Einstellungen > Infrastruktur > BlackBerry Control. 2. Klicken Sie auf Synchronisierung starten. 3. Geben Sie im Bestätigungsdialogfeld blackberry ein. Der Fortschritt des Synchronisierungsvorgangs für Richtlinien, Benutzer, Geräte, Verbindungsprofile, Apps, App- Richtlinien, Benutzern zugewiesene Apps, App-Gruppen, Benutzerzertifikate und Administratoren wird in den Statusleisten angezeigt. 4. Wenn Fehler auftreten, beheben Sie die angezeigten Probleme in der Verwaltungskonsole, und klicken Sie dann auf Synchronisierung erneut starten, um die Synchronisierung erneut auszuführen. Nach Abschluss der Synchronisierung sendet BlackBerry UEM eine an den Administrator, in der angegeben ist, ob die Synchronisierung erfolgreich war oder nicht. Hinweis: Die wird nur bei einer manuell initiierten Synchronisierung gesendet. Wenn Sie fertig sind: Weitere Informationen zur Synchronisierung finden Sie in den folgenden KB-Artikeln unter support.blackberry.com/kb: Für App-Gruppen und Richtliniensätze: KB-Artikel Für Synchronisierungsfehler: KB-Artikel Für Synchronisierungswarnungen: KB-Artikel: Informationen zum Konfigurieren von BlackBerry Control und BlackBerry Proxy finden Sie unter Konfigurieren von BlackBerry Control und BlackBerry Proxy. Weitere Informationen zur Verwaltung von Good Control-Benutzern und -Geräten mit der BlackBerry UEM- Verwaltungskonsole finden Sie in der Dokumentation für Administratoren. 39

40 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von -Benachrichtigungen Herstellen einer Verbindung zu einem SMTP-Server zum Senden von - Benachrichtigungen 7 Damit BlackBerry UEM -Benachrichtigungen senden kann, muss eine Verbindung zwischen BlackBerry UEM und dem SMTP-Server bestehen. BlackBerry UEM sendet über -Benachrichtigungen Aktivierungsanweisungen an Benutzer. Sie können BlackBerry UEM auch so konfigurieren, dass Kennwörter für BlackBerry UEM Self-Service und Warnungen zu Vorschrifteneinhaltung auf Geräten oder -Nachrichten an Einzelpersonen gesendet werden. Wenn keine Verbindung zwischen BlackBerry UEM und SMTP-Server besteht, ist BlackBerry UEM nicht in der Lage, Kennwörter, Aktivierungs- oder -Nachrichten zu senden. Sie können BlackBerry UEM jedoch trotzdem so konfigurieren, dass Warnmeldungen zur Vorschrifteneinhaltung direkt an Geräte gesendet werden. Weitere Informationen zu Aktivierungsnachrichten, Warnmeldungen zur Vorschrifteneinhaltung auf Geräten und zum Senden einzelner -Nachrichten finden Sie in der Dokumentation für Administratoren Herstellen einer Verbindung zu einem SMTP- Server zum Senden von -Benachrichtigungen 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > SMTP-Server. 2. Klicken Sie auf. 3. Geben Sie in das Feld Angezeigter Name des Absenders einen Namen ein, der für BlackBerry UEM- - Benachrichtigungen verwendet werden soll. Zum Beispiel donotreply oder BUEM Admin. 4. Geben Sie in das Feld Absenderadresse die -Adresse ein, die BlackBerry UEM zum Senden von - Benachrichtigungen verwenden soll. 5. Geben Sie in das Feld SMTP-Server den FQDN des SMTP-Servers ein. Beispiel: mail.example.com. 6. Geben Sie im Feld SMTP-Server-Port die Portnummer des SMTP-Servers ein. Die Standardportnummer ist Wählen Sie im Dropdown-Menü Unterstützte Verschlüsselungsmethode die Verschlüsselung aus, die auf - Nachrichten angewendet werden soll. 40

41 Herstellen einer Verbindung zu einem SMTP-Server zum Senden von -Benachrichtigungen 8. Wenn der SMTP-Server eine Authentifizierung erfordert, geben Sie im Feld Benutzername den Anmeldenamen des SMTP- Servers ein. Geben Sie im Feld Kennwort das Kennwort des SMTP-Servers ein. 9. Importieren Sie ggf. ein SMTP-Zertifizierungsstellenzertifikat: a. Kopieren Sie die SSL-Zertifikatsdatei für den SMTP-Server Ihres Unternehmens auf den von Ihnen verwendeten Computer. b. Klicken Sie auf Durchsuchen. c. Navigieren Sie zur SSL-Zertifikatsdatei, und klicken Sie auf Hochladen. 10. Klicken Sie auf Speichern. Wenn Sie fertig sind: Klicken Sie auf Verbindung testen, wenn Sie die Verbindung zum SMTP-Server testen und eine Test-E- Mail senden möchten. BlackBerry UEM sendet die Nachricht an die von Ihnen im Feld Absenderadresse festgelegte - Adresse. 41

42 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konfigurieren der einmaligen Anmeldung für BlackBerry UEM 8 Wenn Sie eine Verbindung zwischen BlackBerry UEM und Microsoft Active Directory herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service zugreifen können. Wenn Administratoren oder Benutzer sich bei Windows anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei BlackBerry UEM. Windows-Anmeldeinformationen können Microsoft Active Directory- Anmeldeinformationen oder abgeleitete Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen. Wenn Sie ein Upgrade von BES5 durchgeführt haben und zuvor die einmalige Anmeldung aktiviert war, müssen Sie diese in BlackBerry UEM für die Microsoft Active Directory-Verbindung, die aus BES5 migriert wurde, aktivieren. Bevor Sie die einmalige Anmeldung für eine Microsoft Active Directory-Verbindung aktivieren, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BlackBerry UEM für die Verzeichnisverbindung verwendet wird. Hinweis: Wenn Sie die einmalige Anmeldung aktivieren, erfordern alle Änderungen, die Sie am Microsoft Active Directory-Konto vornehmen, einen Neustart der BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet. Administratoren und Benutzer müssen sich von ihrem Computer ab- und dann wieder anmelden, um die einmalige Anmeldung für BlackBerry UEM zu verwenden. Zum Konfigurieren der einmaligen Anmeldung für BlackBerry UEM führen Sie die folgenden Aktionen aus: Schritt Aktion Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung. Aktivieren Sie Single Sign-on für eine Microsoft Active Directory-Verbindung. Überprüfen Sie die Browseranforderungen für die einmalige Anmeldung. 42

43 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung Damit die einmalige Anmeldung für BlackBerry UEM unterstützt wird, müssen Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto konfigurieren, das von BlackBerry UEM für die Verzeichnisverbindung verwendet wird. Die eingeschränkte Delegierung ermöglicht eine Authentifizierung von Administratoren oder Benutzern bei BlackBerry UEM über den Browser, wenn diese auf die Verwaltungskonsole oder BlackBerry UEM Self-Service zugreifen. 1. Fügen Sie dem Microsoft Active Directory-Konto mithilfe von Windows Server ADSI Edit oder dem Befehlszeilentool setspn die folgenden SPN für BlackBerry UEM hinzu: HTTP/<host_FQDN_or_pool_name> (z. B. HTTP/domäne123.beispiel.com) BASPLUGIN111/<host_FQDN_or_pool_name> (z. B. BASPLUGIN111/domäne123.beispiel.com) Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einer BlackBerry UEM-Domäne konfiguriert haben, geben Sie den Poolnamen ein. Geben Sie andernfalls den FQDN des Computers ein, der die Verwaltungskonsole hostet. Hinweis: Vergewissern Sie sich, dass keine anderen Konten in der Microsoft Active Directory-Gesamtstruktur dieselben SPN haben. 2. Öffnen Sie Microsoft Active Directory Users and Computers. 3. Wählen Sie für die Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden Optionen aus: Benutzer bei Delegierungen angegebener Dienste vertrauen Nur Kerberos verwenden 4. Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu. Verwandte Informationen Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole, auf Seite 75 Einmalige Anmeldung für BlackBerry UEM einrichten Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, gilt die Konfiguration für die Verwaltungskonsole und BlackBerry UEM Self-Service. 43

44 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Bevor Sie beginnen: Konfigurieren Sie die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das von BlackBerry UEM für das Verzeichnis verwendet wird. Wenn Sie die einmalige Anmeldung für mehrere Microsoft Active Directory-Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen den Microsoft Active Directory-Gesamtstrukturen gibt. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Unternehmensverzeichnis. 2. Klicken Sie im Abschnitt Konfigurierte Verbindungen des Verzeichnisses auf den Namen einer Microsoft Active Directory- Verbindung. 3. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Windows Single Sign-On aktivieren. 4. Klicken Sie auf Speichern. 5. Klicken Sie auf Speichern. BlackBerry UEM überprüft die Informationen für die Microsoft Active Directory-Authentifizierung. Wenn die Informationen nicht gültig sind, werden Sie von BlackBerry UEM aufgefordert, die richtigen Informationen anzugeben. 6. Klicken Sie auf Schließen. Wenn Sie fertig sind: Starten Sie die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu. Weisen Sie Administratoren und BlackBerry UEM Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung an BlackBerry UEM zu konfigurieren. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 Konsolen-URLs für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen Sie Administratoren und Benutzer anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zu verwenden: Konsole BlackBerry UEM-Verwaltungskonsole BlackBerry UEM Self-Service URL für die einmalige Anmeldung Die Authentifizierung über die einmalige Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden zur Anmeldung bei der Verwaltungskonsole durch Administratoren bzw. bei BlackBerry UEM Self-Service durch Benutzer. Wenn die Sicherheitsstandards in Ihrem Unternehmen es erfordern, dass Administratoren bzw. Benutzer eine andere Authentifizierungsmethode verwenden, müssen Sie sie anweisen, für den Zugriff auf die Verwaltungskonsole bzw. auf BlackBerry UEM Self-Service folgende URLs zu verwenden: 44

45 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Konsole BlackBerry UEM-Verwaltungskonsole BlackBerry UEM Self-Service URL für andere Authentifizierungsmethoden Hinweis: Wenn Sie BlackBerry UEM installieren, versucht die Setup-Anwendung standardmäßig Port 8000 zu BlackBerry UEM Self-Service und Port 443 der Verwaltungskonsole zuzuweisen. Wenn Port 443 nicht verfügbar ist, versucht die Setup- Anwendung, Port 8008 zu verwenden. Wenn die Standardports nicht verfügbar sind, weist die Setup-Anwendung einen Portwert zwischen und zu. Informationen zu den Ports, die BlackBerry UEM Self-Service und der Verwaltungskonsole zugewiesen wurden, finden Sie unter Überprüfen der Portwerte, die von der BlackBerry UEM- Setupanwendung zugewiesen wurden in der Dokumentation zu Installation und Upgrade. Anforderungen an den Browser für die einmalige Anmeldung Wenn Sie die einmalige Anmeldung für BlackBerry UEM konfigurieren, müssen die von Administratoren und BlackBerry UEM Self-Service-Benutzern verwendeten Browser die nachfolgend aufgeführten Anforderungen erfüllen. Objekt Browser Anforderungen Einer der folgenden: Internet Explorer Microsoft Edge Mozilla Firefox Google Chrome Weitere Informationen zu den unterstützten Versionen finden Sie in der Kompatibilitätsmatrix. Browsereinstellungen Internet Explorer mit folgenden Einstellungen: Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service sind der lokalen Intranetzone zugewiesen (Internetoptionen > Sicherheit). Integrierte Windows-Authentifizierung aktivieren ist ausgewählt (Internetoptionen > Erweitert). Firefox mit folgenden Einstellungen: In der Liste about:config wurde zur Einstellung network.negotiate-auth.trusted-uris hinzugefügt. Weitere Informationen finden Sie unter kb.mozillazine.org/about:config. 45

46 Konfigurieren der einmaligen Anmeldung für BlackBerry UEM Objekt Anforderungen Google Chrome verwendet die Einstellungen der lokalen Intranetzone aus Internet Explorer. Die URLs von Verwaltungskonsole und BlackBerry UEM Self-Service müssen der lokalen Intranetzone zugewiesen sein (Internetoptionen > Sicherheit). 46

47 Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X-Geräten Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X- Geräten 9 APNs ist der Apple Push Notification Service. Sie müssen das APNs-Zertifikat abrufen und registrieren, wenn Sie BlackBerry UEM für die Verwaltung von ios- oder -OS XGeräten verwenden möchten. Wenn Sie mehr als eine BlackBerry UEM-Domäne einrichten, ist für jede Domäne ein APNs-Zertifikat erforderlich. APNs-Zertifikate können mithilfe des Assistenten für die erstmalige Anmeldung oder unter Verwendung des Abschnitts Externe Integration der Verwaltungskonsole abgerufen und registriert werden. Hinweis: Jedes APNs-Zertifikat ist ein Jahr lang gültig. Auf der Verwaltungskonsole wird das Ablaufdatum angezeigt. Sie müssen das APNs-Zertifikat vor dem Ablaufdatum erneuern. Verwenden Sie hierzu die Apple-ID, die Sie zum Abrufen des Zertifikats benötigen. Wenn das Zertifikat abläuft, empfangen Geräte von BlackBerry UEM keine Daten mehr. Wenn Sie ein neues APNs-Zertifikat registrieren, müssen Benutzer ihre Geräte neu aktivieren, um Daten zu empfangen. Weitere Informationen finden Sie unter im Artikel TN2265 Probleme beim Senden von Push- Benachrichtigungen. In der Praxis hat es sich bewährt, auf die Verwaltungskonsole und das Apple Push Certificates Portal über den Google Chrome- Browser oder den Safari-Browser zuzugreifen. Diese Browser bieten optimale Unterstützung bei der Anforderung und Registrierung von APNs-Zertifikaten. Führen Sie zum Abrufen und Registrieren eines APNs-Zertifikats die folgenden Aktionen aus: Schritt Aktion Rufen Sie eine signierte CSR von BlackBerry ab. Fordern Sie mit der signierten CSR ein APNs-Zertifikat von Apple an. Registrieren Sie das APNs-Zertifikat. Abrufen einer signierten CSR von BlackBerry Sie müssen eine signierte CSR (Certificate Signing Request) von BlackBerry abrufen, bevor Sie ein APNs-Zertifikat anfordern können. 47

48 Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X-Geräten 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie auf APNs-Zertifikat abrufen. Wenn Sie ein aktuell verwendetes APNs-Zertifikat erneuern möchten, klicken Sie stattdessen auf Zertifikat erneuern. 3. Klicken Sie im Abschnitt Schritt 1 von 3 Signiertes CSR-Zertifikat von BlackBerry herunterladen auf Zertifikat herunterladen. 4. Klicken Sie auf Speichern, um die signierte CSR-Datei (.scsr) auf Ihrem Computer zu speichern. Wenn Sie fertig sind: Anfordern eines APNs-Zertifikats von Apple. Anfordern eines APNs-Zertifikats von Apple Bevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 2 von 3 APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 3. Melden Sie sich beim Apple Push Certificates Portal mit einer gültigen Apple-ID an. 4. Befolgen Sie die Anweisungen zum Hochladen der signierten CSR (.scsr). 5. Laden Sie das APNs-Zertifikat (.pem) auf Ihren Computer herunter, und speichern Sie es. Wenn Sie fertig sind: Registrieren des APNs-Zertifikats. Registrieren des APNs-Zertifikats Bevor Sie beginnen: Anfordern eines APNs-Zertifikats von Apple. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 3 von 3 APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zum APNs- Zertifikat (.pem), und wählen Sie es aus. 3. Klicken Sie auf Senden. Wenn Sie fertig sind: Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > ios-verwaltung. Weitere Informationen zur Erneuerung von APNs-Zertifikaten finden Sie unter Erneuern des APNs-Zertifikats. 48

49 Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X-Geräten Erneuern des APNs-Zertifikats Das APNs-Zertifikat ist ein Jahr lang gültig. Sie müssen das APNs-Zertifikat jährlich vor dem Ablaufdatum erneuern. Bevor Sie beginnen: Abrufen einer signierten CSR von BlackBerry. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple Push Notification. 2. Klicken Sie im Abschnitt Schritt 2 von 3 APNs-Zertifikat von Apple anfordern auf Apple Push Certificates Portal. Sie werden zum Apple Push Certificates Portal weitergeleitet. 3. Melden Sie sich beim Apple Push Certificates Portal mit derselben Apple-ID an, die Sie zum Abrufen des ursprünglichen APNs-Zertifikats verwendet haben. 4. Befolgen Sie die Anweisungen zum Erneuern des APNs-Zertifikats (.pem). Sie müssen die neue signierte CSR hochladen. 5. Laden Sie das erneuerte APNs-Zertifikat auf Ihren Computer herunter, und speichern Sie es. 6. Klicken Sie im Abschnitt Schritt 3 von 3 APNs-Zertifikat registrieren auf Durchsuchen. Navigieren Sie zu dem erneuerten APNs-Zertifikat, und wählen Sie es aus. 7. Klicken Sie auf Senden. Wenn Sie fertig sind: Zum Testen der Verbindung zwischen BlackBerry UEM und dem APNs-Server klicken Sie auf APNS-Zertifikat testen. Um den Status und das Ablaufdatum des APNs-Zertifikats anzuzeigen, klicken Sie auf Einstellungen > Externe Integration > ios-verwaltung. Fehlerbehebung: APNs Dieser Abschnitt hilft Ihnen bei der Behebung von APNs-Problemen. Das APNs-Zertifikat stimmt nicht mit der CSR überein. Stellen Sie die korrekte APNs-Datei (.pem) bereit, oder senden Sie eine neue CSR. Beschreibung Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein APNs-Zertifikat zu registrieren und die neueste signierte CSR-Datei nicht von BlackBerry auf das Apple Push Certificates Portal hochgeladen haben. 49

50 Abrufen eines APNs-Zertifikats für die Verwaltung von ios- und OS X-Geräten Mögliche Lösung Wenn Sie mehrere CSR-Dateien von BlackBerry heruntergeladen haben, ist nur die letzte heruntergeladene Datei gültig. Wenn Sie wissen, welche CSR die aktuellste ist, kehren Sie zum Apple Push Certificates Portal zurück, und laden Sie sie hoch. Wenn Sie nicht sicher sind, welche CSR die aktuellste ist, rufen Sie eine neue von BlackBerry ab. Kehren Sie dann zum Apple Push Certificates Portal zurück und laden Sie sie hoch. Ich kann ios- oder OS X-Geräte nicht aktivieren Problemursache Wenn Sie ios- oder OS X-Geräte nicht aktivieren können, wurde das APNs-Zertifikat möglicherweise nicht ordnungsgemäß registriert. Mögliche Lösung Führen Sie eine oder mehrere der folgenden Aktionen aus: Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Externe Integration > Apple Push Notification. Stellen Sie sicher, dass der Status des APNs-Zertifikats Installiert lautet. Wenn der Status nicht korrekt ist, versuchen Sie, das APNs-Zertifikat erneut zu registrieren. Klicken Sie auf APNS-Zertifikat testen, um die Verbindung zwischen BlackBerry UEM und dem APNs-Server zu testen. Rufen Sie ggf. eine neue signierte CSR von BlackBerry und ein neues APNs-Zertifikat ab. 50

51 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 10 Sie können die unbefugte Nutzung von Exchange ActiveSync durch Geräte unterbinden, die nicht explizit auf einer Positivliste aufgeführt sind. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche und Terminplanerdaten zugreifen. Mit BlackBerry Gatekeeping Service können Geräte einfach einer Positivliste hinzugefügt werden. Für die Verwendung des BlackBerry Gatekeeping Service ist es erforderlich, eine Gatekeeping-Konfiguration für Microsoft Exchange Server oder Microsoft Office 365 zu erstellen und Benutzern, für die der automatische Gatekeeping-Server ausgewählt ist, ein -Profil zuzuweisen. Nachdem Sie das Gatekeeping konfiguriert und das -Profil Benutzern zugewiesen haben, werden die Geräte der Benutzer automatisch der Positivliste hinzugefügt. Wenn das -Profil für einen Benutzer entfernt wird, wird das Gerät des Benutzers aus der Positivliste entfernt und kann keine Verbindung zu Microsoft Exchange mehr herstellen (sofern es nicht über andere Methoden zugelassen wurde, wie z. B. Windows PowerShell). Sie können eine oder mehrere Instanzen desblackberry Connectivity Nodeinstallieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. JederBlackBerry Connectivity Nodeenthält eine Instanz desblackberry Gatekeeping Service(jede Instanz muss Zugriff auf den Gatekeeping-Server des Unternehmens haben). Wenn Gatekeeping-Daten nur von demblackberry Gatekeeping Serviceverwaltet werden sollen, der mit den primärenblackberry UEM-Komponenten installiert ist, können Sie die Standardeinstellungen ändern, umblackberry Gatekeeping Servicein jedemblackberry Connectivity Nodezu deaktivieren. Weitere Informationen zum Installieren und Konfigurieren einesblackberry Connectivity Node, finden Sie in der Dokumentation zur Planungundin der Dokumentation zu Installation und Upgrade. Sie können Servergruppen einrichten, um den Verbindungsdatenverkehr des Geräts an eine bestimmte regionale Verbindung zur BlackBerry Infrastructure richten. Wenn Sie ein -Profil mit einer Servergruppe verknüpfen, verwendet jeder Benutzer, dem dieses -Profil zugewiesen wurde, eine aktive Instanz des BlackBerry Gatekeeping Service in dieser Servergruppe. Beim Konfigurieren einer Servergruppe können Sie festlegen, dass die Instanzen des BlackBerry Gatekeeping Service in der Gruppe deaktiviert werden. finden Sie in der Dokumentation für Administratoren for more information about: Hinzufügen eines automatischen Gatekeeping-Servers zu einem -Profil Zulassen oder Blockieren von Geräten, die der Positivliste nicht automatisch hinzugefügt werden Schritte zum Konfigurieren von Exchange ActiveSync und BlackBerry Gatekeeping Service Zum Konfigurieren des BlackBerry Gatekeeping Service führen Sie die folgenden Aktionen aus: 51

52 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Schritt Aktion Konfigurieren von Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. Erstellen einer Gatekeeping-Konfiguration-eigene Optionen zur Verfügung. Erstellen Sie ein -Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Anweisungen finden Sie unter Erstellen eines -Profils in der Dokumentation für Administratoren. Konfigurieren von Berechtigungen für Gatekeeping Zur Verwendung von Exchange ActiveSync Gatekeeping müssen Sie ein Benutzerkonto in Microsoft Exchange Server oder Microsoft Office 365 erstellen und diesem die erforderlichen Gatekeeping-Berechtigungen zuweisen. Wenn Sie Microsoft Office 365 verwenden, erstellen Sie ein Microsoft Office 365-Benutzerkonto, und ordnen Sie es den - Empfänger- und Clientzugriffsrollen des Unternehmens zu. Wenn Sie Microsoft Exchange Server 2010 oder höher verwenden, folgen Sie den nachstehenden Anweisungen zum Konfigurieren der Verwaltungsrollen mit den korrekten Berechtigungen zum Verwalten der Postfächer und des Clientzugriffs für Exchange ActiveSync. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Erstellen und Ändern von Verwaltungsrollen zu sein. Bevor Sie beginnen: Erstellen Sie auf dem Computer, der Microsoft Exchange hostet, ein Konto und ein Postfach für die Verwaltung von Gatekeeping in BlackBerry UEM (z. B. BUEMAdmin). Sie müssen die Anmeldeinformationen für dieses Konto festlegen, wenn Sie eine Exchange ActiveSync-Konfiguration erstellen. Notieren Sie sich den Namen dieses Kontos, da Sie diesen am Ende der folgenden Aufgabe eingeben müssen. WinRM muss mit den Standardeinstellungen auf dem Computer konfiguriert werden, der den Microsoft Exchange Server hostet, den Sie für Gatekeeping festlegen. Sie müssen den Befehl Winrm quickconfig über eine 52

53 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen Eingabeaufforderung als Administrator ausführen. Wenn das Tool Make these changes [y/n] anzeigt, geben Sie y ein. Nach der erfolgreichen Ausführung des Befehls sehen Sie die folgende Meldung. WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on to accept WS-Man requests to any IP on this machine. 1. Öffnen Sie Microsoft Exchange Management Shell. 2. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle der Mail-Empfänger>" -Parent "Mail Recipients" ein. Drücken Sie die Eingabetaste. 3. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für den Unternehmens-Clientzugriff>" -Parent "Organization Client Access" ein. Drücken Sie die Eingabetaste. 4. Geben Sie New-ManagementRole -Name "<Name der neuen Rolle für Exchange-Server>" -Parent "Exchange Servers" ein. Drücken Sie die Eingabetaste. 5. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\*" Where {$_.Name -ne "Get- ADServerSettings"} Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 6. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\*" Where {$_.Name -ne "Get-CasMailbox"} Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 7. Geben Sie Get-ManagementRoleEntry "<Name der neuen Rolle für Exchange-Server>\*" Where {$_.Name -ne "Get- ExchangeServer"} Remove-ManagementRoleEntry ein. Drücken Sie die Eingabetaste. 8. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox ein. Drücken Sie die Eingabetaste. 9. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle der Mail-Empfänger>\Get-ActiveSyncDevice" - Parameters Identity ein. Drücken Sie die Eingabetaste. 10. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie Add- ManagementRoleEntry <Name der neuen Rolle der Mail-Empfänger>\Get-MobileDeviceStatistics Parameters Mailbox ein. Drücken Sie die Eingabetaste. 11. Führen Sie diesen Schritt nur dann durch, wenn Sie Microsoft Exchange 2013 verwenden. Geben Sie Add- ManagementRoleEntry <Name der neuen Rolle der Mail-Empfänger>\Get-MobileDevice Parameters Mailbox ein. Drücken Sie die Eingabetaste. 12. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für den Unternehmens-Clientzugriff>\Set-CasMailbox" -Parameters Identity, ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs ein. Drücken Sie die Eingabetaste. 13. Geben SieNew-RoleGroup "<name_new_group>" -Roles "<name_new_role_mail_recipients>", "<name_new_role_org_ca>", "<name_new_role_exchange_servers>"ein. Drücken Sie die Eingabetaste. 14. Geben Sie Add-RoleGroupMember -Identity "<Name der neuen Gruppe>" -Member "BUEMAdmin ein. Drücken Sie die Eingabetaste. 53

54 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 15. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für >\Set-AdServerSettings" ein. Drücken Sie die Eingabetaste. 16. Geben Sie Add-ManagementRoleEntry "<Name der neuen Rolle für >\Remove-ActiveSyncDevice" -Parameters Identity ein. Drücken Sie die Eingabetaste. Wenn Sie fertig sind: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen. Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen Wenn Ihr Unternehmen Microsoft Exchange Server 2010 oder höher verwendet, lesen Sie die Informationen unter Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync. Wenn Ihr Unternehmen Microsoft Office 365 verwendet, lesen Sie die Informationen unter Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365. Konfigurieren von Microsoft Exchange für den ausschließlichen Zugriff autorisierter Geräte auf Exchange ActiveSync Sie müssen Microsoft Exchange Server 2010 oder höher so konfigurieren, dass nur autorisierte Geräte Zugriff auf Exchange ActiveSync erhalten. Geräte bestehender Benutzer, die nicht explizit der Liste zulässiger Geräte in Microsoft Exchange hinzugefügt wurden, müssen unter Quarantäne gestellt werden, bis BlackBerry UEM sie zulässt. Für die Durchführung dieses Schritts ist es erforderlich, Microsoft Exchange-Administrator mit den entsprechenden Berechtigungen zum Konfigurieren des Parameters Set-ActiveSyncOrganizationSettings zu sein. Informationen über die ausschließliche Zulassung autorisierter Geräte für den Zugriff auf Exchange ActiveSync finden Sie auf technet.microsoft.com in dem Artikel Aktivieren eines Geräts für Exchange ActiveSync. Bevor Sie beginnen: Konfigurieren von Berechtigungen für Gatekeeping. Überprüfen Sie zusammen mit dem Microsoft Exchange-Administrator, ob es Benutzer gibt, die Exchange ActiveSync verwenden. Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf Zulassen festgelegt ist und Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden. Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter im Artikel KB

55 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange Management Shell hostet, die Microsoft Exchange Management Shell. 2. Geben Sie Set-ActiveSyncOrganizationSettings DefaultAccessLevel Quarantine ein. Drücken Sie die Eingabetaste. Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping. Konfigurieren der Zugriffsrichtlinie für mobile Geräte in Microsoft Office 365 Zum Verwenden von BlackBerry Gatekeeping Service mit Microsoft Office 365 müssen Sie die Standardzugriffsrichtlinie für mobile Geräte in Microsoft Office 365 auf Quarantäne (Isolieren) festlegen. Bevor Sie beginnen: Konfigurieren von Berechtigungen für Gatekeeping. Wenn die Standardzugriffsebene für Exchange ActiveSync für Ihr Unternehmen auf Zulassen festgelegt ist und Sie Benutzer eingerichtet haben, die ihre Geräte erfolgreich synchronisieren, müssen Sie sicherstellen, dass den Konten bzw. Geräten dieser Benutzer eine Ausnahme oder Geräterichtlinie zugewiesen ist, bevor Sie die Standardzugriffsebene auf Quarantäne festlegen. Ist dies nicht der Fall, werden sie unter Quarantäne gestellt und ihre Geräte können erst dann synchronisiert werden, wenn sie von BlackBerry UEM zugelassen werden. Weitere Informationen zum Festlegen der Standardzugriffsebene für Exchange ActiveSync auf Quarantäne finden Sie unter im Artikel KB Melden Sie sich beim Microsoft Office 365-Verwaltungsportal an. 2. Klicken Sie im Seitenmenü auf Admin. 3. Klicken Sie auf Exchange. 4. Klicken Sie auf im Bereich Mobil auf Zugriff auf mobile Geräte. 5. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll. Wenn Sie fertig sind: Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping Unter BlackBerry UEM werden Windows PowerShell-Befehle für die Verwaltung der Liste zulässiger Geräte verwendet. Um den BlackBerry Gatekeeping Service zu nutzen, müssen Sie Microsoft IIS-Berechtigungen konfigurieren. Führen Sie die folgenden Aktionen auf dem Computer aus, der die Microsoft-Client-Zugriffs-Serverrolle hostet. Bevor Sie beginnen: Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen. 55

56 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 1. Öffnen Sie den Microsoft Internet Information Services (IIS) Manager. 2. Erweitern Sie im linken Fensterbereich den Server. 3. Erweitern Sie Websites > Standard-Website. 4. Klicken Sie mit der rechten Maustaste auf den PowerShell-Ordner. Wählen Sie Berechtigungen bearbeiten. 5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie auf Bearbeiten. 6. Klicken Sie auf Hinzufügen, und geben Sie die <neue_gruppe> ein, die bei der Konfiguration der Microsoft Exchange- Berechtigungen für Gatekeeping erstellt wurde. 7. Klicken Sie auf OK. 8. Vergewissern Sie sich, dass Lesen & Ausführen, Auflisten von Verzeichnisinhalten und Gelesen ausgewählt sind. Klicken Sie auf OK. 9. Wählen Sie den PowerShell-Ordner aus. Doppelklicken Sie auf das Symbol Authentifizierung. 10. Wählen Sie Windows-Authentifizierung. Klicken Sie auf Aktivieren. 11. Schließen Sie den Microsoft Internet Information Services (IIS) Manager. Wenn Sie fertig sind: Erstellen einer Gatekeeping-Konfiguration. Erstellen einer Gatekeeping-Konfiguration Sie können eine Gatekeeping-Konfiguration so erstellen, dass die den Sicherheitsrichtlinien Ihres Unternehmens entsprechenden Geräte eine Verbindung zu Microsoft Exchange Server oder Microsoft Office 365 herstellen können. Bevor Sie beginnen: Konfigurieren von Berechtigungen für Gatekeeping. Zugriff auf Exchange ActiveSync nur über autorisierte Geräte zulassen-eigene Optionen zur Verfügung. Konfigurieren von Microsoft IIS-Berechtigungen für Gatekeeping-eigene Optionen zur Verfügung. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Microsoft Exchange. 2. Klicken Sie auf.. 3. Geben Sie im Feld Servername den Namen der Microsoft Exchange Server- oder Microsoft Office 365-Umgebung ein, für die der Zugriff verwaltet werden soll. 4. Geben Sie den Benutzernamen und das Kennwort für das Konto ein, das Sie für die Verwaltung von Exchange ActiveSync- Gatekeeping erstellt haben. 5. Wählen Sie in der Dropdown-Liste Authentifizierungstyp die unter Microsoft Exchange Server oder Microsoft Office 365 verwendete Authentifizierung aus. 56

57 Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen 6. Aktivieren Sie das Kontrollkästchen SSL verwenden, um die SSL-Authentifizierung zwischen BlackBerry UEM und dem Microsoft Exchange Server oder Microsoft Office 365 zu aktivieren. Optional können weitere Zertifikatprüfungen ausgewählt werden. 7. Wählen Sie in der Dropdown-Liste Proxy-Typ ggf. die Art der Proxy-Konfiguration aus, die zwischen BlackBerry UEM und dem Microsoft Exchange Server oder Microsoft Office 365 verwendet wird. 8. Wenn Sie im vorhergehenden Schritt eine Proxy-Konfiguration ausgewählt haben, wählen Sie den Authentifizierungstyp für den Proxy-Server aus. 9. Wählen Sie bei Bedarf Authentifizierung erforderlich, und geben Sie den Benutzernamen und das Kennwort ein. 10. Klicken Sie auf Verbindung testen, um zu prüfen, ob die Verbindung erfolgreich ist. 11. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen Sie ein -Profil, für das ein automatischer Gatekeeping-Server ausgewählt ist, und weisen Sie es Benutzerkonten, Benutzergruppen oder Gerätegruppen zu. Anweisungen finden Sie unter Erstellen eines - Profils in der Dokumentation für Administratoren. Wenn Sie eine Servergruppe mit einer oder mehreren Instanzen des BlackBerry Gatekeeping Service konfiguriert haben, ordnen Sie das -Profil der entsprechenden Servergruppe zu. Jeder Benutzer, dem dieses -Profil zugewiesen ist, kann jede aktivierte Instanz des BlackBerry Gatekeeping Service in dieser Servergruppe verwenden. Anweisungen finden Sie unter Erstellen eines -Profils in der Dokumentation für Administratoren. 57

58 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work 11 Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen Android- Geräte verwaltet werden sollen. Weitere Informationen zu Android for Work finden Sie unter android/. Es gibt zwei Möglichkeiten, BlackBerry UEM für die Unterstützung von Android for Work zu konfigurieren: 1. Stellen Sie eine Verbindung zwischen BlackBerry UEM und einer Google Cloud- oder G Suite-Domäne her. Hinweis: Sie können nur eine BlackBerry UEM-Domäne mit einer Google-Domäne verbinden. 2. Ermöglichen Sie BlackBerry UEM die Verwaltung von Android for Work-Konten (jetzt als verwaltete Google Play-Konten bezeichnet). Sie benötigen keine Google-Domäne, um diese Option zu verwenden. Weitere Informationen finden Sie unter In der folgenden Tabelle werden die unterschiedlichen Optionen für die Konfiguration von Android for Work zusammengefasst: Methode für die Konfiguration von BlackBerry UEM zur Unterstützung von Android for Work Wann diese Methode verwendet werden sollte Typ des Benutzerkontos Unterstützte Google-Dienste BlackBerry UEM mit Ihrer G Suite-Domäne verbinden Sie haben eine G Suite- Domäne im Unternehmen G Suite-Konten (für Unternehmen) Unterstützt alle G Suite- Dienste, z B. Gmail, Google Calendar und Drive. Unterstützt die App- Verwaltung über Google Play for Work. BlackBerry UEM mit Ihrer Google Cloud-Domäne verbinden Sie haben eine Google Cloud- Domäne im Unternehmen Google Cloud-Konten, die auch als Managed Google- Konten (für Unternehmen) bezeichnet werden Ähnlich wie G Suite, aber ohne Zugriff auf kostenpflichtige Produkte, z. B. Gmail, Google Calendar und Drive. Unterstützt die App- Verwaltung über Google Play for Work. 58

59 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Methode für die Konfiguration von BlackBerry UEM zur Unterstützung von Android for Work Wann diese Methode verwendet werden sollte Typ des Benutzerkontos Unterstützte Google-Dienste Zulassen, dass BlackBerry UEM Android for Work-Konten verwaltet (jetzt als verwaltete Google Play-Konten bezeichnet) Sie haben keine Google- Domäne im Unternehmen Sie haben eine Google- Domäne, die bereits mit einer BlackBerry UEM- Domäne verbunden ist, und möchten Android for Work in einer zweiten BlackBerry UEM- Domäne nutzen Android for Work-Konten Unterstützt die App- Verwaltung über Google Play for Work. Google-Dienste werden nicht unterstützt. Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Bevor Sie beginnen: BlackBerry UEM unterstützt Android for Work für Geräte unter Android 5.1 und höher. Wenn Sie BlackBerry UEM für die Unterstützung von Android for Work mithilfe der Android for Work-Kontenoption (die jetzt als verwaltete Google Play-Konten bezeichnet wird) konfigurieren, wird die Aktivierung von Geräten mit der Aktivierungsart Nur geschäftlicher Bereich ausschließlich auf Geräten mit Android 6.0 und höher unterstützt. Sie können nur eine BlackBerry UEM-Domäne mit der Google-Domäne verbinden. Bevor Sie eine Verbindung mit einer anderen BlackBerry UEM-Domäne herstellen, müssen Sie die bestehende Verbindung entfernen. Siehe Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Android for Work. 2. Führen Sie eine der folgenden Aufgaben aus: Aufgabe Schritte Verwenden einer Google-Domäne 1. Wählen Sie Verbinden Sie BlackBerry UEM mit Ihrer vorhandenen Google-Domäne. 2. Klicken Sie auf Weiter. 59

60 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Aufgabe Schritte 3. Füllen Sie die Felder zum Erstellen eines Dienstkontos aus, und klicken Sie auf Weiter. Weitere Schritt-für-Schritt-Anleitungen finden Sie unter support.blackberry.com/kb in Artikel Verwenden von Android for Work- Konten 1. Wählen Sie Ermöglichen Sie die Verwaltung von Android for Work-Konten durch BlackBerry UEM. 2. Klicken Sie auf Weiter. 3. Melden Sie sich im Fenster Bring Android to Work mit einem Google- Konto an. Sie können hierfür ein beliebiges Google- oder Gmail-Konto verwenden. Das von Ihnen verwendete Konto wird zum Administratorkonto für den Dienst Bring Android to Work. 4. Klicken Sie auf Erste Schritte. 5. Geben Sie den Namen Ihres Unternehmens ein. Klicken Sie auf Bestätigen. 6. Klicken Sie auf Registrierung abschließen. Die BlackBerry UEM- Verwaltungskonsole wird wieder angezeigt. 3. Wenn Sie dazu aufgefordert werden, klicken Sie auf Annehmen, um die Berechtigungen für die folgenden Apps zu akzeptieren: BlackBerry Hub BlackBerry-Dienste BlackBerry-Kalender Kontakte von BlackBerry Notizen von BlackBerry Aufgaben von BlackBerry BlackBerry Secure Connect Plus Divide Productivity Google Chrome 4. Klicken Sie auf Fertig. Wenn Sie fertig sind: Schließen Sie die Schritte für die Aktivierung von Android for Work-Geräten ab. Weitere Informationen zur Aktivierung von Geräten finden Sie in der Dokumentation für Administratoren unter Geräteaktivierung. 60

61 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work Entfernen der Android for Work-Verbindung zu Ihrer Google-Domäne Sie können nur eine BlackBerry UEM-Domäne mit der Google Cloud- bzw. G Suite-Domäne verbinden. Bevor Sie eine Verbindung mit einer anderen BlackBerry UEM-Domäne herstellen, müssen Sie die bestehende Verbindung entfernen. Entfernen Sie die Android for Work-Verbindung, bevor Sie die folgenden Aufgaben durchführen: Deinstallieren einer BlackBerry UEM-Instanz Wiederherstellen des Snapshots des virtuellen Computers, den Sie vor der Einrichtung der Android for Work- Verbindung erstellt haben Verbinden einer anderen BlackBerry UEM-Instanz mit der Google Cloud- oder der G Suite-Domäne Wenn Sie die Android for Work-Verbindung nicht entfernen, können Sie möglicherweise keine Verbindung zwischen der Google Cloud- oder der G Suite-Domäne und einer neuen BlackBerry UEM-Instanz herstellen. Wenn Sie die Android for Work- Verbindung in BlackBerry UEM entfernen, deaktivieren Sie damit auch alle Geräte, die mit der Aktivierungsart Android for Work aktiviert wurden. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration. 2. Klicken Sie auf Android for Work. 3. Klicken Sie auf Android for Work-Verbindung entfernen. 4. Klicken Sie auf Entfernen. Entfernen der Android for Work-Verbindung mithilfe Ihres Google-Kontos Wenn Sie BlackBerry UEM mithilfe der Option für Android for Work-Konten für die Unterstützung von Android for Work konfiguriert haben, können Sie die Verbindung in Google entfernen. 1. Melden Sie sich mithilfe des Google-Kontos, das Sie für die Einrichtung von Android for Work verwendet haben, bei play.google.com/work an. 2. Klicken Sie auf Admin-Einstellungen. 3. Klicken Sie im Abschnitt Unternehmensinformationen auf. 4. Klicken Sie auf Unternehmen löschen. 5. Klicken Sie auf Löschen. 6. Klicken Sie in der Menüleiste der BlackBerry UEM-Konsole auf Einstellungen > Externe Integration. 61

62 Konfigurieren von BlackBerry UEM zur Unterstützung von Android for Work 7. Klicken Sie auf Android for Work. 8. Klicken Sie auf Verbindung testen. 9. Klicken Sie auf Android for Work-Verbindung entfernen. 10. Klicken Sie auf Entfernen. Bearbeiten oder Testen der Android for Work- Verbindung Sie können die Android for Work-Verbindung in BlackBerry UEM bearbeiten, um den Typ der Google-Domäne zu ändern, den Sie zur Verwaltung von Android for Work verwenden, oder um die Android for Work-Verbindung zu testen. Wenn Sie die Verbindung bearbeiten oder testen, sind bereits aktivierte Geräte nicht betroffen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration. 2. Klicken Sie auf Android for Work. 3. Click. 4. Führen Sie eine der folgenden Aufgaben aus: Klicken Sie auf Verbindung testen, um den aktuellen Status der Android for Work-Verbindung anzuzeigen. Wählen Sie zum Verwalten von Android for Work-Geräten den Typ der Domäne aus, und klicken Sie auf Speichern. 62

63 Verwalten von Nachweisen für Samsung KNOX-Geräte Verwalten von Nachweisen für Samsung KNOX-Geräte 12 Wenn Sie Nachweise aktivieren, sendet BlackBerry UEM Anforderungen zum Testen der Authentizität und der Integrität von Samsung KNOX-Geräten, die mit den folgenden Aktivierungsarten aktiviert wurden: Geschäftlich und persönlich vollständige Kontrolle (Samsung KNOX) Nur geschäftlicher Bereich (Samsung KNOX) Geschäftlich und persönlich Benutzer-Datenschutz (Samsung KNOX) 1. Klicken Sie in der Menüleiste auf Einstellungen > Allgemeine Einstellungen > Nachweis. 2. Um Nachweise für Samsung KNOX-Geräte zu aktivieren, wählen Sie Regelmäßige Nachweisabfragen für KNOX Workspace-Geräte aktivieren aus. 3. Geben Sie im Abschnitt Abfragehäufigkeit in Tagen oder Stunden an, wie oft das Gerät eine Nachweisantwort an BlackBerry UEM senden muss. 4. Geben Sie im Abschnitt Übergangsfrist eine Übergangsfrist in Stunden oder Tagen an. Nach Ablauf der Übergangsfrist wird ein Gerät als gehackt betrachtet. Es unterliegt dann den Bedingungen des Compliance-Profils, das diesem Benutzer zugewiesen wurde. 5. Klicken Sie auf Speichern. Wenn Sie fertig sind: Erstellen Sie ein Compliance-Profil, in dem die Schritte aufgeführt sind, die durchgeführt werden, wenn ein Gerät als gehackt betrachtet wird. Anweisungen finden Sie unter Durchsetzen von Kompatibilitätsregeln für Geräte in der BlackBerry UEM-Dokumentation für Administratoren. 63

64 Konfigurieren von BlackBerry UEM für DEP Konfigurieren von BlackBerry UEM für DEP 13 Sie müssen BlackBerry UEM für die Verwendung des Programms zur Geräteregistrierung (DEP) von Apple konfigurieren, damit Sie BlackBerry UEM mit DEP synchronisieren können. Nach der Konfiguration von BlackBerry UEM können Sie die Aktivierung der von Ihrem Unternehmen für DEP erworbenen ios-geräte mit der BlackBerry UEM-Verwaltungskonsole verwalten. Beim Konfigurieren von BlackBerry UEM für das Programm zur Geräteregistrierung von Apple führen Sie die folgenden Schritte aus: Schritt Aktion Erstellen eines DEP-Kontos. Herunterladen eines öffentlichen Schlüssels. Generieren eines Server-Tokens. Registrieren des Server-Tokens bei BlackBerry UEM. Hinzufügen einer Registrierungskonfiguration. Erstellen eines DEP-Kontos 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 1 von 4: Erstellen eines Apple DEP-Kontos auf Erstellen eines Apple DEP-Kontos. 3. Füllen Sie die Felder aus, und befolgen Sie die Anweisungen zum Erstellen des Kontos. Wenn Sie fertig sind: Herunterladen eines öffentlichen Schlüssels. 64

65 Konfigurieren von BlackBerry UEM für DEP Herunterladen eines öffentlichen Schlüssels Bevor Sie beginnen: Erstellen eines DEP-Kontos. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 2 von 4: Herunterladen eines öffentlichen Schlüssels auf Herunterladen des öffentlichen Schlüssels. 3. Klicken Sie auf Speichern. Wenn Sie fertig sind: Generieren eines Server-Tokens. Generieren eines Server-Tokens Bevor Sie beginnen: Herunterladen eines öffentlichen Schlüssels. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 3 von 4: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 3. Melden Sie sich bei Ihrem DEP-Konto an. 4. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. Wenn Sie fertig sind: Registrieren des Server-Tokens bei BlackBerry UEM. Registrieren des Server-Tokens bei BlackBerry UEM BlackBerry UEM verwendet bei der Kommunikation mit dem Programm zur Geräteregistrierung von Apple ein Server-Token zur Authentifizierung. Bevor Sie beginnen: Generieren eines Server-Tokens. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie in Schritt 4 von 4: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen. 3. Wählen Sie die Server-Token-Datei mit der Erweiterung.p7m aus. 4. Klicken Sie auf Öffnen. 65

66 Konfigurieren von BlackBerry UEM für DEP 5. Klicken Sie auf Weiter. Wenn Sie fertig sind: Hinzufügen einer Registrierungskonfiguration. Hinzufügen einer Registrierungskonfiguration Bevor Sie beginnen: Registrieren des Server-Tokens bei BlackBerry UEM, bevor Sie Ihre erste Registrierungskonfiguration hinzufügen. Nachdem Sie ein Server-Token registriert haben, wird in BlackBerry UEM automatisch das Fenster zum Hinzufügen der ersten Registrierungskonfiguration angezeigt. 1. Füllen Sie die Felder aus, und aktivieren Sie die Kontrollkästchen für die Elemente, die Ihre Registrierungskonfiguration enthalten soll. Wenn Sie die Option Alle neuen Geräte automatisch dieser Konfiguration zuweisen auswählen, weist BlackBerry UEM die Registrierungskonfiguration ios-geräten bei deren Registrierung beim Apple-Programm zur Geräteregistrierung automatisch zu. Wenn Sie die Registrierungskonfiguration nicht automatisch zuweisen lassen, können Sie die BlackBerry UEM-Verwaltungskonsole verwenden, um beim DEP registrierten ios-geräten Registrierungskonfigurationen zuzuweisen. Weitere Informationen zur Zuweisung von Registrierungskonfigurationen finden Sie in der Dokumentation für Administratoren unter Aktivieren von ios- Geräten, die im DEP registriert sind.. Wenn Sie im Bereich Gerätekonfiguration weder Beaufsichtigten Modus aktivieren noch Entfernen des MDM-Profils zulassen auswählen, werden Sie von BlackBerry UEM beim Speichern der Registrierungskonfiguration zur Auswahl eines dieser Elemente aufgefordert. Sie müssen mindestens eines dieser Elemente auswählen. Optional können Sie beide Elemente auswählen. 2. Klicken Sie auf Speichern. Wenn die Meldung Ein Fehler ist aufgetreten. Die Server-Token-Datei konnte nicht entschlüsselt werden. angezeigt wird, lesen Sie Artikel unter 3. Wenn Sie die Option Alle neuen Geräte automatisch dieser Konfiguration zuweisen ausgewählt haben, klicken Sie auf Ja. Wenn Sie fertig sind: Aktivieren Sie ios-geräte. Weitere Informationen zur Aktivierung von Geräten finden Sie in der Dokumentation für Administratoren. Aktualisieren des Server-Tokens Das Server-Token ist ein Jahr lang gültig. Sie müssen das Token jährlich vor dem Ablaufdatum erneuern. Den Status des Tokens finden Sie unter dem Ablaufdatum im Programm zur Geräteregistrierung von Apple. Bevor Sie beginnen: Wenn der öffentliche Schlüssel geändert wurde, laden Sie einen neuen öffentlichen Schlüssel herunter. 66

67 Konfigurieren von BlackBerry UEM für DEP 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie im Bereich Ablaufdatum auf Server-Token aktualisieren. 3. Klicken Sie in Schritt 1 von 2: Erzeugen eines Server-Tokens aus dem Apple DEP-Konto auf Öffnen des DEP-Portals von Apple. 4. Melden Sie sich bei Ihrem DEP-Konto an. 5. Befolgen Sie die Anweisungen zum Generieren eines Server-Tokens. 6. Klicken Sie in Schritt 2 von 2: Registrieren des Server-Tokens bei BlackBerry UEM auf Durchsuchen. 7. Wählen Sie die Server-Token-Datei mit der Erweiterung.p7m aus. 8. Klicken Sie auf Öffnen. 9. Klicken Sie auf Speichern. Entfernen der DEP-Verbindung VORSICHT: Wenn Sie die DEP-Verbindung entfernen, können Sie neue ios-geräte nicht im Programm zur Geräteregistrierung von Apple aktivieren. Wenn Sie Geräten Registrierungskonfigurationen zugewiesen haben und diese nicht angewendet wurden, entfernt BlackBerry UEM die Registrierungskonfigurationen. Das Entfernen der Verbindung hat keine Auswirkungen auf Geräte, die in BlackBerry UEM aktiv sind. Wenn in Ihrem Unternehmen keine weiteren ios-geräte bereitgestellt werden, die DEP verwenden, können Sie die Verbindung zwischen BlackBerry UEM und DEP entfernen. 1. Klicken Sie in der Menüleiste auf Einstellungen > Externe Integration > Apple-Programm zur Geräteregistrierung. 2. Klicken Sie auf DEP-Verbindung entfernen. 3. Klicken Sie auf Entfernen. 4. Klicken Sie auf OK. 67

68 Einrichten von BlackBerry UEM Self-Service für Benutzer Einrichten von BlackBerry UEM Self- Service für Benutzer 14 BlackBerry UEM Self-Service ist eine webbasierte Anwendung, die Sie Benutzern für Verwaltungsaufgaben wie das Erstellen von Aktivierungskennwörtern, das Sperren von Geräten per Fernzugriff oder das Löschen von Daten von Geräten zur Verfügung stellen können. Eine Installation von Software auf den Geräten der Benutzer ist für die Verwendung von BlackBerry UEM Self- Service nicht erforderlich. Sie müssen den Benutzern die Webadresse und die Anmeldeinformationen bereitstellen. Sie können Benutzer zwingen, eine Anmeldemitteilung zu lesen und anzunehmen, bevor sie sich bei BlackBerry UEM Self- Service anmelden können. Weitere Informationen zu dieser Mitteilung finden Sie in der Dokumentation für Administratoren unter Erstellen eines Anmeldungshinweises für die Konsolen. BlackBerry UEM Self-Service einrichten Richten Sie BlackBerry UEM Self-Service so ein, dass Benutzer sich anmelden und Selbsthilfeaufgaben ausführen können. 1. Klicken Sie in der Menüleiste auf Einstellungen > Self-Service. 2. Klicken Sie auf Self-Service-Einstellungen. 3. Vergewissern Sie sich, dass Benutzern den Zugriff auf die Selbstbedienungskonsole gestatten aktiviert ist. 4. Legen Sie in Minuten, Stunden oder Tagen fest, wie lange ein Benutzer ein Gerät vor Ablauf des Aktivierungskennworts aktivieren kann. 5. Geben Sie die Mindestanzahl von Zeichen an, die für ein Aktivierungskennwort erforderlich sind. 6. Wählen Sie in der Dropdown-Liste Mindestkomplexität des Kennworts die für Aktivierungskennwörter erforderliche Komplexität aus. 7. Klicken Sie auf Speichern. Wenn Sie fertig sind: Geben Sie die Webadresse für BlackBerry UEM Self-Service und die Anmeldeinformationen für die Benutzer an. 68

69 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne 15 BlackBerry UEM verwendet ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit, um Dienstausfälle für Gerätebenutzer möglichst gering zu halten. Zum Konfigurieren von hoher Verfügbarkeit installieren Sie mehrere Instanzen von BlackBerry UEM jeweils auf einem separaten Computer. Jede Instanz stellt eine Verbindung zur BlackBerry UEM-Datenbank her und ermöglicht die aktive Verwaltung von Benutzerkonten und -geräten. Die hohe Verfügbarkeit in BlackBerry UEM beinhaltet die folgenden Funktionen: Funktion BlackBerry 10-Geräte automatisch auf eine fehlerfreie Instanz von BlackBerry UEM verschieben ios-, Android- und Windows-Geräte können eine Verbindung zu einer beliebigen BlackBerry UEM-Instanz herstellen BlackBerry Affinity Manager- Ausfallsicherung Beschreibung Wenn BlackBerry 10-Geräte einer BlackBerry UEM-Instanz nicht mithilfe der Enterprise-Konnektivität eine Verbindung zu geschäftlichen Ressourcen herstellen können, werden diese Geräte fehlerfreien Instanzen von BlackBerry UEM neu zugewiesen. BlackBerry 10-Geräte können die Enterprise-Konnektivität für den Zugriff auf - und Kalenderdaten, den geschäftlichen Browser und das Unternehmensnetzwerk verwenden. Die meisten Verwaltungsaufgaben (z. B. das Zuweisen von Profilen) erfordern die Enterprise-Konnektivität für eine erfolgreiche Durchführung. Wenn eine oder mehrere BlackBerry UEM-Instanzen Fehler aufweisen, können ios-,android- sowie Windows-Geräte eine Verbindung mit einer fehlerfreien Instanz herstellen. Auf diese Weise bleibt der Gerätedienst ohne Unterbrechung. Der BlackBerry Affinity Manager weist BlackBerry 10-Geräte einer BlackBerry UEM-Instanz zu, überwacht die Enterprise-Konnektivität für die jeweilige Instanz und verschiebt BlackBerry 10-Benutzer, wenn Probleme mit der Enterprise- Konnektivität auftreten. Der BlackBerry Affinity Manager kann keine ios-, Androidoder Windows-Geräte zu einer bestimmten BlackBerry UEM-Instanz zuweisen. Hierbei ist nur ein BlackBerry Affinity Manager aktiv. Die anderen BlackBerry Affinity Manager-Instanzen sind im Standby. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, wird ein Auswahlprozess durchgeführt, in dem bestimmt wird, welche Instanz aktiv werden soll. Die Instanz, in der der Auswahlprozess am schnellsten abgeschlossen wird, fungiert als aktive BlackBerry Affinity Manager-Instanz. Geräte von einer beliebigen BlackBerry UEM-Instanz aus verwalten Wenn ein Problem mit der Verwaltungskonsole oder mit BlackBerry UEM Core bei einer BlackBerry UEM-Instanz auftreten sollte, können Sie jedes Gerät (BlackBerry 69

70 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Funktion Beschreibung 10, ios, Android und Windows) mithilfe der Verwaltungskonsole und BlackBerry UEM Core einer beliebigen fehlerfreien Instanz weiterhin verwalten. Round-Robin-DNS-Pool für die Verwaltungskonsole BlackBerry Connectivity Node Mithilfe von Drittanbietersoftware können Sie einen Roundrobin-DNS-Pool konfigurieren, der eine Verbindung zur Verwaltungskonsole der jeweiligen BlackBerry UEM-Instanz herstellt. Wenn ein Problem mit einer Konsole auftritt, sorgt der Pool für eine Verbindung zu einer funktionsfähigen Konsole. Sie können eine oder mehrere Instanzen des BlackBerry Connectivity Node installieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Sie können auch Servergruppen erstellen, um regionale Datenpfade für sichere Verbindungen festzulegen und um hohe Verfügbarkeit für die Komponenten von BlackBerry Connectivity Node einzurichten. Weitere Informationen finden Sie unter Hohe Verfügbarkeit und der BlackBerry Connectivity Node. Während BlackBerry UEM eine Wiederherstellungsaktion ausführt, nehmen die betroffenen Benutzer eine kurze Dienstunterbrechung wahr. Die Dauer hängt von mehreren Faktoren ab, z. B. der Anzahl der BlackBerry 10-Geräte und der Anzahl der BlackBerry UEM-Instanzen. Wenn BlackBerry 10-Benutzer einer anderen Instanz zugewiesen werden, beträgt die durchschnittliche Ausfallzeit 3 Minuten. Wenn eine BlackBerry Affinity Manager-Ausfallsicherung erfolgt, beträgt die durchschnittliche Ausfallzeit 10 Minuten. Hohe Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten Wenn Sie hohe Verfügbarkeit für BES5 vor dem Upgrade von BES5 auf BlackBerry UEM konfiguriert haben, funktioniert diese Konfiguration auch nach dem Upgrade wie erwartet. Die Hochverfügbarkeitskonfiguration bezieht sich nur auf die Komponenten, die für die Verwaltung von BlackBerry OS-Geräten zuständig sind. Weitere Informationen zur Konfiguration hoher Verfügbarkeit für Komponenten, die BlackBerry OS-Geräte verwalten, finden Sie unter help.blackberry.com/detectlang/category/enterprise-services im BlackBerry Enterprise Server Administratorhandbuch für 5. 70

71 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Architektur: Hohe Verfügbarkeit für BlackBerry UEM Im folgenden Diagramm wird eine Domäne mit hoher Verfügbarkeit dargestellt, die zwei BlackBerry UEM-Instanzen aufweist. Sie können eine beliebige Anzahl an BlackBerry UEM-Instanzen installieren. In diesem Kapitel wird erklärt, welche Rolle spezielle Komponenten bei der Konfiguration hoher Verfügbarkeit spielen. Weitere Informationen zu BlackBerry UEM- Architektur und -Komponenten finden Sie in der Dokumentation zur Architektur. 71

72 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Komponenten BlackBerry UEM-Datenbank Verwaltungskonsole und BlackBerry UEM Core Beschreibung Jede BlackBerry UEM-Instanz stellt für den Zugriff auf Benutzer- und Gerätedaten eine Verbindung zur BlackBerry UEM-Datenbank her. Sie können eine beliebige Verwaltungskonsole für die Verwaltung von Benutzerkonten und Geräten der Domäne verwenden. Der BlackBerry UEM Core, der dieser Konsole zugeordnet ist, führt die Verwaltungsaufgaben durch. Sie können einen Round-Robin-DNS-Pool konfigurieren, der die Verbindung zu der jeweiligen Konsole herstellt. Wenn ein Problem mit einer der Konsolen auftreten sollte, stellt der Pool die Verbindung zu einer funktionsfähigen Konsole her. Jede Instanz verwaltet die Enterprise-Konnektivität für die BlackBerry 10-Geräte, die ihr von BlackBerry Affinity Manager zugewiesen wurden. Jede fehlerfreie Instanz kann Geräteverwaltungsaufgaben für alle Gerätetypen verarbeiten. BlackBerry MDS Connection Service und BlackBerry Dispatcher BlackBerry Affinity Manager Diese Komponenten ermöglichen, dass BlackBerry 10-Geräte Verbindungen zu Geschäftsressourcen herstellen und diese nutzen. Der BlackBerry Affinity Manager ist verantwortlich für: Zuweisen von BlackBerry 10-Geräten zu BlackBerry UEM-Instanzen Aufrechterhalten der Verbindung mit der BlackBerry Infrastructure Konfigurieren und Starten des aktiven BlackBerry Work Connect Notification Service Überprüfen des Zustands des BlackBerry MDS Connection Service und des BlackBerry Dispatcher in der jeweiligen Instanz zur Überwachung der Enterprise-Konnektivität Nur eine BlackBerry Affinity Manager-Instanz ist aktiv (die anderen sind im Standby). Wenn die aktive Instanz ein Problem mit der Enterprise-Konnektivität feststellt, weist sie BlackBerry 10-Benutzer den funktionsfähigen BlackBerry UEM-Instanzen neu zu. Jeder BlackBerry Affinity Manager, der im Standby ist, überwacht den aktiven BlackBerry Affinity Manager. Wenn ein Problem mit dem aktiven BlackBerry Affinity Manager auftritt, erfolgt eine Ausfallsicherung, und eine der Standby-Instanzen wird aktiv. Lastverteilungsdaten für BlackBerry 10-Geräte Wenn Sie mehrere Instanzen von BlackBerry UEM in einer Domäne installiert haben, verteilt der aktive BlackBerry Affinity Manager BlackBerry 10-Geräte gleichmäßig auf die fehlerfreien Instanzen. Wenn Sie beispielsweise drei Instanzen von BlackBerry UEM installieren und die Domäne 3000 BlackBerry 10-Geräte umfasst, weist der aktive BlackBerry Affinity Manager 72

73 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne jeder Instanz 1000 Geräte zu. Die Lastverteilung findet nur dann statt, wenn die Domäne mehr als 500 BlackBerry 10-Geräte umfasst. Es ist nicht möglich, BlackBerry 10-Geräte einer speziellen Instanz manuell zuzuweisen. Der BlackBerry Affinity Manager legt fest, welche Instanzen BlackBerry 10-Geräte verwalten. Jede BlackBerry UEM-Instanz ist mit der gleichen BlackBerry UEM-Datenbank verbunden. Die Komponenten jeder Instanz werden ausgeführt und verwalten aktiv Daten für alle Gerätetypen, außer für BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service. Nur eine Instanz von BlackBerry Affinity Manager und BlackBerry Work Connect Notification Service ist aktiv. Sie können den Status der einzelnen Instanzen in der Verwaltungskonsole anzeigen. Wenn eine Instanz vorübergehend nicht verfügbar ist, werden die Benutzer- und Gerätedaten von den verbleibenden Instanzen verwaltet. Hohe Verfügbarkeit und der BlackBerry Connectivity Node Sie können eine oder mehrere Instanzen des BlackBerry Connectivity Node installieren, um weitere Instanzen der Geräteverbindungskomponenten zur Domäne Ihres Unternehmens hinzuzufügen. Jeder BlackBerry Connectivity Node enthält die folgenden BlackBerry UEM-Komponenten: BlackBerry Secure Connect Plus, den BlackBerry Gatekeeping Service, den BlackBerry Secure Gateway Service, BlackBerry Proxy und den BlackBerry Cloud Connector. Jeder BlackBerry Connectivity Node stellt eine weitere aktive Instanz dieser Komponenten der BlackBerry UEM-Domäne zur Verfügung, die sichere Geräteverbindungen verarbeiten und verwalten kann. Weitere Informationen zum Planen und Installieren eines BlackBerry Connectivity Node finden Sie in der Dokumentation zur Planung und in der Dokumentation zu Installation und Upgrade. Sie können auch Servergruppen erstellen. Eine Servergruppe enthält eine oder mehrere Instanzen des BlackBerry Connectivity Node. Beim Erstellen einer Servergruppe geben Sie den regionalen Datenpfad an, den die zu verwendenden Komponenten für die Verbindung mit der BlackBerry Infrastructure nutzen sollen. Sie können beispielsweise eine Servergruppe erstellen, um Geräteverbindungen für BlackBerry Secure Connect Plus und BlackBerry Secure Gateway Service so zu lenken, dass der Pfad für die USA zur BlackBerry Infrastructure verwendet wird. Sie können - und Enterprise-Konnektivitätsprofile mit einer Servergruppe verknüpfen. Jedes Gerät, dem diese Profile zugewiesen wurden, nutzt die regionale Verbindung dieser Servergruppe zur BlackBerry Infrastructure, wenn Komponenten der BlackBerry Connectivity Node verwendet werden. Wenn eine Servergruppe mehrere Instanzen desblackberry Connectivity Nodeenthält, kann von den Geräten jede ausgeführte Instanz verwendet werden. Geräteverbindungen werden auf die verfügbaren Instanzen in der Gruppe verteilt. Wenn keine Instanzen verfügbar sind, können die Geräte diese Komponenten nicht für sichere Verbindungen nutzen. Mindestens eine der Instanzen muss verfügbar sein. 73

74 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Überprüfung des Zustands von Komponenten durch BlackBerry UEM Für die folgenden BlackBerry UEM-Komponenten sind Integritätsbewertungen verfügbar, um festzustellen, ob eine Wiederherstellungsaktion erforderlich ist: Komponenten Zustandsüberwachung Faktoren für die Integritätsbewertung Aktion, wenn der Zustand unter den Schwellenwert fällt BlackBerry MDS Connection Service und BlackBerry Dispatcher (aggregierte Integritätsbewertung) Aktiver BlackBerry Affinity Manager Werden die Komponenten ausgeführt? Können sie eine Verbindung zum aktiven BlackBerry Affinity Manager herstellen? Können sie eine Verbindung zu den BlackBerry 10-Geräten herstellen? Können sie eine Verbindung zur Datenbank herstellen? Der BlackBerry Affinity Manager verschiebt BlackBerry 10-Geräte von einer fehlerhaften BlackBerry UEM-Instanz auf fehlerfreie Instanzen. Aktiver BlackBerry Affinity Manager Jede Standby-Instanz des BlackBerry Affinity Manager Der Status des BlackBerry Affinity Manager (aktiv, standby oder durch Auswahlprozess aktiv werdend) Kann eine Verbindung zum BlackBerry Dispatcher hergestellt werden? Die Standby-Instanzen leiten die Ausfallsicherung ein, und eine Instanz übernimmt die Aufgabe des aktiven BlackBerry Affinity Manager. Können Aufrufe von BlackBerry UEM Core und jeder Standby-Instanz von BlackBerry Affinity Manager empfangen werden? Kann eine Verbindung zum BlackBerry Infrastructure hergestellt werden? Kann eine Verbindung zu den Konfigurationseinstellungen der Datenbank hergestellt und können diese geladen werden? 74

75 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Installieren einer zusätzlichen BlackBerry UEM- Instanz Informationen zur Installation zusätzlicherblackberry UEM-Instanzen, um eine Domäne mit hoher Verfügbarkeit zu erstellen,finden Sie in der Dokumentation zu Installation und Upgrade.Vergewissern Sie sich, dass der Computer die Systemanforderungen für die Installation einerblackberry UEM-Instanz erfüllt, und führen Sie die notwendigen Schritte vor und nach der Installation aus. Ausführliche Informationen zur Kompatibilitätfinden Sie in der Kompatibilitätsmatrix. Beachten Sie bei der Installation zusätzlicher BlackBerry UEM-Instanzen Folgendes: Installieren Sie jede Instanz auf einem separaten Computer. Wählen Sie in der Setupanwendung im Bildschirm Setuptyp die Option Bestehende Domäne verwenden. Geben Sie im Bildschirm Datenbankinformationen die Informationen der BlackBerry UEM-Datenbank an, die Sie bei der Installation der ursprünglichen BlackBerry UEM-Instanz erstellt haben. Nachdem Sie die zusätzliche BlackBerry UEM-Instanz installiert und die nach der Installation erforderlichen Schritte ausgeführt haben, ist ein Aktiv/Aktiv-Modell für hohe Verfügbarkeit in der Domäne vorhanden. Geräte- und Benutzerdaten werden mit Lastausgleich über die BlackBerry UEM-Instanzen hinweg verteilt, der aktive BlackBerry Affinity Manager überwacht die Enterprise-Konnektivität der jeweiligen Instanz, und die Standby-Instanzen von BlackBerry Affinity Manager überwachen die aktive Instanz, um festzustellen, ob eine Ausfallsicherung erforderlich ist. Konfigurieren der hohen Verfügbarkeit für die Verwaltungskonsole Um hohe Verfügbarkeit für die BlackBerry UEM-Verwaltungskonsolen zu konfigurieren, können Sie mithilfe des Hardware- Lastausgleichers oder des DNS-Servers Ihres Unternehmens einen Round-Robin-Pool festlegen, der die Verbindung zu der jeweiligen Verwaltungskonsole in der Domäne herstellt. Wenn keine Verwaltungskonsole verfügbar ist, stellen der Lastausgleicher oder der DNS-Server eine Verbindung zu einer der verfügbaren Komponenten her. Weitere Informationen über die Einrichtung eines Round-Robin-Pools finden Sie in der Dokumentation des Hardware- Lastausgleichers oder des DNS-Servers Ihres Unternehmens. Nach der Konfiguration eines Round-Robin-Pools empfiehlt es sich, die Variablen %AdminPortalURL% und %UserSelfServicePortalURL% in der Verwaltungskonsole (Einstellungen > Allgemeine Einstellungen > Standardvariablen) mit dem Poolnamen zu aktualisieren. Wenn Sie dies tun, können die -Nachrichten, die diese Variablen für die Verknüpfung mit der Verwaltungskonsole und dem BlackBerry UEM Self-Service nutzen, den Round-Robin-Pool verwenden. Wenn Sie die einmalige Anmeldung aktiviert haben, müssen Sie die SPN für das Microsoft Active Directory-Konto mit dem Poolnamen aktualisieren und die BlackBerry UEM-Dienste auf jedem Computer, der eine BlackBerry UEM-Instanz hostet, neu starten. 75

76 Konfigurieren der hohen Verfügbarkeit für eine BlackBerry UEM-Domäne Eine Instanz der BlackBerry UEM-Verwaltungskonsole im Round-Robin-Pool kann die Verbindung mit der BlackBerry UEM- Domäne verlieren, wenn ihr vom DNS-Server eine andere IP-Adresse zugewiesen wird. Die Verbindung wird getrennt, weil die neue IP-Adresse die Anmeldeinformationen des Benutzers nicht erkennt. In diesem Fall muss der Benutzer sich ab- und wieder anmelden. Verwandte Informationen Konfigurieren der eingeschränkten Delegierung für das Microsoft Active Directory-Konto zur Unterstützung der einmaligen Anmeldung, auf Seite 43 76

77 Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung Konfigurieren von hoher Verfügbarkeit der Datenbank mithilfe der Datenbankspiegelung 16 Sie können die Datenbankspiegelung verwenden, um hohe Verfügbarkeit für die BlackBerry UEM-Datenbank zu gewährleisten. Die Datenbankspiegelung ist eine Microsoft SQL Server-Funktion, die Ihnen ermöglicht, den Datenbankdienst und die Datenintegrität aufrechtzuerhalten, wenn Probleme mit der BlackBerry UEM-Datenbank auftreten. Hinweis: Microsoft plant die Einstellung der Datenbankspiegelung in zukünftigen Versionen vonmicrosoft SQL Serverund empfiehlt stattdessen den Einsatz der AlwaysOn-Funktion für die Konfiguration hoher Verfügbarkeit bei Datenbanken. Für den Einsatz von AlwaysOn sind vor der Installation vonblackberry UEMKonfigurationsschritte erforderlich. Weitere Informationen zur Verwendung von AlwaysOnfinden Sie im Abschnitt zu Installation und Upgrade.AlwaysOn kann nicht verwendet werden, wenn Sie ein Upgrade vonbes5aufblackberry UEMdurchführen (d. h. ein Upgrade derbes5-datenbank auf eineblackberry UEM-Datenbank). AlwaysOn wird nicht für Komponenten unterstützt, dieblackberryos-geräte verwalten. Wenn Sie die Datenbankspiegelung konfigurieren, erstellen Sie ein Backup der BlackBerry UEM-Prinzipaldatenbank (Datenbank, die während der Installation erstellt wird), und verwenden Sie die Backup-Dateien zum Erstellen einer Spiegeldatenbank auf einem anderen Computer. Anschließend konfigurieren Sie eine Spiegelungsbeziehung zwischen den beiden Datenbanken, sodass die Spiegeldatenbank die gleichen Aktionen ausführt und die gleichen Daten speichert. Um eine automatische Ausfallsicherung (Failover) zu aktivieren, richten Sie einen Zeugenserver für die Überwachung der Prinzipaldatenbank ein. Wenn die Prinzipaldatenbank nicht mehr reagieren sollte, startet der Zeuge eine automatische Ausfallsicherung über die Spiegeldatenbank. Die BlackBerry UEM-Komponenten stellen eine Verbindung zur Spiegeldatenbank her, und der Gerätedienst kann ohne Unterbrechung weitergeführt werden. Nun findet ein Rollentausch statt: die Spiegeldatenbank wird zur Prinzipaldatenbank, und die ursprüngliche Prinzipaldatenbank wird zur Spiegeldatenbank. Dieser Rollentausch kann während einer Spiegelungssitzung mehrmals stattfinden. 77