BES 12.4: Aktivierungsmodi mit Lizenzierung

Einer der ersten bleibenden Eindrücke einer aktuellen und durchkonfigurierten BES12.4 Installation sind die zahlreichen Aktivierungsoptionen über die verschiedensten Geräte und Betriebssysteme hinweg. Es liegt auf der Hand, dass hier selbst MDM-Fachleute schnell den Überblick verlieren.

Insbesonders die deutsche, sehr freie und holzige, Übersetzung einzelner Punkte in der GUI bereitet gelegentlich Schwierigkeiten, wenn man in der englischsprachigen Originaldokumentation nach Details und Erklärungen stöbern muss.

Wer zudem noch vertrieblich unterwegs ist und Lizenzsituationen klären muss, steht schnell restlos auf dem Trockenen. Hier müssen dann mehrere Anleitungen zeitgleich konsultiert und abgeglichen werden.

Wir kennen diese Situation mittlerweile zur Genüge. Daher habe ich aus den drei Grunddokumenten Administration, Configuration und Licensing das Wesentliche extrahiert und zusammengestellt. Ich hoffe, mit diesem weiteren BES12-Kompendium Beitrag Licht ins Dunkle der Aktivierungen und Lizenzen zu bringen.

Blackberry 10

  • Work and personal – Corporate
    Deutsch: Geschäftlich und persönlich – Unternehmen
    Lizenz: Silber, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Silber, ESBL-Gold
    Rechtsmodell: BYOD (Gerät und SIM gehören dem Anwender)
    Beschreibung: In diesem Aktivierungsmodell wird ein geschäftlicher Bereich eingerichtet. Nur dieser unterliegt der Kontrolle des BES. Dabei wird sichergestellt, dass auf private Daten oder Hardwarefunktionen des Geräts seitens der IT nicht bzw. extrem eingeschränkt zugegriffen werden kann.
  • Work and personal – Regulated
    Deutsch: Geschäftlich und persönlich – reguliert
    Lizenz: Gold (ersetzt Gold – BlackBerry) , Gold – Flex, ESBL-Gold
    Rechtsmodell: COPE (Gerät und SIM gehören der Firma, Privatnutzung jedoch erlaubt)
    Beschreibung: In diesem Aktivierungsmodell wird ebenfalls ein geschäftlicher Bereich eingerichtet, der besonderen Schutz geniest. Es besteht jedoch eine Kontrolle über beide Bereiche und der Gerätehardware durch den BES.
  • Work space only
    Deutsch: Nur geschäftlicher Bereich
    Lizenz: Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Gold
    Rechtsmodell: COBO (Gerät und SIM gehören der Firma, Privatnutzung nicht oder eingeschränkt)
    Beschreibung: Es gibt bei diesem Aktivierungsmodus nur noch einen geschäftlichen Bereich. Per BES hat man volle Kontrolle über Richtlinien, Apps, Konten und Hardware des Gerätes. Aber Vorsicht: Android-Apps oder von Android abgeleitete OS10 Apps stehen hier mangels Runtime NICHT zur Verfügung!

OS-X

  • MDM Controls
    Deutsch: MDM-Steuerelemente
    Lizenz: Silber, Gold – SWS, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Siber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp umfasst eine Verwaltung auf Basis der Optionen des Betriebssystems. OSX erlaubt Anmeldungen verschiedener Benutzer, so dass dem Gerät sowie dem Benutzer getrennte Eigenschaften bzw. Profile zugewiesen werden können. Es wird kein geschäftlicher Bereich erzeugt.

Windows 10 / Windows Phone

  • MDM Controls
    Deutsch: MDM-Steuerelemente
    Lizenz: Silber, Gold – SWS, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Siber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp umfasst eine Verwaltung auf Basis der Optionen des Betriebssystems Windows 10, Windows 10 Mobile und Windows Phone. Es wird kein geschäftlicher Bereich erzeugt.

IOS

  • MDM Controls
    Deutsch: MDM-Steuerelemente
    Lizenz: Silber, Gold – SWS, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Siber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp umfasst eine Verwaltung auf Basis der Optionen des Betriebssystems iOS. Es wird kein geschäftlicher Bereich erzeugt.
  • User privacy
    Deutsch: Privatsphäre der Benutzer
    Lizenz: Silber, Gold – SWS, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Siber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp kann dazu verwendet werden, allein das Gerät grundlegend zu verwalten. Es wird kein geschäftlicher Bereich erzeugt. Die Geräte sind dabei an den BES angebunden. Dienste wie Find my Phone und Root Detection können verwendet werden. Eine Einschränkung des Benutzers ist jedoch nicht möglich.
  • Strong Authentication by BlackBerry
    Das Ziel einer solchen Aktivierung ist nur eine geräteseitige Unterstützung des BlackBerry-Produkts Strong Authentication Solution. Dieser Aktivierungsmodus erlaubt kein Geräte- oder Benutzermanagement seitens des BES.
  • Work and personal – full control
    Deutsch: Geschäftlich und persönlich – volle Kontrolle
    Lizenz: Gold – SWS, ESBL-Gold
    Rechtsmodell: COPE
    Beschreibung: Bei diesem Aktivierungstyp wird die Secure Workspace Shell installiert. Diese stellt, grob gesagt, einen App basierten Contasiner als geschäftlichen Bereich dar. Durch den Zusatz volle Kontrolle wird zusätzlich eine komplette Fernlöschung des Geräts ermöglicht, da im Rechtsmodell die Firma die Eigentumsrechte hat.
  • Work and personal – user privacy
    Deutsch: Geschäftlich und persönlich – Privatsphäre des Benutzers
    Rechtsmodell: BYOD
    Lizenz: Gold – SWS, ESBL-Gold
    Beschreibung: Bei diesem Aktivierungstyp wird ebenfalls die Secure Workspace Shell installiert. Diese stellt, grob gesagt, einen App basierten Contasiner als geschäftlichen Bereich dar. Durch den Zusatz Privatsphäre des Benutzers ist jedoch eine komplette Fernlöschung des Geräts nicht möglich, es kann nur noch die SWS bzw. deren Inhalt ferngelöscht werden. Hintergrund ist das Rechtsmodell BYOD. Hier hält der Anwender die Eigentumsrechte. Somit sind komplette Löschungen gesetzlich nicht erlaubt.

Android

  • Work and personal – user privacy – (Samsung KNOX)
    Geschäftlich und persönlich – Benutzer-Datenschutz (Samsung KNOX)
    Lizenz: Gold – KNOX Workspace, Gold – Flex, ESBL-Gold
    Rechtsmodell: BYOD
    Beschreibung: Dieser Aktivierungstyp stellt Privatsphäre für persönliche und Verwaltung durch IT-Richtlinien der beruflichen Daten zur Verfügung. Dieser Aktivierungstyp unterstützt nicht die KNOX MDM IT-Richtlinien. Es wird ein separater Arbeitsbereich erstellt, für den der Nutzer ein Zugangspasswort erstellen muss. Die Daten im beruflichen Arbeitsbereich sind durch Verschlüsselung und Authentifizierung wie PIN, Passwörter,  Muster oder Fingerabdruck gesichert. Der Nutzer muss auch eine Bildschirmsperre zum Schutz des gesamten Gerätes einrichten und kann kein USB Debugging nutzen. Eine komplette Fernlöschung ist bei Benutzer-Datenschutz nicht möglich.
  • Work space only – (Samsung KNOX)
    Deutsch: Nur geschäftlicher Bereich (Samsung KNOX)
    Lizenz: Gold – KNOX Workspace, Gold – Flex, ESBL-Gold
    Rechtsmodell: COBO
    Beschreibung: Dieser Aktivierungstyp lässt den Administrator das gesamte Gerät durch die KNOX MDM und KNOX Workspace IT-Richtlinien verwalten. Dieser Aktivierungstyp entfernt den persönlichen Bereich und installiert einen beruflichen. Der Nutzer muss ein Passwort für die Geräteentsperrung einrichten. Jegliche Daten auf dem Gerät sind durch Verschlüsselung und Authentifizierung durch Passwort, PIN, Muster oder Fingerabdruck gesichert.
  • Work and personal – full control (Samsung KNOX)
    Deutsch: Geschäftlich und persönlich – vollständige Kontrolle (Samsung KNOX)
    Lizenz: Gold – KNOX Workspace, Gold – Flex, ESBL-Gold
    Rechtsmodell: COPE
    Beschreibung: Dieser Aktivierungstyp lässt den Administrator das gesamte Gerät durch die KNOX MDM und KNOX Workspace IT-Richtlinien verwalten. Dieser Aktivierungstyp erzeugt einen Arbeitsbereich auf dem Gerät. Der Nutzer muss ein Passwort für die Geräteentsperrung einrichten. Jegliche Daten auf dem Gerät sind durch Verschlüsselung und Authentifizierung durch Passwort, PIN, Muster oder Fingerabdruck gesichert. Das Gerät ist fernlöschbar.
  • Work and personal – full control (Secure Work Space)
    Deutsch: Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)
    Lizenz: Gold – Secure Work Space, ESBL-Gold
    Rechtsmodell: COPE
    Beschreibung: Bei diesem Aktivierungstyp wird die Secure Workspace Shell installiert. Diese stellt, grob gesagt, einen App basierten Container als geschäftlichen Bereich dar. Durch den Zusatz volle Kontrolle wird zusätzlich eine komplette Fernlöschung und Verwaltung des Geräts ermöglicht, da im Rechtsmodell die Firma die Eigentumsrechte hat. Wenn das Gerät zudem noch KNOX MDM unterstützt, können zusätzlich die KNOX MDM IT Richtlinien angewandt werden
  • Work and personal – user privacy (Secure Work Space)
    Deutsch: Geschäftlich und persönlich – Benutzer-Datenschutz (Secure Work Space)
    Lizenz: Gold – SWS, ESBL-Gold
    Rechtsmodell: BYOD
    Beschreibung: Auch bei diesem Aktivierungstyp wird die Secure Workspace Shell installiert. Die Aktivierung sieht jedoch eine Vertraulichkeit persönlicher Daten vor. Im Gegensatz zum Arbeitsbereich kann das Gerät mit dem Benutzerbereich nur eingeschränkt verwaltet und nicht ferngelöscht werden. Dieser Aktivierungstyp unterstützt KNOX MDM IT Richtlinien nicht.
  • Strong Authentication by BlackBerry
    Das Ziel einer solchen Aktivierung ist nur eine geräteseitige Unterstützung des BlackBerry-Produkts Strong Authentication Solution. Dieser Aktivierungsmodus erlaubt kein Geräte- oder Benutzermanagement seitens des BES.
  • User Privacy
    Deutsch: Privatsphäre der Benutzer
    Lizenz: Silber, Gold – SWS, Gold – KNOX Workspace, Gold – Flex, ESBL-Silber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp kann dazu verwendet werden, allein das Gerät grundlegend zu verwalten. Es wird kein geschäftlicher Bereich erzeugt. Die Geräte sind dabei an den BES angebunden. Dienste wie Find my Phone und Root Detection können verwendet werden. Eine Einschränkung des Benutzers ist jedoch nicht möglich.
  • MDM Controls
    Deutsch: MDM-Steuerelemente
    Lizenz: Silber, Gold – SWS, Gold – KNOX Workspace, Gold – Flex, ESBL-Siber, ESBL-Gold
    Rechtsmodell: Unbestimmt
    Beschreibung: Dieser Aktivierungstyp umfasst eine Verwaltung auf Basis der Optionen des Betriebssystems Android. Es wird kein geschäftlicher Bereich erzeugt. Falls das Zielgerät Samsung KNOX MDM (eine von Samsung erweiterte OS API) unterstützt, können zusätzliche Samsung-spezifische Geräterichttlinen verwendet werden. Damit ein (externes) Mailprofil angewendet werden kann, muss die App TouchDown als Mailclient installiert werden. Die nativen Android Mail-Clients unterstützen keine Mailprofile.
  • Work space only (Android for Work)
    Deutsch: Nur geschäftlicher Bereich (Android for Work)
    Lizenz:  Silber,  Gold – SWS,Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Silber, ESBL-Gold
    Rechtsmodell: COBO
    Beschreibung: Diese Aktivierung beschränkt das Gerät auf einen Arbeitsbereich, das gesamte Gerät ist mit IT Richtlinien verwaltbar. Vor der Aktivierung wird das Gerät auf Werkseinstellungen zurückgesetzt, damit keine vorgelegten Konfigurationen und Apps übernommen werden. Dieser Aktivierungstyp unterstützt kein BlackBerry Secure Connect Plus. Der Server eines optionalen ActiveSync Kontos muss daher extern erreichbar sein. LAN Ressourcen sind nicht erreichbar.
  • Work and personal – user privacy (Android for Work)
    Deutsch: Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)
    Lizenz: Silber, Gold – SWS, Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Silber, ESBL-Gold
    Rechtsmodell: BYOD
    Beschreibung: Bei der Aktivierung wird ein Arbeitsbereich eingerichtet. Dieser Aktivierungstyp sieht zudem Vertraulichkeit von persönlichen Daten vor, der Arbeitsbereich lässt sich jedoch durch IT-Richtlinien verwalten. Privat- und Arbeitsbereich sind durch lokale Verschlüsselung vor Fremdzugriff geschützt. Dieser Aktivierungstyp unterstützt kein BlackBerry Secure Connect Plus. Der Server eines optionalen ActiveSync Kontos muss daher extern erreichbar sein. LAN Ressourcen sind ebenfalls nicht erreichbar.
  • Work and personal – user privacy (Android for Work – Premium)
    Deutsch: Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)
    Lizenz: Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Gold
    Rechtsmodell: BYOD
    Beschreibung: Bei der Aktivierung wird ein Arbeitsbereich eingerichtet. Dieser Aktivierungstyp sieht zudem Vertraulichkeit von persönlichen Daten vor, der Arbeitsbereich lässt sich jedoch durch IT-Richtlinien verwalten. Privat- und Arbeitsbereich sind durch lokale Verschlüsselung vor Fremdzugriff geschützt. Dieser Aktivierungstyp unterstützt BlackBerry Secure Connect Plus. Der Server eines optionalen ActiveSync Kontos muss daher intern erreichbar sein. LAN Ressourcen sind für Arbeitsapplikationen ebenfalls erreichbar.
  • Work space only (Android for Work – Premium)
    Deutsch: Nur geschäftlicher Bereich (Android for Work – Premiumversion)
    Lizenz: Gold (ersetzt Gold – BlackBerry), Gold – Flex, ESBL-Gold
    Rechtsmodell: COBO
    Beschreibung: Auch diese Aktivierung beschränkt das Gerät auf einen Arbeitsbereich, das gesamte Gerät ist mit IT Richtlinien verwaltbar. Vor der Aktivierung wird das Gerät auf Werkseinstellungen zurückgesetzt, damit keine vorgelegten Konfigurationen und Apps übernommen werden. Dieser Aktivierungstyp unterstützt BlackBerry Secure Connect Plus. Der Server eines optionalen ActiveSync Kontos muss daher intern angegeben sein. Ressourcen im LAN können von geschäftlichen Apps erreicht werden.

Zur Forumsdiskussion

Claus Börschig
Ben Witt

 

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar