BlackBerry UEM 12.6 wurde bereits am 22.12.2016 als umbenannter Nachfolger von BES veröffentlicht. BB10QNX berichtete bereits davon in einem Kurzartikel, der auch die essentiellen Downloadlinks aufgrund anhaltender Portalfehler enthält. Aber nach der kurzen Hype verabschiedeten sich alle in Weihnachts- und Sylvesterurlaub. Somit war erst mal Ruhe an der BES Front angesagt.
Mittlerweile liegen erste verifizierte Beschreibungen und Anleitungen zur Installation von BB UEM in produktiven Umgebungen vor, worüber wir berichten wollen.
Workaround für fehlerhaften BES12.6.0 UEM Upgrade.
Vorab
Eines gleich vorweg: Mit der Einführung von BlackBerry UEM 12.6 ist der nächste Schritt in der Transitionsphase von GOOD nach BES vollzogen worden. GOOD Proxy und GOOD Control halten nun, in unbenannter Form, Einzug in UEM. Dadurch verändert sich der klassische Setup-Ablauf um weitere Abfragen. Bei unseren Installationen gingen wir von vormals reinen BES Umgebungen (BES 12.5.2) aus. Wer von der GOOD-Seite kommend den UEM einführen will, muss sich mit anderen Fragestellungen auseinandersetzen!
Die Änderungen von UEM 12.6 im Vergleich zur Vorgängerversion wurden ebenfalls bereits in Vorfeld auf BB10QNX beschrieben.
Unbedingt wahrnehmen sollte man den Umstand, dass durch die Proxy- und Control-Einführung eine Änderung in der Firewallkonfiguration erforderlich ist! Dies ist bei BlackBerry im KB 000036470 dokumentiert.
Wie immer sollte unbedingt die Compatibility Matrix im Vorfeld zu Rate gezogen werden. Da sie derzeit unter der Rubrik der UEM 12.6 Manuals nicht zu finden ist, haben wir sie diesem Artikel angehängt.
BlackBerry-UEM-latest-Compatibility-Matrix-enEine wichtige Information ist der höhere RAM Verbrauch von UEM 12.6. Setup weist einen Bedarf von 12 GB aus. Aufgrund der nun komplexeren Web-UI sollten aber bei einer Standardinstallation mindestens 16 GB RAM und 2 vCPU vorgelegt werden, damit es flüssig läuft.
Installation
Bei einer UEM Neuinstallation muss man sich eine SRP-ID aus dem MyAccount-Portal beschaffen. Die für BlackBerry Control erforderliche GOOD Control ID wird mittlerweile autogeneriert, so dass man sich den Ausflug ins GOOD-Portal sparen kann. Unabhängig davon sollte man immer das BlackBerry UEM Readiness Tool ausführen, um Inkompatibilitäten vorab erkennen zu können.
Zusätzlich zu den aus Vorgängerversionen bekannten Angaben taucht nun in beiden Installationsvarianten die Abfrage nach der Control Datenbank auf.
Hier können vormalige GOOD Control Installationen durch Angabe des SQL Pfades eingebunden werden. In unserem Falle lag vorher keine GOOD Implementierung vor, daher wird sie nun zwingend neu erzeugt. Abweichend von “echten” GOOD Control Installationen wird die Control Datenbank bei korrektem Ausfüllen der Maske selbst erzeugt. Sie darf nicht vorgelegt werden.
Nach einem erfolgreichen Durchlauf von Setup finden sich anstatt der 9 bekannten BlackBerry-Services nun 11 an der Zahl, da sich die Palette eben um Proxy und Control erhöht hat.
Bei einer erfolgreichen Update-Installation sind alle vormaligen BES-Einstellungen, auch im Bereich von AfW, unverändert übernommen worden. Nach einem Start der UEM-Dienste haben alle angebundenen Handhelds anstandslos funktioniert.
BlackBerry Control/Proxy
Nach der Installation findet sich etwas versteckt (Einstellungen -> Infrastruktur -> BlackBerry Control ) der Weg zu Control. Um Zugriff zu bekommen, muss zunächst das erste Administratorenkonto definiert werden. Vorsicht an dieser Stelle: Das Feld “Domäne” muss gefüllt sein. Daher muss bei einer Neuinstallation somit zuvor das Unternehmensverzeichnis definiert werden.
Anschließend erhält man Zugang zur Control Maske, in unserem Fall ohne weitere Einstellungen.
Control bildet die Grundlage des vormaligen “GOOD Containers“, welcher seit Jahresende die Secure Workspace offiziell ersetzt. Auf die notwendigen Konfigurationen hierfür gehen wir in zukünftigen Artikeln näher ein. Wer diese Funktion(en) nicht nutzt oder nicht nutzen will, muss hier keine weitere Konfiguration vornehmen und kann die Präsenz von Control im UEM getrost ignorieren.
Weitere Änderungen
Bei einer Neuinstallation von UEM 12.6 wird in der Standardkonfiguration SQL 2014 Express SP1 installiert, obwohl offiziell bereits SQL 2016 unterstützt ist. Die Datenbanken wurden umbenannt zu UEM und Control. Die SQL Instanz heißt nun UEM statt BES. Beim Updatepfad werden die alten Namen und Einstellungen von Instanz und Datenbank beibehalten.
In einigen Fällen scheint Setup am BSCP Adapter dessen IP Adresse, falls angepasst, auf den Standardwert zurück zu ändern. Dies ist noch nicht zu 100% bestätigt. Man kann das einfach korrigieren (Dienst anschließend neu starten) oder die betroffenen Endgeräte neu verbinden (lassen).
BlackBerry Secure Connect Plus (BSCP) wird nun unter dem Namen BlackBerry Connectivity weitergeführt. Im Installationspacket sind die neuesten BSCP-Clients für Android in der Version 1.10.0.93 (Play-Store: Version 1.9.1.92) und für OS10 in der Version 1.3.0.33 enthalten. Auf der BES Tools Download Seite sind noch die älteren Versionen zu haben. Mein Z30 und mein Galaxy S7 mit KNOX melden unter UEM 12.6 bereits BlackBerry Connectivity als Verbindungstyp. Mein AfW-aktiviertes PRIV beharrt jedoch noch darauf, Secure Connect Plus verbunden zu sein. Hier zeigt sich, dass die System Apps bei AfW nicht gepusht werden.
Fazit
Die Umbenennung von BES nach UEM scheint nicht in allen Software-Modulen durchweg einheitlich gemacht worden zu sein. Es ist noch an vielen Stellen vom BES die Rede. Innerhalb von UEM finden sich in der Version 12.6 auch keine Änderungen in den Aktivierungsmodi. So wird einerseits Secure Workspace weiterhin unterstützt. Wer allerdings andererseits den neuen Container nutzen will, muss diesen mühsam über das BES App Management, verbunden mit der Control Konfiguration, zum Fliegen bringen. Über einen Aktivierungsmodus geht das nicht.
Bei BlackBerry Control (früher GOOD Control) bemerke ich eine ähnlich verfahrene Situation: Auf der UEM-Maschine wird eine nahezu unabhängige Software installiert, die separat unter Port 17443 angesprochen und auch separat konfiguriert wird. Auch der Link vom “BES” zu Control wirkt schludrig gemacht, hinter einem namensübersetzenden Reverse-Proxy funktioniert das wegen der Hardcodierung des Links überhaupt nicht.
Die Integration von Control/Connect erinnert mich persönlich an die Zeiten von BES 10.1, als jedem BDS-Admin beim Update ungefragt ein UDS untergeschoben wurde. Erst mit BES 12 wurde dieser Zustand beendet und die Produkte BDS und UDS wirklich vereinigt.
Es ist augenscheinlich, dass der UEM in der Version 12.6 eine Momentaufnahme einer länger andauernden Transitionsphase ist. Allerdings lassen diese ersten Integrationsspuren auch auf eine bessere Zukunft hoffen. Die Installation des UEM gelingt jedoch mit etwas Grundwissen problemlos.
Pingback: Workaround: BES12.5 auf BES12.6.0 UEM Upgrade | BB10QNX.de
Pingback: Sicherheitslücken in allen BES12 Versionen bis 12.5.2 | BB10QNX.de
Pingback: BlackBerry Enterprise Service 12 (BES12) – Unified Endpoint Manager (EUM) Kompendium | BB10QNX.de
Pingback: BlackBerry UEM 12.6 MR2 wurde veröffentlicht | BB10QNX.de