BlackBerry UEM12.8 und Clients – Was neu ist

  • 17 Minuten zum Lesen

BlackBerry hat in der eigenen Secure Plattform einige neue Funktionen implementiert, welche ich euch hier vorstellen will. Neben der Microsoft GRAPH Nutzung gibt es noch weitere Neuerungen, welche mit dem Release von UEM12.8 zu Verfügung stehen werden. Zunächst ein paar Highlights.

  • Sichere Nutzung von Microsoft Mobile Apps mit BlackBerry Enterprise BRIDGE
    Durch die nahtlose Bereitstellung der mobilen Anwendungen von Microsoft innerhalb von BlackBerry Dynamics-Anwendungen, wie BlackBerry Work, haben Benutzer jetzt ein einheitliches Erlebnis beim Öffnen, Bearbeiten und Speichern einer Microsoft Office 365-Datei wie Excel, PowerPoint und Word auf iOS- oder Android-Geräten.
  • Nach Feierabend
    Mit der neuen Funktion “Nicht stören” von BlackBerry Work können Unternehmen E-Mail- und Kalenderbenachrichtigungen für ihre Mitarbeiter außerhalb der normalen Geschäftszeiten blockieren. Diese Funktion kann von einzelnen Benutzern übersteuert werden.
  • Fotos, Videos, PDFs und andere Dateien in persistenten Gruppen-Chats in BlackBerry Connect teilen.
  • Android Zero-Touch Enrollment
  • UEM Notifications
    Weitere Informationen
  • iOS Multi-User
    Unterstützung und Bereitstellung von Apple iOS-Geräten, die von Schichtarbeitern über einen “Check-in, Check-out”-Prozess einfach gemeinsam genutzt werden können.

Details:

KNOX

  • Wenn ein ein Samsung KNOX-Gerät aktiviert, das ein Work Profile mit der Aktivierungsart Workspace only oder Workspace only Premium hat, kann auch eine Teilmenge der KNOX MDM-Richtlinien auf das Gerät angewendet werden. Beispielsweise werden die Richtlinien für die Gesichtserkennung, Iris-Authentifizierung, eingehende MMS, ausgehende MMS oder das Blockieren von Wi-Fi-SSIDs auf das Gerät angewendet.
  • Wenn man bei der Erstellung eines Aktivierungsprofils für Samsung KNOX-Geräte die Aktivierungsart MDM Controls wählt, kann man nun wählen, ob KNOX MDM-Richtlinien auf das Gerät angewendet werden sollen. Samsung KNOX-Geräte erhalten standardmäßig KNOX MDM-Regeln.
  • Daten vom Gerät bei Deaktivierung löschen: Bei Samsung KNOX Workspace-Geräten, die über die Aktivierungsarten Work and personal – full control oder Workspace only aktiviert wurden, löscht die Deaktivierung des Geräts alle Daten vom Gerät oder nur aus dem Arbeitsbereich.
  • Per-App VPN für KNOX Workspace-Geräte: Man kann nun VPN-Einstellungen für einzelne Arbeitsanwendungen auf Samsung KNOX-Geräten vornehmen. Per-App-VPN-Einstellungen sind sowohl für VPN-Profile als auch für BlackBerry Secure Connect Plus verfügbar.
  • Unterstützung für E-FOTA: Man kann jetzt ein Device SR Anforderungsprofil verwenden, um die Firmware-Versionen zu steuern, die auf Samsung KNOX-Geräten installiert sind. Man kann auch planen, wann Firmware-Updates durchgeführt werden. Diese Funktion erfordert MDM 5.7.1 und höher und eine E-FOTA-Lizenz. (Weitere Informationen)

Android

  • Android Zero-Touch Enrollment: BlackBerry UEM unterstützt Zero-Touch Enrollment auf Geräten mit Android 8.0 oder höher, die für Zero-Touch Enrollment aktiviert wurden. Zero-Touch Enrollment bietet eine nahtlose Bereitstellungsmethode für unternehmenseigene Android-Geräte, die eine schnelle, einfache und sichere Bereitstellung großer Geräte für das Unternehmen und die Benutzer ermöglicht.
  • Geräte-Supportmeldungen: Für Android 8-Geräte können Sie eine Supportmeldung erstellen, die auf Android-Geräten mit einem Arbeitsprofil angezeigt wird, wenn eine Funktion von BlackBerry UEM deaktiviert wird.
  • SCEP-Unterstützung: Android-Geräte mit einem Arbeitsprofil unterstützen jetzt die Verwendung von SCEP, um dem Gerät das Client-Zertifikat zur Authentifizierung mit Ihrem Wi-Fi-Netzwerk zur Verfügung zu stellen.
  • Systemanwendungen deaktivieren: Man kann jetzt Systemanwendungen im Arbeitsprofil auf Android-Geräten deaktivieren.
  • App-Katalog im BlackBerry Dynamics Launcher: Auf Android-Geräten, die nicht für MDM aktiviert sind, können Benutzer nun über den BlackBerry Dynamics Launcher auf ihre Work-App-Kataloge zugreifen, ohne dass der BlackBerry UEM Client auf dem Gerät installiert ist.

BlackBerry Dynamics

  • Compliance-Regeln: Eine neue Compliance-Richtlinie erlaubt alle Versionen der BlackBerry Dynamics-Bibliothek. Administratoren können automatisch alle aufgelisteten SDK-Bibliotheksversionen auswählen oder neue nicht aufgelistete BlackBerry Dynamics-Bibliotheksversionen als Platzhalter zulassen, so dass Regeln für neue Versionen festgelegt werden können.
  • BlackBerry Dynamics App E-Mail freischalten: Man kann jetzt eine E-Mail mit einem Freischaltschlüssel an das Gerät eines Benutzers senden, um BlackBerry Dynamics Apps freizuschalten.
  • Interne BlackBerry Dynamics-Anwendungen: Benutzer können nun interne BlackBerry Dynamics-Anwendungen im Arbeitsprofil auf Android-Geräten installieren.

Windows

  • Windows 10 Attestation: Man kann jetzt Herausforderungen senden, um die Authentizität und Integrität von Windows 10-Geräten mit BlackBerry UEM zu testen. Wenn man die Attestation einschaltet, kommuniziert das Gerät mit dem Microsoft Health Attestation Service, um anhand der Einstellungen, die man in einem Konformitätsprofil angibt, die Übereinstimmung zu überprüfen.

iOS

  • FaceID: BlackBerry UEM unterstützt Face ID zur Geräteauthentifizierung und zum Öffnen von BlackBerry Dynamics-Anwendungen.
  • SCEP-Zertifikatserneuerung: SCEP-Client-Zertifikate auf iOS-Geräten können jetzt automatisch erneuert werden.
  • iOS 11: Man kann nun im VPN-Profil die minimale und maximale TLS-Version angeben, die Geräte über eine IKEv2-Verbindung verwenden können. Diese Einstellung gilt nur für Geräte ab iOS 11.
  • Gemeinsame iOS-Geräteverwaltung: Administratoren können mehreren Benutzern erlauben, ein iOS-Gerät gemeinsam zu nutzen und die Nutzungsbedingungen anzupassen, die Benutzer akzeptieren müssen, um freigegebene Geräte einzuchecken. Benutzer können ein Gerät mit lokaler oder Firmenverzeichnis-Authentifizierung einchecken, und wenn sie damit fertig sind, können sie es auschecken und das Gerät ist für den nächsten Benutzer verfügbar. Gemeinsame Geräte bleiben während des Check-Out- und Check-In-Prozesses von BlackBerry UEM verwaltet.
  • Mehrere DEP-Konten: MAn kann jetzt mehrere Apple DEP-Konten mit einer BlackBerry UEM-Domain verbinden.
  • Layout von Anwendungen auf iOS-Geräten konfigurieren: Man kann ein Startbildschirm-Layout-Profil für überwachte iOS 9.3 und spätere Geräte erstellen, mit dem man das Layout von Anwendungen auf dem Gerät steuern kann.
  • Freigabe und Aufzeichnung von Bildschirmen: Administratoren können nun verhindern, dass iOS-Gerätebenutzer ihre Bildschirme gemeinsam nutzen und aufzeichnen, wenn sie BlackBerry Dynamics-Anwendungen verwenden. Diese BlackBerry Dynamics-Profileinstellung gilt für Geräte mit iOS 11 und höher.

Profile

  • Microsoft Intune App-Schutzprofil: Das Microsoft Intune App-Schutzprofil unterstützt jetzt zusätzliche Microsoft-Einstellungen, die die minimalen Betriebssystemversionen und App-Versionen festlegen, die für die Verwendung einer Intune-verwalteten Anwendung auf dem Gerät erforderlich sind. Hinweis: UEM unterstützt jetzt die allgemein verfügbare Version der Microsoft Graph APIs für Intune.
  • BlackBerry Dynamics-Profil: Die folgenden Optionen wurden dem BlackBerry Dynamics-Profil hinzugefügt:
    Man benötigt kein Benutzerkennwort für macOS und kein Benutzerkennwort für Windows.
    Die minimale Passwortlänge wurde auf 16 Zeichen erhöht.
    Das Maximum für die Liste Vorherige Passwörter nicht zulassen wurde auf 12 erhöht.
  • Verbindungsprofil: Man kann eine .csv-Datei verwenden, um BlackBerry Dynamics-Verbindungsprofile zu importieren und zu exportieren. Wenn man eine .csv-Datei importiert, ersetzt sie den Inhalt des Verbindungsprofils. Dies erleichtert die manuelle Bearbeitung von Werten, wenn eine große Anzahl von URLs oder Servern geändert werden muss.
  • Liste verbotener Kennwörter: Man kann eine Liste von Kennwörtern hochladen, die ein Benutzer nicht verwenden kann, wenn er ein Kennwort für BlackBerry Dynamics-Anwendungen auf einem Gerät festlegt. Man kann auch die zuvor hochgeladene Liste der verbotenen Passwörter herunterladen.

Management Konsole

  • E-Mail-Benachrichtigung für APNs: Man kann eine E-Mail-Benachrichtigung erstellen, um Administratoren zu warnen, das APN-Zertifikat zu erneuern, bevor es abläuft.
  • Gerätedetailseite:
    Auf der Seite mit den Gerätedetails wird der Sperrstatus für BlackBerry Dynamics-Anwendungen angezeigt. Wenn die Anwendung bereits gesperrt ist, kann man den Sperrbefehl nicht mehr an das Gerät senden.
    Auf der Gerätedetailseite wird der Aktivierungsstatus für BlackBerry Dynamics-Anwendungen angezeigt. Man kann alle Anwendungen, deren Aktivierung fehlgeschlagen ist, aus der App-Liste entfernen.
  • Win32: BlackBerry Dynamics unterstützt jetzt Win32 und eine neue Compliance-Richtlinie für die Win32-Virenerkennung ist verfügbar.
  • Server-Eigenschaften-Seiten:
    Man kann nun die Eigenschaften der BlackBerry Proxy-Server des Unternehmens sowie der BlackBerry Control-Server des Unternehmens verwalten.
    Die Seite Servereigenschaften wurde in die Seite Globale Servereigenschaften umbenannt. Auf dieser Seite kann man die Eigenschaften der BlackBerry Control-Instanzen in der BlackBerry UEM-Domäne des Unternehmens konfigurieren.
  • App-Compliance: Man kann sehen, welche Anwendungen, die auf einem Gerät installiert sind, das Gerät nicht reklamieren.
  • Unterstützung für Microsoft Active Directory-Gruppen: BlackBerry UEM unterstützt jetzt die drei Arten von Active Directory-Gruppen: Universal, Global und Domain Local. Bisher wurde nur Universal unterstützt. Man kann die gruppenspezifischen Domänencontroller auf der Seite Einstellungen > Externe Integration > Firmenverzeichnis konfigurieren.
  • App-Bewertungen und -Reviews: Man kann App-Bewertungen und -Reviews für alle Apps, die man dem BlackBerry UEM des Unternehmens hinzugefügt hat, auf globaler Ebene aktivieren oder deaktivieren und die Interaktionsebene konfigurieren, die ein Benutzer mit den Bewertungen und Reviews haben kann.
  • Sitzungs-Timeout: Man kann die Zeitspanne zwischen der Anzeige der Timeout-Warnmeldung und dem Timeout der Sitzung einstellen.
  • Protokollierung: Man kann einzelnen BlackBerry UEM-Komponenten ermöglichen, in Protokolldateien auf verschiedenen Informationsebenen zu schreiben. Beispielsweise kann man den BlackBerry UEM Core so konfigurieren, dass er Protokolldateien auf der Debug-Ebene erzeugt und andere Komponenten so konfigurieren, dass sie Protokolldateien auf der Info-Ebene erzeugen.
  • Nicht stören: Man kann “nicht stören” Profile erstellen, um Gerätebenachrichtigungen außerhalb der Arbeitszeiten für BlackBerry Work-Meetings und E-Mails auf Android-Geräten und BlackBerry Work-E-Mails auf iOS-Geräten einzuschränken. Mit diesen Profilen kann man Benachrichtigungen während der definierten arbeitsfreien Tage und Stunden sperren.
  • Self-Service-Passwort: Man kann ein UEM-Self-Service-Passwort an mehrere Benutzer gleichzeitig senden.
  • Benutzerzertifikatsliste: Die Benutzerseite in der Verwaltungskonsole zeigt eine verbesserte Liste der einem Benutzer zugeordneten Zertifikate an.

JRE

  • JRE Version 8u151 ist in BlackBerry Dynamics Version 12.8 enthalten.

UEM Clients

iOS

  • Gemeinsame iOS-Geräteverwaltung: Administratoren können mehreren Benutzern erlauben, ein iOS-Gerät gemeinsam zu nutzen und die Nutzungsbedingungen anzupassen, die Benutzer akzeptieren müssen, um freigegebene Geräte einzuchecken. Benutzer können ein Gerät mit lokaler oder Firmenverzeichnis-Authentifizierung einchecken, und wenn sie damit fertig sind, können sie es auschecken und das Gerät ist für den nächsten Benutzer verfügbar. Gemeinsame Geräte bleiben während des Check-Out- und Check-In-Prozesses von BlackBerry UEM verwaltet.

Android

  • Wenn ein ein Samsung KNOX-Gerät aktiviert, das ein Work Profile mit der Aktivierungsart Workspace only oder Workspace only Premium hat, kann auch eine Teilmenge der KNOX MDM-Richtlinien auf das Gerät angewendet werden. Beispielsweise werden die Richtlinien für die Gesichtserkennung, Iris-Authentifizierung, eingehende MMS, ausgehende MMS oder das Blockieren von Wi-Fi-SSIDs auf das Gerät angewendet.
  • Neue Richtlinien für Android-Geräte mit einem Arbeitsprofil: Administratoren können nun Richtlinien zuweisen, um festzulegen, ob Gerätefunktionen wie Bluetooth-Technologie, gemeinsame Nutzung von Inhalten über Bluetooth, Mikrofonnutzung, Backup-Service und Autofill-Formulare verwendet werden können. Administratoren können auch die persönlichen Anwendungen angeben, die Benachrichtigungen von anderen Anwendungen abfangen dürfen, sowie alle weiteren zulässigen Dienste für die Barrierefreiheit.
  • Passwort zurücksetzen: Nach der Aktivierung eines Geräts mit Android 8 oder der Aktualisierung eines bereits aktivierten Geräts auf Android 8 fordert der UEM-Client die Benutzer auf, sich erneut bei ihrem Arbeitsprofil zu authentifizieren, damit sie in Zukunft ihr Passwort zurücksetzen können.
  • Systemanwendungen deaktivieren: Administratoren können jetzt Systemanwendungen im Arbeitsprofil auf Android-Geräten deaktivieren.
  • Android Zero-Touch-Registrierung: BlackBerry UEM unterstützt jetzt Zero-Touch-Registrierung für Google Pixel-Geräte, die Android 8 verwenden. Zero-Touch Enrollment bietet eine nahtlose Bereitstellungsmethode für unternehmenseigene Android-Geräte, die eine schnelle, einfache und sichere Bereitstellung großer Geräte für das Unternehmen und die Mitarbeiter ermöglicht. Durch die berührungslose Registrierung können IT-Administratoren Geräte einfach online konfigurieren und haben die Verwaltung bereits bei Erhalt ihrer Geräte durchgesetzt.

Neue IT-Richtlinien

Device type Group Name Description
Android work profiles Device functionality Allow Bluetooth Specify whether the device can use Bluetooth technology.
Android work profiles Device functionality Allow Bluetooth sharing Specify whether a user can share content from the device over a Bluetooth connection.
Android work profiles Device functionality Allow microphone Specify if the microphone is available to apps on the device. If this rule is not selected, the microphone is disabled for all services. On BlackBerry devices powered by Android, when this rule is not selected the phone app enables the microphone for emergency calls.
Android work profiles Security and privacy Allowed notification listeners Specify which personal apps can intercept notifications from other apps.
Android work profiles Security and privacy Notification listener packages Specify the package IDs for additional accessibility services that the user can access. If you do not specify a package ID, users can only use the system services. System accessibility services are always available to the user.
Android work profiles Security and privacy Allow device backup Specify whether the device can use the backup service. If the rule is not selected, the user can’t backup or restore data on the device.
Android work profiles Security and privacy Allow autofill Specify whether the device can save user-entered form data to automatically fill future forms.
KNOX MDM Device functionality Disallowed Wi-Fi SSIDs Specify the list of Wi-Fi SSIDs that you want to prevent devices from connecting to. These can be used to block SSIDs added by the carrier, user, etc.
KNOX MDM Apps Set SMS/MMS Signature Specify the signature that is appended to outgoing SMS or MMS messages sent by the user.
KNOX Premium – Device Security and privacy Data wipe on deactivation Specify what data is deleted from the device when it is deactivated.
KNOX Premium – Workspace Device functionality Enable USB access for apps in the KNOX Workspace Specify if apps inside the KNOX Workspace can access USB.
KNOX Premium – Workspace Security and privacy Apps allowed to access external storage Specify the package IDs of apps in the KNOX workspace that are allowed to read or write to external storage.
BlackBerry 10 Apps Allow Amazon Appstore Specify whether the device can use the Amazon Appstore to install apps in the work space.
BlackBerry 10 Apps Allow SecuSTORE Specify whether devices can use SecuSTORE to install apps. This rule applies only to devices that have activated the SecuSUITE app.
iOS Device functionality Allow proximity setup to new device (supervised only) Specify whether a user is prompted to setup new devices that are nearby.
iOS Device functionality Delay software updates (supervised only) Specify the number of days after a device software update release that the update is installed on the device.
Windows Phone Device functionality Delivery Optimization mode Specify the methods that Delivery Optimization can use to download Windows updates, apps, and app updates to the device. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Allow Delivery Optimization peer caching over VPN Specify whether the device can participate in peer caching when connected to the work network using VPN. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Group identifier Specify an arbitrary group ID that the device belongs to for local network peering between devices that are on different domains or are not on the same LAN. This rule takes effect only if the “Delivery Optimization mode” rule is set to “HTTP and peering across private group”. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Minimum RAM for peer caching Specify the minimum amount of RAM in GB that the device must have to use peer caching. Devices with less than the specified amount of RAM can’t use peer caching. If set to 0, the Delivery Optimization cloud service default is used. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Cache drive Specify the drive that Delivery Optimization uses for the cache on the device. The drive location can be specified using environment variables, drive letter, or a full path. If no drive is specified, %SystemDrive% is used to store the cache. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Minimum disk size allowed to peer Specify the minimum disk size capacity in GB for the device to use peer caching. If set to 0, the Delivery Optimization cloud service default is used. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. Recommended values: 64 GB to 256 GB. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Maximum cache size percentage Specify the maximum percentage of the disk size that Delivery Optimization can use for the cache. The “Absolute maximum cache size” rule takes precedence over this rule. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule applies to Windows 10 computers and tablets.
Windows Phone Device functionality Absolute maximum cache size Specify the maximum size in GB of the Delivery Optimization cache. Delivery Optimization clears the cache when the device is low on disk space. This rule takes precedence over the “Maximum cache size percentage” rule. If set to 0, the Delivery Optimization cloud service default is used. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Minimum file size to cache Specify the minimum file size in MB that can be downloaded using peering. If set to 0, the Delivery Optimization cloud service default is used. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Maximum cache age Specify the maximum time in seconds that each file remains in the Delivery Optimization cache after downloading successfully. If set to 0, Delivery Optimization holds the files in the cache and makes them available for upload to other devices as long as the cache size is not exceeded. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Maximum download bandwidth percentage Specify the maximum percentage of available download bandwidth that Delivery Optimization uses across all concurrent download activities. If set to 0, Delivery Optimization dynamically adjusts to use the available bandwidth for downloads. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Maximum download bandwidth Specify the maximum download bandwidth in KB/second that Delivery Optimization can use across all concurrent download activities. If set to 0, Delivery Optimization dynamically adjusts to use the available bandwidth for downloads. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Minimum download quality Specify the minimum download speed in KB/second for background downloads. This rule affects the blending of peer and HTTP sources. Delivery Optimization complements the download from the HTTP source to achieve the minimum value set. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Minimum battery percentage for upload Specify the minimum battery percentage remaining for devices to upload cached data to LAN and group peers while on battery power. Uploads will pause if the battery level drops below the minimum percentage. If set to 0, the Delivery Optimization cloud service default is used. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Maximum upload bandwidth Specify the maximum upload bandwidth in KB/second that Delivery Optimization can use across all concurrent upload activities. If set to 0, unlimited possible bandwidth is permitted, optimized for minimal usage. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Windows Phone Device functionality Monthly upload data cap Specify the maximum total data in GB that Delivery Optimization can upload to Internet peers in each calendar month. If set to 0, no monthly upload limit is applied. This rule takes effect only if the “Delivery Optimization mode” rule is set to an option that allows peering. This rule does not apply to Windows 10 smartphones.
Deprecated IT policy rules
Device type Group Name Description
BlackBerry powered by Android Security and privacy Allow voice dictation in work apps Specify whether the user can use voice dictation in work apps that support this feature.
Android work profiles Security and privacy Allow work app to send SMS messages using the personal SMS app Specify whether a work app can send SMS messages using the personal SMS app.

Dieser Beitrag hat 4 Kommentare

Schreibe einen Kommentar