Neuerungen in BlackBerry UEM12.9 / BEMS2.9

BlackBerry´s EMM Plattform UEM in Version 12.9 hat einige Neuerungen und wird Dynamics weiter integrieren. So fällt der Control Dienst weg und die Datenbanken werden zusammengelegt. Und ab UEM12.8.1 werden bei einem Update Dynamics und BSCP Verbindungen nicht mehr unterbrochen.

Support Entrust IdentityGuard Derived Credentials

  • Derived smart credentials:
    Man kann nun die derived smart credentials von Entrust IdentityGuard zum Signieren, Verschlüsseln und Authentifizieren von BlackBerry Dynamics Apps und Apps im Arbeitsbereich auf Android-Arbeitsprofilen und Samsung KNOX Workspace-Geräten nutzen.

Android:

  • Sicherheitspatch-Einstellungen können Geräten aller Hersteller und aller Modelle in Konformitätsprofilen für Android-Geräte zugewiesen werden:
    Wenn man ein Compliance-Profil für Android-Geräte konfiguriert und die Option “Erforderlicher Sicherheits-Patch-Level ist nicht installiert” auswählt, kann man nun in der Liste der erlaubten Gerätemodelle die Option “Alle Hersteller > Alle Modele” auswählen, die es einem ermöglicht, einen Sicherheitspatch auf jedes Gerät anzuwenden, welches Android OS verwendet.
  • Sicherheitspatch-Version kann in Compliance-Profilen für Android-Geräte auf einen Tag im Monat eingestellt werden:
    Wenn man ein Compliance-Profil für Android-Geräte konfiguriert und die Option “Erforderlicher Sicherheits-Patch-Level ist nicht installiert” auswählt, kann man nun den Patch-Level zusätzlich zu Monat und Jahr auf Basis des Tages einstellen.
  • Android-Geräte-Passwort zurücksetzen:
    Der Administrator kann den Befehl “Gerätekennwort und -sperre festlegen” für Geräte verwenden, die mit den Aktivierungsarten Work and Personal – User privacy und Work and Personal – User Privacy (Premium) aktiviert wurden. Mit diesem Befehl kann man ein Gerätekennwort erstellen und dann das Gerät sperren. Man muss ein Kennwort erstellen, das den bestehenden Kennwortregeln entspricht. Um das Gerät zu entsperren, muss der Benutzer das neue Passwort eingeben. Nur BlackBerry-Geräte mit Android 8.x und höher unterstützen diesen Befehl.
  • Android SafetyNet Support:
    Wenn man die Android SafetyNet-Zertifizierung verwendet, sendet BlackBerry UEM Herausforderungen, um die Authentizität und Integrität von Android-Geräten zu testen, die per MDM-C, Android Enterprise und KNOX Workspace aktiviert wurden.
  • Enrollment:
    BlackBerry UEM unterstützt jetzt das Hinzufügen von Server- und Benutzernamen-Informationen zur Android Zero-Touch-Registrierung, was die Aktivierung von Endbenutzern vereinfacht.
  • Daten von SD-Karten löschen, wenn man Workspace only (COBO) Geräte löscht:
    Man hat die Möglichkeit, alle Daten auf der SD-Karte in einem Gerät zu löschen, wenn man alle Arbeitsdaten von einem Android-Gerät löscht, welches nur einen Arbeitsbereich aktiviert hat.
  • Steuerung von Android-Betriebssystem-Updates auf Android-Work-Profilen (ab Android Oreo) mit einer Workspace-only-Aktivierung:
    Man kann per Geräte SR-Profil festlegen, wann Android-System-Updates angewendet werden sollen. Regeln können nach Android-Gerätemodell und Betriebssystemversion definiert werden.

iOS:

  • Möglichkeit, die Verwaltung auf iOS-Geräten einzuschränken:
    Administratoren können nun die MDM-basierter Kontrolle auf iOS-Geräten einschränken und den Datenschutz für MDM-Anmeldungen mit selektiven MDM-Steuerelementen innerhalb der Benutzerdatenschutzaktivierung verbessern. Mit den neuen Steuerelementen können Administratoren nur die Teile des Geräts steuern, die für das Unternehmen wichtig sind, während die Privatsphäre des Benutzers und die Verwendung persönlicher Anwendungen gewahrt bleiben.
  • Einfache Bestätigung neuer Anwendungen für iOS-Geräte:
    Benutzer von iOS-Geräten können nun neue Anwendungen, die auf der Registerkarte Neu im App-Katalog für Arbeitsanwendungen aufgelistet sind, bestätigen und ablehnen, indem sie zu dieser Registerkarte navigieren und von ihr weggehen. Alle installierten Anwendungen, die über ein Update verfügen, bleiben in der Liste erhalten. Auch die Ladezeit des App-Katalogs wurde verbessert.
  • iOS 11.3 Web Clip Icons:
    Man kann nun Webclipsymbole zu einem Startbildschirm-Layout-Profil hinzufügen.
  • iOS 11.3 IT-Richtlinien Update für iOS11.3+:
    Verzögerte Software-Updates anzeigen (nur unter Aufsicht = Supervised)
    USB-Verbindungen zulassen, wenn das Gerät gesperrt ist (nur unter Aufsicht)
    Authentifizierung vor dem automatischen Ausfüllen sensibler Daten erforderlich (nur unter Aufsicht)
    Automatisches Einrichten neuer Geräte ermöglichen (nur unter Aufsicht)
    Software-Updates verzögern (nur unter Aufsicht)

Management Konsole:

  • Reihenfolge App Installation:
    Man kann nun auf Android und iOS Geräten die Reihenfolge der App Installation vorgeben.
  • Event Benachrichtigungen:
    Administratoren können Ereignisbenachrichtigungen so einstellen, dass sie eine E-Mail erhalten, wenn die folgenden Ereignisse eintreten:
    Lizenzen laufen ab
    Die Verbindung zum Apple DEP-Server wird hergestellt.
    Die Verbindung zum Apple DEP-Server geht verloren.
    Die Verbindung zum Microsoft Active Directory oder LDAP-Server geht verloren.
  • Neue Einstellungen für das Microsoft Intune App-Schutzprofil:
    Das Microsoft Intune App-Schutzprofil enthält neue Einstellungen, die in Intune von Microsoft hinzugefügt wurden, um App-PINs zu deaktivieren, wenn für das Gerät ein Passwortschutz erforderlich ist und minimale Android-Patch-Versionen erforderlich sind.
  • Aktivieren der Benutzerbenachrichtigung, wenn ein Gerät aktiviert wurde:
    Man kann im BlackBerry UEM aktivieren, dass ein Benutzer jedes Mal benachrichtigt wird, wenn ein Gerät in seinem Konto aktiviert wird. Die E-Mail-Benachrichtigung wird an die E-Mail-Adresse des Benutzerkontos gesendet, mit dem das Gerät aktiviert wurde. Standardmäßig enthält die E-Mail das Gerätemodell, die Seriennummer und die IMEI. Wenn der Benutzer eine Benachrichtigung erhält, welche er nicht erwartet hat, sollte er sich an einen Administrator wenden.
  • Letzter Kontakt:
    Für Geräte, die BlackBerry Dynamics-Anwendungen verwenden, wurde auf der Seite mit den Gerätedetails eine Spalte “Letzte Kontaktzeit” zur Liste der BlackBerry Dynamics-Anwendungen hinzugefügt. Die Einträge in der Spalte zeigen den letzten Zeitpunkt an, zu der die Apps den BlackBerry UEM kontaktiert haben.

BlackBerry Dynamics:

  • Badge-Benachrichtigungen:
    BlackBerry Dynamics-Benutzer sehen nun eine Badge-Benachrichtigung auf dem Apps-Symbol im Launcher, wenn neue Anwendungen zugewiesen oder bestehende benutzerdefinierte Anwendungen aktualisiert werden.

Installation und Migration:

  • Datenbankkonsolidierung:
    Bei einem Upgrade auf BlackBerry UEM Version 12.9 von BlackBerry UEM Version 12.7 oder höher konsolidiert das BlackBerry UEM 12.9 Installationsprogramm die vorhandenen BlackBerry Control und BlackBerry UEM Datenbanken in einer einzigen BlackBerry UEM Datenbank.
  • Service-Konsolidierung:
    Bei einem Upgrade auf BlackBerry UEM Version 12.9 von BlackBerry UEM Version 12.7 oder höher wird der BlackBerry Control-Dienst entfernt und mit der BlackBerry UEM Core Komponente konsolidiert.

Verbesserte Benutzerfreundlichkeit bei Upgrades in HA Umgebungen mit mindestens 2 Instanzen:

  • BlackBerry Dynamics:
    Die Konnektivität bleibt für BlackBerry Dynamics-Benutzer aktiviert, während die BlackBerry UEM- und BlackBerry Connectivity Node-Server aktualisiert werden. Diese Funktion wird nur unterstützt, wenn man bereits BlackBerry UEM 12.8.1 oder höher vor dem Upgrade auf BlackBerry UEM 12.9 verwendet.
  • BlackBerry Secure Connect Plus:
    Die Konnektivität bleibt für BlackBerry Secure Connect Plus-Gerätebenutzer aktiviert, während die BlackBerry UEM und die BlackBerry Connectivity Node-Server aktualisiert werden. Diese Funktion wird nur unterstützt, wenn man bereits BlackBerry UEM 12.8.1 oder höher vor dem Upgrade auf BlackBerry UEM 12.9 verwendet.
  • UEM-Benachrichtigungen auf eine bestimmte Benachrichtigung in BlackBerry UEM beschränken:
    Administratoren müssen die Berechtigung “E-Mail an Benutzer senden” in BlackBerry UEM haben, um auf UEM-Benachrichtigungen zugreifen zu können.

Neue IT-Richtlinien:

Device type Group Name Description
Android work profiles Device functionality Allow Bluetooth SPP Specify whether a device can use the Bluetooth SPP.
Android work profiles Device functionality Allow Bluetooth PBAP Specify whether a device can exchange phone book contacts with other Bluetooth enabled devices using the Bluetooth PBAP.
Android work profiles Device functionality Allow Bluetooth HSP Specify whether a device can use the Bluetooth HSP. A device can use the Bluetooth HSP to allow a Bluetooth headset to connect to the device.
Android work profiles Device functionality Allow Bluetooth HFP Specify whether a device can use the Bluetooth HFP. A device can use the Bluetooth HFP to allow a Bluetooth enabled device (for example, a car kit or a headset) to access the Contacts and Phone apps on the device to make phone calls.
Android work profiles Device functionality Allow Bluetooth AVRCP Specify whether a device can use the Bluetooth AVRCP. A device can use the Bluetooth AVRCP to allow a Bluetooth enabled device (for example, a headset) to control the device’s media apps.
Android work profiles Device functionality Allow Bluetooth A2DP Specify whether a device can use the Bluetooth A2DP. A device can use the Bluetooth A2DP to stream audio files to another Bluetooth enabled device (for example, a headset).
Android work profiles Device functionality Force always-on VPN Specify whether a VPN connection is always available for work data. For more information about always-on VPN, visit http://support.blackberry.com/kb to read article KB48330.
Android work profiles Device functionality Use BlackBerry Secure Connect Plus for VPN connection Specify whether BlackBerry Secure Connect Plus provides the VPN connection that is always available.
Android work profiles Device functionality VPN app package ID Specify the package ID for the VPN app that is always available.
Android work profiles Device functionality Force work apps to use only VPN If the “Force work apps to only use VPN” IT policy rule is applied to the device, this setting is ignored and no work apps, including the BlackBerry UEM Client and Google Play are restricted from using BlackBerry Secure Connect Plus. In this case you will have to open ports in the firewall to allow BlackBerry UEM Client to communicate with the BlackBerry Infrastructure through BlackBerry UEM. For more information about opening ports in the firewall when work apps use BlackBerry Secure Connect Plus, visit http://support.blackberry.com/kb to read article KB48330.
Android work profiles Device functionality Force work data to use VPN Specifies if the user is not allowed to reboot the device into safe boot mode. In safe mode, all third-party apps are disabled, while those that are pre-installed continue to work.
Android work profiles Device functionality Allow user to boot into safe mode Specify whether the user is not allowed to reboot the device into safe boot mode. In safe mode, all third-party apps are disabled, while those that are pre-installed continue to work.
Android work profiles Security and privacy Force SD card erase on device unmanage If the SD card exists in the device it will be erased when the device is factory reset after it is unmanaged.
Android work profiles Security and privacy Remove reset protection on deactivation Specify whether deactivating the device removes factory reset protection. If you don’t select this rule, when you or a user deactivates a device that has factory reset protection enabled, the device will ask for the user’s Google password to unlock the device after it restarts.
Android work profiles Security and privacy Allow user to add certificates to the work space certificate store Specify whether the user can add trusted certificate authorities and client certificates to the work space certificate store.
KNOX MDM Apps Allow RCS features Specify whether Rich Communication Services can be used on the device.

BEMS2.9

  • Firebase Cloud Messaging (FCM):
    BEMS verwendet nun FCM, um Benachrichtigungen an Android-Geräte mit BlackBerry Work Version 2.13 und BlackBerry Connect Version 2.7 zu senden, wenn die Anwendungen im Hintergrund laufen.
  • Gesprächshistorie:
    BEMS unterstützt nun das Speichern der Gesprächshistorie für Benutzer in einer Microsoft Office 365-Umgebung. Auf diese Weise können Benutzer nach Gesprächen suchen, die im Ordner “Gesprächsverlauf” in den Microsoft Exchange-Postfächern der Benutzer gespeichert sind.
  • Web-Proxy-Erweiterungen:
    Wenn man den Web-Proxy konfiguriert, kann man nun angeben, welche URLs den Web-Proxy passieren müssen und welche den Web-Proxy umgehen können.
  • AlwaysOn Availability für Microsoft SQL Server Erweiterungen:
    Wenn eure Umgebung AlwaysOn für Microsoft SQL Server mit Single- und Multisubnet-Bereitstellung verwendet, kann man jetzt Verfügbarkeitsgruppen-Failover für verschiedene Subnetze aktivieren, indem man MultiSubnetFailover für die BEMS-Core- und Mail-Dienste und den Connect-Service im Dashboard auf true setzt.
  • Verbesserungen bei der zertifikatsbasierten Authentifizierung:
    Wenn man ein Client-Zertifikat zur Authentifizierung zum Microsoft Exchange Server, Microsoft Office 365 oder zum Zertifikatsverzeichnis-Suchdienst hinzufügt, werden die Zertifikatsinformationen im Dashboard angezeigt.
  • Verbesserungen bei der automatischen Erkennung:
    Man kann BEMS zwingen, die automatische Erkennung für Benutzer erneut durchzuführen, wenn der Microsoft Exchange Server oder Microsoft Office 365 Fehlermeldungen zurückgibt.
  • Software-Anforderungen:
    Die Installation des BEMS-Connect Dienstes auf einem Computer, auf dem Microsoft Windows 2008 R2 läuft, wird mit der Veröffentlichung von BEMS 2.9 nicht mehr unterstützt. Alle Instant-Messaging-Server-Plattformen, einschließlich Microsoft Lync Server 2010, werden jetzt unterstützt, wenn der Connect-Service auf einem Computer mit Microsoft Windows 2012 oder Microsoft Windows 2016 installiert ist.
  • Verbesserungen in der Diagnose:
    Administratoren können jetzt Java Management Extensions (JMX)-konforme Überwachungstools verwenden, um die Mail (Push-Benachrichtigungen) auf Erfolg und Misserfolg von Benachrichtigungen, Fehler usw. zu überwachen.
Tagged on: , , , ,

bb10qnx