2020

Mär
19

Secure HomeOffice: Anleitung zur Einrichtung von BlackBerry Desktop / Digital Workplace


Viele Entscheider, Mitarbeiter der IT und Endanwender fragen sich, wie sie einen HomeOffice Einsatz realisieren sollen. Wir bieten in diesem Beitrag eine Anleitung zur Umsetzung eines Secure HomeOffice via BlackBerry an. Derzeit bietet BlackBerry eine Trial von 60 Tagen an.
Der BlackBerry UEM Server hat eine Besonderheit: die vermittelnde Struktur. Egal welche Dienste eingesetzt werden, der BlackBerry UEM wird vor diese gesetzt und übernimmt die sichere Kommunikation über das BlackBerry Network Operation Center mit den Endgeräten. Daher können auch Neukunden dieses System schnell einsetzen. Auf Wunsch ist auch eine direkte Kommunikation der Endgeräte mit dem BlackBerry UEMS Server möglich, dann ist jedoch eine externe IP und ein Reverse Proxy notwendig. Des Weiteren würde man auf eine Adressverschleierung verzichten.

BlackBerry bietet auf Android, iOS, MacOS und Windows 10 eine eigene Containerlösung an. Diese Lösung bietet eine eigene verschlüsselte Kommunikation des Gerätes mit der eigenen Infrastruktur sowie eine verschlüsselte Speicherung der Daten auf dem Gerät selbst an. Die Nutzer müssen sich um nichts kümmern und es sind zahlreiche Einsatzszenarien möglich. Durch BYOD (Bring Your Own Device) gibt es für Arbeitgeber keine Notwendigkeit, in einer finanzkritischen Krisensituation noch schnell mehrere Firmengeräte zu beschaffen. Die Mitarbeiter können auch ihre eigenen Geräte einsetzen.

In dieser Anleitung können wir nicht alle Eventualitäten abbilden und es wird nur die Anbindung von MacOS und Windows näher bringen. Sollte etwas fehlen oder es hakt an einem Punkt, dann nehmen Sie gerne Kontakt auf und wir werden die Lösung auf Wunsch gemeinsam erarbeiten und umsetzen.

Voraussetzung für BlackBerry Desktop ist die Installation eines BlackBerry UEM Servers für die Endgeräteverwaltung und eines BlackBerry Enterprise Mobility Servers für zum Beispiel die Bereitstellung von Netzlaufwerken. BlackBerry Digital Workplace benötigt neben höheren Lizenzen eine Installation einer Awingu Appliance. Diese dient unter anderem zur Bereitstellung von VDI via HTML5 Stream.
Anleitungen zur Installation der Serversoftware sind am Endes des Beitrags verschriftet.

BlackBerry selbst stellt Informationen und eine einfache Möglichkeit zur Anfrage eines Testtenant auf einer Kampagneseite zur Verfügung. Gerne stehen wir bei Implementierung, Lizenzen und Support zur Verfügung.
BlackBerry Desktop

BlackBerry Desktop ist das Programm BlackBerry Access auf MacOS oder Windows.
Download Link

Mindesteinrichtung BlackBerry UEM Server Konsole:
  • Einstellungen - Externe Integration
  • Unternehmensverzeichnis - Entweder eine AD oder LDAP Verbindung einrichten
  • SMTP-Server - SMTP Konto und Server für E-Mail Versand eintragen
  • Einstellungen - Infrastruktur
  • BlackBerry Router und Proxy - Wenn der UEM Server per Proxy oder BlackBerry Router aus der Infrastruktur heraus kommunizieren soll, müssen hier die Daten eingegeben werden.
  • Serverseitiger Proxy - Muss der UEM Server über einen Proxy nach intern kommunizieren, müssen hier die Daten des internen Proxys eingegeben werden.
  • Richtlinien und Profile - Richtlinien
  • IT-Richtlinie - Profil für allgemeine IT-Richtlinien, hier im Default nach eigenen Vorstellungen/Vorgaben einrichten.
  • BlackBerry Dynamics - hier das Default Profil den eigenen Vorstellungen nach einrichten. (für Android und iOS ist hier UEM Client, BlackBerry Work und BlackBerry Access in dieser Reihenfolge als Delegierung der Authentifizierung zu hinterlegen)
  • Richtlinien und Profile - Netzwerke und Verbindungen
  • BlackBerry Dynamics Verbindungen - hier das Default Profil anpassen und alle internen Server für BlackBerry Systeme sowie zulässige Domänen eintragen.
  • Apps
  • BlackBerry Access öffnen - Default Policy öffnen und folgende Reiter mindestens mit Daten befüllen: "BlackBerry Work" (für die PIM Server Daten, nur EWS URL) und "Windows und Mac".
  • Gruppen
  • Benutzer - All User - Folgende Daten hinzufügen: BlackBerry Acces App mit App Konfiguration Default sowie Feature - Docs Service Entitlement (für Dokumente).

Durch Verwendung der Default Richtlinien und Profile, werden dies allen Nutzern automatisch zugewiesen. Wurden nicht die Default Profile verwendet müssen die selbst erstellten Profile an die Nutzer direkt, per Nutzergruppe oder Gerätegruppe verteilt werden.

Mindesteinrichtung BEMS:
  • BEMS Configuration
  • BlackBerry Dynamics - BlackBerry UEM Server Proxy eingeben.
  • Mail
  • Microsoft Exchange - Autodiscover URL eingeben, darunter ist eine Testmöglichkeit gegeben.
  • Docs
  • Repositories - Hier die Daten der Netzlaufwerke und Services eintragen.

BlackBerry Digital Workplace

Nach der Bestellung der Cylance Lizenzen erhält man Zugriff auf eine Cloud-Instanz, in welcher die Einstellungen für Thred Monitoring eingestellt werden. Des Weiteren erhält man einen Workspace Link. In diesem gesicherten Cloud Share erhält man alle notwendigen Installer, da man neben Access auch Cylance als Client auf MacOS oder Windows installiert.

Einrichtung Awingu:
  • Einloggen mit Built In Administrator Credentials
  • Klick auf System Settings. Hier werden nun alle Konfigurationsarbeiten durchgeführt.
  • AD Integration > Klick Global > Klick Domains > Ausfüller der Pflichtfelder wie NetBIOS Name, Name, FQDN for UPN...
  • Hinzufügen von Usern/Gruppen > Klick Manage > Klick Labels > Klick Add Manually, Import groups from AD oder Import users from AD
    Klick Configure > Klick User Connector. Bearbeitung Login Permissions ( Wer darf sich an Awingu anmelden)
  • Bereitstellung von Desktops > Klick System Settings > Klick Manage > Klick Application Servers > Hinzufügen des App Servers >Add Manually oder Import from AD
  • Bereitstellung von Anwendungen > Klick Manage > Klick Applications > Klick Add > Manuelles Hinzufügen der Application oder Klick Import from File
    (Download Awingu Script zum Auslesen der veröffentlichten RemoteAnwendungen auf einem App Server: https://github.com/Awingu/awingu-utils/blob/master/RemoteApp/PowerShell/get_remoteapps_from_appserver.ps1
  • Bereitstellung von Netzlaufwerken > Klick Manage >Klick Drives > Klick Add > Ausfüllen der Pflichtfelder wie Name, URL, UNC.. User Label (wer bekommt Zugriff auf die Laufwerke)

Optional können noch Features wie Multi-Factor-Authentication oder SSL (Let´s Encrypt) konfiguriert werden

Awingu Technical Video Guides

Mindesteinrichtung BlackBerry UEM Server Konsole:
  • Apps
  • BlackBerry Access öffnen - Default Policy öffnen und folgende Reiter mindestens mit Daten befüllen: "Windows und Mac" Awingu aktivieren und URL eintragen.
  • Einstellungen
  • CylanceProtect - Aktivieren.
  • Gruppen
  • Benutzer - All User - Folgende Daten hinzufügen: BlackBerry Edit hinzufügen.

Server Installation

BlackBerry UEM Server

  • Kompatbilitäts-Matrix für Server
  • Unter myaccount.blackberry.com einen Account erstellen.
  • In diesem in der obersten Leiste unter Product Ressources - Server Software Download die neueste Version herunterladen.
  • Oberste Leiste unter Organization - Servers eine neue SRP-ID erstellen über den Button "Add Server".
  • Ist HA erforderlich, alle Schritte auf allen geplanten UEM Servern durchführen.
  • Service Account erstellen, dieser muss lokale Rechte besitzen. Mit diesem alle folgenden Aktionen durchführen.
  • Auf dem geplanten Windows UEM Server Java installieren, dazu eines der drei offenen JDK-8 auswählen: Oracle, Azul Zulu oder Adopt
  • Der UEM Server kann hinter einem Proxy betrieben werden. Im Installationspaket ist auch BlackBerry Router enthalten, welcher auf den DMZ Rechner kopiert und installiert werden muss. Hinweis: Es ist ein Silent Install. Nach Doppelklick auf die Installationsdatei wird nichts angezeigt, nach ein paar Sekunden sollte der Router Dienst in den Windows Services gestartet sein.
  • Installation der BlackBerry Software entweder gegen eine bestehende SQL Instanz oder bei der Installation eine lokale MySQL Instanz vom Setup erstellen lassen. Man wird durch die Installation per Wizzard geführt.
Unterstützende Dokumente:

BlackBerry Enterprise Mobility Server

  • In MyAccount in der obersten Leiste unter Product Ressources - Server Software Download die neueste Version herunterladen.
  • Service Account das Impersonation Recht vergeben.
  • Im Guide prüfen, welches Feature genutzt werden soll. Dementsprechend vor der Installation per Hand die SQL Datenbanken erstellen.
  • Installation durchführen. In dieser wird man durchgeführt und trägt erfordliche Daten wir SQL und Exchange Server Daten ein.
Unterstützende Dokumente:

Awingu

  • Den Downloadlink der Awingu Appliances erhält man von BlackBerry
  • Hier die passende VM (Hyper-V, VMware usw.) auswählen, downloaden, die Appliance dann in die VM Welt einbinden
  • Starten der VM
  • Wenn VM gestartet ist wie aufgefordert Netzwerkkonfiguration vornehmen
  • Weitere Installation und Konfiguration erfolgt über angegebene Web URL
  • Annahme der EULA
  • Festlegen des Built In Admin Kontos
  • Hostname/DNS Konfiguration
  • Festlegen der Datenbank. Achtung!!!! Awingu kann mit einer Built In Datenbank auf einfache Weise arbeiten und eingerichtet werden. Allerdings NUR für bis zu ma. 200 User. Die Datenbank kann nachträglich NICHT von intern auf eine externe SQL Datenbank umgezogen werden. Also zuerst planen, ob man die Grenze von max. 200 Usern später überschreiten könnte.
  • Nun erfolgt die eigentliche automatisierte Installation. Ist diese abgeschlossen, erscheint unter der angegebenen Web URL der Wilkommen Bildschirm.

Ben Witt

Senior Consultant Mobility Solutions - PR