Lenovo erweitert das Copilot+PC Portfolio

Lenovos Ankündigungen zur IFA sind nicht so flashy wie in den früheren Jahren, aber sie haben es in sich. Dieses Jahr kommen völlig neue Notebooks auf den Markt, die endlich Apple MacBooks paroli bieten. Ich liebe ja bereits das Yoga Slim 7x mit Snapdragon-Prozessoren, aber nun kommen auch neue Prozessoren von Intel und AMD, die ebenfalls eine hohe Leistung mit langer Batterielaufzeit versprechen. Wir werden sehen, ob sie die Marketing-Versprechen halten werden.

Ein aussichtsreicher Kandidat ist oben abgebildet. Lenovo Yoga Slim 7i Aura Edition; ein Intel Evo Edition Copilot+ PC mit Intel Core Ultra-Prozessoren (Series 2), das Ergebnis einer mehrjährigen Zusammenarbeit mit Intel. 15.1″ Display, Lunar Lake CPUs von Intel, und nicht zuletzt eine größere Vielfalt an Ports. Darum auch diese Ansicht.

Kamera-Shutter, Power, Thunderbolt 4, USB-A 3.2, HDMI, Thunderbolt 4, Audio

Mein Yoga Slim 7X ist viel radikaler: 3x USB 4 und der Rest nur auf dem mitgelieferten Dongle. Zu diesem Aura Yoga gibt es weitere Modelle:

  • Lenovo Yoga Pro 7 (14″), Lenovo IdeaPad Slim 5 (15″) und Lenovo IdeaPad Slim 5 (13″), angetrieben von AMD Ryzen-Prozessoren
  • Lenovo IdeaPad Slim 5x (14″) und Lenovo IdeaPad 5x 2-in-1 (14″), angetrieben von Snapdragon X Plus 8-Kern-Prozessoren

Auch in der Commercial Sparte von Lenovo gibt es eine Reihe von Ankündigungen neuer Geräte:

  • ThinkPad X1 Carbon Gen 13 Aura Edition, das Pendant zu dem Yoga 7i Aura
  • ThinkPad T14s Gen 6 AMD
  • ThinkBook 16 Gen 7 und Gen 7+ mit Zehnertastaturen

Dazu gibt es eine Konzeptstudio mit motorgetriebenem drehbaren Display. Was fehlt: Kein ThinkPad Z-Modell und kein whacky ThinkBook, das man auch kaufen kann.

Warum ist der Display-Deckel motorgetrieben? Weil’s geht.

Ich bin immer etwas erschlagen von der Vielzahl von Lenovo-Ankündigungen. Ich erinnere mich noch heute an eine Keynote in Berlin, wo es mir absolut unmöglich war, auch nur mitzuschreiben. Über die nächsten Wochen können wird das alles noch auseinanderdröseln. Aktuell gibt es ein stimmiges Design quer über alle Notebooks, angelehnt an die Merkmale des ersten Z13. Und wir werden sehen, ob Intel und AMD wirklich mit Snapdragon mithalten können.

Und dann warten natürlich alle auf Microsoft, auf dass ein Copilot+ PC auch gescheite KI-Funktionen bekommt. Die Hardware ist jetzt da, die Software noch nicht.

Jabra Evolve2 65 Flex #stuffthatworks

Seit ich diesen USB-C Dongle für das Jabra Evolve2 65 Flex habe, benutze ich das Headset wie ein verkabeltes. Ja, es ist per Bluetooth mit dem iPhone verbunden. Aber wenn ich es mit einem Computer nutzen will, stecke ich einfach diesen Dongle ein, obwohl ich das Headset auch mit mehr Geräten paaren könnte. Egal, ob Windows-Notebook, iPad oder Chromebook. Vorteil: Ich kann das blitzschnell wechseln, so wie früher, als man noch ein Audio-Kabel eingesteckt hat. Diesmal halt ohne Kabel, aber genauso flink.

Einfacher Trick, damit ich den Dongle nicht verliere: Ich stecke ihn in den USB-C-Anschluss des Headsets, wenn ich ihn nicht benutze. Er ist klein genug, dass er dort nicht stört, und er beeinträchtigt die Funktion des Headsets nicht.

Dies ist das Modell, das man haben will: USB-C, Teams zertifiziert. Das Ladepad kann man sich sparen, da das Headset auf jedem Qi-Ladepad laden kann. Das Evolve2 65 Flex kann alles, was man braucht, mit einer Ausnahme: Leicht, bequem, zusammenfaltbar, super Klang, auch für Musik, beste Stimmaufzeichnung, aktive Geräuschminderung. Nur eins geht nicht: Lärm aussperren. Normale Bürogeräusche kann es aussperren, aber nicht lärmende Kinder. Aber das will man ja vielleicht auch nicht.

#reklame

Für Euch getestet: RCS mit dem iPhone

Mit iOS 18 beendet Apple ein unrühmliches Kapitel. Bisher hatte sich das Unternehmen geweigert, RCS zu unterstützen und damit mehr als SMS/MMS zwischen iPhone und Android zuzulassen. Apple fährt mit iMessage dieselbe Strategie, mit dem auch BlackBerry den eigenen Messenger langfristig an die Wand gefahren hat. Das Ergebnis: Jeder nutzt WhatsApp. Also nicht wirklich jeder. (Guckt in den Spiegel)

Die gute Nachricht des Tages ist deshalb: Ich muss für niemanden WhatsApp installieren. Einfach eine “Textnachricht” schicken.

Per-App-VPN-Profil für die Nutzung mit Apple indigo erstellen

Das Thema Apple indigo ist sicherlich einigen bekannt. Ich hatte vor einiger Zeit hier darübergeschrieben. Da es für die notwendigen Konfigurationseinstellungen nur wenig öffentliche Dokumentation gibt, möchte hier beginnen diese Dokumentation zu erstellen. Da einer der wesentlichen Komponenten einer Apple Indigo-Lösung das VPN ist, beginne ich mit der Dokumentation zur Erstellung des VPN-Profils. Ich zeige, wie ihr am BlackBerry UEM ein passendes VPN-Profil erstellen könnt. Dieses VPN-Profil kann dann dazu genutzt werden, um auf Ressourcen und Dienste im internen Netz zuzugreifen. Dieses VPN-Profil ist für die Nutzung mit BlackBerry UEM in einem Brightsite-Setup gedacht. Auf das VPN-Profil für eine Darksite-MDM-Installation gehe ich nicht ein, weil praktisch keine Organisation bei Apple indigo auf ein Darksite-MDM setzen möchte. Darksite-MDM für Apple indigo bringt einfach zu viele Nachteile und praktisch keine Vorteile.

  1. In der UEM-Konsole unter Richtlinien und Profile-> Netzwerke und Verbindungen->VPN wird über das Plus-Symbol ein neues VPN-Profil angelegt
  2. Im Feld Name muss der Name für das VPN-Profil vergeben werden, z.B. indigo_VPN_Profil
  3. Bei den Gerätetypen ist nur die Auswahlbox für iOS auszuwählen
  4. In der Auswahlliste Verbindungstyp muss IKEv2 ausgewählt werden
  5. Unter Remote-Adresse muss der FQDN des VPN-Gateways eingetragen werden, z.B. vpngw.boui.de
  6. Für Lokale ID wir der VPN-Benutzername benötigt. Da das Profil für mehrere Nutzer verwendet werden soll, tragen wir hier eine Variable ein. Das kann z.B: %username% sein.
  7. Für die Remote-ID wird wieder FQDN des VPN-Gateways eingetragen. Je nach VPN-Lösung muss hier gegebenenfalls ein anderer Wert eingetragen werden
  8. In der Auswahlliste Authentifizierungstyp muss Benutzeranmeldeinformationen ausgewählt werden.
  9. In der Auswahlliste Verknüpftes Profil für Benutzeranmeldeinformationen muss das zuvor angelegte Profil für Benutzeranmeldeinformationen ausgewählt werden. In unserem Beispiel heißt das Profil indigo_VPN_Zertifikat.
    Hinweis: Im Kontext von indigo darf das VPN-Zertifikat nicht über den MDM-Kanal auf das Endgerät gepusht werden. Das VPN-Zertifikat kann z.B. über ein sicheres, internes Netz (Wifi oder Ethernet) über den Safari-Browser auf das Gerät installiert werden.
  10. Den Wert für Keep-alive-Intervall muss auf 10 Minuten gesetzt werden.
  11. Die Haken für MOBIKE deaktivieren und IKVEv2-Umleitung deaktivieren bleiben abgewählt
  12. Der Haken für Perfekte Geheimhaltung bei der Weiterleitung aktivieren muss gesetzt werden
  13. Die Option NAT-Keep-alive aktivieren wird eingeschaltet und der Wert 110 gesetzt
  14. Die Haken für Interne IPv4- und IPv6-IKEv2-Subnetze verwenden, Zertifikatwiderrufprüfung aktivieren und Fallback aktivieren bleiben entfernt
  15. Der Haken für Untergeordnete Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128-GCM
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  16. Der Haken für IKE-Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  17. Der Wert für MTU kann bei 1280 bleiben
  18. Da wir das Profil für Per App VPN und Per Account VPN nutzen wollen, muss der Haken für Enable per-app VPN gesetzt werden.
  19. Da Safari bei indigo nicht über den VPN-Tunnel auf interne Ressourcen zugreifen darf, dürfen keine Safari Domains eingetragen würden. Das gleiche gilt für die anderen Domain-Listen.
  20. Der Haken für Allow apps to connect automatically muss gesetzt werden.
  21. In der Auswahlliste Traffic Tunneling muss der Wert Application layer ausgewählt werden
  22. Über den Button Hinzufügen wird das neue VPN-Profil gespeichert.
  23. Das fertige VPN-Profil sollte dann wie folgt aussehen

Configure certificate-based VPN authentication in BlackBerry UEM for iPhones and iPads

If you want to use IKEv2-based VPNs for per Account and per App VPN and require certificate-based authentication, I will explain the required steps to make use of this in BlackBerry UEM. The below configuration assumes that the VPN username and actual username are different, e.g., vpnuser001@boui.de is the VPN username and abdelkader@boui.de is the username. The certificate for the VPN authentication is issued to the VPN username.

  1. Enable the use of custom variables in BlackBerry UEM. We will need this later on as this gives us a simple way to map the VPN certificate to the actual user account.
    • Login to the UEM console
    • Navigate to Settings-> General settings-> Custom variables
    • Enable the checkbox “Show custom variables when adding or editing a user”
    • For the variable %custom1% set the label to vpn_user_iphone
    • For the variable %custom2% set the label to vpn_user_ipad

    • It is necessary to differentiate between iPhone and iPad VPN accounts as in my setup I need to use one VPN certificate per device.
    • Click on Save.
  2. Configure the custom variables in user account
    • Navigate to Users-> All Users in the UEM console
      • Search for the user account you want to modify and open the user view
      • Click on the Edit button in the top right corner
      • In the new view navigate to the bottom and expand the section Custom variables. Enter the VPN username for the iPhone and iPad, respectively.

      • Click on Save.
  3. Create the two user credential profile – one for iPhones and one for iPads
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Certificates-> User credential
    • Click on the plus symbol to create a new user credential profile
    • In the name field enter the name for the profile, e.g. vpn_user_iphone_certificate
    • In the drop-down list for Certificate authority connection select Manually uploaded certificate
    • Disable the checkboxes for macOS and Android
    • Click on Add to save the profile
    • Repeat the previous steps and create the user credential profile we will use with for the iPads, e.g., vpn_user_iphone_certificate
  4. Create the IKEv2 VPN profile
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Networks and Connections-> VPN
    • Click on the plus symbol to create a new VPN profile
    • In the field Name enter a name for the profile, e.g., iphone_vpn_profile
    • As we will use the VPN profile only for iPhones and iPads, you can disable the checkboxes for macOS, Android and Windows
    • In the drop-down list Connection type select IKEv2
    • For Remote address enter your VPN gateway FQDN, e.g., vpngw.boui.de
    • For Local ID enter %custom1%
    • For Remote ID enter the remote ID of your VPN gateway, e.g., vpngw.boui.de
    • In the drop-down list Authentication type select User credential
    • We will get a new drop-down list named Associated user credential profile. Select the user credential profile we created for iPhones. In our case it is named vpn_user_iphone_certificate. This selection now gives us the mapping between the custom variable we have entered in Local ID and the VPN certificate, which we will assign to the user further down in this guide.
    • Confirm that Enable per-App VPN and Allow apps to connect automatically are enabled.
    • It is optional to add any domains. We will skip that for now.
    • In the drop-down list Traffic tunnelling confirm that Application layer is selected
    • All other settings depend on the requirements of your VPN solution. Configure the remaining as required.
    • Click on Add to save the VPN profile.
    • Open the newly created VPN profile and click on the Copy VPN profile button in the top right corner
    • You only need to change two values – the profile name and the Local ID
    • For the profile name we will use vpn_profile_ipad
    • For the Local ID we will change the value to %custom2% as this is the custom variable we are using for our setup to authenticate the iPad
    • All other settings will remain the same.
    • Click on Save to save to copied profile
    • The two newly created VPN profiles should look like the below screenshot
  5. Assign the user credential profiles to the user
    • To make easier user of the user credential profiles, I have created two user groups in BlackBerry UEM – one for iPhone users, one for iPad users
    • The user credential profiles we created, are assigned to the respective group as shown in the below screenshot, e.g., the iPhone user credential profile is assigned to the iPhone user group and the iPad user credential profile is assigned to the iPad user group
    • Our test user is member of both groups
    • We are now have the option to add the two certificates to the user
    • In our setup we have two VPN user certificates – one issued to vpn001@boui.de for the iPhone and the other issued to vpn002@boui.de to be used with the iPad. We will add the certificates to user by click on Add a certificate. We will be prompted for the password of the private key when we upload it to the UEM server. Make sure you have the relevant passwords at hand when adding the certificates. After the certificates were successfully added, the view should be like the screenshot shown below


Our VPN setup in BlackBerry UEM is now completed. As we are differentiating between iPads and iPhones, I would recommend doing the app assignment, to use per App VPN, and mail profile, for the per Account VPN, through device groups. If you are planning to use per Account VPN in the email profile, you will require one mail profile per device type. For a simple setup, set the device query in the device group to Model Starts with iPhone and scope the device group to the iPhone users’ group. For the iPad group change the value to Model Starts with iPad and modify the user groups scope to the iPad users. When assigning the apps to the device groups, make sure to use the correct VPN profile.

The screenshot below shows the device group setup for iPhone and configured with an email profile and the app SecuFOX to use the per App VPN tunnel. The per Account VPN configuration for the email profile is not shown in the screenshot. You can add additional profiles and apps to the device group as required.

Outlook team, can you fix this?

I am getting this phishing email with an HTM attachment, BASE64 encoded of course, which then contains a webform with all assets, all parts BASE64 encoded. The form attempts to phish my password.

The Outlook.com spam filter does not recognize this blatant phish and delivers it as a legit email. I chose to report this phishing attempt so that Outlook.com recognizes this for future such emails.

Outlook chooses to put the sender on the blacklist and does not recognize that the FROM address contains my own mail address. If I did not check the source code of this mail, I would not even be aware that I am now unable to send myself documents.

Team, this is your fix list:

  • BASE64 is no rocket science and the HTM file makes it blatantly obvious it tries to steal passwords. This should be the easiest quarantine target out there if you take security seriously.
  • Blacklisting your own email address should really not be in the tool chest of a mail client, should it?

Update: I received helpful feedback from Microsoft on this issue. Safe Sender overrode spam detection in this case. Teams are working on both how to modernize this space more holistically and how to fix the anti-phishing gap.

Lenovo Yoga Slim 7X Gen 9 #stuffthatworks

Ralph fragte mich gestern, ob man mit dem Yoga auch draußen arbeiten kann. Er beabsichtigte, ein MacBook Air von 2020 durch das Yoga mit Snapdragon zu ersetzen.

Ich war ehrlich gesagt überfragt. Wenn ich draußen bin, dann gucke nicht in einen Laptop. Aber die Frage war berechtigt, also habe ich es einfach ausprobiert.

Das ist ein 14,5″ OLED-Display mit 3k Auflösung. Maximale Helligkeit 1000 cd/m², nicht entspiegelt, nicht im HDR-Modus. Hochstehende Sonne, blauer Himmel, ich sitze im Schatten.

Dann weiß ich das jetzt auch. 😊 Seit ich dieses Yoga mit Snapdragon habe, fasse ich andere Laptops kaum noch an. Ich habe genau eine Anwendung, die nicht mit diesem Rechner funktioniert: Lewitt hat für den Connect 6 noch keinen Treiber geschrieben. Wie viele andere Hardware-Hersteller warten sie erst mal ab, ob das mit Windows on ARM wirklich was wird. Meine Vorhersage: Es wird. Diese Akkulaufzeiten und Performance waren in der Windows-Welt bisher unbekannt.

Sumatra PDF Viewer #stuffthatworks

Wenn es ein Stück Software gibt, dass mir mächtig auf den Senkel geht, dann ist das Acrobat Reader. Der Bildschirm wird mit immer mehr Icons vollgemüllt, die mich vom Inhalt ablenken und die meisten Funktionen wollen mich in ein Abo zwingen. Alternativ habe ich PDFs einfach in Edge betrachtet.

Nun aber habe ich eine bessere Alternative: Sumatra PDF. Wieselflink, kostenlos, Open Source und einfach zu installieren. Entweder über die Website oder den Winget Paketmanager:

winget install SumatraPDF

Man prägt sich ein paar Shortcuts ein, etwa Strg-8 für den Buchmodus und zack, hat man die richtige Darstellung:

Bonus: Sumatra zeigt nicht nur PDFs an, sondern auch eBook (epub, mobi), comic book (cbz/cbr), DjVu, XPS, CHM und Bilder.

Auch sehr schön: Sumatra wird alternativ über Parameter in einer Textdatei konfiguriert. Sogar die Shortcuts lassen sich individualisieren, sodass man keine neuen lernen muss.

Dyson OnTrac: Würde ich nicht kaufen

Foto Dyson

Nur sehr kurz getestet, aber sie überzeugen mich nicht. Der Klang ist sehr mittelmäßig, der Preis sehr hoch.

Positiv: 50 Stunden Battery Life, Multipoint Support, austauschbare Polster und Kappen

Negativ: Hohes Gewicht (mehr als Apple AirPods Max), nicht faltbar, unausgewogener Sound, schmale Soundstage.

Bessere Alternative: weniger Bling, mehr Substanz. #reklame

European iPhones are more fun now

Allison Johnson for The Verge:

Whining about stuff is a treasured American pastime, so allow me to indulge: the iPhone is more fun in Europe now, and it’s not fair.

They’re getting all kinds of stuff because they have cool regulators, not like, regular regulators. Third-party app stores, the ability for browsers to run their own engines, Fortnite, and now the ability to replace lots of default apps? I want it, too! Imagine if Chrome on iOS wasn’t just a rinky dink little Safari emulator! Imagine downloading a new dialer app with a soundboard of fart sounds and setting it as your default! Unfortunately, Apple doesn’t seem interested in sharing these possibilities with everyone.

After all, the EU isn’t left behind, but gets the better version. Apple may need to reconsider.

More >