Geräte per Apple Business Manager am BlackBerry UEM aktivieren

Am BlackBerry UEM gibt es drei im Alltag relevante Optionen iPhones und iPads über den Apple Business Manager (ABM) zu aktivieren:

  1. Direkte Zuweisung des Gerätes an einen Benutzer in der BlackBerry UEM-Konsole unter Users-> Apple DEP devices
  2. Aktivierung über ein vorher gesetztes Aktivierungskennwort
  3. Aktivierung über die Active Directory Anmeldedaten

Technisch wären auch eine Aktivierung über einen Identity Provider und über den Apple Configurator möglich. Auf diese beiden Optionen gehe im Folgenden nicht ein. Für alle drei Optionen müssen die Geräte im Apple Business Manager (ABM) existieren. Sobald sie dort gelistet sind, kann man sie der jeweiligen BlackBerry UEM Instanz zuweisen. Nach der Synchronisation des BlackBerry UEM mit dem ABM, erscheinen die Geräte in der UEM-Konsole unter Users-> Apple DEP devices. Die Synchronistation der Geräteliste mit dem ABM erfolgt alle 24 Stunden. Die Synchronisation lässt sich auch manuell anstoßen. Aus der Geräteliste heraus kann das Gerät direkt einem Benutzer zugewiesen. Die Aktivierung erfolgt ohne Eingabe weiterer Anmeldedaten. Diese Aktivierungsart ist z.B. für Kiosk-Mode-Szenarien sinnvoll. Damit wäre die erste Option aus der obigen Liste abgedeckt.

Für die Option 2, der Aktivierung per E-Mail-Adresse und Aktivierungskennwort, muss im Feld Benutzername die E-Mail-Adresse des Benutzers eingetragen werden. Das Aktivierungskennwort hat der Benutzer per E-Mail erhalten bzw. wurde durch den UEM-Administrator in der UEM-Konsole gesetzt und dem Benutzer mitgeteilt. Das Aktivierungskennwort kann der Benutzer auch selbstständig im Self Service Portal des BlackBerry UEM setzen. Im folgenden Beispiel hat der Benutzer die E-Mail-Adresse aboui@lab.boui.de. Nach Eingabe des Aktivierungskennworts im Feld Passwort, kann die Aktivierung am UEM über den ABM erfolgen.

iPhone-Aktivierung über E-Mail-Adresse
iPhone-Aktivierung mit E-Mail-Adresse und Aktivierungskennwort

Für die Option 3, Aktivierung per Active Directory Anmeldeinformatione, müssen die Daten im Eingabefeld Benutzername im Format FQDN\Username eingetragen werden. In meinem Beispiel laut der FQDN der AD-Domain LAB.BOUI.DE. Der Username lautet aboui. Folglich muss in dem Feld Benutzername folgendes eingetragen werden: lab.boui.de\aboui. Da das Eingeben des Zeichens \ am iPhone nicht einfach ist, kann man alternativ das Zeichen / verwenden. Mit beiden Zeichen funktioniert die Anmeldung. Dass der FQDN in meinem Beispiel identisch mit dem Teil nach dem @-Zeichen aus Option 2 ist, ist reiner Zufall. Das könnte und dürfte in den meisten Umgebungen sehr wahrscheinlich unterschiedlich sein.

iPhone-Aktivierung per Active Directory Anmeldeinformationen
iPhone-Aktivierung mit Active Directory Anmeldeinformationen

Falls der FQDN der AD-Domain nicht bekannt ist, kann man sich den FQDN in der Kommandzeile auf einem Windows-Rechner einfach anzeigen lassen. Dafür reicht der Befehl set userdnsdomain.

Ausgabe der Kommandozeile für den Befehl set userdnsdomain

Mit der dritten Option ist es für einen Benutzer oder eine Benutzerin ganz einfach sein iPhone oder iPad zu aktivieren. Viele meiner Kunden nutzen diese dritte Option, weil es den Benutzern ermöglich die Geräte ohne IT-Unterstützung bzw. direkten Zugriff auf das eigene E-Mail-Postfach zu aktivieren. Das ist z.B. bei größeren Geräterollouts oder beim Austausch des iPhones oder iPads sehr hilfreich.

EarPods gehören in jede Tasche

Vor ein paar Jahren habe ich zusammen mit Ralf Rottmann einen täglichen Soundcheck auf Clubhouse gemacht. Wir haben Hunderten von Menschen gespiegelt, wie sie eigentlich online klingen. Dabei haben wir sehr viel gelernt und ich hätte wohl bei Wetten Dass auftreten können, nach dem Motto “Volker erkennt dein Headset nur vom Zuhören”.

Dabei hat sich eins sehr schnell herausgestellt: Kabel ist besser als Luft. Was für W(LAN) gilt, gilt noch mehr für Audio. Bluetooth-Kopfhörer können in allen Situationen, wo es nicht um Medienkonsum sondern um Kommunikation geht, nie so ganz mit verkabelten Kopfhörern konkurrieren. Speziell der Mikrofonkanal leidet. Mono, 8 kHz, metallisch klingende Kompression. Und das haben viele junge Menschen auf TikTok auch gelernt. Dort sieht man ein gut 20 Jahre altes ikonisches Produkt wieder: Apple EarPods.

In der unscheinbaren Kabelfernbedienung steckt nämlich ein Mikro, das es in sich hat. Keine AirPods, auch nicht die teuersten, können dort mithalten. Achtet mal darauf, wie viele Sänger auf TikTok dieses Mikro nutzen.

Das beste aber ist, dass dieses Produkt überhaupt nicht teuer ist. Für weniger als 20 Euro bekommt man es mit USB-C, Lightning oder Audio. Gerade das Modell mit USB-C ist sehr universell, weil man es mit jedem aktuellen Smartphone, iPad oder Computer nutzen kann, auch wenn sie keinen Audio-Anschluss mehr haben. Kaufen, in den Rucksack damit und dann beim nächsten Meeting oder Dauertelefonat einfach einstöpseln. Eure Zuhörer werden es Euch danken.

Und ja, genau dieses. Nicht irgendein Billigding vom Handyladen nebenan.

#reklame

Lasst uns über AirPods sprechen

Apple hat wieder drei aktuelle AirPods-Modelle im Angebot. Alle haben den gleichen H2-Chip, aber dennoch unterschiedliche Funktionen. Fangen wir rechts an:

  • Die AirPods Pro der zweiten Generation sind schon seit längerem auf den Markt, bekommen aber gerade neue Funktionen per Software-Updates. Es gibt nur zwei Gründe, sich gegen diese AirPods zu entscheiden: Sie sind am teuersten und manche Menschen mögen keine Silikon-Stöpsel im Ohr. Ansonsten sind sie den beiden anderen Modellen haushoch überlegen. Beste Geräuschunterdrückung, weil sie mit den passenden Silikon-Stöpseln die Ohren perfekt abdichten. Diese AirPods Pro haben ein USB-C Ladecase mit kabellosem Laden, sie halten auch auf dem magnetischen Ladepuck Apple Magsafe oder dem Lader der Apple Watch.
  • Die AirPods 4 mit Geräuschunterdrückung haben keine Silikon-Stöpsel und passen einigen Menschen deshalb gar nicht oder sie fallen leichter raus. Bei mir passen sie perfekt. Ich finde sie deshalb durchaus bequem, auch wenn hartes Plastik mehr Potential zu drücken hat. Diese AirPods haben ebenfalls Geräuschunterdrückung und Transparenz, aber das kann physikalisch nicht so perfekt sein wie bei den Pro, weil sie eben nicht dicht sind. Aus dem gleichen Grund aber ist die Transparenzfunktion noch besser. Diese beiden erstgenannten AirPods haben jeden Menge Komfortfunktionen, etwa adaptives Audio, personalisiertes 3D-Audio. Beide erkenne auch, wenn man spricht und schalten die Geräuschunterdrückung auf Transparenz um und wieder zurück. Auch dieses Ladecase kann drahtlos geladen werden.
  • Die AirPods 4 ohne Geräuschunterdrückung haben ein 10% kleineres Ladecase, das anders als die anderen beiden nicht piepsen kann, hat keine Spule oder Magneten zum Induktionsladen, und sie verzichten auf Geräuschunterdrückung, Transparenzmodus, Konversationserkennung und adaptives Audio. Das sind recht viele Einschränkungen für einen etwas geringeren Preis.

Etwas peinlich war das “Upgrade” bei den AirPods Max. Zum gleichen, recht hohen Preis gibt es nun USB-C statt Lightning und neue Farben. Allerdings haben die AirPods Max immer noch den H1-Chip und sind damit “dümmer” als die anderen AirPods. Sie haben zum Beispiel keine Konversationserkennung und bekommen auch nicht das im Herbst anstehende Update für die AirPods Pro mit Hörtest und Hörhilfefunktion. Man muss sie deshalb von Hand umstellen oder abnehmen, wenn man angesprochen wird.

Die Umstellung auf USB-C ist wohl der EU-Regulierung zuzuschreiben und ich halte ein weiteres Update in nächster Zeit mit einem verbesserten Chip zunächst für unwahrscheinlich. Allerdings gibt es Gerüchte über eine dritte Generation der AirPods Pro mit einem H3-Chip, der die Pro nochmal weiter aufbohrt, diesmal mit Health-Funktionen. Im Ohr kann man viel präziser die Körpertemperatur und den Puls bestimmen.

Meine Empfehlung: Alte AirPods behalten, bis sie kaputt gehen. Danach Upgrade auf die besseren AirPods 4 mit Geräuschunterdrückung oder noch besser die AirPods Pro der zweiten Generation.

Kleiner Tipp am Rande: Die AirPods Pro lassen sich auch auf dem kleinen Lader der Apple Watch laden und halten dort bombenfest. Das Ladecase der AirPods 4 “mit” ist sehr klein und hält nicht so gut. Bei den AirPods Pro 4 “ohne” geht das gar nicht.

#reklame

Das letzte Apple Leather Case

Das Apple Leather Case in Saddle Brown, das ich vor einigen Monaten bearbeitet hat, hält sich großartig. Alle paar Wochen bürste ich es einmal trocken ab, sodass es wieder schön aufgeraut ist. Letztes Jahr hat Apple für das iPhone 15 die Finewoven Cases als Ablösung der Leather Cases eingeführt. Dieses Jahr wurden sie mit der Vorstellung des iPhone 16 ganz eingestellt und nun gibt es von Apple nur noch Plastik.

Solange ich das iPhone 14 Pro schleppe, nehme ich weiterhin dieses Leather Case, das bisher keine Abnutzungserscheinungen zeigt. Und beim nächsten iPhone schauen wir mal.

Audio-Kabel für AirPods Max

So ein Audio-Kabel mit DAC im Lightning-Stecker ist eine einfache Lösung, die AirPods Max an einer Quelle anzuschließen, die im Apple-Universum nicht vorkommt. Ich bin gespannt, ob Apple das auch für die neue Version anbieten wird. Audio auf USB-C. Warum eigentlich nicht?

Die vielen Aux-Kabel, die man auf Amazon findet, funktionieren übrigens nicht. Die gehen vom iPhone zu einem Aux-Eingang. Dieses Kabel eröffnet den umgekehrten Weg. Von einem Ausgang zu einem Lightning-Eingang.

[Danke, Frank!]

#reklame

Ein paar Gedanken zur Apple Keynote

Es ist mittlerweile fast ein Ritual. Im September gibt es neue iPhones, neue Apple Watches, vielleicht auch HomePods oder AirPods. Die Gerüchteküche rotiert schon Wochen vorher, alle schreiben bei Bloomberg-Korrespondent Mark Gurman ab.

Letztes Jahr bin ich bei meinem erst ein halbes Jahr alten iPhone 14 Pro geblieben und ich habe es nicht bereut. Dieses Jahr wird mich Apple dann abhängen, wenn die neuen AI-Features kommen. Die Prozessorleistung würde dicke reichen, aber der Arbeitsspeicher nicht. Ich konnte aber mit ein paar Tricks auch auf meinem iPad Pro testen, der ausreichend Leistung hat. (18.1 Dev Beta 3, US English als Sprache und ein Account im US-amerikanischen Store reichen aus. Apple Intelligence ist noch nicht fertig, aber es gefällt.

Die neuen iPhone (Pro) 16 bleiben beim mit dem iPhone 12 eingeführten Design. Das Display hat weniger Rand und wird deshalb einen kleinen Tick größer, wie jedes Jahr werden die Kameras besser. Dieses Jahr gibt es ein Camera-Control extra. Bisher nimmt man die Lautstärketasten als Auslöser. Tippen schießt ein Foto, drücken und halten ein Video. Camera Control ist ein zusätzliches Touch Interface zur Bedienung der Kamera. Die 12 MP 5x Zoomkamera gibt es dieses Jahr bei iPhone Pro und Pro Max.

Interessant ist die neue Namensgebung der Prozessoren. Während früher die iPhone Pro neue Prozessornummern bekamen und iPhone die Prozessoren des Vorjahres übernamen, dieses Jahr spricht Apple nun von A18 und A18 Pro.

Die Apple Watch bekommt 10 Jahre nach der Vorstellung des Ur-Modells ein leicht geändertes Design. Auch hier ein etwas größeres Display und ein flacheres Gehäuse. Das war bisher alle drei Jahre der Fall: Mit der Watch 4 kam der abgerundete Bildschirm, mit 7 wuchs er, und nun ist mit Watch 10 turnusmäßig ein neues Design dran. Ein neues Design alle drei Jahre, das passt für mich. Kleiner Trick in der Präsentation: Apple vergleicht Watch 10 mit Watch 6 und nicht der deutlich größeren Watch 7-9. Mir gefällt vor allem das polierte Black. Stahl wird durch Titan ersetzt, wie das bereits das iPhone vorgemacht hat. Ein neues Feature gibt es auch: Erkennung des Schlafapnoe-Syndrom, auch ab Watch 9 und Ultra 2. Ultra 2 bekommt dieses Jahr eine weitere Farbe: mattschwarz. Sonst ändert sich nichts.

Bei den AirPods löst Apple ein Problem. Die zweite Generation hat stets die dritte überschattet, weil sie das gleiche konnte. AirPods 2 und 3 aber werden abgelöst durch gleich zwei neue Modelle der AirPods 4, eins davon mit ANC und den Features der AirPods Pro. AirPods Max bekommt neue Farben und USB-C. So schlau wie die AirPods Pro wird AirPods Max aber nicht, weil auch die neue Version mit dem H1-Chip ausgerüstet bleibt.

AirPods Pro 2nd gen dagegen waren unangefochten das schlaueste Modell. Die bekommen nun auch ein Update mit neuen Funktionen, wohlgemerkt alle bereits verkauften. Das ist gut so. Hearing Protection verhindert Schäden durch zu laute Umgebungen. Das heißt man braucht keine Ohrstöpsel mehr für zu laute Konzerte. Hearing Test prüft das Hörvermögen und Hearing Aid transformiert die AirPods Pro in Hörgeräte. Das ist so überfällig! AirPods Pro sind eine Größenordnung billiger als Hörgeräte. O-Ton der deutschen Pressemitteilung:

Apple Intelligence unterstützt zum Start Englisch (USA) und wird im Dezember auf andere Varianten der englischen Sprache für Australien, Kanada, Neuseeland, Südafrika und Großbritannien ausgedehnt. Unterstützung für weitere Sprachen, darunter Chinesisch, Französisch, Japanisch und Spanisch, folgt im nächsten Jahr.

Apple Intelligence ist für uns erst mal ein Nothingburger. US-Englisch in Dezember, dann ein paar weitere Englisch-Dialekte in Dezember und andere Sprachen nächstes Jahr. Deutsch wurde nicht mal erwähnt. Apple hatte schon mal durchblicken lassen, dass sie unglücklich über den DMA der EU sind. Auf der anderen Seite fehlt ohne Apple Intelligence auch der Druck, ein neues iPhone zu kaufen. Man darf gespannt sein, wie sich das auswächst.

Die Hardware wird ab 20. September geliefert, die .0-Versionen der Software am 16. September.

Per-App-VPN-Profil für die Nutzung mit Apple indigo erstellen

Das Thema Apple indigo ist sicherlich einigen bekannt. Ich hatte vor einiger Zeit hier darübergeschrieben. Da es für die notwendigen Konfigurationseinstellungen nur wenig öffentliche Dokumentation gibt, möchte hier beginnen diese Dokumentation zu erstellen. Da einer der wesentlichen Komponenten einer Apple Indigo-Lösung das VPN ist, beginne ich mit der Dokumentation zur Erstellung des VPN-Profils. Ich zeige, wie ihr am BlackBerry UEM ein passendes VPN-Profil erstellen könnt. Dieses VPN-Profil kann dann dazu genutzt werden, um auf Ressourcen und Dienste im internen Netz zuzugreifen. Dieses VPN-Profil ist für die Nutzung mit BlackBerry UEM in einem Brightsite-Setup gedacht. Auf das VPN-Profil für eine Darksite-MDM-Installation gehe ich nicht ein, weil praktisch keine Organisation bei Apple indigo auf ein Darksite-MDM setzen möchte. Darksite-MDM für Apple indigo bringt einfach zu viele Nachteile und praktisch keine Vorteile.

  1. In der UEM-Konsole unter Richtlinien und Profile-> Netzwerke und Verbindungen->VPN wird über das Plus-Symbol ein neues VPN-Profil angelegt
  2. Im Feld Name muss der Name für das VPN-Profil vergeben werden, z.B. indigo_VPN_Profil
  3. Bei den Gerätetypen ist nur die Auswahlbox für iOS auszuwählen
  4. In der Auswahlliste Verbindungstyp muss IKEv2 ausgewählt werden
  5. Unter Remote-Adresse muss der FQDN des VPN-Gateways eingetragen werden, z.B. vpngw.boui.de
  6. Für Lokale ID wir der VPN-Benutzername benötigt. Da das Profil für mehrere Nutzer verwendet werden soll, tragen wir hier eine Variable ein. Das kann z.B: %username% sein.
  7. Für die Remote-ID wird wieder FQDN des VPN-Gateways eingetragen. Je nach VPN-Lösung muss hier gegebenenfalls ein anderer Wert eingetragen werden
  8. In der Auswahlliste Authentifizierungstyp muss Benutzeranmeldeinformationen ausgewählt werden.
  9. In der Auswahlliste Verknüpftes Profil für Benutzeranmeldeinformationen muss das zuvor angelegte Profil für Benutzeranmeldeinformationen ausgewählt werden. In unserem Beispiel heißt das Profil indigo_VPN_Zertifikat.
    Hinweis: Im Kontext von indigo darf das VPN-Zertifikat nicht über den MDM-Kanal auf das Endgerät gepusht werden. Das VPN-Zertifikat kann z.B. über ein sicheres, internes Netz (Wifi oder Ethernet) über den Safari-Browser auf das Gerät installiert werden.
  10. Den Wert für Keep-alive-Intervall muss auf 10 Minuten gesetzt werden.
  11. Die Haken für MOBIKE deaktivieren und IKVEv2-Umleitung deaktivieren bleiben abgewählt
  12. Der Haken für Perfekte Geheimhaltung bei der Weiterleitung aktivieren muss gesetzt werden
  13. Die Option NAT-Keep-alive aktivieren wird eingeschaltet und der Wert 110 gesetzt
  14. Die Haken für Interne IPv4- und IPv6-IKEv2-Subnetze verwenden, Zertifikatwiderrufprüfung aktivieren und Fallback aktivieren bleiben entfernt
  15. Der Haken für Untergeordnete Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128-GCM
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  16. Der Haken für IKE-Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  17. Der Wert für MTU kann bei 1280 bleiben
  18. Da wir das Profil für Per App VPN und Per Account VPN nutzen wollen, muss der Haken für Enable per-app VPN gesetzt werden.
  19. Da Safari bei indigo nicht über den VPN-Tunnel auf interne Ressourcen zugreifen darf, dürfen keine Safari Domains eingetragen würden. Das gleiche gilt für die anderen Domain-Listen.
  20. Der Haken für Allow apps to connect automatically muss gesetzt werden.
  21. In der Auswahlliste Traffic Tunneling muss der Wert Application layer ausgewählt werden
  22. Über den Button Hinzufügen wird das neue VPN-Profil gespeichert.
  23. Das fertige VPN-Profil sollte dann wie folgt aussehen

Configure certificate-based VPN authentication in BlackBerry UEM for iPhones and iPads

If you want to use IKEv2-based VPNs for per Account and per App VPN and require certificate-based authentication, I will explain the required steps to make use of this in BlackBerry UEM. The below configuration assumes that the VPN username and actual username are different, e.g., vpnuser001@boui.de is the VPN username and abdelkader@boui.de is the username. The certificate for the VPN authentication is issued to the VPN username.

  1. Enable the use of custom variables in BlackBerry UEM. We will need this later on as this gives us a simple way to map the VPN certificate to the actual user account.
    • Login to the UEM console
    • Navigate to Settings-> General settings-> Custom variables
    • Enable the checkbox “Show custom variables when adding or editing a user”
    • For the variable %custom1% set the label to vpn_user_iphone
    • For the variable %custom2% set the label to vpn_user_ipad

    • It is necessary to differentiate between iPhone and iPad VPN accounts as in my setup I need to use one VPN certificate per device.
    • Click on Save.
  2. Configure the custom variables in user account
    • Navigate to Users-> All Users in the UEM console
      • Search for the user account you want to modify and open the user view
      • Click on the Edit button in the top right corner
      • In the new view navigate to the bottom and expand the section Custom variables. Enter the VPN username for the iPhone and iPad, respectively.

      • Click on Save.
  3. Create the two user credential profile – one for iPhones and one for iPads
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Certificates-> User credential
    • Click on the plus symbol to create a new user credential profile
    • In the name field enter the name for the profile, e.g. vpn_user_iphone_certificate
    • In the drop-down list for Certificate authority connection select Manually uploaded certificate
    • Disable the checkboxes for macOS and Android
    • Click on Add to save the profile
    • Repeat the previous steps and create the user credential profile we will use with for the iPads, e.g., vpn_user_iphone_certificate
  4. Create the IKEv2 VPN profile
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Networks and Connections-> VPN
    • Click on the plus symbol to create a new VPN profile
    • In the field Name enter a name for the profile, e.g., iphone_vpn_profile
    • As we will use the VPN profile only for iPhones and iPads, you can disable the checkboxes for macOS, Android and Windows
    • In the drop-down list Connection type select IKEv2
    • For Remote address enter your VPN gateway FQDN, e.g., vpngw.boui.de
    • For Local ID enter %custom1%
    • For Remote ID enter the remote ID of your VPN gateway, e.g., vpngw.boui.de
    • In the drop-down list Authentication type select User credential
    • We will get a new drop-down list named Associated user credential profile. Select the user credential profile we created for iPhones. In our case it is named vpn_user_iphone_certificate. This selection now gives us the mapping between the custom variable we have entered in Local ID and the VPN certificate, which we will assign to the user further down in this guide.
    • Confirm that Enable per-App VPN and Allow apps to connect automatically are enabled.
    • It is optional to add any domains. We will skip that for now.
    • In the drop-down list Traffic tunnelling confirm that Application layer is selected
    • All other settings depend on the requirements of your VPN solution. Configure the remaining as required.
    • Click on Add to save the VPN profile.
    • Open the newly created VPN profile and click on the Copy VPN profile button in the top right corner
    • You only need to change two values – the profile name and the Local ID
    • For the profile name we will use vpn_profile_ipad
    • For the Local ID we will change the value to %custom2% as this is the custom variable we are using for our setup to authenticate the iPad
    • All other settings will remain the same.
    • Click on Save to save to copied profile
    • The two newly created VPN profiles should look like the below screenshot
  5. Assign the user credential profiles to the user
    • To make easier user of the user credential profiles, I have created two user groups in BlackBerry UEM – one for iPhone users, one for iPad users
    • The user credential profiles we created, are assigned to the respective group as shown in the below screenshot, e.g., the iPhone user credential profile is assigned to the iPhone user group and the iPad user credential profile is assigned to the iPad user group
    • Our test user is member of both groups
    • We are now have the option to add the two certificates to the user
    • In our setup we have two VPN user certificates – one issued to vpn001@boui.de for the iPhone and the other issued to vpn002@boui.de to be used with the iPad. We will add the certificates to user by click on Add a certificate. We will be prompted for the password of the private key when we upload it to the UEM server. Make sure you have the relevant passwords at hand when adding the certificates. After the certificates were successfully added, the view should be like the screenshot shown below


Our VPN setup in BlackBerry UEM is now completed. As we are differentiating between iPads and iPhones, I would recommend doing the app assignment, to use per App VPN, and mail profile, for the per Account VPN, through device groups. If you are planning to use per Account VPN in the email profile, you will require one mail profile per device type. For a simple setup, set the device query in the device group to Model Starts with iPhone and scope the device group to the iPhone users’ group. For the iPad group change the value to Model Starts with iPad and modify the user groups scope to the iPad users. When assigning the apps to the device groups, make sure to use the correct VPN profile.

The screenshot below shows the device group setup for iPhone and configured with an email profile and the app SecuFOX to use the per App VPN tunnel. The per Account VPN configuration for the email profile is not shown in the screenshot. You can add additional profiles and apps to the device group as required.