BlackBerry UEM 12.23: Das November-Update im Reality-Check, just a little Watch Back

Heute mal ein kleiner Watch back und ich schaue mir das 12.23 release von BB und Ihrem UEM an. Ich hatte ja in meiner Zeit beim Land, mehr als genug mit BB zutun. Dann kam der wechsel und die letzten 7,5 Jahren, waren mehr WS1 und nachher Intune im UEM & MDM Feld im Fokus. Nun ist es aber auch mal wieder Zeit, sich dem alten Herren in Schwarz zu widmen und auch diesen zu beleuchten.

Es ist November 2026 und UEM 12.23 ist da – und ehrlich gesagt: Das ist kein Release, das große Headlines verdient. Das ist ein solides, pragmatisches Update, das zeigt, wohin BlackBerry UEM wirklich unterwegs ist. Kein Marketing-Blabla, keine zehn neuen Features, die niemand braucht. Stattdessen: Stabilität, Sicherheit, Zertifizierungen.

Wenn eine neue Version im November kommt und die Release Notes nicht vor Features überlaufen, ist das erfrischend ehrlich. BlackBerry hat verstanden: In einem etablierten UEM-System geht es nicht um Raketenfunktionen, sondern um Zuverlässigkeit.

Das Wichtigste in einer Tabelle

Feature / Bereich	12.23	Relevanz	Status
Upgrade-Pfade	von 12.21, 12.22	Standard	✓ Supported
iOS/iPadOS	Tag-Null Support für aktuelle OS	Enterprise-Muss	✓ Ready
Android	Android Enterprise, Management API	Standard	✓ Stabil
Windows 10/11	MDM-Management	Enterprise-Standard	✓ Unterstützt
macOS	Vollständige Unterstützung	BYOD/Enterprise	✓ Stabil
Automatische Backups	Setup-Tool integration	Betrieb-Critical	✓ Automatisch
Gatekeeping	Microsoft 365 Modern Auth	Email-Management	✓ Optimiert
BlackBerry Connectivity Node	Optional für große Umgebungen	Skalierung	✓ Verfügbar

Was sich in 12.23 konkret ändert

Installation und Upgrade

Die Setup-Anwendung erlaubt Installation von UEM 12.23 oder Upgrade von UEM 12.21 oder 12.22. Das ist sauber: Sie sind nicht auf eine Version beschränkt, können aber überspringen sollten Sie noch auf 12.20 sein (das ist dann ein etwas aufwändigeres Upgrade, das ich separat planen würde).

⚠️ Breaking Change Watch: Wenn der Setup-Tool lädt, stoppt und startet er alle UEM-Services automatisch. Das ist normal – aber planen Sie Wartungsfenster. In Produktionsumgebungen machen Sie das am Wochenende oder nachts. Die Datenbank wird automatisch gebackt, aber trotzdem: Backups vor dem Upgrade, auch wenn die Software das macht.

Database-Anforderungen verschärfen sich

BlackBerry UEM Core Server müssen weniger als 5ms Latenz zur Datenbank haben. Das ist nicht neu, aber wird strikte überprüft. Wenn Sie eine Standard-SQL-Server-Installation mit Fernanbindung haben und die Latenz borderline ist – jetzt wird das zum echten Problem. Optimieren Sie vorher.

Sicherheit: JRE 17 ist Pflicht

JRE 17 muss auf dem Computer installiert sein, der UEM hostet. Das ist eine harte Anforderung. Wenn Sie noch auf JRE 11 rumfahren: Das endet jetzt. JRE 17 ist seit November 2023 LTS, also aktuell und stabil.

Plattform-spezifische Neuerungen

iOS & iPadOS

BlackBerry UEM ist eine Multi-Platform-EMM-Lösung, die umfassendes Device-, App- und Content-Management mit integrierter Sicherheit für iOS, macOS, Android und Windows 10 Geräte bereitstellt.

Für iOS-Admin bedeutet 12.23:
– Tag-Null-Kompatibilität mit den neuesten iOS-Versionen (der Standard in jedem BlackBerry-Release)
– Verwaltung von Zertifikaten für Devices und Apps mittels UEM-Profilen und Setup von Work Connections.
– VPN-Profile und PKI sind weiterhin der Standard

Praxis-Tipp: Wer noch auf ältere iOS-Versionen verteilt ist – plant jetzt das Upgrade auf 12.23, damit bei iOS 19 keine Überraschungen kommen.

Android

Keine großen Explosionen hier. OEMConfig-Apps erlauben Administratoren, Device-spezifische Funktionen über App-Konfigurationen zu verwalten, wie für Samsung Knox und andere Hersteller.

Die wichtigsten Unterstützungen:
– Android Enterprise – Standard und stabil
– Android Management API (AMAPI) – für modernere Gerätekontrolle
– Samsung Knox – weiterhin vollständig

Was sich nicht ändert: Das Android-Management in BlackBerry UEM ist pragmatisch, nicht flashy. Policies, Compliance, App-Verwaltung – all bewährte Features.

Windows 10/11

Windows 10 Devices werden als Teil des umfassenden Device-Management unterstützt. Windows 11 auch – obwohl die Docs noch „Windows 10“ sagen, ist das eine dokumentations-Verzögerung.

Für Enterprise-Umgebungen, die Intune für Windows nutzen: BlackBerry UEM can Co-Exist, ist aber eher für spezialisierte Szenarien (alte Geräte, Hybrid-Umgebungen, sehr restrictive Sicherheitsrichtlinien).

Sicherheit und Zertifizierungen – Das Eigentliche Update

Das große News für 12.23 ist nicht in den technischen Features, sondern in der Compliance-Welt: BlackBerry UEM ist das erste UEM-Produkt, das BSI-Zertifizierung erreicht hat und wurde gegen die Common Criteria Standards auf den höchsten Levels validiert.

Was bedeutet das praktisch?

Deutsche Regierungsbehörden müssen jetzt nicht mehr auf Ausnahmegenehmigungen kämpfen
NATO-Länder, Skandinavien, Frankreich sehen das als Vertrauenszeichen
Kritische Infrastruktur (Energie, Telekommunikation, Gesundheit) bekommt ein zusätzliches Zertifikat

Für normale Enterprise-Kunden ist das eher ein Verkaufs-Feature („Ja, sogar die deutsche Bundesregierung vertraut uns“). Aber für hochregulierten Umgebungen: Das ist jetzt ein Kaufargument.

Gatekeeper und Microsoft 365 Authentication

Für Modern Authentication mit Microsoft 365 muss man ein Entra-App hinzufügen und dessen Details bereitstellen – man muss nicht die Anmeldedaten eines M365-Admin-Kontos angeben, sondern nur das Entra Application ID und Organization Values.

Das ist ein echter Fortschritt für größere Orgs:
– Weniger Admin-Accounts mit Super-Privilegien
– OAuth-basiert, nicht mehr nur Legacy-Auth
– Microsoft-Integration wird moderner

Handlungsbedarf: Das musst du vor dem Upgrade wissen

1. Datenbank-Latenz überprüfen – JETZT

Nicht erst im Upgrade. Führe einen Test durch:

ping <deine-db-server>

Wenn die Latenz über 10ms ist, hast du ein Problem. Unter 5ms: Alles gut.

2. JRE 17 im Voraus installieren

Nicht während des Upgrades. Installiere JRE 17 auf dem UEM-Server, teste es, dann erst das Upgrade.

3. Backups – und zwar echte Backups

Die Software macht das automatisch, aber:
– Externe Backups VOR dem Upgrade
– Oder: Snapshot der ganzen VM vor dem Upgrade
– Test-Restore auf einer Testumgebung, falls möglich

4. Notification der Nutzer

Das Upgrade stoppt Services. Mach es nachts oder am Wochenende. User sollten das nicht während der Arbeit erleben.

5. Critical Issue Advisories lesen

Die dokumentierten Critical Issue Advisory Knowledge Base Articles für UEM und Enterprise Mobility Server sollten vor dem Upgrade gelesen werden. BlackBerry publiziert dort wichtige Gotchas.

Marktkontext: Wohin geht BlackBerry UEM?

Seien wir ehrlich: BlackBerry UEM ist eine Nischen-Lösung. Das ist nicht negativ gemeint – es ist realistisch.

Große Konzerne mit Sicherheits-Paranoia? → BlackBerry UEM
Regierungen, Militär, kritische Infrastruktur? → BlackBerry UEM
Mittelständler mit Standard-Anforderungen? → Intune, Jamf, MobileIron

Das Release 12.23 zeigt das deutlich: Keine Konsumenten-Features, keine Mobile-First-Optik. Sondern:
– Stabilität
– Compliance
– Enterprise-Hardening

Die BSI-Zertifizierung ist nicht zufällig: Sie zeigt, dass BlackBerry sich bewusst positioniert – nicht „für jeden“, sondern „für die, die Security ernst nehmen“.

Fazit: Solltest du upgraden?

Ja, aber:

Wenn du aktuell auf 12.21 oder 12.22 bist → Im nächsten Wartungsfenster. Das ist ein normales Stabilitäts-Update.
Wenn du auf 12.20 oder älter bist → Plane einen größeren Upgrade-Prozess. Das ist ein Multi-Version-Jump.
Wenn du von anderer Lösung kommst → 12.23 ist aktuell und stabil. Guter Zeitpunkt für einen New Deployment.
Wenn du in stark regulierter Branche bist → Die BSI-Zertifizierung könnte Compliance-Anforderungen erfüllen, die bisher ein Problem waren.

Was ich nicht empfehle: Hektik. Dieses Release ist nicht „müssen sofort upgraden“. Es ist ein „plane in den nächsten 2-3 Monaten und mach es dann“.

Die Technologie ist reif, die Anforderungen sind klar, die Migration ist standardisiert. Das ist das Gegenteil von hastig.

Die letzte Realität

Nach 16+ Jahren in MDM-Land sag ich dir eins: Die besten Enterprise-Updates sind die, die man kaum merkt. Man startet die Systeme neu, alles läuft wie vorher, die Devices synchronisieren sich, Policies pushen, Compliance wird überwacht.

Das ist 12.23. Genau das.

Ressourcen & Dokumentation

Workspace ONE UEM 2602: Ein ehrlicher Überblick zum großen Release

Die 2602er ist eine dieser Releases, bei denen Omnissa sein Selbstvertrauen zeigt – und das ist nicht ganz unbegründet (jeder von uns kennt sehr wahrscheinlich die Probleme der letzten Updates, welche immer so naja liefen ). Mit dieser Version liefern sie eines ihrer ambitioniertesten Updates: vollständig aufgefrischte Admin Experience, innovative Android- und Apple-Management-Fähigkeiten, Game-Changing Windows Management und intelligentere Automation überall.

Lass mich die wichtigsten Punkte durchlaufen.

Feature-Übersichtstabelle: 2602 auf einen Blick

Feature	Plattform	Kategorie	Status
Modernisierte Admin Console	Cross-Plattform	UI/UX	Limited Availability
Phased App Deployments	Cross-Plattform	Automation	GA
Advanced eSIM Management	Android	Connectivity	GA
Erweiterte AMAPI-Policies	Android	Enterprise Control	GA
Account-Driven Enrollment (vereinfacht)	iOS/macOS	Enrollment	GA
Dynamic Mac Hardware Seeding	macOS	Automation	GA
Intelligente Enrollment-Labels	iOS/macOS	Grouping	GA
Intelligent Hub Managed Enrollment	Windows	Enrollment	GA
Enterprise App Repository v2 (EARv2)	Windows	App Distribution	GA
Automatisierte Windows App-Patching	Windows	App Management	GA
Windows Agent Updates Dashboard	Windows	Visibility	GA
Dropship Provisioning Bulk Import	Windows	Provisioning	GA
Intel Chip-to-Cloud Logging	Windows	Troubleshooting	GA
Granular App Retention Control	Windows	App Lifecycle	GA
ADMX Profiles (Windows Server Preview)	Windows Server	Policy	Limited Availability

Die wichtigsten Features im Detail

1. Modernisierte Admin Console – Limited Availability, aber vielversprechend

Omnissa kündigt eine modernisierte Konsole mit intuitiver Navigation, neu gestalteter Device List View und intelligenteren Workflows an, die Klicks reduzieren. Admins können sich schrittweise anmelden und jederzeit zurückwechseln.

Meine Analyse: Das ist nicht einfach eine Kosmetik-Operation. Eine frische Konsolen-UI ist bei MDM-Plattformen überraschend kritisch – die Funktion befindet sich derzeit in Limited Availability , also nicht hastig upgraden. Die Opt-in-Strategie ist smart: Admins können taste, backup-Plan bei Bedarf. Das respektiere ich.

2. Android: eSIM Management & erweiterte AMAPI-Policies

Workspace ONE UEM bietet jetzt fortgeschrittenes eSIM-Management für Android, mit dem IT-Teams die Geräteverbindung optimieren. Administratoren können eSIM-Profile remote bereitstellen, aktivieren, überwachen und entfernen – über die UEM Console oder REST API.

Zusätzlich: Workspace ONE weitet Android AMAPI-Unterstützung mit neuen Policies aus, die granulare Kontrolle über Bildschirmverhalten, Private Space und Google Play Protect bieten.

Praktische Bedeutung: Das ist ein echter Differentiator. eSIM ist nicht sexy, aber für GlobalPlayer mit großen Android-Flotten (Logistics, Telco) = essentiell. Die Private Space Policies sind auch clever – das passt zu Googles Android 15+ Richtung.

3. Apple: Enrollment vereinfacht, Automation kommt

Das Release vereinfacht zwei kritische Apple-Szenarien:

Account-Driven Enrollment (ADE):
Das Release vereinfacht Account-Driven Enrollments erheblich. Früher erforderte die Erstellung einer well-known-Datei manuelle Schritte und externes Hosting. Jetzt aktivieren Admins das Feature, und WS1 generiert die JSON-Datei automatisch via Apple Business Manager.

Mac Hardware Seeding:
Mac-Modell-Hardware-Seeding ist jetzt automatisiert. Mit automatisch erfassten und befüllten Mac-Modelldaten können Admins Smart Groups nutzen – mit Same-Day Support für neue Apple Hardware.

Kritisches Take: Das ist Micro-Automation, aber die Art, die deinen Alltag vereinfacht. Weniger manuelle Datei-Hosting-Fricktion = weniger Fehler = happier Admins. 👍

4. Windows: Das Game-Changer-Release (25+ Features!)

Das ist das Herzstück von 2602. Mit Next-Gen Windows Management in 2602 redefine Omnissa modernes Windows-Management – von Intelligent Hub managed mode über stärkere Desired-State-Controls bis zur verbesserten Enterprise App Repository.

Intelligent Hub Managed Enrollment:
Neue Enrollment-Option namens „Intelligent Hub Managed“ – als Übergangsmechanismus vom alten OMA-DM-Anbieter. Volle Intelligent Hub-Power, aber mit mehr Flexibilität.

Enterprise Application Repository v2 (EARv2):
Ihr könnt jetzt über 8.500 Enterprise-Apps browsen, konfigurieren und an Windows-Geräte pushen – direkt aus WS1 UEM. Noch besser: WS1 kann über 8.500 Apps automatisch patchen. Ihr konfiguriert den Plan einmal – WS1 kümmert sich um den Rest, Apps bleiben aktuell ohne manuelle Intervention.

Unified Application Sampling:
Besseres App-Reporting mit konsistenten Daten. Mit dem neuen Sampling-Framework werden App-Daten einheitlich über Intelligent Hub, UEM und DEX/DEEM erfasst.

Windows Agent Updates Dashboard:
Neues Dashboard für Echtzeit-Sichtbarkeit aller Intelligent Hub & SFD Agentversionen. Zwischen Agenten wechseln, Charts ansehen, zu Device-Listen drilldown – alles from one dashboard.

Intel Chip-to-Cloud Logging:
C2C-Events sind jetzt in dedizierter Log-Datei, ohne unrelated data. AMT-Interface-Aktivierung & Checking verbessert.

Granular App Retention:
Admins steuern jetzt, ob Apps beim Device-Wipe oder App-Unassign entfernt oder behalten werden.

Dropship Provisioning:
Bulk-Import von Geräte-Records – egal ob 1 oder 100 Devices auf einmal.

Meine Analyse: Das ist substantiell. 25+ Windows-Features sind nicht gequetscht, sondern strategisch: DeviceList-Visibility (Admin), App-Automation (Speed), Troubleshooting-Verbesserungen (Ops). EARv2 mit Automatic Patching ist besonders nice – Zero-Touch Patching für 8.500 Apps reduziert MSP-Intervention massiv.

⚠️ Warnung: Windows Server Management ist noch Limited Availability. Wenn ihr auf WS1 für Server-Flotten setzt – noch ein paar Releases warten.

Automation & Workflows: Smarter, nicht komplexer

Mit Phased Deployments könnt ihr Apps schrittweise ausrollen – mit kleiner Gruppe starten, Probleme früh catch, Rest der Fleet schützen. Ziel exakte Assignment Groups in jeder Phase, automatische oder manuelle Phase-Progression, Clear Phase-Level Insights.

Das ist LowCode-Orchestration im Best-Sense: nicht Freestyle, aber simpler als vor 2602.

Handlungsbedarfe & Deprecations: Was ist zu beachten?

⚠️ Console Modernization = Limited Availability

Die neue Admin Console ist noch nicht GA. Testet in Lab/Non-Prod, bevor ihr großflächig rolled. Die Opt-in Strategy ist gut, aber seids vorsichtig mit Critical Workflows.

⚠️ Windows Server = Not Yet Production-Ready

Windows Server Management ist derzeit in Limited Availability mit General Availability demnächst . Wenn ihr Windows Server managed, wartet noch.

⚠️ Apple Migration ohne App Preservation (noch)

WS1 UEM unterstützt derzeit keine App Preservation während Migration. Ihr müsst Apps vorab in WS1 aufsetzen. An diesem Feature wird gearbeitet.

⚠️ Legacy App Catalog Sunset: 30. April 2025

Wechselt zur neuen Enterprise App Repository – Legacy-Path wird deprecated.

Kurzer Vergleich zu Microsoft Intune

Ja, die Frage kommt. Hier meine ehrliche Sicht:

Wo WS1 2602 Intune schlägt:
– Cross-Device Management: Windows + Mac + Android + rugged aus einer Konsole. Intune braucht mehr Basteln.
– eSIM Management: Noch nicht in Intune, WS1 has it. Nice-Feature, aber strategisch.
– ADMX Profiles (kommend): Familiarität für Group Policy Admins.
– Enterprise App Repo (8.500+ Apps): Intune’s Win32 App Management ist granular, aber anstrengender.

Wo Intune Punkte macht:
– Microsoft Ecosystem Integration: Wenn ihr 100% Microsoft-Stack seid, Intune ist built-in.
– Conditional Access: WS1 ist gut, Intune’s AAD-Integration tighter.
– Community & Adoption: Intune-Adoption ist bei SMB größer (aktuell).

Fazit: 2602 macht WS1 für gemischte Umgebungen (Apple + Android + Windows + Rugged) attraktiver. Für rein Microsoft-Shops bleibt Intune einfacher. Für Enterprise Complexity: WS1.