Mit dem gestiegenen Interesse von Schulen am Einsatz von Tablets im Unterricht, stiegen 2015 die Anfragen beim Kreismedienzentrum Wildeshausen nach ausleihbaren Tablets stark an. Um den sicheren Betrieb der ausgeliehenen Geräte unabängig vom Standort zu garantieren, stand die Institution somit vor der Aufgabe, ein zuverlässiges zentrales Management der Tablets zu organisieren.
Ein händisches Gerätemanagement, bei dem die Geräte per USB – Kabel mit einem Laptop verbunden werden und dann einzeln die MDM – Konfiguration vorgenommenen wird, war aufgrund der Personaldecke des KMZ nicht möglich. Außerdem sollten die Geräte als Kofferlösung an die Schulen verliehen werden und eine Fernwartung möglich sein.
Anforderungen an das Gerätemanagement
Für einen reibungslosen Ablauf wurde ein Anforderungskatalog erstellt, der u. a. die folgenden Möglichkeiten enthielt:
- „berührungsloses“ Konfigurieren der Geräte beim Setup, das sogenannte „Enrollment“
- Fernwartung der Geräte
- Aufspielen der systemeigenen Updates
- Aufspielen von Apps und deren Updates
- Zentrale Vergabe von Rechten und Einschränkungen über Konfigurationsprofile
- Zuweisung der Geräte zu WLAN – Netzen
- Organisieren eines eigenen „Appstore“ mit verwalteten Apps des Kreismedienzentrums
- Monitoring der Gerätefunktionen
Gleichzeitig wurde mit der Implementierung einer MDM – Lösung die Umsetzung eines der Leitbilder des KMZ realisiert: Übernahme von Supportaufgaben im Bereich MDM für Schulen im Landkreis Oldenburg durch das Kreismedienzentrum. Schulen, die iOS – Geräte einsetzen wollen, können ihr MDM beispielsweiseüber eine gemeinsame Plattform des Landkreises realisieren.
Möglichkeiten der Nutzung von MDM – Lösungen
Die MDM – Lösung JAMF Pro® ist mandantenfähig, d. h. jede Schule bekommt auf dem vom Kreismedienzentrum Wildeshausen gemieteten Server eine sogenannte „Site“, auf der die eingebundenen Geräte der Schulen abgebildet werden. Über einen webbasierten Zugang können die Administratoren der Schulen die Fernwartung der Geräte vornehmen.
Folgende Eigenschaften des Gerätes können per MDM lokalisiert werden
- Gerätename
- Telefonnummer
- iOS-Version
- installierte Programme
- Seriennummer
- Modellname und -nummer>
- Speicherplatz und verfügbare Kapazität
Andreas Schenk von der Fa. Apfelwerk hat dies sehr übersichtlich in einer Grafik [1] festgehalten:
Neben den o.g. Möglichkeiten haben die Schulen durch die Aktivierung der Tablets über das MDM des Kreismedienzentrum außerdem:
- einen schuleigenen Zugang zum Appstore über VPP (Volumenprogramm zum Erwerb von Apps ohne Apple ID)
- schuleigene Synchronisation mit dem Apple School Manager
- Location based VPP tokens (nicht mehr an persönliche Apple ID gebundene Token)
- 90 Tage Updateunterdrückung
- WiFi Nutzung nur von MDM Managed WiFis – schuleigenes Homescreen-Layout
- Umwandeln von Unmanaged Apps in Managed Apps
Derzeitige Nutzungsmodelle von Tablets an Schulen
Folgende Lösungen bei der Nutzung von Tablets haben sich bereits etabliert:
- die sogenannte 1:n – Lösung („Kofferlösung“), bei der ein Tablet mehreren Schülern im Schulalltag zur Verfügung steht. Die Geräte gehören dabei den Institutionen.
- die sogenannte 1:1 – Lösung, bei der jedem Schüler/ Jeder Schülerin ein Gerät den ganzen Schultag zur Verfügung steht. Hier gehören die Geräte ebenfalls der Institution.
- eine persönliche 1:1 Lösung, bei der die Tablets von den Schülerinnen und Schülern privat erworben werden und in der Schule genutzt werden.
Alle drei Lösungen lassen sich über das MDM managen.
Die signifikanten Vorteile eines gemeinsamen MDM
Sowohl kleinere Schulen mit wenigen Schülerinnen und Schülern (z. B. Grundschulen) als auch Schulen mit großen Einheiten können durch MDM ein gemeinsames System zum Managen von Tablets nutzen.
Der Support wird erleichtert, da sich eine harmonisierte IT – Landschaft über das MDM abbildet. Die Administratoren der Schulen haben einen nahen Support über das KMZ und durch regelmäßige Treffen zu Themen des MDM wird eine Vernetzung und ein Austausch ermöglicht. Ein weiterer Vorteil ist die direkte Anbindung an ein zentrales Identitätsmanagement.
JAMF bietet die Möglichkeit einer Konfiguration gegen einen zentralen Verzeichnisdienst (per LDAP oder SAML). Damit kann man die anfangs erwähnten Arbeitsprozesse weiter vereinfachen. Man benötigt keine separate Benutzer- und Gruppenverwaltung mehr. Das Enrollment der Geräte funktioniert mit den Anmeldedaten der Admins der Schulen, und wenn SAML konfiguriert wurde, sogar per Single Sign-on.
Auch der Zugang zum „Appstore“ der eigenen Schule erfolgt dann mit den Anmeldedaten der Plattform. Apps werden anhand von Klassen (Gruppen) zugewiesen. Dies ist aus Sicht eines Kreismedienzentrum von erheblichen Vorteil, da sich die Support- und Beratungsaufgaben zentralisieren und harmonische Infrastrukturen im IT – Bereich aufbauen lassen. Ausschließlich mit MDM ist es allerdings noch nicht getan, denn zukünftig sollen noch weitere Dienste genutzt werden.
Für Lehrkräfte hat diese Lösung den entscheidenden Vorteil, dass ein zentraler Zugang zu den verschiedenen Plattformen möglich ist und man sich nicht mehr durch einen Dschungel von Anmeldenamen kämpfen muss.
Quellen
[1] https://www.apfelwerk.de/2014/12/datenschutz-apples-mdm-framework/
Kommentare
Alexander Schuster
Hallo Herr Franz,
wie sieht es denn bei dem System für die Schulen mit der DSGVO aus? Sollten die Daten von Schüler und Schule interferieren ist das ja aus Datenschutzsicht schwierig (https://www.virtual-solution.com/dsgvo/). Außerdem ist dann auch noch die Frage wer in einem solchen Fall haftbar gemacht werden kann, die Schule oder der Softwareanbieter….
Eyk Franz
Hallo Herr Schuster, was genau meinen Sie mit interferieren?
Alexander Schuster
Hallo Herr Franz,
interferieren im Sinne von vermischen. Das war etwas unglücklich formuliert denke ich. Finde es einfach sehr schwer vorstellbar Kinder für Datenschutz und Regeln zum Speichern von evtl. sensiblen Daten zu sensibilisieren. Hier lasse ich mich natürlich gerne vom Gegenteil überzeugen, immerhin sind Kinder immer für eine Überraschung gut! 🙂
Gunnar Thielebein
Hallo Herr Schuster,
ich glaube das aktuelle Hauptproblem bei allen Bildungsträgern ist das Interferieren von privaten und beruflichen Kontakten egal auf welchem Gerät.
Hier steuert eine MDM oder eine Collaborative Suite gegen.
Mich würden die Erfahrungen, von Herrn Franz, nach einem Jahr Einsatz von „JAMF“ interessieren.
Eyk Franz
Hallo Herr Thielebein,
wir haben uns von JAMF verabschiedet und sind zu Zuludesk emigriert. Eigentlich im gleichen Hause in eine andere Etage. Nun zu meinen Erfahrungen: Die Administration unter Zuludesk erweist sich einfacher Halsunter JAMF. Die teilnehmenden Schulen sind sehr zufrieden mit den einfachen regulatorischen Möglichkeiten. An unserer Schule binden wir jedes Jahr ca. 125 iPads ein. Wir benötigen derzeit pro Klasse (ca. 25 SuS) 40 min. Das finde ich als einen sehr angenehmen Wert. Durch die Aufnahme der Geräte in das schulische WLAN werden automatisch private Apps deaktiviert und nur die für die Schule relevanten Apps zugelassen. Am Nachmittag stehen die Geräte den SuS wieder als private Geräte zur Verfügung. Letztendlich sind wir mit den Möglichkeiten des MDM zufrieden.
J. Nenstiel
Hallo Herr Franz!
Wie stellen Sie auf Zuludesk ein, dass private Apps beim Betreten des Schul-WLANs deaktiviert werden bzw. nur Schul-Apps zugelassen werden und beim Verlassen des Schul-WLANs diese Einschränkung wieder aufgehoben wird?
Wir haben nun auch Zuludesk. Die Einstellmöglichkeiten sind sehr reichhaltig, aber oft schlecht dokumentiert.
Eyk Franz
Hallo Herr Nenstiel,
Über die Funktion „Region“ lässt sich das ändern. Leider noch nicht so zuverlässig, wie wir es uns wünschen. Angeblich unser WLAN gibt die Befehle nicht weiter. Ansonsten nutzen Sie die Community von Zuludesk. Viele Fragen werden dort beantwortet.
Martin K.
Hallo Herr Franz,
vielen Dank für Ihren Beitrag. Wir haben vor der Einführung der MDM Software zahlreiche Lösungen uns angeschaut und unter anderem auch die von Ihnen genannte Lösung. Letztendlich haben wir uns für das School Package von Apptec360 entschieden, da deren Lösung für uns im Vergleich zu den anderen Anbietern einfacher zu bedienen ist. Die Oberfläche ist neben Englisch auch auf Deutsch zu bedienen und preislich war es deutlich günstiger wie die weiteren Anbieter. Ein weiterer wichtiger Aspekt war, dass es sich um ein schweizer Unternehmen handelt, dass für uns bzgl. den Daten eine höhere Sicherheit darstellt. Es ist wichtig, mehrere Lösungen zu testen, um die passende Lösung zu finden.