Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste








wiki:mdm:organisation

Anwendungsszenarien


Dieser Text ist ein überarbeiteter Auszug meiner Ausführungen zur Tablet-Verwaltung, die auf dem Portal des Landemedienzentrums Baden-Württemberg veröffentlicht wurden. Das vollständige Dokument findet sich unter https://www.lmz-bw.de/aktuelles/aktuelle-meldungen/detailseite/integration-von-ios-tablets-in-die-schulische-it. - Roland Walter

Der Einsatz von iPads kann auf verschiedene Arten erfolgen:

  • 1:1-Szenario — Personalisierte Geräte in der Hand von Lehrkräften oder Schülern

  • 1:N-Szenario — Geräte, werden von mehreren Anwendern genutzt (z.B. Gerätekoffer, Geräte im Klassenverbund, Gerätepool für LuL

  • shared iPads — Mehrbenutzer-Szenario, wie es von Apple vorgesehen ist. Benutzerverwaltung über den Apple-School-Manager. Jeder Anwender*in erhält einen eigenen Datenbereich auf den Tablets. Daten können in der iCloud abgelegt werden.

  • Gast-Modus — Im Prinzip ein „shared iPad“, nur, dass sich die Anwender*innen mit einem „Gast-Account“ an dem Gerät anmelden können. Bei der Abmeldung werden die Daten, die seit der Anmeldung mit dem Gast-Konto erstellt wurden, gelöscht.

Für die verschiedenen Einsatz-Szenarien können unterschiedliche Konfigurationen erstellt und an die Geräte ausgespielt werden. So erhalten LuL-Geräte, die dauerhaft bei den Pädagog:innen verbleiben, eine andere Konfiguration als Geräte, die im Unterricht von verschiedenen Schüler:innen genutzt werden.


1:1-Szenario — persönlich zugeordnete Geräte


In einem 1:1-Szenario, erhält jede:r Nutzer:in dauerhaft dasselbe Endgerät. Dabei ist zu überlegen, ob die Geräte mit Klarnamen (max.muster) oder Pseudonymen (mickey.mouse) eingerichtet werden sollen.

Beim 1:1-Szenario hat jede:r Benutzer:in Zugriff auf die eigenen Dateien, die lokal auf dem Gerät gespeichert werden. Zur Ablage von Daten kann auch in externen Speichern, wie dem Schulserver, erfolgen.

Gerade bei der Implementierung von Tablets an der Schule kann es sinnvoll sein zunächst Lehrkräfte mit (1:1-)Endgeräten auszustatten:

  • Das Kollegium erhält so die Möglichkeit sich mit der Technologie vertraut zu machen, zu experimentieren und Konzepte für die eigene Arbeit mit Tablets zu entwickeln.
  • Wenn die Geräte kein „Fremdkörper“ für Lehrkräfte sind, werden Sie vermutlich häufiger und vor allem „souverän“ genutzt.

Folgende Fragestellungen sollten bedacht und in Nutzungsordnungen abgebildet werden:

  • Bei 1:1-Szenarien ist zu klären, ob und wie die Geräte auch privat genutzt werden können. Dies ist sowohl vertraglich als auch in der Konfiguration der Geräte abzubilden.

  • Bei der privaten Nutzung ist zu klären, ob/wie externe Ressourcen, wie Social-Media-, E-Mail- oder Cloud-Anwendungen genutzt werden dürfen.

  • Lehrkräfte müssen dafür sensibilisiert werden, dass sie keine personenbezogenen Daten von Schüler:innen (Fotos, Videos, Werke der Schüler, Leistungsbewertungen,…) außerhalb der von der Schule dafür vorgesehenen Speicherorte verarbeiten dürfen. Insbesondere die externe Speicherung dieser Daten (z.B. in der iCloud) muss unterlassen werden.

  • Im Fall von elternfinanzierten Geräten wird empfohlen vertraglich festzuhalten, dass die Schule die Verwaltung der Geräte übernimmt und damit auch die Definitionsmacht über die Konfiguration und App-Ausstattung der Geräte erhält. Wenn Eltern dieser Vorgabe widersprechen kann dies zur Konsequenz haben, dass das betroffene Endgerät nicht mehr im Unterricht genutzt werden darf.


1.2 1:N-Szenario — mehrere Nutzer:innen teilen sich Geräte


In 1:N-Szenarien nutzen mehrere Anwender:innen ein Gerät. Dies kann zum Beispiel über Geräte in einem Koffer geschehen, der im Laufe eines Tages in verschiedenen Klassen zum Einsatz kommt. Ein anderes Beispiel hierfür sind iPads, die im Klassenzimmer eine Grundschule lagern und für die Internetrecherche oder für die Nutzung durch einzelne Schüler, die zur Belohnung Aufgaben in „Anton“ erledigen, während der Rest der Klasse die „normalen“ Aufgaben erledigt.

Beim 1:N-Einsatz empfiehlt es sich, technische Benutzer an die Geräte zuzuweisen. Die Geräte werden also nicht personalisiert, sondern erhalten ein Benutzerprofil im MDM, das dem Gerät zugewiesen wird. So werden die Gerätenamen „Tablet-01 bis Tablet-N“ auch als Benutzernamen im MDM angelegt.

Generell ist es auch möglich nicht personalisierte Geräte für Lehrkräfte anzulegen. Hierdurch kann je Koffer ein Lehrer-Gerät definiert werden, das über die Classroom-App verfügt, die so konfiguriert ist, dass der Koffer die dem Gerät zugewiesene Klasse ist. Auch „Pool-Geräte“ im Lehrerzimmer sind denkbar.

Bei 1:N-Szenarien entstehen daher besondere Herausforderungen:

  • Bei 1:N-Szenarien müssen die Geräte zurückgesetzt werden, um zu verhindern, dass persönliche Daten von anderen Nutzern eingesehen werden. Dies gilt für Fotos/Videos, die von Schülern erstellt wurden, für aufgerufene Internetseiten (Browser-Historie) sowie für Anmeldungen bei Cloud-Services (Mail-Konto, Office-365-Account,…). Damit Schüler auf diese Daten von vorherigen Benutzern nicht zugreifen können, müssen die Daten über ein Zurücksetzen gelöscht werden.

  • Es findet in der Regel keine Protokollierung des Nutzerzugriffs statt. Daher wird empfohlen, dass über händisch gepflegte Benutzerlisten protokolliert wird, welche Geräte wann an Schüler ausgegeben werden. In Verbindung mit einem Proxy-Server, über den Internetverbindungen protokolliert werden, kann dadurch ggf. herausgefunden werden, welche Nutzer mit einem Gerät groben Unfug getrieben haben.

  • Beim Zurücksetzen werden alle Daten von den Geräten gelöscht. Daher muss überlegt werden, wie Daten für eine spätere Bearbeitung gespeichert werden können (Export auf Netzlaufwerke oder in eine Private Cloud). Es ist nicht möglich alle Daten zu speichern. Projektdateien (zum Beispiel aus Videobearbeitungsprogrammen) können häufig nicht exportiert werden. In solchen Fällen dürfen die Geräte nicht zurückgesetzt werden, bis ein Video-Projekt abgeschlossen ist!


Das iPad im Gast-Modus – 1:N-Szenario inklusive Datenlöschung


Seit dem Release von iPads OS 13.4 gibt es die Möglichkeit iPads mit „temporären Sitzungen“ zu nutzen (vgl. https://support.apple.com/de-de/guide/mdm/mdm6c592d817/web ). Hierfür muss ein Gerät als „shared iPad“ eingerichtet werden. Im Gegensatz zum regulären Nutzungskonzept von shared iPads sind hierbei aber keine verwalteten Apple-IDs notwendig. Die Anmeldung erfolgt in diesem Fall als „Gast“.

Nachdem sich ein „Gast“ auf dem Gerät angemeldet hat, kann er das iPad nutzen, Dateien, Fotos und Videos erstellen, im Internet surfen oder sich an externen Ressourcen anmelden (schulischer Cloud-Speicher, Mailserver, Office 365-Apps,..), um dort bspw. auf Daten zuzugreifen oder Daten von dem iPad zu speichern. Wenn der „Gast“ die Arbeit mit dem Gerät beendet hat, meldet er sich wieder ab und die Daten werden gelöscht. Unbedingt beachtet werden muss, dass die Abmeldung nicht automatisch geschieht!

Über diesen Mechanismus kann der Betreuungsaufwand bei 1:N-Geräten erheblich verringert werden, da die Geräte nicht mehr zurückgesetzt werden müssen, bevor Sie an andere Benutzer übergeben werden. Eine einfache Abmeldung genügt.

Folgendes muss beim Betrieb von „temporären Sitzungen“ beachtet werden:

  • Da die Daten bei der Abmeldung unwiderrufbar von den Geräten gelöscht werden, müssen sie gesichert werden, um nicht verloren zu gehen. Besonders bei mehrwöchigen Projekten (z.B. Videoschnitt) ist dies eine Herausforderung.

  • Updates des Betriebssystems funktionieren nur, wenn kein Benutzer an dem Gerät angemeldet ist.

  • Apple Classroom oder vergleichbare Apps funktionieren nicht für Nutzer die mit einem Gast-Account angemeldet sind. Es kann in diesem Fall kein Unterricht mit den Apps durchgeführt werden.


Shared iPads


Um die gleichzeitige Nutzung von Geräten durch mehrere Anwender abzubilden, hat Apple das Konzept der geteilten iPads entwickelt (vgl. https://support.apple.com/de-de/guide/mdm/cad7e2e0cf56/web ). Für jeden Anwender der Schule wird im School-Manager (vgl. Kapitel 6) eine verwaltete Apple-ID, also ein von der Schule verwaltetes Benutzerkonto erstellt.

Mit diesem Konto meldet sich der Anwender auf einem iPad an und dadurch dann auf seine persönlichen Daten zugreifen. Die Daten werden auf dem iPad gespeichert und in die iCloud synchronisiert. Bei Bedarf werden Daten aus der Cloud auf das iPad heruntergeladen – zum Beispiel, wenn ein Benutzer noch nicht auf dem Gerät angemeldet war. Auf Daten von anderen Anwendern, die mit dem gleichen Gerät gearbeitet haben, kann nicht zugegriffen werden.

Geteilte iPads setzen zwingend voraus, dass ein MDM-System zur Gerätekonfiguration betrieben wird. Hierüber wird festgelegt, wie viele Benutzerprofile auf einem Gerät vorgehalten werden. Wird die Anzahl der definierten Benutzerprofile überschritten, wird das Benutzerprofil, das am längsten nicht angemeldet war, von dem Gerät gelöscht, um Speicherplatz frei zugeben.

Der Einsatz von Shared iPads ist aus Datenschutzgründen unbedingt zu prüfen, da personenbezogene Daten in die Cloud übertragen und auf den Servern von Apple gespeichert werden. Als amerikanischer Konzern ist Apple dazu verpflichtet Daten an Ermittlungsbehörden heraus zu geben (Stichwort „Cloud Act“, s.a. https://de.wikipedia.org/wiki/CLOUD_Act)

Es reicht vermutlich nicht, die Benutzer zu anonymisieren, da nicht sichergestellt werden kann, welche Daten in die Cloud geladen werden. Fotos von Schülern zum Beispiel dürfen nicht ohne vorherige Zustimmung (durch die Betroffenen und deren Erziehungsberechtigten) in die Cloud übertragen werden. Die Ablage personenbezogener Daten in der Cloud ist ebenfalls strengstens zu regulieren – im Idealfall völlig zu unterbinden. Insbesondere Leistungsbewertungen, die z.B. auf Lehrer-Tablets erhoben werden, dürfen nicht in die Cloud übertragen werden!

Wenn die Nutzung von shared iPads möglich wäre, würde einiges beim Einsatz von iPads an der Schule vereinfacht werden.




Lizenz

Unsere Materialien sind unter der Creative-Commons-Lizenz „CC-BY-SA 4.0“ lizensiert. Du kannst sie konstenlos verwenden, teilen und bearbeiten.

Bedingungen sind, dass die Autoren genannt werden und du die Materialien unter den gleichen Bedingungen weitergibst (Lizenz einfach erklärt).

wiki/mdm/organisation.txt · Zuletzt geändert: 2021/03/28 11:23 von walter