Umgang mit nativen Apps auf verwalteten elternfinanzierten Geräten?

Hallo,

wie wäre der richtige Umgang mit den mitgelieferten Apps wie Keynote, Pages, Dateien etc.? Bei den verwalteten schuleigenen Ausleihgeräten bekommen die bei uns vom MDM eine VPP-Lizenz und werden per Richtlinie auf die Geräte gepusht. Damit sind diese Apps dann auch „verwaltet“. Analog machen wir das auch auf den schülereigenen Geräten, ich frage mich nur gerade, ob das so ratsam ist. Angenommen, es wird irgendeine nichtkonforme Richtlinie gepusht, zerschießen wir dem Schüler seine Konfiguration und er kann z.B. nicht mehr auf seine Dateien zugreifen.
Nächste Frage, wie kann ich denn die Rolle rückwärts machen und die verwalteten Apps wieder „nicht verwaltet“ machen? Als MDM kommt Relution zum Einsatz, und die benötigten Apps werden über die Richtlinie App-Konformität /notwendige Apps verteilt.

1 „Gefällt mir“

Hi Margor,

Deine Anfrage ist – kurz vor Weihnachten gestellt – irgendwie durch das Raster gefallen. Ich habe sie gerade wieder gefunden und möchte - wenn auch spät - versuchen zu antworten.

ad 1.

Das Pushen der Apple-Apps auf die Geräte ist zwingend notwendig, da über ein MDM verwaltete Geräte nach dem Zurücksetzen keine Apps mehr haben. Auch bei einem nicht verwalteten Gerät fehlen Keynote, Numbers und Pages nach dem Factory-Reset und müssen neu installiert werden. Ich wüsste jetzt spontan keine Richtlinie, die die Apps und die Daten unbrauchbar machen. AFAIK sorgt eine App-Blacklist nur dafür, dass die Apps ausgeblendet werden – nicht gelöscht.

Probleme könnten in der Tat auftreten, wenn Ihr die Lizenz zurück zieht, z.B. wenn ein:e Schüler:in ein privat finanziertes über Euer MDM verwaltetes Gerät weiterhin nutzt, nachdem es aus dem MDM gelöscht wurde und dabei die Lizenzen von dem Gerät gelöscht wurden.

Hier solltet Ihr Euch überlegen, wie die Daten gesichert werden können (z.B. Ablage aller wichtigen Dokumente in einem externen Speicher (z.B. der Nextcloud der schulischen paedML). Das hilft auch gegen defekte iPads :wink: .

ad 2.

Da die Apps über Lizenzen der Schule aktiviert sind, ist dies m.W. nicht möglich. Hier hilft vermutlich nur die Apps zu deinstallieren und durch die Nutzer:innen erneut installieren zu lassen. Die von Dir genannten Apps sind aber ohnehin kostenlos, daher würde ich diesen Stunt nicht unbedingt machen.

Gruß
Roland

1 „Gefällt mir“

Was schlagt ihr eigentlich generell vor, wenn elternfinanzierte Geräte in ein schulisches MDM (betreut) aufgenommen werden?

Die Dokumente die im schulischen Einsatz entstehen (sei’s Pages, oder Word usw) werden ja in der Regel auf eine schulische NextCloud o.ä. gespeichert. Aber ein Back-up der restlichen Dateien ist ja eigentlich nicht möglich, oder hat sich da mittlerweile was geändert?
Okay das Back-up natürlich möglich, aber wenn die Schüler die Schule verlassen und das Back-up zurückspielen, soll es ja zu Problemen kommen (es werden Zertifikate oder Reste davon wieder installiert die dann zu Problemen führen).
hat hierzu jemand aktuelle Erfahrungen?

Bei uns gab es in der Vergangenheit Probleme, es gab aber auch Schüler die mir berichtet haben, dass sie keine Probleme hat ihre Back-up zurück zu spielen. Kann es sein dass es ein Unterschied zwischen iCloud Backupss und Back-ups am PC gibt? (Eigentlich haben wir uns und Schüler im iPhone Back-ups am PC zu machen, damit ihr aus datenschutzrechtlichen sich nichts in der iCloud landet)

Hallo Roland,

Danke, dass du das Thema aus der Versenkung geholt hast. Es ging wohl damals darum, dass das Pushen der Apps über eine Whitelist vom MDM „Relution“ so interpretiert wurde, dass keine weiteren Apps zugelassen sind. Die SuS konnten also keine privaten Apps aus dem Apple AppStore laden.
Inzwischen haben wir dazu gelernt, dass das MDM einen eigenen rollenbasierten AppStore hat, aus dem die Benutzer selbst die nach ihrer Rolle verfügbaren Apps installieren. Das Pushen entfällt somit. Das Synchronisieren der Benutzernamen und Benutzerrollen erfolgt über eine LDAP-Anbindung an die Schulplattform (bei uns in Niedersachsen IServ).
Das Speichern in der Cloud dieser Schulplattform ist natürlich Standard.

Liebe Grüße.

Margor

1 „Gefällt mir“

Hallo Mirko,

wenn ein komplettes Backup von einem iPad erstellt wird, dann ist dort wohl (Stand vor anderhalb Jahren) immer das MDM-Profil enthalten. Beim Zurückspielen auf ein nicht verwaltetes Gerät knallt es dann.

Meine Empfehlung ist daher die Daten immer unabhängig vom Gerät zu speichern und das Gerät nach der Nutzung im schulischen Kontext komplett neu zu installieren – ohne Übernahme von Backups oder Einstellungen,…

Zu den elternfinanzierten Geräten gibt es aktuell keine offiziellen Empfehlungen. Hierzu tauschen wir uns regelmäßig mit Lehrkräften aus, die im Beratungssystem des Medienzentren-Verbundes aktiv sind. Eine „good-practice“ ist es sicherlich als Schule/Schulträger die Hoheit über die Geräte einzufordern. Ich hatte in meiner Zeit am KMZ einen erbosten Vater, der das Gerät seiner Tocher, das er ja schließlich finanziert habe, frei geschaltet haben wollte. Da die Schule keine Nutzungsverträge mit den Eltern/Schüler:innen hatte, hätte es vermutlich auch keine Möglichkeit gegeben dem zu widersprechen. Ich habe den Vater an die Schulleitung verwiesen.

Die Lehre aus dieser Lektion ist, dass mit den Anwender:innen ein Vertrag geschlossen werden sollte, in dem klar definiert ist, dass das Gerät eben NICHT in privater Hoheit ist sondern die Schule/der Schulträger über die Beschaffenheit des Gerätes bestimmt (Apps, Konfiguration,…). Sobald das Gerät dann die Schule (für immer) verlässt, wird es aus dem MDM ausgebucht und (meine Empfehlung) zurück gesetzt.

Da die Elternfinanzierung i.d.R. ca. auf drei Jahre angelegt ist, die Tablets aber länger genutzt werden, wendet ein Kollege an seiner Schule den Kniff an, dass bei die Finanzierung des Tablets der lezte Euro erst dann gezahlt wird, wenn das Gerät die Schule verlässt. So kann die Verwaltung der iPads weiter laufen, bis das Gerät „ausgelöst“ ist.

Die Diskussion ist und bleibt spannend und ich freue mich auf weitere Anregungen.

Gruß
Roland

Ja, ich seh es auch so wie du. Wir geben unseren Oberstufen Schüler ipads im bonussystem (50%). Daher akzeotieren unsere SuS, wenn die Geräte nach 3 Jahren gelöscht werden. Wir gestatten es die iCloud zu nutzen (Oberstufe), damit zumindest die Fotos einfach gesichert werden können.
Wobei es mir liebe wäre, wenn es eine einfache Lösung (wie z.B. Synology Moments) gäbe. Aber das können wir als Schule nicht auch noch leisten, und die meisten Eltern werden das auch nicht schaffen…
Bin gespannt, ob es noch andere Ideen gibt.
Insgesamt sehe ich es auch so, dass eine vernünftige 1:1 Umsetzung nur mit betreuten iPads funktioniert (nicht nur, aber besonders wegen der Classroom App).
(Bin gespannt wann Anubi um die Ecke kommt und mir widerspricht :wink: )