MDM / JAMF

Schulen, die iPads einführen wollen, stellen sich die Frage, wie die Geräte im Unterricht eingesetzt werden sollen. Um einen reibungslosen Schulbetrieb zu gewährleisten, ist ein Gerätemanagementsystem (auch Mobile Device Management – MDM) unerlässlich. Nur so sind eine schulgerechte Nutzung, eine zeitsparende Verwaltung und vor allem ein guter Überblick über verschiedene Schulen und deren iPads gewährleistet.

Die MDM-Lösung Jamf School von Apple ist derzeit in unseren Schulen im Einsatz. Sie wird zusammen mit dem Apple School Manger verwendet. Die Anwendung ist webbasiert und mit jedem modernen Browser leicht zugänglich. Jamf School ist für Grundschulen und weiterführende Schulen in Wolfsburg eingerichtet und wird von unserem Dienstleister EduXpert verwaltet.

Um sämtliche Fragen rund um iPads im MDM bearbeiten zu können, benötigen wir die Seriennummer oder den Namen des iPads. Bei Fragen können sich die Schulen an Helpdesk-schulen@stadt.wolfsburg.de wenden. Unser Dienstleister ist auch unter wob@eduxpert.de erreichbar.

iPads mit mindestens iOS-Version 11 können in Jamf MDM integriert werden, aber für einige Apps gelten höhere Anforderungen, z.B. iOS 14.5 für die Classroom-App. Für Lehrer-iPads gibt es keine Einschränkungen, sie können ihre private Apple-ID frei nutzen, auch der App Store ist erlaubt.

Für von Schülern ausgeliehene iPads gelten die meisten Einschränkungen, die Anmeldung mit einer Apple-ID ist nicht möglich, es kann keine andere Sprache oder Zeitzone ausgewählt werden, der iPad-Name kann nicht geändert werden. Andere Kategorien wie Apple Store, Siri, Touch ID, Face Time, Find My Friends, Game Center, iTunes Store, Nachrichten, Gesundheit sind ebenfalls nicht zulässig. Die Nutzung der Kamera ist erlaubt, In-App-Käufe sind erlaubt, Bluetooth und Airdrop sind erlaubt.

Private Schüler-iPads sind nur während der Schulzeit eingeschränkt, der Grad der Einschränkung ist variabel. Die meisten Schulen haben beispielsweise Siri deaktiviert, alle privaten Apps während der Schulzeit ausgeblendet und die Nutzung sozialer Medien eingeschränkt. Um die Aufmerksamkeit der Schüler in einer Klasse zu gewährleisten, wird die App „Classroom“ verwendet, die es dem Lehrer ermöglicht, einen kurzen Blick auf die iPads zu werfen, das iPad der Schüler zu entsperren, ein Dokument per Airdrop zu teilen oder z.B. eine Website auf allen iPads zu öffnen. Auch der Prüfungsmodus kann über die Classroom-App aktiviert werden.

Schüler*innen iPads (BYOD – bring your own device) werden für den Schulgebrauch gekauft, um das Maximum aus den Geräten im schulischen Kontext heraus zu holen, werden diese in einer Mobile Device Management (MDM)-Lösung registriert. Nach erfolgreicher Einbindung können die Geräte remote verwaltet werden.

Möglichkeiten zur Registrierung eines iPads: • Zero Touch Deployment (Zero Touch Bereitstellung) • Manuelle Geräte Registrierung

Die Zero-Touch-Bereitstellung wird auch als kabellose Registrierung bezeichnet, bei der das iPad vor dem ersten Einschalten in einer MDM-Lösung konfiguriert wird. Dazu müssen die iPads bei einem Apple-Händler gekauft werden. In unserem Fall ist es EduXpert. Bestellung eines iPad bei eduXpert:

Als erstes wenden sich Schulen an unseren Dienstleister eduXpert telefonisch unter 09417853265 oder per E-Mail an info@eduxpert.de. Sie klären alle wichtigen Informationen (Kosten, Lieferzeiten, Lizenzen, Profile, Abläufe etc.) direkt mit der Schule. Die Schule erhält den aktuellen Bestellkatalog, über den die Eltern direkt bestellen können. Die Schule klärt die Eltern bei einem Elternabend oder in einem Elternbrief über den Bestellvorgang und eventuell anfallende Zusatzkosten auf. Andernfalls, wenn die iPads von einem anderen DEP-Verkäufer als eduXpert gekauft werden, muss dieser das iPad im DEP der Stadt Wolfsburg registrieren. Unsere Organisations-ID(DEP) lautet 22419020. Die Gerätelizenz muss jedoch ausschließlich bei unserem Dienstleister eduXpert erworben werden.

Die manuelle Geräteregistrierung gilt für iPads, die nicht bei einem Apple-Händler gekauft wurden. Die iPads müssen zur Registrierung an den MDM-Administrator gesendet werden. Wenn die iPads in einem lokalen Geschäft oder online gekauft werden, müssen diese manuell mit dem Apple-Konfigurator registriert werden, indem ein iPad mit einem Mac-Gerät verbunden wird.

• Bei Pilotschulen ( HNG, LDV IGS, HvFRS ) erfolgt die manuelle Registrierung durch die Schulen selbst. • Für andere Schulen wenden sich die Eltern per E-Mail an service@eduxpert.de, sie klären das weitere Vorgehen direkt mit den Eltern. Die Kosten für die Registrierung eines iPads betragen 39 € + zusätzliche Kosten für die Jamf School Lizenz für das iPad.

• Link

F: Was ist Zero-Touch-Bereitstellung?

Die Zero-Touch-Bereitstellung (Zero Touch Deployment) ist eine Möglichkeit für Unternehmen, ihre Apple Geräte einzurichten, zu sichern und zu warten, ohne das Gerät jemals berühren zu müssen. Das Verwaltungsprofil kann nur von einem IT-Administrator gelöscht werden.

F: Was ist der Apple Configurator 2?

Apple Configurator ist ein Tool zur Geräteregistrierung und -bereitstellung, mit dem IT-Administratoren Apple Geräte über eine USB-Verbindung konfigurieren, registrieren und bereitstellen können. Der Nachteil des Apple Konfigurator besteht darin, dass das Gerät bei der ersten Verbindung mit dem Dienst auf Werkseinstellungen zurückgesetzt werden muss. Ein weiterer Nachteil ist, dass das Verwaltungsprofil bis zu 21 Tage auf dem iPad gelöscht werden kann. Nach diesem Zeitraum ist es nicht möglich, es manuell vom iPad zu löschen.

F: Worauf kann ein MDM auf einem Gerät zugreifen?

Da Apple seine Datenschutzrichtlinien für Unternehmen, die Apple Geräte verwalten, nicht lockert, ist der Zugriff auf einzelne Geräte begrenzt. In erster Linie können MDMs überwachen: - Remote Installierte Apps ( verwaltete Apps) - OS-Versionen - Gerätebestand - Sicherheitswarnungen - Konfigurationseinstellungen in Bezug auf MDM - Fernsperrung und -löschung im Falle eines verlorenen oder gestohlenen Geräts - Standortverfolgung, aber nur im Verloren-Modus – keine kontinuierliche Überwachung des Standorts.

F: Worauf kann ein MDM auf einem Gerät nicht zugreifen?

MDMs haben keinen Zugriff auf die Kontrolle des iPads eines Benutzers, Die IT-Abteilung kann MDM nicht verwenden, um Ihre Dateien zu verschieben oder Nachrichten in Ihrem Namen zu versenden. Sie können nicht auf Texte, E-Mails, Fotos oder andere persönliche Nachrichten oder Daten innerhalb von Apps auf einem Gerät zugreifen.

F: Gibt es Einschränkungen für Schüler eigene (BYOD) iPads?

Schüler eigene(BYOD) iPads haben nur während der Schulzeit Einschränkungen, diese Einschränkungen werden von der Schule entschieden. Zum Beispiel sind die privat installierten Apps ausgegraut, Siri oder Facetime sind während der Schulzeit nicht erlaubt.