Administration mobiler Geräte in der Schule

Foto: carlesrdgm via Flickr

Foto: carlesrdgm via Flickr

Die Richtung der Entwicklung scheint klar zu sein: An Schulen haben klassische PC-Räume, Medienecken und Bibliothekscomputer noch längst nicht ausgedient und werden zumindest für die nächste Zeit auch weiterhin ihren berechtigten Platz haben. Je selbstverständlicher aber netzgestütztes Arbeiten in der Schule wird, umso dringlicher stellt sich die Frage nach dem Einzug mobiler Geräte (Notebooks, Netbooks, Tablets, Smartphones) in schulische Lernsituationen.
Die am häufigsten diskutierten Modelle sind:

  • Geräte in Schulbesitz, die je nach Unterrichtssituation von wechselnden Schülern genutzt werden (z.B. Notebookwagen, Klassensätze Tablets);
  • personengebundene, zentral verfügbar gemachte Geräte (entweder in Dauerleihe, oder zB über Leasingmodelle vom Schulträger bereitgestellt, oft in einheitlicher Ausstattung) – häufig als 1:1-Modell geführt;
  • in persönlichem Besitz befindliche Geräte (i.d.R. sehr uneinheitlich ausgestattet) – hier wird von “bring your own device” (BYOD) gesprochen.

Bei allen Modellen macht sich unter den rechtlichen, technischen und organisatorischen Bedingungen von Schule ein Mindestmaß Administration der Geräte, Anwendungen, Netzzugriffe notwendig. Bei der klassischen Situation (PC-Labor, Notebookwagen) ist das i.d.R. kaum ein Problem, hier greifen bewährte Lösungen (unsere Schulen nutzen seit langer Zeit PaedML).

Mobile Geräte (Tablets unter Android, iOS, Win8 und Smartphones) stellen die Administration vor erheblich größere Probleme. Diese resultieren im Grundsatz natürlich aus der Tatsache, dass die Geräte als persönliche (nicht institutionelle) Arbeitsgeräte konzipiert sind. Zentrale Administrationslösungen widersprechen dieser ursprünglichen Ausrichtung in gewisser Weise, sind aber z.T. auch in Firmennetzwerken schon Realität.

Dennoch gibt es sehr funktionale, durchaus auch schultaugliche Lösungen unter dem Oberbegriff  Mobile Device Management (MDM). Anhand einer spezifischen, aber wohl typischen Schulsituation sollen hier mögliche Lösungen vorgestellt werden.

Die Ausgangslage: Die Schule erwägt mittel- bis längerfristig eine Umstellung auf 1:1 / BYOD mit Tablets. Dazu sind zunächst nicht unerhebliche Investitionen in die Infrastruktur der Schule nötig (Wi-Fi mit Roaming, Einbindung bisheriger Netzressourcen wie Homelaufwerke etc in die neue Struktur; rechtssicherer Betrieb). Das Medienzentrum Jena hat dazu bereits  Lösungen an einzelnen Schulen installiert (Basis: Radius-Server / DD-WRT), weitere Schulen werden folgen. Ist die Infrastruktur geschaffen, muss die Gerätefrage geklärt werden. Echte 1:1-Lösungen sind nicht von heute auf morgen umsetzbar. Eine kleinskaliger Einstieg ist nicht nur realistischer, sondern bietet auch die Möglichkeit, durch unterrichtspraktische Beispiele und Erfahrungen Vorbehalte abzubauen.

Wir planen deshalb die Anschaffung eines Satzes Tablets, die analog zum Notebookwagen eingesetzt werden, also je nach Unterrichtssituation von unterschiedlichen Schülern genutzt werden. Die damit einhergehenden Begrenzungen sind uns bewusst und sollen hier nicht diskutiert werden.
Aus unterschiedlichen Gründen soll die Wahl auf Android-Geräte fallen, dabei spielt die im Vergleich zu iOS größere Offenheit des Systems durchaus eine Rolle. Die Administrationslösung soll aber weitgehend plattformunabhängig sein, um den nahtlosen Übergang in ein späteres BYOD-Modell zu ermöglichen.
Die ab Android 4.2 mögliche Mehrnutzerfähigkeit ist nicht wirklich die Lösung des Problems, sobald die Geräte von stetig wechselnden Schüler benutzt werden, und kann auch deshalb eine echte Administrationslösung nicht ersetzen.

Kommerziell verfügbare MDM-Lösungen (beispielsweise SureMDM, AirWatch, Mobileiron) sind z.T. sehr mächtig, sind aber finanziell außerhalb schulischer Möglichkeiten. Freie (kostenlose) Lösungen sind recht rar, im Grunde bleibt die Wahl zwischen den MDM-Funktionen von Google Apps  for Education (GAFE) und Meraki, beide bieten eine Administration aus der Cloud.

Beide Lösungen weisen nötige Basisfunktionen auf, allerdings kann keine von ihnen alle Bedürfnisse befriedigen.

Für Institutionen, die ohnehin GAFE benutzen, bietet es sich natürlich an, die Administrationsmöglichkeiten für mobile Geräte innerhalb Google Apps zu nutzen. Die sind durchaus praktikabel, zumal in der Anbindung der GoogleAppp-Dienste wie Gmail, Calendar, GoogleDocs usw. Schmerzhaft vermisst wird allerdings eine Möglichkeit zur Fernverteilung von Software. GAFE kann installierte Apps überwachen (nur auf Android), aber keine Installation anstoßen oder erzwingen.

Meraki (jetzt zu CISCO gehörig) wartet mit sehr umfangreichen Funktionen auf, operiert plattformübergreifend und bietet zusätzlichen Mehrwert, wenn mit der von Meraki / CISCO vertriebenen Hardware (Switches, Firewalls, APs etc.) gearbeitet wird.

Zur Übersicht hier ein kurzer, nicht vollständiger Feature-Vergleich von GAFE und Meraki:

Feature GAFE Meraki
Betriebsysteme verwalteter Devices Android, BlackBerry, iPhone, WinMobile, Devices mit GoogleSync Win, OSX, iOS, Android
Voraussetzung auf Device Google Apps Device Policy Meraki Client
Info zu Devices Geräte-ID, Name und Mail Nutzer, Modell, OS, Typ, letzte Synchronisierung Ort, Verbindungsstatus, SSID des Netzes, letzte Synchronisierung, Speicherauslastung, Ladezustand, OS-Version, Sicherheitsstatus, installierte Apps, Logs
Profilierung Devices Richtlinien, Passwortvorgaben, Verschlüsselung Inhalt u.a. Apps, Sicherheitseinstellungen, Verschlüsselung Inhalt, Passwortvorgaben, Wifi-Settings.
Softwareverteilung Keine, nur Anwendungsprüfung unter Android Android Apps, iOS Apps, MSI, PKG
Strukturierung Organisation, Organisation, Einzelne „Networks“, Devices können getaggt werden,
Alerts Anwendungsprüfung, remote Löschung, Geräteaktivierung Softwareinstallationen, lange Offline-Zeiten, Entfernung Client vom Device
Nutzerverwaltung Eigenständig, Rollensystem,
Sicherheit Löschen Gerät nach x erfolglosen Logins, akustische Warnung, Löschung Gerät auch durch Nutzer möglich, Passwortwechsel, remote erase, account lockout, IP-range, two-factor authentification,

Wir haben uns für ausführliche Tests von Meraki entschieden (auch im Zusammenspiel mit der entsprechenden Hardware). Für ein endgültiges Urteil ist es noch viel zu früh, aber die ersten Versuche sind außerordentlich vielversprechend.

meraki_logoDas Einbinden von Geräten unter Android, iOS, Windows funktioniert tadellos, die Überwachung der Geräte (Ladezustand, Logins, Speicherauslastung, Apps) ebenso. Auf alle Geräte konnte Software verteilt werden, allein diese Funktion stellt für unsere Admins eine erhebliche Erleichterung dar. Sehr praktikabel für eine zentrale (in unserem Falle sogar schulübergreifende) Administration ist die Möglichkeit, Organisationen und Netzwerke fein granuliert zu organisieren und so sehr zielgruppenspezifisch zu arbeiten. Besonders für iOS-Geräte lassen sich viele Rechte und Funktionen sehr differenziert definieren, dafür gibt es für Android eine backpack genannte Funktion zum Ausliefern von Dateien. Für Administratoren sehr interessant: Aus Meraki heraus gibt es Remote-Desktop-Zugriff auf Windowsrechner, auch ein Zugriff per Kommandozeile ist möglich.

Im Grunde könnte Meraki im oben beschriebenen Szenario eine fast endgültige Lösung sein. Leider fehlt für unser ursprüngliches Problem (nämlich den Leihbetrieb eine begrenzten Anzahl von Tablets) eine wichtige Funktion: Es wäre wünschenswert, dass die Geräte am Ende einer Unterrichtseinheit auf Knopfdruck in einen definierten Zustand zurückversetzt werden und keine Nutzerdaten mehr halten. Das Zurücksetzen sollte kein totales (also auf Werkseinstellungen) sein, sondern die Grundinstallation vordefinierter Apps unberührt lassen, lediglich Nutzerdaten löschen. Dafür habe ich noch keinen Weg gefunden, das sog. “remote erase” scheint ein totales Rücksetzen zu sein. Eine Wiederherstellung eines definierten Zustands ist zwar über das entsprechende Profil möglich, aber im Alltagsbetrieb wahrscheinlich zu aufwändig.

Aber möglicherweise ergibt sich hier noch eine interessante Lösung…  Der erste Eindruck unseres Admin vom Kontakt mit Vertrieb und Service von Meraki war sehr positiv, offensichtlich wird das Produkt auch intensiv weiterentwickelt. Bleibt zu hoffen, dass Meraki MDM auch in Zukunft kostenlos verfügbar ist.

Über weitere Erfahrungen bei Tests und evtl. Produktiveinsatz werde ich hier ganz sicher berichten.

Für die Zwischenzeit ein paar Informationsquellen für den geneigten Leser, die ich als sehr hilfreich empfinde:

Wer es traditioneller mag: “Computer + Unterricht” (Friedrich-Verlag) hat zwei zum Thema passende Hefte mit vielen Praxisberichten herausgebracht: Tablets in der Schule und 1:1-Ausstattung.

4 comments to Administration mobiler Geräte in der Schule

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.