Verwaltung der Geräte mit dem MDM: Unterschied zwischen den Versionen

Aus Marienschule Limburg
KKeine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
*'''Wie funktioniert ein MDM?''' <br>Die zentrale Verwaltung der Geräte findet auf einem Server statt. Die Arbeit mit dem MDM übernimmt der Administrator. Damit ein Gerät über das MDM verwaltet werden kann, muss es zuvor registriert werden. Nach der Registrierung kennt das MDM das Gerät und das Gerät wiederum räumt dem MDM bestimmte Rechte ein. Etwa das Recht Apps zu installieren oder das Recht zur Durchführung einer Aktualisierung. Auch das Recht, bei Verlust des iPads eine Sperre einzuschalten, damit niemand an die lokalen Daten herankommt, gehört dazu. Das MDM und das digitale Endgerät kommunizieren dabei über eine gesicherte Verbindung über das Internet. Die gesamte Kommunikation ist verschlüsselt und damit sicher.
*'''Wie funktioniert ein MDM?''' <br>Die zentrale Verwaltung der Geräte findet auf einem Server statt. Die Arbeit mit dem MDM übernimmt der Administrator. Damit ein Gerät über das MDM verwaltet werden kann, muss es zuvor registriert werden. Nach der Registrierung kennt das MDM das Gerät und das Gerät wiederum räumt dem MDM bestimmte Rechte ein. Etwa das Recht Apps zu installieren oder das Recht zur Durchführung einer Aktualisierung. Auch das Recht, bei Verlust des iPads eine Sperre einzuschalten, damit niemand an die lokalen Daten herankommt, gehört dazu. Das MDM und das digitale Endgerät kommunizieren dabei über eine gesicherte Verbindung über das Internet. Die gesamte Kommunikation ist verschlüsselt und damit sicher.
*'''Welche Daten kennt das MDM vom digitalen Endgerät?''' <br>Ein MDM ist ein reines Verwaltungsinstrument. Es hat also nur die Daten, die für die Verwaltung notwendig sind. Zum Beispiel die Information, welche Apps sich in welcher Version auf dem Gerät befinden. Welche Betriebssystemversion das Gerät hat. Auch weiß es bei eingeschaltetem Ortungsdienst, wo sich ungefähr das Gerät befindet. Es kennt den Benutzer, es kann bei bestehender Verbindung zum Internet erkennen, dass das Gerät eingeschaltet ist und kennt die Hardware.
*'''Welche Daten kennt das MDM vom digitalen Endgerät?''' <br>Ein MDM ist ein reines Verwaltungsinstrument. Es hat also nur die Daten, die für die Verwaltung notwendig sind. Zum Beispiel die Information, welche Apps sich in welcher Version auf dem Gerät befinden. Welche Betriebssystemversion das Gerät hat. Auch weiß es bei eingeschaltetem Ortungsdienst, wo sich ungefähr das Gerät befindet. Es kennt den Benutzer, es kann bei bestehender Verbindung zum Internet erkennen, dass das Gerät eingeschaltet ist und kennt die Hardware.
*'''Welche Daten kennt das MDM vom digitalen Endgerät nicht?''' <br>Dem MDM und damit dem Administrator sind keine Inhalte, die durch den Anwender erzeugt wurden, bekannt. Das MDM kann also nicht in die Datein schauen, die angelegt wurde. Es kann auch keine Fotos oder ähnliches sehen. Die Daten gehören allein dem Benutzer und spielen für das MDM keine Rolle. Über das MDM kann aber ein Administrator Geräte sperren (im Fall eines Verlustes oder eines Diebstahls) oder auch das Gerät vollständig löschen (Im Fall einer Rückgabe). In diesen Fällen sind die durch den Anwender erzeugten Daten nicht mehr zugänglich bzw. werden vollständig gelöscht. Aber auch in diesen Fällen gilt, dass der Administrator keine Einsicht nehmen kann   
*'''Welche Daten kennt das MDM vom digitalen Endgerät nicht?''' <br>Dem MDM und damit dem Administrator sind keine Inhalte, die durch den Anwender erzeugt wurden, bekannt. Das MDM kann also nicht in die Datein schauen, die angelegt wurde. Es kann auch keine Fotos oder ähnliches sehen. Die Daten gehören allein dem Benutzer und spielen für das MDM keine Rolle. Über das MDM kann aber ein Administrator Geräte sperren (im Fall eines Verlustes oder eines Diebstahls) oder auch das Gerät vollständig löschen (Im Fall einer Rückgabe). In diesen Fällen sind die durch den Anwender erzeugten Daten nicht mehr zugänglich bzw. werden vollständig gelöscht. Aber auch in diesen Fällen gilt, dass der Administrator keine Einsicht nehmen kann.  
 
*'''Werden Jamf-TeachApp oder Jamf-StudentApp auf dem Gerät installiert?''' <br>Nein, im Schuljahr 2022-23 werden auf den Geräten der Jahrgänge 9 bis Q keine der beiden Apps installiert oder genutzt. Die Apps ermöglichen dem Lehrer oder der Lehrerin zum Beispiel während Unterrichtes nur bestimmte Apps zur Nutzung freizuschalten. So könnte etwa im Mathematikunterricht lediglich die App Geogebra freigeschaltet werden, während alle anderen Apps nicht genutzt werden können. Dies hilft, die Konzentration auf den Unterricht zu stärken und unnötige Ablenkungen zu vermeiden. Da wir uns aber zunächst in einer erweiterten Pilotphase befinden und alle zunächst Erfahrung sammeln müssen, werden wir im Schuljahr 2022-23 die Apps nicht einsetzen. 
 
*'''Was können Lehrkräfte auf dem privaten Gerät meines Kindes sehen?''' <br>Ohne die beiden zuvor genannten Apps hat der Leher oder die Lehrerin keinerlei Zugriff auf die Geräte der Schüler und Schülerinnen. Dies bedeutet, dass er keinerlei Inhalte der Geräte sehen kann. Da der Zugriff auf die Geräte im Regelfall mit einem Passwort geschützt ist, ist auch eine "zufällige" Einsichtnahme ausgeschlossen.   
*'''Was können externe Auftragsverarbeiter auf dem privaten Gerät meines Kindes sehen?''' <br>Externe Auftragsverarbeiter haben keinerlei Zugriff auf die Geräte. Die Geräte werden ausschließlich von unserer internen IT Kraft administriert. Dies bedeutet, dass kein externer Auftragsverarbeiter Einsicht in die Daten der Geräte hat. Sollte Ihr Kind die Daten in einer externen Cloud speichern, wie etwa der iCloud von Apple oder OneDrive von Microsoft, so gelten automatisch die damit akzeptierten Geschäftsbedingungen der Cloudanbieter. Auf diese haben wir von unserer Seite keinen Einfluss. Möchten Sie ausschließen, dass auf diesem Weg Daten in den Zugriff Dritter gelangen, empfehlen wir, die Daten lokal zu halten und in kurzen Intervallen (täglich) ein Backup auf eine eigene Speichermöglichkeit (USB Stick, Bluetooth Festplatte etc.) durchzuführen.   
*'''Was kann das schulische IT- Team auf dem privaten Gerät meines Kindes sehen?''' <br>Wie oben beschrieben, kann das IT Team nur im Rahmen des MDM Zugriff auf die Geräte nehmen. Dazu gehört explizit nicht der Zugriff auf die durch die Schüler und Schülerinnen abgelegten Dateien und Fotos. Ein Zugriff erfolgt lediglich im Rahmen der administrativen Tätigkeiten (Gerät zurücksetzen, Updates und Apps installieren oder löschen, Passworte zurücksetzen etc.). Sichtbar für die Administration sind aber auch die Zeiten, in denen das Tablet sich im internen Netz angemeldet hat. Die Protokollierung geschieht aus Sicherheitsgründen vollautomatisch innerhalb unseres Netzwerkes. Einsicht in diese Daten hat im Regelfall nur die IT-Administration. Um dies noch einmal zu betonen, ein Zugriff auf die privaten Dateien oder Fotos ist ohne Kenntnis des Besitzers oder der Besitzerin nicht möglich.   
 
* '''Wie funktioniert die Registrierung?''' <br>Die Registrierung kann auf unterschiedliche Arten stattfinden. Grundsätzlich können derzeit nur iOS Geräte in die Verwaltung aufgenommen werden. Wir haben bereits ein Projekt gestartet, welches uns zukünftig erlauben wird, alle Arten von Geräten in die Verwaltung aufzunehmen. Dies ist aber ein größerer Umbau uns kostet etwas Zeit. Wie also findet die Registrierung statt? Bei den Geräten, die über unseren Kooperationspartner erworben werden, geschieht dies vollständig im Hintergrund und verlangt keinerlei Aktion von Seiten der SchülerInnen oder der Eltern. Die Seriennummer des Gerätes wird zusammen mit unserer Schule an Apple gemeldet. Dort sind wir als Schule registriert und haben schon einige Hundert Geräte registriert. In dem Moment, wo ein Gerät einem/einer SchülerIn zugeordnet wird, schickt Apple die Registrierungsinformation an unser MDM. Das MDM stellt dann dem Administrator das Gerät zur Verwaltung zur Verfügung. Dieser ordnet dem Gerät ein spezielles Profil zu, in welchem alle Informationen zu Apps, WLAN Zugang etc. bereits vorhanden sind. Sobald ds Gerät das erste mal eingeschaltet wird, erhält es automatisch die Information, dass es verwaltet wird und erlaubt dem MDM die komplette Ersteinrichtung. Bei bereits vorhandenen Geräten, ist der Weg etwas abweichend. Hier wird das Gerät von unserem Administrator manuell in das MDM eingebunden. Die Verzahnung zwischen MDM und Gerät ist anschließend nicht ganz so eng, für die benötigten Aufgaben aber ausreichend.
* '''Wie funktioniert die Registrierung?''' <br>Die Registrierung kann auf unterschiedliche Arten stattfinden. Grundsätzlich können derzeit nur iOS Geräte in die Verwaltung aufgenommen werden. Wir haben bereits ein Projekt gestartet, welches uns zukünftig erlauben wird, alle Arten von Geräten in die Verwaltung aufzunehmen. Dies ist aber ein größerer Umbau uns kostet etwas Zeit. Wie also findet die Registrierung statt? Bei den Geräten, die über unseren Kooperationspartner erworben werden, geschieht dies vollständig im Hintergrund und verlangt keinerlei Aktion von Seiten der SchülerInnen oder der Eltern. Die Seriennummer des Gerätes wird zusammen mit unserer Schule an Apple gemeldet. Dort sind wir als Schule registriert und haben schon einige Hundert Geräte registriert. In dem Moment, wo ein Gerät einem/einer SchülerIn zugeordnet wird, schickt Apple die Registrierungsinformation an unser MDM. Das MDM stellt dann dem Administrator das Gerät zur Verwaltung zur Verfügung. Dieser ordnet dem Gerät ein spezielles Profil zu, in welchem alle Informationen zu Apps, WLAN Zugang etc. bereits vorhanden sind. Sobald ds Gerät das erste mal eingeschaltet wird, erhält es automatisch die Information, dass es verwaltet wird und erlaubt dem MDM die komplette Ersteinrichtung. Bei bereits vorhandenen Geräten, ist der Weg etwas abweichend. Hier wird das Gerät von unserem Administrator manuell in das MDM eingebunden. Die Verzahnung zwischen MDM und Gerät ist anschließend nicht ganz so eng, für die benötigten Aufgaben aber ausreichend.
* '''Wie wird ein Gerät wieder aus der Verwaltung durch das MDM entfernt?''' <br>Auch hier muss man wieder die unterschiedlichen Fälle betrachten. Bei den Geräten, die bei unserem Kooperationspartner erworben wurden, muss der Administrator das Gerät aus der Verwaltung herausnehmen. Bei eigenen Geräten, die manuell in die Verwaltung aufgenommen wurden, kann dies indivduell über die Einstellungen im Gerät erfolgen. Der Administrator ist hierfür nicht erforderlich. Mit dem Entfernen des Gerätes aus der Verwaltung erlöschen gleichzeitig auch die Lizenzen. Die durch die Schule aufgespielten Apps werden entsprechend entfernt.
* '''Wie wird ein Gerät wieder aus der Verwaltung durch das MDM entfernt?''' <br>Auch hier muss man wieder die unterschiedlichen Fälle betrachten. Bei den Geräten, die bei unserem Kooperationspartner erworben wurden, muss der Administrator das Gerät aus der Verwaltung herausnehmen. Bei eigenen Geräten, die manuell in die Verwaltung aufgenommen wurden, kann dies indivduell über die Einstellungen im Gerät erfolgen. Der Administrator ist hierfür nicht erforderlich. Mit dem Entfernen des Gerätes aus der Verwaltung erlöschen gleichzeitig auch die Lizenzen. Die durch die Schule aufgespielten Apps werden entsprechend entfernt.
* '''Kann die Bildschirmzeit auch unter der Kontrolle eines MDM eingestellt werden?''' <br>Ja, das kann sie. Die Einstellungen der Bildschirmzeit sowie weiterer Maßnahmen zum Jugendschutz können jederzeit individuell eingestellt werden. Die Verwaltung des MDM läßt diese Einstellungen unberüht, daher stehen sie jedem einzelnen im vollen Umfang zur Verfügung.
* '''Kann die Bildschirmzeit auch unter der Kontrolle eines MDM eingestellt werden?''' <br>Ja, das kann sie. Die Einstellungen der Bildschirmzeit sowie weiterer Maßnahmen zum Jugendschutz können jederzeit individuell eingestellt werden. Die Verwaltung des MDM läßt diese Einstellungen unberüht, daher stehen sie jedem einzelnen im vollen Umfang zur Verfügung.

Version vom 7. Juli 2022, 07:02 Uhr

Rund um die Einbindung in die Verwaltung - MDM

  • Was ist ein MDM?
    MDM steht für Mobile Device Management, eine Software, mit der digitale Endgeräte für bestimmte Aufgaben zentral verwaltet werden können. Hierzu gehört das Aufspielen von Software, das Durchführen von Updates etc. Die Idee hinter einem MDM ist recht einfach. Sind in einem Unternehmen, einem Institut oder eben einer Bildungseinrichtung eine Vielzahl von digitalen Endgeräten, dann ist es mit vertretbarem Aufwand kaum mehr möglich, alle Geräte auf dem neuesten Stand zu halten, mit Software zu versorgen oder auch nur einen Überblick zu behalten. Aus diesem Grund wurde eine zentrale Verwaltung geschaffen, die genau diese Aufgaben übernehmen kann.
  • Wie funktioniert ein MDM?
    Die zentrale Verwaltung der Geräte findet auf einem Server statt. Die Arbeit mit dem MDM übernimmt der Administrator. Damit ein Gerät über das MDM verwaltet werden kann, muss es zuvor registriert werden. Nach der Registrierung kennt das MDM das Gerät und das Gerät wiederum räumt dem MDM bestimmte Rechte ein. Etwa das Recht Apps zu installieren oder das Recht zur Durchführung einer Aktualisierung. Auch das Recht, bei Verlust des iPads eine Sperre einzuschalten, damit niemand an die lokalen Daten herankommt, gehört dazu. Das MDM und das digitale Endgerät kommunizieren dabei über eine gesicherte Verbindung über das Internet. Die gesamte Kommunikation ist verschlüsselt und damit sicher.
  • Welche Daten kennt das MDM vom digitalen Endgerät?
    Ein MDM ist ein reines Verwaltungsinstrument. Es hat also nur die Daten, die für die Verwaltung notwendig sind. Zum Beispiel die Information, welche Apps sich in welcher Version auf dem Gerät befinden. Welche Betriebssystemversion das Gerät hat. Auch weiß es bei eingeschaltetem Ortungsdienst, wo sich ungefähr das Gerät befindet. Es kennt den Benutzer, es kann bei bestehender Verbindung zum Internet erkennen, dass das Gerät eingeschaltet ist und kennt die Hardware.
  • Welche Daten kennt das MDM vom digitalen Endgerät nicht?
    Dem MDM und damit dem Administrator sind keine Inhalte, die durch den Anwender erzeugt wurden, bekannt. Das MDM kann also nicht in die Datein schauen, die angelegt wurde. Es kann auch keine Fotos oder ähnliches sehen. Die Daten gehören allein dem Benutzer und spielen für das MDM keine Rolle. Über das MDM kann aber ein Administrator Geräte sperren (im Fall eines Verlustes oder eines Diebstahls) oder auch das Gerät vollständig löschen (Im Fall einer Rückgabe). In diesen Fällen sind die durch den Anwender erzeugten Daten nicht mehr zugänglich bzw. werden vollständig gelöscht. Aber auch in diesen Fällen gilt, dass der Administrator keine Einsicht nehmen kann.
  • Werden Jamf-TeachApp oder Jamf-StudentApp auf dem Gerät installiert?
    Nein, im Schuljahr 2022-23 werden auf den Geräten der Jahrgänge 9 bis Q keine der beiden Apps installiert oder genutzt. Die Apps ermöglichen dem Lehrer oder der Lehrerin zum Beispiel während Unterrichtes nur bestimmte Apps zur Nutzung freizuschalten. So könnte etwa im Mathematikunterricht lediglich die App Geogebra freigeschaltet werden, während alle anderen Apps nicht genutzt werden können. Dies hilft, die Konzentration auf den Unterricht zu stärken und unnötige Ablenkungen zu vermeiden. Da wir uns aber zunächst in einer erweiterten Pilotphase befinden und alle zunächst Erfahrung sammeln müssen, werden wir im Schuljahr 2022-23 die Apps nicht einsetzen.
  • Was können Lehrkräfte auf dem privaten Gerät meines Kindes sehen?
    Ohne die beiden zuvor genannten Apps hat der Leher oder die Lehrerin keinerlei Zugriff auf die Geräte der Schüler und Schülerinnen. Dies bedeutet, dass er keinerlei Inhalte der Geräte sehen kann. Da der Zugriff auf die Geräte im Regelfall mit einem Passwort geschützt ist, ist auch eine "zufällige" Einsichtnahme ausgeschlossen.
  • Was können externe Auftragsverarbeiter auf dem privaten Gerät meines Kindes sehen?
    Externe Auftragsverarbeiter haben keinerlei Zugriff auf die Geräte. Die Geräte werden ausschließlich von unserer internen IT Kraft administriert. Dies bedeutet, dass kein externer Auftragsverarbeiter Einsicht in die Daten der Geräte hat. Sollte Ihr Kind die Daten in einer externen Cloud speichern, wie etwa der iCloud von Apple oder OneDrive von Microsoft, so gelten automatisch die damit akzeptierten Geschäftsbedingungen der Cloudanbieter. Auf diese haben wir von unserer Seite keinen Einfluss. Möchten Sie ausschließen, dass auf diesem Weg Daten in den Zugriff Dritter gelangen, empfehlen wir, die Daten lokal zu halten und in kurzen Intervallen (täglich) ein Backup auf eine eigene Speichermöglichkeit (USB Stick, Bluetooth Festplatte etc.) durchzuführen.
  • Was kann das schulische IT- Team auf dem privaten Gerät meines Kindes sehen?
    Wie oben beschrieben, kann das IT Team nur im Rahmen des MDM Zugriff auf die Geräte nehmen. Dazu gehört explizit nicht der Zugriff auf die durch die Schüler und Schülerinnen abgelegten Dateien und Fotos. Ein Zugriff erfolgt lediglich im Rahmen der administrativen Tätigkeiten (Gerät zurücksetzen, Updates und Apps installieren oder löschen, Passworte zurücksetzen etc.). Sichtbar für die Administration sind aber auch die Zeiten, in denen das Tablet sich im internen Netz angemeldet hat. Die Protokollierung geschieht aus Sicherheitsgründen vollautomatisch innerhalb unseres Netzwerkes. Einsicht in diese Daten hat im Regelfall nur die IT-Administration. Um dies noch einmal zu betonen, ein Zugriff auf die privaten Dateien oder Fotos ist ohne Kenntnis des Besitzers oder der Besitzerin nicht möglich.
  • Wie funktioniert die Registrierung?
    Die Registrierung kann auf unterschiedliche Arten stattfinden. Grundsätzlich können derzeit nur iOS Geräte in die Verwaltung aufgenommen werden. Wir haben bereits ein Projekt gestartet, welches uns zukünftig erlauben wird, alle Arten von Geräten in die Verwaltung aufzunehmen. Dies ist aber ein größerer Umbau uns kostet etwas Zeit. Wie also findet die Registrierung statt? Bei den Geräten, die über unseren Kooperationspartner erworben werden, geschieht dies vollständig im Hintergrund und verlangt keinerlei Aktion von Seiten der SchülerInnen oder der Eltern. Die Seriennummer des Gerätes wird zusammen mit unserer Schule an Apple gemeldet. Dort sind wir als Schule registriert und haben schon einige Hundert Geräte registriert. In dem Moment, wo ein Gerät einem/einer SchülerIn zugeordnet wird, schickt Apple die Registrierungsinformation an unser MDM. Das MDM stellt dann dem Administrator das Gerät zur Verwaltung zur Verfügung. Dieser ordnet dem Gerät ein spezielles Profil zu, in welchem alle Informationen zu Apps, WLAN Zugang etc. bereits vorhanden sind. Sobald ds Gerät das erste mal eingeschaltet wird, erhält es automatisch die Information, dass es verwaltet wird und erlaubt dem MDM die komplette Ersteinrichtung. Bei bereits vorhandenen Geräten, ist der Weg etwas abweichend. Hier wird das Gerät von unserem Administrator manuell in das MDM eingebunden. Die Verzahnung zwischen MDM und Gerät ist anschließend nicht ganz so eng, für die benötigten Aufgaben aber ausreichend.
  • Wie wird ein Gerät wieder aus der Verwaltung durch das MDM entfernt?
    Auch hier muss man wieder die unterschiedlichen Fälle betrachten. Bei den Geräten, die bei unserem Kooperationspartner erworben wurden, muss der Administrator das Gerät aus der Verwaltung herausnehmen. Bei eigenen Geräten, die manuell in die Verwaltung aufgenommen wurden, kann dies indivduell über die Einstellungen im Gerät erfolgen. Der Administrator ist hierfür nicht erforderlich. Mit dem Entfernen des Gerätes aus der Verwaltung erlöschen gleichzeitig auch die Lizenzen. Die durch die Schule aufgespielten Apps werden entsprechend entfernt.
  • Kann die Bildschirmzeit auch unter der Kontrolle eines MDM eingestellt werden?
    Ja, das kann sie. Die Einstellungen der Bildschirmzeit sowie weiterer Maßnahmen zum Jugendschutz können jederzeit individuell eingestellt werden. Die Verwaltung des MDM läßt diese Einstellungen unberüht, daher stehen sie jedem einzelnen im vollen Umfang zur Verfügung.
Abgerufen von „https://wiki.marienschule-limburg.de/index.php?title=Verwaltung_der_Geräte_mit_dem_MDM&oldid=51