Rund um die Einbindung in die Verwaltung - MDM

• Was ist ein MDM?
  MDM steht für Mobile Device Management, eine Software, mit der digitale Endgeräte für bestimmte Aufgaben zentral verwaltet werden können. Hierzu gehört das Aufspielen von Software, das Durchführen von Updates etc. Die Idee hinter einem MDM ist recht einfach. Sind in einem Unternehmen, einem Institut oder eben einer Bildungseinrichtung eine Vielzahl von digitalen Endgeräten, dann ist es mit vertretbarem Aufwand kaum mehr möglich, alle Geräte auf dem neuesten Stand zu halten, mit Software zu versorgen oder auch nur einen Überblick zu behalten. Aus diesem Grund wurde eine zentrale Verwaltung geschaffen, die genau diese Aufgaben übernehmen kann.
• Wie funktioniert ein MDM?
  Damit ein Gerät über das schulische MDM verwaltet werden kann, muss es zuvor durch unseren Administrator registriert werden. Nach der Registrierung kennt das MDM das Gerät und das Gerät wiederum räumt dem MDM bestimmte Rechte ein. Etwa das Recht Apps zu installieren oder das Recht zur Durchführung einer Aktualisierung. Auch das Recht, bei Verlust des iPads eine Sperre einzuschalten, damit niemand an die lokalen Daten herankommt, gehört dazu. Das MDM und das digitale Endgerät kommunizieren dabei über eine gesicherte Verbindung über das Internet. Die gesamte Kommunikation ist verschlüsselt und damit sicher.

• Wird die Einbindung in das schulische MDM in den nächsten Jahren verpflichtend?
  Die Einbindung eigener Geräte in das MDM ist für Schülerinnen und Schüler, die ab dem Schuljahr 2022/23 an dem Pilotprojekt teilnehmen, weder in diesem Jahr noch in den Folgejahren bis zum Schulabschluss nicht verpflichtend. Dies gilt also für alle Schülerinnen und Schüler, die ab dem Schuljahr 2022/23 die Klasse 9 oder höher besuchen.
• Werden z.B. Jamf-TeachApp oder Jamf-StudentApp auf dem Gerät installiert?
  Nein, auf den Geräten der Jahrgänge 9 bis Q werden keine der beiden Apps installiert oder genutzt. Die Apps ermöglichen dem Lehrer oder der Lehrerin zum Beispiel während Unterrichtes nur bestimmte Apps zur Nutzung freizuschalten. So könnte etwa im Mathematikunterricht lediglich die App GeoGebra freigeschaltet werden, während alle anderen Apps nicht genutzt werden können. Dies hilft, die Konzentration auf den Unterricht zu stärken und unnötige Ablenkungen zu vermeiden. Für die zukünftigen Jahrgangsstufen ist es angedacht, und je nach Evaluierungsergebnissen des Pilots geplant, zur Fokusierung auf den Unterricht z.B. Teacher-Apps einzusetzten.
• Wie funktioniert die Registrierung bei der Bestellung über unseren Kooperationspartner?
  Die Registrierung kann auf unterschiedliche Arten stattfinden. Grundsätzlich können derzeit nur iOS Geräte in unser MDM aufgenommen werden. Wie also findet die Registrierung statt? Bei den Geräten, die über unseren Kooperationspartner erworben werden, geschieht dies vollständig im Hintergrund und verlangt keinerlei Aktion von Seiten der SchülerInnen oder der Eltern. Die Seriennummer des Gerätes wird zusammen mit unserer Schule an Apple gemeldet. Dort sind wir als Schule registriert und haben schon einige hundert Geräte registriert. In dem Moment, wo ein Gerät einem Schüler oder einer Schülerin zugeordnet wird, schickt Apple die Registrierungsinformation an unser MDM. Das MDM stellt dann dem Administrator das Gerät zur Verwaltung zur Verfügung. Dieser ordnet dem Gerät ein spezielles Profil zu, in welchem alle Informationen zu Apps, WLAN Zugang etc. bereits vorhanden sind. Die Schüler und Schülerinnen erhalten eine schulische AppleID. Sobald das Gerät das erste Mal eingeschaltet wird, erhält es automatisch die Information, dass es verwaltet wird und erlaubt dem MDM die komplette Ersteinrichtung. Auf diesen Geräten kann die schulische AppleID durch eine private AppleID ersetzt werden. Eine parallele Nutzung von schulischer und privater AppleID ist nicht möglich. Bei Einsatz einer privaten AppleID erfolgt, sofern dies durch den Schüler oder die Schülerin aktiviert wurde, eine automatische Synchronisation mit anderen Apple Geräten.
• Wie funktioniert die Registrierung bei einem bereits privat vorhandenem Gerät?
  Bei bereits vorhandenen Geräten, ist der Weg etwas abweichend. Hier wird das Gerät von unserem Administrator manuell in das MDM eingebunden. Die Verzahnung zwischen MDM und Gerät ist anschließend nicht ganz so eng, für die benötigten Aufgaben aber ausreichend.
• Wie wird ein Gerät wieder aus der Verwaltung durch das MDM entfernt?
  Auch hier muss man wieder die unterschiedlichen Fälle betrachten. Bei den Geräten, die bei unserem Kooperationspartner erworben wurden, muss der Administrator das Gerät aus der Verwaltung herausnehmen. Bei eigenen Geräten, die manuell durch den Admin in das MDM aufgenommen wurden, kann dies indivduell über die Einstellungen im Gerät erfolgen. Der Administrator ist hierfür nicht erforderlich. Mit dem Entfernen des Gerätes aus dem MDM erlöschen alle getätigten MDM Einstellungen. Die durch die Schule aufgespielten Apps werden entsprechend entfernt.
• Wie tief greift das MDM in die Struktur des Geräts ein, wenn es vor Inbetriebnahme eingepflegt wird?
  Wie oben beschrieben, passiert dies, wenn das Gerät von uns ausgeliehen wird oder wenn es über unseren Kooperationspartner erworben wurde. Mit dem ersten Start wird das Gerät bei Apple registriert und es wird erkannt, dass es sich um ein verwaltetes Gerät handelt. Die Verwaltung wird in diesem Ersteinrichtungsschritt automatisch installiert und kann durch den Benutzer oder die Benutzerin nicht entfernt werden. Dies kann nur über die IT-Administration geschehen. Die Verwaltung ist also ein integraler Bestandteil des System und übernimmt einen Teil der Einstellungen sowie eine Vorinstallation der Apps. So wird bereits ein passendes WLAN gewählt, wenn es in Reichweite ist. Es werden aber auch Einstellungen vorgenommen, die darüber entscheiden, was mit dem Gerät gemacht werden darf und was nicht. Hier werden wir unterscheiden, ob es sich um ein von uns ausgeliehenes Gerät handelt, bei dem eine Reihe von Einschränkungen aktiviert werden wird, oder ob es sich um ein elternfinanziertes Gerät handelt, bei dem die Einschränkungen nicht aktiviert werden. Die Frage ist also nicht für alle Fälle gleich zu beantworten. Im Falle der durch die Schule ausgeliehenen Geräte greift das MDM recht tief in die Struktur ein und aktiviert eine Reihe von Einschränkungen. Im Falle von Geräten, die von den Eltern über unsere Kooperationspartner erworben wurden, ist die Einflussnahme des MDM auf ein Minimum beschränkt und geht nur soweit, wie es für die technische, schulische Anbindung erforderlich ist.
• Wie tief greift das MDM in die Struktur des Geräts ein, wenn es nachträglich eingepflegt wird?
  Im Wesentlichen ist der Eingriff des MDM bei Geräten, die die Schüler und Schülerinnen bereits in ihrem Besitz haben, die also nicht von der Schule ausgeliehen oder durch unserern Kooperationspartner erworben wurden, gleichartig wie der Eingriff bei den Geräten, die durch unsere Kooperationspartner erworben wurden. Der Eingriff ist also minimal und beschränkt sich auf technische Notwendigkeit. Ein wichtiger Unterschied hingegen ist, dass das MDM jederzeit durch den Schüler oder die Schülerin ohne Einfluss der IT-Administration abgeschaltet werden kann. Somit kann die Schule auch keine Garantie für das Vorhandensein der notwendigen Apps, Schulbücher, Aktualität und Einstellungen übernehmen. Dies liegt dann allein in der Verwantwortung des jeweiligen Schülers bzw. der jeweiligen Schülerin.
• Kann die Bildschirmzeit auch unter der Kontrolle eines MDM eingestellt werden?
  Ja, das kann sie. Die Einstellungen der Bildschirmzeit sowie weiterer Maßnahmen zum Jugendschutz können jederzeit individuell eingestellt werden. Die Verwaltung des MDM läßt diese Einstellungen unberüht, daher stehen sie jedem einzelnen im vollen Umfang zur Verfügung.