Administration der iPad Klasse

Dieser Artikel beschäftigt sich damit, was es idealerweise zu beachten gibt, eine iPad Klasse (oder auch eine Bring-your-own-Device-Klasse) an einer beliebigen Schule zu starten. Es soll interessierten Medienpädagogen eine Anregung sein, was alles mit einem iPad in der Klasse möglich ist und Systemadministratoren die Arbeit erleichtern, iPads und Apps zu verwalten.

Zunächst würde ich heute auf keinen Fall mehr auf einen Mobile-Device-Management-Server (MDM) verzichten. Mittels eines solchen Servers kann man Mobile Geräte (iPad und Android Geräte gleichermaßen) aus der Ferne administrieren, Apps und Lizenzen verteilen und auch wieder zurücknehmen. Der MDM Server kann den Status der Geräte auslesen (Speicherbelegung, installierte Apps, Systemupdates) und bei Verlust auch aus der Ferne löschen. Dies ist natürlich gerade bei Bring-your-own-Device Geräten datenschutzrechtlich problematisch, weswegen hier eine offensive Informationspolitik gefahren werden sollte und einmal gezeigt werden sollte, was so ein MDM-Server alle kann. Medienpädagogisch hat es den großen Mehrwert, dass den Schülerinnen und Schülern gezeigt wird, was alles aus der Ferne und ohne das Wissen des Nutzers ausgelesen werden kann.

Damit die Geräte am MDM-Server angemeldet werden, muss auf ihnen ein Profil installiert werden. Dies geschieht in der Regel übers Internet, der MDM-Server stellt dazu eine URL bereit, die Schüler-Geräte surfen mit dem eingebauten Webbroser (Safari, Chrome) die URL an und werden dann direkt gefragt, ob sie das Profil installieren wollen.

Hey, vor einer Woche hat O2 mir auch eine E-Mail geschickt, mit der Aufforderung, ich solle eine Webseite öffnen und ein Profil installieren. Können die jetzt auch all das sehen, was sie da sehen Herr Quintero?

Dies war die erste Aha-Effekt Frage eines Schülers, dem dämmerte, dass über ein solches Profil beinahe alle Privatsphäre dahin schmelzen kann. Niemand kann auf einfache Art und Weise messen, was O2 jetzt alles über das Schüler-Gerät weiß, man verlässt sich hier auf den bestenfalls in der E-Mail enthaltenen Infotext.

Für den Administrator ist weniger von Interesse zu sehen, wie viel Speicherplatz auf dem Gerät noch frei ist, oder ob der Schüler / die Schülerin Spiel-Apps statt Lern-Apps installiert hat, wichtig wird das Anmelden am MDM jedoch, wenn man kostenpflichtige Apps mit den Schülern nutzen will. Damit nicht jeder Schüler die App kaufen muss, muss eine Lösung her, dass die Institution die App käuflich erwirbt und dann an die Schüler-Geräte verteilt.

configFür iOS Geräte ist eine erste Möglichkeit, spezielle Installations- bzw. Freischalt-Codes für die App zu kaufen, die man anschließend in ein Zusatzprogramm namens Apple Configurator eingibt um dann die Apps auf die über USB angeschlossenen iPads zu verteilen. Das bedeutet auch, dass man für jedes App-Update alle iPads wieder an den Rechner anschließen muss, über den die Geräte aufgesetzt wurden. Sollte der Rechner (Mac oder Windows geht beides) zwischenzeitlich einmal einen Crash haben, sind die Apps auf den jeweiligen Geräten verloren, ein Backup ist daher extrem wichtig! Ich habe mich jedoch gegen die Apple Configurator Lösung entschieden, da der Kauf von den Codes, die anschließende Eingabe in das Programm Configurator, das Anschließen der iPads und die wiederkehrende Synchronisation der Geräte mir für den Alltag zu umständlich erschien. Auch weiß ich aus Erfahrung, dass Schülerinnen und Schüler gern einmal aus versehen eine App löschen und dann müssen sie so lange auf die Re-Installation warten, bis ihr Gerät das nächste Mal am Schulrechner angeschlossen wird.

Einfacher ist es über den MDM Server, der es einem ermöglicht, die von der Schule gekauften Apps vorübergehend einer anderen Apple ID „anzugliedern“. Das heißt, dass die Schule beispielsweise 26 Mal die App TI-Nspire von Texas Instruments für je 26,99€ kauft (damit die Schüler nicht mit dem CAS Rechner arbeiten müssen, sondern ihr iPad benutzen können) und diese Apps dann aber den Apple IDs der Schülerinnen und Schüler angliedert. Für die Schüler sieht es dann so aus, als hätten sie selbst die App gekauft, sie taucht in ihren letzten Einkäufen auf und kann jederzeit von ihnen auf jedes ihrer Geräte heruntergeladen werden (also auch auf ihr privates iPhone so sie denn eines besitzen). Über den MDM Server kann man diese Angliederung jederzeit mit einem einzigen Mausklick widerrufen, sodass der Schüler / die Schülerin dann die App nicht mehr besitzt und sie auch in den letzten Einkäufen nicht mehr auftaucht. Der größte Vorteil dieser Angliederung ist, dass die Schülerinnen und Schüler die Updates selbst durchführen können, und die App auch auf anderen Geräten nutzen können. Beim versehentlichen Löschen können sie die App selbst wieder herstellen. Ihr Gerät muss auch nie an den einen Schulrechner angeschlossen werden. Welche Schritte dazu im einzelnen nötig sind, schreibe ich im Artikel „Apps über VPP kaufen und auf iPads verteilen„.

padlock-317015-mDas alles Entscheidende Feature für die Anschaffung der MDM Lösung war für uns allerdings, dass der MDM-Server aus der Ferne einen Befehl senden kann, dass das iPad in den so genannten Single-App-Mode schaltet (manchmal an dieser Stelle fälschlicherweise auch als „Geführter-Zugriff“ genannt). Dann zeigt das iPad einzig und allein das am MDM Server eingestellte Programm an. Es reagiert damit auch nicht mehr auf einem Druck auf den Home-Button oder den Ausschaltknopf. Dieses Feature setzen wir in Matheklausuren ein, der Mathematiklehrer sendet ca. 20 Minuten vor Klausurbeginn den Befehl, dass alle iPads die App TI-Nspire im Single-App-Mode öffnen und kann sichergehen, dass während der Klausur die iPads nicht für Täuschungsversuche benutzt werden können. Nach Beendigung der Klausur sendet er über den MDM Server den Befehl, dass die Sperrung der iPads wieder aufgehoben wird. (Was leider ein paar Mal nicht reibungslos geklappt hat, so hing ein Schüler einmal 48 Stunden in der Mathe-App fest und kam dort nicht mehr heraus, bis das iPad endlich den Befehl vom MDM Server erhielt, aus dem Single-App-Mode heraus zu gehen.) Prinzipiell ist ein solcher geführter Zugriff auch über den Apple Configurator möglich, doch dazu muss wieder jedes Gerät zuvor per USB an dem einen Rechner angeschlossen werden, was vor Klausuren und Tests sehr zeitraubend ist.

16 Gedanken zu „Administration der iPad Klasse

  1. Vielen Dank für die Antwort. Auf den ersten Blick scheinen mir die Kosten für einen MDM-Server höher zu sein als der Nutzen. Es müssen schon viele und auch Teure Apps genutzt werden um hier eine positive Bilanz zu ziehen.
    Grüße aus Niedersachsen.
    Christian

    1. Nunja, Cisko Meraki ist kostenlos… Die Schweitzer Lösung kostet für die ersten 30 Geräte auch nichts. Aber ein Sysadmin Alltag ist einfach so viel leichter damit, ich würde dafür auch Geld ausgeben. Wenn man mal überlegt, dass eine A14 Stunde locker 100€ kostet und man für das An- und Abstöpseln der Geräte sicher monatlich mehrere Stunden dabei ist, hat man die MDM Server Kosten schnell zusammen.

      1. Achso, von einem kostenlosen MDM-Server bin ich nicht ausgegangen. Wo bekomme ich diesen denn? Wir haben momentan 75 Geräte. Ich hätte das sonst über die Downloadcodes gemacht. Dann ist die Software zwar zum Eigentum des Schülers geworden, aber bei 1 € pro App günstiger im Vergleich zu kostenpflichtigen MDM-Servern.

          1. Vielen Dank! Ich werde mich daran mal versuchen und bei Erfolg für unsere Schule einsetzen.
            Schöne Grüße
            – Christian Sdrojek

  2. Hallo,
    ist es richtig, dass alle Geräte (auch die Schulgeräte) eine eigene Apple ID benötigen, um sie kabellos mit Apps zu versorgen? Wie habt Ihr das gelöst?

    1. Hi. Ja, jeder Schüler hat sich (teilweise anonym) eine Apple ID besorgt. Ich habe auf einer offiziellen Veranstaltung von Apple gefragt, ob es ok sei, wenn die Schüler sich anonyme Accounts zu diesem Zweck besorgen, es gab da keine Widerrede. Mit Spannung erwarte ich die in den USA bereits im Produktivbetrieb befindliche Möglichkeit, als Institution selbst Apple IDs für Schüler bereitzustellen. Aber bis das in good old Germany ankommt, wird das wohl noch lange dauern.

      1. Danke! Ich hoffe ebenfalls, dass sich da demnächst auch bei uns etwas tut. So bleibe ich für etwa 30 Schul-iPads zunächst bei den limitierten Möglichkeiten des Apple Configurators. Eine MDM-Lösung gehe ich wohl erst richtig an, wenn das Erstellen der Geräte-IDs vereinfacht ist.
        Ich hoffe übrigens auch noch auf eine baldige Implementierung von iBooks in das VPP. Auch das gibt es in den USA ja schon.
        Fabian.

  3. Hi. Hier wird als MDM-Lösung auf Drittanbieter verwiesen. Dabei bietet Apple doch selbst ein MDM als Teil der Server-App an. Hat die irgendwelche Nachteile?
    Gruß, Sven

    1. Hallo,
      das stimmt. Unterschlagen wollte ich das nicht, jedoch muss man genau abwägen, ob man wirklich selbst einen Server hosten möchte mit allem was dazu gehört. Feste IP-Adresse, SSL- und Push Zertifikate generieren und erneuern, Uptime sicherstellen etc. Da die meisten Admins Lehrer sind, die von Serverinfrastruktur keine Ahnung haben, bin ich da sehr vorsichtig mit der Empfehlung.
      Viele Grüße,
      Leonardo

  4. Hallo Leonardo,
    auf dem Handheld gibt es einen „Press to Test“ Modus.
    Wie verhindere ich auf dem IPAD das alte TI NSPIRE Daten während einer Klausur benutzt werden können?
    Liebe GRüße
    Jürgen

    1. Hi,
      ich vermute, dass der „Geführte Zugriff“ bzw. die App-Sperre übers MDM und auch über die Classroom-App dir nicht weiterhelfen, da du die App-Daten selbst wegschließen möchtest, richtig? Ich muss das nachfragen, da ich die Frage nicht genau verstehe.
      Wenn dem so ist, so kannst du das leider als Lehrer zentral nicht durch iPad Systemeinstellungen regeln. Hier kommt es auf den App Entwickler an. Ob Texas Instruments für seine TI N-Spire App so etwas anbietet, weiß ich nicht.
      Viele Grüße,
      Leonardo

  5. Der Apple Konfiguration kann dabei bestimmt gut helfen. Ich finde es gut, wenn in Schulen iPads verwendet werden. Es sollte aber der gesunde Umgang mit den Geräten gelernt werden.

Kommentare sind geschlossen.