Alles besser mit iOS 9.3 und Apple Education?

Apple School Manager (ASM), Apple Classroom, Shared iPads & verwaltete Apple IDs

Vor ein paar Tagen besuchte ich eine Apple Veranstaltung im Rahmen der Apple Tech Series. Thema war iOS 9.3 im Bildungskontext. Wie vermutlich bekannt, gibt es seit iOS 9.3 einige Neuerungen, die für den Bildungsbereich zunächst einmal sehr verheißungsvoll klingen. Nach 8 Stunden war ich aber – soviel sei jetzt schon verraten- ziemlich ernüchtert…

Was muss man (unbedingt) beachten?

WLAN – ein absolutes Muss

Grundvoraussetzung ist auch hier eine sauber geplante und gemanagte WLAN Infrastruktur. Die Accesspoints sollten nicht aus dem Konsumersegment kommen, sondern professionellen Ansprüchen genügen.

managebar (cloud- oder controllerbasierend)
ggf. PoE (Power over Ethernet)
ac-Standard
Dualband mit 2,4 und 5GHz
MIMO 2×2/3×3
Roaming
aktives Load Balancing

Je nach Einsatzszenario ist eine Ausleuchtung des Gebäudes auf Basis von 5GHz dringend zu empfehlen.

iPads

Wer aktuell vor dem Kauf neuer iPads steht, sollte einige Dinge beachten, wenn er sich die Nutzung aller aktuell verfügbaren Features offen halten will.
Geräte müssen beim DEP (Device Enrollment Program) registriert sein und jeweils der neusten Generation entsprechen (Stand 06/2016). Weitere Standards stehen unten.

DEP (Device Enrollment Program)

Wer künftig neue iPads anschaffen will, sollte dringend darauf achten, dass die Geräte für das DEP registriert sind (auch wenn aktuell vielleicht noch kein Bedarf an allen Möglichkeiten besteht). DEP registrierte Geräte lassen sich nur bei Apple oder dafür zertifizierten Handelspartnern kaufen – also ganz wichtig: vor dem Kauf anfragen – denn auch der Handelspartner muss eine DEP Nummer besitzen, die die Schule später im MDM hinterlegen muss. Die DEP Nummer der Schule wird wiederum beim Handelspartner hinterlegt.

MDM (Mobile Device Management)

Ein MDM hat zunächst folgende Kernaufgaben:

Benutzerkonten führen
Gerätekonfigurationen erstellen und in Form von Profilen auf die Clients pushen
Software Deployment, also das Verteilen von Apps auf den Geräten
Verwaltetes AirPlay
All das lässt sich OTA (over the air) machen – über WLAN im lokalen Netz oder auch über eine mobile Datenverbindung. Eine Kabelverbindung wie beim Configurator ist nicht mehr nötig bzw. möglich.

Generell ist die Entscheidung zu treffen, ob man ein MDM für eine reine Apple Landschaft oder ein heterogenes Umfeld (Apple, Android, Windows) benötigt.

Für ein homogenes Appleumfeld bietet sich, zumindest in kleinen Umgebungen oder für Testzwecke, der Profilemanager des hauseigenen OSX Servers an (zu dessen Nachteile schreibe ich weiter unten etwas). Etwas mehr Geld kosten z.B. die Casper Suite von JAMF oder Zuludesk.

Plattformübergreifend seien hier exemplarisch MobileIron und VMware AirWatch genannt.

Generell ist darauf zu achten, dass Apple iOS 9.3 und die Apple Education Features voll von dem gewählten MDM unterstützt werden.

Caching Server

Der Caching Server ist ein Bestandteil des Mac OSX Servers und lässt sich dort ganz einfach als Dienst aktivieren. Den OSX Server kann man im Mac AppStore für knappe 20 Euro kaufen und wie jede andere App auf einem Mac installieren. Ein dedizierter Server ist dafür nicht nötig.

Der Caching Server hat die Aufgabe, aus dem Internet geladene Updates, Apps, iBooks und iTunesU Daten im lokalen Netz vorzuhalten und an Clients (Macs, iOS Geräte, AppleTVs) auf Anfrage zu verteilen. Das hat den Vorteil, dass nicht jedes einzelne Gerät die in vielen Fällen sowieso schwache Internetanbindung der Schule belastet. Man stelle sich vor, wenn plötzlich 10, 50 oder mehr iPads gleichzeitig das neuste iOS Update aus dem Netz laden wollten…

Umgekehrt speichert der Caching Server auch die auf Clients generierte Daten für die iCloud zunächst lokal und schiebt sie dann peu à peu in die Wolke. Oha… das böse Wort… die Sache mit der iCloud... datenschutzrechtlich geklärt ist hier zumindest bei uns in Baden-Württemberg noch nichts. Gespräche zwischen Ministerium und Apple finden aber angeblich gerade statt. Bis zu einem klaren Statement von Seiten des Ministeriums, sollte man auf die Nutzung der iCloud Features verzichten.

Ein paar Gedanken zum Caching Server

Der Caching Server muss zwingend auf einem Mac installiert werden – und genau darin liegt das Problem. Was ist mit Ausfallsicherheit, HA, Redundanz verschiedener Baugruppen, Performance, Anzahl der Netzwerkschnittstellen?!?

Die Problematik wäre schnell vom Tisch, wenn Apple es endlich (wieder) gestattete, sein Betriebssystem zu virtualisieren. Bis dahin – sollte es denn jemals Realität werden- muss man sich wohl mit Mac Minis (und deren systembedingten Nachteilen) begnügen.

Immerhin kann der Datastore des Caching Servers per Thunderbolt auf einen externen Speicher, z.B. ein NAS oder SAN, ausgelagert werden.

Ebenfalls lassen sich mehrere Caching Server betreiben, die sich die Lasten entsprechend aufteilen können. Sinnvoll seien wohl in jedem Fall 2 Caching Server: einer (oder mehrere) für Apps/iBooks/iTunesU Daten und einer (oder mehrere) für die iCloud.

Der Apple School Manager

ASM ist ein neues Verwaltungsportal für den Education Bereich. Hier werden VPP, DEP und Classroom zentral verwaltet. Der ASM ist mehrmandantenfähig und kann deshalb auch z.B. zentral von einem Schulträger oder anderen Institutionen für die Schulen verwaltet werden.

Voraussetzungen sind:

bei DEP registrierte iPads
ein MDM Server
verwaltete Apple IDs

Anmerkung:

Für aktuelle Kunden mit VPP oder DEP gibt es derzeit (aktueller Stand 06/2016) keine Möglichkeit, diese Accounts zum Apple School Manager umzuziehen (ist aber aktuell in Arbeit).
Sobald die Migration möglich ist, werden DEP/VPP Kunden eine Einladung zum Upgrade erhalten. Die Einladung sollte auf dem DEP Konto und nicht VPP Konto angenommen werden!!! —> Also, erst DEP auf ASM upgraden und dann den VPP Account in den School Manager importieren.

Shared iPad

Seit iOS 9.3 ist es möglich, iPads mit mehreren “Benutzeraccounts” (Kontexten) zu betreiben. Dabei kann ein Gerät (Stand 06/2016) maximal 5 Kontexte lokal vorhalten. Sind alle 5 Slots belegt, wird das am längsten nicht mehr benutzte Profil auf den Caching Server geladen und vom Gerät entfernt.

Unterstützte Geräte:

iPad Air2
iPad mini 4
iPad Pro
die Geräte müssen mindestens 32GB lokalen Speicher haben, um die Profile/ Kontexte von 5 Benutzern zu speichern.

Weitere Voraussetzungen

Geräte sind im DEP (Device Enrollment Program) registriert.
Ein MDM System ist vorhanden.
Managed Apple IDs sind vorhanden.

Classroom App

Mit der Classroom App haben Lehrer die Möglichkeit, Schüler iPads im Unterricht zu steuern:

Bildschirme sperren
Schülerbildschirme via AirPlay z.B. Auf einem Beamer zeigen.
OneApp (nur eine vom Lehrer bestimmte App lässt sich starten).
Geführtes Surfen – Schüler können nur die von den LuL angegebenen Websites nutzen.
Geführtes Lesen in iBooks – Schülern kann im Unterricht ausschließlich ein bestimmtes Buch bzw. sogar nur eine bestimmte Seite in einem Buch freigeschaltet werden.

Die Classroom App ist im Vergleich zu den Anforderungen von Shared iPads recht genügsam und wird unterstützt von:

iPads ab der 3.Generation
allen iPad minis
iPad Pro

Managed AppleIDs

Mit den managed AppleIDs bietet Apple Schulen die Möglichkeit, massenweise AppleIDs zu erstellen – das können 50 oder auch 2.000 sein. Diese AppleIDs können an Schüler übertragen werden, bleiben aber im Besitz der Schule.

Die Registrierung der AppleIDs kann bulkweise per CSV Import oder ein MDM realisiert werden, welches die User mit einem Verzeichnisdienst des Schulservers synchronisiert.

Managed AppleIDs haben u.a. folgende Einschränkungen:

kein Kauf von Apps
iPhone suchen, Schlüsselbund, TouchID sind deaktiviert
In-App Käufe sind NICHT möglich
kein iCloud Backup

Fazit

Apple drängt mit iOS 9.3 stärker denn je in den (lukrativen) Bildungsmarkt und bietet dafür teils mehr teils weniger sinnvolle Features an. Die Umsetzung der Funktionen scheint auf den ersten Blick gelungen.

Kritisch hingegen sehe ich mehrere Dinge:

Die technischen Voraussetzungen müssen erfüllt sein (Netzinfrastruktur, WLAN, Hardware). Das ist kein applespezifisches Problem, muss aber unbedingt bei Haushalts- und Ressourcenplanung beachtet werden.
Die meisten Schulen setzen bereits eine Server-Client Schullösung wie z.B. die paedML® ein. Man muss sich an der Stelle darüber im Klaren sein, dass man sich ein weiteres, autonomes System ins Haus holt, das administriert werden will. Den zeitlichen Aufwand dafür sollte man nicht unterschätzen.
Gleiches gilt für die Einrichtung aller o.g. Funktionen und Dienste. Die Einrichtung eines MDM und die Anbindung an bereits bestehende Strukturen und Verzeichnisdienste ist nicht trivial und nicht mal eben kurz nebenbei gemacht. Hier sollten in aller Regel erfahrene Dienstleister beauftragt werden.

Weitere Informationen zu den einzelnen Diensten und der Implementierung gibt es bei Apple direkt.

12 Kommentare

René sagt:

Juni 21, 2016 um 10:46 Uhr

Super Text, leider ist ein kleiner Fehler drin. Es können mehr als 5 Benutzer bei Shared-iPad genutzt werden. Bietet sich aber bei einem 32GB iPad nicht an da pro Benutzer ca 5GB Platte genutzt werden.

Antworten
- afischer sagt:
  
  Juni 22, 2016 um 14:52 Uhr
  
  Hallo René,
  danke für den Hinweis. So habe ich das auch verstanden, allerdings meinte ich damit, dass die “Profile” inkl. aller Nutzerdaten von maximal 5 Personen lokal auf dem Gerät vorgehalten werden können. Ab der 6. werden dann die älteren auf den Caching Server geschoben. Immer noch falsch?
  Danke,
  Alex
  
  Antworten
  - René sagt:
    
    Juni 27, 2016 um 09:46 Uhr
    
    Hi Alex,
    
    laut meinem letzten Apple Training ja. Da pro Benutzer ca 5GB benutzt werden ist es nur bei den 32 GB der Fall das nur 5 Benutzer lokal gespeichert werden können. Bei allem drüber sollen es mehr sein. Leider findet man nun keine wirklich guten Informationen dazu um das zu lösen.
    Sobald es geht, werde ich es ausprobieren und Info hinterlassen…
    
    Viele Grüße
    René
Felix Schaumburg sagt:

Juni 30, 2016 um 08:12 Uhr

Super Zusammenfassung 🙂 Danke dafür!

Antworten
Christoph Pichler sagt:

November 18, 2016 um 12:08 Uhr

Wer kann mir sagen, wie ich Geräte bei DEP registrieren lassen kann, die nicht bei einem zertifizierten Händler gekauft wurden? Natürlich nach Möglichkeit kostenfrei.

Danke im Voraus,
Christoph

Antworten
- René sagt:
  
  November 18, 2016 um 19:05 Uhr
  
  Hi Christoph,
  
  Das ist leider nicht möglich. Nur Geräte die über einen Händler der beim DEP Programm teilnimmt können nachträglich bei DEP registriert werden.
  
  Viele Grüße
  René
  
  Antworten
  - Christoph Pichler sagt:
    
    November 21, 2016 um 09:41 Uhr
    
    Danke für deine Antwort. Dann kann ich also diese Geräte nicht mit dem School-Manager verwalten?
    Viele Grüße,
    Christoph
  - René Waschkawitz sagt:
    
    November 21, 2016 um 09:46 Uhr
    
    Was meinst du mit verwalten? Das einzige was du über den ASM verwalten kannst, ist die automatische Verknüpfung zum MDM…
  - Christoph Pichler sagt:
    
    November 21, 2016 um 12:25 Uhr
    
    Ich meine, dass die Geräte überhaupt eingebunden werden können (Apps austeilen, verschiedene Schüler zuweisen können, etc). Als MDM würde ich den OSX Server nehmen.
    
    Danke weiterhin,
    Christoph
  - afischer sagt:
    
    November 21, 2016 um 12:28 Uhr
    
    Schau mal hier:https://schaumburg.xyz/2016/06/09/ipad-verwaltung/
    Felix Schaumburg hat dazu einiges geschrieben.
  - Christoph Pichler sagt:
    
    November 21, 2016 um 13:52 Uhr
    
    Danke dir!
Jürgen Schmitt sagt:

August 20, 2017 um 08:47 Uhr

Toller Artikel. Danke. Gibt es eigentlich best practice Beispiele in Deutschland?

Antworten

Alles besser mit Apple Education? Voraussetzungen für School Manager, Classroom & Shared iPads