Mobile Device Management für Tablet

mdm

#1

Hallo!

Nächste Woche ist Didakta und linuxmuster.net kann dort bestaunt werden und zeitweilig kann man auch mich dazu dort ausfragen.

Über viele Dinge im täglichen Umgang kann ich dabei Auskunft geben, die Kernfunktionalitäten kenne ich sehr gut.
Und auch so manche Erweiterung setzen wir erfolgreich ein.

Meine Erfahrungen mit Tablets sind allerdings nur auf ein großes WLAN begrenzt, da wir als Berufsschule den Tabletklassen die Geräte mit finanziellem Eigenanteil übereignet haben und damit die Administration nicht mehr unsere Aufgabe ist. Auch setzen wir nur freie Apps ein, was andere Schulen eventuell anders machen müssen/wollen.

Nun meine Frage: Was gibt es für sinnvolle Möglichkeiten für ein Mobile Device Management (MDM) für Android- oder Apple/iOS-Geräte, zu denen ich Interessierten raten kann.

Gruß - Rainer


#2

Die Frage kam schon öfter. Aus dem Archiv:

Eine Open-Source-Lösung scheint ja das hier zu sein:
http://wso2.com/products/enterprise-mobility-manager/
… wobei ich nicht beurteilen kann, wie gut die ist.

und auch der Thread: "Softwaremanagement für Android-Tablets"
vom 18.07.2016 in der alten ML.

Eine interessante Alternative könnte möglicherweise auch das hier sein:


#3

Hallo Rainer,

Nun meine Frage: Was gibt es für sinnvolle Möglichkeiten für ein Mobile
Device Management (MDM) für Android- oder Apple/iOS-Geräte, zu denen ich
Interessierten raten kann.

Apple hab ich nicht.

Bei Android verwenden wir bisher nur einen FDroid Server in unserem
eigenen Netz (Orange).
Als MDM wollen wir AppTec einsetzen.
Bei denen kostet es nur pro Gerät und nicht pro Gerät und Jahr …

Viele Grüße

Holger


#4

Wie habt ihr das gemacht? Mit so einer VM à la: http://www.android-x86.org/ oder http://www.jide.com/remixos-for-pc oder völlig anders? Wie kannst du denn gewährleisten, dass die Schüler die Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau habt ihr den Server?


#5

Apptec 360 ist ein heißer Kandidat… Neben dem Pauschalpreis sind da noch folgende Vorteile: Man kann es auf einer VM in house hosten, die Firma sitzt in der Schweiz, nicht in USA
MDM macht aber IMHO vor allem in 1:1-Settings Sinn. Das passt vom Paradigma einfach besser: Jedem Gerät wird bei MDM ein Besitzer zugeordnet. Will man einen Tabletleihwagen administrieren (so wie wir), kann man das zwar mit z.B. Dummy-usern machen, aber so richtig gelungen ist das nicht.

Wie habt ihr das gemacht? Mit so einer VM à la: http://www.android-x86.org/ oder http://www.jide.com/remixos-for-pc oder völlig anders?

Das Aufsetzen eines F-Droid-Repos ist gar nicht so problematisch. Man braucht halt einen erreichbaren Webserver im blauen/orangenen Netz. Dort muss man die servertools von fdroid und die apk-Dateien ablegen. Vgl hier: https://f-droid.org/manual/html_node/Simple-Binary-Repository.html#Simple-Binary-Repository

Wie kannst du denn gewährleisten, dass die Schüler die Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau habt ihr den Server?

Wir benutzen adb, um Benutzer auf den Tablets zu löschen und neu anzulegen. Unter diesen Benutzern ist dann gar kein Google-Account verfügbar. Das heißt die SuS können gar nicht bei Google runterladen. Wollen wir ja auch nicht. Datenkrake Google, Datenverarbeitung im Auftrag, blahblubb. F-Droid ist dann die optimale Möglichkeit, den SuS genau die gewünschten Apps in der gewünschten Version bereitzustellen.

Grüße
Michael


#6

Hallo Michael,

verwenden wir bisher nur einen FDroid Server in unseremeigenen Netz
(Orange).

Wie habt ihr das gemacht? Mit so einer VM à la:
http://www.android-x86.org/ oder http://www.jide.com/remixos-for-pc oder
völlig anders?

ubuntu 16.04 server mit FDroid drauf.

Wie kannst du denn gewährleisten, dass die Schüler die
Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau
habt ihr den Server?

kein googlekonto auf dem Device (für den Nutzer).

Noch ein Hinweis für die Leute auf der Didacta: ich halte es für
wichtig, dass man den “Interessierten” klar sagt, dass MDM ein sehr
komplexes Thema ist, bei dem es aus Prinzip keine Einfache Lösung gibt:
sollte ein Anbieter etwas anderes versprechen, dann sollte man dieser
Aussage mit einer gehörigen Portion an Mistrauen begegnen: wir sind da
ehrlich.

Sehen wir z.B. Apple an: die sind ja berühmt für ihre "einfachen"
Lösungen: die bekommen das überhaupt nicht hin (da werden die Fan Boys
natürlich lautstark Wiedersprechen).

Ich habe gehört, dass der Schoolmanager überhaupt nciht taugt um mehr
als 5 oder 10 Geräte zu managen: das muss richtig ausarten, wenn das
mehr werden: nur das erste Deployment geht einfach, weil man die Geräte
anhand einer ID schnell rein bekommt und bespielen kann.

Dann kommt das App kaufen: mal ehrlich: die spinnen da komplett: ich
brauche 5 unterschiedliche Mail Adressen, alleine für die Apple Geräte.
Ich mußte anlegen:
asm@…
vpp@…
apn@…
myaccess@
und itunes@…

Was soll das?

Wir bekommen in ein paar Wochen unsere ersten 16 Apple iPads: ich bin
total froh, dass die ein Kollege managed: werde aber genau hinschauen,
was da an Arbeit anfällt.

Android deployment machen wir mittels ADB und einem 16 Port USB 3 Hub:
dann können wir alle unsere Geräte (32 Stück) in zwei Chargen bespielen:
das funktioniert ganz gut.
Apps nachinstallieren passiert dann per FDroid.

LG

Holger


#7

Ich würde mich jetzt zwar nicht als lupenreinen “Fanboy” bezeichnen, allerdings finde ich schon vieles gut, was Apple so fabriziert (allerdings auch einiges richtig mies… das meiste allerdings politisch und nicht funktionell)
Trotzdem muss ich hier kurz widersprechen :wink:

Da würde mich die Quelle interessieren. Das halte ich offen gestanden für absolut falsch.
Was du mit dem ersten Deployment mittels ID meinst ist wahrscheinlich das DEP (Device Enrolment Program)
Das ist tatsächlich eine ziemlich coole Sache -wenn man VOR dem Kauf beachtet, was zu beachten ist.
Da ist nämlich das Gerät schon wenn es noch verschweißt in der Packung liegt in deinem MDM drin und wenn der Nutzer es auspackt, muss er nur noch die Zugangsdaten von irgendeinem WLAN eingeben und warten… dann ist sein iPad so konfiguriert, wie du das wolltest. Inclusive kostenloser oder auf Wunsch auch kostenpflichtiger Apps.

Diese Einrichtung ist beliebig aufwendig, aber nur ein mal. Wenn du jetzt 1000 iPads kaufst, dann steigt der Aufwand um exakt 0,0% von 0

Wo also die Aussage her kommt, das ginge von 5-10 Geräten ??? Keine Ahnung. Aber der Urheber hat vermutlich keinen Schimmer vom SchoolManager.

Allerdings ist die initiale Einrichtung “pain in the a**” wie der Ami sagt.
Wenn man aber mal durch ist… eigentlich prima.

Übrigens lassen sich auch nicht DEP-Geräte “leicht” einbinden. Auf diesen Geräten muss man eine URL anrufen, auf “Profil installieren” klicken und Akzeptieren, dass der Besitzer des MDM fortan weitreichende Rechte auf dem Gerät hat.
Ab dann ist es auch managed… Nachteil: Nach einem harten zurücksetzen auf Werkseinstellungen ist das dann ein neues iPad und muss erst wieder von Hand aufgenommen werden. DEP-Geräte kann man (wenn man will ferngesteuert) einfach zurücksetzen.

Naja, es gibt halt für verschiedene Zwecke verschiedene Zugangsdaten. Das ist ja prinzipiell nicht verkehrt. Dass die jetzt alle “Apple-ID” heißen, ist natürlich ungeschickt und führt zurecht zu Kopfschütteln.
Andererseits braucht man tatsächlich beim Schoolmanager nur noch 2 Stück. Eine ID für den Apple-Server und eine ID für den SchoolManager. Der beinhaltet nämlich das Geräteenrolment (DEP) und das Volumenlizenzenprogramm (VPP)
Wenn man möchte, kann man für den Push-Dienst eine eigene ID machen, das ist aber Geschmacksache.

Das Problem bei den iPads (das wird bei den Androiden nicht viel anders sein) ist halt, dass sie über WLAN betankt werden.
Bei 1:1 Settings ist das vollkommen egal oder sogar prima. Da setzt der Schüler zuhause sein iPad zurück und wartet (je nach App-Datenmenge) von kurz bis lang. Dann tut das wieder. Für den Admin ist das 0 Aufwand.

Wenn der Admin aber selbst die Dinger immer wieder zurücksetzen muss… naja, da kann man sich ausrechnen, wie lange das dauert, wenn 5GB Daten auf alle iPads betankt werden sollen und sich alle iPads das selbe WLAN teilen. Andererseits kann man das ja (von Zuhause angestoßen bei Bedarf) am Freitag Abend machen und wenn man am Montag morgen in die Schule kommt, ist alles frisch :wink:

Das klingt für mich nach mehr Arbeit, als es mit den iPads der Fall wäre.
Allerdings: Ich habe von Android-Management ähnlich wenig Ahnung, wie du von Apple :wink:

nixfürungut :wink: LG Jesko

Achja… ich habe von einem “Androiden” gehört, dass er sich privat zwar im Leben kein iPad anschaffen würde, aber im Schulkontext den Apple-Weg den einzig managerbaren hält (bei den Rahmenbedingungen: Keine Anrechnung aber die Arbeit)


#8

Ich krame diesen alten Artikel nochmal hervor … eigentlich nur, um zu hören, ob hier jemand weiter gemacht hat oder neue brandheiße Tipps hat?

Ich bin (nochmal) über dieses Video gestolpert
—> https://www.youtube.com/watch?v=rbwhOOXBaFw
Evtl ist das ja doch brauchbar, um Klassen/Gruppen mit (zentral kontrolllierbaren) Android-Geräten ausstatten zu können??


#9

Wir haben vor Kurzem erst 15 Android-Tablets über Manage Engine MDM eingerichtet, welches bis zu 25 Geräte dauerhaft kostenlos möglich ist.

Wichtig war für uns, dass wir die volle Kontrolle über die Geräte und so wenig Verwaltungsaufwand wie möglich haben. Bei der Lösung besteht die Möglichkeit, die Geräte über einen Android-for-Work-Account von Google als privates oder als Firmengerät einzurichten (bei uns dann Firmeneinrichtung).

Ab hier kann ich dann nur über die Firmeneinrichtung (Device Owner) sprechen, was jetzt bei der einen Variante möglich ist und bei der anderen nicht, kann ich leider nicht sagen:

Hier gibt es dann die Möglichkeit allerlei Beschränkungen vorzunehmen z.B. das Installieren und Deinstallieren von Apps verbieten, automatische (silent/stille) von Apps veranlassen, Setzen von Apps auf eine schwarze Liste wodurch diese dann automatisch, ohne nötige Zustimmung oder Aktion am Tablet, gelöscht werden (vor Allem hilfreich beim Löschen der vorinstallierten Apps bei der Einrichtung) usw.

Zusätzlich haben wir dann noch über eine App bestimmte Sachen mit einem PIN oder Muster sperren lassen z.B. die Einstellungen, Apps die zur Administration dienen, damit die Schüler dort nicht rumwerkeln können und die MDM-App, die beim Einrichten mitinstalliert wird, damit dort keine Informationen ausgelesen werden können.

Die zu verwendenden Apps können über den Android-for-Work-Account (eigener Play-Store) bereitgestellt werden oder es können auch .apks hochgeladen werden.

Wir hatten zwar schon einen größeren Einrichtungsaufwand und ordentlich Einarbeitungszeit, aber sind jetzt guter Dinge, dass sich der weiter Zeitaufwand für die Verwaltung gering hält.
Vorher hatten wir mal das Meraki von Cisco ausprobiert, was auch mindestens alles dies mitbringt und mir sogar noch besser gefallen hat, aber leider gibt es hier nur eine einmonatige kostenlose Testphase.

LG
Valentin

Edit:
Achso und alles läuft über ein Online-Dashboard.
Ich bin aber der Meinung, dass man auch selber einen Server aufsetzen kann…


#10

Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt nur eine URL freigeben zu können und andere Apps während des Arbeitens sperren zu können. Man muss also in der Schule “notgedrungen” weiter eingreifen/einschränken als man das in einer Firma muss (so zumindest die Hoffnung) :slight_smile:

Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera —> dauerhaft disabled, Apps und Seiten sperren und alle Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt Apple das per default bereits mit (ClassroomApp), aber welche Schule kann sich schon diese Geräte leisten??! Wenn die Geräte später im blauen Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?

Vielleicht kann ja auch nochmal jemand ein paar harte Fakten bzgl der Kosten nennen … was kommt da auf die Schulen zu?


#11

Hallo Michael,

Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man
ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt
nur eine URL freigeben zu können und andere Apps während des Arbeitens
sperren zu können. Man muss also in der Schule “notgedrungen” weiter
eingreifen/einschränken als man das in einer Firma muss (so zumindest
die Hoffnung) :slight_smile:

deswegen muß man zwischen Mobile Device Management und Schullösung
(zusätzlich) unterscheiden.

Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera
—> dauerhaft disabled, Apps und Seiten sperren und alle
Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt
Apple das per default bereits mit (ClassroomApp), aber welche Schule
kann sich schon diese Geräte leisten. Wenn die Geräte später im blauen
Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo
angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?

das ist keine Apple Erfindung, sondern gibt es seit Jahren von Samsung
und heißt School Solution.
Wir setzen die Schoolsoplution im Seminar seit ein paar Jahren ein.
Das ersetzt aber nicht das MDM sondern hat eigene Funktionen wie:
Austeilen/Einsammeln, Bildschirm holen/senden …

LG

Holger


#12

Gibt es zum Thema MDM evtl weitere Tipps von Lösungen, die was taugen und bezahlbar sind?

Hier nochmal alle Anbieter, die hier bisher genannt wurden:

Noch eine Ergänzung: http://listoffreeware.com/free-mobile-device-management-software/

Was hat sich bei euch bewährt??
Michael


Android Tablets - Einrichtung schuleigener Geräte
#13

Hallo Michael,

diesen Link hatte ich bereits genannt:
https://www.microfocus.com/de-de/products/mobile-management/
War mal Novell Zenworks und dementsprechend gibt es auch Dienstleister,
die das können …

Gruß Jürgen


#14

Hallo Michael und wer noch daran arbeitet,

hab heute ein wenig Zeit, mit WSO2 weiterzumachen …

Betrachtet man die Ausgabe von scripts/change-ip.sh, so fällt auf, dass
sed die erste Datei …/conf/carbon.xml und weiter in conf - angeblich -
nicht findet.
Andere zu bearbeitende Dateien werden dagegen gefunden. Bearbeitet wird
conf/carbon.xml dennoch!

Jetzt muss ich mich wohl nach 25 Jahren mal wieder mit sed und Regular
Expressions beschäftigen. Wollt ich schon immer mal :wink:
An den Pfadangaben im Skript scheint’s nicht zu liegen, denn andere
passen ja und die erste zeigt auch auf eine existente Datei.
An Zeilen, wo sed “Datei nicht gefunden” meldet, fällt mir auf, dass ein
Kommando g mit 2# anstelle des von mir erwarteten / davor am Ende der RE
steht.
Was 2# an der Stelle bedeutet habe ich noch nicht herausgefunden.
Angefangen zu lesen bin ich hier: https://tty.net

Bestimmt ist jemand von Euch bewanderter in sed als ich und weiß weiter :wink:

Gruß Jürgen


#15

Oops, der Link zum sed Tutorial ist https://tty1.net


#16

Hi. Das bringt mich auf die Idee, dass es uU nicht egal ist, mit welcher Shell (bash , sh, $whatever…)
das change-ip.sh Script gestartet wird…?!?
Michael


#17

Hallo Michael,

die Idee hatte ich auch. Im Skript steht aber explizit bash drin.

Wenn ich mir die Kompatibilitätsliste ansehe, fällt mir auf, dass

  • WS02 EMM nur bis Version 2.2.0 für Ubuntu 12 getestet ist (für 3.3.0
    nicht?)

https://docs.wso2.com/display/compatibility/Tested+Operating+Systems+and+JDKs?src=sidebar

  • Es bekannte Probleme mit Oracle Java 8 gibt (mit Version 1.71 auch?)

https://docs.wso2.com/display/compatibility/Known+Incompatibilities?src=sidebar

Ich mach mal was, wofür ich hier hoffentlich nicht exkommuniziert werde :wink:
WSO2 EMM soll ja auch in Windows 7 laufen, und da sind oben keine
Inkompatibilitäten erwähnt …

Wenn ich die Version 2.2.0 noch irgenwoher bekäme, könnte ich es auch
damit versuchen (in beiden Welten).

Downgrade auf Oracle Java 8 Version 1.44 wäre auch noch ein Versuch in
Linux.

Oder mal in OpenSuSE versuchen?

Gruß Jürgen


#18

Wer lesen kann … Previous Versions Damit komme ich in Ubuntu 12.04 mit Java 8 Version 1.71 immerhin so weit, dass ich dem Tablet eine Message schicken kann. Melde ich mich (auf dem Tablet) am Store an und klicke die Catalog App an, laufe ich wieder auf Error 500 :frowning:


#19

Hi Jürgen. Und? Doch noch Erfolg gehabt?? Ich habe das ganze natürlich auch nicht auf Ubuntu 12 getestet. Allerdings hätte die docker-Version im Container ja auf jeden Fall die richtigen Abhängigkeiten liefern müssen, oder? Auch da lief das ja nicht so wie es sollte :frowning:
Die alte Version 2.2 hatte ich irgendwann hier noch rumfliegen, doch ich habe sie gelöscht. Auch da kann ich also leider nicht weiterhelfen…

Aber ich würde mich trotzdem freuen, wenn du’s noch schaffst … im Prinzip scheint das alles zu können, wonach wir gerade suchen…

Bis später,
Michael


#20

Lieber Michael,

ja, ich habe Erfolg gehabt!
Gerade konnte ich die Catalog App und die IServ App vom Server aus
meinem Tablet zuweisen. Das Tablet fragt noch, ob ich installieren möchte.
Jetzt muss ich mich mit BYOD vs COPE auseinandersetzen …

Hier was ich auf meinem linuxmuster 6.2 (nicht virtualisiert) gemacht habe:
wso2emm-2.2.0.zip hier heruntergeladen


Genau nach dieser Anleitung vorgegangen
https://docs.wso2.com/display/EMM220/Android+Device
Sollte auf einem anderen Ubuntu auch funktionieren.

In Windows 7 habe ich mit wso2iot-3.3.0.zip und erst recht mit
wso2emm-2.2.0.zip keinen Erfolg gehabt.
Für ersteres gibt es kein Skript zum Ändern der IP, so dass die
Authentifizierung wie gehabt in die Büx geht und zweiteres meckert
bereits beim Starten der Dienste über fehlendes carbon rum … Ein
Glück! Hätte mich sehr deprimiert, wenn’s anders herum gelaufen wäre :wink:

Gruß Jürgen