Nächste Woche ist Didakta und linuxmuster.net kann dort bestaunt werden und zeitweilig kann man auch mich dazu dort ausfragen.
Über viele Dinge im täglichen Umgang kann ich dabei Auskunft geben, die Kernfunktionalitäten kenne ich sehr gut.
Und auch so manche Erweiterung setzen wir erfolgreich ein.
Meine Erfahrungen mit Tablets sind allerdings nur auf ein großes WLAN begrenzt, da wir als Berufsschule den Tabletklassen die Geräte mit finanziellem Eigenanteil übereignet haben und damit die Administration nicht mehr unsere Aufgabe ist. Auch setzen wir nur freie Apps ein, was andere Schulen eventuell anders machen müssen/wollen.
Nun meine Frage: Was gibt es für sinnvolle Möglichkeiten für ein Mobile Device Management (MDM) für Android- oder Apple/iOS-Geräte, zu denen ich Interessierten raten kann.
Nun meine Frage: Was gibt es für sinnvolle Möglichkeiten für ein Mobile
Device Management (MDM) für Android- oder Apple/iOS-Geräte, zu denen ich
Interessierten raten kann.
Apple hab ich nicht.
Bei Android verwenden wir bisher nur einen FDroid Server in unserem
eigenen Netz (Orange).
Als MDM wollen wir AppTec einsetzen.
Bei denen kostet es nur pro Gerät und nicht pro Gerät und Jahr …
Wie habt ihr das gemacht? Mit so einer VM à la: http://www.android-x86.org/ oder http://www.jide.com/remixos-for-pc oder völlig anders? Wie kannst du denn gewährleisten, dass die Schüler die Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau habt ihr den Server?
Apptec 360 ist ein heißer Kandidat… Neben dem Pauschalpreis sind da noch folgende Vorteile: Man kann es auf einer VM in house hosten, die Firma sitzt in der Schweiz, nicht in USA
MDM macht aber IMHO vor allem in 1:1-Settings Sinn. Das passt vom Paradigma einfach besser: Jedem Gerät wird bei MDM ein Besitzer zugeordnet. Will man einen Tabletleihwagen administrieren (so wie wir), kann man das zwar mit z.B. Dummy-usern machen, aber so richtig gelungen ist das nicht.
Wie kannst du denn gewährleisten, dass die Schüler die Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau habt ihr den Server?
Wir benutzen adb, um Benutzer auf den Tablets zu löschen und neu anzulegen. Unter diesen Benutzern ist dann gar kein Google-Account verfügbar. Das heißt die SuS können gar nicht bei Google runterladen. Wollen wir ja auch nicht. Datenkrake Google, Datenverarbeitung im Auftrag, blahblubb. F-Droid ist dann die optimale Möglichkeit, den SuS genau die gewünschten Apps in der gewünschten Version bereitzustellen.
Wie kannst du denn gewährleisten, dass die Schüler die
Apps dann vom FDroid holen und nicht aus dem Playstore? Oder wozu genau
habt ihr den Server?
kein googlekonto auf dem Device (für den Nutzer).
Noch ein Hinweis für die Leute auf der Didacta: ich halte es für
wichtig, dass man den „Interessierten“ klar sagt, dass MDM ein sehr
komplexes Thema ist, bei dem es aus Prinzip keine Einfache Lösung gibt:
sollte ein Anbieter etwas anderes versprechen, dann sollte man dieser
Aussage mit einer gehörigen Portion an Mistrauen begegnen: wir sind da
ehrlich.
Sehen wir z.B. Apple an: die sind ja berühmt für ihre „einfachen“
Lösungen: die bekommen das überhaupt nicht hin (da werden die Fan Boys
natürlich lautstark Wiedersprechen).
Ich habe gehört, dass der Schoolmanager überhaupt nciht taugt um mehr
als 5 oder 10 Geräte zu managen: das muss richtig ausarten, wenn das
mehr werden: nur das erste Deployment geht einfach, weil man die Geräte
anhand einer ID schnell rein bekommt und bespielen kann.
Dann kommt das App kaufen: mal ehrlich: die spinnen da komplett: ich
brauche 5 unterschiedliche Mail Adressen, alleine für die Apple Geräte.
Ich mußte anlegen:
asm@…
vpp@…
apn@…
myaccess@
und itunes@…
Was soll das?
Wir bekommen in ein paar Wochen unsere ersten 16 Apple iPads: ich bin
total froh, dass die ein Kollege managed: werde aber genau hinschauen,
was da an Arbeit anfällt.
Android deployment machen wir mittels ADB und einem 16 Port USB 3 Hub:
dann können wir alle unsere Geräte (32 Stück) in zwei Chargen bespielen:
das funktioniert ganz gut.
Apps nachinstallieren passiert dann per FDroid.
Ich würde mich jetzt zwar nicht als lupenreinen „Fanboy“ bezeichnen, allerdings finde ich schon vieles gut, was Apple so fabriziert (allerdings auch einiges richtig mies… das meiste allerdings politisch und nicht funktionell)
Trotzdem muss ich hier kurz widersprechen
Da würde mich die Quelle interessieren. Das halte ich offen gestanden für absolut falsch.
Was du mit dem ersten Deployment mittels ID meinst ist wahrscheinlich das DEP (Device Enrolment Program)
Das ist tatsächlich eine ziemlich coole Sache -wenn man VOR dem Kauf beachtet, was zu beachten ist.
Da ist nämlich das Gerät schon wenn es noch verschweißt in der Packung liegt in deinem MDM drin und wenn der Nutzer es auspackt, muss er nur noch die Zugangsdaten von irgendeinem WLAN eingeben und warten… dann ist sein iPad so konfiguriert, wie du das wolltest. Inclusive kostenloser oder auf Wunsch auch kostenpflichtiger Apps.
Diese Einrichtung ist beliebig aufwendig, aber nur ein mal. Wenn du jetzt 1000 iPads kaufst, dann steigt der Aufwand um exakt 0,0% von 0
Wo also die Aussage her kommt, das ginge von 5-10 Geräten ??? Keine Ahnung. Aber der Urheber hat vermutlich keinen Schimmer vom SchoolManager.
Allerdings ist die initiale Einrichtung „pain in the a**“ wie der Ami sagt.
Wenn man aber mal durch ist… eigentlich prima.
Übrigens lassen sich auch nicht DEP-Geräte „leicht“ einbinden. Auf diesen Geräten muss man eine URL anrufen, auf „Profil installieren“ klicken und Akzeptieren, dass der Besitzer des MDM fortan weitreichende Rechte auf dem Gerät hat.
Ab dann ist es auch managed… Nachteil: Nach einem harten zurücksetzen auf Werkseinstellungen ist das dann ein neues iPad und muss erst wieder von Hand aufgenommen werden. DEP-Geräte kann man (wenn man will ferngesteuert) einfach zurücksetzen.
Naja, es gibt halt für verschiedene Zwecke verschiedene Zugangsdaten. Das ist ja prinzipiell nicht verkehrt. Dass die jetzt alle „Apple-ID“ heißen, ist natürlich ungeschickt und führt zurecht zu Kopfschütteln.
Andererseits braucht man tatsächlich beim Schoolmanager nur noch 2 Stück. Eine ID für den Apple-Server und eine ID für den SchoolManager. Der beinhaltet nämlich das Geräteenrolment (DEP) und das Volumenlizenzenprogramm (VPP)
Wenn man möchte, kann man für den Push-Dienst eine eigene ID machen, das ist aber Geschmacksache.
Das Problem bei den iPads (das wird bei den Androiden nicht viel anders sein) ist halt, dass sie über WLAN betankt werden.
Bei 1:1 Settings ist das vollkommen egal oder sogar prima. Da setzt der Schüler zuhause sein iPad zurück und wartet (je nach App-Datenmenge) von kurz bis lang. Dann tut das wieder. Für den Admin ist das 0 Aufwand.
Wenn der Admin aber selbst die Dinger immer wieder zurücksetzen muss… naja, da kann man sich ausrechnen, wie lange das dauert, wenn 5GB Daten auf alle iPads betankt werden sollen und sich alle iPads das selbe WLAN teilen. Andererseits kann man das ja (von Zuhause angestoßen bei Bedarf) am Freitag Abend machen und wenn man am Montag morgen in die Schule kommt, ist alles frisch
Das klingt für mich nach mehr Arbeit, als es mit den iPads der Fall wäre.
Allerdings: Ich habe von Android-Management ähnlich wenig Ahnung, wie du von Apple
nixfürungut LG Jesko
Achja… ich habe von einem „Androiden“ gehört, dass er sich privat zwar im Leben kein iPad anschaffen würde, aber im Schulkontext den Apple-Weg den einzig managerbaren hält (bei den Rahmenbedingungen: Keine Anrechnung aber die Arbeit)
Ich krame diesen alten Artikel nochmal hervor … eigentlich nur, um zu hören, ob hier jemand weiter gemacht hat oder neue brandheiße Tipps hat?
Ich bin (nochmal) über dieses Video gestolpert
—> https://www.youtube.com/watch?v=rbwhOOXBaFw
Evtl ist das ja doch brauchbar, um Klassen/Gruppen mit (zentral kontrolllierbaren) Android-Geräten ausstatten zu können??
Wir haben vor Kurzem erst 15 Android-Tablets über Manage Engine MDM eingerichtet, welches bis zu 25 Geräte dauerhaft kostenlos möglich ist.
Wichtig war für uns, dass wir die volle Kontrolle über die Geräte und so wenig Verwaltungsaufwand wie möglich haben. Bei der Lösung besteht die Möglichkeit, die Geräte über einen Android-for-Work-Account von Google als privates oder als Firmengerät einzurichten (bei uns dann Firmeneinrichtung).
Ab hier kann ich dann nur über die Firmeneinrichtung (Device Owner) sprechen, was jetzt bei der einen Variante möglich ist und bei der anderen nicht, kann ich leider nicht sagen:
Hier gibt es dann die Möglichkeit allerlei Beschränkungen vorzunehmen z.B. das Installieren und Deinstallieren von Apps verbieten, automatische (silent/stille) von Apps veranlassen, Setzen von Apps auf eine schwarze Liste wodurch diese dann automatisch, ohne nötige Zustimmung oder Aktion am Tablet, gelöscht werden (vor Allem hilfreich beim Löschen der vorinstallierten Apps bei der Einrichtung) usw.
Zusätzlich haben wir dann noch über eine App bestimmte Sachen mit einem PIN oder Muster sperren lassen z.B. die Einstellungen, Apps die zur Administration dienen, damit die Schüler dort nicht rumwerkeln können und die MDM-App, die beim Einrichten mitinstalliert wird, damit dort keine Informationen ausgelesen werden können.
Die zu verwendenden Apps können über den Android-for-Work-Account (eigener Play-Store) bereitgestellt werden oder es können auch .apks hochgeladen werden.
Wir hatten zwar schon einen größeren Einrichtungsaufwand und ordentlich Einarbeitungszeit, aber sind jetzt guter Dinge, dass sich der weiter Zeitaufwand für die Verwaltung gering hält.
Vorher hatten wir mal das Meraki von Cisco ausprobiert, was auch mindestens alles dies mitbringt und mir sogar noch besser gefallen hat, aber leider gibt es hier nur eine einmonatige kostenlose Testphase.
LG
Valentin
Edit:
Achso und alles läuft über ein Online-Dashboard.
Ich bin aber der Meinung, dass man auch selber einen Server aufsetzen kann…
Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt nur eine URL freigeben zu können und andere Apps während des Arbeitens sperren zu können. Man muss also in der Schule “notgedrungen” weiter eingreifen/einschränken als man das in einer Firma muss (so zumindest die Hoffnung)
Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera —> dauerhaft disabled, Apps und Seiten sperren und alle Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt Apple das per default bereits mit (ClassroomApp), aber welche Schule kann sich schon diese Geräte leisten??! Wenn die Geräte später im blauen Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?
Vielleicht kann ja auch nochmal jemand ein paar harte Fakten bzgl der Kosten nennen … was kommt da auf die Schulen zu?
Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man
ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt
nur eine URL freigeben zu können und andere Apps während des Arbeitens
sperren zu können. Man muss also in der Schule “notgedrungen” weiter
eingreifen/einschränken als man das in einer Firma muss (so zumindest
die Hoffnung)
deswegen muß man zwischen Mobile Device Management und Schullösung
(zusätzlich) unterscheiden.
Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera
—> dauerhaft disabled, Apps und Seiten sperren und alle
Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt
Apple das per default bereits mit (ClassroomApp), aber welche Schule
kann sich schon diese Geräte leisten. Wenn die Geräte später im blauen
Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo
angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?
das ist keine Apple Erfindung, sondern gibt es seit Jahren von Samsung
und heißt School Solution.
Wir setzen die Schoolsoplution im Seminar seit ein paar Jahren ein.
Das ersetzt aber nicht das MDM sondern hat eigene Funktionen wie:
Austeilen/Einsammeln, Bildschirm holen/senden …
hab heute ein wenig Zeit, mit WSO2 weiterzumachen …
Betrachtet man die Ausgabe von scripts/change-ip.sh, so fällt auf, dass
sed die erste Datei …/conf/carbon.xml und weiter in conf - angeblich -
nicht findet.
Andere zu bearbeitende Dateien werden dagegen gefunden. Bearbeitet wird
conf/carbon.xml dennoch!
Jetzt muss ich mich wohl nach 25 Jahren mal wieder mit sed und Regular
Expressions beschäftigen. Wollt ich schon immer mal
An den Pfadangaben im Skript scheint’s nicht zu liegen, denn andere
passen ja und die erste zeigt auch auf eine existente Datei.
An Zeilen, wo sed “Datei nicht gefunden” meldet, fällt mir auf, dass ein
Kommando g mit 2# anstelle des von mir erwarteten / davor am Ende der RE
steht.
Was 2# an der Stelle bedeutet habe ich noch nicht herausgefunden.
Angefangen zu lesen bin ich hier: https://tty.net
Bestimmt ist jemand von Euch bewanderter in sed als ich und weiß weiter
Hi. Das bringt mich auf die Idee, dass es uU nicht egal ist, mit welcher Shell (bash , sh, $whatever…)
das change-ip.sh Script gestartet wird…?!?
Michael
Ich mach mal was, wofür ich hier hoffentlich nicht exkommuniziert werde
WSO2 EMM soll ja auch in Windows 7 laufen, und da sind oben keine
Inkompatibilitäten erwähnt …
Wenn ich die Version 2.2.0 noch irgenwoher bekäme, könnte ich es auch
damit versuchen (in beiden Welten).
Downgrade auf Oracle Java 8 Version 1.44 wäre auch noch ein Versuch in
Linux.
Wer lesen kann … Previous Versions Damit komme ich in Ubuntu 12.04 mit Java 8 Version 1.71 immerhin so weit, dass ich dem Tablet eine Message schicken kann. Melde ich mich (auf dem Tablet) am Store an und klicke die Catalog App an, laufe ich wieder auf Error 500
Hi Jürgen. Und? Doch noch Erfolg gehabt?? Ich habe das ganze natürlich auch nicht auf Ubuntu 12 getestet. Allerdings hätte die docker-Version im Container ja auf jeden Fall die richtigen Abhängigkeiten liefern müssen, oder? Auch da lief das ja nicht so wie es sollte
Die alte Version 2.2 hatte ich irgendwann hier noch rumfliegen, doch ich habe sie gelöscht. Auch da kann ich also leider nicht weiterhelfen…
Aber ich würde mich trotzdem freuen, wenn du’s noch schaffst … im Prinzip scheint das alles zu können, wonach wir gerade suchen…
ja, ich habe Erfolg gehabt!
Gerade konnte ich die Catalog App und die IServ App vom Server aus
meinem Tablet zuweisen. Das Tablet fragt noch, ob ich installieren möchte.
Jetzt muss ich mich mit BYOD vs COPE auseinandersetzen …
Hier was ich auf meinem linuxmuster 6.2 (nicht virtualisiert) gemacht habe:
wso2emm-2.2.0.zip hier heruntergeladen
In Windows 7 habe ich mit wso2iot-3.3.0.zip und erst recht mit
wso2emm-2.2.0.zip keinen Erfolg gehabt.
Für ersteres gibt es kein Skript zum Ändern der IP, so dass die
Authentifizierung wie gehabt in die Büx geht und zweiteres meckert
bereits beim Starten der Dienste über fehlendes carbon rum … Ein
Glück! Hätte mich sehr deprimiert, wenn’s anders herum gelaufen wäre
– Apple hat da was nicht verstanden)
