Mobile Device Management für Tablet

Ich würde mich jetzt zwar nicht als lupenreinen „Fanboy“ bezeichnen, allerdings finde ich schon vieles gut, was Apple so fabriziert (allerdings auch einiges richtig mies… das meiste allerdings politisch und nicht funktionell)
Trotzdem muss ich hier kurz widersprechen :wink:

Da würde mich die Quelle interessieren. Das halte ich offen gestanden für absolut falsch.
Was du mit dem ersten Deployment mittels ID meinst ist wahrscheinlich das DEP (Device Enrolment Program)
Das ist tatsächlich eine ziemlich coole Sache -wenn man VOR dem Kauf beachtet, was zu beachten ist.
Da ist nämlich das Gerät schon wenn es noch verschweißt in der Packung liegt in deinem MDM drin und wenn der Nutzer es auspackt, muss er nur noch die Zugangsdaten von irgendeinem WLAN eingeben und warten… dann ist sein iPad so konfiguriert, wie du das wolltest. Inclusive kostenloser oder auf Wunsch auch kostenpflichtiger Apps.

Diese Einrichtung ist beliebig aufwendig, aber nur ein mal. Wenn du jetzt 1000 iPads kaufst, dann steigt der Aufwand um exakt 0,0% von 0

Wo also die Aussage her kommt, das ginge von 5-10 Geräten ??? Keine Ahnung. Aber der Urheber hat vermutlich keinen Schimmer vom SchoolManager.

Allerdings ist die initiale Einrichtung „pain in the a**“ wie der Ami sagt.
Wenn man aber mal durch ist… eigentlich prima.

Übrigens lassen sich auch nicht DEP-Geräte „leicht“ einbinden. Auf diesen Geräten muss man eine URL anrufen, auf „Profil installieren“ klicken und Akzeptieren, dass der Besitzer des MDM fortan weitreichende Rechte auf dem Gerät hat.
Ab dann ist es auch managed… Nachteil: Nach einem harten zurücksetzen auf Werkseinstellungen ist das dann ein neues iPad und muss erst wieder von Hand aufgenommen werden. DEP-Geräte kann man (wenn man will ferngesteuert) einfach zurücksetzen.

Naja, es gibt halt für verschiedene Zwecke verschiedene Zugangsdaten. Das ist ja prinzipiell nicht verkehrt. Dass die jetzt alle „Apple-ID“ heißen, ist natürlich ungeschickt und führt zurecht zu Kopfschütteln.
Andererseits braucht man tatsächlich beim Schoolmanager nur noch 2 Stück. Eine ID für den Apple-Server und eine ID für den SchoolManager. Der beinhaltet nämlich das Geräteenrolment (DEP) und das Volumenlizenzenprogramm (VPP)
Wenn man möchte, kann man für den Push-Dienst eine eigene ID machen, das ist aber Geschmacksache.

Das Problem bei den iPads (das wird bei den Androiden nicht viel anders sein) ist halt, dass sie über WLAN betankt werden.
Bei 1:1 Settings ist das vollkommen egal oder sogar prima. Da setzt der Schüler zuhause sein iPad zurück und wartet (je nach App-Datenmenge) von kurz bis lang. Dann tut das wieder. Für den Admin ist das 0 Aufwand.

Wenn der Admin aber selbst die Dinger immer wieder zurücksetzen muss… naja, da kann man sich ausrechnen, wie lange das dauert, wenn 5GB Daten auf alle iPads betankt werden sollen und sich alle iPads das selbe WLAN teilen. Andererseits kann man das ja (von Zuhause angestoßen bei Bedarf) am Freitag Abend machen und wenn man am Montag morgen in die Schule kommt, ist alles frisch :wink:

Das klingt für mich nach mehr Arbeit, als es mit den iPads der Fall wäre.
Allerdings: Ich habe von Android-Management ähnlich wenig Ahnung, wie du von Apple :wink:

nixfürungut :wink: LG Jesko

Achja… ich habe von einem „Androiden“ gehört, dass er sich privat zwar im Leben kein iPad anschaffen würde, aber im Schulkontext den Apple-Weg den einzig managerbaren hält (bei den Rahmenbedingungen: Keine Anrechnung aber die Arbeit)

Ich krame diesen alten Artikel nochmal hervor … eigentlich nur, um zu hören, ob hier jemand weiter gemacht hat oder neue brandheiße Tipps hat?

Ich bin (nochmal) über dieses Video gestolpert
—> https://www.youtube.com/watch?v=rbwhOOXBaFw
Evtl ist das ja doch brauchbar, um Klassen/Gruppen mit (zentral kontrolllierbaren) Android-Geräten ausstatten zu können??

Wir haben vor Kurzem erst 15 Android-Tablets über Manage Engine MDM eingerichtet, welches bis zu 25 Geräte dauerhaft kostenlos möglich ist.

Wichtig war für uns, dass wir die volle Kontrolle über die Geräte und so wenig Verwaltungsaufwand wie möglich haben. Bei der Lösung besteht die Möglichkeit, die Geräte über einen Android-for-Work-Account von Google als privates oder als Firmengerät einzurichten (bei uns dann Firmeneinrichtung).

Ab hier kann ich dann nur über die Firmeneinrichtung (Device Owner) sprechen, was jetzt bei der einen Variante möglich ist und bei der anderen nicht, kann ich leider nicht sagen:

Hier gibt es dann die Möglichkeit allerlei Beschränkungen vorzunehmen z.B. das Installieren und Deinstallieren von Apps verbieten, automatische (silent/stille) von Apps veranlassen, Setzen von Apps auf eine schwarze Liste wodurch diese dann automatisch, ohne nötige Zustimmung oder Aktion am Tablet, gelöscht werden (vor Allem hilfreich beim Löschen der vorinstallierten Apps bei der Einrichtung) usw.

Zusätzlich haben wir dann noch über eine App bestimmte Sachen mit einem PIN oder Muster sperren lassen z.B. die Einstellungen, Apps die zur Administration dienen, damit die Schüler dort nicht rumwerkeln können und die MDM-App, die beim Einrichten mitinstalliert wird, damit dort keine Informationen ausgelesen werden können.

Die zu verwendenden Apps können über den Android-for-Work-Account (eigener Play-Store) bereitgestellt werden oder es können auch .apks hochgeladen werden.

Wir hatten zwar schon einen größeren Einrichtungsaufwand und ordentlich Einarbeitungszeit, aber sind jetzt guter Dinge, dass sich der weiter Zeitaufwand für die Verwaltung gering hält.
Vorher hatten wir mal das Meraki von Cisco ausprobiert, was auch mindestens alles dies mitbringt und mir sogar noch besser gefallen hat, aber leider gibt es hier nur eine einmonatige kostenlose Testphase.

LG
Valentin

Edit:
Achso und alles läuft über ein Online-Dashboard.
Ich bin aber der Meinung, dass man auch selber einen Server aufsetzen kann…

Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt nur eine URL freigeben zu können und andere Apps während des Arbeitens sperren zu können. Man muss also in der Schule “notgedrungen” weiter eingreifen/einschränken als man das in einer Firma muss (so zumindest die Hoffnung) :slight_smile:

Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera —> dauerhaft disabled, Apps und Seiten sperren und alle Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt Apple das per default bereits mit (ClassroomApp), aber welche Schule kann sich schon diese Geräte leisten??! Wenn die Geräte später im blauen Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?

Vielleicht kann ja auch nochmal jemand ein paar harte Fakten bzgl der Kosten nennen … was kommt da auf die Schulen zu?

Hallo Michael,

Ja, das klingt so wie das, was ich mir vorstelle … im Prinzip will man
ja ein Epoptes für’s Tablet — mit der zusätzlichen Mölgichkeit, gezielt
nur eine URL freigeben zu können und andere Apps während des Arbeitens
sperren zu können. Man muss also in der Schule “notgedrungen” weiter
eingreifen/einschränken als man das in einer Firma muss (so zumindest
die Hoffnung) :slight_smile:

deswegen muß man zwischen Mobile Device Management und Schullösung
(zusätzlich) unterscheiden.

Es sind ein paar Dinge meiner Meinung nach absolut unumgänglich: Kamera
—> dauerhaft disabled, Apps und Seiten sperren und alle
Schülerbildschirme irgendwie im Blick behalten. Wie ich hörte, bringt
Apple das per default bereits mit (ClassroomApp), aber welche Schule
kann sich schon diese Geräte leisten. Wenn die Geräte später im blauen
Netz / WLAN hängen, müsste die Management Console ja auch dort irgendwo
angesiedelt sein?? Oder als App, die nur ein Lehrer starten kann?

das ist keine Apple Erfindung, sondern gibt es seit Jahren von Samsung
und heißt School Solution.
Wir setzen die Schoolsoplution im Seminar seit ein paar Jahren ein.
Das ersetzt aber nicht das MDM sondern hat eigene Funktionen wie:
Austeilen/Einsammeln, Bildschirm holen/senden …

LG

Holger

Gibt es zum Thema MDM evtl weitere Tipps von Lösungen, die was taugen und bezahlbar sind?

Hier nochmal alle Anbieter, die hier bisher genannt wurden:

Noch eine Ergänzung: http://listoffreeware.com/free-mobile-device-management-software/

Was hat sich bei euch bewährt??
Michael

Hallo Michael,

diesen Link hatte ich bereits genannt:
https://www.microfocus.com/de-de/products/mobile-management/
War mal Novell Zenworks und dementsprechend gibt es auch Dienstleister,
die das können …

Gruß Jürgen

Hallo Michael und wer noch daran arbeitet,

hab heute ein wenig Zeit, mit WSO2 weiterzumachen …

Betrachtet man die Ausgabe von scripts/change-ip.sh, so fällt auf, dass
sed die erste Datei …/conf/carbon.xml und weiter in conf - angeblich -
nicht findet.
Andere zu bearbeitende Dateien werden dagegen gefunden. Bearbeitet wird
conf/carbon.xml dennoch!

Jetzt muss ich mich wohl nach 25 Jahren mal wieder mit sed und Regular
Expressions beschäftigen. Wollt ich schon immer mal :wink:
An den Pfadangaben im Skript scheint’s nicht zu liegen, denn andere
passen ja und die erste zeigt auch auf eine existente Datei.
An Zeilen, wo sed “Datei nicht gefunden” meldet, fällt mir auf, dass ein
Kommando g mit 2# anstelle des von mir erwarteten / davor am Ende der RE
steht.
Was 2# an der Stelle bedeutet habe ich noch nicht herausgefunden.
Angefangen zu lesen bin ich hier: https://tty.net

Bestimmt ist jemand von Euch bewanderter in sed als ich und weiß weiter :wink:

Gruß Jürgen

Oops, der Link zum sed Tutorial ist https://tty1.net

Hi. Das bringt mich auf die Idee, dass es uU nicht egal ist, mit welcher Shell (bash , sh, $whatever…)
das change-ip.sh Script gestartet wird…?!?
Michael

Hallo Michael,

die Idee hatte ich auch. Im Skript steht aber explizit bash drin.

Wenn ich mir die Kompatibilitätsliste ansehe, fällt mir auf, dass

  • WS02 EMM nur bis Version 2.2.0 für Ubuntu 12 getestet ist (für 3.3.0
    nicht?)

https://docs.wso2.com/display/compatibility/Tested+Operating+Systems+and+JDKs?src=sidebar

  • Es bekannte Probleme mit Oracle Java 8 gibt (mit Version 1.71 auch?)

https://docs.wso2.com/display/compatibility/Known+Incompatibilities?src=sidebar

Ich mach mal was, wofür ich hier hoffentlich nicht exkommuniziert werde :wink:
WSO2 EMM soll ja auch in Windows 7 laufen, und da sind oben keine
Inkompatibilitäten erwähnt …

Wenn ich die Version 2.2.0 noch irgenwoher bekäme, könnte ich es auch
damit versuchen (in beiden Welten).

Downgrade auf Oracle Java 8 Version 1.44 wäre auch noch ein Versuch in
Linux.

Oder mal in OpenSuSE versuchen?

Gruß Jürgen

Wer lesen kann … Previous Versions Damit komme ich in Ubuntu 12.04 mit Java 8 Version 1.71 immerhin so weit, dass ich dem Tablet eine Message schicken kann. Melde ich mich (auf dem Tablet) am Store an und klicke die Catalog App an, laufe ich wieder auf Error 500 :frowning:

Hi Jürgen. Und? Doch noch Erfolg gehabt?? Ich habe das ganze natürlich auch nicht auf Ubuntu 12 getestet. Allerdings hätte die docker-Version im Container ja auf jeden Fall die richtigen Abhängigkeiten liefern müssen, oder? Auch da lief das ja nicht so wie es sollte :frowning:
Die alte Version 2.2 hatte ich irgendwann hier noch rumfliegen, doch ich habe sie gelöscht. Auch da kann ich also leider nicht weiterhelfen…

Aber ich würde mich trotzdem freuen, wenn du’s noch schaffst … im Prinzip scheint das alles zu können, wonach wir gerade suchen…

Bis später,
Michael

Lieber Michael,

ja, ich habe Erfolg gehabt!
Gerade konnte ich die Catalog App und die IServ App vom Server aus
meinem Tablet zuweisen. Das Tablet fragt noch, ob ich installieren möchte.
Jetzt muss ich mich mit BYOD vs COPE auseinandersetzen …

Hier was ich auf meinem linuxmuster 6.2 (nicht virtualisiert) gemacht habe:
wso2emm-2.2.0.zip hier heruntergeladen


Genau nach dieser Anleitung vorgegangen
https://docs.wso2.com/display/EMM220/Android+Device
Sollte auf einem anderen Ubuntu auch funktionieren.

In Windows 7 habe ich mit wso2iot-3.3.0.zip und erst recht mit
wso2emm-2.2.0.zip keinen Erfolg gehabt.
Für ersteres gibt es kein Skript zum Ändern der IP, so dass die
Authentifizierung wie gehabt in die Büx geht und zweiteres meckert
bereits beim Starten der Dienste über fehlendes carbon rum … Ein
Glück! Hätte mich sehr deprimiert, wenn’s anders herum gelaufen wäre :wink:

Gruß Jürgen

Ok, 2.2 läuft also noch.
Ich frage mich nur, ob das der Weg ist, der für uns sinnvoll ist: Auf eine veraltete Version setzen und hoffen, dass 3.3.0 irgendwann auch läuft?
:thinking:

Genau das werde ich machen. Für mich ist jetzt der nächste Schritt, mich mit der Client-Seite zu befassen.

Vielleicht findet ja inzwischen jemand anders heraus, was wir mit wso2iot-3.3.0.zip falsch gemacht haben. Ich kann mir nicht vorstellen, dass es veröffentlicht wurde, ohne dass die Anleitung dazu irgendwo funktioniert.

Gruß Jürgen

Hi. Also ich hatte 3.3.0 auch schon auf Blech ausprobiert (Ubuntu 16.04) ohne change-ip.sh. Das lief leider auch nicht zufriedenstellend. Es scheint ja wirklich an der verwendeten Java Version zu scheitern…
Wenn man das System einsetzen möchte, müsste man also einen Rechner mit genau passender Software auf hold setzen und hoffen, dass es ab dann läuft :thinking:

(Daher hatte ich ursprünglich auf die docker Container Version gehofft. Vielleicht kann man die Netzwerkeinstellungen des Containers auch anders einstellen, so dass direkt eine IP aus dem richtigen Netz gewählt wird??? Vielleicht so:
https://skife.org/2016/03/28/docker-real-network.html — dann könnte man auf das Change-ip-Script verzichten und hätte trotzdem im Container die richtige Software?? Die Hoffnung stirbt zuletzt… allerdings kamen bei mir vor einiger Zeit auch im Container Log diverse Java Fehlermeldungen…)
Michael

Hi Michael,

wenn Du magst, forsch an der genannten Stelle weiter.

Für meinen Teil bekommt die Schule demnächst die ersten Promethean
Active Panels, die ich remote managen will. Deshalb bin ich erst mal
froh, überhaupt etwas zu haben, womit das gehen könnte. Bis es geht,
steckt auch darin noch eine Menge Arbeit …

LG Jürgen

Mal sehen, wie weit ich da komme :interrobang:
In der Doku zu 2.2 steht ja übrigens eindeutig:

 'Install Oracle Java SE Development Kit (JDK) version 1.7.* or 1.8.*  

Ich habe aber damals „nur“ (?) diese Version unter Ubuntu installiert – vielleicht war das ja schon der Fehler: Install Oracle Java 8 In Ubuntu Or Linux Mint Via PPA Repository [JDK8] ~ Web Upd8: Ubuntu / Linux blog

Michael

Genau dieses Repo benutze ich auch!