 DEP als Diebstahlschutz

Wenn man als Bildungseinrichtung (oder Firma) iPads kauft, die im so genannten Device-Enrollment-Program sind, hat man eine fantastische Sache gleich mit eingekauft: einen wirksamen Diebstahlschutz.

Warum?

Jedes iPad muss beim erstmaligen Verwenden aktiviert werden. Ein iPad ist nutzlos, wenn es nicht aktiviert wurde, es fragt dann immer nach einem WLAN oder einer Verbindung zu einem PC / Mac, der iTunes installiert hat und online ist. Erst wenn das Geräte aktiviert wurde, kann man es benutzen. Bei der Aktivierung wird die Seriennummer des Gerätes an den Apple Aktivierungsserver übertragen und dieser nach weiteren Schritten gefragt. Handelt es sich um ein normales iPad, welches man im Apple Store oder beim Händler seines Vertrauens gekauft hat, passiert in der Regel nichts weiter.

Wenn nun aber das iPad im DEP (Device-Enrollment-Program) ist, antwortet der Apple Aktivierungsserver mit der Anweisung, „Hey, deine Seriennummer kenne ich, sie gehört der Schule XY und dein Konfigurationsserver (MDM) steht hier: …“

Dann kontaktiert das iPad sofort als nächstes den MDM Server der Schule und fragt diesen nach weiteren Aktionen ab. Dieses Vorgehen kann der Benutzer nicht abbrechen oder stoppen. Das iPad wird also jedes Mal nach dem Löschen, Neu-Aufsetzen oder nach einem iOS Update den MDM Server der Schule kontaktieren. Und dieser kann dann ganz bequem den Standort und die IP-Adresse auslesen, das Gerät ganz sperren und vieles mehr.

Wie setze ich einen iPad Koffer auf?

Als Gedächtnisstütze und als kleine Hilfe für einen Freund notiere ich an dieser Stelle einmal grob das Vorgehen, wie man meines Erachtens heutzutage einen Koffer voll iPads für eine Schule am besten konfiguriert. Irrtümer vorbehalten. Und wenn du einen noch besseren Lösungsweg kennst, immer gern her damit!

(1) Speicherplatz: Als erstes kauft man iPads, die mindestens 32 GB Speicherplatz haben, damit sie später als „shared iPad“ benutzt werden können, d.h. jeder Schüler kann auf dem iPad mit seinen persönlichen Accounts und Einstellungen arbeiten.

depicon(2) DEP: Beim Kauf sollte man darauf achten, dass der Händler unbedingt ein sog. DEP Handling anbietet. Das ist das Device-Enrollment-Program, mittels dessen man die iPads so konfigurieren kann, dass man Apps auf das Gerät zuweist, ohne eine spezifische Apple ID benutzen zu müssen. Außerdem kann man so die iPads konfigurieren, ohne sie ein einziges Mal an einen PC / Mac anschließen zu müssen. In Hamburg kostet das Einrichten des DEP Handlings beim Rahmenvertragspartner extra Geld, das sollte man vorher einkalkulieren.

bildschirmfoto-2016-10-16-um-15-17-29(3) Apple Accounts: Man braucht einen Account für den (3.1) Apple School Manager und vor allem für den (3.2) VPP Store. Letzterer erlaubt das Kaufen von Apps in großen Stückzahlen, wobei man beim Kauf von mehr als 20 Apps 50% Edu-Rabatt bekommt. Früher brauchte man für den Einkauf im VPP Store noch einen extra Account mit einer Kreditlinie bei Apple, heute kann man beim Händler seines Vertrauens einfach auf Rechnung Guthaben kaufen, das dann dem VPP Store Account zur Verfügung gestellt wird.

(4) MDM Server: Man braucht einen Mobile Device Management Server, um die Geräte drahtlos aus der Ferne vollständig aufsetzen und verwalten zu können. Hier gibt es viele viele Produkte zur Auswahl, ich persönlich bevorzuge einer der drei folgenden: JAMF Casper Suite, vmware AirWatch oder Cisco Meraki.

(5) Pre-Enrolling: Bevor man die iPads konfiguriert, gilt es noch einige Vorbereitungsaufgaben zu erledigen. (5.1) Wenn man ein shared iPad möchte, muss man im Apple School Manager mehrere Schüler und Lehrer Accounts anlegen, damit die iPads diese als Benutzer akzeptieren. Das macht man hierzulande im School Manager in der Regel manuell, es gibt zwar Möglichkeiten, den School Manager an eine bestehende Benutzerdatenbank der Schule anzuflanschen, ich halte das in Deutschland aber datenschutzrechtlich für bedenklich. (5.2) Auf jeden Fall braucht man ein paar Apps, die man über das VPP kauft bzw. – bei kostenlosen Apps – die Lizenz bereithält. Dazu loggt man sich in den School Manager ein, klickt ganz unten auf Inhalt > Apps kaufen bildschirmfoto-2016-10-16-um-15-04-17 um dann zum VPP Store weitergeleitet zu werden. Alternativ gibt man gleich die Adresse https://volume.itunes.apple.com/store?cc=DE&l=de ein. Beim Kauf der Apps unbedingt darauf achten, dass man „verwaltete Verteilung“ anklickt, mit Codes kann man hier nichts werden (siehe Screenshot). Schließlich muss man auch noch (5.3) die Geräte ins DEP einhängen, d.h. man muss dem Händler seine DEP id mitteilen, diese findet man im School Manager nach dem Klick auf den Schulnamen oben links, dann auf das „i“ und schließlich unter Gerätekäufe die „DEP-Kunden-ID der Bildungseinrichtung“.

Rauchen schon die Köpfe? Wenn ja, dann überlegt euch einmal, dass der Job eines Administrators normalerweise sowohl aus der nervigen Lizenzverwaltung mit Kauf besteht als auch der Softwareinstallation auf allen Geräten. Ersteres ist hier lang und aufwändig, ja. Aber der zweite Schritt ist so herrlich bequem, dass ich jederzeit wieder diese 5 Schritte durchmachen würde. Denn jetzt kommt – tadaaaa:

(6) Enroll: Um Apps auf ein einziges oder auch gleich tausend iPads zu bringen, verfährt man in beiden Fällen exakt wie folgt: Man kauft die App im VPP Store mit 50% Rabatt. Dann loggt man sich in seinem MDM Server ein, wählt die App aus und legt dann nur noch fest, welche iPads die Apps empfangen sollen. Das nächste Mal wenn das iPad oder die tausend iPads online sind, werden die Apps installiert. Fertig. Und jetzt sag noch einmal jemand, dass das doch auch bequem über den Apple Configurator 2 funktioniert…

Über den gleichen Weg kann man natürlich nicht nur Apps verteilen sondern auch die Geräte konfigurieren. Ich schalte z.B. den Appstore auf den Geräten aus (wenn hier einer kauft, dann bin ich das, hugh!) richte das Hintergrundbild ein, schalte die Codesperre ab uvm.

Sollte ich dein Interesse geweckt haben, wie man sich nach dem erstmaligen Einrichtungsaufwand von Punkt 1-5 das Leben leicht machen kann, dann schreib mir eine E-Mail. Ich komme auch gern an deine Schule.