Apps über VPP kaufen und auf iPads verteilen

VPP – das steht für das Volume-Purchase-Program von Apple und bedeutet, dass man Apps nicht im iTunes Store kauft wie es für das eigene iPad oder iPhone üblich ist, sondern in einem Extra Bereich (konkret: eine Webseite) in großen Mengen.

In diesem Artikel werde ich die vielen notwendigen Schritte versuchen zu rekonstruieren, da ich mich selbst erst einmal durch eine Menge Dokumentation quälen musste und auch ein paar Mal meine Kontakte bei Apple Education Germany angeschrieben habe bevor es mir selbst ganz klar war.

Wichtig ist, dass man sich darüber klar wird, dass man für den Kauf und die Verteilung von Apps verschiedene Rollen braucht – was eigentlich ganz logisch ist für große Firmen, für den Schulalltag aber nicht sofort ersichtlich ist.

Da gibt es zunächst die Rolle des Einkäufers [ich nenne ihn mal Stellvertretender Schulleiter ;-)], dieser muss zuallererst Guthaben auf Rechnung erwerben:

https://ecommerce.apple.com/asb2b/fys.do?language=DE&country=DE

Oder die Kurzform:
https://ecommerce.apple.com

Die Apple ID des Einkäufers muss eine geschäftliche Apple ID sein, die zum Teil etwas andere Bedingungen erfüllen muss wie z.B. das zweistufige Login-Verfahren um mehr Sicherheit zu gewährleisten. Ist etwas nervig aber eben sicherer.

Ferner muss man einen Mitarbeiter [ich nenne ihn mal Systemadministrator ;-)] haben, der die Administrator-Konten der Schule verwaltet. Diese können mit dem ihnen zugewiesenen Guthaben anschließend Apps kaufen. Normalerweise erstellt eine Schule wohl nur einen Administrator, aber man könnte hier mehrere anlegen. Brutal wichtig ist, dass der Einkäufer [Stellv.Schulleiter] beim Kauf des Guthabens die richtige Apple ID des Administrators eingibt, da ansonsten das Guthaben nicht zugeordnet wird. Die Apple ID des Administrators kann anschließend das Guthaben einlösen und Apps in großer Menge kaufen.

Beide Apple IDs müssen schriftlich von einem Mitglied der Schulleitung in ihren Rollen / Funktionen bestätigt werden. Den Status der Freischaltung kann man hier überprüfen:
https://myaccess.apple.com/epdm/index.do

Man kann, wenn man möchte, noch eine dritte Rolle mit ins Spiel bringen, die so genannten Angebotsersteller, die sich nur im VPP Store umsehen können, Preise sehen und dem Systemadministrator dann Apps zum Kauf vorschlagen können bzw. den Kauf sogar konkret vorbereiten können, aber eben nicht tatsächlich ausführen können. Dies könnte z.B. der Medienassistent einer Schule sein, so sie denn einen hat.

Wenn man die o.g. Konten / Rollen eingerichtet hat, läuft es eigentlich immer so ab, dass zuerst der Stellv. Schulleiter Guthaben kauft und dem Administrator-Konto zuweist. Dieser kann dann folgendes tun:

  1. Die Haupt-Webseite ansurfen, über welche er die Administratoren verwaltet, oder sich zum VPP Education Program durchklickt: https://deploy.apple.com/qforms/web/index/avs
  2. Der Link zum VPP Store ist: https://vpp.itunes.apple.com/?l=de
  3. Hier kann man auf einen Button klicken, der einen zum Education Store weiterleitet, Direktlink: https://volume.itunes.apple.com/de/store?l=de
  4. Hier kann man schließlich nach Apps suchen und diese kaufen (wenn man denn Guthaben hat!) Man hat die Wahl zwischen „redeemable Codes“, um die Apps anschließend über das Programm „Apple Configurator“ den Geräten zuzuweisen. Oder man hat einen MDM-Server aufgesetzt und kann die Apps direkt über den MDM-Server verteilen (ist m.E. stark zu bevorzugen!).

Über die Vorteile eines MDM-Servers schreibe ich im Artikel „Administration der iPad Klasse„.

Ich hoffe diese Verfahrensauflistung hilft dem ein oder anderen Sysadmin-Kollegen 🙂 Über Feedback freue ich mich.

Administration der iPad Klasse

Dieser Artikel beschäftigt sich damit, was es idealerweise zu beachten gibt, eine iPad Klasse (oder auch eine Bring-your-own-Device-Klasse) an einer beliebigen Schule zu starten. Es soll interessierten Medienpädagogen eine Anregung sein, was alles mit einem iPad in der Klasse möglich ist und Systemadministratoren die Arbeit erleichtern, iPads und Apps zu verwalten.

Zunächst würde ich heute auf keinen Fall mehr auf einen Mobile-Device-Management-Server (MDM) verzichten. Mittels eines solchen Servers kann man Mobile Geräte (iPad und Android Geräte gleichermaßen) aus der Ferne administrieren, Apps und Lizenzen verteilen und auch wieder zurücknehmen. Der MDM Server kann den Status der Geräte auslesen (Speicherbelegung, installierte Apps, Systemupdates) und bei Verlust auch aus der Ferne löschen. Dies ist natürlich gerade bei Bring-your-own-Device Geräten datenschutzrechtlich problematisch, weswegen hier eine offensive Informationspolitik gefahren werden sollte und einmal gezeigt werden sollte, was so ein MDM-Server alle kann. Medienpädagogisch hat es den großen Mehrwert, dass den Schülerinnen und Schülern gezeigt wird, was alles aus der Ferne und ohne das Wissen des Nutzers ausgelesen werden kann.

Damit die Geräte am MDM-Server angemeldet werden, muss auf ihnen ein Profil installiert werden. Dies geschieht in der Regel übers Internet, der MDM-Server stellt dazu eine URL bereit, die Schüler-Geräte surfen mit dem eingebauten Webbroser (Safari, Chrome) die URL an und werden dann direkt gefragt, ob sie das Profil installieren wollen.

Hey, vor einer Woche hat O2 mir auch eine E-Mail geschickt, mit der Aufforderung, ich solle eine Webseite öffnen und ein Profil installieren. Können die jetzt auch all das sehen, was sie da sehen Herr Quintero?

Dies war die erste Aha-Effekt Frage eines Schülers, dem dämmerte, dass über ein solches Profil beinahe alle Privatsphäre dahin schmelzen kann. Niemand kann auf einfache Art und Weise messen, was O2 jetzt alles über das Schüler-Gerät weiß, man verlässt sich hier auf den bestenfalls in der E-Mail enthaltenen Infotext.

Für den Administrator ist weniger von Interesse zu sehen, wie viel Speicherplatz auf dem Gerät noch frei ist, oder ob der Schüler / die Schülerin Spiel-Apps statt Lern-Apps installiert hat, wichtig wird das Anmelden am MDM jedoch, wenn man kostenpflichtige Apps mit den Schülern nutzen will. Damit nicht jeder Schüler die App kaufen muss, muss eine Lösung her, dass die Institution die App käuflich erwirbt und dann an die Schüler-Geräte verteilt.

configFür iOS Geräte ist eine erste Möglichkeit, spezielle Installations- bzw. Freischalt-Codes für die App zu kaufen, die man anschließend in ein Zusatzprogramm namens Apple Configurator eingibt um dann die Apps auf die über USB angeschlossenen iPads zu verteilen. Das bedeutet auch, dass man für jedes App-Update alle iPads wieder an den Rechner anschließen muss, über den die Geräte aufgesetzt wurden. Sollte der Rechner (Mac oder Windows geht beides) zwischenzeitlich einmal einen Crash haben, sind die Apps auf den jeweiligen Geräten verloren, ein Backup ist daher extrem wichtig! Ich habe mich jedoch gegen die Apple Configurator Lösung entschieden, da der Kauf von den Codes, die anschließende Eingabe in das Programm Configurator, das Anschließen der iPads und die wiederkehrende Synchronisation der Geräte mir für den Alltag zu umständlich erschien. Auch weiß ich aus Erfahrung, dass Schülerinnen und Schüler gern einmal aus versehen eine App löschen und dann müssen sie so lange auf die Re-Installation warten, bis ihr Gerät das nächste Mal am Schulrechner angeschlossen wird.

Einfacher ist es über den MDM Server, der es einem ermöglicht, die von der Schule gekauften Apps vorübergehend einer anderen Apple ID „anzugliedern“. Das heißt, dass die Schule beispielsweise 26 Mal die App TI-Nspire von Texas Instruments für je 26,99€ kauft (damit die Schüler nicht mit dem CAS Rechner arbeiten müssen, sondern ihr iPad benutzen können) und diese Apps dann aber den Apple IDs der Schülerinnen und Schüler angliedert. Für die Schüler sieht es dann so aus, als hätten sie selbst die App gekauft, sie taucht in ihren letzten Einkäufen auf und kann jederzeit von ihnen auf jedes ihrer Geräte heruntergeladen werden (also auch auf ihr privates iPhone so sie denn eines besitzen). Über den MDM Server kann man diese Angliederung jederzeit mit einem einzigen Mausklick widerrufen, sodass der Schüler / die Schülerin dann die App nicht mehr besitzt und sie auch in den letzten Einkäufen nicht mehr auftaucht. Der größte Vorteil dieser Angliederung ist, dass die Schülerinnen und Schüler die Updates selbst durchführen können, und die App auch auf anderen Geräten nutzen können. Beim versehentlichen Löschen können sie die App selbst wieder herstellen. Ihr Gerät muss auch nie an den einen Schulrechner angeschlossen werden. Welche Schritte dazu im einzelnen nötig sind, schreibe ich im Artikel „Apps über VPP kaufen und auf iPads verteilen„.

padlock-317015-mDas alles Entscheidende Feature für die Anschaffung der MDM Lösung war für uns allerdings, dass der MDM-Server aus der Ferne einen Befehl senden kann, dass das iPad in den so genannten Single-App-Mode schaltet (manchmal an dieser Stelle fälschlicherweise auch als „Geführter-Zugriff“ genannt). Dann zeigt das iPad einzig und allein das am MDM Server eingestellte Programm an. Es reagiert damit auch nicht mehr auf einem Druck auf den Home-Button oder den Ausschaltknopf. Dieses Feature setzen wir in Matheklausuren ein, der Mathematiklehrer sendet ca. 20 Minuten vor Klausurbeginn den Befehl, dass alle iPads die App TI-Nspire im Single-App-Mode öffnen und kann sichergehen, dass während der Klausur die iPads nicht für Täuschungsversuche benutzt werden können. Nach Beendigung der Klausur sendet er über den MDM Server den Befehl, dass die Sperrung der iPads wieder aufgehoben wird. (Was leider ein paar Mal nicht reibungslos geklappt hat, so hing ein Schüler einmal 48 Stunden in der Mathe-App fest und kam dort nicht mehr heraus, bis das iPad endlich den Befehl vom MDM Server erhielt, aus dem Single-App-Mode heraus zu gehen.) Prinzipiell ist ein solcher geführter Zugriff auch über den Apple Configurator möglich, doch dazu muss wieder jedes Gerät zuvor per USB an dem einen Rechner angeschlossen werden, was vor Klausuren und Tests sehr zeitraubend ist.