Hallo zusammen,

Die Schule unseres Sohnes möchte auf unserem privatem iPad die MDM Software JAMF School installieren. Ich bin leider in dem Thema nicht so tief drin. Vielleicht kennt sich hier jemand aus und könnte mir mal sagen, was das für uns heißt…

Könnte die Schule dann:
- auf alle Daten auf dem iPad zugreifen?
- immer sehen, wo sich das iPad befindet?
- Das iPad sperren?
- Apps und Daten fernlöschen?

Ich bin da ehrlich gesagt total unsicher, was das ganze angeht. Es handelt sich schließlich um unser Eigentum und nicht um ein geliehenes iPad…

Danke für eure Hilfe,
Urkman

Auf deinem privaten iPad? Nein, würde ich nicht machen lassen. Wenn sie das wollen, sollen sie Leihgeräte ausgeben. JAMF School kenn ich nicht, aber wenn es auch nur annähernd das kann, was JAMF auf dem Mac kann, dann kann es viel.

Auf alle Daten zugreifen? Nein, ganz sicher nicht.
Immer sehen, wo sich das iPad befindet? Eventuell, das kann die Schule beantworten.
Das iPad sperren? Eventuell, das kann die Schule beantworten.
Apps und Daten fernlöschen? Eventuell, das kann die Schule beantworten.

Besser mal in der Schule fragen, denn danach musst Du uns nicht mehr fragen

Als Gegenfrage: warum will die Schule das? Ich vermute mal, dass die Schule
- eurem privaten iPad Zugang zum WLAN gewähren will
- nur iPads mit aktuellem iPad OS ins WLAN lassen will
- ein paar Apps für den Unterricht installieren möchte, die die Schule gekauft hat
- die Schule in der Lage sein will, während des Unterrichts manche Apps zu blockieren (wie z.B. YouTube, Tiktok, etc.)
- oder bestimmte Apps in den Vordergrund bringen will oder auf allen Geräten gleichzeitig eine App für den Unterricht starten will

Das wären jedenfalls durchaus legitime Zwecke des MDM. Grundsätzlich darf die Schule ja die Regeln bestimmen: WENN dieses private iPad im Unterricht genutzt werden soll, dann MÜSSEN bestimmte Dinge drauf sein und DÜRFEN manche Dinge nicht.

Sprich mal mit der Schule!

Jam greift nur in das Handling während der Schulzeiten oder während des Betriebes im Schulnetzwerke ein (je nachdem wie es in der Schule konfiguriert wird). Dann werden nur bestimmte Programme zugelassen oder bestimmte Bildschirme geteilt. Zuhause bzw. in "nicht Schulzeit" merkt man davon nichts mehr.
Zugriff auf die Daten und Position hat die Schule dadurch aber nicht. Abgesehen von den erwähnten Funktionen kann die Schule aber nichts sperren oder gar löschen.

Danke für eure Antworten

Klar, das wird auch gemacht... Mir geht es nicht darum, was die Schule machen möchte, sondern was sie machen könnte...

und genau da wird es schwierig weil es davon abhängen wird, was sie wie konfiguriert. Am Ende wird man sich auf deren Aussage verlassen müssen das sie dies und jenes nicht machen werden. Aber vielleicht gibt es ja auch eine Möglichkeit, das am Gerät einfach zu kontrollieren?

Urkman

es ist immer erstaunlich, dass Leute mit Nicht- oder Halbwissen kluge Ratschläge verteilen.

Den Befugnissen der Schule ist durch die Datenschutz- und Schulgesetzgebung enge Grenzen gesetzt. Die entsprechenden Vorgaben lassen sich in der Regel beim zuständigen Schulministerium nachlesen.
Im Falle unserer Schule würde die Schule gerne mehr machen und die iPads enger einbinden, darf sie aber nicht.
Das hier beschriebene Programm kenne ich zwar auch nicht, aber an unserer Schule wird eine Classroom App genutzt, in der sich die Kinder während des Unterrichts einloggen müssen. So kann der Lehrer sehen, welche iPads aktiv sind und mit was sie gerade beschäftigt sind. So soll während des Unterrichts verhindert werden, dass „am Thema vorbei gearbeitet wird“.
Die iPads sind auch hier privat und daher darf die Schule auch gar nichts darüber hinaus machen oder einschränken.

Das ist alles schön und gut. Die eigentliche Frage ist aber:

• Kann der/die Betroffene überhaupt überprüfen, ob die Schule ihre Befugnisse einhält oder überschreitet.

Wie war das noch?

• Vertrauen ist gut, Kontrolle ist besser.

Ist ja richtig, aber 1. _vertraue_ ich der Schule bereits mein Kind an (sic!), wenn dieses Vertrauen gestört wäre, gibt es größere Probleme, 2. kann nur der TE im Gespräch vor Ort konkrete Antworten bekommen und nicht hier, 3. sind zumindest bei uns die betreuenden ITler so „ängstlich“, dass noch nicht einmal erlaubte Möglichkeiten ausgeschöpft werden, sondern noch restriktiver sprich konservativer konfiguriert wird. Das Thema ist halt hochsensibel, da setzt sich keiner freiwillig in die Nesseln.

Respekt, cooler Einstieg: erstmal rundum ein paar Ohrfeigen verteilen und danach ein paar Argumente zum prinzipiellen rechtlichen Rahmen nennen.

Ich habe einen Schüler der ebenfalls sein privates iPad von der Schule hat verwalten lassen. Welche Software dafür benutzt wurde weiß ich leider nicht.

• 1. Die Schule will Kontrolle was auf den iPad im Unterricht gemacht wird und kann das sehen. So kann der Lehrer z. B. vom Pult aus auf seinem iPad sehen, ob der Schüler gerade "abgelenkt" (spielt) ist. Der Lehrer weiß immer was für eine App gerade geöffnet ist.
• 2. Der Schüler hatte in seiner Freizeit zuhause gespielt. Spielstände waren nach der Kontrollübernahme durch die Schule größtenteils weg, weil alle Apps die vorher installiert waren wieder neu installiert werden mussten. Daten von Apps/Spielen die nicht vorher gesichert wurden waren weg.
• 3. Da es in der App Nachrichten/iMessage möglich ist mini Spiele zu spielen und der Lehrer nicht sieht was gerade in Nachrichten gemacht wird, wurde die App Nachrichten komplett gesperrt. Also war das senden/empfangen von Nachrichten nicht mehr möglich. Auch die Synchronisation zwischen iPhone und iPad wurde deaktiviert. Die Deaktivierung ging nur schulweit und konnte nicht für ein iPad ausgeschaltet werden. Außerdem war außerhalb der Schule Nachrichten ebenfalls deaktiviert.

--

• Zu 1. Gegenargument: Auf einem Blatt Papier kann der Schüler auch spielen. Wer hat in der Schule nicht selbst mal Käsekästchen gespielt? Soll nun das Papier in der Schule verboten werden? Ich gehe außerdem jede Wette ein, dass ich mit einem Blatt Papier den Unterricht mehr stören kann als mit einem iPad. Lösung wäre hier Vertrauen an den Schüler.
• Zu 2. ... absolutes NO GO. Finger Weg von meinen Daten.
• Zu 3. Eine privat genutzte App auf meinem Eigentum sperren? NO GO. Auch hier wäre die Lösung dem Schüler zu vertrauen. Wenn ein Schüler im Unterricht sich ablenken will, tut er das. Hier hilft nur mit ihm reden und überzeugen, dass aufpassen im Unterricht besser ist.

Mein Fazit: Die Schule hat die Finger von einem privaten iPad zu lassen.

a.) ist die Funktion nicht abhängig vom MDM-Server, sondern kommt durch die Classroom.app von Apple. D.h. auch ohne Anbindung an einen MDM-Server kann dies umgesetzt und genutzt werden. b).) Und das ist aus meiner Sicht aus gut so. Die Schule muss den Unterrichtsalltag gestalten und umsetzten können. An vielen Schulen ist da z.B. auch ein Handynnutzungsverbot während der Unterrichtsstunden umgesetzt. Wieso? Weil natürlich die Möglichkeiten der Ablenkung durch ein solches Gerät um einiges höher ist als mit Blatt Papier Wir wollen, dass sich Kinder weiterentwickeln und auf neue Herausforderungen und Anforderung im späteren Leben bestmöglich vorbereitet werden, aber wollen nicht, dass eine Schule diese Umsetzung im Schulalltag auch kontrollieren kann?
Ich glaube da muss man nur einmal selbst eine Woche an einer Schule verbringen und das mit machen
Alleine, dass die Kinder wissen, dass die Lehrkraft das machen _könnte_ hält viele schon davon ab, dies dann zu machen.


Dies ist dann eher abhängig davon, wie die Schule das technisch umsetzen möchte. Die meisten Rechte bekommt der MDM-Server, wenn das iPad im Zuge der Anbindung an diesen komplett zurück gesetzt wird. Nutzt man das nicht, so stehen der Schule bzw. dem MDM-Server deutlich weniger Funktionen zur Verfügung. Da spielt dann auch die Entscheidung von Apple mit rein, wie das technisch im iPad OS umgesetzt ist.


Mein Fazit: Man kann seinem Kind ja auch ein eigenes iPad für die Schule anschaffen, oder sich eine Schule aussuchen, die nicht auf eine solche modernen, technische Umsetzung setzt, sondern bei denen Stift und Papier genutzt wird

ich gebe dir in dem Punkt recht, dass private Daten tabu sein müssen!

Andererseits hat es Stresstest schon gut ausgeführt: die Schule muss einen guten Unterricht gestalten können. Und dazu gehören meines Erachtens entsprechende Vorgaben, deren Einhaltung zu kontrollieren ist. Früher sind Lehrer, die es interessiert hat, einfach durch die Reihen gegangen. Digital muss sowas eben anders gelöst werden.

Zumindest in der Region, in der ich lebe, ist eine zentrale Beschaffung beziehungsweise Bereitstellung von iPads über die Schule nicht möglich. Von daher kann es nur über die Nutzung privater iPads laufen.
Die Projekte, die seitens der SchülerInnen damit umgesetzt werden können, finde ich genial.

@ T. Kemmer
Entschuldige bitte, dass ich da in meinem Einstieg wohl etwas übers Ziel hinaus geschossen bin. Aber die ersten beiden Posts haben mich da etwas getriggert. Ich bin in der Tat ein Freund klarer Ansagen, wenn ich etwas nicht mag. Gleiches gilt aber auch für gute Dinge, die ich gerne lobend anspreche. Aber Du hast Recht, dass hätte ich auch für mich behalten können. Sorry an der Stelle

Generell bin ich für die Nutzung von iPads in der Schule. Das sollte noch stärker gefördert werden. Aber die Nutzung muss auf Vertrauensbasis basieren. Genauso wie die Nutzung von Papier und Stift auf Vertrauen basiert. Es spielt dabei keine Rolle ob es mehr Möglichkeiten gibt sich abzulenken.
Ein privates iPad ist gleichzusetzen mit privaten Papier und Stift. Über privates Papier und Stift hat der Lehrer auch keine Kontrolle.

Wird Kontrolle gefordert, kann dies nur über von der Schule gestellte iPads, Papier und Stifte gehen.

Generell gilt:
Will ein Schüler mitmachen im Unterricht, tut er das.
Will ein Schüler sich ablenken, tut er das auch. Da hilft kein Verbot und keine Kontrollapp.

Und sollte ein Schüler sich ablenken, egal ob mit Papier, Handy oder iPad hat der Lehrer auch immer noch die Möglichkeit durch die Reihen zu gehen, dazu muss keine Kontrollapp installiert sein.

BeeOne Es ist doch ok, wenn private iPads genutzt werden. Verlangt denn die Schule Kontrolle darüber? Das würde ich ablehnen. Trotzdem kann ich doch tolle Projekte mit einem privaten iPad machen.

Stresstest Wir sind doch einig, dass ein privates iPad genutzt werden soll. Das ist gut und soll noch stärker gefördert werden. Kein iPad zu nutzen halte ich für schlecht. Nur die Kontrolle/Überwachung soll nicht digital erfolgen! Gerne kann der Lehrer durch die Reihe gehen. Das muss reichen.

Grundsätzlich bin ich da auch voll und ganz bei dir. Und auch mit "Hände weg von privaten Daten" sehe ich genauso. Wobei da der Server ja auch kein Einblick oder Zugriff darauf hat.

Nur wird es dann aus meiner Sicht kompliziert bis unmöglich, das komplett ohne MDM-Server umzusetzen. Es gibt viele Schulen, die ihren Schüler und Schülerinnen auch Apps zur Verfügung stellen. Oder Apps wie GoodNotes, die über den Apple School Manager kostenfrei sind, über den normalen Store aber was kosten. Wie will man das denn dann ohne MDM-Server umsetzen?
Schulen die mittlerweile Prüfungssituation mit den iPads umsetzen ... auf Vertrauensbasis? Da braucht man einen Single-App Modus und muss Einfluss darauf haben, dass man diesen Zustand während es Unterrichts herstellen kann. Auch "Spicken" ist ist dann immer wieder ein Thema, soll das iPad dann komplett offen sein, so das auf Internet, Notizen, etc. zugriffen werden kann?
Ich denke da wird es noch hunderte solche Fragen geben, die man sich stellen muss, wenn ein solches digitales Lernmittel auch in Zukunft immer weiter in den Alltag der Schule rückt.

Und in dem Zuge kann man sich dann streiten, wie gut die Vertrauensbasis funktioniert. Die Lehrkraft hat dann 20-25 Kinder zu beaufsichtigen und dann reichen dort ein Kleinteil, die eben nicht nach den Regeln spielen, um solche Vorhaben zum Scheitern zu bringen.

Ich melde mich hier einmal zu Wort als verantwortlicher Koordinator für Digitalisierung.

An unserer Schule haben wir über JAMF sowohl privat gekaufte (zählt bei uns zum Schulprofil), als auch Leihgeräte (für Familien, die sich die Anschaffung eines iPads nicht leisten können/wollen oder bspw. für geflüchtete Schüler eingebunden.

Hierbei muss unterschieden werden zwischen:

a) einem Vollzugriff: diese Geräte sind vielfältiger zu administrieren, u.a. kann ein Standort eingesehen werden, Apps zugewiesen werden, Profile (quasi Einstellungen, z.B. für das schulische WLAN) gepusht werden sowie Geräte gesperrt/ferngelöscht werden. Zudem können Apps installiert werden, was interessant bei schulischen Apps ist, die kostenpflichtig sind.
Unsere LeihiPads haben einen Vollzugriff.

b) einem Teilzugriff: während Geräte im Schul-WLAN sind, kann ein Teilzugriff erfolgen, z.B. können verwaltete Profile (Schul-WLAN, s.o.) sowie verwaltete Apps (s.o.) zugewiesen werden. Weitere Einstellungen sind nicht möglich.

Für beide Einbindungsformen gilt, dass private Daten (z.B. Fotos, Dokumente) nicht eingesehen werden können. Das ist technisch gar nicht möglich. Zudem können nur IT-Admins (i.d.R. 1-3 Personen an der Schule) auf JAMF zugreifen. Das weitere Lehrpersonal hat keinen Zugriff auf JAMF.

Womit wir doch eine Lösung für Urkmann haben. Wie am Anfang schon gesagt. In der Schule fragen wie das umgesetzt ist.

Bei meinem Schüler war das private iPad wohl mit Vollzugriff eingerichtet. 🤷🏻‍♂️
Urkmann sollte auf Teilzugriff bestehen und zwar so, dass alle Apps die er nutzen möchte auch weiterhin nutzbar bleiben. Aber Achtung, ein Profil kann auch Apps sperren.

Ich wäre mit der Sperrung von z. B. Nachrichten jedenfalls nicht einverstanden.

Bei MDM-Geräten unterscheidet man grundsätzlich zwischen "betreuten" und "nicht-betreuten" Geräten. Auf einem von einer Organisation betreuten Gerät geht grundsätzlich viel mehr, als auf einem unbetreuten Gerät.
In eurem Fall wäre das ein typischen BYOD-Szenario. Das heißt: Das Gerät ist nicht betreut.
Das ist in der Regel nur bei orginastionseigenen Geräten so, die direkt über Apple oder entsprechende Partner gekauft und dem Apple Business-Manager zugewiesen werden. Von dort werden die Dinge an ein (oder verschiedene MDM-Lösungen) weitergegeben.

Datenschutz wird bei MDM groß geschrieben, sogar bei den betreuten, also Geräten die der Schule/Firma gehören, kann man nicht alles einsehen, unabhängig von der MDM-Lösung.

Bei einem selbst gebrachten Gerät, welches einfach als BYOD-Gerät (= Bring your down device) fungiert, geht noch weniger UND du kannst jederzeit aus dem MDM austreten. Das geht zum Beispiel bei unternehmenseigenen Geräten nicht so leicht, wenn man das in seinen Organisationseinstellungen verbietet.

Zudem kannst du in den Systemeinstellungen beim iPad dann ganz genau sehen, welche Profile installiert werden, und was die alles machen. Zudem sollte hier auch eine Verlinkung zu den Datenschutzbestimmungen integriert sein, wo man sich nochmals tiefer einlesen kann.

Da man selbst im schlimmsten Fall nur so viel kann, wie es Apples Datenschutzbestimmungen zulassen würden, würde ich der Schule hier vertrauen.

Wie gesagt: Nach dem Beitritt zum JAMF, kannst du jederzeit selbstständig da wieder raus und siehst anhand der Profile genau, was die Schule machen kann, welche Einstellungen sie pusht usw. Und diese Profile "schummeln" nicht

Größtes Problem daran für die Schulen ist: Auf nicht-betreuten Geräten kann man keine Apps oder App-Kategoriere ausblenden. Und das ist das, was die meisten Schulen eben genau wollen: In der Schule keine Spiele, kein Facbook, TikTok etc. - womit wir dann wieder bei der Diskussion wären: BYOD-Geräte am MDM-Server der Schule anbinden, und wenn ja, dann betreut? Und wenn betreut, dann muss das Gerät dafür neu sein oder zurück gesetzt werden

Da fängt es ja schon an. Mit einem Privatgerät ist es nicht möglich, ins Schul-WLAN zu kommen. Einfach einen Nutzernamen und ein Passwort eingeben funktioniert nicht. Aber das ist von Schule zu Schule sehr unterschiedlich.

Um die Fragen der Reihe nach zu beantworten:
- Nein
- Nein
- Nein
- Nur die Apps welche von der Schule installiert werden sowie deren Daten

Auf Papier kann die Schule auch nicht verhindern, dass Käsekästchen, Schiffe versenken usw. gespielt wird.
Womit wir wieder bei Vertrauen und durch die Reihen gehen sind.

Die Prüfungssituation ist allerdings spannend. Sowas sollte aber auch auf BYOD iPad gehen, wenn man für die Prüfung temporär nur eine App erlaubt. Vielleicht können Pottpauker oder Schibulski dazu was sagen.

Jedes iPad lässt sich doch sowieso in den geführten Modus schalten. Allerdings ist das per Hand bei 20+ iPad vor der Prüfung recht aufwendig.

Wenn sich ein Kind ablenken und nicht dem Unterricht folgen will, dann gibt es natürlich auch die von dir genannten "analogen" Möglichkeiten. Es kann auch aus dem Fenster schauen oder vor sich hin träumen.

Aber ich denke wir sind uns einig: Die Wahrscheinlichkeit, dass sich Jugendliche im Unterricht eher von TikTok, Snapchat, Instagram und Co. ablenken lassen, als von Stift und Papier ist gegeben oder?

Oder würdest du sagen: Wenn beide Möglichkeiten (Nutzung von iPad oder Spielen von Käsekästchen) zur Verfügung stehen, dann würde sich die Meisten für das Papier entscheiden zur Ablenkung?

Ja, klar Käsekästchen
Wenn der Schüler die Wahl hat und ein iPad steht zur Verfügung, dann wahrscheinlich ein iPad.

Nur, warum muss die Schule digital überwachen was auf dem iPad gemacht wird, wenn doch durch die Reihe gehen reicht?

Du hast noch nie unterrichtet
Welcher Lehrer soll denn permanent durch die Reihen gehen und kontrollieren was die Kids da machen?
Wenn man das mit einem System unterbinden kann, entlastet das die Lehrperson deutlich und sie kann sich dann vllt mit dem beschäftigen, was ihr Job ist: Unterrichten.

Danke für die vielen interessanten Antworten und Meinungen

Ich habe die Firma hinter JAMF jetzt übrigens 2x angeschrieben und um Beantwortung meiner Fragen gebeten...
Keine Antwort... Das baut natürlich vertrauen auf...

Auch bei der Schule warte ich noch auf weiterführende Informationen

Und genau diese Beschreibungen "Teilzugriff" und "im Schul-WLAN" lassen leider bei mir viel zu viele Fragen offen, die (siehe oben) aktuell von keinem beantwortet werden. Mir geht es dabei auch um die Beantwortung der Fragen, wie sowas technisch umgesetzt wird...

Auch wenn es nur 1-3 Personen sind, die Unfug machen können (beabsichtigt oder nicht), sind das genau 1-3 Personen zu viel...

Könntest du da etwas in "Detail" gehen...

Was soll Jamf auch dazu sagen? Die wissen ja nicht, wie das Ganze an der Schule umgesetzt wird. Die können dir die DSGVO Einhaltung des Dienstes bestätigen, aber nicht, welche Einschränkungen auf dem iPad gesetzt werden.

"Teilzeitzugriff" und das nur "im Schul-WLAN" stimmt ja so im direkten Zusammenhang nicht. Das gibt es nicht.
So lange keine Firewall (zu Hause) den entsprechenden Traffic vom MDM-Server zum iPad aktiv blockiert, hat der Jamf School Server IMMER Zugriff, ganz egal wo sich das iPad befindet, solange dies WLAN/Internet hat. Das ist nicht vom Schul-WLAN, Standort oder sonst etwas abhängig. Das ist ja der große Vorteil eines MDM-Servers: (Fast) Egal wo sich das Gerät befindet, es kann verwaltet werden.

Der Vorteil für die Schule ist dann aber: Der MDM-Server kann abhängig davon, wo sich das iPad befindet, gewisse Einstellungen oder Einschränkungen auf dem iPad vornehmen. So kann man sagen: Wenn das iPad in der Schule ist, dann werden gewisse Apps gesperrt, ist es zu Hause, dann sind alle Apps freigegeben und das iPad ohne Einschränkungen zu nutzen.

Alleine dafür, dass der Server das iPad zu Hause wieder freigeben kann, muss sich das iPad am Server melden und diesem mitteilen, dass es nicht mehr in der Schule ist. Dafür muss der Server mit dem iPad kommunizieren. Könnte er das nicht mehr, kann der ganze Vorgang nicht durchgeführt werden und die Einschränkungen bleiben bestehen.

Was anderes ist der Status, ob das iPad vom Server als "betreut" anerkannt wird oder nicht. Da hat "Schibulski" ja schon einiges zu geschrieben. Dieser Zustand gewährt dem Server erweiterte Rechte, kann aber nur bei der Ersteinrichtung des iPads gesetzt werden. Nutzt man das iPad im Zusammenspiel mit dem MDM-Server ohne diesen "Betreut"-Status, dann hat dieser weniger Rechte.
Man kann aber nicht nach einem Jahr sagen, man versetzt das iPad nun doch in diesen Status, ohne das iPad zurückzusetzen und komplett neu einzurichten oder einiges an Arbeit mit Backups und zweitem Gerät zu investieren. Das muss sich die Schule am Anfang überlegen: Brauchen Sie diese erweiterten Rechte oder nicht.
Weitere Infos:

Folgende Einschränkungen sind nur auf einem betreuten Gerät durch den MDM möglich:

Jamf School kann grundsätzlich auf keinerlei Benutzerdaten auf ein iPad zugreifen, technisch nicht möglich. Es werden keinerlei Daten zwischen Jamf und iPad getauscht.

Ein iPad sperren und orten geht nur durch Aktivierung des Lost Mode... dies kann grundsätzlich nicht unbemerkt geschehen. Der Lost Mode sperrt das Gerät und es wird geortet. Das iPad ist nicht mehr nutzbar bis der Lost Mode beendet wird. Danach erscheint eine Meldung auf dem iPad wann und von wem es geortet wurde. Diese Meldung muss durch tippen auf "weiter" bestätigt werden. Der Nutzer kann nicht unbemerkt geortet werden und dann hat die Schule ein Problem, wenn die das zum Spaß machen bzw. die Admins.

Jamf School kann ausschliesslich Apps löschen, die auch durch die Jamf verwaltet und über den Apple Schoolmanager eingekauft wurden. Ist auf einem iPad eine private AppleID angemeldet und es sind weitere Apps über den AppStore installiert, sind diese nicht durch Jamf in irgend einer Form handhabbar. Der Jamf Admin kann sehen welche Apps installiert sind und wieviel Platz sie verbrauchen. Das wars auch schon, mehr Informationen stehen nicht zur Verfügung. Die Daten der Apps sind grundsätzlich nicht einsehbar, egal ob VPP oder AppStore.

Die Möglichkeiten der Administration der Geräte steht und fällt mit der Einbindung. Werden die privaten Geräte nachträglich ins DEP gebucht, kann mit Jamf umfangreicher verwaltet werden. Eine nachträgliche DEP Registrierung setzt eine Wiederherstellung des Gerätes voraus. Danach kann noch 30 Tage lang die DEP Registrierung verlassen werden. Nach Ablauf der 30 Tage ist die Option hinfällig. Danach kann nur noch der Admin die Registrierung bei Apple im Schoolmanager auflösen. Die DEP Registrierung ist Voraussetzung um alle Funktionen der Jamf nutzen zu können. Apple sieht in dem Inhaber der DEP Nummer (Organisations-Nummer) den Eigentümer der Geräte. Das macht es eigentlich zu einer Grauzone. Ein privat beschafftes Gerät nachträglich ins DEP buchen macht die Sache kompliziert.

Wird das Gerät nicht ins DEP gebucht, sind auch nicht alle MDM Funktionen gegeben und das iPad kann grundsätzlich zu jedem Zeitpunkt die MDM verlassen. Genau diese Frage muss die Schule beantworten. Wie wird das private Gerät eingebunden und welche Einschränkungen sind vorgesehen. Standortbasierte Konfigurationsprofile sind nicht so einfach umzusetzen, da diese abhängig der WAN-IP sind. Die Schule mag vielleicht eine statische IP haben, jedoch genügt es das iPad mit dem mobilen Hotspot des Handys zu verbinden um dies zu umgehen. Daher müsste die Schule zumindest noch ein weiteres Kriterium ins Spiel bringen um das Wasserdicht zu gestalten.

Hier wäre ein Infoabend der Schule angebracht zusammen mit dem Dienstleister, der die Geräteverwaltung übernimmt. Und das ist das wichtigste Wort bei dem Ganzen... Geräteverwaltung... Jamf School ist keine Datenverwaltung. Wird eine App gelöscht, gehen natürlich die Daten innerhalb der App mit verloren. Aber wie gesagt, eine App aus dem AppStore kann nicht einzeln entfernt werden.

Die Trennung der Daten innerhalb des Gerätes geht sogar so weit, dass die Daten die durch verwaltete Apps erzeugt wurden von den Daten die durch nicht verwaltetet Apps erzeugt wurden komplett getrennt werden. Es kann sogar per Konfigurationsprofil Copy&Paste von einer App in die andere unterbunden werden, bzw. es muss erlaubt werden. Die Default Einstellung in Jamf School ist, dass Copy&Paste zwischen managed und unmanaged Apps nicht möglich ist. Beispiel... Numebrs aus dem AppStore kann keine Daten in Pages aus dem VPP Store kopieren.

Das ist ein unglaublich weites Feld und die Schule bzw. der Schulträger muss hier definitiv mehr Aufklärungsarbeit leisten.