Im Zuge der Digitalisierung ist die IT-Infrastruktur an Schulen in den letzten Jahren stetig gewachsen. Notebooks, Pool-PCs, Tablets und Smartphones sollen ortsunabhängig flexibles Lernen ermöglichen. Somit muss eine Vielzahl von Geräten auf diverse Ressourcen gesichert zugreifen. Obendrein sind Funktionen wie das zentrale Setzen von Einstellungen, Ausspielen von Software-Paketen und Updates sowie das Monitoring der Sicherheit gefordert. Lesen Sie, wie Microsoft Endpoint Manager beziehungsweise Intune das Gerätemanagement skalierbar macht und unter einem Dach vereint.

Gastartikel von Steffen Schwerdtfeger

Aufgrund der Zunahme von flexiblen Arbeitsmodellen wie dem Home-Office und dem Wunsch, mittels diverser Endgeräte auf Unternehmensdaten zugreifen zu können, stehen Unternehmen vor einem Umdenken und einer Grunderneuerung der IT-Landschaft. Diese Herausforderungen treffen auch auf die Schulen des Landes zu. Während vormals Pool-Räume mit fest installierten PCs im Einsatz waren, bestimmen mittlerweile Tablets, Notebooks und Smartphones das Bild im Klassenzimmer. Durch COVID-19 und das damit verbundene Home-Learning bzw. -Teaching hat dieser Wandel einen zusätzlichen Schub erhalten. Doch wie lassen sich all diese Geräte unter einem Dach zentral verwalten? Diese Fragestellung haben Unternehmen und Schulen zu beantworten.

Mit Endpoint Manager up-to-date in Sachen Schul-IT

Die Schulen in Neuffen standen bereits im Schuljahr 2016/2017 vor der Entscheidung, wie die Verwaltungsumgebung für die damals erste Tablet-Klasse aussehen sollte: Klassisch on-premises oder cloudbasiert. Die Wahl fiel dabei auf die cloudbasierte EMM-Lösung „Intune“ als Teil des Microsoft Endpoint Managers. Aus gutem Grund: Während Firmen in vergleichbarer Größe oft eigene IT-Abteilungen besitzen, sieht die Lage an Schulen meist anders aus. Dort liegt die IT zuweilen in Händen von Lehrkräften, die Schulnetz und Co. neben ihrem Unterricht betreuen. Es fehlt schlichtweg an Ressourcen, um hochkomplexe IT-Systeme aufrecht und aktuell zu halten – genau hier kommt die Cloud ins Spiel. Die Verwaltung von Servern, das Einspielen von Patches und Hardware-Tausch sind Vergangenheit. Zwar müssen auch Systeme wie Intune konzipiert und fortlaufend verwaltet werden, jedoch kann man sich dabei auf das Wesentliche konzentrieren.

Zentral und automatisiert zur komplett eingerichteten Lern-Hardware

Im ersten Schritt fanden somit die Tablets der Pilotklassen Einzug in Microsoft Endpoint Manager. Das Konzept eines „Modern Workplace“ ist hier maßgebend für die Konfiguration. Grundlage ist dabei der Einsatz von Windows Autopilot. Frisch ausgepackt, melden sich die Geräte in der Out-Of-Box-Experience im Branding der Grund- und Realschule Neuffen. Die Einrichtung erfolgt gemeinsam mit den Schülerinnen und Schülern über deren Microsoft 365-Account. Verschiedene zentral angelegte Intune-Profile und Compliance-Richtlinien setzen diverse Einstellungen und sorgen für die Einhaltung dieser Vorschriften. Applikationen, wie zum Beispiel Microsoft 365 Apps for Enterprise, Store-Apps und gängige Win32-Anwendungen, werden automatisiert verteilt. Dafür sind vor allem Intune und RealmJoin der Glück & Kanja Consulting AG verantwortlich. Das Ergebnis ist ein einheitlich eingerichtetes Tablet. Im Self-Service können jederzeit weitere Software-Pakete bezogen werden. Windows Update for Business, Delivery Optimization, Windows Hello, Windows Defender und Co. garantieren einen reibungslosen und sicheren Betrieb der Geräte.

Geräteverwaltung mit Intune auch über Tablet-Klassen hinaus

Schnell war klar, dass auch die bereits bestehenden Pool-Räume in diese zentrale Verwaltung mit aufgenommen werden sollen. Die Implementierung gestaltet sich dabei nahezu analog zu den Tablets der genannten Klassen. Diese Geräte werden mittels Intune zu Shared Devices, um eine einfache und schnelle Anmeldung diverser Nutzer mit deren Microsoft 365-Account oder einem FIDO Security Key zu ermöglichen. Einmal eingeloggt, hat man direkten Zugriff auf die eigenen Dateien via OneDrive, Teams und Single-Sign-On zu unterschiedlichen Diensten.

Des Weiteren finden auch Privat-Geräte Einzug in Intune – wie zum Beispiel Android- und iOS-Geräte. Hierbei erfolgt der Zugriff auf Microsoft 365 via Approved Client Apps wie Outlook, Teams, Office, OneDrive und Co. Geschützt werden die Daten mittels App Protection Policies. Die Geräte werden also nicht MDM-verwaltet (Mobile Device Management), sondern nur die Apps (Mobile Application Management, kurz: MAM). Weitere schuleigene Geräte, wie zum Beispiel Tablets und Smartphones der Mitarbeiter, sind MDM-verwaltet. Dadurch können Apps bereitgestellt und Einstellungen zentral gesetzt werden. Der WLAN-Zugang erfolgt zudem automatisiert mittels Zertifikate via SCEPman (www.scepman.com). Bei Android ist beispielsweise der geschäftliche Bereich im sogenannten „Work Profile“ untergebracht, was eine private Nutzung bei gleichzeitigem Schutz der schulischen Daten ermöglicht („Corporate-Owned, Personally Enabled“).

Fazit: Endpoint Manager als optimale Cloud-Lösung

Zusammengefasst bietet Microsoft Endpoint Manager eine umfassende Lösung, um diverse Geräte-Typen und Betriebssysteme zentral und aus der Cloud zu managen. Das traditionelle Schulnetz ist somit weit über das Schulgelände hinweg verfügbar und ermöglicht das Lernen im digitalen Zeitalter. COVID-19 hat genau diese Flexibilität im Zuge des Home-Schoolings gefordert.

Unser Microsoft Education Newsletter bringt Ihnen regelmäßig die wichtigsten Neuerungen aus Bildung und Forschung direkt in Ihr Postfach. Melden Sie sich jetzt hier an und verpassen Sie keine News mehr.

The post Skalierbares Gerätemanagement: Schulnetz aus der Cloud appeared first on Microsoft Branchenblogs.

„Digitalisierung“ ist aktuell als Stichwort in aller Munde, um Schülerinnen und Schüler auf die Entwicklungen der digitalisierten Welt vorzubereiten. So auch beim Ministerium für Kultus, Jugend und Sport in Baden-Württemberg, das mehrere Maßnahmen zur Erprobung des Einsatzes digitaler Technik im Unterricht vorsieht. Beispiele hierfür sind Projekte mit Tablet-Klassen. Unabhängig vom Land stattete die Realschule Neuffen im Schuljahr 2016/2017 bzw. 2018/2019 zwei eigene Pilot-Klassen mit Surface-Tablets aus. Mithilfe einer zentralen Verwaltung soll der Installations- und Verwaltungsaufwand der rund 60 Geräte optimiert werden.

Mobile Device Management (MDM) ermöglicht die zentrale Verwaltung von mobilen Endgeräten. Durch die Integration der Geräte in die IT-Infrastruktur einer Schule sind sie aus der Ferne überwach- und steuerbar. Enterprise-Mobility-Management-Lösungen (EMM) gehen noch einen Schritt weiter, indem sie MDM-Systeme um Verwaltungsoptionen für Applikationen und Daten erweitern. Einstige MDM-Lösungen wurden mit der Zeit um solche Funktionen erweitert und bilden nun EMM-Systeme. Im alltäglichen Sprachgebrauch sind diese Begriffe zunehmend miteinander verschmolzen.

Anforderungen an eine zeitgemäße Verwaltung von Tablet-Klassen

Im Rahmen der Bachelor-Arbeit mit dem Titel „Mobile Device Management im Umfeld einer Unterrichtsklasse mit Tablets und die praktische Anwendung“ erfolgte eine Analyse der vorhandenen (IT-)Infrastruktur und Anforderungen der Projektbetreuer der Pilot-Klassen. Diese wurden in einem Katalog gesammelt und mit MDM-Lösungen am Markt verglichen.
Grundlegend für Wahl einer geeigneten MDM-Lösung sind Eigenschaften wie die Kompatibilität mit eingesetzten Betriebssystemen (z. B. Windows, iOS oder Android) und die Integrationsmöglichkeiten bereits vorhandener Dienste (z. B. Office 365, Identitätsdatenbanken).

Funktionale Anforderungen bestehen in den folgenden Bereichen: Inventarisierung (Übersicht bzw. Detailangaben zu registrierten Geräten), Software-/Patchverteilung (Ausspielen von Apps und Updates), Konfigurations-Management (Richtlinien), Diagnose-, Backup-, Sicherheitsfunktionen sowie Möglichkeiten zur Problem-Abwicklung und schulspezifische Funktionen. Gleichzeitig verfolgt die Schule diverse nichtfunktionale Anforderungen, wie zum Beispiel die Verringerung des Einrichtungsaufwands und Skalierbarkeit auf weitere Tablet-Klassen.

Profile, App-Verwaltung, Geräteanmeldung: die Möglichkeiten von Microsoft Intune

Microsoft Intune schnitt bei der Gegenüberstellung mit anderen EMM-Lösungen am besten ab und wurde im Anschluss praktisch implementiert und erprobt. Endgeräte erhalten durch die cloudbasierte EMM-Lösung vordefinierte Profile. Darunter unter anderem Geräteeinstellungen, E-Mail-, WLAN- und Sicherheitsprofile. So können diverse Funktionen vom Betriebssystem eingestellt und gleichzeitig für Schülerinnen und Schüler gesperrt werden. Neben klassischen Einstellungen, wie zum Beispiel Kennwortrichtlinien oder Verwendung drahtloser Schnittstellen und Installationsrechte, lassen sich auch das Startmenü-Layout und weitere Bereiche der Geräte zentral personalisieren.

Als klassische EMM-Lösung ermöglicht Intune auch die Verwaltung von Applikationen. Schnittstelle hierfür ist der Microsoft Store für Bildungseinrichtungen, indem Schulen ihren eigenen App-Katalog pflegen können. Neben kostenfreien Apps können auch Lizenzen für kostenpflichtige Apps gekauft und Endnutzern bereitgestellt werden. In Intune werden die Apps im Anschluss für definierte Gruppen bereitgestellt und bedarfsweise automatisch im Hintergrund installiert, was auch mit Word, Excel, PowerPoint und Co. sowie MSI-Paketen möglich ist.

Sind in Intune alle notwendigen Einstellungen gesetzt, folgt das Einschreiben der Geräte. Dies geschieht auf Wunsch automatisch durch die Anmeldung mit einem Schulkonto im Einrichtungsassistent von Windows 10. Das Gerät bezieht im Anschluss die Richtlinien der Schule und installiert die bereitgestellten Programme. Mittels „AutoPilot“ und der Anzeige des Einrichtungsfortschritts kann dieser Prozess noch detaillierter gesteuert werden. Endnutzer werden während der Einrichtung zur Anmeldung mit dem Schulkonto gezwungen, um automatisch die Einrichtungsvorgaben der Schule zu übernehmen.

Wie gestaltet sich der praktische Einsatz der EMM-Lösung in der Tablet-Klasse?

Im Anschluss an die Bachelor-Arbeit rollte die Realschule Neuffen Intune für eine neu gestartete Tablet-Klasse im Schuljahr 2018/19 aus. Nachdem alle Geräte der Schule zugeordnet waren („AutoPilot“), meldeten sich die Schülerinnen und Schüler in kleineren Gruppen jeweils mit deren Office-365-Konten an den Geräten an und richteten die Gesichtserkennung von „Windows Hello“ ein. Der Rest wurde automatisch aus der Cloud gesteuert: Die Geräte registrierten sich bei Intune, wendeten die vordefinierten Richtlinien an und installierten diverse Apps, Office und Co. Innerhalb eines Vormittags war der Klassensatz mit rund 30 Tablets eingerichtet und konnte am nächsten Tag im Unterricht eingesetzt werden.

Neben der Verringerung des Einrichtungs- und Verwaltungsaufwands schaffen EMM-Lösungen einheitlich und gleichbleibend eingerichtete Lernumgebungen, die eine solide technische Grundlage für den unkomplizierten Einsatz im Unterricht darstellen. Gleichzeitig bilden sie den Grundstein für die Skalierbarkeit auf weitere Tablet-Klassen. Manuelle Handgriffe bei der Einrichtung werden von cloudbasierten Prozessen abgelöst – kurz gesagt: Gerätebereitstellung der nächsten Generation.

Microsoft Intune-Lizenzmodelle im Überblick

Es gibt unterschiedliche Preis- und Lizenzmodelle für Microsoft Intune for Education.

Intune for Education Standalone
Diese Variante beinhaltet nur die Intune for Education Lizenz und wird nutzerbasiert abgerechnet (Preis pro Nutzer und Monat). Die Lizenzen werden ausschließlich über zertifizierte Microsoft-Partner vertrieben.

Intune for Education als Paketbestandteil
Die EMM-Lösung ist ebenfalls Bestandteil verschiedener Microsoft-Pakete wie Microsoft 365 A1 (gerätebasiert), Microsoft 365 A3 und A5 (nutzerbasiert), Office 365 A3 und A5 (nutzerbasiert). Nutzt ein Schule bereits eine der genannten Produktvarianten, ist Intune für Education also bereits enthalten.

Steffen Schwerdtfeger
Steffen Schwerdtfeger studierte an der Hochschule der Medien in Stuttgart. Er verfasste seine Bachelor-Arbeit mit dem Titel „Mobile Device Management im Umfeld einer Unterrichtsklasse mit Tablets und die praktische Anwendung“ und begleitet in diesem Rahmen erfolgreich ein Tablet-Pilot-Projekt an der Realschule Neuffen.

The post Enterprise Mobility Management – einheitliche Lernumgebungen für Tablet-Klassen aus der Cloud appeared first on Microsoft Branchenblogs.