Algemene instellingen voor mobielapparaatbeheer
Met de meeste MDM-oplossingen kunnen via configuratieprofielen met algemene instellingen voor mobielapparaatbeheer (MDM) voor het onderwijs instellingen en beleidsregels voor apparaten worden toegepast zodra deze worden ingeschreven.
Zie de video Apparaten afstemmen op leerlingen voor meer informatie over het beveiligen van apparaten, het faciliteren van communicatie en samenwerking, en het personaliseren van iPads om verschillende leerstijlen en vereisten te ondersteunen.
Er zijn verschillende beheerinstellingen die binnen het onderwijs veel worden toegepast. Hieronder vind je een aantal veelgebruikte beperkingen en instellingen en de bijbehorende implicaties.
Beperkingen
De onderstaande beperkingen worden in het onderwijs vaak toegepast. De meeste hiervan werken alleen op apparaten die onder toezicht staan. Zie Toezicht van Apple apparaten in Implementatie van het Apple platform voor meer informatie over toezicht.
Opmerking: Voor sommige beperkingen is een specifieke versie van iOS, iPadOS of tvOS vereist. Zie MDM-beperkingen voor iPhones en iPads en MDM-beperkingen voor Apple TV-apparaten in Implementatie van het Apple platform om te zien welke versie door de beperking wordt ondersteund.
Sta handmatig aanmaken VPN toe: Via MDM kan worden ingesteld dat een gebruiker niet handmatig VPN-verbindingen kan configureren. Dit zorgt ervoor dat internetverzoeken die van apparaten van leerlingen afkomstig zijn, altijd langs de materiaalfiltervoorziening van de organisatie worden gestuurd. Hiervoor is iOS 11 of hoger vereist.
Sta verwijderen van systeemapps toe: Met deze beperking wordt voorkomen dat gebruikers ingebouwde apps zoals Mail en Agenda van hun apparaat verwijderen. Hiervoor is iOS 11 of hoger vereist.
Toon of verberg apps: Via MDM kan precies worden ingesteld welke apps kunnen worden gebruikt. Alle ingebouwde apps en apps van andere leveranciers kunnen worden verborgen, behalve Telefoon (alleen op de iPhone) en Instellingen. Verborgen apps nemen mogelijk wel ruimte op een apparaat in beslag, maar kunnen niet worden gebruikt. Hiervoor is iOS 9.3 of hoger vereist.
Opmerking: Als je meerdere profielen voor het tonen of verbergen van apps implementeert (bijvoorbeeld een apparaatprofiel en een gebruikersprofiel voor Gedeelde iPad), zijn uiteindelijk alleen de apps beschikbaar die door beide profielen worden toegestaan. Als met een apparaatprofiel bijvoorbeeld alleen Klok en Safari worden weergegeven en met een gebruikersprofiel alleen Mail en Safari, is alleen Safari zichtbaar.
Sta installatie van apps toe: Als deze optie is uitgeschakeld, is de App Store niet toegankelijk op het apparaat en wordt het bijbehorende symbool niet in het beginscherm weergegeven.
Opmerking: De MDM-oplossing kan nog wel gewoon apps installeren.
Sta Safari toe: iPads worden geleverd met Safari, de ingebouwde webbrowser van Apple. Met configuratieprofielen in MDM kun je Safari uitschakelen. Als Safari is uitgeschakeld, werken sommige functies in iPadOS en apps van andere leveranciers mogelijk niet. Zo kunnen links in e-mailberichten niet worden geopend. Het wordt aangeraden om Safari niet uit te schakelen. Zie Materiaalfilters gebruiken als je de toegang tot ongepaste websites wilt blokkeren.
Sta aanpassen van accountinstellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen nieuwe accounts configureren of hun gebruikersnaam, wachtwoord of andere instellingen die aan hun account zijn gekoppeld, wijzigen. Voor gedeelde iPads wordt deze instelling aangeraden om ervoor te zorgen dat leerlingen alleen de beheerde Apple ID gebruiken die aan hen is toegewezen.
Sta wissen van alle inhoud en instellingen toe: Als deze optie is uitgeschakeld in iOS 8 of hoger, kunnen gebruikers niet via de app Instellingen hun apparaat wissen en de fabrieksinstellingen van het apparaat herstellen. Gebruikers kunnen hun apparaten nog wel wissen met de Finder (macOS 10.15 of hoger), met iTunes (in macOS 10.14 of lager) of via een USB-verbinding.
Sta wijzigen van beperkingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen eigen beperkingen instellen op hun apparaat. Zo voorkom je dat gebruikers beperkingen instellen die conflicteren met beperkingen die door de organisatie zijn ingesteld. Met de MDM-oplossing kun je ook op afstand een beperkingencode wissen.
Sta koppeling met non-Configuratorhosts toe: Als deze optie is uitgeschakeld, kunnen gebruikers hun iPad niet met een computer verbinden. Koppeling moet worden ingeschakeld tijdens activering om gebruikers toestemming te geven om apparaten die onder toezicht staan te verbinden met een computer.
Sta installatie van configuratieprofielen toe: Als deze optie is uitgeschakeld, kunnen gebruikers niet handmatig configuratieprofielen installeren. Hiermee kun je voorkomen dat gebruikers profielen installeren die conflicteren met de instellingen van de organisatie.
Aanvullende MDM-instellingen
Bij sommige MDM-oplossingen zijn een of meer van deze aanvullende instellingen mogelijk:
Specifieke beheerde apps als niet-verwijderbaar markeren: Bij iOS 14 of hoger en iPadOS 14 of hoger zorgt deze instelling ervoor dat essentiële apps, zoals apps voor het filteren van materiaal, altijd aanwezig zijn op de apparaten van leerlingen.
Tijdzone instellen: Bij iOS 14 of hoger en iPadOS 14 of hoger kun je dit MDM-commando gebruiken om ervoor te zorgen dat op alle apparaten de juiste tijdzone wordt gebruikt zonder dat je de apparaten hoeft aan te raken. Als deze instelling niet is ingeschakeld, moeten gebruikers de tijdzone instellen via Locatievoorzieningen.
eSIM-ID opvragen: Bij iOS 14 of hoger en iPadOS 14 of hoger kan de MDM-oplossing de eSIM-ID (EID) opvragen. Dit is, naast de IMEI, een belangrijke ID om bij de hand te hebben als er problemen zijn met apparaten met een mobiele verbinding.
Indeling van beginscherm: Bij iOS 9.3 kun je via MDM bepalen waar appsymbolen in het beginscherm komen te staan. Voor apparaten onder toezicht kun je daarnaast bepalen wat er in mappen en in het Dock staat. De symbolen kunnen niet anders worden gerangschikt door gebruikers.
Wifi-instellingen: Via MDM kunnen wifi-instellingen worden geconfigureerd op een apparaat met onder andere WPA/WPA2-PSK, WPA/WPA2 op bedrijfsniveau en 802.1X. Apparaten die alleen via wifi verbinding kunnen maken, zoals sommige iPad-modellen en de iPod touch, moeten met een wifinetwerk zijn verbonden voordat ze via Apple School Manager bij MDM kunnen worden ingeschreven. Hiervoor is mogelijk een tijdelijk implementatienetwerk nodig als er normaal een configuratieprofiel vereist is om verbinding te maken met het netwerk van je onderwijsinstelling. Om op afstand een wifiprofiel te wijzigen, moet je eerst het bestaande profiel van het apparaat verwijderen. Hierdoor wordt de wifiverbinding van het apparaat mogelijk verbroken voordat het nieuwe profiel is geïmplementeerd. Het is dus belangrijk dat je deze functionaliteit uitvoerig test voordat je een bijgewerkt wifiprofiel op grote schaal implementeert.
Toegangscodebeleid: Als een iPad is vergrendeld met een toegangscode, heeft niemand behalve de gebruiker er toegang toe (dus ook de organisatie niet) en zijn de gegevens op het apparaat beveiligd. Met MDM kun je een toegangscode voor een iPad vereisen en eisen stellen aan de complexiteit ervan (lengte, speciale tekens en gebruiksduur).
Opmerking: Met je MDM-oplossing kun je op afstand een toegangscode wissen wanneer een apparaat verbinding heeft met het internet. Als een iPad opnieuw wordt opgestart, kan het geen verbinding met beveiligde wifinetwerken maken zolang de toegangscode niet is ingevoerd. Het is dus mogelijk dat de toegangscode niet op afstand kan worden gewist.
Webfragmenten: Een webfragment is een symbool in het beginscherm van een apparaat met een directe link naar een website of URL. Met webfragmenten kunnen ook schermvullende webapps worden gestart. Webfragmenten kunnen offline worden uitgevoerd via lokale HTML5-opslag. Configuratieprofielen kunnen webfragmenten bevatten met een speciale titel en een speciaal symbool waarvoor desgewenst kan worden ingesteld dat ze niet kunnen worden verwijderd. Via webfragmenten kunnen leerlingen naar bepaalde educatieve websites worden doorverwezen. Voor meer informatie over het configureren van webfragmenten op een apparaat raadpleeg je de pagina over het WebClip-profiel in de Apple Developer-documentatie.
Gebruikers uitschrijven: Veel MDM-oplossingen bieden selfservice-apps of webfragmenten met extra functies naast de MDM-functies die standaard in iOS en iPadOS zijn ingebouwd. Met bepaalde selfservice-interfaces kunnen gebruikers hun apparaat op afstand bij MDM uitschrijven. Schakel deze functionaliteit uit als de organisatie wil voorkomen dat gebruikers zich uitschrijven bij MDM. In de documentatie van je MDM-leverancier kun je lezen hoe je kunt voorkomen dat gebruikers zich uitschrijven.