Netzwerkbasierte Richtlinienzuweisung (BYOD)
Einleitung
In BYOD-Szenarien werden Geräte sowohl innerhalb als auch außerhalb der Schule verwendet.
Eine rein zeitbasierte Steuerung von Richtlinien ist dabei oft unflexibel und mit hohem Pflegeaufwand verbunden.
Eine bewährte Alternative ist die netzwerkbasierte Richtlinienzuweisung, bei der Richtlinien automatisch angewendet werden, sobald sich ein Gerät im Schulnetzwerk befindet.
Die Erkennung erfolgt über die öffentliche IP-Adresse des Netzwerks.
Dieser Ansatz ist besonders für BYOD geeignet, da Geräte außerhalb der Schule nicht unnötig eingeschränkt werden und gleichzeitig der administrative Aufwand reduziert wird.
Grundprinzip
Der Aufenthaltsort eines BYOD-Geräts wird indirekt über dessen öffentliche IP-Adresse bestimmt.
Der Aufbau besteht aus:
- Einer Richtlinie, die nur im Schulnetz gelten soll
- Einer dynamischen Gerätegruppe, die Geräte anhand der öffentlichen IP-Adresse sammelt
Sobald sich ein Gerät mit dem Schul-WLAN verbindet und seine IP-Adresse an Relution meldet, wird es automatisch der Gerätegruppe zugewiesen und erhält die entsprechende Richtlinie.
Wichtig:
Das Gerät muss im Schul-WLAN verbleiben, damit die Konfiguration angewendet und beibehalten wird.
Empfohlene BYOD-Basisgruppe
Unabhängig von den Schuleinstellungen sollten BYOD-Geräte immer einer Basis-Gerätegruppe zugewiesen sein.
Diese enthält Konfigurationen, die dauerhaft gelten, z. B.:
- WLAN-Profile der Schule
- Pflicht-Apps
- Grundlegende Einschränkungen, die auch außerhalb der Schule gelten
So wird sichergestellt, dass Geräte jederzeit funktionsfähig bleiben.
Dynamische Gerätegruppe konfigurieren
Erstellen Sie eine neue dynamische Gruppe und konfigurieren Sie einen Filter basierend auf der öffentlichen IP-Adresse des Geräts.
Der Filter muss den öffentlichen IP-Bereich des Schulnetzwerks abdecken.
Alle Geräte, die eine passende IP-Adresse melden, werden automatisch der Gruppe hinzugefügt.
Aktualisierung der IP-Adresse
Die öffentliche IP-Adresse wird nur dann an Relution übermittelt, wenn die Aktion „Gerätedetails aktualisieren“ ausgeführt wird.
Dies geschieht in folgenden Fällen:
- Beim Ausführen von Richtlinien
- Einmal täglich
- Über eine Gerätegruppenaktion mit Cron-basiertem Trigger
- Wenn der Benutzer die Aktion manuell im Relution Agent auslöst über den Reiter Einstellungen
Empfehlung: Cron-basierter Trigger
In den meisten BYOD-Umgebungen empfehlen wir einen Cron-basierten Trigger in der dynamischen Gerätegruppe. Dieser Cron-Job wird an die Gruppe angehängt, in der sich das Gerät dauerhaft befindet, und nicht an die Gruppe „Schuleinstellungen“. Damit wird sichergestellt, dass Geräte ihre IP-Adresse regelmäßig aktualisieren, ohne dass ein Benutzereingriff erforderlich ist.
Hinweise zur Nutzung von Cron-Jobs
- Keine sehr kurzen Intervalle verwenden
- Keine hohe Wiederholungsfrequenz konfigurieren
Beispielsweise kann ein stündlicher „Gerätedetails aktualisieren“-Befehl bei einer großen Anzahl von Geräten zu erheblichen Performance-Problemen führen.
Ein moderates Intervall ist ausreichend und sorgt für einen stabilen Betrieb.
In der folgenden Beispielkonfiguration wird die Aktion an allen Wochentagen um 7:45, 12:45 und 14:45 ausgeführt.
Vorteile der netzwerkbasierten Zuweisung (BYOD)
- Keine komplexen Zeitpläne notwendig
- Richtlinien gelten nur im Schulnetz
- Weniger Richtlinien im Vergleich zu zeitbasierten Konzepten
- Ideal für privat genutzte Geräte
Einschränkungen und Hinweise
- Geräte müssen mit dem Schulnetz verbunden sein
- Die Methode ist abhängig von stabilen öffentlichen IP-Bereichen
- Änderungen greifen ggf. erst nach der nächsten Aktualisierung der Gerätedetails
Zusammenfassung
Die netzwerkbasierte Richtlinienzuweisung über die öffentliche IP-Adresse ist eine wartungsarme und zuverlässige Lösung für BYOD-Umgebungen.
Sie ermöglicht es, schulische Richtlinien gezielt nur dann anzuwenden, wenn sich Geräte tatsächlich im Schulnetz befinden, während sie außerhalb uneingeschränkt nutzbar bleiben.