====== bgzwn.AAD - Hybrid-Cloud-Netzwerk ======
Als Überbegriff **bgzwn.AAD** verwenden wir die Möglichkeit Schulcomputer, Privatgeräte (Bring your own device - kurz: BYOB) sowie Geräte im Rahmen der Geräteinitiative des Bundes ins Cloud-Netzwerk des BG Zehnergasse einzubinden und somit für den Unterricht als auch für die "zu Hause" Lernzeit vorzubereiten. Hierbei spielt unsere schuleigene AzureActiveDirecory eine entscheidende Rolle und weist jedem Benutzer diverse Einstellungen und Apps zu.

===== Was ist die AzureActiveDiretory?=====
Microsofts AzureActiveDiretory (kurz: **AAD**) ist die Cloud-Erweiterung einer lokalen ActiveDirectory (kurz: **AD**). Die AD ist ein Verwaltungs- & Managementtool für Windows Server Systeme und ermöglicht die zentrale Verwaltung von Benutzern, Gruppen & Computer in __lokalen__ Computernetzwerken (also innerhalb des Schulgebäudes). Die AAD kann nun als Cloud-Erweiterung angesehen werden. Alle Benutzer- & Ressourcen der Schule können nun auch über die Cloud administriert werden. Des weiteren können nun externe Geräte (PCs, Laptops, Tablets & Smartphones, ...) über die Cloud Teil des "virtuellen Schulnetzwerkes" werden. Hierbei werden die Geräte mit dem jeweiligen Benutzer verknüpft und "teilverwaltet". Durch das Beitreten werden dem Nutzer der schuleigene Windows- bzw. App-Store, Drucker und andere Dienste bereitgestellt, welche während der gesamten Schullaufbahn genutzt werden können. Weiters werden wir den Geräten Sicherheitsrichtlinien "vorschreiben", sodass ein sicheres Arbeiten in der Schule und zu Hause gewährleistet ist (aktiver & aktueller Virusscanner, aktive Firewall bzw. Portausnahmen, Update-Richtlinien, ...). Wir bezeichnen das cloudbasierende Schulnetzwerk als **bgzwn.AAD**.

===== Geräteverwaltung=====
Wir, das BG Zehnergasse Wiener Neustadt nutzen das Mobile Device Management-Tool **Microsoft InTune** im Office 365-Paket. Alle Personen erhalten somit eine **Office 365 A3 Lizenz** [[https://www.microsoft.com/de-at/microsoft-365/academic/compare-office-365-education-plans?activetab=tab%3aprimaryr1|Infos zum Office A3-Plan]]. Bei InTune handelt es sich um ein plattformübergreifendes **Geräte-Management-Tool**. Wir können Geräte **verwalten**. - Es ist **keine Gerätesteuerung!** - Wir können Geräte aus der ferne nicht fernsteuern!

Geräte im bgzwn.AAD werden durch das IT-Team in drei Kategorien eingeteilt:
  * **Nur App nutzen / Nutzer ** haben keinen Zugriff auf die bgzwn.Cloud-Infrastruktur, können aber Schuldienste über Standard-Apps nutzen. So kann die offizielle Version von Microsoft Outlook, Teams, OneDrive, Webuntis etc. ohne weiters über den App-Store heruntergeladen und genutzt werden.\\ <fc #900C2C>//Empfehlung für private Smartphones, welche __nicht__ im Unterricht verwendet werden.//</fc>

  * **Teilverwaltung / //AAD registered devices//** Privatgeräte, Geräte aus der Digitalen Geräteinitiative bzw. Bring your own Device-Geräte (BYOB), welche __aktiv__ im Unterricht als lernbegleitendes Gerät eingesetzt werden, müssen einer Teilverwaltung zustimmen. Der Nutzer registriert sein Gerät in der bgzwn.AAD und stimmt mit der Anmeldung ausdrücklich zu, dass sein Gerät durch die Schule teilverwaltet wird. Durch die Teilverwaltung wird am Gerät ein Arbeitsprofil(Schulprofil) parallel zum Privatprofil angelegt. Da das Privatgerät nun auf Schulressourcen zugreift, verlangt die Schule grundlegende Sicherheitsrichtlinien und Datenschutzeinstellungen, welche bei der Anmeldung übernommen werden (aktiver Virusscanner, aktuelles Update des Betriebssystems, Bildschirmsperre, ...). Weiters werden wichtige Schul-Apps vorinstalliert, der schuleigene App-Store freigeschaltet, Druckerfreigaben hinzugefügt, ... Das IT-Team hat zu keinem Zeitpunkt Zugriff auf Daten, Fotos, Dokumente, Anruflisten, Nachrichten, etc. - Wir können das Gerät vom bgzwn.AAD abkoppeln, sodass das Schulprofil entfernt wird, sollte die Sicherheitsrichtlinien nicht eingehalten werden. Die Teilverwaltung kann jederzeit durch Sie beendet werden. \\ <fc #900C2C>//Empfehlung für private __Tablets__, Geräte aus der digitalen Geräteinitiative, ... welche __im aktiven Lerngeschehen__ (im Unterricht & zu Hause) verwendet werden sollen.// </fc>

  * **Vollverwaltung / //AAD joined devices//** __Schuleigene Geräte & Leihgeräte__ werden "Vollverwaltet". D.h. dass das IT-Team zu jeglichen Zeitpunkt das Gerät steuern und verwalten kann. So kann das Gerät bei Verlust aus der Ferne gesperrt/entsperrt bzw. gelöscht und neu aufgesetzt werden. Lokale Sicherheitsrichtlinien können gesetzt und erzwungen werden. Es besteht Zugriff auf das Dateisystem durch einen vorinstallierten lokalen Administrator. Somit können Dateien und Ordner gelesen und administriert werden. Der AppStore ist deaktiviert. Nur Apps, welche die Schule genehmigt hat, werden vorinstalliert/können heruntergeladen werden.\\ <fc #900C2C>//Ausschließlich für schuleigene Geräte / Leihgeräte//</fc>

===== Teilverwaltung einrichten & beenden =====
__Wichtig:__  Wenn Sie diese Schritte durchführen stimmen Sie einer Teilverwaltung durch das IT-Team des BG Zehnergasse zu. Sie können die Teilverwaltung jederzeit beenden. \\
Geräte, welche im Rahmen der Digitalen Geräteinitiative ausgegeben werden, sind bereits als "teilverwaltet" vorkonfiguriert!

Anleitungen zur Konfiguration der Teilverwaltung finden Sie hier:
  * [[mdm_android|Teilverwaltung für Android-Geräte]]
  * [[mdm_win|Teilverwaltung für Windows 10-Geräte]]
  * [[mdm_ios|Teilverwaltung für iOS-Geräte (iPad, iPhone)]]



===== Weitere wichtige Anleitungen =====
  * BitLocker Laufwerksverschlüsselung - Infos sowie Deaktivierung