Technische oplossingen voor het onderwijs

Met jarenlange ervaring in het onderwijs begrijpen wij de ICT-uitdagingen die daarbij komen kijken. In deze blog delen we onze inzichten en technische oplossingen die het onderwijs verbeteren.

Lees onze blog

Blog

- Auteur: Matthijs
Mobielvrij

2FA zonder mobiele telefoon

Tweefactorauthenticatie (2FA) is een belangrijke beveiligingsmaatregel die inmiddels ook in veel schoolomgevingen voor leerlingen in gebruik is genomen. Normaal gesproken wordt een telefoon als tweede factor gebruikt via een authenticatie-app, zoals de Microsoft Authenticator app.

Geen smartphone, wat dan?

Binnen de VO-school waar ik werk als Coördinator netwerk- en systeembeheer hebben we, zoals beschreven in een eerdere blogpost, een maatregel genomen waarbij leerlingen die op school zijn (via het schoolnetwerk) geen MFA-verificatie hoeven te bevestigen. Dit hebben we gerealiseerd door middel van IP-adres uitsluiting in de Microsoft omgeving.

Maar wat als leerlingen geen mobiele telefoon hebben, de telefoon thuis niet mogen gebruiken, of een telefoon hebben zonder de mogelijkheid om authenticatie-apps te installeren? Buiten school krijgen leerlingen nog steeds de MFA-melding voor hun veiligheid. Zonder een smartphone kunnen ze deze verificatie echter niet voltooien.

Hardware tokens als oplossing

De oplossing ligt in het toestaan van hardware-tokens als alternatieve authenticatiemethode.

De ICT-beheerder van de school kan in de Microsoft-omgeving instellen dat leerlingen ook met een hardware-token hun 2FA mogen bevestigen.

Gebruik een hardware-token zoals het type TOTP OTP-200 voor de Microsoft omgeving. Deze hardwaretokens genereren tijdgebaseerde eenmalige 6-cijferige codes (TOTP) die op het schermpje van de token verschijnen. Leerlingen kunnen deze codes gebruiken voor tweefactorauthenticatie, zonder dat ze een smartphone nodig hebben.

Door deze optie beschikbaar te stellen, kunnen alle leerlingen, ongeacht of ze een smartphone hebben, veilig inloggen op hun school-account. De school kan overwegen om hardware tokens zelf in te kopen en deze als optie aan te bieden aan leerlingen zonder telefoon.

- Auteur: Matthijs
Mobielverbod in school

Mobielverbod: de technische uitdagingen

Het besluit om telefoongebruik op school aan banden te leggen heeft grote impact op het dagelijks functioneren van leerlingen – maar zorgt ook voor technische uitdagingen. Want naast het handhaven van de regels, moeten er praktische oplossingen komen voor digitale functies die voorheen via de smartphone verliepen.

In dit artikel beschrijf ik enkele vraagstukken waar ik in mijn rol als Coördinator netwerk- en systeembeheer op een VO-school mee te maken kreeg.

1. Digitale kluisjes: van app naar druppel

Een van de eerste praktische problemen waar we tegenaan liepen, was het openen van de kluisjes.
De leerlingen deden dat via een app op hun telefoon – en dat is niet meer gewenst. Wat is een werkbaar alternatief?

Extra NFC/RFID lezers bij de kluisblokken

Gelukkig had het kluisjesysteem al een ingebouwde optie om via pasjes/badges de kluisjes te openen. De conciërges maakten hier al gebruik van met hun toegangspas voor het beheer. We hebben contact opgenomen met de fabrikant en besloten om álle kluisjesblokken uit te rusten met extra lezers, zodat er voldoende punten zijn om te scannen voor de leerlingen.

Keyfobs voor alle leerlingen

De leerlingen bij ons hadden nog geen schoolpas. We hebben keyfobs (we noemen ze druppels) besteld via een leverancier. Deze druppels zijn robuust genoeg om de hele schoolcarrière mee te gaan – belangrijk, want we willen niet elk jaar honderden nieuwe uitgeven.

In de weken voor de zomervakantie hebben we het systeem getest met een groep leerlingen. Op basis van die ervaringen hebben we de uitrol in de zomervakantie voorbereid en uitgevoerd. Het was een behoorlijke operatie: meer dan 2000 druppels koppelen, uit laten delen en het beheer goed organiseren. Denk ook aan de ondersteuning bij verloren of defecte exemplaren.

Wat zet je op de keyfob?

Bij het in- en uitlenen van boeken in de mediatheek gebruiken de leerlingen een QR-code via de app op hun telefoon. Ook daar moesten we een alternatief voor bedenken.

We hebben ervoor gekozen om de persoonlijke QR-code van de leerling, die het leerlingnummer bevat, op de achterkant van de druppel te laten graveren. Het schoollogo staat op de voorkant. Op deze manier kunnen leerlingen met dezelfde druppel zowel hun kluisje openen als boeken lenen in de mediatheek. We laten de schoolfoto achterwege, zodat de druppel gedurende de hele schoolcarrière meegaat.

2. Webtoegang beperken op de WiFi

Nu leerlingen hun telefoon niet meer mogen gebruiken, vallen ze terug op hun laptop. Dit biedt de mogelijkheid om met verschillende apps de functionaliteit van hun telefoon na te bootsen, zoals met 'Web WhatsApp' of andere vergelijkbare afleidende sites. Hoe kunnen we dat beperken?

Profiling op de WiFi

We maken gebruik van Network Access Control (NAC) voor al onze bekabelde en draadloze apparatuur. Bij navraag bij de leverancier bleek dat onze NAC ook een 'profiling'-functie heeft. Dit betekent dat het systeem het type apparaat kan detecteren (zoals laptops, mobiele telefoons, smartwatches, enzovoort). Hierdoor kunnen we elk type apparaat effectief in een apart deel van het netwerk (VLAN) plaatsen.

De netwerkleverancier heeft hierover een video gemaakt.

Toegang Beperken

Door de apparaten per categorie in gescheiden netwerksegmenten te plaatsen, konden we specifieke firewallregels per VLAN instellen, zoals het blokkeren van apps en het beperken van toegang tot bepaalde websites. Ook was het mogelijk om per leerjaar afwijkende regels toe te passen of de internettoegang voor mobiele telefoons volledig uit te schakelen.

3. Rooster raadplegen

Veel leerlingen gebruiken hun telefoon om hun rooster en lokaal te checken. Kunnen we die informatie op een andere, toegankelijke manier aanbieden?

Zo heeft 64 procent van de leerlingen er last van dat zij Magister of hun rooster niet meer kunnen bekijken op hun telefoons. Een ander praktisch ongemak is dat leerlingen verwachten vaker te laat te komen. Nederlands Jeugdinstituut

Er zijn verschillende alternatieve manieren waarop leerlingen hun rooster kunnen raadplegen:

  • Via hun laptop
  • Roosterwijzigingen bekijken op schermen in de school
  • Het rooster op papier uitprinten

Deze oplossingen voldeden echter niet compleet aan onze wensen. We zochten een oplossing die gebruiksvriendelijk en razendsnel toegankelijk is voor de leerlingen.

Roosterzuil

We besloten om deze oplossing zelf te ontwikkelen, en het resultaat is te zien in de onderstaande video. Na een succesvolle testperiode hebben we meerdere van deze 'roosterzuilen' in de school uitgerold.

Vanwege de vele positieve reacties en vragen van andere scholen hebben we deze oplossing verder ontwikkeld tot een complete oplossing. Deze is nu onafhankelijk van de school en beschikt bovendien over narrowcasting-functionaliteit.

4. Multifactor Authenticatie (MFA)

Een belangrijke uitdaging bij het implementeren van het mobielverbod was het balanceren van veiligheid en gebruiksgemak. We wilden Multifactor Authenticatie (MFA) behouden voor de leerlingen, maar geen mobiele telefoon gebruiken voor de authenticatie binnen de school. Is dat mogelijk?

IP-adres uitsluiting in Microsoft omgeving

De oplossing lag in het slim configureren van de Microsoft omgeving. We hebben de publieke IP-adressen van de school (de internetverbindingen waarmee de school naar buiten gaat) uitgesloten van de MFA-verificatie in een z.g.n. 'Conditional policy'. Dit betekent dat leerlingen die op school zijn (via het schoolnetwerk) geen MFA-code hoeven te bevestigen.

Buiten school krijgen leerlingen nog steeds de MFA-melding, wat de veiligheid waarborgt. Als leerlingen VPN gebruiken binnen de school (wat overigens niet is toegestaan volgens het beleid), krijgen ze ook de MFA-melding omdat ze dan niet meer vanaf het schoolnetwerk verbinden.

Wachtwoordloos optie uitschakelen

Ook hebben we de 'wachtwoordloos'-optie uitgeschakeld voor leerlingen. Deze optie gebruikt alleen de mobiele telefoon als inlogmethode via de Microsoft Authenticator app. Dit voorkomt dat de telefoon noodzakelijk is om in te loggen. Deze functie staat wel aan voor de medewerkers.