Mobielverbod: de technische uitdagingen
Het besluit om telefoongebruik op school aan banden te leggen heeft grote impact op het dagelijks functioneren van leerlingen – maar zorgt ook voor technische uitdagingen. Want naast het handhaven van de regels, moeten er praktische oplossingen komen voor digitale functies die voorheen via de smartphone verliepen.
In dit artikel beschrijf ik enkele vraagstukken waar ik in mijn rol als coördinator netwerk- en systeembeheer op een VO-school mee te maken kreeg.
1. Digitale kluisjes: van app naar druppel
Een van de eerste praktische problemen waar we tegenaan liepen, was het openen van de kluisjes.
De leerlingen deden dat via een app op hun telefoon – en dat is niet meer gewenst. Wat is een werkbaar alternatief?
Extra NFC/RFID lezers bij de kluisblokken
Gelukkig had het kluisjesysteem al een ingebouwde optie om via pasjes/badges de kluisjes te openen. De conciërges maakten hier al gebruik van met hun toegangspas voor het beheer. We hebben contact opgenomen met de fabrikant en besloten om álle kluisjesblokken uit te rusten met extra lezers, zodat er voldoende punten zijn om te scannen voor de leerlingen.
Keyfobs voor alle leerlingen
De leerlingen bij ons hadden nog geen schoolpas. We hebben keyfobs (we noemen ze druppels) besteld via een leverancier. Deze druppels zijn robuust genoeg om de hele schoolcarrière mee te gaan – belangrijk, want we willen niet elk jaar honderden nieuwe uitgeven.
In de weken voor de zomervakantie hebben we het systeem getest met een groep leerlingen. Op basis van die ervaringen hebben we de uitrol in de zomervakantie voorbereid en uitgevoerd. Het was een behoorlijke operatie: meer dan 2000 druppels koppelen, uit laten delen en het beheer goed organiseren. Denk ook aan de ondersteuning bij verloren of defecte exemplaren.
Wat zet je op de keyfob?
Bij het in- en uitlenen van boeken in de mediatheek gebruiken de leerlingen een QR-code via de app op hun telefoon. Ook daar moesten we een alternatief voor bedenken.
We hebben ervoor gekozen om de persoonlijke QR-code van de leerling, die het leerlingnummer bevat, op de achterkant van de druppel te laten graveren. Het schoollogo staat op de voorkant. Op deze manier kunnen leerlingen met dezelfde druppel zowel hun kluisje openen als boeken lenen in de mediatheek. We laten de schoolfoto achterwege, zodat de druppel gedurende de hele schoolcarrière meegaat.
2. Webtoegang beperken op de WiFi
Nu leerlingen hun telefoon niet meer mogen gebruiken, vallen ze terug op hun laptop. Dit biedt de mogelijkheid om met verschillende apps de functionaliteit van hun telefoon na te bootsen, zoals met 'Web WhatsApp' of andere vergelijkbare afleidende sites. Hoe kunnen we dat beperken?
Profiling op de WiFi
We maken gebruik van Network Access Control (NAC) voor al onze bekabelde en draadloze apparatuur. Bij navraag bij de leverancier bleek dat onze NAC ook een 'profiling'-functie heeft. Dit betekent dat het systeem het type apparaat kan detecteren (zoals laptops, mobiele telefoons, smartwatches, enzovoort). Hierdoor kunnen we elk type apparaat effectief in een apart deel van het netwerk (VLAN) plaatsen.
De netwerkleverancier heeft hierover een video gemaakt.
Toegang Beperken
Door de apparaten per categorie in gescheiden netwerksegmenten te plaatsen, konden we specifieke firewallregels per VLAN instellen, zoals het blokkeren van apps en het beperken van toegang tot bepaalde websites. Ook was het mogelijk om per leerjaar afwijkende regels toe te passen of de internettoegang voor mobiele telefoons volledig uit te schakelen.
3. Rooster raadplegen
Veel leerlingen gebruiken hun telefoon om hun rooster en lokaal te checken. Kunnen we die informatie op een andere, toegankelijke manier aanbieden?
Zo heeft 64 procent van de leerlingen er last van dat zij Magister of hun rooster niet meer kunnen bekijken op hun telefoons. Een ander praktisch ongemak is dat leerlingen verwachten vaker te laat te komen. — Nederlands Jeugdinstituut
Er zijn verschillende manieren waarop leerlingen hun rooster kunnen raadplegen: via hun laptop, roosterwijzigingen bekijken op schermen in de school, of het rooster op papier uitprinten.
Deze oplossingen voldeden echter niet compleet aan onze wensen. We zochten een oplossing die gebruiksvriendelijk en razendsnel toegankelijk is voor de leerlingen.
Roosterzuil
We besloten om deze oplossing zelf te ontwikkelen, en het resultaat is te zien in de onderstaande video. Na een succesvolle testperiode hebben we meerdere van deze 'roosterzuilen' in de school uitgerold.
Vanwege de vele positieve reacties en vragen van andere scholen hebben we deze oplossing verder ontwikkeld tot een complete oplossing. Deze is nu onafhankelijk van de school en beschikt bovendien over narrowcasting-functionaliteit.
4. Multifactor Authenticatie (MFA)
Een belangrijke uitdaging was het balanceren van veiligheid en gebruiksgemak bij de toegang tot digitale systemen.
We wilden Multifactor Authenticatie (MFA) behouden voor de leerlingen, maar geen mobiele telefoon gebruiken voor de authenticatie binnen de school. Hoe kunnen we dat oplossen?
IP-adres uitsluiting in Microsoft omgeving
De oplossing lag in het slim configureren van de Microsoft omgeving. We hebben de publieke IP-adressen van de school (de internetverbindingen waarmee de school naar buiten gaat) uitgesloten van de MFA-verificatie in een z.g.n. 'Conditional policy'. Dit betekent dat leerlingen die op school zijn (via het schoolnetwerk) geen MFA-code hoeven te bevestigen.
Buiten school krijgen leerlingen nog steeds de MFA-melding, wat de veiligheid waarborgt. Als leerlingen VPN gebruiken binnen de school (wat overigens niet is toegestaan volgens het beleid), krijgen ze ook de MFA-melding omdat ze dan niet meer vanaf het schoolnetwerk verbinden.
Wachtwoordloos optie uitschakelen
Ook hebben we de 'wachtwoordloos'-optie uitgeschakeld voor leerlingen. Deze optie gebruikt alleen de mobiele telefoon als inlogmethode via de Microsoft Authenticator app. Dit voorkomt dat de telefoon noodzakelijk is om in te loggen. Deze functie staat wel aan voor de medewerkers.