Met jarenlange ervaring in het onderwijs begrijpen wij de ICT-uitdagingen die daarbij komen kijken. In deze blog delen we onze inzichten en technische oplossingen die het onderwijs verbeteren.
Lees onze blog
De meeste scholen gebruiken al jaren een schoolpas voor printers en kopieerapparaten. Vroeger stond er vaak een QR-code op het pasje; tegenwoordig zit die informatie steeds vaker in een ingebouwde NFC-chip.
In dit artikel laten we kort zien hoe je diezelfde pas slim hergebruikt in andere systemen, zoals kluisjes of roosterzuilen.
Tweefactorauthenticatie (2FA) is een belangrijke beveiligingsmaatregel die inmiddels ook in veel schoolomgevingen voor leerlingen in gebruik is genomen. Normaal gesproken wordt een telefoon als tweede factor gebruikt via een authenticatie-app, zoals de Microsoft Authenticator app.
De oplossing ligt in het toestaan van hardware-tokens als alternatieve authenticatiemethode.
De ICT-beheerder van de school kan in de Microsoft-omgeving instellen dat leerlingen ook met een hardware-token hun 2FA mogen bevestigen.
Gebruik een hardware-token zoals het type TOTP OTP-200 voor de Microsoft omgeving. Deze hardwaretokens genereren tijdgebaseerde eenmalige 6-cijferige codes (TOTP) die op het schermpje van de token verschijnen. Leerlingen kunnen deze codes gebruiken voor tweefactorauthenticatie, zonder dat ze een smartphone nodig hebben.
Door deze optie beschikbaar te stellen, kunnen alle leerlingen, ongeacht of ze een smartphone hebben, veilig inloggen op hun school-account. De school kan overwegen om hardware tokens zelf in te kopen en deze als optie aan te bieden aan leerlingen zonder telefoon.
Het besluit om telefoongebruik op school aan banden te leggen heeft grote impact op het dagelijks functioneren van leerlingen – maar zorgt ook voor technische uitdagingen. Want naast het handhaven van de regels, moeten er praktische oplossingen komen voor digitale functies die voorheen via de smartphone verliepen.
In dit artikel beschrijf ik enkele vraagstukken waar ik in mijn rol als Coördinator netwerk- en systeembeheer op een VO-school mee te maken kreeg, rond het mobielverbod, Zermelo-roosters en andere ICT-processen.
Een van de eerste praktische problemen waar we tegenaan liepen, was het openen van de kluisjes.
De leerlingen deden dat via een app op hun telefoon – en dat is niet meer gewenst. Wat is een werkbaar alternatief?
Gelukkig had het kluisjesysteem al een ingebouwde optie om via pasjes/badges de kluisjes te openen. De conciërges maakten hier al gebruik van met hun toegangspas voor het beheer. We hebben contact opgenomen met de fabrikant en besloten om álle kluisjesblokken uit te rusten met extra lezers, zodat er voldoende punten zijn om te scannen voor de leerlingen.
De leerlingen bij ons hadden nog geen schoolpas. We hebben keyfobs (we noemen ze druppels) besteld via een leverancier. Deze druppels zijn robuust genoeg om de hele schoolcarrière mee te gaan – belangrijk, want we willen niet elk jaar honderden nieuwe uitgeven.
In de weken voor de zomervakantie hebben we het systeem getest met een groep leerlingen. Op basis van die ervaringen hebben we de uitrol in de zomervakantie voorbereid en uitgevoerd. Het was een behoorlijke operatie: meer dan 2000 druppels koppelen, uit laten delen en het beheer goed organiseren. Denk ook aan de ondersteuning bij verloren of defecte exemplaren.
Bij het in- en uitlenen van boeken in de mediatheek gebruiken de leerlingen een QR-code via de app op hun telefoon. Ook daar moesten we een alternatief voor bedenken.
We hebben ervoor gekozen om de persoonlijke QR-code van de leerling, die het leerlingnummer bevat, op de achterkant van de druppel te laten graveren. Het schoollogo staat op de voorkant. Op deze manier kunnen leerlingen met dezelfde druppel zowel hun kluisje openen als boeken lenen in de mediatheek. We laten de schoolfoto achterwege, zodat de druppel gedurende de hele schoolcarrière meegaat.
Nu leerlingen hun telefoon niet meer mogen gebruiken, vallen ze terug op hun laptop. Dit biedt de mogelijkheid om met verschillende apps de functionaliteit van hun telefoon na te bootsen, zoals met 'Web WhatsApp' of andere vergelijkbare afleidende sites. Hoe kunnen we dat beperken?
We maken gebruik van Network Access Control (NAC) voor al onze bekabelde en draadloze apparatuur. Bij navraag bij de leverancier bleek dat onze NAC ook een 'profiling'-functie heeft. Dit betekent dat het systeem het type apparaat kan detecteren (zoals laptops, mobiele telefoons, smartwatches, enzovoort). Hierdoor kunnen we elk type apparaat effectief in een apart deel van het netwerk (VLAN) plaatsen.
De netwerkleverancier heeft hierover een video gemaakt.
Door de apparaten per categorie in gescheiden netwerksegmenten te plaatsen, konden we specifieke firewallregels per VLAN instellen, zoals het blokkeren van apps en het beperken van toegang tot bepaalde websites. Ook was het mogelijk om per leerjaar afwijkende regels toe te passen of de internettoegang voor mobiele telefoons volledig uit te schakelen.
Veel leerlingen gebruiken hun telefoon om hun rooster en lokaal te checken. Kunnen we die informatie op een andere, toegankelijke manier aanbieden?
Zo heeft 64 procent van de leerlingen er last van dat zij Magister of hun rooster niet meer kunnen bekijken op hun telefoons. Een ander praktisch ongemak is dat leerlingen verwachten vaker te laat te komen. — Nederlands Jeugdinstituut
Er zijn verschillende alternatieve manieren waarop leerlingen hun rooster kunnen raadplegen. Deze alternatieven voldeden echter niet compleet aan onze wensen; we zochten een oplossing die gebruiksvriendelijk en razendsnel toegankelijk is.
We besloten om een eigen oplossing te ontwikkelen. Het resultaat is te zien in de onderstaande video. Na een succesvolle testperiode hebben we meerdere van deze roosterzuilen in de school uitgerold.
Vanwege de vele positieve reacties en vragen van andere scholen hebben we deze oplossing verder ontwikkeld tot een complete oplossing. Deze is nu onafhankelijk van de school en beschikt bovendien over narrowcasting-functionaliteit.
Een belangrijke uitdaging bij het implementeren van het mobielverbod was het balanceren van veiligheid en gebruiksgemak.
We wilden Multifactor Authenticatie (MFA) behouden voor de leerlingen, maar geen mobiele telefoon gebruiken voor de authenticatie binnen de school. Is dat mogelijk?
De oplossing lag in het slim configureren van de Microsoft omgeving. We hebben de publieke IP-adressen van de school (de internetverbindingen waarmee de school naar buiten gaat) uitgesloten van de MFA-verificatie in een z.g.n. 'Conditional policy'. Dit betekent dat leerlingen die op school zijn (via het schoolnetwerk) geen MFA-code hoeven te bevestigen.
Buiten school krijgen leerlingen nog steeds de MFA-melding, wat de veiligheid waarborgt. Als leerlingen VPN gebruiken binnen de school (wat overigens niet is toegestaan volgens het beleid), krijgen ze ook de MFA-melding omdat ze dan niet meer vanaf het schoolnetwerk verbinden.
Ook hebben we de 'wachtwoordloos'-optie uitgeschakeld voor leerlingen. Deze optie gebruikt alleen de mobiele telefoon als inlogmethode via de Microsoft Authenticator app. Dit voorkomt dat de telefoon noodzakelijk is om in te loggen. Deze functie staat wel aan voor de medewerkers.