iPads - Kinderschutz mit dem CCCS
| Vorarlberger Standardschulinstallation Verfasser: Kuno Sandholzer |
© 2026 IT-Regionalbetreuer Vorarlberg 6900 Bregenz, Römerstraße 14 Alle Rechte vorbehalten |
1 Warum überhaupt?
Das Ministerium hat in Zusammenarbeit mit mehreren MDM-Verantwortlichen einiger Bildungsdirektionen gemeinsame zentrale Richtlinien und Empfehlungen zum Kinderschutz bei den Geräten der Geräteinitiative ausgearbeitet.
Die Einrichtung des Kinderschutzes ist obligatorisch, die Verwendung der technischen Richtlinien optional - aber von unserer Seite aus empfohlen.
2 Grundsätzliche Funktionsweise
Ein Überblick über die Richtlinien ist auf den Webseiten des Ministeriums unter
https://bildungsministerium.atlassian.net/wiki/external/M2QyMmNiZTEzYTQ0NDZmYjgwYjY4ODU5YzU2MDcwYmU
abrufbar.
Diese Richtlinien können entweder selbst auf den Microsoft-Tenants entsprechend eingerichtet werden, oder vom zentralen CCCS des Ministeriums abgerufen werden.
Die gesetzlichen Grundlagen erlauben den Eltern ein Opt-Out aus den Richtlinien. Diese Möglichkeit des Opt-Out wird über das Bildungsportal angeboten und ist von den Schulen verpflichtend umzusetzen.
- Wurden die Richtlinien manuell eingerichtet, und wurde keine Verbindung zum CCCS initiiert, so erhält die Direktion bzw. der Systemadministrator (laut Bildungsportal) jeweils ein Mail, welcher Schüler bei welcher Richtlinie auszunehmen ist.
- Wurde der Tenant über das Bildungsportal mit dem CCCS verbunden und das lokale Active Directory bzw. Azure Active Directory entsprechend vorbereitet, so geschieht dies automatisch.
Dies ist die empfohlene Vorgehensweise.
3 Vorbereitung des Tenants
Damit der Austausch automatisch erfolgt, muss
- im Active Directory (bzw. in weiterer Folge im Azure Active Directory) jeder Schüler entsprechend markiert werden. Dies geschieht bei Schulen mit Server am einfachsten mit dem Programm Prepare AD User, bei serverlosen Schulen kann das über die VOBS Tools (https://tools.vobs.at) gemacht werden.
- der Tenant mit dem CCCS verbunden werden: https://bildungsministerium.atlassian.net/wiki/external/Y2E4YmU1ODI4MGU1NDM4OWFmOWFkNWI1NTJlNmY3YTI
4 Umstellung auf die CCCS-Profile
Die bisher von unserer Seite empfohlene Einstellung hat den Kinderschutz bereits beinhaltet. Die CCCS-Profile haben den Vorteil, dass Änderungen dieser Richtlinien umgehend an alle angeschlossenen Tenants verteilt werden. Außerdem können die Erziehungsberechtigten über das Bildungsportal automatisiert Ausnahmen einrichten.
Vor der Umstellung auf diese neuen Richtlinien müssen die bisherigen Richtlinien deaktiviert werden, indem die Zuordnung Alle Geräte entfernt wird:
iPads Konfig-Restrictions
iPads-App-Restriction
iPads_SafeSearch
Wenn der Tenant mit dem CCCS verbunden wurde, so erscheinen nach einiger Zeit (1-48 Stunden) neue Richtlinien und neue Gruppen im Intune Admin Center:
- Die Richtlinie CCCS-iOS-AppStoreDeaktivieren verhindert den Zugriff auf den App Store auf dem iPad.
- Die Richtlinien CCCS-iOS-AutoFilterAlgorithmus und CCCS-iOS-InhaltefilterSettings beschränken den Zugriff auf für diese Altersgruppe passende Apps und Inhalte.
- Die Richtlinie CCCS-iOS-BlockPrivateAppleID verhindert das Abmelden der verwalteten AppleId und das Anmelden mit einer privaten AppleID.
Bei den Gruppen ist es gleichgültig, ob Benutzer oder Geräte hinzugefügt werden.
- Bei CCCC-iOS-WebfilterUsers-Inclusion werden alle Schüler hinzugefügt - in der Standardinstallation also die Gruppe grpSchueler_individuell - oder Alle Geräte (falls die Klassen-iPads auch einbezogen werden)
- Bei CCCC-iOS-BlockAppStoreDevices-Inclusion werden ebenfalls alle Schüler:innen hinzugefügt (grpSchueler_individuell) - oder Alle Geräte
- Bei CCCC-iOS-BlockPrivateAppleIDDevices-Inclusion ist Vorsicht geboten: diese Richtlinie verbietet den Schüler:innen, die AppleID in den Einstellungen zu ändern. Hier lautet die Empfehlung, bei der Einführung der Richtlinien die Schüler:innen klassenweise hinzuzufügen, nachdem geprüft wurde, dass alle Schüler:innen dieser Klasse auch wirklich mit der verwalteten AppleID der Schule angemeldet sind.
Alternativ können auch alle Schüler:innen hinzugefügt werden (grp_Schueler_individuell) und, falls jemand mit der privaten AppleID angemeldet ist, diesen vorübergehend in die Ausnahmegruppe CCCS-iOS-BlockPrivateAppleIDDevices-Exclusion aufzunehmen. Dann kann die AppleID korrigiert werden, danach wird der Benutzer wieder aus der Exclusion-Gruppe entfernt. - Die *-Exclusion-Gruppen werden bei einer Verbindung mit dem CCCS automatisch befüllt, sobald ein Elternteil dies im Bildungsportal so einstellt.
Ändert ein Elternteil diese Einstellung im Bildungsportal, so werden die Direktion sowie der im Bildungsportal eingerichtete Systemadmistrator per Mail über diese Änderung informiert.
5 Bekannte Nebenwirkungen
- Bei den Tests mit der gesperrten AppleID ist aufgefallen, dass die App Mail nicht mehr funktioniert. Mails können jedoch mit der App Outlook problemlos verwendet werden, was auch unserer Empfehlung entspricht.
Sollten weitere Nebenwirkungen auffallen, so bitte ich um kurze Information an sandholzer@vobs.at
6 Quellenangaben
Technischer Kinderschutz - OeAD:
https://digitaleslernen.oead.at/de/fuer-schulen/geraetemanagement-mdm/technisches-konzept-kinderschutz
Technischer Kinderschutz - Hauptseite:
https://bildungsministerium.atlassian.net/wiki/external/M2QyMmNiZTEzYTQ0NDZmYjgwYjY4ODU5YzU2MDcwYmU
Herstellen der Verbindung zum CCCS:
https://bildungsministerium.atlassian.net/wiki/external/Y2E4YmU1ODI4MGU1NDM4OWFmOWFkNWI1NTJlNmY3YTI
Aktivieren der automatischen Kinderschutzkonfiguration für iOS:
https://bildungsministerium.atlassian.net/wiki/external/ODJiZjIzOGVhZGU0NDZmYzk5OGNhZTg2OTJlNjczMDE
Automatische Gruppenzuordnung aktivieren:
https://bildungsministerium.atlassian.net/wiki/external/MDczYTM2NDY5NDNjNGNlYzliYTIzNzNiZDNjMDM3Mjg
Einbinden des IT-Betreuers in das Bildungsportal / Zuordnen der entsprechenden Berechtigung