Apple im CampusWiFi, Late 2022 – Kurznotizen

Es hat sich eine Menge getan. Mitunter kann das für Administratoren relevant sein, die für Campusnetze verantwortlich sind.

tl;dr: Du solltest Dich mit einigen Punkten beschäftigen, wenn Du Stress vermeiden möchtest.

iOS 16: WiFi Zugangsdaten

Ich empfehle, WiFi Zugangsdaten generell per MDM zu provisionieren. Sollte dem nicht so sein, legst Du also die Zugangsdaten z.B. als QR-Code bereit oder gibst Sie manuell in die Endgeräte ein, können die Zugangsdaten von Schülern ausgelesen und weitergegeben werden. Die Funktion findest Du auf Tablets und Telefonen unter //Einstellungen/WLAN/“Bearbeiten“

BYOD: Apple Privacy Relay

Schon etwas länger ist die Funktion „Privacy Relay“ verfügbar. Dies dürfte vor allem bei Geräten standardmäßig aktiv sein, welche mit iCoud-Familienaccounts verbunden sind. Problematisch ist, dass über dieses Feature u.a. eine Jugendschutzfunktion in Schulen komplett umgangen werden kann.

Administratoren, welche die Ziel-URIs (bei Apple dokumentiert – Link) bislang lediglich sperren, werden ab iOS 16 mit Beschwerden der Nutzer zu kämpfen haben, dass „WLAN nicht geht“. Das BYOD-Gerät des Schülers (egal ob iPhone, iPad oder OSX Ventura) wird weiterhin versuchen, das Privacy Relay zu erreichen, ungeachtet der Tatsache, dass das nicht geht.

Wesentlich sinnvoller ist es, die Zielanfragen am DNS mit NXDOMAIN zu beantworten. So versucht das Gerät gar nicht mehr, das Privacy Relay zu erreichen und meldet sich bei korrekter Konfiguration am Gerät nach dem Einbuchen in’s WiFi mit einem Hinweis:

Solltet Ihr DNS-Blocker, wie z.B. AdGuard verwenden, könnt Ihr die URI’s wie folgt mit einem Rewrite korrekt beantworten:

||mask.icloud.com^$dnsrewrite=NXDOMAIN;;
||mask-h2.icloud.com^$dnsrewrite=NXDOMAIN;;

https://www.johnlose.de/ablage/sperrlisten/mask-icloud.txt

In Pi-hole wird in neueren Versionen im Standard abgelehnt. Alternativ könnt Ihr wie hier konfigurieren (Link)

BLOCK_ICLOUD_PR=true

iOS 16: AWDL

AWDL (Apple Wireless Direct Link) kann in Heimnetzen hilfreich sein, ist aber bei Diagnose und im Betrieb von Campusnetzen meist problematisch. Noch spannender wird’s, wenn Du WiFi für Campusnetze planst.

Mitunter dürfte sich auch im Twitter-Lehrerzimmer u.a. „Continuity-Camera“ von iOS 16 rumgesprochen haben ;-) Das Feature ist eindrucksvoll, nimmt sich aber auch, was es braucht. Ohne Rücksicht auf Verluste.

Ich z.B. habe zwar das große Glück, Airgroup in Aruba’s Accesspoints nutzen zu können, was mir mit dem Multicast-Traffic bislang gut unter die Arme greift, das hilft mir aber nicht bei Apple’s Sturheit:
Vielleicht willst Du deswegen den Kanal 40 aus Deiner Kanalplanung in Ekahau gleich herausnehmen, selbst wenn Du mit dem MDM-Team vereinbarst, dass AWDL für Airplay ausgeschlossen ist (Link). Dan Jones hat in Prag recht einprägsam darauf aufmerksam gemacht, was auf AWDL inzwischen alles für Features zuhause sind (Link).

iPadOS 16.1 und iOS 16.1: WiFi Bug

Es mehren sich die Stimmen, jene ein Problem im Zusammenhang mit WiFi und den aktuellen Betriebssystemen von Apple melden (Link, Link).

Einige Websites melden einen Workaround in Zusammenhang mit Location Services (Link), welcher jedoch nur selten zum Erfolg führt. Andere (und Apple) melden ein Problem im Zusammenhang mit „SKAdNetwork“ (Link), das geht in eine ähnliche Richtung. Apple hat sich in 16.1.1 zu den enthaltenen Bugfixes bedeckt gehalten und lediglich Sicherheitsupdates in libxml gemeldet (Link).

Vielleicht wollen Sie vorerst bei 15.7.1 bleiben, hier gibt es keine Änderungen bezugnehmend SKAdNetwork, lediglich relevante Sicherheitsupdates.

AppleTV 4K 2022

Apple bringt neue, günstigere AppleTV’s heraus. Für Schulen haben Sie bislang immer empfohlen, Ethernet für die Anbindung zu verwenden, und dabei bleibe ich auch 2023. Die Ursache liegt hier in der Kapazitätsplanung von WiFi. Problematisch wird’s jetzt und besonders beim Einkauf: Die kleinere, 64GB-Variante hat gar keinen Ethernetanschluss mehr!

Für Schulen will/muss ich deshalb die teurere Variante mit Ethernet empfehlen, was in der übrigen Ausstattung absolut keinen Sinn macht, mit Sicherheit aber Unverständnis bei der Beschaffung / beim Schulträger hervorrufen kann. Ich empfehle deswegen im zentralen Einkauf des Trägers, ggf. beim Zweckverband oder Provitako einen Sperrvermerk, wohl wenigstens einen Warnhinweis zu hinterlegen.

iPad 2022

Das iPad 2022 (Gen 10) ist in vielerlei Hinsicht gewöhnungsbedürftig. Zum einen dürften viele Zubehörteile nicht mehr verwendungsfähig sein, da sich dessen Äußeres geändert hat – Ein Keyboard müsste neu angeschafft werden.

Unbekannt ist, ob die neuere Gehäuseform weniger oder ähnlich robust ist – auch hier sollte über adäquate Cases nachgedacht werden, welche bislang nur in homöopatischen Dosen am Markt angekommen sind. Auch die Koffer wollen wohl anders ausgestattet werden, das iPad 2022 hat jetzt USB-C und verlangt mehr Watt beim Laden.

Der problematische Stift, bei jenem ständig die Kappe verlustig geht, wird hingegen nicht getauscht. Vielleicht auch aus Gründen, dass Drittanbieter kompatibel bleiben? Immerhin ist die Generation 9 immer noch käuflich zu erwerben. So macht es eventuell Sinn, noch auf die ältere Variante zu setzen, die Entscheidung will ich Ihnen aber nicht abnehmen.