School Data Sync (SDS)

Was machen Schulen und Universitäten, die auf Office 365 setzen und jedes Jahr sehr viele Schüler und Studenten aber auch Lehrkräfte zu verwalten haben? Neben der manuellen Pflege und ADSync gibt es noch eine SDS-Komponente von Microsoft speziell für EDU-Tenants.

Siehe dazu auch SchoolDataSync Details

A, B, oder C

Es handelt sich dabei nicht um Spiel des Fernsehens oder Multiple-Choice-Fragen einer Prüfung. Wenn Schulen und Universitäten mit Office 365 arbeiten, dann gilt hier das gleiche Prinzip wie in der freien Wirtschaft: Zugriff auf Daten und die Nutzung von Programmen ist immer mit einer Identität und gültigen Zugangsdaten verbunden. Beide Informationen muss der Office 365-Tenant bekommen.

  • A) Bei Firmen ...
    ...ist es relativ einfach, da diese fast immer schon ein lokales Active Directory haben und damit alle Benutzer und Gruppen. Hier müssen sie vielleicht vorab noch die Stammdaten bereinigen und Objekte über Filter ausschließen aber nach der Einrichtung von ADSync sind die Benutzer und Gruppen im Tenant bekannt. Die Anmeldung kann dann per Password Hash Sync (PHS), Pass-Through Authentifizierung (PTA) oder ADFS erfolgen. Für Schulen und Universitäten ist dies aber oft kein Weg. So kann es sein, dass es gar kein Active Directory gibt und stattdessen eine "Samba-Domäne" den lokalen Betrieb sicherstellt. Manchmal sind Schüler-Netzwerk und Verwaltungsnetzwerk auch getrennte Systeme oder die Schüler haben gar kein Anmeldekonto in einem Active Directory sondern nur auf der Schulplattform
  • B) Kleine Firmen ...
    ... mit wenigen Mitarbeitern hatten früher einen "Small Business Server" und ein Active Directory ist nicht zwingend vorhanden. Da sich aber sehr wenig ändert kann eine manuelle (doppelte) Pflege in der Cloud durchaus ein gangbarer Weg sein
  • C) Manuelles Provisioning
    Nirgendwo ist vorgeschrieben, dass sie ADSync nutzen. Was bei der Version "B" manuell erfolgt, kann per Powershell oder Graph auch automatisiert werden. Ehe Sie nun aber voreilig die Tastatur auspacken, sollten Sie erst einmal prüfen, ob es da nicht schon was gibt

SDS - Sync aus Verwaltungssystem

Die meisten Schulen verwalten heute ihre Schüler, Klassen, Stundenpläne, Noten etc. in der ein oder anderen Form schon elektronisch. Es gibt in Deutschland vermutlich verschiedene Produkte. Meine Kinder und ich sind aktuell in NRW beheimatet und hier ist es wohl so, dass das Land eine Software für alle Schulen bereit stellt. Das ist in anderen Ländern nicht anders und Microsoft beschreibt als amerikanisches Unternehmen primär ihre eigene Umgebung. Microsoft hat nämlich mit dem "SDS Connector" eine Software bereit gestellt, die Daten aus den Schulverwaltungssystemen ausliest und daraus Office 365 Identitäten aber auch Gruppen, Teams, OneDrive und SharePoint-Bereiche anlegt. Hier zwei Beispiele, die Microsoft selbst aufführt:

Beide Produkte sind in den USA anscheinend nicht nur reine Verwaltungsprogramme. sondern zugleich Lernportale mit Content für Schüler und Lehrer. Letztlich haben aber diese und andere Lösungen einen Stammdatenverwaltung mit den Personen und ihre Zuordnungen. School Data Sync (SDS) sorgt dafür, dass die Identity-Informationen aus dem Schul-Information-System zu passenden Objekten in AzureAD werden, die dann als Basis für weitere Dienste genutzt werden können


Quelle: https://www.youtube.com/watch?v=yPzCJ4eqWfM (0:44)

SDS kann dabei generische CSV-Dateien lesen, per REST-API quasi online die Daten erhalten oder "OneRoster"-Dateien importieren.

SDSDemo
https://www.youtube.com/watch?v=yPzCJ4eqWfM
Der Link http://aka.ms/sdssignup in dem Video verweist auf das generelle Fasttrack-Programm und die Ton-Qualität ist grenzwertig

What is OneRoster®?
https://www.youtube.com/watch?v=7i2fNWthcj0

Deploy SDS Format School Data Sync Deployment SDS Format CSVs
https://www.youtube.com/watch?v=f57_2BY7U1c
Sehr verständliche Anleitung zur Einrichtung von School Data Sync

Deploy OneRoster Format School Data Sync Deployment OneRoster Format CSVs
https://www.youtube.com/watch?v=8bu1R9SfXt8

Deploy PowerSchool API School Data Sync Deployment PowerSchool API
https://www.youtube.com/watch?v=zWroEdlH4PQ

Leise Kritik

Was mich ein bisschen wundert, ist die Richtung der Synchronisation:

  • CSV-Dateien
    Diese muss der Admin aus dem Schulinformationssystem (SIS) exportieren und in Office 365 importieren. Ich habe noch nichts gefunden, dass SDS das alleine macht. Wenn also in einer Schule ein Schüler die Klasse oder Schule wechselt, ein Zuordnung von Lehrern verändert oder sonstige Veränderungen auch eine Anpassung im Office 365 Tenant erforderlich machen, dann muss der Admin wieder ran. Das ist nicht schön.
  • REST-API
    School Data Sync kann auch per HTTPS auf das Schulinformationssystem zugreifen. Wenn die Schulbehörde den Zugriff eingerichtet hat, (Stichwort Sicherheit, DoS) ist das ein elegante Weg die CSV-Dateien zu umgehen. Aber auch hier habe ich noch keinen Weg gefunden, wie SDS sich die Daten zyklisch holt.

Wirklich vermisst habe ich aber eine Kennwort-Verwaltung. Wenn Ein Schüler ebenfalls das Schulinformationssystem nutzt und dort sein Kennwort ändert, dann wird das Kennwort im Office 365 nicht geändert. Auch wenn das Konto z.B. gesperrt wird, bleibt es in Office 365 weiter offen. Das ist also alles noch nicht auf dem Niveau von einem ADSync.

Warum nicht umgekehrt?

Ich hätte hier mir hier eine andere Lösung vorgestellt. Wenn eine Schule eh schon ein Schulinformationssystem betreibt, d.h. einen Server und Software am Start hat, dann könnte diese Software doch für die Cloud ertüchtigt werden. Das muss ja nicht nur Office 365 sein. Auch ein Provisioning einer Google Classroom-Plattform wäre interessant. Allerdings habe ich noch nicht in Erfahrung bringen können, ob die Hersteller der Software diesen Weg schon bereitstellen.

Hier kommen sicher auch "Neutralitätsforderungen" zum Tragen, dass in dem staatlichen Bereich die Bevorzugung eines Herstellers oder Lösung immer kritisch gesehen wird. Aber dann würde ich als Microsoft lieber einen ADSync-EDU-Edition auflegen. ADSync ist ja ein abgespeckter Identity Server, der sicher auch per Connector sich an ein Schulinformationssystem verbinden könnte.

Noch besser wäre es wirklich, wenn die Schulsoftware selbst aktiv würde. Sie kann direkt erkennen, wenn eine Änderung an den Stammdaten erfolgt oder sogar das Kennwort geändert oder das Konto gesperrt wird. Eine Schul-Software sollte dann auch die Option bieten, eigene Programme oder Schnittstellen zu integrieren. Ob ihre Software dies kann, wäre daher herauszufinden.

SIS in Deutschland

Leider ist es gar nicht so einfach, die on Schulen verwendeten Informationssysteme in Erfahrung zu bringen. Da dort personenbezogene Daten verarbeitet werden, haben meist nur wenig Lehrer darauf Zugriff und arbeiten damit. In NRW gibt es das Programm "SchildNRW", welches wohl Schulen in NRW zur Verwaltung nutzen. Das Produkt wird von der Firma Ribeka entwickelt.

Die Entwickler und das Land pflegen ein Wiki (https://wiki.svws.nrw.de/mediawiki/index.php?title=Hauptseite) und ein Forum (https://www.svws.nrw.de/forum-0), dem ich aber keine Hinweise oder Fragen zu Office 365 oder AzureAD gefunden habe. Die Cloud findet hier also wohl noch nicht statt

Webkonferenz 2016 12 20
https://youtu.be/2JRsLZaJh4c?list=UU0tNJc626zJEUepwlaZahAw
35Min Beschreibung der beta aus dem Jahr 2016 ,die aber viele Rückschlüsse auf die Funktionsweise erlaubt.

Über das Angebot eines Importservice (https://www.svws.nrw.de/service/importservice) finden sich auch andere Schulverwaltungsprogramme.

Nicht alle Programme sind dedizierte Schulprogramme. Die Verwaltung von Stammdaten Lehrern und Schülern kann man auch mit einer normalen FIBU oder Adressverwaltung oder auch Excel-Listen oder Access machen. Leider ist es mir nicht gelungen bei einer Recherche zu einem Programm eine Office 365 Anbindung zu entdecken.

Schulserver und Office 365

Wenn Sie schon nicht an die Stammdaten des Schulinformationssystems kommen, dann prüfen Sie einmal, ob die Schule vielleicht schon einen "Schulserver" hat. Je nach Schule, Bundesland und Träger gibt es die ein oder andere Plattform, die von Schulen selbst oder dem kommunalen Dienstleister betrieben werden. Meist sind das Linux-basierten Systeme mit einer Kombination aus Programmen wie Samba (File), Kopano (Groupware), NextCloud (File), Jitsi (Konferenz) etc. Auch hier müssen die Lehrer, Schüler etc. gepflegt sein. So ein System verwaltet oftmals auch die Desktopclients (Gruppenrichtlinien, Inventory-Programme) und dient als Radius-Server für das WLAN.

Es ist durchaus denkbar, auch von diesem System die Stammdaten für die Cloud zu gewinnen und die Identitäten im Office 365 Tenant zu provisionieren. Eine leider eingeschränkte Möglichkeit die Benutzer per ADSync mit Samba zu gewinnen, habe ich schon beschrieben. Hier ist sogar eine Koexistenz mit Exchange zu überlegen.

Allerdings sollten Sie genau prüfen, ob das vorhandene System mit der Akzeptanz von Office 365 noch in dem Umfang zukünftig genutzt wird. Daher würde ich auch immer prüfen, aus welcher Quelle die Daten in diesem Schulserver gekommen. Die Konten werden wohl nicht jedes Jahr manuell gelöscht, angelegt und verwaltet.

Allerdings gibt es hier natürlich den Zielkonflikt, dass ein vorhandener Bildungsserver/Schulserver, der schon Dateidienste, Maildienste und vielleicht noch mehr anbietet mit Office 365, Google Classroom etc. im Wettbewerb steht. Die Frage, ob man als Office 365 Consultant die Stammdaten aus so einer Plattform beziehen möchte, die theoretisch durch Office 365 ersetzt werden könnte, lasse ich mal im Raum stehen.

Lösung für NRW

Nun wohne ich in NRW und habe schulpflichtige Kinder. Also habe ich mir so meine Gedanken gemacht, wie ein Schule-Teams einfach provisioniert werden könnte. Es gibt hier drei Optionen

  • SDS mit CSV-Dateien
    Dieser Weg wird von Microsoft angeboten und für viele Schulinformationssystem gibt es wohl entsprechende Hinweise zur Bereitstellung der CSV-Dateien. Ich müsste der Schule nur helfen, die Daten aus ihrem SIS entsprechend zu exportieren bzw. zu konvertieren.
  • SDS mit API
    Parallel bietet Microsoft noch APIs an, mit der Office 365 direkt mit dem SIS spricht. Allerdings muss das SIS dazu eine aus dem Internet erreichbare URL anbieten, mit der sich der SDS-Service verbinden kann. Ein SIS mit Personendaten, welches aus dem Internet erreichbar ist, und eine passende API anbietet, sehe ich aber als unrealistisch an.
  • Eigenbau mit PowerShell
    Wenn mir die Funktion von SDS nicht reicht, könnte ich die Daten aus dem SIS z.B. per Powershell regemäßig zu exportieren. Eventuell könnt das SIS bei Änderungen auch eine Aktion antriggern. Dann könnten die Daten umgehend auch im Office 365 Tenant nachgeführt werden. Man könnte dann sogar einen Kennwort-Sync addieren.

In allen drei Fällen verzichten wir aber auf ADSync, so dass der Tenant "frei" ist. Wir können damit alle Exchange Online Properties direkt per PowerShell verwalten. Viele relevanten Felder sind dann nicht mehr durch ADSync gesperrt.

Artikel wird fortgesetzt.

Weitere Links