Projděte si je krok za krokem tento seznam a nastavte ve své doméně. Netýká se pouze výuky, ale zahrnuje i tipy pro zabezpečení dat a nastavení školního Workspace obecně. Za hodinku to zvládnete a hlavně - pak můžete konečně zůstat v klidu a bezpečí online.
Po prvním spuštění Google Workspace pro vzdělávání
Od první minuty po převedení školy do cloudu a registraci Google Workspace pro vzdělávání procházím tímto seznamem důležitých bezpečnostních nastavení. Dělám to ještě dříve, než založím uživatelské účty a předám škole hesla k prvnímu přihlášení.
Povolím/zakážu/omezím Google Chat
-
Zavedu do systému záložní administrátorské účty
-
Vytvořím subdoménu pro studenty
-
Nastavím pravidla komplexnosti hesel podle požadavků školy
-
Vytvořím organizační jednotky podle rolí ve škole
-
Povolím nebo zakážu Aplikace Google jednotlivým organizačním jednotkám podle požadavků školy
-
Nastavím přístup k Google Classroom a také skupinu Učitelé ve službě Učebna
-
Omezím možnosti sdílení pro Disk a Dokumenty mimo školu
-
Zkontroluji správné nastavení a zabezpečení pošty
-
Google Meet zakážu nebo povolím podle požadavků školy
-
Často se zapomene i na práva ke Kalendáři. To považuji za důležité nastavení.
-
Další zabezpečení žákovských účtů podle konkrétních požadavků školy
-
Založím protokol nastavení a důležitých přístupů, který poté předám škole
Možností služeb v rámci Google Workspace je samozřejmě mnohem více. Nejedná se tedy kompletní výpis. Zmiňuji tu jen kroky nutné k zajištění vyšší bezpečnosti výuky, videokonferencí a práce v cloudu.
Proč tato nastavení
Podívejme se na jednotlivé kroky podrobněji. Zmiňuji vždy konkrétní možnosti a hlavně důvod, proč je tak nastavuji.
Záložní administrátorské účty
To nejhorší, co vás může potkat, je ztráta administrátorského přístupu do systému. Další záložní admin účet je tedy nutností. Generuji mu dostatečně složité a komplexní heslo. Neslouží k běžnému přihlašování a správě služeb. Je tu jako záloha a čeká na první krizovou situaci. Vytiskněte tyto údaje, dejte do obálky, výrazně ji označte a bezpečně uložte ve školním trezoru.
Subdoména pro studenty
Doporučím škole zavedení samostatné domény 3. řádu pro studenty. Učitelé tedy komunikují z adresy “nejakejmeno@nejakadomena.cz” a všichni ostaní z adresy “nejakejmeno@zak.nejakadomena.cz”. Jasně se tak oddělí kdo je učitel a kdo student.
Nastavím pravidla komplexnosti hesel podle požadavků školy
S délkou a komplexností hesla také souvisí možnost nastavit dvoufaktorové přihlášení. Školy jej obvykle odmítají, nechtějí to žákům komplikovat. Chápu jejich úhel pohledu. Při distanční výuce mají často obtíže naučit žáky (i kolegy) běžné přihlášení. Nicméně ta možnost tu je a do budoucna se určitě hodí.
Zvažte povinnost dvoufaktorového přihlášení minimálně pro organizační jednotku adminů. S touto radou souvisí další nutný krok:
Organizační jednotky podle rolí ve škole
Viděl jsem školy, které sypaly všechny uživatele do jedné organizační jednotky. To považuji za chybu. A nezáleží na tom, jestli se jedná o malotřídku, kde se všichni znají, nebo o velkou školu s tisícovkou žáků.
Logická struktura organizačních jednotek je nutností. Teprve rozdělení podle rolí ve škole vám umožní cíleně nastavit a zabezpečit služby. Jiné nastavení má pak žák a jiné učitel, ředitel, asistent, pracovník administrativy nebo třeba školník. Adminy dejte také do samostatné jednotky.
Aplikace Google — proč je povolit/zakázat jednotlivým organizačním jednotkám
Podle požadavku vedení lze pro jednotlivé organizační jednotky povolit nebo zakázat aplikace Google. Takže prvnímu stupni ZŠ zakážu třeba Chat nebo všem žákům registraci v YouTube školním účtem.
Co však nastavují vždy a bez výjimky, je zákaz Google Play pro žákovské účty. Většina škol oprávněně nechce, aby žáci přes školní účet instalovali nebo dokonce nakupovali aplikace a jiný obsah.
Google Classroom — důležité zabezpečení Učebny
Nastavím možnost založit Kurzy Classroom pouze pro ověřené učitele. Tím zabráním žákům tvořit kurzy a přidávat do nich spolužáky. Už jsem viděl školu, kde žáci dělali v Kurzech pěkný nepořádek :-(
Povolím spravovat “Přístup pro zákonné zástupce k výsledků žákova studia v Kurzech Classroom” pro všechny ověřené učitele. Proto je nutné, aby administrátor přidal všechny učitele do skupiny “Učitelé ve službě Učebna”
Kdo se může připojit ke kurzům ve vaší doméně? Pouze členové dané domény (ve výchozím stavu je Google Workspace pro vzdělávání to zapnuto, nicméně pro jistotu kontroluji).
Sdílení pro Disk a Dokumenty — pozor na úniky dat
Volitelně můžete zakázat určité skupině (například žáci nebo ekonomické oddělení) sdílet data mimo doménu. Zabráníte tak nechtěnému úniku dat.
Lze také snadno zabránit lidem mimo doménu v přístupu k souborům na Sdíleném Disku. Sdílené Disky považuji za plnohodnotné řešení školního souborového systému. Standardně škole doporučuji toto omezit a mít jistotu, že nikdo omylem nezveřejní interní materiály ven. Sice si někteří pak stěžují, že nemohou sdílet společné materiály pro potřeby výuky, ale k tomu jim samozřejmě mohou sloužit jejich Osobní Disky v rámci školních účtů. Tak takové omezení není.
Omezuji také přidávání šablon dokumentů pro OU žáků. Nechci, aby se žákovské hokusypokusy objevovaly všem napříč doménou.
Pošta, Gmail, DNS záznamy
Pokud to škola vyžaduje, lze (nejen mladším) žákům omezit e-mailovou komunikaci pouze v rámci domény. Budete mít jistotu, že jim nikdo jiný nenapíše a oni nenapíšou jemu. Pozor ale na komunikaci s Učebnou. Také bývá problém při registraci do různých školních systémů a při registraci služeb vhodných pro výuku. To však lze řešit pomocí výjimek, přidejte je na whitelist.
Zkontroluji a případně ve spolupráci se školou nastavím veškeré DNS MX záznamy. Kontroluji také SPF záznam a ověření DKIM pro pro zvýšení důvěryhodnosti emailů a lepší odhalení podvržených zpráv.
Google Chat
Pokud to škola vyžaduje, lze například mladším žákům omezit chat jen na doménu školy. Zde je vhodné také nastavit přístup do Místností v rámci chatu. Můžete chatovací místnosti omezit pouze na doménu školy.
Google Meet
Nejvíce dotazů se obvykle týká služby pro videohovory Meet. Samozřejmě můžete tuto službu žákům úplně vypnout. Jenže pak se žáci nepřipojí k videovýuce.
Častým požadavkem je také nastavit Google Meet tak, aby žáci mohli meetovat, ale nemohli jej sami založit. Toto neomezí jejich možnost se připojit k videohovoru organizovaném učitelem v rámci výuky.
Tím vyřešíte problém problém zabezpečení Meetů v Učebně, kdy žáci tedy čekají na učitele. Jenže sami si už večer bohužel mezi sebou nezavolají. A mnozí z nich to využívají. Myslím si osobně, že je lepší žákům poskytnout bezpečnou platformu v rámci školy, než je nutit zakládat účty v jiných sítích. Zde skutečně záleží na požadavcích konkrétní školy.
S problematikou zakládání Meetů souvisí i způsob, jakým škola plánuje své videokonference. Důrazně doporučuji plánovat videokonference pomocí Kalendáře a ne pomocí Učebny. Jedině tak zabráníte, že se žák stane moderátorem Meetu a pozve/přijme externí hosty. A když už tedy budete plánovat Meet v Kalendáři, nezapomeňte vypnout možnost hostů pozvat další hosty. Žáci vám tak nepozvou k události nikoho dalšího.
Co nastavuji vždy a za každých podmínek? Vypnu možnost Povolit připojení k videokonferenci po telefonu. K pozvánkám se pak nepřipojí telefonní číslo z USA :-) Také Pro žáky vypínám možnost nahrávat schůzky. Toto je častý požadavek škol a důležité nastavení.
Kalendář
Kontroluji nastavení “Možnosti externího sdílení primárních kalendářů” v rámci organizace i externě. Kontroluji také nastavení viditelnosti Kalendářů v rámci organizace. Bývají natavené jako sdílené a určitě nechcete, aby žáci viděli detaily Kalendáře učitelů. Buď to tedy úplně vypnu nebo zapnu pouze informaci o volném čase.
Další omezení žákovských účtů
Zakážu žákům změnit své jméno a příjmení. Zjistil jsem, že někteří to zneužívali a nastavilií si opravdu šílené přezdívky. Pod nimi se pak hlásí do Meetu i Classroom.
Učitelkám tuto možnost samozřejmě nechávám zapnutou, přeci jen se vdávají a potřebují jména měnit.
Předávací protokol
Založím protokol nastavení a důležitých přístupů, který poté předám škole. Doporučím jeho pečlivé zálohování. Už jsem viděl školu, která po pár týdnech vůbec netušila kde a jak se do administrace přihlásit.
Závěrem
Nezmínil jsem tu například odsouhlasení smluvních podmínek a GDPR zmocněnce. Tento seznam není konečný a úplný. Jedná se o nejčastější nastavení. Samozřejmě možností, jak vše zabezpečit/omezit je v rámci Google Workspace mnohem víc a konkrétní řešení vždy musí vycházet z reálných potřeb a požadavků školy.
Nicméně těchto 13 bodů považuji za naprosté minimum zabezpečení školního Google Workspace v souvislosti s online výukou a také veškerou prací školy v cloudu.