IT knowledge base
CTRL+F per cercare la tua parola chiave

Disabilita il profilo DEP e MDM su Mac OS Big Sur

Dichiarazione di non responsabilità

Le azioni descritte di seguito eliminano la capacità dell'azienda o dell'organizzazione che ti ha fornito il computer di monitorare il tuo dispositivo e accedere in remoto ai dati su di esso.

Se il tuo obbligo verso l'azienda o la legge ti limita a farlo, NON UTILIZZARE le istruzioni di seguito.

Se i tuoi principi etici o altre convinzioni non ti consentono di liberarti del controllo dell'azienda o dell'organizzazione - NON UTILIZZARE le istruzioni di seguito.

Il metodo descritto non utilizza strumenti esterni e utilizza solo strumenti Mac OS standard.

Questo metodo DISABILITA la CRITTOGRAFIA di FileVault sull'unità. Se questo è inaccettabile, NON UTILIZZARE questo metodo. Il test con successiva attivazione della crittografia non è stato eseguito.

L'autore rispetta le aziende e gli amministratori che impostano i sistemi di controllo DEP e MDM.

Inoltre, l' autore rispetta la libera e consapevole scelta degli utenti finali di rimuovere i sistemi di tracciamento e accesso remoto ai dati, se ciò non viola i loro obblighi nei confronti dell'azienda e della legge.

Tutte le istruzioni sono eseguite dall'utente a proprio rischio e pericolo. L'autore non si assume alcuna responsabilità per danni o danni causati a seguito delle azioni eseguite, così come non richiede la loro attuazione.

Un po' di DEP e MDM

Aggiornamento: grazie a @agafon_aga per i commenti essenziali:

La situazione qui descritta è rilevante quando si utilizza l'Apple Device Enrollment Program (DEP). Il suo significato è collegare i dispositivi a un account aziendale per facilitare la gestione, l'inventario e altro ancora.

All'interno del sistema, DEP ha la massima priorità (dopo Apple, ovviamente).

I sistemi Mobile Device Management (MDM) hanno una priorità inferiore all'AppleID dell'utente del dispositivo. L'utente può eliminare facilmente il profilo MDM (non DEP). Per fare ciò, è sufficiente essere un amministratore del sistema.

In totale, viene costruito il livello di priorità (dal più alto al più basso):

Apple - DEP - ID Apple utente - Profilo MDM

I profili DEP (Device Enrollment Program) e MDM (Mobile Device Management) vengono solitamente installati dagli utenti su dispositivi che sono stati loro rilasciati da grandi aziende, nonché da alcune scuole e università per l'uso. Il profilo consente di automatizzare la configurazione di quasi tutti i componenti software del dispositivo. In tal modo, consente anche il controllo completo del dispositivo da remoto. Le possibilità di controllo sono limitate solo dall'immaginazione dell'amministratore che lo ha impostato.

In breve, in generale per un'azienda va bene, in particolare per un utente specifico - non molto bene. A volte non vuoi davvero che qualcuno sia in grado di cacciarti da remoto dal tuo computer o semplicemente di bloccarlo in qualsiasi momento.

Il profilo aziendale viene impostato in fabbrica quando si ordina un batch per un grande cliente e non può essere eliminato in modo permanente a livello di codice. Di norma, dopo un ripristino completo durante l'attivazione del dispositivo, il profilo viene scaricato da Internet e tenta nuovamente di distribuirsi sul dispositivo. L'invadenza di questi tentativi può essere diversa e il nostro compito attuale è liberarci di questo.

La soluzione per aggirare il blocco su Mac OS Catalina è abbastanza semplice e può essere facilmente trovata su Internet. Con Big Sur le cose sono molto più complicate. Il nuovo sistema operativo implementa un nuovo meccanismo per proteggere l'integrità del sistema. Pertanto, l'intero algoritmo delle azioni è diventato più complicato.

Installazione di un sistema pulito

Supponiamo di essere in grado di installare da soli un sistema Mac OS Big Sur pulito da un'unità flash USB. Nel caso di un dispositivo MDM, la regola principale è eseguire un'installazione pulita con Internet disconnesso in modo che il sistema non possa ricevere dati sull'identificatore MDM esistente.

Al termine dell'installazione, è possibile connettersi a Internet. Sfortunatamente, il sistema inizierà immediatamente a offrire il download e l'installazione dello stesso profilo MDM, che, a suo avviso, dovrebbe essere configurato nel sistema. La persistenza di tali proposte è di circa una volta ogni 10 minuti. Puoi vivere, ma non accettiamo mezze misure.

Disabilita il profilo MDM

1. Sul dispositivo, la password per abilitare e disabilitare la crittografia del disco deve essere cancellata:
Impostazioni -> Sicurezza -> FileVault - disattiva

2. Riavvia in modalità di ripristino:
Tieni premuto (Comando + R) durante il caricamento finché non viene visualizzata la barra di caricamento.

3. Nella modalità di ripristino, avviare il terminale:
"Utilità" -> "Terminale"

4. Guardiamo l'identificatore del volume:

mount

5. Se non hai toccato il nome delle partizioni durante l'installazione, il nome predefinito dovrebbe rimanere "Macintosh HD". Di seguito, lo useremo.


Annotare l'identificatore del volume "/Volumi/Macintosh HD"

Attenzione! Da non confondere con "/Volumi/Macintosh HD - Dati"
L'identificatore è simile a dev / disk4s5 : nel tuo caso, i numeri potrebbero essere diversi.


Attenzione! L'identificatore del volume e il nome del volume nei seguenti esempi di comando, sostituiscono il nostro!

6. Scollegare il volume e copiare i file dell'agente in una cartella bak separata:

umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD 
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/

7. Disabilita il volume di sistema firmato (SSV):

csrutil authenticated-root disable

8. Salviamo lo stato corrente del disco in un'istantanea in modo che il sistema non giuri di modificare i file di sistema:

bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot

9. Chiudere il terminale e riavviare.

Fatto. Gli agenti MDM del profilo non sono più visibili al sistema.


Gli aggiornamenti funzioneranno. Se esegui una reinstallazione pulita, dovrai ripetere la procedura dall'inizio. A volte la correzione vola dopo l'installazione di aggiornamenti importanti.

L'efficienza del metodo è stata testata su Mac OS Big Sur fino alla versione 11.1.