Mdm mac os отключить

Обновлено: 09.01.2025

Описанные ниже действия лишают компанию или организацию, которая выдала вам компьютер, возможности следить за вашим устройством и получать дистанционно доступ к данным на нем.

Если обязательства перед компанией или закон ограничивает вас от выполнения подобных действий - НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.

Если ваши этические принципы или иные убеждения не позволяют вам избавиться от контроля компании или организации - НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.

В описанном методе не применяется какой-либо внешний инструментарий и используются только штатные средства Mac OS.

При использовании данного метода ОТКЛЮЧАЕТСЯ ШИФРОВАНИЕ FileVault накопителя. Если такое действие неприемлемо – НЕ ИСПОЛЬЗУЙТЕ данный метод. Тестирование с последующей активацией шифрования не проводилось.

Автор с уважением относится к компаниям и администраторам, которые настраивают системы контроля DEP и MDM.

Также автор уважает свободный осознанный выбор конечных пользователей по снятию систем слежения и дистанционного доступа к данным, если это не нарушает их обязательств перед компанией и закон.

Все инструкции пользователь выполняет на свой страх и риск. Автор не несет никакой ответственности на нанесенный вред или ущерб, в результате выполняемых действий, равно как не призывает к их выполнению.

Немного про DEP и MDM

Update: Спасибо @agafon_aga за существенные замечания:

Описанная здесь ситуация актуальна при использовании Apple Device Enrollment Program (DEP). Смысл ее — привязка устройств на аккаунт компании для облегчения управления, инвентаризации и прочего.

Внутри системы DEP имеет самый высокий приоритет (после Apple, разумеется).

Mobile Device Management (MDM) системы, имеют приоритет ниже чем AppleID пользователя устройства. Удалить профиль именно MDM (а не DEP) пользователь может легко. Для этого достаточно быть админом в системе.

Итого, уровень приоритетов выстраивается (от высшего к низшему):

Apple — DEP — User AppleID — MDM Profile

Профили DEP (Device Enrollment Program) и MDM (англ. Mobile Device Management), как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. Профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.

Короче, в общем для компании - это хорошо, в частности для конкретного пользователя - не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.

Корпоративный профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.

Решение с обходом блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.

Установка чистой системы

Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило - проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.

После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений - примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.

Отключение MDM профиля

1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault - выключить

2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.

3. В режите восстановления запускаем терминал:
"Утилиты" -> "Терминал"

4. Смотрим индентификатор тома:

5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться "Macintosh HD". Здесь и далее будем использовать его.

Записываем на листик индентификатор тома "/Volumes/Macintosh HD"

Внимание! Не перепутать с диском "/Volumes/Macintosh HD - Data"
Идентификатор выглядит примерно так dev/disk4s5 - в вашем случае цифры могут быть другие.

Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!

6. Отключаем том и копируем файлы агентов в отдельную папку bak:

7. Отключаем Signed System Volume (SSV):

8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:

9. Закрываем терминал и перезагружаемся.

Готово. Агенты MDM профиля больше системой не видятся.

Обновления будут работать. Если сделать чистую переустановку - процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.

Техника Apple известна, в первую очередь, своей безопасностью. Система FileVault зашифрует 265-битным ключом загрузочный диск для предотвращения несанкционированного доступа к данным.

MDM блокировка

Но есть еще одна система блокировки MDM (система управления мобильными устройствами).

В крупных компаниях, чтобы администратору можно было быстро и удаленно управлять устройствами, он устанавливает на них MDM профиль. Используя удаленное управление, администратор может отключать функции, устанавливать или удалять приложения, отслеживать и ограничивать ваш интернет-трафик, а также удаленно стирать данные с Mac и iPhone.

Профиль MDM можно установить на б/у или новую технику Apple. Обычная компания или учебное заведение обращается в Apple, чтобы занести серийные номера купленных устройств в базу данных. Затем все права передаются администратору, который настраивает эти машины по своему усмотрению. Админ отслеживает работу сотрудников компании и следит, чтобы устройство не украли и не продали на вторичном рынке.

Как выявить MDM профиль при покупке б/у Mac

Способ 2. Либо на ноутбуке будет периодически вылазить окошко с предложением установить профиль. До обновления системы на Big Sur такие уведомления обычно не появляются.

Вывод: до тех пор, пока у вас нет папки с установленными профилями в системных настройкам, вашим устройством никто управлять не может. Но будет регулярно появляться надоедливое уведомление, через которое можно установить профиль. Плюс у вас будут проблемы с активацией устройства после полного форматирования Mac.

Переустановка системы при MDM блокировке

Шаг 1. Выключите компьютер, а при его включении зажмите и удерживайте Command+R (или кнопку питания для Mac на чипе M1 до появление шестерни около 10 секунд). Так вы запустите восстановление системы на macOS.

Побороть проблему можно откатом до заводской ОС, а затем обновлением системы до macOS Big Sur. Тогда MDM профиль не будет установлен в системных настройках, но будет регулярно появляться уведомление.

MDM блокировка на iPhone и iPad

На iPhone, iPod или iPad сведения об MDM профиля обычно отображаются в верхней части настроек.

Или могут находиться в основных настройках, Профили.

Если после установки системы и активации iPhone не появится такое окно, значит с вашим iPhone все в порядке, MDM блокировки нет.

При покупке iPhone новое устройство всегда нужно распечатывать и активировать, и только в таком случае вы узнаете,что девайс не залочен. Если вы попали в такую ситуацию, когда проверять уже поздно, есть несколько вариантов.

1. Обратиться в магазин, где покупали, или в Apple Store (при наличии чека) и вернуть устройство. Иногда случайным образом добавляются серийные номера, и блокируются даже новые устройства.
2. Обратиться в компанию, которой принадлежит устройство с MDM блокировкой. Не исключено, что компания уже давно списала и продала оборудование, но системный администратор забыл удалить MDM профиль.
3. Обратиться в СЦ для удаления MDM профиля через программатор или перепайку. Это способ незаконный, т.к. по сути у вас на руках украденное устройство. Все ваши данные сотрутся.

Вывод: покупайте новую технику Apple только у официалов. А при покупке б/у проверяйте на наличие профилей MDM блокировки. Не гоняйтесь за дешевыми ценами на технику Apple.

Своими историями и опытом покупки различной техники делитесь в комментариях.

При написании стать использованы материалы с каналов: Intune Support Team, ProTech, Apple Tech 752, Fix mobile.

_{Mobile Device Management Protocol - MDM профиль на apple macbook retina}

У нас скопилось много интересного рабочего материала, о котором отлично было бы написать пару тысяч знаков текста (как советуют SEO специалисты), но на это постоянно не хватает времени…

В данной заметке мы коротко расскажем о блокировке Вашего любимого макбук MDM (Mobile Device Management Protocol - далее MDM) профилем, а так же объясним почему это огромная головная боль и куча нервов для владельца. Расскажем как определить, что ваш macbook “оснащен и вознагражден” данным профилем и как можно с ним бороться.

В один прекрасный день в правом верхнем углу экрана вы видите простое и обычное на первый взгляд уведомление, которое ничем не отличается от миллиона других PUSH-уведомлений - это предложение установить MDM профиль. Для желающих изучить технические аспекты данного профиля - ссылка на Mobile Device Management (MDM) Protocol.

Вы можете отказаться от установки выбрав соответствующий пункт меню, но от Вас ничего уже не зависит. Профиль загружен с серверов самой apple и ей уже известно, что именно нужно установить на ваш macbook, но Вы даже не предполагаете что это за программы, и почему именно Вы…

Любой ответ на вопрос об установке мдм профиля будет проигнорирован и профиль появиться в системных настройках. Вы можете просмотреть его и изучить возможности установленного сертификата для Вашего компьютера, а возможностей может быть очень и очень много. От самых безобидных, до пугающих.

Это тоже самое, что отдать пароль администратора macbook постороннему человеку и наблюдать за его действиями.

_{Установленный один сертификат MDM профиля для удаленного управления компьютером}

Профиль MDM - это мощная и отлично зарекомендованная технология, используемая apple на iphone и ipad, а недавнего времени (начало 2017 года) и на Mac OS sierra и более старших версиях ОС. Эта технология позволяет (в зависимости от установленного сертификата и особенностей MDM конфигурации) делать с устройством различные манипуляции. И всё это через сервера самой apple.

Кратко описать основное назначение MDM профилей можно так - это управление принадлежащими компании устройствами, централизованное регулярное обновление и настройка устройств на базе iOS и Mac os, защита данных на этих устройствах при увольнении сотрудника или же краже либо утрате устройства.

Что же может произойти такого страшно с вашим macbook при блокировке mdm профилем?

Всё это зависит от установленного профиля.

Это и есть МИСТИКА! Хотя на самом деле ничего мистического в этом нет. Просто Ваш макбук принадлежит, по документам, компании, которая и установила при помощи серверов apple Вам MDM профиль. Узнать владельца сертификата можно в настройках профиля и при желании связаться с ним для выяснения причины блокировки.

_{Значек означающий наличие MDM профиля в настройках системы}

А теперь перейдем к худшему)… и реальности, как будут развиваться события после установки MDM профиля.

После установки мдм профиля в соответствии с его настройками и сертификатом с серверов apple будут получены пакеты прописанных в скрипте программ. Они будут установлены…

Наличие профиля на вашем компьютере будет отмечено у владельца сертификата и он будет точно знать состояние (блокировки), а так же установленное программное обеспечение на вашем macbook. И дальше macbook продолжает работать в обычном режиме. На этом всё и заканчивается… да! У некоторых владельцев), но не у всех…

Основной сценарий выглядит так:

a) принудительная перезагрузка и папка на экране (данные стерты - простым стиранием)

b) принудительная перезагрузка и блокировка паролем efi + удаление данных

с) блокировка загрузки PIN-кодом

d) блокировка при попытке установить систему без MDM (pin, пароль)

e) криптование диска firevault (Вы не знаете пароля…)

Избавление от этой напасти зависит, опять же, от настроек профиля, от того, что конкретно прописано в возможностях управления компьютером и от этапа на котором Вы обратились в наш сервисный центр.

Есть два пути решения:

официальный СЦ apple (нужен чек из официально магазина istore на данный macbook и коробка)

сервисный центр - мы рекомендуем выбирать СЦ АЗБУКА НОУТБУКОВ - не сочтите за рекламу)

Мы можем предложить снять ЛЮБУЮ блокировку Вашего apple macbook с СОХРАНЕНИЕМ заводского серийного номера и конфигурации компьютера (соответствующим таковым значениям на коробке от данного устройства).

Мы удаляем данные виды блокировок:

iCloud lock (pin, пароль). Необходимое время - 30 минут

efi (pin, пароль). Необходимое время - 30 минут

MDM профиль (MDM lock и все с ним связанное). Необходимое время - зависит от настроек профиля и состояния текущей блокировки.

Блокировка SSD паролем учетной записи пользователя (root).

Мы производим разблокировку macbook pro (air), mac mini, iMac любых моделей и любого года выпуска. Мы делаем удаление MDM профиля.

Все работы выполняются в нашем сервисном центре программатором собственной разработки без пайки и излишнего вмешательства. Плата macbook остается в заводском виде.

Мы даем гарантию от повторной блокировки и всегда готовы помочь в интересных и неординарных случаях.

Для сервисных центров:

Мы готовы предложить решения по удаленному сотрудничеству и снятию любых блокировок ноутбуков apple, а так же корректной сборке образов efi и smc.

P.S.: Эта запись будет обновляться по мере поступления нового материала.

Что такое MDM? Данная аббревиатура расшифровуется как Mobile Device Management, то есть управление мобильным устройством. Изначально данное ПО было предназначено для смартфонов под управлением iOS и других систем, но со временем распространилось и на компьютеры Apple Mac. В этой короткой статье, я расскажу какие возможности у MDM, зачем используют профиль, а также как его удалить.

Программное обеспечение Mobile Device Management — позволяет системным администраторам компании удаленно управлять, настраивать, устанавливать и удалять программы, блокировать MacBook, iMac и др. технику. Подходя к вопросу с этой стороны, можно прийти к выводу, что утилита очень полезна, так как облегчает процесс управления всей Эпл техникой компании. Например, для вновь пришедшего сотрудника ноутбук подготавливается всего в несколько кликов, данные поступают напрямую с сервера Епл (пакеты, скрипты, команды). Кроме того, это своеобразная страховка техники от кражи, ведь она может быть заблокирована удаленно.

Но как говорится, то что для одних облегчает жизнь, для других становится настоящей проблемой. Наиболее часто с ней сталкиваются пользователи, которые купили Мак с рук, за границей, или в фирме. Казалось бы, подводных камней не должно быть, но вдруг оказывается, что по факту ноутбук вам не принадлежит, ведь любой кто имеет доступ к управлению MDM профилем, может сделать с ним что угодно: от полного удаления всех данных, до EFI блокировки. Согласитесь, ситуация не из приятных, поэтому многие ищут способ как обойти MDM.

Решений данной ситуации несколько, давайте рассмотрим каждый из вариантов. Забегая наперед, скажу, что самостоятельно отвязать MDM профиль не удастся. Так как весь функционал связанный с безопасностью — отлично защищен от постороннего вмешательства. Устройство привязано к системе управление через серийный номер. Некоторые компании предлагают замену серийного номера Мак, после чего, профиль перестает работать, но по моему убеждению — это плохой вариант. Перейдем к правильным решениям:

• Обратиться в компанию, где был приобретен Mac. Конечно, данная возможность не всегда существует, так как ноутбук мог покупаться зарубежом, или он уже прошел через не одни руки. Но если такая возможность всё же есть — попросите системного администратора фирмы отключить ваш лэптоп от MDM;
• Идти в официальный (авторизованный) сервисный цент Apple с просьбой удалить привязку к МДМ. Но здесь существует немаловажный нюанс — право на обслуживание имеют только официально купленные Маки, при наличии чека или другого документа, подтверждающего покупку. В вашем случае, — таковые вряд ли будут иметься, но вспомнить о подобном варианте стоит;
• Посетить профессиональный неавторизованный сервис Apple. По моему скромному мнению — это лучший способ решения проблемы. Конечно, далеко не все сервисы предоставляют такую услугу, так как работа считается сложной, а специалист должен обладать глубокими познаниями и опытом. Например, на Макбук разных годов, удаление МДМ имеет свои особенности. Для удаления профиля MDM, я рекомендую сервис BashMac в Киеве. Ребята профессионалы своего дела и успешно решают проблему. Кроме того доступны и другие услуги: EFI Unlock, сброс настроек безопасной загрузки и другие.

Читайте также:

  
• Shift перезагрузка windows 7
  
• Уменьшить приоритет процесса linux
  
• Windows server 2019 удалить лицензии rdp
  
• Gta vice city не запускается на windows 10
  
• Как поменять ттл на виндовс 10