Создание сайтов: лендинг, визитка, интернет магазин. Продвижение, поддержка, реклама.

Немного про MDM

MDM (англ. Mobile Device Management) профиль, как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. MDM профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.

Короче, в общем для компании – это хорошо, в частности для конкретного пользователя – не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.

MDM профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.

Решение с обходом MDM блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.

Установка чистой системы

Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило – проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.

После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений – примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.

Отключение MDM профиля

1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault – выключить

2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.

3. В режите восстановления запускаем терминал:
“Утилиты” -> “Терминал”

4. Смотрим индентификатор тома:

mount

5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться “Macintosh HD”. Здесь и далее будем использовать его.

Записываем на листик индентификатор тома “/Volumes/Macintosh HD”

Внимание! Не перепутать с диском “/Volumes/Macintosh HD – Data”
Идентификатор выглядит примерно так dev/disk4s5 – в вашем случае цифры могут быть другие.

Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!

6. Отключаем том и копируем файлы агентов в отдельную папку bak:

umount /Volumes/Macintosh HD
mkdir /Volumes/Macintosh HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh HD 
cd /Volumes/Macintosh HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/

7. Отключаем Signed System Volume (SSV):

csrutil authenticated-root disable

8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:

bless --folder /Volumes/Macintosh HD/System/Library/CoreServices --bootefi --create-snapshot

9. Закрываем терминал и перезагружаемся.

Готово. Агенты MDM профиля больше системой не видятся.

Обновления будут работать. Если сделать чистую переустановку – процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.

Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.