- Отключение профиля MDM на Mac OS Big Sur
- Немного про MDM
- Установка чистой системы
- Отключение MDM профиля
- Отключение профиля DEP и MDM на Mac OS Big Sur
- Немного про DEP и MDM
- Установка чистой системы
- Отключение MDM профиля
- Удаление MDM профиля, iCloud lock, efi password lock с любого apple MacBook — удаление любого типа блокировки с любой модели macbook
- Почему мы
- Мы производим разблокировку macbook pro (air), mac mini, iMac любых моделей и любого года выпуска. Мы делаем удаление MDM профиля.
Отключение профиля MDM на Mac OS Big Sur
Немного про MDM
MDM (англ. Mobile Device Management) профиль, как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. MDM профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.
Короче, в общем для компании — это хорошо, в частности для конкретного пользователя — не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.
MDM профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.
Решение с обходом MDM блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.
Установка чистой системы
Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило — проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.
После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений — примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.
Отключение MDM профиля
1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault — выключить
2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.
3. В режите восстановления запускаем терминал:
«Утилиты» -> «Терминал»
4. Смотрим индентификатор тома:
5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться «Macintosh HD». Здесь и далее будем использовать его.
Записываем на листик индентификатор тома «/Volumes/Macintosh HD»
Внимание! Не перепутать с диском «/Volumes/Macintosh HD — Data»
Идентификатор выглядит примерно так dev/disk4s5 — в вашем случае цифры могут быть другие.
Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!
6. Отключаем том и копируем файлы агентов в отдельную папку bak:
7. Отключаем Signed System Volume (SSV):
8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:
9. Закрываем терминал и перезагружаемся.
Готово. Агенты MDM профиля больше системой не видятся.
Обновления будут работать. Если сделать чистую переустановку — процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.
Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.
Источник
Отключение профиля DEP и MDM на Mac OS Big Sur
Описанные ниже действия лишают компанию или организацию, которая выдала вам компьютер, возможности следить за вашим устройством и получать дистанционно доступ к данным на нем.
Если обязательства перед компанией или закон ограничивает вас от выполнения подобных действий — НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.
Если ваши этические принципы или иные убеждения не позволяют вам избавиться от контроля компании или организации — НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.
В описанном методе не применяется какой-либо внешний инструментарий и используются только штатные средства Mac OS.
При использовании данного метода ОТКЛЮЧАЕТСЯ ШИФРОВАНИЕ FileVault накопителя. Если такое действие неприемлемо – НЕ ИСПОЛЬЗУЙТЕ данный метод. Тестирование с последующей активацией шифрования не проводилось.
Автор с уважением относится к компаниям и администраторам, которые настраивают системы контроля DEP и MDM.
Также автор уважает свободный осознанный выбор конечных пользователей по снятию систем слежения и дистанционного доступа к данным, если это не нарушает их обязательств перед компанией и закон.
Все инструкции пользователь выполняет на свой страх и риск. Автор не несет никакой ответственности на нанесенный вред или ущерб, в результате выполняемых действий, равно как не призывает к их выполнению.
Немного про DEP и MDM
Update: Спасибо @agafon_aga за существенные замечания:
Описанная здесь ситуация актуальна при использовании Apple Device Enrollment Program (DEP). Смысл ее — привязка устройств на аккаунт компании для облегчения управления, инвентаризации и прочего.
Внутри системы DEP имеет самый высокий приоритет (после Apple, разумеется).
Mobile Device Management (MDM) системы, имеют приоритет ниже чем AppleID пользователя устройства. Удалить профиль именно MDM (а не DEP) пользователь может легко. Для этого достаточно быть админом в системе.
Итого, уровень приоритетов выстраивается (от высшего к низшему):
Apple — DEP — User AppleID — MDM Profile
Профили DEP (Device Enrollment Program) и MDM (англ. Mobile Device Management), как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. Профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.
Короче, в общем для компании — это хорошо, в частности для конкретного пользователя — не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.
Корпоративный профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.
Решение с обходом блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.
Установка чистой системы
Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило — проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.
После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений — примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.
Отключение MDM профиля
1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault — выключить
2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.
3. В режите восстановления запускаем терминал:
«Утилиты» -> «Терминал»
4. Смотрим индентификатор тома:
5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться «Macintosh HD». Здесь и далее будем использовать его.
Записываем на листик индентификатор тома «/Volumes/Macintosh HD»
Внимание! Не перепутать с диском «/Volumes/Macintosh HD — Data»
Идентификатор выглядит примерно так dev/disk4s5 — в вашем случае цифры могут быть другие.
Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!
6. Отключаем том и копируем файлы агентов в отдельную папку bak:
7. Отключаем Signed System Volume (SSV):
8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:
9. Закрываем терминал и перезагружаемся.
Готово. Агенты MDM профиля больше системой не видятся.
Обновления будут работать. Если сделать чистую переустановку — процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.
Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.
Источник
Удаление MDM профиля, iCloud lock, efi password lock с любого apple MacBook — удаление любого типа блокировки с любой модели macbook
Почему мы
- 10 лет успешного опыта
- >500 постоянных клиентов
- Профессиональные инженеры
- Бесплатная* диагностика
У нас скопилось много интересного рабочего материала, о котором отлично было бы написать пару тысяч знаков текста (как советуют SEO специалисты), но на это постоянно не хватает времени…
В данной заметке мы коротко расскажем о блокировке Вашего любимого макбук MDM (Mobile Device Management Protocol — далее MDM) профилем, а так же объясним почему это огромная головная боль и куча нервов для владельца. Расскажем как определить, что ваш macbook “оснащен и вознагражден” данным профилем и как можно с ним бороться.
часть первая — # пришествие
В один прекрасный день в правом верхнем углу экрана вы видите простое и обычное на первый взгляд уведомление, которое ничем не отличается от миллиона других PUSH-уведомлений — это предложение установить MDM профиль. Для желающих изучить технические аспекты данного профиля — ссылка на Mobile Device Management (MDM) Protocol.
Вы можете отказаться от установки выбрав соответствующий пункт меню, но от Вас ничего уже не зависит. Профиль загружен с серверов самой apple и ей уже известно, что именно нужно установить на ваш macbook, но Вы даже не предполагаете что это за программы, и почему именно Вы…
Любой ответ на вопрос об установке мдм профиля будет проигнорирован и профиль появиться в системных настройках. Вы можете просмотреть его и изучить возможности установленного сертификата для Вашего компьютера, а возможностей может быть очень и очень много. От самых безобидных, до пугающих.
Самое неприятное, что установку данного “дополнения” к системе можно было просто не заметить среди кучи всплывающих PUSH-сообщений и узнать о наличии профиля по началу действий, и сказочных превращений происходящих в операционной системе без вашего ведома.
Это тоже самое, что отдать пароль администратора macbook постороннему человеку и наблюдать за его действиями.
часть вторая — # мистика
Профиль MDM — это мощная и отлично зарекомендованная технология, используемая apple на iphone и ipad, а недавнего времени (начало 2017 года) и на Mac OS sierra и более старших версиях ОС. Эта технология позволяет (в зависимости от установленного сертификата и особенностей MDM конфигурации) делать с устройством различные манипуляции. И всё это через сервера самой apple.
Кратко описать основное назначение MDM профилей можно так — это управление принадлежащими компании устройствами, централизованное регулярное обновление и настройка устройств на базе iOS и Mac os, защита данных на этих устройствах при увольнении сотрудника или же краже либо утрате устройства.
Что же может произойти такого страшно с вашим macbook при блокировке mdm профилем?
Всё это зависит от установленного профиля.
- удаленная принудительная установка приложений и программ (по скрипту)
- удаленное управление вашим macbook
- отправка сообщений на ваш macbook (PUSH и т.д.)
Это и есть МИСТИКА! Хотя на самом деле ничего мистического в этом нет. Просто Ваш макбук принадлежит, по документам, компании, которая и установила при помощи серверов apple Вам MDM профиль. Узнать владельца сертификата можно в настройках профиля и при желании связаться с ним для выяснения причины блокировки.
У нас недавно был случай, когда добросовестный покупатель с коробкой (но без чека из istore, а с чеком из обычного магазина) получил эту настройку. Так, что возникновение блокировки и причин ее появления — это еще отдельный вопрос.
А теперь перейдем к худшему)… и реальности, как будут развиваться события после установки MDM профиля.
часть третья — # реальность
После установки мдм профиля в соответствии с его настройками и сертификатом с серверов apple будут получены пакеты прописанных в скрипте программ. Они будут установлены…
Наличие профиля на вашем компьютере будет отмечено у владельца сертификата и он будет точно знать состояние (блокировки), а так же установленное программное обеспечение на вашем macbook. И дальше macbook продолжает работать в обычном режиме. На этом всё и заканчивается… да! У некоторых владельцев), но не у всех…
Основной сценарий выглядит так:
- установка MDM профиля (PUSH- сообщение, сертификат)
- установка пакета программ прописанных в скрипте профиля
- загрузка остальных настроек профиля и сертификатов
- некоторое время…
a) принудительная перезагрузка и папка на экране (данные стерты — простым стиранием)
b) принудительная перезагрузка и блокировка паролем efi + удаление данных
с) блокировка загрузки PIN-кодом
d) блокировка при попытке установить систему без MDM (pin, пароль)
e) криптование диска firevault (Вы не знаете пароля…)
f) и так далее — варианты зависят от конфигурации профиля и желания усложнить вам жизнь администратором владельца сертификата МДМ профиля.
часть четвертая — # лечение
Избавление от этой напасти зависит, опять же, от настроек профиля, от того, что конкретно прописано в возможностях управления компьютером и от этапа на котором Вы обратились в наш сервисный центр.
Есть два пути решения:
официальный СЦ apple (нужен чек из официально магазина istore на данный macbook и коробка)
сервисный центр — мы рекомендуем выбирать СЦ АЗБУКА НОУТБУКОВ — не сочтите за рекламу)
Мы можем предложить снять ЛЮБУЮ блокировку Вашего apple macbook с СОХРАНЕНИЕМ заводского серийного номера и конфигурации компьютера (соответствующим таковым значениям на коробке от данного устройства).
Мы удаляем данные виды блокировок:
iCloud lock (pin, пароль). Необходимое время — 30 минут
efi (pin, пароль). Необходимое время — 30 минут
MDM профиль (MDM lock и все с ним связанное). Необходимое время — зависит от настроек профиля и состояния текущей блокировки.
Блокировка SSD паролем учетной записи пользователя (root).
Мы производим разблокировку macbook pro (air), mac mini, iMac любых моделей и любого года выпуска. Мы делаем удаление MDM профиля.
Все работы выполняются в нашем сервисном центре программатором собственной разработки без пайки и излишнего вмешательства. Плата macbook остается в заводском виде.
Мы даем гарантию от повторной блокировки и всегда готовы помочь в интересных и неординарных случаях.
Для сервисных центров:
Мы готовы предложить решения по удаленному сотрудничеству и снятию любых блокировок ноутбуков apple, а так же корректной сборке образов efi и smc.
Источник
