Désactiver le profil DEP et MDM sur Mac OS Big Sur

Un peu de DEP et MDM

Mise à jour: Merci à @agafon_aga pour les commentaires essentiels:

La situation décrite ici est pertinente lors de l'utilisation du programme d'inscription d'appareils Apple (DEP). Sa signification est de lier des appareils à un compte d'entreprise pour faciliter la gestion, l'inventaire, etc.

Au sein du système, DEP a la priorité la plus élevée (après Apple, bien sûr).

Les systèmes de gestion des appareils mobiles (MDM) ont une priorité inférieure à l'AppleID de l'utilisateur de l'appareil. L'utilisateur peut facilement supprimer un profil MDM (pas DEP). Pour ce faire, il suffit d'être administrateur du système.

Au total, le niveau de priorité est construit (du plus élevé au plus bas):

Apple - DEP - Identifiant Apple de l'utilisateur - Profil MDM

Les profils DEP (Device Enrollment Program) et MDM (Mobile Device Management) sont généralement installés par les utilisateurs sur des appareils qui leur ont été délivrés par de grandes entreprises, ainsi que par certaines écoles et universités. Le profil vous permet d'automatiser la configuration de presque tous les composants logiciels de l'appareil. Ce faisant, il permet également un contrôle complet de l'appareil à distance. Les possibilités de contrôle ne sont limitées que par l'imagination de l'administrateur qui l'a configurée.

, - , - . , - .

. , . , .

Mac OS Catalina . Big Sur . . .

, Mac OS Big Sur . MDM - , MDM .

. , MDM , . - 10 . , .

MDM

1. :

-> -> FileVault -

2. :

(Command+R) .

3. :

"" -> ""

4. :

mount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

5. , "Macintosh HD". .

"/Volumes/Macintosh HD"

! "/Volumes/Macintosh HD - Data"

dev/disk4s5 - .

! !

6. bak:

umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD 
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

7. Signed System Volume (SSV):

csrutil authenticated-root disable
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

8. , :

bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

9. .

Terminé. Les agents Profile MDM ne sont plus visibles par le système.

Les mises à jour fonctionneront. Si vous effectuez une réinstallation propre, vous devrez répéter la procédure depuis le début. Parfois, le correctif vole après l'installation de mises à jour majeures.

L'efficacité de la méthode a été testée sur Mac OS Big Sur jusqu'à la version 11.1.