Desativar perfil DEP e MDM no Mac OS Big Sur

Um pouco sobre DEP e MDM

Atualização: Obrigado a @agafon_aga pelos comentários essenciais:

A situação descrita aqui é relevante ao usar o Apple Device Enrollment Program (DEP). Seu significado é vincular dispositivos a uma conta corporativa para facilitar o gerenciamento, o inventário e muito mais.

Dentro do sistema, DEP tem a prioridade mais alta (depois da Apple, é claro).

Os sistemas de gerenciamento de dispositivos móveis (MDM) são priorizados abaixo do AppleID do usuário do dispositivo. O usuário pode excluir facilmente um perfil MDM (não DEP). Para isso, basta ser administrador do sistema.

No total, o nível de prioridade é construído (do mais alto para o mais baixo):

Apple - DEP - AppleID do usuário - Perfil MDM

Os perfis DEP (Device Enrollment Program) e MDM (Mobile Device Management) são geralmente instalados por usuários em dispositivos que foram emitidos para eles por grandes empresas, bem como por algumas escolas e universidades para uso. O perfil permite automatizar a configuração de quase todos os componentes de software do dispositivo. No entanto, também permite o controle completo do dispositivo remotamente. As possibilidades de controle são limitadas apenas pela imaginação do administrador que o configurou.

, - , - . , - .

. , . , .

Mac OS Catalina . Big Sur . . .

, Mac OS Big Sur . MDM - , MDM .

. , MDM , . - 10 . , .

MDM

1. :

-> -> FileVault -

2. :

(Command+R) .

3. :

"" -> ""

4. :

mount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

5. , "Macintosh HD". .

"/Volumes/Macintosh HD"

! "/Volumes/Macintosh HD - Data"

dev/disk4s5 - .

! !

6. bak:

umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD 
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

7. Signed System Volume (SSV):

csrutil authenticated-root disable
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

8. , :

bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

9. .

Feito. Os agentes de MDM de perfil não estão mais visíveis para o sistema.

As atualizações funcionarão. Se você fizer uma reinstalação limpa, terá que repetir o procedimento desde o início. Às vezes, a correção voa após a instalação de atualizações importantes.

O método foi testado no Mac OS Big Sur até a versão 11.1.