Немного про MDM
MDM (англ. Mobile Device Management) профиль, как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. MDM профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.
Короче, в общем для компании - это хорошо, в частности для конкретного пользователя - не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.
MDM профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.
Решение с обходом MDM блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.
Установка чистой системы
Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило - проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.
После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений - примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.
Отключение MDM профиля
1. На устройстве должен быть снят пароль на включение и
выключено шифрование диска:
Настройки -> Безопасность -> FileVault -
выключить
2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы
загрузки.
3. В режите восстановления запускаем терминал:
"Утилиты" -> "Терминал"
4. Смотрим индентификатор тома:
mount
5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться "Macintosh HD". Здесь и далее будем использовать его.
Записываем на листик индентификатор тома "/Volumes/Macintosh
HD"
Внимание! Не перепутать с диском
"/Volumes/Macintosh HD - Data"
Идентификатор выглядит примерно так dev/disk4s5 -
в вашем случае цифры могут быть другие.
Внимание! Индентификатор тома и название тома в
последующих примерах команд подставляем свои!
6. Отключаем том и копируем файлы агентов в отдельную папку bak:
umount /Volumes/Macintosh\ HDmkdir /Volumes/Macintosh\ HDmount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents mkdir bakmv com.apple.ManagedClientAgent.* bak/ mv com.apple.mdmclient.* bak/cd ../LaunchDaemons mkdir bakmv com.apple.ManagedClient.* bak/ mv com.apple.mdmclient.* bak/
7. Отключаем Signed System Volume (SSV):
csrutil authenticated-root disable
8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:
bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
9. Закрываем терминал и перезагружаемся.
Готово. Агенты MDM профиля больше системой не видятся.
Обновления будут работать. Если сделать чистую переустановку -
процедуру придется повторить сначала. Иногда фикс слетает после
установки мажорных обновлений.
Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.
