Deshabilitar DEP y perfil MDM en Mac OS Big Sur

Un poco sobre DEP y MDM

Actualización: Gracias a @agafon_aga por los comentarios esenciales:

La situación descrita aquí es relevante cuando se utiliza el Programa de inscripción de dispositivos de Apple (DEP). Su significado es vincular dispositivos a una cuenta de empresa para facilitar la administración, el inventario y más.

Dentro del sistema, DEP tiene la máxima prioridad (después de Apple, por supuesto).

Los sistemas de administración de dispositivos móviles (MDM) tienen una prioridad menor que el AppleID del usuario del dispositivo. El usuario puede eliminar fácilmente un perfil MDM (no DEP). Para ello, basta con ser administrador del sistema.

En total, el nivel de prioridad se construye (de mayor a menor):

Apple - DEP - ID de Apple de usuario - Perfil MDM

Los perfiles DEP (Programa de inscripción de dispositivos) y MDM (Administración de dispositivos móviles) generalmente los instalan los usuarios en los dispositivos que les han proporcionado las grandes empresas, así como algunas escuelas y universidades para su uso. El perfil le permite automatizar la configuración de casi todos los componentes de software del dispositivo. Al hacerlo, también permite un control completo del dispositivo de forma remota. Las posibilidades de control están limitadas solo por la imaginación del administrador que lo configuró.

, - , - . , - .

. , . , .

Mac OS Catalina . Big Sur . . .

, Mac OS Big Sur . MDM - , MDM .

. , MDM , . - 10 . , .

MDM

1. :

-> -> FileVault -

2. :

(Command+R) .

3. :

"" -> ""

4. :

mount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

5. , "Macintosh HD". .

"/Volumes/Macintosh HD"

! "/Volumes/Macintosh HD - Data"

dev/disk4s5 - .

! !

6. bak:

umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD 
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

7. Signed System Volume (SSV):

csrutil authenticated-root disable
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

8. , :

bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

9. .

Hecho. Los agentes de Profile MDM ya no son visibles para el sistema.

Las actualizaciones funcionarán. Si realiza una reinstalación limpia, tendrá que repetir el procedimiento desde el principio. A veces, la solución vuela después de instalar actualizaciones importantes.

El método ha sido probado en Mac OS Big Sur hasta la versión 11.1.