DEPとMDMについて少し
更新:重要なコメントを寄せてくれた@agafon_agaに感謝します:
ここで説明する状況は、Apple Device Enrollment Program(DEP)を使用する場合に関係します。その意味は、デバイスを企業アカウントにリンクして、管理や在庫管理などを容易にすることです。
システム内では、DEPが最も優先されます(もちろん、Appleに次ぐ)。
モバイルデバイス管理(MDM)システムは、デバイスユーザーのAppleIDよりも優先されます。ユーザーは(DEPではなく)MDMプロファイルを簡単に削除できます。これを行うには、システムの管理者である必要があります。
合計で、優先度レベルが構築されます(最高から最低へ)。
Apple-DEP-ユーザーAppleID-MDMプロファイル
DEP(デバイス登録プログラム)およびMDM(モバイルデバイス管理)プロファイルは、通常、大企業や一部の学校や大学から発行されたデバイスにユーザーがインストールして使用します。このプロファイルを使用すると、デバイスのほぼすべてのソフトウェアコンポーネントの構成を自動化できます。ただし、デバイスをリモートで完全に制御することもできます。制御の可能性は、それを設定した管理者の想像力によってのみ制限されます。
, - , - . , - .
. , . , .
Mac OS Catalina . Big Sur . . .
, Mac OS Big Sur . MDM - , MDM .
. , MDM , . - 10 . , .
MDM
1. :
-> -> FileVault -
2. :
(Command+R) .
3. :
"" -> ""
4. :
mount
5. , "Macintosh HD". .
"/Volumes/Macintosh HD"
! "/Volumes/Macintosh HD - Data"
dev/disk4s5 - .
! !
6. bak:
umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents
mkdir bak
mv com.apple.ManagedClientAgent.* bak/
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons
mkdir bak
mv com.apple.ManagedClient.* bak/
mv com.apple.mdmclient.* bak/
7. Signed System Volume (SSV):
csrutil authenticated-root disable
8. , :
bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
9. .
完了。プロファイルMDMエージェントはシステムに表示されなくなります。
アップデートは機能します。クリーンな再インストールを行う場合は、最初から手順を繰り返す必要があります。メジャーアップデートをインストールした後、修正が飛ぶことがあります。
このメソッドは、バージョン11.1までのMac OS BigSurでテストされています。