Можно ли полностью запретить удаление enroll-профиля MDM из macOS?
TL;DR — нет, нельзя.
Этот один из самых популярных вопросов в области управления устройствами Apple.
Увы, но такие мысли приходят некоторым сотрудникам. И администратор должен быть готов к таким сценариям.
Итак, что можно сделать:
Без переустановки системы и с правами локального администратора:
1. Если у вас есть права локального администратора на macOS — вы можете удалить профиль MDM enrollment через System Settings.
2. Если у вас есть права локального администратора, но панель настроек, содержащая установленный профиль MDM, заблокирована — вы можете воспользоваться командой profiles.
3. Если у вас есть права локального администратора, но команда profiles заблокирована — вам нужно найти приложение, которое блокирует запуск этого бинарника, например santa от google, убить процесс этого приложения и воспользоваться командой profiles.
1. Если у вас есть права локального администратора на macOS — вы можете удалить профиль MDM enrollment через System Settings.
2. Если у вас есть права локального администратора, но панель настроек, содержащая установленный профиль MDM, заблокирована — вы можете воспользоваться командой profiles.
3. Если у вас есть права локального администратора, но команда profiles заблокирована — вам нужно найти приложение, которое блокирует запуск этого бинарника, например santa от google, убить процесс этого приложения и воспользоваться командой profiles.
С переустановкой системы:
1. Если на Маке не установлен Recovery Lock — вы просто переустанавливаете систему.
2. Если на Маке установлен Recovery Lock — обходите его через режим DFU.
3. Если Мак добавлен в ABM и у вас настроен pre stage enrollment — воспользуйтесь утилитой MDS, чтобы установить готовую систему прямо из Recovery.
1. Если на Маке не установлен Recovery Lock — вы просто переустанавливаете систему.
2. Если на Маке установлен Recovery Lock — обходите его через режим DFU.
3. Если Мак добавлен в ABM и у вас настроен pre stage enrollment — воспользуйтесь утилитой MDS, чтобы установить готовую систему прямо из Recovery.
Что важно понимать.
Какой бы сценарий настройки macOS вы не использовали — всегда есть возможность обойти эти ограничения.
Какой бы сценарий настройки macOS вы не использовали — всегда есть возможность обойти эти ограничения.
Почему так?
Потому что MDM и DEP (ABM) — это не инструменты защиты, а инструменты настройки macOS.
Потому что MDM и DEP (ABM) — это не инструменты защиты, а инструменты настройки macOS.
Что делать?
1. По мере возможности не давайте пользователям права локального администратора. Установку дополнительного ПО и настроек без требования прав администратора можно вынести в отдельный Self Service.
2. Если лишить пользователя прав локального администратора нельзя — ограничьте доступ к панели профилей в System Settings, чтобы пользователь не удалил его «случайно». Для более продвинутых пользователей можно ограничить запуск команды profiles. Вполне вероятно, что это позволит уменьшить количество инцидентов.
3. Настройте уведомления в Ринго или собирайте информацию через API: устройство отключено от MDM или долгое время не выходило на связь. После чего — реагируйте.
4. Проработайте сценарий повторной настройки устройств таким образом, чтобы он был максимально прозрачным для пользователя и не потребовал бы переустановки прикладного ПО, дабы сэкономить время.
1. По мере возможности не давайте пользователям права локального администратора. Установку дополнительного ПО и настроек без требования прав администратора можно вынести в отдельный Self Service.
2. Если лишить пользователя прав локального администратора нельзя — ограничьте доступ к панели профилей в System Settings, чтобы пользователь не удалил его «случайно». Для более продвинутых пользователей можно ограничить запуск команды profiles. Вполне вероятно, что это позволит уменьшить количество инцидентов.
3. Настройте уведомления в Ринго или собирайте информацию через API: устройство отключено от MDM или долгое время не выходило на связь. После чего — реагируйте.
4. Проработайте сценарий повторной настройки устройств таким образом, чтобы он был максимально прозрачным для пользователя и не потребовал бы переустановки прикладного ПО, дабы сэкономить время.
Но что самое главное — постарайтесь донести эту информацию до пользователя, который в первый раз входит в учетную запись на своем компьютере или подключает его к MDM. Например, можно выводить отдельное окно с информацией о политиках пользования корпоративным ноутбуком, изложенной простым и понятным языком.