Удаление enroll-профиля MDM

TL;DR#nbsp;— нет, нельзя.

Этот один из#nbsp;самых популярных вопросов в#nbsp;области управления устройствами Apple.

Увы, но#nbsp;такие мысли приходят некоторым сотрудникам. И#nbsp;администратор должен быть готов к#nbsp;таким сценариям.

Без переустановки системы и#nbsp;с#nbsp;правами локального администратора:
1. Если у#nbsp;вас есть права локального администратора на#nbsp;macOS#nbsp;— вы#nbsp;можете удалить профиль MDM enrollment через System Settings.
2. Если у#nbsp;вас есть права локального администратора, но#nbsp;панель настроек, содержащая установленный профиль MDM, заблокирована#nbsp;— вы#nbsp;можете воспользоваться командой profiles.
3. Если у#nbsp;вас есть права локального администратора, но#nbsp;команда profiles заблокирована#nbsp;— вам нужно найти приложение, которое блокирует запуск этого бинарника, например santa от#nbsp;google, убить процесс этого приложения и#nbsp;воспользоваться командой profiles.

С#nbsp;переустановкой системы:
1. Если на#nbsp;Маке не#nbsp;установлен Recovery Lock#nbsp;— вы#nbsp;просто переустанавливаете систему.
2. Если на#nbsp;Маке установлен Recovery Lock#nbsp;— обходите его через режим DFU.
3. Если Мак добавлен в#nbsp;ABM и#nbsp;у#nbsp;вас настроен pre stage enrollment#nbsp;— воспользуйтесь утилитой MDS, чтобы установить готовую систему прямо из#nbsp;Recovery.

Что важно понимать.
Какой#nbsp;бы сценарий настройки macOS вы#nbsp;не#nbsp;использовали#nbsp;— всегда есть возможность обойти эти ограничения.

Почему так?
Потому что MDM и#nbsp;DEP (ABM)#nbsp;— это не#nbsp;инструменты защиты, а#nbsp;инструменты настройки macOS.

Что делать?
1. По#nbsp;мере возможности не#nbsp;давайте пользователям права локального администратора. Установку дополнительного#nbsp;ПО и#nbsp;настроек без требования прав администратора можно вынести в#nbsp;отдельный Self Service.
2. Если лишить пользователя прав локального администратора нельзя#nbsp;— ограничьте доступ к#nbsp;панели профилей в#nbsp;System Settings, чтобы пользователь не#nbsp;удалил его «случайно». Для более продвинутых пользователей можно ограничить запуск команды profiles. Вполне вероятно, что это позволит уменьшить количество инцидентов.
3. Настройте уведомления в#nbsp;Ринго или собирайте информацию через API: устройство отключено от#nbsp;MDM или долгое время не#nbsp;выходило на#nbsp;связь. После чего#nbsp;— реагируйте.
4. Проработайте сценарий повторной настройки устройств таким образом, чтобы он#nbsp;был максимально прозрачным для пользователя и#nbsp;не#nbsp;потребовал#nbsp;бы переустановки прикладного ПО, дабы сэкономить время.

Но#nbsp;что самое главное#nbsp;— постарайтесь донести эту информацию до#nbsp;пользователя, который в#nbsp;первый раз входит в#nbsp;учетную запись на#nbsp;своем компьютере или подключает его к#nbsp;MDM. Например, можно выводить отдельное окно с#nbsp;информацией о#nbsp;политиках пользования корпоративным ноутбуком, изложенной простым и#nbsp;понятным языком.