MDM trên Macbook là gì và cách thoát MDM an toàn

1. MDM trên Macbook là gì – Thế nào là máy MDM

a. MDM là gì?

mdm-tren-macbook-la-gi

Mobile Device Management hay MDM là một trình quản lý thiết bị di động (Macbook, iPhone, iPad hoặc iPod của Apple). Nó cho phép quản trị viên (Adminstrator) của một tổ chức có thể tự động cài đặt chương trình, hạn chế chỉnh sửa cũng như truy cập một số chức năng nhất định trên các thiết bị Apple dưới quyền quản lý của tổ chức đó.

Macbook MDM (hay còn được gọi là Macbook Hàng công ty thanh lý) là những máy nằm trong đơn đặt hàng của công ty nước ngoài như: Google, Facebook, BestBuy, Wall Mart… để dễ dàng quản lý nhân sự. Tuy nhiên, do thừa nhu cầu sử dụng họ thanh lý máy với giá rẻ hơn. Hiện nay được bán trên thị trường khá nhiều với giá rẻ hơn các dòng Macbook cùng loại tại hãng. Nhưng các chức năng của nó vẫn đảm bảo rất tốt.

b. Công dụng MDM

Công cụ MDM giúp đảm bảo thiết bị được sử dụng đúng người, đúng mục đích, tránh các nhân viên cài đặt lung tung gây mất đảm bảo an ninh hệ thống. Nhờ vậy có thể quản lý an toàn về dữ liệu cho chính cá nhân và tổ chức đó.

c. Những dấu hiệu chứng tỏ Macbook dính Profile (MDM)

mdm-tren-macbook-la-gi

MDM được đăng ký thông qua chương trình DEP (Device Enrollment Program). DEP là một chương trình đăng ký thiết bị cho phép quản trị viên tự động đăng ký MDM. Khi máy của bạn được kích hoạt, cài đặt và kết nối Internet thông qua kiểm tra số Seri trên trang chủ của Apple, nếu máy của bạn thuộc diện quản lý MDM, trên macbook của bạn sẽ xảy ra 3 khả năng sau:

  • Máy sẽ tự động cài đặt các phần mềm và cấu hình như được chỉ định ở MDM.
  • Máy sẽ hiện lên thông báo bắt đăng nhập tài khoản của tổ chức.
  • Máy thường hiện lên cảnh báo “Device Enrollment” khi bạn sử dụng. (Nếu bạn không kết nối Wifi ở bước cài đặt đầu tiên).

Lưu ý: MDM không gây ảnh hưởng gì đến việc sử dụng cũng như các chức năng của Macbook. Và các máy MDM vẫn được bảo hành bình thường nếu c.n hạn bảo hành (tuyệt đối không thuộc hàng trưng bày, hàng báo mất hay hàng không check được seri)

d. Những ưu, nhược điểm của Macbook MDM là gì?

Ưu điểm:

+ Có lẽ ưu điểm thứ nhất của Macbook MDM là rẻ. Vì là máy được thanh lý công ty nên giá thành sẽ mềm hơn mua tại hãng.

+ Bạn tránh được các loại rủi do phần mềm trong quá trình sử dụng máy. 

Nhược điểm:

+ Máy sẽ tự cài đặt theo cấu hình công ty sở hữu định sẵn nên bạn không thể thay đổi cấu hình theo ý mình được.

+ Thông báo hiện lên gây khó chịu (thoát được nhưng không xóa hoàn toàn được).

+ Chủ sở hữu máy có quyền kiểm soát máy như đọc, xóa, xem, vô hiệu hóa máy đó.

+ Máy này nên mua ở địa điểm uy tín, bảo hành trách nhiệm nếu không sẽ không được hưởng quyền lợi bảo hành chính đáng. 

 

2. Thoát phần mềm MDM như thế nào?

Bạn cần lưu ý rằng, thoát MDM có thể cài đặt 1 lần, nhưng mỗi khi bạn cài lại MacOS bạn sẽ phải làm lại. Các bước làm như sau:

Bước 1: Vượt MDM khi kích hoạt máy

Ở bước yêu cầu kết nối wifi, bạn chọn Other Network Option -> My computer doesn’t connect to the Intenet

Nếu thanh Touch Bar chưa sáng, bạn bắt buộc phải vào wifi để tải driver Touch Bar. Sau đó, thông báo MDM sẽ hiện lên, bạn ấn Back lại và làm như trên.

Bước 2: Tắt SIP (System Integrity Protection)

Vì ở các bước sau chúng ta sẽ can thiệp vào file hệ thống của hệ điều hành

  • Tắt máy (Shutdown).
  • Bật máy lên và giữ tổ hợp phím Command + R để vào chế độ Recovery.

mdm-tren-macbook-la-gi

  • Mở Terminal 

mdm-tren-macbook-la-gi

  • Gõ lệnh sau để tắt hoàn toàn SIP: csrutil disable
  • Gõ Reboot để khởi động lại máy

Bước 3. Xóa file kích hoạt MDM

  • Tải đoạn script này về máy và giải nén
  • Mở Terminal: gõ “chmod +X”, thêm 1 khoảng trắng và kéo file script vào:

  • Click đúp vào Script và nhập mật khẩu khi được yêu cầu là xong

Hoặc bạn có thể xóa tạm thời MDM bằng tay như sau:

 

Bạn vào 2 đường dẫn sau:

  • /System/Library/LaunchAgents và xóa file com.apple.ManagedClientAgent.enrollagent.plist
  • /System/Library/LaunchDaemons và xóa file com.apple.ManagedClient.enroll.plist

Hoặc bạn có copy file com.apple.ManagedClient.enroll.plist ra ngoài Desktop, mở bằng Text Edit rồi sửa com.apple.ManagedClient.enroll từ True thành False. Sau đó lưu và ghi đè vào là được.

Nếu bạn thấy vẫn thấy không khắc phục được thì đừng lo, chúng ta sẽ xét đến một trường hợp khác:

Với các bước trên chỉ áp dụng với Macbook đời cũ nhưng nếu bạn đang dùng hệ điều hành macOS Catalina 10.15 thì có thể sẽ không được do cơ chế bảo mật của Catalina có chút thay đổi (Bảo mật cao hơn). Nhưng đừng lo lắng, bạn vẫn có thể tắt MDM được bằng cách làm theo các bước sau:

Bước 1: Khởi động lại máy

Bước 2: Khi máy vừa tắt, bạn nhấn tổ hợp phím Command + R để vào chế độ Recovery

Bước 3: vào Terminal

Bước 4: Gõ dòng lệnh sau: csrutil disable

Sau đó gõ Reboot để restart lại máy.

Bước 5: Khởi động máy như bình thường. Sau khi khởi động, mở Terminal

Bước 6: Copy dòng sau dán vào cửa sổ termial và Enter (nhập mật khẩu nếu yêu cầu) sudo mount -uw /

Bước 7: Copy dán nguyên tổ hợp code bên dưới dán vào cửa sổ terminal

sudo mkdir /System/Library/LaunchAgentsDisabled; sudo mkdir /System/Library/LaunchDaemonsDisabled; sudo mv /System/Library/LaunchAgents/com.apple.ManagedClientAgent.agent.plist /System/Library/LaunchAgentsDisabled; sudo mv /System/Library/LaunchAgents/com.apple.ManagedClientAgent.enrollagent.plist /System/Library/LaunchAgentsDisabled; sudo mv /System/Library/LaunchDaemons/com.apple.ManagedClient.cloudconfigurationd.plist /System/Library/LaunchDaemonsDisabled; sudo mv /System/Library/LaunchDaemons/com.apple.ManagedClient.enroll.plist /System/Library/LaunchDaemonsDisabled; sudo mv /System/Library/LaunchDaemons/com.apple.ManagedClient.plist /System/Library/LaunchDaemonsDisabled; sudo mv /System/Library/LaunchDaemons/com.apple.ManagedClient.startup.plist /System/Library/LaunchDaemonsDisabled

Sau đó khởi động lại máy xem còn bị thông báo Device Enrollment nữa không?

CHÚC CÁC BẠN THÀNH CÔNG !!!