Trong bài này, Laptop VÀNG cũng hướng dẫn bạn cách vô hiệu hoá MDM một cách đơn giản và hiệu quả nhất quả đất.
Cùng tìm hiểu về MDM và cách vô hiệu hoá nhé.
Một số trường hợp nhận biết MDM thường gặp?
Khi bạn vừa cài lại hệ điều hành macOS, khởi tạo máy mới nguyên seal và đăng nhập vào WiFi thì màn hình xuất hiện “Remote Management” hoặc thỉnh thoảng máy hay xuất hiện thông báo “Device Enrollment” thì chắc chắn máy bạn đã bị dính MDM (Còn hay gọi là máy có Profile).
Vậy MDM là gì?
MDM viết tắt của từ Mobile Device Management, gọi nôm na là giải pháp quản lý thiết bị di động, là một cách thức để quản trị viên hoặc một tổ chức quản trị và cài đặt các ứng dụng (applications) cũng như thực thi các chính sách của tổ chức đó đến các thiết bị di động của tổ chức đó (có thể là phone, tablet, laptop…)
Hệ sinh thái Mac của Apple triển khai MDM thông qua Apple Business Manager (ABM), là một cách thức Apple cho phép nhà quản trị triển khai một cách tự động các ứng dụng lên số lượng lớn các thiết bị một cách nhanh chóng, thực thi các chính sách theo yêu cầu của công ty cũng như xoá các ứng dụng, dữ liệu không cần thiết khi nhân viên không còn làm trong công ty hoặc tài sản đó bị thất lạc.
MDM còn giúp các Quản trị viên (Administrator) có thể hạn chế nhân viên chỉnh sửa sâu các thiết lập gây ra lỗi phần mềm, thắt chặt bảo mật của máy phòng ngừa lộ dữ liệu.
>>> MacBook chính hãng trả góp 0%
MDM hoạt động như thế nào?
Ngay khi bạn Active hoặc Recovery lại MacOS và đến bước nhập WiFi trên một chiếc MacBook mới, lúc này máy sẽ kích hoạt một chương trình gọi là DEP (Device Enrollment Program). Quá trình kích hoạt DEP trên thiết bị Mac thông qua 3 bước:
Bước 1: DEP sẽ dùng số serial number của máy, kiểm tra trong cơ sở dữ liệu của Apple xem máy Mac này đã được đăng ký chương trình ABM (Apple Business Manager) hay không?
Bước 2: Nếu máy Mac có đăng ký chương trình ABM, thì máy chủ của Apple thông báo về server quản lý chính sách của doanh nghiệp về một quá trình đăng ký (enrollment) mới. Máy chủ quản lý chính sách mới gửi ngay một yêu cầu thiết lập chính sách quản lý từ xa (Remote Management) như hình bên dưới.
Bước 3: Người dùng click vào “Continue” để tải xuống chính sách này thì chính sách sẽ được thực thi trên máy Mac.
Các chính sách này như thế nào, hoàn toàn do phía quản trị của công ty thiết lập.
Cách test MacBook đó có MDM hay không?
1. Test nhanh
Bạn mở Terminal lên sau đó copy dòng lệnh này vào profiles status -type enrollment. Nếu máy hiện ra “No” thì an tâm còn “Yes” thì máy có MDM. Nhưng để chắc ăn nhất bạn nên sử dụng cách Test chậm.
Lưu ý: Cách này không hoạt động đúng, nếu trên máy đã có can thiệp bypass MDM.
2. Test chậm
Cách này chính là cách bạn cài trắng lại toàn bộ chiếc máy của bạn thông qua chức năng Erase All Content and Settings hoặc thông qua bộ cài USB hoặc thông qua WiFi (lưy ý, khi cài qua wifi nên chọn những chỗ có Internet ổn định để tránh bị lỗi trong quá trình cài).
Tại lần đăng nhập WiFi đầu tiên, MacBook sẽ kết nối đến server của Apple để xác nhận tình trạng máy. Đây là cơ hội để máy của bạn được verify bởi chính Apple. Vì thế cách này khá chính xác ngoại trừ trường hợp máy đã được đổi sang serial number khác (Để biết được máy đã đổi serial number chưa bạn có thể kiểm tra serial number dưới nắp đít máy và serial trong hệ điều hành có trùng nhau không)
Xem cách Recovery MacBook chuẩn nhất
Cách khắc phục MDM thế nào? Cách ẩn thông báo Device Enrollment?
Với cách hoạt động MDM như đã nói ở trên bạn hoàn toàn có thể thoát/ ẩn MDM vô cùng đơn giản và sử dụng như một chiếc máy bình thường.
*Áp dụng cho cả MacBook chạy chip Intel và chip Apple Silicon (M-Series)
Cách 1: Dùng câu lệnh ngắt kết nối với server MDM của Apple (đơn giản, dễ làm)
1.1 - Đối với macOS Monterey trở về trước (MacOs <= 12.xxx)
Để xem được MacOs của bạn version nào, bạn chọn menu Apple ở góc trên bên trái màn hình, và chọn Giới thiệu về máy Mac này. Thông tin về MacOs của bạn sẽ được hiện ra.
Chúng ta có thể vô hiệu hoá MDM bằng cách không cho máy Mac kết nối đến các server của Apple đang phụ trách vấn đề về MDM.
Bằng cách khai báo một vài địa chỉ “ma” trong file quản lý phân giải tên miền “etc/hosts” đối với một số tên miền của Apple phụ trách việc quản lý MDM. Cụ thể là 3 tên miền sau:
deviceenrollment.apple.com mdmenrollment.apple.com iprofiles.apple.com
Từng bước như sau:
Ngay khi bạn mua một chiếc máy mới và active hay cài recovery lại máy thì tới bước WiFi tuyệt đối không được đăng nhập. Bước này vô cùng quan trọng vì nó sẽ giúp bạn không gửi thông tin máy tới Server Apple.
Nếu bạn không bỏ qua được wifi thì có nghĩa hệ điều hành của bạn là từ Ventura trở lên (version >= 13.xxx), bạn hãy tham khảo cách 1.2 bên dưới.
Chi tiết cách thực hiện:
Bước 1: Sau khi setup máy và tới bước WiFi bạn hãy làm như hình.
Chọn vào Other Network Options > Continue
Sau đó tick như hình và Continue
Tiếp đến bạn chỉ cần Setup bình thường thôi
Sau khi đã vào trong máy bạn hãy truy cập WiFi (đến bước này bạn có thể kết nối wifi) > Copy lệnh bên dưới > Mở Terminal lên và dán vào (patse) sau đó nhấn enter.
sudo sh -c "echo $'# Turn off MDM Notificationn0.0.0.0 deviceenrollment.apple.comn0.0.0.0 mdmenrollment.apple.comn0.0.0.0 iprofiles.apple.com' >> /etc/hosts";cat /etc/hosts | grep apple;
==> Hiện ra 3 dòng 0.0.0.0 … như hình là ok
Như vậy bạn đã ẩn MDM bằng cách ngắt kết nối tới Server Apple và có thể sử dụng như một máy bình thường rồi.
Lưu ý: Với phương pháp này chỉ hoạt động được với hệ điều hành Monterey trở xuống, trường hợp bạn cần cập nhật lên hệ điều hành cao hơn (Ventura trở lên) thì bạn phải thực hiện thêm các bước ở hướng dẫn 1.3 bên dưới trước khi cập nhật để tránh bị lock hoặc mất dữ liệu
Link tham khảo: Disable MDM On MacBook (Github.com)
1.2 - Update mới nhất đối với macOS Ventura và macOS Sonoma (MacOs >= 13)
Apple đã cập nhật không cho bạn bỏ qua bước kết nối wifi trên macos ventura trở đi, nên chúng ta không thể dùng các bước như đề cập ở trên 1.1. Vì vậy đối với hệ điều hành ventura trở lên chúng ta làm như sau:
>>> Xem thêm Cách cài đặt lại macos
Bước 1: Tắt máy sau đó mở máy trở lại, giữ nút nguồn đến khi máy hiển thị đã vào chế độ Recovery Mode. Lúc này sẽ hiển thị 2 mục là Option và Macintosh HD.
Bước 2: Click chuột chọn Option sau đó chọn tài khoản quản trị viên và nhập mật khẩu.
Bước 3: Kết nối wifi và truy cập vào Safari, sau đó search Google: Laptopvang MDM để tìm đúng bài viết này, và Copy dòng lệnh bên dưới:
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/thanoguyn/public/main/mdm.sh)"
Bước 4: Sau khi đã copy được lệnh trên ta thoát Safari.
Bước 5: Sau đó mở Terminal và dán (patse) dòng lệnh phía trên và enter.
Hệ thống sẽ tự tạo User mới tên macbook với mật khẩu 1234, User này sẽ có nhiều hạn chế chức năng, nên bạn sẽ cần vào lại macOS và tạo lại một User mới với quyền Quản trị viên (Administrator) và xoá User này đi là có thể dùng được bình thường.
Với dòng lệnh phía trên đã bao gồm cách chặn Profile nên bạn không cần phải làm gì thêm cho cả macOS Ventura mới nhất và macOS Sonoma sau này.
Lưu Ý: Cách này chỉ áp dụng được khi bạn đặt tên ổ đĩa đúng là: “Macintosh HD“. Nếu bạn đã đặt tên ổ đĩa khác thì hãy cài lại hệ điều hành và thử lại nhé.
