MDM блокировка: что это и как убрать
Техника Apple известна, в первую очередь, своей безопасностью. Система FileVault зашифрует 265-битным ключом загрузочный диск для предотвращения несанкционированного доступа к данным.
А функция «Найти Мак» или iPhone позволит удаленно найти на карте и заблокировать доступ к части данных в украденной технике Apple.
MDM блокировка
Но есть еще одна система блокировки MDM (система управления мобильными устройствами).
В крупных компаниях, чтобы администратору можно было быстро и удаленно управлять устройствами, он устанавливает на них MDM профиль. Используя удаленное управление, администратор может отключать функции, устанавливать или удалять приложения, отслеживать и ограничивать ваш интернет-трафик, а также удаленно стирать данные с Mac и iPhone.
Профиль MDM можно установить на б/у или новую технику Apple. Обычная компания или учебное заведение обращается в Apple, чтобы занести серийные номера купленных устройств в базу данных. Затем все права передаются администратору, который настраивает эти машины по своему усмотрению. Админ отслеживает работу сотрудников компании и следит, чтобы устройство не украли и не продали на вторичном рынке.
Как выявить MDM профиль при покупке б/у Mac
Способ 1. На компьютере Mac откройте меню Apple — Системные настройки и найти папку с профилями. Если она есть, как на скрине ниже, значит Mac заблокирован.
Способ 2. Либо на ноутбуке будет периодически вылазить окошко с предложением установить профиль. До обновления системы на Big Sur такие уведомления обычно не появляются.
Способ 3. Через утилиту Мониторинг системы, вкладка ЦП — отыскать процесс «mdmclient«. Если он есть, значит компьютер подключен к сервису поддержки устройств Apple и он имеет MDM блокировку.
Вывод: до тех пор, пока у вас нет папки с установленными профилями в системных настройкам, вашим устройством никто управлять не может. Но будет регулярно появляться надоедливое уведомление, через которое можно установить профиль. Плюс у вас будут проблемы с активацией устройства после полного форматирования Mac.
Переустановка системы при MDM блокировке
Самый надежный способ переустановить систему при MDM блокировке — это полное удаление диска с его форматированием, а затем установка последней версии macOS.
Шаг 1. Выключите компьютер, а при его включении зажмите и удерживайте Command+R (или кнопку питания для Mac на чипе M1 до появление шестерни около 10 секунд). Так вы запустите восстановление системы на macOS.
Шаг 2. В окошке запускаем дисковую утилиту и форматируем все разделы нажатием кнопки «Стереть».
Этот способ хорош тем, что если Mac привязан к учетной записи, или активирована функция «Найти Mac», то прежде, чем произойдет это действие, необходимо отключить эти опции, введя пароль. Т.е.
Побороть проблему можно откатом до заводской ОС, а затем обновлением системы до macOS Big Sur. Тогда MDM профиль не будет установлен в системных настройках, но будет регулярно появляться уведомление.
MDM блокировка на iPhone и iPad
На iPhone, iPod или iPad сведения об MDM профиля обычно отображаются в верхней части настроек.
Или могут находиться в основных настройках, Профили.
MDM блокировку в iPhone можно и не найти потому, что есть утилита, которая деактивирует такие профили. И вы узнаете, что ваш iPhone «залочен» только после полного форматирования или обновления до версии iOS, в которой Apple улучшила защиту. Например, как это было с iOS 13.4.
Если после установки системы и активации iPhone не появится такое окно, значит с вашим iPhone все в порядке, MDM блокировки нет.
При покупке iPhone новое устройство всегда нужно распечатывать и активировать, и только в таком случае вы узнаете,что девайс не залочен. Если вы попали в такую ситуацию, когда проверять уже поздно, есть несколько вариантов.
Вывод: покупайте новую технику Apple только у официалов. А при покупке б/у проверяйте на наличие профилей MDM блокировки. Не гоняйтесь за дешевыми ценами на технику Apple.
Своими историями и опытом покупки различной техники делитесь в комментариях.
При написании стать использованы материалы с каналов: Intune Support Team, ProTech, Apple Tech 752, Fix mobile.
Все о блокировке MDM-профиля MacBook, iPhone или iPad. Как могут обмануть при покупке устройств Apple
Здравствуйте, уважаемые читатели сайта Uspei.com. В один прекрасный день ты решил переустановить на макбуке Mac OS с полным форматированием диска, потому что лазил по сомнительным сайтам и подцепил какой-то браузерный докучающий уведомлениями триппер и при активации оказывается, что ты должен Принстонскому университету хотя там даже не учился.
Как неправильно покупать iPhone, iPad, Macbook
Купил я свой первый Macbook Pro на 15 дюймов 2015 года где-то четыре года назад, он был в топовой конфигурации и стоил 2000 долларов. Он без коробки и это распространенная тема для ноутбуков, которые приезжают из США, то есть продается только ноутбук и зарядный адаптер.
И да, Macbook из США с американской раскладкой божественны, потому что у них удобный длинный левый shift, а еще одноэтажный enter, над которым расположился обратный слеш. Ноутбук при покупке был чистый, предыдущий владелец вышел из своей учетной записи и деактивировал функцию найти Mac. Я успешно авторизовался, подтянул все свои данные, активировал функцию найти Mac и успешно пользовался ноутбуком на протяжении нескольких лет, причем обновлялся и никаких проблем не было.
Затем я понял что производительности MacBook мне уже не хватает да и сам по себе мобильный вариант уже не нужен был, поэтому в 2018 году я купил 27-дюймовый 5к iMac в топовой конфигурации 2017 года за очень много денег, а свой ноут продал другу. А потом произошло следующее.
Что такое MDM блокировка (MDM профиль)
Техника Apple всегда славилась своей безопасностью, система FileVault зашифрует 250 битным ключом загрузочные диски для предотвращения несанкционированного доступа к данным. Функция «найти Mac или iPhone» позволит удаленно найти на карте ну или хотя бы заблокировать и очистить данные украденной техники Apple.
И список возможностей администратора по-настоящему велик: полное управление учетками и компьютером, установка и настройка софта, отслеживание ограничения интернет трафика и удаления данных. Этот профиль может устанавливаться как на уже используемой так и на абсолютно новой машине. Просто юрлицо или какая-нибудь компания или учебное заведение могут обратиться в Apple и за купить n-ное количество устройств и попросить внести их серийные номера сразу в базу данных.
Затем права передаются администратору, который настраивает эти машины по своему усмотрению, ну то есть по требованиям компании. Админ может удаленно ими управлять не беспокоясь о том, что те люди, которые предназначались эти машины будут заниматься всякими непотребствами и что самое главное, что кто-то угонит тот или иной девайс и не сможет продать его на вторичке. Но как показывает практика от последнего, к сожалению, никто не защищен.
Как выявить MDM профиль при покупке бу-шного Mac?
Но вот вам мой пример ноутбука, в котором нет такого раздела и лишь периодически раз в несколько дней появляется сообщение с предложением установить этот профиль.
На самом деле до обновления на macOS Big Sur после полного форматирования такие уведомления ни разу не появлялись и насколько я понимаю до тех пор, пока у вас нет папки с профилями установленными в системных настройках, вашей машиной никто управлять не может. Но будет регулярно появляться надоедливое уведомление, через которое можно установить профиль и у вас будут проблемы с активацией устройства после полного форматирования.
И еще как вариант открыть штатно утилиту Mac OS мониторинг системы и на вкладке центрального процессора отыскать процесс «mdmclient». Если он есть, значит компьютер подключен к сервису поддержки устройств Apple и он имеет MDM блокировку.
Для этого выключите компьютер и при включении на Mac c процессором intel нажмите и удержите сочетание клавиш command +R, на Mac c процессором M1 удерживайте кнопку питания до появления шестерни около 10 секунд. Так вы запустите раздел восстановления Mac OS. В окошке запускаем дисковую утилиту и форматируем все разделы нажатием кнопки стереть.
Этот способ хорош тем, что если Mac привязан к учетной записи или активирована функция «найти Mac», то прежде чем произойдет это действие необходимо отключить эти опции введя пароль. Останется лишь кликнуть по пункту «переустановить mac os». И вот в этом случае при активации системы если в Mac заблокирован MDM профиль появится соответствующее уведомление требующее связаться с администратором либо же ввести логин и пароль.
Лично я поборол проблему на ноутбуке откатом до заводской операционной системы, а затем обновлением до macOS Big Sur. Mdm профиль не установлен в системных настройках. но регулярно появляется уведомление. Причем эта самая регулярность у каждого по разному, на моем ноутбуке раз в 1-2 дня это более-менее терпимо, но если почитать форумы в сети, то у людей у некоторых чуть ли не раз в 10 минут появляется это сообщение и это ужасно.
Как проверить iPhone, iPod touch, iPad
На iPhone iPod touch или iPad сведения об MDM профиле обычно отображаются в верхней части настроек, а могут находиться и в основных настройках профиля. А могут и нигде не находиться, потому что есть утилиты, которые деактивируют такие профили и вы сможете узнать о том, что ваш смартфон либо планшет залочен только тогда когда полностью форматируете устройство либо обновитесь до какой-то версий операционной системы где компания Apple улучшало защиту.
Что делать если Mac, iPhone, iPod touch, iPad заблокирован на MDM
Если вы упали в такую ситуацию, когда проверять уже поздно есть несколько вариантов. Во-первых, это обратиться в магазин где вы приобретали технику либо в Apple Store если у вас есть чек о покупке и в таком случае есть шанс на положительный исход из ситуации. Иногда случайным образом добавляются серийные номера и блокируются устройства..
Второе, обратиться в компанию, которой на данный момент ну по крайней мере временно принадлежит та или иная техника. Не исключено, что компания списала ее и по белому продала, но системный администратор забыл удалить mdm профиль. Шанс очень маленький, но он все же есть.
Я кинул клич нашему комьюнити в группе вконтакте и в нашем инстаграме и слава богу нашелся человек, который смог дозвониться в Принстонский университет, но к сожалению как казалось процедура проверки серийного номера не такая уж и простая.
Оказывается не системный администратор решает по крайней мере в данном вузе а необходимо обратиться к администрации а та в свою очередь уже подает заявление в полицию и те уже разбираются. А когда ты находишься на другом континенте вопрос актуальный, но решение не очень.
И третье это незаконный способ: найти сервисный центр, который сможет удалить mdm профиль либо через программатор либо через перепайку, тут уже зависит от года выпуска вашего Mac. Но способ опять же незаконный по сути у вас на руках ворованный компьютер и после такой процедуры все ваши данные сотрутся.
Своими интересными историями можете делиться в комментариях а также своим опытом приобретения различной техники, будет интересно почитать.
Не забудьте подписаться на YouTube канал источника!
Обзор безопасности управления мобильными устройствами
Обзор
Операционные системы Apple поддерживают работу с системами управления мобильными устройствами (MDM), благодаря чему организации могут выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple. Работа функций MDM основана на существующих технологиях операционной системы, таких как профили конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs используется для вывода устройства из режима сна, чтобы оно могло напрямую связаться с системой MDM через безопасное соединение. Конфиденциальная или корпоративная информация через APNs не передается.
Используя MDM, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соответствием корпоративным политикам, управлять политиками обновления программного обеспечения и даже удаленно стирать данные или блокировать управляемые устройства.
Помимо стандартных способов регистрации устройств, поддерживаемых в iOS, iPadOS, macOS и tvOS, в операционных системах iOS 13 или новее, iPadOS 13.1 или новее и macOS 10.15 или новее был добавлен новый тип регистрации — регистрация пользователя. Регистрация пользователя — это регистрация в MDM, которая разработана для программы использования сотрудниками личных устройств на работе (BYOD), когда устройство принадлежит пользователю, но используется в управляемой среде. Регистрация пользователя предоставляет системе MDM меньше полномочий, чем регистрация неконтролируемых устройств, и обеспечивает криптографическое разделение пользовательских и корпоративных данных.
Типы регистрации
Регистрация устройства. Этот тип регистрации позволяет пользователям организаций вручную регистрировать устройства и управлять различными аспектами использования устройств, в том числе возможностью стирания данных на устройстве. Администратору доступен большой набор полезных нагрузок и ограничений, которые можно применять к устройству. Когда пользователь удаляет профиль регистрации, также удаляются все профили конфигурации, включая связанные с ними настройки и управляемые приложения, использующие этот профиль регистрации.
Автоматическая регистрация устройства. Этот тип регистрации позволяет организациям настраивать устройства и управлять ими с момента извлечения из коробки (этот тип регистрации также называется полностью автоматическим развертыванием). Такие устройства также называются контролируемыми. На контролируемых устройствах можно запретить удаление профиля MDM пользователем. Автоматическая регистрация возможна только для устройств, принадлежащих организации.
Ограничения устройств
Управление настройками код-паролей и паролей
По умолчанию код-пароль пользователя является цифровым. На устройствах iOS и iPadOS с Touch ID или Face ID минимальная длина код-пароля составляет четыре цифры. Рекомендуется использовать более длинные и сложные код-пароли, поскольку их труднее подобрать или взломать.
Для принудительного применения сложных код-паролей и других политик администраторы могут воспользоваться системой MDM или Microsoft Exchange ActiveSync, а также обязать пользователей вручную установить профили конфигурации. Для установки полезной нагрузки политики код-паролей macOS требуется пароль администратора. Некоторые политики код-паролей могут требовать задания код-паролей определенной длины, а также использования в них определенных символов и других атрибутов.
Что такое mdm профиль
Чтобы управлять мобильными устройствами Apple под управлением macOS, iOS и tvOS и их настройками, используется технология MDM (Mobile Device management). Не стоит путать эту аббревиатуру с понятием MDM как таковым, подразумевающим собой устоявшийся отраслевой термин – Mobile device management или с технологиями Android MDM или MDM от Microsoft. Все это называется “протоколами”, но работает по разному.
Протокол MDM позволяет управлять устройствами Apple, начиная с iOS 4, macOS 10.7 и Apple TV с iOS 7. При помощи MDM администратор может проверять, устанавливать или удалять конфигурационные профили, удалять код блокировки устройств и стирать информацию с управляемого устройства.
Конфигурационный профиль
Конфигурационный профиль – это файл, с помощью которого можно распространять настройки на устройства Apple, например: настройки электронной почты, VPN, сертификаты. Конфигурационные профили удобно распространять на большое количество устройств.
Список всех настраиваемых параметров:
Что входит в сам профиль:
Также профили можно шифровать или подписывать сертификатом.
Пример профиля, содержащего набор настроек для работы с SCEP – Simple Certificate Enrollment Protocol (SCEP)
Распространить профиль можно несколькими способами:
Протокол MDM
Протокол MDM работает поверх HTTP, использует TLS и Push-уведомления. Apple Push Notification Service (APNS) требуется для отправки “wake up”-сообщений на управляемое устройство, которое подключается к заранее указанному веб-сервису для получения команд и возврата результатов выполнения. Сам сервис MDM представляет из себя HTTPS-сервер, поэтому, в отличие от Active Directory, устройство не обязано находиться в одной сети с сервером, чтобы получить новые настройки: достаточно, чтобы MDM-сервер был доступен извне по протоколу HTTPS. Устройство связывается с MDM-сервером в ответ на push-сообщение, устанавливая TLS-подключение к серверу, далее проверяет сертификат сервера и проходит аутентификацию. Благодаря этому, становятся невозможными атаки с подменой сервера, когда злоумышленник заменяет легитимный сервер своим: у него просто нет доступа к ключам сервера. Далее требуется распространить набор настроек MDM Payload, на ваши устройства.
Распространение MDM Payload
MDM Payload распространяется через конфигурационные профили или через Device Enrollment Program. На одном устройстве – только один MDM Payload, привязать к двум серверам нельзя.
Профили, распространяемые через сервис MDM, называются управляемыми. Если MDM Payload удалить – эти профили также будут удалены. Хотя сервис MDM имеет доступ ко списку всех профилей, установленных на устройстве, удалять он может только те профили и приложения, которые были установлены через него же. Также с помощью MDM можно создавать управляемые записи и устанавливать приложения приобретенные через Volume Purchase Program (в России пока недоступен).
Если вы подготавливаете iOS-устройства к MDM через Apple Configurator 2, то начиная с iOS 5 устройства могут быть помечены как контролируемые (supervised). Устройства, начиная с iOS 7, обозначаются контролируемыми через DEP. Для контролируемых устройств доступны дополнительные настройки и ограничения.
Если профиль установлен не через DEP – пользователь устройства может удалить MDM payload самостоятельно. То же самое под силу серверу MDM.
Профиль, содержащий MDM Payload и установленный через DEP, будет блокирован для удаления. Профили, установленные через MDM, также могут быть заблокированы, однако они будут удалены с устройства, как только вы удалите профиль MDM.
Привязка устройств к MDM
Для того, чтобы сервер MDM мог управлять устройствами, требуется следующее:
Если сервер принимает устройство – последнее предоставляет свой push-токен серверу, который использует для отправки push-уведомлений.
Работа устройства с MDM
Время от времени токен может меняться. Если такое изменение зафиксировано при очередном push-сообщении с сервера, устройство автоматически отмечается на сервере MDM и сообщает ему о новом push-токене.
Безопасность
В ответ на push-сообщение, устройство связывается с MDM-сервером через TLS-подключение (используется TLS 1.2), проверяет сертификат сервера, затем проходит аутентификацию. Благодаря этому, становятся невозможными атаки с подменой сервера.
Дополнения к протоколу MDM для macOS
Как следует из названия Mobile Device Management, этот протокол был изначально придуман для управления мобильными устройствами (iPhone и iPad). Чтобы обеспечить работу и с компьютерами под управлением macOS, протокол MDM расширили дополнительными функциями.
Mac, в отличие от iPhone, – устройство, которым могут пользоваться несколько человек. Поскольку настройки для разных пользователей могут быть индивидуальными, MDM-клиент macOS подключает компьютер и пользователей этого компьютера к серверу MDM как отдельные сущности. Это позволяет управлять настройками как компьютера, так и отдельных пользователей.
MDM-запросы для устройства отправляются демоном mdmclient, а запросы для отдельного пользователя отправляются агентом mdmclient, работающим от имени этого пользователя. Если на компьютере осуществлен вход нескольких пользователей, будет запущено несколько экземпляров агента mdmclient, по количеству вошедших пользователей. Эт агенты взаимодействуют с сервером независимо друг от друга.
Если MDM-сервер поддерживает управление и пользователями, и устройствами, то при установке профиля он автоматически будет “промоутирован” до профиля устройства. Это приведет к следующим последствиям:
Итого
Управление устройствами Apple не похоже на те привычные механизмы, которые работают в Active Directory.
Идея взаимодействия MDM с инфраструктурой Windows популярна, так как количество техники Apple в компаниях растет, сотрудники приносят свои собственные устройства. С помощью MDM и конфигурационных профилей можно привязать ваши Маки к домену AD, использовать SCEP, сетевые учетные записи и SSO. Но управлять Маками с помощью политик active Directory не получится. Для этого потребуются сторонние решения, включающие в себя функционал MDM и дополняющие его своими собственным решениями. Об этом мы напишем в следующих статьях.
Обход / удаление блокировки активации корпоративного MDM профиля на iPhone и iPad
У вас есть iPhone либо iPad с блокировкой активации профиля конфигурации MDM?
Почему это лучшее решение для устройств Apple c блокировкой активации MDM?
Как обойти / удалить блокировку MDM мгновенно с помощью программы iActivate?
Большинство владельцев мобильной техники Apple даже не подозревают, что для операционной системы iOS существуют «корпоративные профили конфигурации» или другими словами «управление мобильными устройствами» (Remote Management).
Корпоративный MDM профиль компании также упрощает распространение, настройку собственных приложений компании и управление ими. Организациям часто требуется распространять приложения для повышения продуктивности сотрудников. В то же время, любой компании необходимо следить, как приложения подключаются к внутренним ресурсам, и гарантировать безопасность корпоративных данных в том случае, если пользователь часто меняет место работы. Таким образом, система iOS и профиль конфигурации MDM вместе предоставляют дополнительные возможности управления устройством, обеспечивая безопасность и качество работы пользователя. Контроль расширяет возможности управления девайсами, которые являются собственностью компании: для них можно установить дополнительные ограничения – отключить iMessage и Game Center, также запретить пользователям вносить изменения в свои учётные записи Apple Id и iCloud.
По умолчанию все iOS-устройства являются неконтролируемыми. Для управления дополнительными настройками и ограничениями контроль сочетается вместе с удаленным управлением через MDM. При использовании Программы регистрации устройств (DEP) контроль осуществляется через Wi-Fi в процессе настройки айфона, айпеда. Или же это реализуется с помощью программы Apple Configurator.
Каждое корпоративное устройство на котором установлен профиль удаленного управления (Remote Management) всегда защищен логином и паролем, установленные администратором и которые являются уникальными для каждого сотрудника компании!
У вас есть iPhone либо iPad с блокировкой активации профиля конфигурации MDM?
Итак если Вы стали обладателем устройства Apple на котором установлен профиль удаленного управления MDM и хотите избавится от всех ограничений и удалить блокировку iOS MDM Profile Activation Lock с iPhone или iPad, в таком случае Вы можете позвонить в службу поддержки компании от которой был установлен профиль конфигураци, и возможно сотрудник ИТ-отдела (администратор) сможет отправить команду на ваше устройство, которая удалит профиль компании, что позволит вам разблокировать устройство.
Тем не менее, есть много iPhone и iPad, которые принадлежат бывшим сотрудникам компаний. Большинство из них по-прежнему имеют профиль MDM, установленный на устройстве и который блокирует его для использования без каких либо ограничений.
Мы с удовольствием хотим представить вам программное обеспечение iActivate, которое предоставляет быстрое решение для обхода и удаления профиля конфигурации Mobile Device Management на любом устройстве iOS.
Для начала, Вы должны активировать свое устройство, чтобы ответить на этот вопрос:
Внимание! Не путайте блокировку MDM, с блокировкой активации iCloud, программа iActivate не сможет удалить профиль удаленного управления (Remote Management) если на вашем устройстве включена функция “Найти iPhone”
Почему это лучшее решение для устройств Apple c блокировкой активации MDM?
Как обойти / удалить блокировку MDM мгновенно с помощью программы iActivate?
Внимание! Ни в коем случае не восстанавливайте корпоративный (MDM) iPhone, iPad из ранее созданной резервной копии iTunes. После восстановления, стирания, полного сброса настроек – блокировка MDM снова появиться на вашем устройстве Apple.
Решение для вашей проблемы:
Не позволяйте компаниям контролировать каждый ваш шаг. Разблокируйте свой корпоративный iPhone или iPad для личного использования без ограничений, которые позволяют компании следить за вашей повседневной деятельностью.
Вопроси & Ответы
У вас возникли вопросы? Может у нас уже есть ответ на них?
