MenuMenu

  1. Home
  2. Apple
  3. Dep apple: Use Automated Device Enrollment — Apple Support

Dep apple: Use Automated Device Enrollment — Apple Support

Отключение профиля DEP и MDM на Mac OS Big Sur / Хабр

Дисклеймер

Описанные ниже действия лишают компанию или организацию, которая выдала вам компьютер, возможности следить за вашим устройством и получать дистанционно доступ к данным на нем.

Если обязательства перед компанией или закон ограничивает вас от выполнения подобных действий — НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.

Если ваши этические принципы или иные убеждения не позволяют вам избавиться от контроля компании или организации — НЕ ИСПОЛЬЗУЙТЕ приведенные ниже инструкции.

В описанном методе не применяется какой-либо внешний инструментарий и используются только штатные средства Mac OS.

При использовании данного метода ОТКЛЮЧАЕТСЯ ШИФРОВАНИЕ FileVault накопителя. Если такое действие неприемлемо – НЕ ИСПОЛЬЗУЙТЕ данный метод. Тестирование с последующей активацией шифрования не проводилось.

Автор с уважением относится к компаниям и администраторам, которые настраивают системы контроля DEP и MDM.

Также автор уважает свободный осознанный выбор конечных пользователей по снятию систем слежения и дистанционного доступа к данным, если это не нарушает их обязательств перед компанией и закон.

Все инструкции пользователь выполняет на свой страх и риск. Автор не несет никакой ответственности на нанесенный вред или ущерб, в результате выполняемых действий, равно как не призывает к их выполнению.

Немного про DEP и MDM

Update: Спасибо @agafon_aga за существенные замечания:

Описанная здесь ситуация актуальна при использовании Apple Device Enrollment Program (DEP). Смысл ее — привязка устройств на аккаунт компании для облегчения управления, инвентаризации и прочего.

Внутри системы DEP имеет самый высокий приоритет (после Apple, разумеется).

Mobile Device Management (MDM) системы, имеют приоритет ниже чем AppleID пользователя устройства. Удалить профиль именно MDM (а не DEP) пользователь может легко. Для этого достаточно быть админом в системе.

Итого, уровень приоритетов выстраивается (от высшего к низшему):

Apple — DEP — User AppleID — MDM Profile

Профили DEP (Device Enrollment Program) и MDM (англ. Mobile Device Management), как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. Профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.

Короче, в общем для компании — это хорошо, в частности для конкретного пользователя — не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.

Корпоративный профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.

Решение с обходом блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.

Установка чистой системы

Будем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило — проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.

После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений — примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.

Отключение MDM профиля

1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault — выключить

2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.

3. В режите восстановления запускаем терминал:
«Утилиты» -> «Терминал»

4. Смотрим индентификатор тома:

mount

5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться «Macintosh HD». Здесь и далее будем использовать его.

Записываем на листик индентификатор тома «/Volumes/Macintosh HD»

Внимание! Не перепутать с диском «/Volumes/Macintosh HD — Data»
Идентификатор выглядит примерно так dev/disk4s5 — в вашем случае цифры могут быть другие.

Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!

6. Отключаем том и копируем файлы агентов в отдельную папку bak:

umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD 
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents 
mkdir bak
mv com.apple.ManagedClientAgent.* bak/ 
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons 
mkdir bak
mv com.apple.ManagedClient.* bak/ 
mv com.apple.mdmclient.* bak/

7. Отключаем Signed System Volume (SSV):

csrutil authenticated-root disable

8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:

bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot

9. Закрываем терминал и перезагружаемся.

Готово. Агенты MDM профиля больше системой не видятся.

Обновления будут работать. Если сделать чистую переустановку — процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.

Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.

Красноярский вуз разработает комплекс контроля для линии сборки спутников

https://ria.ru/20230301/kompleks-1855147622.html

Красноярский вуз разработает комплекс контроля для линии сборки спутников

Красноярский вуз разработает комплекс контроля для линии сборки спутников — РИА Новости, 01.03.2023

Красноярский вуз разработает комплекс контроля для линии сборки спутников

Красноярский вуз разработает комплекс автоматического контроля выполнения технологического процесса на линии сборки космических аппаратов «Марафон». РИА Новости, 01.03.2023

2023-03-01T16:43

2023-03-01T16:43

2023-03-01T16:43

красноярский экономический форум

информационные спутниковые системы

роскосмос

россия

экономика

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn21. img.ria.ru/images/07e7/03/01/1855160777_0:140:1920:1220_1920x0_80_0_0_2cdec40a15bba4e23437729d1a5aa95e.jpg

КРАСНОЯРСК, 1 мар — РИА Новости. Красноярский вуз разработает комплекс автоматического контроля выполнения технологического процесса на линии сборки космических аппаратов «Марафон». Соответствующий договор на разработку и изготовление программно-аппаратного комплекса автоматического контроля выполнения технологического процесса на линии сборки космических аппаратов «Марафон» был подписан в среду в рамках Красноярского экономического форума между Сибирским государственным университетом науки и технологий имени академика М.Ф. Решетнева и компанией «Информационные спутниковые системы» имени академика Решетнева. «Для нашего вуза выполнение данной работы является очень серьезным вызовом… Это означает, что вместе с предприятием осваиваем совершенно новые технологии серийных малых космических аппаратов, которые должны выпускаться сотнями», — сказал ректор вуза Эдхам Акбулатов, отметив, что работа будет завершена к концу 2023 года. Гендиректор АО «Решетнев» Евгений Нестеров отметил, что договор является новой технологической вехой спутникостроения. На сегодняшний момент группировку спутников интернета вещей планирует создавать «Роскосмос» в рамках проекта «Сфера». Система получит название «Марафон», первый спутник-демонстратор планируется отправить на орбиту в 2023 году, а затем начать развертывание полноценной группировки.

https://ria.ru/20230228/soglasheniya-1854782754.html

россия

РИА Новости

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2023

Алёна Пава

Алёна Пава

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og. xn--p1ai/awards/

1920

1080

true

1920

1440

true

https://cdnn21.img.ria.ru/images/07e7/03/01/1855160777_75:0:1782:1280_1920x0_80_0_0_2a2f6771129916e0c100058fadfb05fe.jpg

1920

1920

true

РИА Новости

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Алёна Пава

красноярский экономический форум, информационные спутниковые системы, роскосмос, россия, экономика

Красноярский экономический форум, Информационные спутниковые системы, Роскосмос, Россия, Экономика

КРАСНОЯРСК, 1 мар — РИА Новости. Красноярский вуз разработает комплекс автоматического контроля выполнения технологического процесса на линии сборки космических аппаратов «Марафон».

Соответствующий договор на разработку и изготовление программно-аппаратного комплекса автоматического контроля выполнения технологического процесса на линии сборки космических аппаратов «Марафон» был подписан в среду в рамках Красноярского экономического форума между Сибирским государственным университетом науки и технологий имени академика М. Ф. Решетнева и компанией «Информационные спутниковые системы» имени академика Решетнева.

«Для нашего вуза выполнение данной работы является очень серьезным вызовом… Это означает, что вместе с предприятием осваиваем совершенно новые технологии серийных малых космических аппаратов, которые должны выпускаться сотнями», — сказал ректор вуза Эдхам Акбулатов, отметив, что работа будет завершена к концу 2023 года.

Гендиректор АО «Решетнев» Евгений Нестеров отметил, что договор является новой технологической вехой спутникостроения.

На Красноярском экономическом форуме планируется подписать 67 соглашений

28 февраля, 10:52

«

«Мы переходим на совершенно иное цифровое производство на конкретном космическом аппарате, который полетит в ближайшие месяцы. Меняется отраслевой стандарт производства, рабочих мест, когда вместе с технологом, мастером на страже контроля всех процессов является искусственный интеллект», — сказал Нестеров.

На сегодняшний момент группировку спутников интернета вещей планирует создавать «Роскосмос» в рамках проекта «Сфера». Система получит название «Марафон», первый спутник-демонстратор планируется отправить на орбиту в 2023 году, а затем начать развертывание полноценной группировки.

Что такое программа регистрации устройств Apple (DEP)?

Секции

  • Что такое Apple DEP?
  • Должен ли я использовать DEP?
  • Как работает DEP?
  • Какие устройства подходят для DEP?
  • Что я могу сделать с DEP?
  • Как начать работу с Apple DEP в SimpleMDM?

Секции

Что такое Apple DEP?

Должен ли я использовать DEP?

Как работает DEP?

Какие устройства подходят для DEP?

Что я могу сделать с DEP?

Как начать работу с Apple DEP в SimpleMDM?

Примечание.  Программа регистрации устройств Apple теперь обычно называется «Программой автоматической регистрации устройств Apple (ADE)» и существует как часть Apple Business Manager. Хотя некоторая информация в этой статье по-прежнему актуальна, мы предлагаем вам прочитать вышеупомянутые статьи по ссылкам выше, чтобы узнать больше

Что такое Apple DEP?

Компания Apple разработала Программу регистрации устройств, чтобы помочь предприятиям и учебным заведениям легко развертывать устройства iOS и macOS. Даже при использовании управления устройствами Apple рабочий процесс настройки недавно приобретенных устройств iOS и macOS был сложным. DEP сокращает количество шагов, необходимых для того, чтобы только что приобретенное устройство было готово к использованию.

Должен ли я использовать DEP?

Наличие хотя бы одного из этих требований делает DEP достойным использования:

  • Регистрация устройств с помощью диспетчера мобильных устройств

  • Перевод устройств в контролируемый режим (узнайте больше о контроле устройств)

  • Запрет отмены регистрации устройств в SimpleMDM

  • Скрытие определенных экранов настройки устройства

  • Предоставление устройств macOS без создания образов

ИТ-отдел значительно выигрывает от сокращения числа «прикосновений», которые необходимо выполнять на каждом устройстве.

DEP также является отличным вариантом для нетехнических сотрудников. Как только они распаковывают свое устройство и включают его, через несколько экранов оно готово к работе. Нет необходимости ждать, пока ИТ-специалисты настроят устройство, и в процессе настройки меньше путаницы. Сотрудник может немедленно использовать свое устройство.

Как работает DEP?

Учетная запись DEP должна быть создана в Apple. Эта учетная запись обычно создается в процессе покупки оборудования, но ее также можно создать отдельно. После создания учетной записи устройства связываются с учетной записью по серийному номеру.

Когда вы связываете SimpleMDM с учетной записью DEP, SimpleMDM позволяет указать, как будут настроены ваши устройства. Эти конфигурации после сохранения будут отправлены в вашу учетную запись DEP на серверах Apple.

Затем, когда зарегистрированное устройство DEP включается в первый раз, оно связывается с серверами Apple DEP и проверяет конфигурацию. Он видит созданную вами конфигурацию SimpleMDM и применяет ее к устройству.

Какие устройства подходят для программы DEP?

Если устройства приобретаются через определенный бизнес-канал, например Apple Business Team или сторонних торговых посредников (например, CDW или Verizon), устройства могут быть добавлены в вашу учетную запись DEP во время покупки вашим менеджером по работе с клиентами.

Начиная с iOS 11, ранее приобретенные устройства iOS (macOS в настоящее время не подходят) также можно добавить в DEP с помощью программного обеспечения Apple Configurator 2.5. Устройства перейдут на 30-дневный пробный период, когда устройство является частью учетной записи DEP, но может быть удалено в любое время. По истечении 30 дней устройство будет постоянно принадлежать учетной записи DEP.

Если у вас уже есть устройства с более ранней версией iOS, Apple может добавить их в вашу учетную запись DEP после покупки. Чтобы подтвердить право собственности, устройства должны быть приобретены через бизнес-канал.

Что я могу сделать с DEP?

Настройка DEP в SimpleMDM позволяет использовать ряд параметров, таких как:

  • Принудительная регистрация устройства в SimpleMDM

  • Выберите, к каким устройствам группы SimpleMDM следует первоначально присоединиться

  • Отключить способность пользователя UNE-ENROLL из SimpleMDM вручную

  • Устройство место в контролируемом режиме

  • Ограничение устройства с диагностикой Apple

    • 99555555555555555555555 года. контактная информация для службы поддержки

  • Автоматическое создание учетной записи администратора (только для macOS)

Кроме того, существует ряд шагов настройки, которые можно отключить или изменить.

В частности, вы можете выбрать пропуск экранов, таких как:

  • Настройка пароля

  • Услуги местоположения

  • .

  • Настройка Touch ID

  • Настройка Apple Pay

  • Настройка масштабирования

  • Экран регистрации (только macOS)

Или вы можете изменить экраны, чтобы:

  • Удалить «Переместить с Android» из параметров восстановления

  • Отключить помощник установки FileVault (только macOS)

Как начать работу с Apple DEP в ПростоМДМ?

  1. Приобрести устройства Apple iOS и macOS. Зарегистрируйтесь в Apple DEP.

  2. Загрузить токен учетной записи DEP в SimpleMDM.

  3. Выберите параметры конфигурации в SimpleMDM

  4. Вот и все. Ваши устройства получат свою конфигурацию, как только вы включите их в первый раз.

Мы надеемся, что это руководство было полезным.

SimpleMDM

SimpleMDM — это решение для управления мобильными устройствами, которое помогает ИТ-специалистам безопасно обновлять, отслеживать и лицензировать устройства Apple за считанные минуты — и все это при автоматическом контроле обновлений Apple.

Общие сведения о программе регистрации устройств Apple (DEP)

DEP или программа регистрации устройств — это новая служба Apple, которая позволяет автоматически регистрировать новые устройства (OS X и iOS) с помощью MDM по мере их прохождения через помощника по настройке. До сих пор для подключения устройств к системе управления требовалось некоторое взаимодействие с пользователем либо со стороны ИТ-специалистов, либо со стороны конечного пользователя.
Нам удалось настроить самостоятельную регистрацию пользователя, но существовал риск того, что пользователь этого не сделает, а это означает, что у предприятия нет инвентарной записи и возможности управлять устройством. Впервые мы можем взять совершенно новое устройство из коробки, пройти через помощника по настройке и зарегистрировать его в службе управления без какого-либо технического вмешательства.
Как вы понимаете, это открывает несколько новых сценариев развертывания устройств.
В зависимости от вашей конфигурации вы теоретически можете отправлять устройства непосредственно пользователям, зная, что устройства появятся в MDM после их настройки.
Естественно, нас очень интересовали реальные приложения и проблемы, связанные с этой новой службой, поэтому в этом сообщении блога мы немного расскажем о том, как она работает, и о некоторых наших впечатлениях от ее тестирования.

Как работает DEP?

Это ни в коем случае не глубокое погружение во внутреннюю работу DEP, но должно быть достаточно, чтобы дать вам некоторое представление о процессах в работе.
Устройства, работающие через помощника по настройке Apple, запрограммированы на связь с Apple, чтобы узнать, существует ли регистрация DEP, соответствующая их серийному номеру. Если есть, они получат информацию об указанной службе MDM от Apple, а затем зарегистрируются в системе управления.
В случае Casper Suite от JAMF Software устройство регистрируется, устанавливает двоичный файл JAMF (если это устройство OS X), устанавливает самообслуживание (если для этого настроен JSS) и настраивает любые другие задачи инфраструктуры управления компьютером. например триггеры запуска, входа и выхода. 902:25 С этого момента вы можете начать добавлять устройства в смарт-группы, запускать политики и выполнять другие полезные действия, необходимые для настройки и подготовки устройств к использованию.
Подготовка к настройке
Чтобы приступить к работе с DEP, вам необходимо зарегистрироваться на веб-сайте Apple здесь.

Для завершения процесса регистрации будет создан новый Apple ID. Первая контактная форма запросит у вас адрес электронной почты (среди прочего), который будет использоваться для автоматического создания нового Apple ID для администрирования:

Казалось, что для этой цели нельзя использовать существующий Apple ID. Фактически, это было то же самое для добавления дополнительных администраторов. Мне пришлось создать новый Apple ID, прежде чем коллега добавил меня в качестве администратора DEP.
После того, как вы подтвердили Apple ID, следующим шагом будет заполнение некоторой информации об организации:

Большинство из этих сведений просты, но есть несколько моментов, на которые следует обратить внимание.
Компания D-U-N-S
Это идентификационный номер для предприятий, регулируемых Dun & Bradstreet (D&B), который присваивает уникальный числовой идентификатор, называемый «номер DUNS», одному бизнес-объекту.
Устройства, приобретенные у
Это важный момент. Он будет использоваться для связывания серийных номеров любых устройств, которые вы покупаете, с вашей учетной записью DEP. Вы можете добавить несколько источников, включая Apple и сторонних торговых посредников, если они являются официальными торговыми посредниками Apple и зарегистрированы в службе DEP. Таким образом, если вы приобретете некоторые компьютеры Mac у Apple, а некоторые — у торгового посредника, все они будут связаны с вашей учетной записью DEP и, в свою очередь, с вашим MDM.
После того, как вы отправите заявку, Apple проверит данные и выполнит регистрацию. В нашем случае у нас есть только одна учетная запись Apple, поэтому мы ввели номер своей учетной записи. Вскоре после отправки регистрации нам позвонили из Apple, чтобы проверить наши данные и получить разрешение от представителя компании.
Некоторые люди упоминают, что процесс регистрации может занять несколько дней. В нашем случае мы заработали в течение нескольких часов, но я думаю, что ваш пробег может отличаться.
Свяжите JSS Casper Suite с DEP
Следующим шагом будет привязка вашей учетной записи DEP к MDM. В случае с Casper Suite нам нужно было:

  • Выберите программу регистрации устройств на экране глобального управления и загрузите открытый ключ
  • Используйте открытый ключ, чтобы добавить JSS на портал Apple DEP. Добавление сервера на портал DEP предоставляет файл токена сервера 9.0006
  • Возьмите файл токена сервера и используйте его для добавления учетной записи в JSS

После того как вы добавили сервер на портал DEP, вы можете настроить автоматическую регистрацию новых приобретенных устройств в вашем MDM.
Настройка регистрации PreStage
Далее необходимо настроить регистрацию PreStage. Это используется для установки того, что происходит, когда устройство направляется в JSS с помощью DEP. Нажмите «Создать», установите область действия и параметры.
Помимо прочего, у вас будет возможность решить, какие экраны настройки должны отображаться на клиентах:

Некоторые другие точки
Сеть — Как вы понимаете, этот процесс работает, только если клиенты подключены к сети, которая позволяет общаться с Apple и JSS. В более крупных корпоративных средах или школах это может вызвать проблемы, поскольку часто используются фильтрация портов, 802.1X и другие системы безопасности, которые препятствуют обмену данными. Одним из решений является создание регистрационного SSID, который может взаимодействовать только с серверами Apple и JSS. Пользователи могут подключаться к этой сети для первоначальной настройки, после чего JSS может настроить устройства для основной сети. Если ваша корпоративная беспроводная сеть требует, чтобы устройства были подключены к Active Directory для сертификатов устройств (например), этот SSID не подходит для DEP.
Учетные записи пользователей — Как вы можете видеть выше, нет возможности запретить пользователю создавать учетную запись локального администратора. Если для вашей организации это нормально, то делать больше нечего. Однако, если вам нужно, чтобы пользователи работали со стандартными учетными записями пользователей или даже с пользователями каталога, вам потребуется запустить политики из JSS после регистрации, чтобы выполнить дополнительную настройку и, возможно, удалить учетную запись локального администратора, созданную пользователем.
Ориентация на зарегистрированные в DEP компьютеры Mac для политик — Если вы хотите настроить таргетинг компьютеров Mac, зарегистрированных в DEP, с помощью политик из JSS, существует параметр критериев смарт-группы под названием «Метод регистрации». Выберите «PreStage enrollment» в качестве значения, и это позволит идентифицировать эти устройства. Я бы не стал добавлять слишком много политик, особенно тех, которые устанавливают программное обеспечение, если вы не уверены, что устройство будет подключено к достаточно быстрому каналу. Если пользователь настраивает свое устройство из дома, а политика запускает установку Adobe Creative Suite, это может стать проблемой.
Добавление устаревших компьютеров Mac — В учетную запись DEP можно добавить существующие устройства. Мы проверили это на нескольких компьютерах Mac, начиная с 2012 года, и они работали нормально. Нам просто нужно было добавить серийные номера на портал DEP.
Резюме
В общем, сервис выглядит довольно полезным.

You may also like...

scroll to top