MDM – Cái tên thường xuyên xuất hiện gần đây trên các diễn đàn MacBook. Vậy MDM là gì hãy cùng 5MAC.VN tìm hiểu ở bên dưới nhé?
Trong bài này, 5MAC.VN cũng hướng dẫn bạn cách vô hiệu hoá MDM một cách đơn giản và hiệu quả nhất quả đất.
Một số trường hợp nhận biết MDM thường gặp?
Khi bạn vừa cài lại hệ điều hành macOS, khởi tạo máy mới nguyên seal và đăng nhập vào WiFi thì màn hình xuất hiện “Remote Management” hoặc thỉnh thoảng máy hay xuất hiện thông báo “Device Enrollment” thì chắc chắn máy bạn đã bị dính MDM (Còn hay gọi là máy có Profile).
MDM viết tắt của từ Mobile Device Management, gọi nôm na là giải pháp quản lý thiết bị di động, là một cách thức để quản trị viên hoặc một tổ chức quản trị và cài đặt các ứng dụng (applications) cũng như thực thi các chính sách của tổ chức đó đến các thiết bị di động của tổ chức đó (có thể là phone, tablet, laptop…)
Hệ sinh thái Mac của Apple triển khai MDM thông qua Apple Business Manager (ABM), là một cách thức Apple cho phép nhà quản trị triển khai một cách tự động các ứng dụng lên số lượng lớn các thiết bị một cách nhanh chóng, thực thi các chính sách theo yêu cầu của công ty cũng như xoá các ứng dụng, dữ liệu không cần thiết khi nhân viên không còn làm trong công ty hoặc tài sản đó bị thất lạc.
MDM còn giúp các Quản trị viên (Administrator) có thể hạn chế nhân viên chỉnh sửa sâu các thiết lập gây ra lỗi phần mềm, thắt chặt bảo mật của máy phòng ngừa lộ dữ liệu.
MDM hoạt động như thế nào?
Ngay khi bạn Active hoặc Recovery lại MacOS và đến bước nhập WiFi trên một chiếc MacBook mới, lúc này máy sẽ kích hoạt một chương trình gọi là DEP (Device Enrollment Program). Quá trình kích hoạt DEP trên thiết bị Mac thông qua 3 bước:
Bước 1: DEP sẽ dùng số serial number của máy, kiểm tra trong cơ sở dữ liệu của Apple xem máy Mac này đã được đăng ký chương trình ABM (Apple Business Manager) hay không?
Bước 2: Nếu máy Mac có đăng ký chương trình ABM, thì máy chủ của Apple thông báo về server quản lý chính sách của doanh nghiệp về một quá trình đăng ký (enrollment) mới. Máy chủ quản lý chính sách mới gửi ngay một yêu cầu thiết lập chính sách quản lý từ xa (Remote Management) như hình bên dưới.
Bước 3: Người dùng click vào “Continue” để tải xuống chính sách này thì chính sách sẽ được thực thi trên máy Mac.
Các chính sách này như thế nào, hoàn toàn do phía quản trị của công ty thiết lập.
Cách test MacBook đó có MDM hay không?
1. Test nhanh
Bạn mở Terminal lên sau đó copy dòng lệnh này vào profiles status -type enrollment
. Nếu máy hiện ra “No” thì an tâm còn “Yes” thì máy có MDM. Nhưng để chắc ăn nhất bạn nên sử dụng cách Test chậm.
Lưu ý: Cách này không hoạt động đúng, nếu trên máy đã có can thiệp bypass MDM bằng cách bên dưới
2. Test chậm
Cách này chính là cách bạn Recovery (cài trắng) lại toàn bộ chiếc máy của bạn thông qua WiFi (nên chọn những chỗ có Internet ổn định để tránh bị lỗi trong quá trình cài).
Tại lần đăng nhập WiFi đầu tiên, MacBook sẽ kết nối đến server của Apple để xác nhận tình trạng máy. Đây là cơ hội để máy của bạn được verify bởi chính Apple. Vì thế cách này khá chính xác ngoại trừ trường hợp máy đã được đổi sang serial number khác.
Lưu ý: Cách này không đúng khi máy đã được đổi serial.
Cách khắc phục MDM thế nào? Cách ẩn thông báo Device Enrollment?
Với cách hoạt động MDM như đã nói ở trên bạn hoàn toàn có thể thoát/ ẩn MDM vô cùng đơn giản và sử dụng như một chiếc máy bình thường.
*Áp dụng cho cả MacBook Intel và M1
Cách 1: Bypass MacBook MDM
Chúng ta có thể vô hiệu hoá MDM bằng cách không cho máy Mac kết nối đến các server của Apple đang phụ trách vấn đề về MDM, tức là bẽ gãy bước 1 ở trên.
Bằng cách khai báo một vài địa chỉ “ma” trong file quản lý phân giải tên miền “etc/hosts” đối với một số tên miền của Apple phụ trách việc quản lý MDM. Cụ thể là 3 tên miền sau:
- deviceenrollment.apple.com
- mdmenrollment.apple.com
- iprofiles.apple.com
Từng bước như sau:
Ngay khi bạn mua một chiếc máy mới và active hay cài recovery lại máy thì tới bước WiFi tuyệt đối không được đăng nhập. Bước này vô cùng quan trọng vì nó sẽ giúp bạn không gửi thông tin máy tới Server Apple.
Bước 1: Sau khi setup máy và tới bước WiFi bạn hãy làm như hình.
Chọn vào Other Network Options > Continue
Sau đó tick như hình và Continue
Tiếp đến bạn chỉ cần Setup bình thường thôi
Sau khi đã vào trong máy bạn hãy truy cập WiFi > Copy lệnh bên dưới vào > Mở Terminal lên và Paste vào
sudo sh -c "echo $'# Turn off MDM Notification\n0.0.0.0 deviceenrollment.apple.com\n0.0.0.0 mdmenrollment.apple.com\n0.0.0.0 iprofiles.apple.com' >> /etc/hosts";cat /etc/hosts | grep apple;
Sau khi Paste dòng lệnh vào bạn sẽ nhập Password của máy
(Lưu ý chỗ Password sẽ không hiện kí tự, bạn chỉ cần gõ đúng là được).
==> Hiện ra 3 dòng 0.0.0.0 … như hình là ok
Như vậy bạn đã ẩn MDM bằng cách ngắt kết nối tới Server Apple và có thể sử dụng như một máy bình thường rồi.
Lưu ý: Với phương pháp này, khi bạn update hệ điều hành thì không cần thực hiện bước này. Nhưng bạn phải thực hiện lại các bước này khi bạn xoá trắng ổ đĩa và cài mới lại MacOS.
Cách 2: Đổi Serial, tránh triệt để MDM
Như bên trên đã nói, cơ chế quản lý MDM dựa trên số Serial Number của máy. Để đổi sang số serial mới, thì bạn cần chuẩn bị một số serial sạch (không bị quản lý bởi các chương trình DEP khác). Sau khi đổi sang số serial sạch, cài lại máy, và máy không bị quản lý bởi profile nữa.
Việc đổi serial của máy cũng tương đối phức tạm, bạn có thể liên hệ với các trung tâm kỹ thuật rành nghề để được tư vấn thêm.
Bên mình hiện không có dịch vụ đổi sang số serial khác.
Vậy MDM gây ảnh hưởng như thế nào đến quá trình sử dụng
Như đã đề cập ở trên MDM chỉ giúp các công ty, tổ chức quản lý các máy MacBook MDM của họ.
Tuy nhiên đối với các máy MDM không được xác thực bởi tài khoản nhân viên trong công ty hoặc tổ chức sẽ gây một số lỗi cho người sử dụng như các thông báo xuất hiện thường xuyên.
Ngoài ra còn có một số rất ít MDM (Profile) hơi khó chịu, sẽ tự động thiết lập và cài đặt ứng dụng theo chính sách của công ty.
==> Ngoài điều đó ra tất cả các máy có MDM đều hoạt động và được bảo hành chính hãng Apple theo chính sách của hãng như một máy bình thường.
Q&A
1. Máy MDM có phải máy ăn cắp?
Có, nhưng rất ít bởi số lượng như vậy sẽ rất ít chỉ vài máy, và thường là các trung tâm bảo hành sẽ từ chối bảo hành nếu là máy ăn cắp.
Nhưng, trong thực tế, có trường hợp máy được công ty thanh lý lại với số lượng lớn ngay cả máy nguyên seal và phần lớn các máy này vẫn được bảo hành chính hãng bình thường.
2. MDM có bị lock?
Có, nhưng chỉ khoá EFI thôi nếu người dùng không thực hiện “vô hiệu hoá” đúng cách và CLICK vào nút chấp nhận máy load profile của côtng ty về.
Khi máy khoá EFI, có thể mở khoá EFI được bởi các kỹ thuật viên có tay nghề. Khi thực hiện kỹ thuật này, thường là phải cài lại MacOS và người dùng bị mất dữ liệu khi bị khoá EFI.
Thật sự là, khi người dùng bất kể máy MDM hay máy thường, cũng phải có chính sách backup dữ liệu định kỳ (offline, hay online thông qua cloud) vì những rũi ro máy bị hõng đột xuất do vào nước, rơi vỡ, thậm chí là mất trộm là có thể xảy ra.
3. Máy MDM có được bảo hành Apple?
Vẫn bảo hành hoàn toàn bình thường nếu máy vẫn đảm bảo các tiêu chí bảo hành của Apple như máy không có dấu hiệu can thiệp sửa chửa phần cứng, không bị báo mất trộm…
4. Máy MDM có sử dụng được iCloud không?
Bạn vẫn có thể đăng nhập và sử dụng tài khoản iCloud của bạn hoàn toàn bình thường, mọi chức năng của iCloud như đồng bộ dữ liệu, đồng bộ thiết bị vẫn hoạt động.
5. Máy MDM có nâng cấp được hệ điều hành không?
Bạn hoàn toàn có thể nâng cấp hệ điều hành bình thường. Bạn không cần thực hiện lại các bước vô hiệu hoá bằng can thiệp vào file “etc/hosts” khi nâng cấp hệ điều hành tự hệ điều hành hiện tại.
Khi bạn cài lại hệ điều hành bằng cách xoá ổ đĩa (erase hard drive, format hard drive) và cài lại hệ điều hành thì bạn phải thực hiện thao tác bypass MDM như trên, vì file “etc/hosts” không còn mấy dòng DNS đã thêm vào.
6. Hệ điều hành MacOS mới nhất có bypass MDM được không?
Đến năm 2023, với hệ điều hành MacOS Ventura version 13.X.X, chúng tôi đều hổ trợ bypass MDM để sử dụng như một máy bình thường mà không gặp một chút khó khăn nào hết.
Có nên mua MacBook có MDM?
Câu trả lời là “Tuỳ thuộc vào bạn”
- Nếu bạn có thoải mái về tiền bạc, thì không nên mua máy MDM làm gì cho nhọc cái thân. Cứ máy chuẩn mà “tiến” thôi.
- Nếu bạn muốn tiết kiệm được “kha khá” tiền hoặc ngân sách của bạn hạn hẹp, thì máy MDM là một sự lựa chọn tốt không thể bỏ qua.
- Nếu bạn rành về kỹ thuật và hiểu tận tường về kỹ thuật vô hiệu hoá MDM trên máy Mac, thì ngại gì không sử dụng giải pháp tiết kiệm nhiều chi phí.
Về rủi ro
Máy MDM thường có giá rẻ hơn, nhưng đi kèm với một ít rủi ro.
1. Máy có khả năng bị lock?
Có, nhưng cao nhất chỉ có thể lock EFI (giống khoá BIOS máy trên máy Windows vậy), và chúng ta có thể dễ dàng unlock EFI. Rũi ro cao nhất là mất dữ liệu.
Việc lock này chỉ xảy ra nếu người dùng chưa thực hiện đúng cách vô hiệu hoá MDM và chấp nhập load profile công ty về cài lên trên máy, vậy bên ngoài mới có thể lock EFI bạn được.
2. Máy có được bảo hành chính hãng không?
Câu trả lời là có, MDM không ảnh hưởng gì đến chính sách bảo hành của hãng, miễn là máy đó còn đủ các điều kiện hãng tiếp nhận bảo hành như chưa can thiệp sửa chửa phần cứng từ bên ngoài, lỗi không xuất phát từ người dùng, máy không được báo mất cắp….
Kết Luận
- Việc vô hiệu hoá MDM chưa bao giờ dễ dàng như lúc này [Cách 1]. Nếu bạn gặp bất cứ khó khăn gì, liên hệ chúng tôi sẽ trợ giúp.
- Để phát hiện máy có MDM hay không, cách chính xác nhất là cài lại máy.
- Để giải quyết triệt để vấn đề MDM thì đổi serial sang một số serial sạch khác.
5MAC.VN chúng tôi KHÔNG có dịch vụ đổi sang số serial khác, nhưng chúng tôi có thể giúp bạn thực hiện bypass MDM để dùng. Hoặc trong quá trình thực hiện nếu lỗi chỗ nào các bạn cứ comment bên dưới, chúng tôi sẽ hỗ trợ các bạn.
Chúc bạn thành công!