MDM – Cái tên thường xuyên xuất hiện gần đây trên các diễn đàn MacBook. Vậy MDM là gì hãy cùng Laptop Vàng tìm hiểu ở bên dưới nhé?

Trong bài này, Laptop VÀNG cũng hướng dẫn bạn cách vô hiệu hoá MDM một cách đơn giản và hiệu quả nhất quả đất.

Cùng tìm hiểu về MDM và cách vô hiệu hoá nhé.

mdm là gì

Một số trường hợp nhận biết MDM thường gặp?

Khi bạn vừa cài lại hệ điều hành macOS, khởi tạo máy mới nguyên seal và đăng nhập vào WiFi thì màn hình xuất hiện “Remote Management” hoặc thỉnh thoảng máy hay xuất hiện thông báo “Device Enrollment” thì chắc chắn máy bạn đã bị dính MDM (Còn hay gọi là máy có Profile).

Vậy MDM là gì? 

MDM viết tắt của từ Mobile Device Management, gọi nôm na là giải pháp quản lý thiết bị di động, là một cách thức để quản trị viên hoặc một tổ chức quản trị và cài đặt các ứng dụng (applications) cũng như thực thi các chính sách của tổ chức đó đến các thiết bị di động của tổ chức đó (có thể là phone, tablet, laptop…)

Hệ sinh thái Mac của Apple triển khai MDM thông qua Apple Business Manager (ABM), là một cách thức Apple cho phép nhà quản trị triển khai một cách tự động các ứng dụng lên số lượng lớn các thiết bị một cách nhanh chóng, thực thi các chính sách theo yêu cầu của công ty cũng như xoá các ứng dụng, dữ liệu không cần thiết khi nhân viên không còn làm trong công ty hoặc tài sản đó bị thất lạc. 

MDM còn giúp các Quản trị viên (Administrator) có thể hạn chế nhân viên chỉnh sửa sâu các thiết lập gây ra lỗi phần mềm, thắt chặt bảo mật của máy phòng ngừa lộ dữ liệu.

>>> MacBook chính hãng trả góp 0%

MDM hoạt động như thế nào?

Ngay khi bạn Active hoặc Recovery lại MacOS và đến bước nhập WiFi trên một chiếc MacBook mới, lúc này máy sẽ kích hoạt một chương trình gọi là DEP (Device Enrollment Program). Quá trình kích hoạt DEP trên thiết bị Mac thông qua 3 bước:

Bước 1: DEP sẽ dùng số serial number của máy, kiểm tra trong cơ sở dữ liệu của Apple xem máy Mac này đã được đăng ký chương trình ABM (Apple Business Manager) hay không?

Bước 2: Nếu máy Mac có đăng ký chương trình ABM, thì máy chủ của Apple thông báo về server quản lý chính sách của doanh nghiệp về một quá trình đăng ký (enrollment) mới. Máy chủ quản lý chính sách mới gửi ngay một yêu cầu thiết lập chính sách quản lý từ xa (Remote Management) như hình bên dưới.

cách kiểm tra macbook mdm

 

Bước 3: Người dùng click vào “Continue” để tải xuống chính sách này thì chính sách sẽ được thực thi trên máy Mac. 

Các chính sách này như thế nào, hoàn toàn do phía quản trị của công ty thiết lập.

Cách test MacBook đó có MDM hay không?

1. Test nhanh

Bạn mở Terminal lên sau đó copy dòng lệnh này vào profiles status -type enrollment. Nếu máy hiện ra “No” thì an tâm còn “Yes” thì máy có MDM. Nhưng để chắc ăn nhất bạn nên sử dụng cách Test chậm.

Lưu ý: Cách này không hoạt động đúng, nếu trên máy đã có can thiệp bypass MDM bằng cách bên dưới

2. Test chậm

Cách này chính là cách bạn Recovery (cài trắng) lại toàn bộ chiếc máy của bạn thông qua WiFi (nên chọn những chỗ có Internet ổn định để tránh bị lỗi trong quá trình cài).

Tại lần đăng nhập WiFi đầu tiên, MacBook sẽ kết nối đến server của Apple để xác nhận tình trạng máy. Đây là cơ hội để máy của bạn được verify bởi chính Apple. Vì thế cách này khá chính xác ngoại trừ trường hợp máy đã được đổi sang serial number khác.

Lưu ý: Cách này không đúng khi máy đã được đổi serial.

Xem cách Recovery MacBook chuẩn nhất 

Cách khắc phục MDM thế nào? Cách ẩn thông báo Device Enrollment?

Với cách hoạt động MDM như đã nói ở trên bạn hoàn toàn có thể thoát/ ẩn MDM vô cùng đơn giản và sử dụng như một chiếc máy bình thường.

*Áp dụng cho cả MacBook Intel và M1

Cách 1: Dùng câu lệnh ngắt kết nối với server MDM của Apple (đơn giản, dễ làm)

1.1 – Đối với macOS Monterey trở về trước (MacOs <= 12)

Để xem được MacOs của bạn version nào, bạn chọn menu Apple  ở góc trên bên trái màn hình, và chọn Giới thiệu về máy Mac này. Thông tin về MacOs của bạn sẽ được hiện ra.

Chúng ta có thể vô hiệu hoá MDM bằng cách không cho máy Mac kết nối đến các server của Apple đang phụ trách vấn đề về MDM.

Bằng cách khai báo một vài địa chỉ “ma” trong file quản lý phân giải tên miền “etc/hosts” đối với một số tên miền của Apple phụ trách việc quản lý MDM. Cụ thể là 3 tên miền sau:

deviceenrollment.apple.com
mdmenrollment.apple.com
iprofiles.apple.com

Từng bước như sau:

Ngay khi bạn mua một chiếc máy mới và active hay cài recovery lại máy thì tới bước WiFi tuyệt đối không được đăng nhập. Bước này vô cùng quan trọng vì nó sẽ giúp bạn không gửi thông tin máy tới Server Apple.

Bước 1: Sau khi setup máy và tới bước WiFi bạn hãy làm như hình.

Chọn vào Other Network Options > Continue

check mdm trên macbook

Sau đó tick như hình và Continue

Tiếp đến bạn chỉ cần Setup bình thường thôi

Sau khi đã vào trong máy bạn hãy truy cập WiFi > Copy lệnh bên dưới vào > Mở Terminal lên và Paste vào

sudo sh -c "echo $'# Turn off MDM Notification\n0.0.0.0 deviceenrollment.apple.com\n0.0.0.0 mdmenrollment.apple.com\n0.0.0.0 iprofiles.apple.com' >> /etc/hosts";cat /etc/hosts | grep apple;

Sau khi Paste dòng lệnh vào bạn sẽ nhập Password của máy (Lưu ý chỗ Password sẽ không hiện kí tự, bạn chỉ cần gõ đúng là được).

==> Hiện ra 3 dòng 0.0.0.0 … như hình là ok

Như vậy bạn đã ẩn MDM bằng cách ngắt kết nối tới Server Apple và có thể sử dụng như một máy bình thường rồi.

Lưu ý: Với phương pháp này, khi bạn cập nhật lên hệ điều hành mới nhất (Ventura trở lên) thì phải cập nhật thêm các bước ở hướng dẫn 1.3 bên dưới

Link tham khảo: Disable MDM On MacBook (Github.com)

1.2 – Update mới nhất đối với macOS Ventura và macOS Sonoma (MacOs >= 13)

Apple đã cập nhật không cho bạn bỏ qua bước kết nối wifi trên macos ventura trở đi, nên chúng ta không thể dùng các bước như đề cập ở trên 1.1. Vì vậy chúng ta làm như sau:

Lưu Ý: Cách này chỉ áp dụng được khi bạn đặt tên ổ đĩa đúng là: “Macintosh HD“. Nếu bạn đã đặt tên ổ đĩa khác thì hãy cài lại hệ điều hành và thử lại nhé.

>>> Xem thêm Cách cài đặt lại macos

Bước 1: Tắt máy sau đó mở máy trở lại, giữ nút nguồn đến khi máy hiển thị đã vào chế độ Recovery Mode. Lúc này sẽ hiển thị 2 mục là Option và Macintosh HD.

Bước 2: Click chuột chọn Option sau đó chọn tài khoản quản trị viên và nhập mật khẩu.

Bước 3: Kết nối wifi và truy cập vào Safari, sau đó search Google: Laptopvang MDM để tìm đúng bài viết này, và Copy dòng lệnh bên dưới:

/bin/bash -c "$(curl -fsSL bit.ly/bypassmdm)"

Bước 4: Sau khi đã copy được lệnh trên ta thoát Safari.

thoát safari

Bước 5: Sau đó mở Terminal và dán (patse) dòng lệnh phía trên và enter. 

Hệ thống sẽ tự tạo User mới tên macbook với mật khẩu 1234, User này sẽ có nhiều hạn chế chức năng, nên bạn sẽ cần vào lại macOS và tạo lại một User mới với quyền Quản trị viên (Administrator) và xoá User này đi là có thể dùng được bình thường.

Với dòng lệnh phía trên đã bao gồm cách chặn Profile nên bạn không cần phải làm gì thêm cho cả macOS Ventura mới nhất và macOS Sonoma sau này.

Video hướng dẫn chi tiết:

 

1.3 – Trong trường hợp bạn đã Active ở macOS cũ (Catalina, BigSur, Monterey,…)  và muốn nâng cấp lên macOS Sonoma mới nhất

Đối với những máy MDM đã hoạt động ổn định ở hệ điều hành cũ, ví dụ Monterey hoặc Ventura, có nhu cầu nâng cấp lên macOS Sonoma mới nhất, sẽ cần phải làm thêm bước chặn Profile bên trong macOS, vì nâng cấp macOS sẽ làm thay đổi file thiết lập này nên ngay sau khi nâng cấp macOS Sonoma cần thực hiện ngay lập tức:

  1. Cần tắt SIP trước khi thực hiện – Hướng dẫn
  2. Sử dụng Terminal bên trong Recovery
  3. Copy & Paste dòng lệnh sau (Sử dụng Safari bên trong Recovery để truy cập trang này để copy) 
  4. sudo rm /var/db/ConfigurationProfiles/Settings/.cloudConfigHasActivationRecord; sudo rm /var/db/ConfigurationProfiles/Settings/.cloudConfigRecordFound; sudo touch /var/db/ConfigurationProfiles/Settings/.cloudConfigProfileInstalled; sudo touch /var/db/ConfigurationProfiles/Settings/.cloudConfigRecordNotFound

Sau khi nhập xong là hoàn thành có thể bắt đầu sử dụng macOS Sonoma bình thường.

Cách 2: Đổi Serial, tránh triệt để MDM

Như bên trên đã nói, cơ chế quản lý MDM dựa trên số Serial Number của máy. Để đổi sang số serial mới, thì bạn cần chuẩn bị một số serial sạch (không bị quản lý bởi các chương trình DEP khác). Sau khi đổi sang số serial sạch, cài lại máy, và máy không bị quản lý bởi profile nữa.

Việc đổi serial của máy cũng tương đối phức tạm, bạn có thể liên hệ với các trung tâm kỹ thuật rành nghề để được tư vấn thêm.

Bên mình hiện không có dịch vụ đổi sang số serial khác. 

Vậy MDM gây ảnh hưởng như thế nào đến quá trình sử dụng

Như đã đề cập ở trên MDM chỉ giúp các công ty, tổ chức quản lý các máy MacBook MDM của họ.

Tuy nhiên đối với các máy MDM không được xác thực bởi tài khoản nhân viên trong công ty hoặc tổ chức sẽ gây một số lỗi cho người sử dụng như các thông báo xuất hiện thường xuyên.

Ngoài ra còn có một số rất ít MDM (Profile) hơi khó chịu, sẽ tự động thiết lập và cài đặt ứng dụng theo chính sách của công ty. 

==> Ngoài điều đó ra tất cả các máy có MDM đều hoạt động và được bảo hành chính hãng Apple theo chính sách của hãng như một máy bình thường.

Q&A

1. Máy MDM có phải máy ăn cắp?

Có, nhưng rất ít bởi số lượng như vậy sẽ rất ít chỉ vài máy, và thường là các trung tâm bảo hành sẽ từ chối bảo hành nếu là máy ăn cắp.

Nhưng, trong thực tế, có trường hợp máy được công ty thanh lý lại với số lượng lớn ngay cả máy nguyên seal và phần lớn các máy này vẫn được bảo hành chính hãng bình thường.

2. MDM có bị lock?

Có, nhưng chỉ khoá EFI thôi nếu người dùng không thực hiện “vô hiệu hoá” đúng cách và CLICK vào nút chấp nhận máy load profile của côtng ty về.

Khi máy khoá EFI, có thể mở khoá EFI được bởi các kỹ thuật viên có tay nghề. Khi thực hiện kỹ thuật này, thường là phải cài lại MacOS và người dùng bị mất dữ liệu khi bị khoá EFI.

Thật sự là, khi người dùng bất kể máy MDM hay máy thường, cũng phải có chính sách backup dữ liệu định kỳ (offline, hay online thông qua cloud) vì những rũi ro máy bị hõng đột xuất do vào nước, rơi vỡ, thậm chí là mất trộm là có thể xảy ra.

3. Máy MDM có được bảo hành Apple?

Vẫn bảo hành hoàn toàn bình thường nếu máy vẫn đảm bảo các tiêu chí bảo hành của Apple như máy không có dấu hiệu can thiệp sửa chửa phần cứng, không bị báo mất trộm…

4. Máy MDM có sử dụng được iCloud không?

Bạn vẫn có thể đăng nhập và sử dụng tài khoản iCloud của bạn hoàn toàn bình thường, mọi chức năng của iCloud như đồng bộ dữ liệu, đồng bộ thiết bị vẫn hoạt động.

5. Máy MDM có nâng cấp được hệ điều hành không?

Bạn hoàn toàn có thể nâng cấp hệ điều hành bình thường. Bạn không cần thực hiện lại các bước vô hiệu hoá bằng can thiệp vào file “etc/hosts” khi nâng cấp hệ điều hành tự hệ điều hành hiện tại.

Khi bạn cài lại hệ điều hành bằng cách xoá ổ đĩa (erase hard drive, format hard drive) và cài lại hệ điều hành thì bạn phải thực hiện thao tác bypass MDM như trên, vì file “etc/hosts” không còn mấy dòng DNS đã thêm vào.

6. Hệ điều hành MacOS mới nhất có bypass MDM được không?

Đến năm 2023, với hệ điều hành MacOS Ventura version 13.X.X, chúng tôi đều hổ trợ bypass MDM để sử dụng như một máy bình thường mà không gặp một chút khó khăn nào hết.

Có nên mua MacBook có MDM?

Câu trả lời là “Tuỳ thuộc vào bạn”

  • Nếu bạn có thoải mái về tiền bạc, thì không nên mua máy MDM làm gì cho nhọc cái thân. Cứ máy chuẩn mà “tiến” thôi.
  • Nếu bạn muốn tiết kiệm được “kha khá” tiền hoặc ngân sách của bạn hạn hẹp, thì máy MDM là một sự lựa chọn tốt không thể bỏ qua.
  • Nếu bạn rành về kỹ thuật và hiểu tận tường về kỹ thuật vô hiệu hoá MDM trên máy Mac, thì ngại gì không sử dụng giải pháp tiết kiệm nhiều chi phí.

Về rủi ro

Máy MDM thường có giá rẻ hơn, nhưng đi kèm với một ít rũi ro.

1. Máy có khả năng bị lock?

Có, nhưng cao nhất chỉ có thể lock EFI (giống khoá BIOS máy trên máy Windows vậy), và chúng ta có thể dễ dàng unlock EFI. Rũi ro cao nhất là mất dữ liệu.

Việc lock này chỉ xảy ra nếu người dùng chưa thực hiện đúng cách vô hiệu hoá MDM và chấp nhập load profile công ty về cài lên trên máy, vậy bên ngoài mới có thể lock EFI bạn được.

2. Máy có được bảo hành chính hãng không?

Câu trả lời là có, MDM không ảnh hưởng gì đến chính sách bảo hành của hãng, miễn là máy đó còn đủ các điều kiện hãng tiếp nhận bảo hành như chưa can thiệp sửa chửa phần cứng từ bên ngoài, lỗi không xuất phát từ người dùng, máy không được báo mất cắp….

Kết Luận

  • Việc vô hiệu hoá MDM chưa bao giờ dễ dàng như lúc này [Cách 1]. Nếu bạn gặp bất cứ khó khăn gì, liên hệ chúng tôi sẽ trợ giúp.
  • Để phát hiện máy có MDM hay không, cách chính xác nhất là cài lại máy.
  • Để giải quyết triệt để vấn đề MDM thì đổi serial sang một số serial sạch khác.

Laptop Vàng chúng tôi KHÔNG có dịch vụ đổi sang số serial khác, nhưng chúng tôi có thể giúp bạn thực hiện bypass MDM để dùng. Hoặc trong quá trình thực hiện nếu lỗi chỗ nào các bạn cứ comment bên dưới, chúng tôi sẽ hỗ trợ các bạn.

Chúc bạn thành công!

5/5 - (2 bình chọn)