Hallo an alle,

eine Freundin von mir ist Professorin an einer britischen Uni und hat erstmals durchsetzen können, dass sie einen Mac (MacBook Pro, ich weiß leider nicht, welches) statt eines PC bekommt.

Da ist Monterey drauf, sie wollte jetzt aber eine völlige Neuinstallation mit Ventura machen, da ihr einiges an der existierenden Konfiguration nicht passt.

Ich habe ihr gesagt, sie soll mit -R neu starten, aber seltsamerweise hat das keinerlei Effekt.

Jetzt frage ich mich, ob das daran liegen könnte, dass die Uni das MacBook mit einem Konfigurationsprofil vorkonfiguriert und Neuinstallationen gesperrt hat. Ist sowas machbar? Ich selbst habe absolut null Ahnung von dem ganzen Mass-Deployment-Zeugs.

Daher die Frage an diejenigen, die damit Erfahrung haben: Kann das sein? Und falls ja, wie wird man das los? Es muss dann ja irgendwo eine Profildatei geben, die die Sperrung veranlasst und die man als root löschen kann, oder?

Ist es überhaupt ein Intel-Modell? Die Tastenkombination hat sich geändert

Ja, das weiß ich eben nicht. Da muss ich erst nachfragen, wenn ich sie erreiche.
Ah, sehr guter Hinweis, danke! Na, dann kläre ich erstmal die Prozessorfrage ab.

Falls das Gerät "supervised" per MDM verwaltet wird, keine Chance (zumindest dann nicht, wenn alles korrekt konfiguriert wurde).

Klingt jetzt auch nicht so ungewöhnlich, dass das an einer Uni so ist – es sei denn, die Geräte gehen tatsächlich als BYOD raus? (bring your own device)

Das ist ja gerade der Sinn und Zweck eines solchen 'enrollments' inklusive 'Endpoint Protection' – man will da eben ein wenig unter Kontrolle haben, was die User mit der Kiste so anstellen.

Und selbst wenn man in den Recovery Mode käme – wenn das Gerät im DEP von Apple angemeldet ist und dort einem MDM-Server zugeordnet wurde, landet es selbst nach einem "kompletten platt machen" mit der nächstbesten Online-Verbindung sofort wieder in der zentralisierten Verwaltung und sämtliche darauf zeigenden policies werden angewendet.

Mein Tipp: Sie kann sich doch an die IT-Abteilung der Uni wenden und fragen, ob die Installation von Ventura schon 'freigegeben' ist. Und falls irgend welche settings für ihre Arbeitsumgebung unpassend sind, lässt sich auch so etwas auf diesem Wege sicher 'optimieren', sprich u.U. werden für sie dann Dinge gesondert erlaubt oder andere Dinge nicht mehr aktiv unterbunden.

PS: Bei intel-Macs konnte man ein EFI-Firmware-Passwort definieren, um den Zugang zum Recovery Mode zu verhindern, und auch bei den neueren 'Apple Silicon' Macs kann man ein 'recovery lock password' setzen. Dafür gibt es dann auch spezielle MDM-Kommandos.

Woran merkt man einem Gerät denn an, dass es per MDM verwaltet wird?
Ja, und sie ist eben der Meinung, als Professorin hat sie niemand zu kontrollieren.
Big Brother is watching you.
Ich glaube, das ist es gar nicht. Sie will einfach nicht, dass sie irgendjemand kontrollieren kann.

Sie schaut mal nach, ob das ein M1 ist, aber das wird wohl erst nächste Woche klappen.

Was ich mich frage: Wie geht das denn technisch? Wird das dann ins EFI geschrieben? Dateien könnte man doch immer löschen? (Und das EFI zumindest bei Intel auch, siehe OCLP.)

In den Einstellungen ist, bei Monterey noch unten rechts, Profile zu sehen wenn irgendwelche Konfigurationsprofile installiert sind.
Dann steht es ihr ja frei sich selbst einen Mac zu kaufen. Aber in den meisten Organisationen werden die Geräte sinnvollerweise durch die Organisation verwaltet, und nicht durch die Benutzer. Bei den paar hundert Macs in meiner Verwaltung interessiert mich weniger was die Leute mit den Geräten machen, ich sorge primär dafür das bestimmte Richtlinien eingehalten werden, z.B. Sicherheitseinstellungen, und auch nur zugelassene Software eingesetzt wird. Dazu gehört auch die Betriebssystemversion, insbesondere wenn der Mac auf interne Daten zugreifen kann.
Möglich, aber eher unwahrscheinlich. Wobei UK da deutlich mehr erlaubt als z.B. Deutschland. MDM selbst erlaubt da nicht viel, bei zusätzlich eingesetzten Software-Agenten sieht die Geschichte anders aus. Spaßeshalber mal die Ordner /Library/LaunchDaemons und /Library/LaunchAgents durchgehen, da siehst du schon relativ deutlich was alles so auf dem Mac läuft.
Was mich darauf bringt: Ventura erlaubt, bzw. macht explizit Aufmerksam, auf eben jene LaunchAgents/-Daemons; das erfordert auf Admin-Seite ein wenig Handarbeit (frag mich )
Daraus wird wohl nix, wäre meine Einschätzung.
Oh, da gibt es ein schönes, langes Dokument von Apple wie das ganze funktioniert, und mit EFI hat das nichts zu tun. Kurz zusammengefasst: während der Mac zusammengeschraubt wird, wird dieser einmal eingeschaltet und beim Intel der T2 und bei Apple Silicon der SoC schreibt eine eindeutige, unter anderem aus Umweltdaten generierte Geräte-ID in einen einmal beschreibbaren Bereich.
Wenn der Mac dann regulär eingeschaltet wird meldet dieser sich bei Apple (aus dem Kopf das IP Segment 17.x.x.x) und wenn dieser im Apple Business oder Apple School Manager registriert ist wird der Mac an den hinterlegten MDM-Server weitergeleitet (das ist technisch nicht ganz korrekt, aber egal).
Bei Ventura und den Apple Silicon SoC's wird, wenn einmal über MDM verwaltet, immer dieser MDM-Server kontaktiert (wenn so konfiguriert) solange nicht im ABM/ASM freigegeben; was bedeutet, dass wie beim iPhone ein Setup des Mac ohne Internetverbindung nicht möglich ist.

Danke Dir für die ausführliche Erläuterung!

Für jemanden, der das erstmals hört, klingt das alles ziemlich nach Orwell …

Einfache Lösung: Gerät zurückgeben und selber ein MacBook Pro kaufen, dann kann man damit machen was man will.

Natürlich muss die Hochschule dafür sorgen, daß nicht jeder einfach machen kann, was er will. Sicher gibt es Programme und Dienste der Hochschule, die noch gar nicht mit Ventura kompatibel sind. Zu so einem frühen Zeitpunkt ein neues Betriebssytem in einer EDU Umgebung freizugeben, ist Harakiri.

Die Besitzerin hat noch kein MacOS-Update durchgeführt. Also hatte das Macbook Pro bereits im Auslieferungszustand Monterey. Es gab kein Intel-Macbook Pro mit vorinstalliertem Monterey. Also hat das Macbook einen Apple-Chip. Also funktioniert cmd + r nicht.

Ah, danke! Logik in ihrer besten Form!

Musste schmunzeln und fand das im ersten Moment auch nachvollziehbar – stimmt so aber leider nicht.

Wenn das ein 'verwaltetes' Gerät ist, kann das ja auch direkt beim 'enrollment' mit Monterey bestückt worden sein, also auch wenn es ein älteres "noch intel"-Gerät ist.

Sehr wahrscheinlich ist es natürlich trotzdem ein M1/M2, weil man im Normalfall keine älteren Geräte als neue Geräte rausgibt. Wenn es aber eine Uni ist, wo man (z.B. aus Umweltschutzgründen) wert darauf legt, dass Geräte möglichst so lange in Betrieb bleiben wie möglich, dann könnte es doch ein intel-Gerät sein…

Naja, da das nach jahrelangem Drängen extra für sie angeschafft wurde, ist das eher nicht so wahrscheinlich. Es ist wohl so ziemlich der erste Mac an dieser Uni, was irgendwie auch gegen die MDM-Variante spricht. Eine extra Sektion Profile scheint es in den Systemeinstellungen ebenfalls nicht zu geben.

Am Ende war ich einfach zu blöd zu wissen, dass -R auf M1-Macs nicht funktioniert.

Wir werden sehen (aber nicht so schnell).

Haha, ok – dann ist die Auflösung am Ende wahrscheinlich tatsächlich so einfach.

War sie. Es ist ein M1-Mac und ich Simpel wusste nicht, dass sich die Tastenkommandos geändert haben. 🙄 Neuinstallation läuft. 😂 marm hatte die Lösung gleich im ersten Beitrag.

Beliebte Variante in Logik-Einführungskursen:

Alle Katzen sind sterblich. Sokrates ist gestorben. Also war Sokrates eine Katze.

Es gab sicherlich mehr Katzen, die Sokrates genannt wurden, als Philosophen, die Sokrates hießen. Also ist die Aussage wahrscheinlich wahr richtig .

Sind Philosophiestudenten so schlecht in Logik, dass sie darauf hereinfallen?

Es kann bei manchen Erstsemestern zumindest für Kopfkirmes sorgen, je nachdem, wodurch sie zur Philosophie kamen. Es geht ja auch gar nicht ums Hereinfallen – jedem ist klar, dass das nicht stimmt –, sondern eher darum, die Bedeutung von Logik in der Philosophie zu illustrieren, die manchen bis dahin vielleicht als vernachlässigbar, da selbstverständlich schien. Und nicht nur sofort zu erkennen, dass das falsch ist, sondern auch genau formulieren zu können, wo der Fehler nun liegt, das fällt einigen zu Beginn schon schwer.

Wenn ich mich recht entsinne, stammt das Beispiel übrigens aus Die Nashörner von Eugène Ionesco. Aber sicher bin ich mir jetzt nicht, das ist schon so lange her.

Ich entsann mich richtig.

Nochmal vielen Dank an alle, die mitgeholfen haben!

Natürlich? Vielleicht. Aus Erfahrung (IT Support an einer Hochschule) kann ich aber berichten, die Freiheit der Forschung und Lehre wird auch durch IT-Sicherheitsbedenken nicht eingeschränkt. Wenn die Kollegin da aus Deutschland kommt, kennt Sie an der Uni die unendliche IT Freiheit. Die macht jetzt gerade ein Kulturwandel durch...

Ich kenne das von einer deutschen Uni aus der Physik anders. Alle Institutsrechner (allesamt Linux Systeme auch die Laptops von den Professoren) wurden von einem eigenem Admin verwaltet, und nur die wenigen Rechner mit Windows wurden vom HRZ verwaltet. Es gab extra zwei Typen von Netzwerkdosen in jedem Zimmer. Nur die vom Admin verwalteten Institutsrechner durften direkt auf die Fileserver zugreifen. Die „privaten“ Rechner durften im anderen Netzwerk betrieben werden, waren aber immer „außen“, so dass man sich per SSH bzw. X2Go auf den Systemen anmelden und/oder Daten kopieren musste. Wollte man da etwas spezielles auf dem System installiert haben, musste man zum Admin gehen.

Ja, es gibt die vorbildlichen Ausnahmen auch hier.