« Gestion à distance » : le fléau des Mac et des iPhone d’entreprise mal reconditionnés
Vous avez effacé votre Mac ou votre iPhone pour réinstaller le système, mais patatras, l’installation est bloquée par la « gestion à distance ». Vous n’êtes malheureusement pas le premier auquel cela arrive : ce problème de plus en plus courant touche généralement des appareils reconditionnés écoulés sur les places de marché (comme celle dont le nom commence par « Back ») ou des modèles revendus dans des boutiques d’occasion (comme celle dont le nom finit par « Cash »). Comment l’expliquer ? Comme le résoudre ? Suivez le guide.
La « gestion à distance », ou remote management en anglais, permet aux administrateurs de configurer les réglages du système, d’installer et de configurer des applications, ainsi que de configurer les connexions au réseau et les comptes de messagerie. Le numéro de série de l’appareil est enregistré sur un serveur de gestion de flotte mobile, ou MDM pour mobile device manager, géré par l’entreprise ou l’institution. Ivanti, Jamf, ou encore VMware fournissent ces MDM qui permettent d’administrer — et donc de bloquer — des appareils à distance.
Les reconditionneurs achètent souvent des lots d’appareils, dont des flottes d’entreprise décommissionnées, mais certains acteurs peu scrupuleux bâclent le travail en « oubliant » de vérifier qu’elles ont bien été supprimées du MDM. Cela ne pose pas de problème… jusqu’à ce que vous essayiez de réinstaller le système. « Cela fait notamment partie des vérifications obligatoires stipulées dans notre charte qualité », explique Back Market, « notre charte précise également que l’appareil doit être restauré et mis à jour, ce qui peut être impossible en présence d’un MDM actif à ce moment-là. »
Nous avons pourtant recueilli plusieurs témoignages de clients de la place de marché qui se sont retrouvés gros Jean comme devant en voulant réinitialiser leur Mac ou leur iPhone. « Parfois, un appareil peut être intégré à un MDM après avoir été reçu par le client, lorsque cela est effectué par l’ancien propriétaire », précise Back Market. « C’est un problème similaire aux téléphones blacklistés », déplore Alex, vendeur de la boutique Easy Cash de Sarcelles, spécialisée dans les produits électroniques, « les opérateurs peuvent bloquer un téléphone après sa revente. »
lol
« Ces cas sont intervenus suite à des achats à des particuliers qui avaient certainement reçu ces appareils dans leur entreprise », explique-t-il. L’entreprise n’a pas réclamé ces appareils et « ces personnes pensant être dans leur bon droit nous ont vendu ces appareils » qui ne leur appartenaient pas vraiment.
oui hein? je me suis demandé si j'etais seul à etre un peu surpris on dira :P
Vous savez si le même type de verrouillage existe sous Windows ?
@koko256
Oui
Plus précisément, c'est le fait que le mac soit enregistré dans l'Apple Business Manager qui fait ce blocage (c'est mon taf).
Et c'est une fois que le mac a contacté l'ABM qu'il reçoit les profils de configurations du serveur MDM
"Parfois, un appareil peut être intégré à un MDM après avoir été reçu par le client, lorsque cela est effectué par l’ancien propriétaire"
Sauf qu'un appareil ne peut s'enroller tout seul sans passer par l'ABM, et ça ne peut pas être fait à distance, donc si il ne l'est plus, il ne peut pas être rajouté plus tard par l'ancien proprio.
Mais en effet, aucune solution pour s'en sortir par soi même
Pour expliquer en détail, lorsqu'on reçoit un iDevice, (Mac, iPhone, ...) on l'enregistre dans l'Apple Business Manager via Apple Configurator, ça ne peut pas être fait autrement, donc le device à enregistrer doit forcément être à côté de nous. Ensuite, dans l'ABM, on va affecter un serveur MDM au device (ça peut être Jamf, Azure Intune, Mosyle, ...) et à partir de là seulement, le iDevice recevra un profil de configuration.
@johnnybegood320
Si tu paramétres bien le mdm, dés que tu reçois ton device (ton vendeur par l’intermédiaire du code DEP) sera enregistré directement dans ton mdm.
J’ai créé des groupes d’appareil avec des profils de configuration afin de le superviser.
Même sous blister le device a déjà la gestion à distance. Le mdm c’est fantastique 😀😀
Oui, bien entendu, mais la plupart des vendeurs ne proposent pas l'ajout direct à ABM.
@johnnybegood320
Il faut qu’ils aient un code DEP.
Inmac, orange l’ont par exemple
Nous n’achetons aucun appareil si le vendeur n’a pas un code DEP.
Si jamais, (besoin urgent par exemple) tu peux toujours ajouter le device manuellement via Apple Configuration depuis un iPhone, ça marche très bien :)
@johnnybegood320
Oui 👍
Là nous allons migrer vers intunes car honnêtement depuis 2015 on est avec l’appli Mac Os server pour créer des profils de configuration avec des restrictions et une 20 d’applications apple poussée directement
Là ca fait peur c’est plus du tout géré ni pris en charge par apple. Heureusement quand ca plante je restaure une time machine au jour d’avant mais c’est pas viable.
Je pourrais en parler des heures de Mdm 😁
Je ne veux pas pourrir le forum
Bonne soirée à vous
Bah nous on quitte Intune pour Mosyle, j't'invite à jeter un oeil
@johnnybegood320
Merci du conseil je vais regarder
Et n'hésites pas à venir me voir sur le discord d'igen ;)
Oh que si ça se contourne. Installer MacOS sans Internet. Créer un compte sur l'ordi, mettre le blocage de 3 noms de domaines dans le fichier hosts et le tour est joué.
Bien sûr, en cas de réinstallation, ça revient.
Pour les iPhones, il faut activer le téléphone, puis à l'étape suivante, devant le panneau MDM, désactiver le téléphone avec u3. Puis restaurer sauvegarde. Il dira ensuite que le MDM ne peut pas s'activer sans activation et passera à l'étape suivante
Non, ça ne fonctionne plus depuis Big Sur, parce que la puce T2 garde en mémoire le fait que le device a été lié à ABM.
@johnnybegood320
Il suffit de réinitialiser la T2 avec un autre Mac.
Je ne sais plus quelle application fournie avec Xcode je crois le permet.
Si, cela fonctionne, je l'ai encore fait avec mon Mac M2 du bureau que je n'ai pas voulu voir supervisé: https://gist.github.com/henrik242/65d26a7deca30bdb9828e183809690bd
en résumé, avec ça ça suffit, mais l’article ci-dessus a d'autres pistes également :
0.0.0.0 mdmenrollment.apple.com
0.0.0.0 iprofiles.apple.com
0.0.0.0 deviceenrollment.apple.com
Et comment savoir si son téléphone est lié ou pas à une gestion à distance ?
Ça se voit quelque part dans les paramètres ?
Je ne connaissais pas ce problème. Et comme j’ai acheté un iPhone d’occasion, j’aimerais vérifier…
Et je ne suis probablement pas le seul.
@bozzo
Oui tu le vois dans réglages et vpn et gestion à distance.
S’il y a un profil il sera marqué, si toutefois tu arrives à démarrer l’iphone
@instinct06
Trouvé, merci !
Il suffit dans ABM de faire revoquer de votre entreprise.
De démarrer l’iphone en mode dfu et de faire mettre à jour et restaurer sinon le profil de configuration restera.
Nous manageons 250 iphones et ipad avec un serveur mac et l’application macos serveur qui est gratuite mais malheureusement plus mise à jour et sans aucun support technique. 😡😡😡😡
Ça fait un paquet d’années qu’il n’est plus du tout recommandé de gérer une flotte avec Apple Profil Manager. 🙂
@nmo
Oui à chaque fois qu’on de connecte côté serveur, on a le message comme quoi le developpement est abandonné, veuillez vous tourner vers une autre version
Dommage l’application mac os server nous avait coûté 19,90€ en 2015 et on a fait que la mettre à jour jusqu’a la dernière version sous monterey.
Après Apple Profil Manager c’était quand même pas mal pour manager iphone/ipad.
Hormis les détails techniques (merci aux intervenants) ca montre encore le manque de sérieux de groupes cités dans cet article et que j’évite (et fais éviter à mon cercle). Il vaut mieux trouver des petites structures qui elles jouent leur réputation. J’en ai trouvé une ou deux en Allemagne qui sont pas mal.
Il y a aussi un manque de sérieux chez les entreprises qui revendent leurs anciens terminaux. C’est à elles de s’assurer que les appareils sortis de leurs flottes sont effectivement révoqués d’Apple Business Manager ou Apple School Manager. En second rôle vient le reconditionneur, bien entendu.