Mấy ngày gần đây mình thấy nhiều anh em đang bàn luận khá nhiều về những chiếc máy Mac MDM và vô tình trên Facebook có anh Andy Phạm, admin group Nghiện Tech có một bài chia sẻ rất hay về máy MDM nên mình xin phép anh để chia sẻ bài viết này lên Tinh tế, để anh em cùng nhau tham khảo, có thêm thông tin về máy MDM trước khi mua và cùng bàn luận thêm trong bài viết này.
Nôm na là máy Macbook/iPad/iPhone nhưng được cài phần mềm kiểm soát tập đoàn (do Apple hỗ trợ). MDM thì khái niệm tương đối rộng, mình chỉ đề cập hai mục đích chính, dễ hiểu nhất với người dùng thông thường:
2. Khóa máy, xóa dữ liệu từ xa: do điều kiện sống khác nhau, Macbook đối với người Việt mình là một tài sản đáng kể, đối với các công ty nước ngoài thì chỉ là công cụ làm việc. Vì thế, khi mất máy, người Việt có xu hướng lo lắng cho giá trị bản thân cái Macbook, còn các công ty thì lo lắng dữ liệu trong Macbook đó bị rò rỉ dẫn tổn thất không thể vãn hồi. Vì thế, MDM được sinh ra để khóa máy và xóa dữ liệu từ xa. Thậm chí xóa ở mức không thể khôi phục được cho dù là bởi những công ty khôi phục chuyên nghiệp nhất.
Trong bài này mình sẽ không đi sát vào câu chữ tiếng Anh, mà cố gắng giải thích một cách đơn giản nhất cho những anh em chưa biết. Vì thế, anh em nào biết rồi đừng bắt bẻ câu chữ, vì đây là vấn đề này tương đối nhạy cảm, hơn nữa không thể giải thích ngắn gọn trong một bài viết được.
Máy MDM là gì?
Nôm na là máy Macbook/iPad/iPhone nhưng được cài phần mềm kiểm soát tập đoàn (do Apple hỗ trợ). MDM thì khái niệm tương đối rộng, mình chỉ đề cập hai mục đích chính, dễ hiểu nhất với người dùng thông thường:
- Triển khai phần mềm từ xa. Ví dụ thế này, tập đoàn ở Mỹ mở thêm chi nhánh ở Singapore (50 nhân viên). Thay vì đặt hàng 50 cái Macbook về trụ sở tại Mỹ, sau đó cử 1-2 nhân viên IT mang 50 máy đó sang Singapore rồi tiến hành cài đặt, họ có thể đặt hàng trực tiếp 50 máy Macbook đó ở Singapore chuyển về chi nhánh. Nhân viên IT ở Mỹ chỉ cần bổ sung serial của 50 máy mới đặt hàng vào hệ thống MDM (thực tế thì họ có thể đặt hàng luôn từ hệ thống MDM). Tại Sing, nhân viên bình thường bật máy lên, 50 máy đó sẽ tự động nối đến server của Apple để xác nhận, sau đó sẽ được chuyển hướng đến server của tập đoàn để cài đặt các phần mềm cần thiết. Quá trình này diễn ra mà không cần sự can thiệp của nhân viên IT chuyên nghiệp. Quá trình đó tiết kiệm một lượng lớn thời gian và chi phí đi lại, nhân công… cho tập đoàn.
2. Khóa máy, xóa dữ liệu từ xa: do điều kiện sống khác nhau, Macbook đối với người Việt mình là một tài sản đáng kể, đối với các công ty nước ngoài thì chỉ là công cụ làm việc. Vì thế, khi mất máy, người Việt có xu hướng lo lắng cho giá trị bản thân cái Macbook, còn các công ty thì lo lắng dữ liệu trong Macbook đó bị rò rỉ dẫn tổn thất không thể vãn hồi. Vì thế, MDM được sinh ra để khóa máy và xóa dữ liệu từ xa. Thậm chí xóa ở mức không thể khôi phục được cho dù là bởi những công ty khôi phục chuyên nghiệp nhất.
Máy MDM có phải là máy ăn cắp không?
YES, đến 99% máy MDM là máy ăn cắp, chính vì vấn đề tế nhị này nên mình định viết bài này từ vài năm trước rồi mà vẫn chần chừ. Máy MDM không phải sinh ra để re-sell (buôn bán lại) vì thế nó chỉ có thể từ các nguồn sau:
- Hàng ăn cắp.
Có một hướng giải thích khác là hàng MDM là hàng công ty thanh lý theo lô khi đã hết dự án…. như Google, Facebook, Amazon, Uber… Giải thích này rất được ưa chuộng và chấp nhận bởi người dùng thông thường vì nó nghe rất vừa tai. Tuy nhiên thực tế thì không có chuyện đó, đừng nói là hãng lớn, coi trọng bảo mật như Google, Facebook, Amazon..., anh em nào từng làm IT cho một công ty cỡ trung bình thôi, thì hiểu việc thanh lý tài sản nó không dễ thế, nhất là dính đến an toàn thông tin. Để thanh lý một tài sản IT đều có qui trình rõ ràng, phải có xác nhận của rất nhiều bên (người dùng cuối, IT, kế toán, quản lý…). Trong đó, xác nhận về gỡ bỏ thông tin bảo mật từ phòng IT là không thể thiếu. Vì thế, nếu hàng do công ty thanh lý thực sự, nó sẽ xóa bỏ dữ liệu và gỡ MDM một cách cẩn thận. Nhất là những công ty đã triển khai MDM là đã có ý thức cực kỳ mạnh mẽ về mặt bảo mật rồi, không có lý do gì để họ bỏ qua qui trình này cả. Thậm chí, một số công ty còn kỹ càng hơn, họ thuê bên thứ ba để giám sát việc này, tránh bị rò rỉ dữ liệu. Nói về việc bảo mật dữ liệu, đây chính là nghề của mình, những anh em nào biết mình thì rõ, hồi ở VN mình được thuê đi để audit những ca tương tự thế này (tương tự thôi, vì hồi đó MDM mới ra).
Mấy ông đưa ra giải thích kiểu này rất am hiểu tâm lý người Việt, máy làm xong dự án không dùng thì phải thanh lý thôi, tài sản lớn thế mà không thanh lý thì lãng phí chết. Công ty lớn thì tầm nhìn không vậy, máy tính chỉ là công cụ, dữ liệu khi bị thất thoát là không thể vãn hồi được. Vì thế, mỗi một cái máy tính rời khỏi công ty một cách chính thức phải qua một quá trình xét duyệt IT rất rầy rà, đừng nói là quên gỡ MDM. Chưa kể nếu anh em nào làm về IT hệ thống, trong công ty còn còn vụ xóa trắng máy và Re-Assign - chuyển máy đó cho nhân viên mới dùng cho đến khi hết vòng đời, chứ không phải động tý lại thanh lý để cho mấy bạn VN có máy MDM dùng.
Do đó, hướng giải thích “hàng công ty thanh lý” là không đúng, đơn thuần giải quyết vấn đề tâm lý cho người mua.
Rủi ro khi sử dụng máy MDM là gì?
1.Bị khóa máy và xóa dữ liệu từ xa. Như đã giải thích bên trên MDM là lưỡi dao sắc bén của hãng, sinh ra để làm việc này, hơn nữa làm rất tốt. Vì thế rủi ro là Có. Tuy nhiên, các bạn ít gặp vì các lý do sau:
Nhân viên hãng tuồn ra ngoài bán, tất nhiên họ sẽ không báo lên trên công ty là máy bị mất. Vì thế, từ phía hệ thống MDM nhìn xuống, nó vẫn là một máy MDM do nhân viên đó đang dùng nên không có chuyện xóa dữ liệu, khóa máy từ xa.
Máy đã bị bypass bằng cách thay đổi serial, về bản chất, đó đã là một cái máy khác, vì thế thế MDM cũng không áp dụng được.
Quảng cáo
Tùy chính sách hãng, tùy máy bị mất là của nhân viên vòng ngoài hay nhân viên trung tâm (mở ngoặc chút, ngay cả bên Mỹ, nếu máy tính là của nhân viên vòng ngoài thì việc xử lý MDM cũng lỏng lẻo hơn chút), nếu là máy mất là của các boss xem, máy chưa về đến VN thi đã bị xóa xong vài lần rồi.
2. Rủi ro về mặt pháp lý: như đã phân tích bên trên, bản chất MDM là máy ăn cắp, bạn dùng ở VN thì OK, nhưng nếu vô tình mang ra nước ngoài (du lịch, du học, công tác…) thì không nên. Ví dụ, bạn mua một chiếc máy thông thường cho dù nó 100% là máy ăn cắp, khi dính đến pháp lý, bạn chỉ cần giải thích lúc mua bạn không biết nó là máy ăn cắp, thế là xong. Nhưng với máy MDM thì không giải thích được như thế, bản chất nó là máy ăn cắp, mà cảnh sát nước ngoài họ cũng quá rõ về loại máy này như thế nào rồi, hàng năm họ xử lý cả nghìn vụ như vậy. Thế nên bạn có giải thích hay đến bao nhiêu thì cũng không tránh khỏi rắc rối pháp lý.
3. Rầy rà: dùng máy MDM bạn phải tương đối rành mỗi lần bạn cài lại MacOS hoặc cập nhật lên MacOS mới hơn. Nhất là cập nhật lên MacOS mới. Lý do, để máy MDM dùng được bình thường, bạn phải thực hiện một số thao tác để bypass (đánh lừa MacOS, đánh lừa Apple). Mỗi lần ra MacOS mới, Apple sẽ cố gắng chặn phương án bypass đó lại. Tất nhiên, các pháp sư có thể sẽ rất nhanh tìm ra cách bypass mới. Các pháp sư thắng, bạn có máy ngon dùng, các pháp sư thua, bạn rầy rà. Quá trình này gần giống với máy iPhone lock/sim ghép - cuộc chiến giữa các pháp sư và Apple. Mức độ rầy rà ở đây tự bạn đánh giá, đừng bắt bẻ câu chữ. Vì bypass là quá trình phức tạp, tùy từng đời máy, ngay cả cửa hàng, tay to cũng không dám vỗ ngực là mình xử lý được cả 100% và vĩnh viễn. Mỗi lần Apple ra một bản cập nhập MacOS mới, câu chuyện mới lại bắt đầu.
Làm thế nào để kiểm tra máy MDM?
1. Kiểm tra nhanh: bạn có thể gõ lệnh này: profiles status -type enrollment trong Terminal, nếu một trong hai kết quả mà YES là ăn chun rồi, còn No/No là tương đối tốt thôi. Để cẩn thận vẫn phải reset máy (kiểm tra chậm)
2. Kiểm tra chậm: reset lại máy online, hay nhất là tại Internet Cafe, hoặc tại nhà bạn (để hạn chế bị can thiệp DNS thôi). Tại lần đăng nhập Internet đầu tiên, Macbook sẽ nối đến server của Apple để xác nhận tình trạng máy. Đây là cơ hội để máy của bạn được verify bởi chính Apple. Vì thế xác suất chính xác tiệm cận 100%
Quảng cáo
Lưu ý: với một số đời máy đã được bypass bằng cách sửa serial thì hay phương án trên không áp dụng được, nhưng lúc đó serial vỏ máy và serial trong phần mềm sẽ lệch nhau
Vậy có nên dùng MDM không?
Câu hỏi cực kỳ khó vì nó phụ thuộc vào nhiều yếu tố: thu nhập của bạn, đặc thù công việc (bạn cần máy 24/24 hay thỉnh thoảng nó lăn ra một vài ngày vẫn OK), mức độ rủi ro bạn có thể tự gánh chịu, trình độ máy tính.
Ví dụ: bạn là người thành thạo máy tính, backup dữ liệu thường xuyên, với kinh phí khiêm tốn mà muốn trải nghiệm máy cấu hình cao, MDM có thể phù hợp với bạn.
Còn những bạn đến giờ vẫn phải đi hỏi máy MDM là gì thì mình khuyên không nên dùng.
Q/A:
Q: Máy nguyên Seal có khả năng bị MDM không?
A: Có, bản chất nó là máy ăn cắp, nên vấn đề là nó bị ăn cắp khi nào? khi còn nguyên Seal hay đang dùng.
Q: Máy sạch có thể tự dưng thành máy MDM không?
A: Thực tế để tạo ra một máy MDM không dễ như mấy bạn hình dung, thứ nhất là bạn phải có quyền admin do Apple cấp, tập đoàn bạn có thể có cả nghìn nhân viên IT, nhưng chỉ có 1-2 người có quyền này. Thứ hai là bạn phải có Proof of Purchase (mà phải trực tiếp từ Apple). Như thế, cái serial bạn đưa vào hệ thống MDM mới được Apple phê duyệt. Chứ không phải như mấy bạn hình dung là người dùng ngồi nghịch hoặc IT ngồi gõ bậy bạ một lúc mà nó thành máy MDM được đâu.
Nếu bạn nào tinh tế sẽ thấy một vài tin đồn tương tự như kiểu lúc mua máy thì tập đoàn chưa triển khai MDM, sau mới thời gian mới triển MDM nên máy đó mới tự dưng thành máy MDM. Nghe hợp lý vãi nhể? Thực tế không phải thế, đơn giản nếu Macbook đó được thanh lý theo đúng qui trình rồi, thì serial của máy tính đó đã bị loại ra khỏi inventory list (danh sách thiết bị) của tập đoàn, còn đâu mà để đưa vào hệ thống MDM. Mình đánh giá đây chỉ là tin đồn nhằm cứu cánh cho mấy vụ MDM bị khui ra gần đây, các tin đồn có nhiều loại, nhưng đều giải thích mỗi một việc: máy sạch dùng một thời gian tự dưng thành máy MDM. Dễ hiểu là tin đồn kiểu này xuất phát từ những người rất am hiểu tâm lý người Việt, nhưng chả hiểu mịa gì về hệ thống
Q: Máy MDM có được bảo hành hay không?
A: Có và đương nhiên. Lý do máy MDM là hàng công ty, nhân viên của Apple không thể xác định máy MDM đó là do nhân viên của công ty đó sử dụng, hay đã bị ăn cắp.
Nhân tiện nói luôn mấy vụ bóc phốt MDM gần đây là người dùng mua phải máy MDM với giá máy sạch, vẫn tự tin là mình mua máy sạch. Mấy năm sau, lúc cài lại máy mới phát hiện ra. Chứ còn bạn nào bán hàng đàng hoàng, nói rõ là hàng MDM, khách hàng biết việc đó, thì đó là chuyện thuận mua, vừa bán, bóc phốt làm gì.
Nguồn: Andy Phạm, group Nghiện Tech