Comment bloquer le mode sans échec sur un Macbook avec une puce M1 ?

Il semble possible d'utiliser le recoveryOS ou la protection par mot de passe du firmware pour restreindre le mode sans échec.

Sur Macs avec Apple Silicon il est possible de définir un mot de passe de récupération à l'aide du MDM avec le SetRecoveryLock commande. Si un mot de passe recoveryOS est défini, l'utilisateur ne peut pas accéder à l'environnement de récupération, y compris à l'écran des options de démarrage, sans saisir ce mot de passe.

Voir Support Apple : Sécurité du démarrage dans macOS - récupération du mot de passe de macOS pour plus de détails.

Cependant, je n'ai pas d'expérience personnelle de l'utilisation de MDM, mais il semble que pour utiliser MDM, il faille inscrire le Mac dans Apple Business Manager. Malheureusement, cela semble nécessiter un numéro DUNS (un identifiant d'entreprise). Il existe également des solutions MDM tierces. Voir la question Protection par mot de passe du mode de récupération de l'Apple Silicon grâce à la nouvelle commande de verrouillage de la récupération pour trouver des solutions possibles.

Sur Macs Intel avec puce T2 Il est possible de définir un mot de passe pour le micrologiciel dans Utilitaires > Startup Security Utility après avoir démarré en mode de récupération. Voir Support Apple : À propos du démarrage de l'utilitaire de sécurité sur un Mac équipé de la puce de sécurité T2 d'Apple pour plus de détails.

Solution de contournement pour FileVault

En guise de solution de contournement, vous pouvez utiliser FileVault pour limiter l'accès. Si vous interdisez à l'utilisateur de déverrouiller FileVault, il ne pourra pas démarrer le Mac. Cependant, cela signifie qu'un utilisateur administrateur doit toujours démarrer le Mac en premier, puis, une fois qu'il est en marche, l'utilisateur limité peut se connecter.

Pour interdire FileVault à l'utilisateur :

sudo fdesetup remove -user username

Non, le mode sans échec est la façon dont le système permet de réparer les choses. Même les verrouillages par code d'accès permettent d'effacer les données.

• Comme l'a mentionné le commentateur, vous devrez faire en sorte que le routeur place toutes les machines dans un sous-réseau où il n'y a pas d'internet. Vous devrez ensuite mettre en place un réseau privé virtuel (VPN) pour que vos machines de confiance sortent de leur "prison" et se connectent à nouveau à l'internet.
• Il n'y a pas de mot de passe pour le micrologiciel sur l'Apple Silicon, vous devez donc utiliser quelque chose que le mode sans échec désactive pour activer votre internet afin que votre plan fonctionne.

En pratique, il sera beaucoup plus facile d'utiliser le verrouillage d'activation iCloud et un MDM pour envoyer une commande de verrouillage lorsque vous devez empêcher un démarrage, puis de le déverrouiller lorsque la période de suspension est terminée.

• La garde physique / l'accès supervisé sera probablement votre seul moyen si vous ne pouvez pas mettre en place un enregistrement sur le routeur et ensuite récompenser / discipliner quand ils font preuve d'auto-contrôle et quand ils tombent dans l'oubli.

Même le verrouillage MDM n'est pas infaillible car je pense qu'ils peuvent toujours effacer la machine et créer un nouveau compte en contournant les contrôles de votre système, l'absence d'accès administrateur et plus encore aux dépens de toutes les données et applications sur le Mac. C'est là qu'une entreprise ou une école utiliserait Apple Busniess Manager / Apple School Manager et DEP et qu'un consommateur pourrait utiliser le verrouillage d'activation iCloud pour empêcher la réutilisation une fois que le Mac est effacé.

• https://support.apple.com/en-us/HT208987

Bonne chance, il y a rarement une solution technique aux problèmes de personnes, lorsque les problèmes de personnes sont suffisamment importants et que le respect des règles ne peut pas être pré-négocié et vérifié régulièrement.