在我不知情的情况下，Mac好像被通过MDM管理了

Question

在我不知情的情况下，Mac好像被通过MDM管理了

在9月初，Mac在我使用时出现看视频自动暂停播放、音量突然自动减少到最低，并且偶尔会出现一个分享类进程申请传入连接，然后我将Mac上的文件备份后重装了系统。

最近我发现Mac有些异常的问题，并且是在开启锁定模式、开启阻止所有传入连接、关闭Wi-Fi与蓝牙时发生的。异常问题如下：

WindowManager会在Mac使用时录屏，如图：

经测试发现，在开启或关闭台前调度时WindowManager会出现几秒录屏的提示。

活动监视器中有一些奇怪的进程，我只列举以下几个，如图：

隔空播放屏幕镜像：AirPlayUIAgent 退出后立即重启，可以说是无法退出，在一直运行，课堂（系统设置）：ClassroomSettings 会经常自动出现，自动退出

我花费了一些时间在网上搜索相关的问题，并对Mac进行了一些检查，发现了一些Mac中的可疑地方，如图：

所以我初步判断我的Mac被通过MDM管理了。

还有一个Store文件夹，无法访问，如下图：

Mac一直在离线状态，这个文件夹还能被修改…隔空操作？

我有些疑问，比如：

Mac中没有明显的被监督或管理的提示，也没有明显的被监督或管理的描述文件，这是监督或管理被隐藏了吗？

为什么隔空播放屏幕镜像进程一直在后台运行并且无法退出呢？

为什么课堂设置会自动在后台运行并且会自动退出呢？在进程所在的位置也无法手动启动？系统设置中也没有启动入口？

实在难以理解，有哪位大佬知道这是怎么回事吗？

那个Store文件夹有什么方法可以访问吗？有什么方法可以检查出来Mac是被什么机构或组织监督管理的吗？

硬件版本：MacbooPro M1

系统版本：macOS Sequoia 版本15.6.1（24G90）

MacBook Pro 13″, macOS 15.6

发布日期 2025年10月14日下午11:11

Answer 1

2025年10月23日下午12:22 回应 MonsterNa

“初步判断可能是错的” = 是的

“设备没有被通过mdm管理” = 目前来说，是的

“而应该是一些随着系统的启动而自动化后台运行的脚本（脚本可以做到静默运行，没有提示）”：系统启动的时候有好多的系统进程会启动，有的是一直在内存运行，有的是定时，有的是隔时运行，有的是按需

“具体是什么”：很多系统进程，有的是以系统账户root运行，有的是系统进程是以登录用户运行。但有的进程是用户安装的程序时安装的并运行的进程，需要区分。

"DEP截图" 返回DEP enabled=No，所以没有DEP

"ScriptMonitor.app"截图：绝大多数情况是与用Automator所写的脚本运行有关，你看看是不是用过，并且删了

“日志截图”：没有发现什么“有用”的，貌似正常
Store：见前面的解释
钥匙串中的证书：kerberos的证书是系统的，Mac没有加入到任何Kerberos服务，所以没有更新。不要删
“VMware Fusion”这个不是系统的，是用户自己安装的

“Mac是二手设备，从购买后到九月通过“恢复”功能恢复系统之间未重装过系统”：需确认这个Mac，没有被前用户开启Find My，而且从他的iCloud ID中的设备列表中删除了。如果想，可以尝试抹盘后重装系统 > 风险是：如果被前用户注册，可能需要前用户的email等激活

Answer 2

2025年10月23日下午12:00 回应 MonsterNa

粗看：

活动监视器：

1，“隔空播放屏幕镜像”正常：系统进程

2，家庭共享：系统进程，行为正常

3，课堂：系统进程，行为正常

隔空播放屏幕镜像：

1， AirPlayUIAgent 退出后立即重启：正常，系统进程

2，截图中的可能与你的Apple ID的家庭设置相关，而remote的那两个进程，到系统设置>通用>共享，看是否相关打开

设备管理截图下面的命令行的返回，说的没有jamf和profile进程

图：com.apple.mdm.depnag.plist: 是哪里找到的？

截图Store的：正常，所有系统都有，而且普通账户无法访问

问题：

1，监督或管理被隐藏了吗？从提供的信息，无法确定

2、3：上面已解释

4, 方法可以检查出来Mac是被什么机构或组织监督管理: 先运行下面命令，看看是否有被安装MDM profiles：

sudo profiles status

Answer 3

2025年10月23日上午3:48 回应 MonsterNa

我的初步判断可能是错的，设备没有被通过mdm管理，而应该是一些随着系统的启动而自动化后台运行的脚本（脚本可以做到静默运行，没有提示）。

具体是什么，计算机小白的我也不清楚。

DEP相关日志：

终端：

log show --predicate ‘eventMessage contains “DEP”’

偶然发现的弹窗：

一些可疑的系统日志：

终端：

log show --predicate ‘eventMessage contains “remote”’

Store文件夹可以通过停用系统完整性保护（SIP）来进行访问：

终端：

查询SIP状态：csrutil status

停用SIP：csrutil disable

启用SIP：csrutil enable

Mac上发现的几个.pem文件和Store文件夹文件列表：

不知来源的证书（已取消信任）：

删了后自动重建的BluetoothGlobal密码列表（remote类进程可能是通过蓝牙连接的？）：

VMware Fusion中的虚拟机提示（推测脚本或远程程序可以复制Mac中的文件）：

Mac是二手设备，从购买后到九月通过“恢复”功能恢复系统之间未重装过系统，所以被攻击/管理的来源和开始的时间都不确定，攻击/管理目标可能是随机的，也可能是某人或某些人因为我才在其中动了些手脚。

我之所以这样猜测，是因为我发现我的一台iPhone6sp中也有remoted之类的进程在后台静默运行。

以上只是提出我在使用时遇到的一些问题，Apple的产品设计在安全性与个人隐私方面做的还是很棒的，理性看待，感谢阅读。

Answer 4

2025年10月29日下午7:20 回应 tonyfromcalgary

非常感谢您花费您宝贵的时间阅读我的问题并认真的回复，您的回复条理清晰且简洁明了，收到您的回复我非常开心。

在之前使用mac时，我发现了一些奇怪的地方，然后我就断网并打开了“锁定模式”，防火墙中“阻止所有传入连接”的开关也是打开的，我认为在这种情况下应该是不会有以上的那些进程运行的，但是在活动监视器中确实有那些进程。最近抹掉mac并重装了macOS Tahoe 26.0.1。

系统设置-通用-共享：

图：com.apple.mdm.depnag.plist 原始位置在/private/var/db/ConfigurationProfiles/Settings/com.apple.mdm.depnag.plist，如图：

终端执行：sudo profiles status

“ScriptMonitor.app”截图：我没有主动使用过Automator写或运行脚本。但是我在重装Tahoe26.0.1并进入系统后，在磁盘工具中发现有个名为“APFS物理储存区disk4”的磁盘映像，其下有个名为“setup”的APFS宗卷，在setup中有个包含三百多个空文件夹的“Application Scripts”文件夹，我不确定他们之间有没有关系。如下图：

关于setup，最初发现的“setup”的位置在：/private/var/setup

1.发现后，我将它拖拽到了桌面，随后对它进行了拷贝，并通过磁盘工具制作了映像，但我发现拷贝的文件大小和setup的大小不一致。

2.在/var/log/install.log中有个Setup Assistant进程的日志，不确定是否和setup有关。

3.在关机重启进入系统后，磁盘工具里不再显示有磁盘映像，而在启动选项-选项-磁盘工具中显示磁盘映像仍然存在，并且容量更大些。

在进入系统-终端和进入启动选项-选项-实用工具-终端分别执行diskutil list,diskutil apfs list 得到的结果不完全相同。

进入系统-终端执行结果

启动选项-选项-实用工具-终端执行结果

在系统报告中和MDM相关的选项如下图，我还发现了一个文件夹中有一些.plist文件，如下图：

再次感谢您花费您宝贵的时间阅读我的问题！我不确定上述信息在个人Mac上出现是否正常。

1.请问根据以上信息，能大致地判断出Mac的MDM状态嘛？

2.这个MAC会不会是通过Apple校园教务管理系统管理的设备呢？只是管理状态被近乎完美的隐藏了？