Na minha empresa, acabamos de terceirizar nossa TI e MDM, e tivemos que repensar a permissão de contas pessoais da Apple em Macbooks. Nossos desenvolvedores (todos no Mac) tiveram seu administrador local revogado, e o MSP agora tem acesso de administrador a todas as máquinas.
Não está claro se uma conta de administrador local separada (que pode presumivelmente acessar o root) pode acessar as contas do Apple ID, keychains ou diretórios iCloud sincronizados localmente dos usuários. O senso comum diz que sim, porque root é root; mas eu sei que há níveis adicionais de controle de acesso acima do root no macOS, alguém tem uma resposta definitiva?
(Prefiro não discutir os méritos dos AppleIDs pessoais/empresariais em máquinas empresariais ou se os desenvolvedores devem ter um administrador local, esses tópicos já foram discutidos exaustivamente.)
Resposta curta: Os administradores do MSP terão, pelo menos, acesso a todos os arquivos dos usuários (incluindo aqueles armazenados no iCloud), mas não aos chaveiros dos usuários.
Resposta longa: Versões recentes do macOS adicionaram algumas camadas de proteção de privacidade bem fortes, mas elas são orientadas para proteger os usuários do software que eles instalam. Se um aplicativo quiser acesso a dados protegidos por privacidade em sua conta (por exemplo, contatos, fotos, arquivos em muitas partes do diretório inicial, etc.), ele precisa pedir permissão ao usuário. Veja "O que e como o macOS Mojave implementa para restringir o acesso de aplicativos a dados pessoais?" (mas observe que as proteções foram estendidas desde o Mojave).
Mas essas medidas são todas orientadas para proteger os usuários de seus aplicativos (e, por extensão, os desenvolvedores dos aplicativos), não de outros usuários no mesmo sistema. A proteção de outros usuários é toda baseada em permissões de arquivo regulares, e o root as ignora como de costume. Um administrador pode precisar conceder ao aplicativo que está usando algo como "Acesso total ao disco" nos controles de privacidade, mas como administrador, ele tem permissão para fazer isso. Eles também podem ter problemas para acessar arquivos do iCloud que não foram sincronizados com o disco local, mas eu não contaria com isso como uma oferta de proteção real.
Observação: o root não é totalmente poderoso, pois há outra camada de proteção, a Proteção de Integridade do Sistema ("SIP") , mas ela (como o nome indica) protege o sistema operacional, não os dados do usuário.
Os chaveiros são diferentes porque são armazenados criptografados (com base na senha de login do usuário, para que possam ser desbloqueados automaticamente quando o usuário fizer login). Mesmo quando desbloqueados, o acesso a eles é controlado de forma bastante rigorosa (e os controles são protegidos por SIP). Não direi que é impossível para um administrador obter acesso aos chaveiros de outros usuários, mas acho que seriam necessários métodos bem extremos, como instalar um keylogger para capturar a senha do usuário ou talvez uma extensão de kernel de spyware (embora a Apple também os limite).
BTW, um tipo de abordagem intermediária me ocorre: se quisessem, seus desenvolvedores poderiam criar contas iCloud adicionais para uso profissional, torná-las membros da "família" de suas contas pessoais e usar o compartilhamento familiar para permitir acesso parcial aos seus próprios dados iCloud (e aplicativos comprados). Tenho certeza de que a Apple não aprova esse método, mas não acho que faria mal algum.
BTW2, você também deve estar ciente de que a Apple oferece suporte a dois níveis diferentes de inscrição no MDM, supervisionado e inscrito sem supervisão. A supervisão é essencialmente destinada a dispositivos de propriedade da empresa e concede ao sistema MDM mais controle e acesso aos dispositivos clientes do que seria realmente apropriado em um cenário BYOD. Consulte "Sobre a supervisão de dispositivos Apple" e "Restrições de MDM para dispositivos Apple supervisionados" . Escolha sabiamente.