Na minha empresa, acabamos de terceirizar nossa TI e MDM, e tivemos que repensar a permissão de contas pessoais da Apple em Macbooks. Nossos desenvolvedores (todos no Mac) tiveram seu administrador local revogado, e o MSP agora tem acesso de administrador a todas as máquinas.
Não está claro se uma conta de administrador local separada (que pode presumivelmente acessar o root) pode acessar as contas do Apple ID, keychains ou diretórios iCloud sincronizados localmente dos usuários. O senso comum diz que sim, porque root é root; mas eu sei que há níveis adicionais de controle de acesso acima do root no macOS, alguém tem uma resposta definitiva?
(Prefiro não discutir os méritos dos AppleIDs pessoais/empresariais em máquinas empresariais ou se os desenvolvedores devem ter um administrador local, esses tópicos já foram discutidos exaustivamente.)