作为小团队的IT负责人，这种离职员工设备卡壳的情况我太懂了——不想为了偶尔的擦除需求付每月10刀的MDM订阅，完全合理！结合你的情况，我整理了几个不需要MDM的实操方案，核心都是事前配置（毕竟事后没密码+FileVault加密的话，真的没太多回旋余地）：

方案一：固件密码 + 恢复模式预留管理员账户（最稳妥） #

这个方案能直接绕开FileVault加密的限制，在恢复模式下操作设备：

• 事前配置步骤：
  1. 先在设备上创建一个专用备用本地管理员账户（比如命名为IT_Emergency），密码存在安全的密码管理器里，平时绝不启用。
  2. 重启设备进入恢复模式：Intel芯片按住Command+R直到出现苹果标志；Apple芯片按住电源键直到显示启动选项，选择「选项」进入恢复模式。
  3. 在恢复模式的「实用工具」菜单打开「终端」，输入以下命令创建/确认备用管理员权限（替换为你的账户名和密码）：

     sysadminctl -addUser IT_Emergency -fullName "IT应急管理员" -password 你的强密码 -admin
     

  4. 接着设置固件密码：Intel芯片打开「实用工具」→「固件密码实用工具」；Apple芯片打开「启动安全实用工具」，设置一个只有IT团队知道的密码，防止员工修改启动选项绕开限制。
• 离职后擦除操作：
  拿到设备后，重启进入恢复模式，输入固件密码，用预留的应急管理员账户解锁FileVault加密磁盘，之后就能在「磁盘工具」里抹掉磁盘，或者直接重新安装系统。
• 优缺点：完全免费，操作直接可靠；缺点是固件密码一旦遗忘，只能带购买凭证找苹果官方解锁，所以一定要妥善保管密码。

方案二：启用用户密码重置权限（适用于macOS 10.15+） #

利用系统自带的重置功能，无需进入恢复模式就能操作：

• 事前配置步骤：
  1. 打开「系统偏好设置」→「用户与群组」，点击左下角锁图标解锁。
  2. 右键点击备用管理员账户，选择「高级选项」，勾选「允许用户重置密码」后保存。
• 离职后擦除操作：
  重启设备到登录界面，点击原用户账户下方的「重置密码」，按照提示用备用管理员账户验证身份，重置原用户密码后进入系统，即可关闭FileVault或直接抹除磁盘。
• 优缺点：操作简单，无需复杂的终端命令；缺点是如果员工有管理员权限，可能会修改这个设置，所以最好配合固件密码限制员工修改系统偏好。

方案三：制作可启动急救U盘（事前未配置的补救方案） #

如果事前没来得及做上述配置，这个方案能帮你救急：

• 事前准备步骤：
  1. 准备一个至少16G的U盘，格式化为APFS格式。
  2. 下载对应版本的macOS安装包（比如Ventura），打开「终端」输入以下命令制作可启动安装盘（替换为你的U盘名称）：

     sudo /Applications/Install\ macOS\ Ventura.app/Contents/Resources/createinstallmedia --volume /Volumes/你的U盘名称
     

  3. 制作完成后，从U盘启动设备，在恢复模式里创建一个备用管理员账户（步骤同方案一）。
• 离职后擦除操作：
  插入急救U盘，重启设备并从U盘启动（Intel芯片按住Option选择U盘；Apple芯片在启动选项里选U盘），用备用账户解锁加密磁盘后抹除内置磁盘。
• 优缺点：无需修改原设备的任何设置；缺点是制作和维护麻烦，每次macOS大版本更新都需要重新制作启动盘。

额外注意事项 #

• 所有非MDM方案的核心都是事前准备，如果员工离职后设备处于「无密码+FileVault加密+iCloud登录」的状态，除了携带购买凭证找苹果官方解锁，几乎没有其他办法。
• 给员工发设备前，一定要签署设备使用协议，明确离职时必须归还设备并提供密码，从流程上减少这类问题的发生。

备注：内容来源于stack exchange，提问作者abe