Aktiveringslås på Apple-enheder
Når Aktiveringslås er slået til, er det sværere for andre at bruge eller sælge en persons iPhone, iPad, Mac eller Apple Watch. Ved at administrere Aktiveringslås med en MDM-løsning kan din organisation at nyde godt af den tyveriforebyggende funktionalitet, samtidig med at du får mulighed for at slå Aktiveringslås fra for enheder, som organisationen ejer.
Der findes to typer Aktiveringslås:
Organisationsforbundet: Organisationsforbundet Aktiveringslås kræver Apple School Manager, Apple Business Manager eller Apple Business Essentials og er generelt nemmere at administrere for organisationer. Denne metode giver MDM-løsningen fuld kontrol i forhold til at slå Aktiveringslås til eller fra gennem interaktioner på serversiden.
Brugerforbundet: Brugerforbundet Aktiveringslås kræver, at brugeren har en personlig Apple-konto (ikke en administreret Apple-konto), og at Find slås til. Med denne metode kan brugeren låse en organisationsforbundet enhed til sin personlige Apple-konto, hvis MDM-løsningen har tilladt Aktiveringslås.
Bemærk: Nogle MDM-løsninger understøtter begge typer af Aktiveringslås. Hvis det bliver forsøgt at bruge begge muligheder, er det den første vellykkede Aktiveringslås-begivenhed, der gælder.
Slå Aktiveringslås fra
I Apple School Manager, Apple Business Manager eller Apple Business Essentials kan en bruger, der har rettigheder til at administrere enheder, slå organisationsforbundet og brugerforbundet Aktiveringslås fra for en iPhone, iPad eller Mac, et Apple Watch eller en Apple Vision Pro, der ejes af brugerens organisation. Enheden skal vises i Apple School Manager, Apple Business Manager eller Apple Business Essentials, men den behøver ikke at være tildelt en MDM-server.
Du kan få flere oplysninger i:
Brugerhåndbog til Apple School Manager: Slå Aktiveringslås fra
Brugerhåndbog til Apple Business Manager: Slå Aktiveringslås fra
Brugerhåndbog til Apple Business Essentials: Slå Aktiveringslås fra
Organisationsforbundet Aktiveringslås til iPhone og iPad
Hvis organisationsforbundet Aktiveringslås er slået til, betyder det, at MDM-løsningen (ikke brugeren) kontakter Apples servere direkte for at låse enheden eller låse den op. Da dette udelukkende sker på serversiden, er der ingen afhængigheder af brugerhandlinger eller enhedens status. MDM-løsningen opretter sin egen tilsidesættelseskode og sender den til Apples servere, når der er brug for at slå Aktiveringslås til eller fra for enheden.
Lad os antage, at din MDM-løsning ikke kan fjerne Aktiveringslås. Gå til skærmen Aktiveringslås, indtast brugernavn og adgangskode til den konto, der oprettede den MDM-servertoken, der knytter MDM-løsningen til Apple School Manager, Apple Business Manager eller Apple Business Essentials. Det er en konto med rollen Administrator, Site Manager (kun Apple School Manager) eller Device Enrollment Manager.
Vigtigt: Hvis dine enheder er tilmeldt en MDM-løsning, der er tilknyttet Apple School Manager, Apple Business Manager eller Apple Business Essentials, bør du bruge denne metode.
Brugerforbundet Aktiveringslås
I modsætning til organisationsforbundet Aktiveringslås kan brugere med brugerforbundet Aktiveringslås låse enheder, som er ejet af din organisation, med deres personlige iCloud-konto.
I dette tilfælde kan MDM-løsninger give brugerne mulighed for at slå Aktiveringslås til på en organisationsforbundet enhed, der er under tilsyn. Da Aktiveringslås som standard ikke er tilladt på enheder under tilsyn, skal MDM-løsningen hente en tilsidesættelseskode, som er oprettet af enheden, og gemme den, før brugeren har mulighed for at slå Aktiveringslås til. Hvis brugeren ikke kan godkendes med sin Apple-konto af en eller anden grund, f.eks. hvis vedkommende ikke længere arbejder i organisationen, kan tilsidesættelseskoden bruges til at slå Aktiveringslås fra eksternt med MDM eller direkte på enheden, når enheden skal slettes og tildeles til en ny bruger.
Tilsidesættelseskoderne er tilgængelige på iPhone og iPad i op til 15 dage, efter enheden var under tilsyn første gang, eller indtil en MDM-løsning selv har hentet – og derefter slettet – koden. Hvis en MDM-løsning ikke har hentet tilsidesættelseskoden inden for 15 dage, kan den ikke længere hentes.
Mac-computere skal have Apple Silicon eller Apple T2-sikkerhedschippen for at kunne bruge Aktiveringslås. Hvis en egnet Mac-computer bruger den brugergodkendte MDM-løsning og opgraderes til macOS 10.15 eller en nyere version, bliver Aktiveringslås som standard ikke tilladt, men kan evt. tillades. Administration af Aktiveringslås på installeringer (ikke opgraderinger) af macOS 10.15 og nyere versioner kræver, at enheden er under opsyn. Hvis en enhed er under tilsyn i macOS 11 og nyere versioner vha. enhedstilmelding, kan Aktiveringslås ikke administreres, før enheden tilmeldes i MDM-løsningen. Det betyder, at Aktiveringslås allerede kan være slået til, når enheden tilmeldes i MDM-løsningen og kommer under tilsyn. I så fald kan funktionen ikke slås fra med MDM-løsningen, og det vil være tilladt at bruge den, indtil første gang brugeren slår den fra.
Hvis du har enheden i fysisk besiddelse, kan du på iPhone eller iPad indtaste tilsidesættelseskoden til Aktiveringslås i MDM på skærmen Aktiveringslås i feltet til Apple-konto-adgangskoden og lade feltet til brugernavn være tomt. På en Mac kan du indtaste tilsidesættelseskoden ved at klikke på Gendannelsesassistent på menulinjen og vælge Aktiver med MDM-nøgle. Du kan se, hvor du finder tilsidesættelseskoden, i dokumentationen fra MDM-leverandøren.
Når MDM tillader brugerforbundet Aktiveringslås, sker der følgende:
Hvis Find er slået til, når MDM-løsningen tillader Aktiveringslås, bliver Aktiveringslås slået til på dette tidspunkt.
Hvis Find er slået fra, når MDM-løsningen tillader Aktiveringslås, bliver Aktiveringslås slået til, næste gang brugeren slår Find til.
Brug af tilsidesættelseskoder til at rydde aktiveringslås
Din MDM-løsning skal lagre to tilsidesættelseskoder for at kunne administrere Aktiveringslås:
Den enhedsgenererede tilsidesættelseskode. MDM-løsningen opbevarer denne kode, indtil den modtager en anden kode fra enheden, der ikke er tom. Du kan få flere oplysninger i forespørgslen Get the Bypass Code for Activation Lock.
Tilsidesættelseskoden, som serveren opretter, når Aktiveringslås startes via MDM.
Tilsidesættelseskoderne, som MDM-løsningen bruger til at administrere Aktiveringslås, er afgørende for, at du kan fjerne Aktiveringslås. Disse tilsidesættelseskoder bør sikres og sikkerhedskopieres regelmæssigt. Hvis du skifter MDM-leverandør, skal du sørge for at få en kopi af tilsidesættelseskoderne, eller at Aktiveringslås fjernes for alle tilmeldte enheder.
Hvis du vil rydde Aktiveringslås på Apple-enheder, der understøtter dobbelt-SIM, skal MDM-løsningen inkludere begge IMEI-værdier (International Mobile Equipment Identity) i anmodningen. Se Creating and Using Bypass Codes på Apple Developer-webstedet for at få oplysninger om MDM-leverandører.
Hvis MDM-løsningen ikke kan fjerne Aktiveringslås, skal du kontakte supportafdelingen hos din MDM-leverandør eller se Apple-supportartiklen Sådan fjerner du Aktiveringslås.