Sikkerhed i Aktiveringslås
Aktiveringslås hjælper med at forhindre uautoriserede brugere i at genaktivere en iPhone, en iPad, en Mac, et Apple Watch og en Apple Vision Pro, hvis enheden mistes eller bliver stjålet. Aktiveringslås er stadig slået til, selvom enheden slettes. På denne måde bliver det sværere for en person at bruge eller sælge en mistet enhed. Den måde, som Apple håndhæver Aktiveringslås på, varierer afhængigt af enheden.
Aktiveringslås på iPhone-dele
Apple udvider Aktiveringslås til iPhone, så individuelle dele også er dækket og afværge, at dele, der er stjålet, kommer på markedet. Hvis en iPhone under en reparation registrerer, at en understøttet del stammer fra en anden iPhone, hvor Aktiveringslås eller funktionen Mistet er slået til, begrænses kalibrering af den pågældende del. Forbedringen til funktionen Aktiveringslås udvider Apples forpligtelse til at beskytte brugere, samtidig med at forbrugernes valg forbedres ved reparationer.
Virkemåde på iPhone, iPad og Apple Vision Pro
På en iPhone, iPad og Apple Vision Pro uden tilsyn bliver Aktiveringslås automatisk slået til, når brugeren logger ind på sin Apple-konto og slår Find til.
På en enhed med tilsyn er Aktiveringslås som standard ikke tilladt, men en løsning til administration af mobile enheder (MDM) kan tillade, at brugeren slår funktionen til. På denne måde kan MDM-løsningen deponere en omgåelseskode fra enheden. Omgåelseskoden kan derefter bruges til at slå Aktiveringslås fra på et andet tidspunkt. En enhed generer en ny omgåelseskode, når:
Enheden indstilles første gang
Enheden indstilles efter en sletning, og enheden ikke gendannes fra en sikkerhedskopi på samme enhed
Enheden indstilles efter en sletning, og enheden gendannes fra en sikkerhedskopi fra en anden enhed
Alternativt kan en MDM-løsning kontakte Apple-servere direkte for at slå Aktiveringslås til ved administrerede enheder og enheder med tilsyn. Dette sker udelukkende fra serversiden, og der er ingen afhængigheder af brugerhandlinger eller enhedens status. MDM-løsningen skal oprette en omgåelseskode på 31 byte og derefter sende den til Apple-serverne, når Aktiveringslås skal slås til på enheden. MDM-løsningens omgåelseskode skal genereres tilfældigt og være unik for hver enhed.
Aktiveringslås håndhæves under aktiveringen efter skærmen til valg af Wi-Fi i Indstillingsassistent. Når en enhed anfører, at den er ved at blive aktiveret, sender den en anmodning om et aktiveringscertifikat til aktiveringsserveren.
iPhone-, iPad- og Apple Vision Pro-enheder uden tilsyn, som er låst med Aktiveringslås, kan låses op med:
Godkendelsesoplysningerne til en personlig Apple-konto, som bruges til at slå Aktiveringslås til
Koden til enheden, som blev brugt tidligere
iPhone-, iPad- og Apple Vision Pro-enheder med tilsyn, som er låst med Aktiveringslås, kan låses op med:
Godkendelsesoplysningerne til en personlig Apple-konto, som bruges til at slå Aktiveringslås til
Godkendelsesoplysningerne til den administrerede Apple-konto, som bruges til at knytte MDM-løsningen til Apple School Manager eller Apple Business Manager
Den omgåelseskode, som deponeres af MDM-løsningen
MDM-løsningen, som foretager et kald på serversiden til Apple-servere med den samme omgåelseskode, som blev brugt til at slå Aktiveringslås til
Bemærk: Indstillingsassistenten i iOS, iPadOS og visionOS fortsætter ikke, medmindre der kan fremskaffes et gyldigt certifikat.
Virkemåde på Apple Watch
Aktiveringslås på et Apple Watch uden tilsyn er relateret til statussen for Aktiveringslås på den parrede iPhone. Hvis iPhone har Aktiveringslås slået til, instrueres Apple Watch i at kontakte Apple-servere ved pardannelsesprocessens afslutning for at slå Aktiveringslås til. Hvis Aktiveringslås ikke er slået til på iPhone ved pardannelsen, men funktionen slås til på et senere tidspunkt, kan iPhone gøre følgende:
Bede alle parrede Apple Watch-enheder om at kontakte Apple-servere
Kan slå Aktiveringslås til på Apple Watch
Som et led i den oprindelige pardannelsesproces sender iPhone en anmodning til aktiveringsserveren om at få et aktiveringscertifikat til Apple Watch.
Hvis Apple Watch er låst med Aktiveringslås, bliver brugeren bedt om godkendelsesoplysningerne til den Apple-konto, som på det tidspunkt blev anvendt til at slå Aktiveringslås til, for at ophæve pardannelsen med eller slette eller genaktivere et Apple Watch.
Bemærk: Pardannelsen kan ikke gennemføres, medmindre der fremskaffes et gyldigt certifikat.
Virkemåde på Mac
På en Mac uden tilsyn bliver Aktiveringslås automatisk slået til, når brugeren logger ind med sin Apple-konto og slår Find til. På en Mac med tilsyn er Aktiveringslås som standard ikke tilladt, men en MDM-løsning kan tillade, at brugeren slår funktionen til. På denne måde kan MDM-løsningen deponere en omgåelseskode fra enheden. Omgåelseskoden kan derefter bruges til at slå Aktiveringslås fra på et andet tidspunkt. En enhed generer en ny omgåelseskode, når:
Enheden indstilles første gang
Enheden indstilles efter en sletning
Yderligere virkemåde på en Mac med Apple Silicon
På en Mac med Apple Silicon kontrollerer Low Level Bootloader (LLB), at der findes en gyldig LocalPolicy til enheden, og at værdierne, der forhindrer genafspilning, til LocalPolicy-politikken svarer til de værdier, der opbevares i komponenten til sikker opbevaring. LLB starter i macOS-gendannelse, hvis:
der ikke er nogen LocalPolicy til det aktuelle macOS
LocalPolicy er ugyldig for denne macOS-version
hash-værdierne til LocalPolicys værdi, der forhindrer genafspilning, ikke svarer til hash-værdierne til de værdier, der opbevares i komponenten til sikker opbevaring.
macOS-gendannelse registrerer, at Mac-computeren ikke er aktiveret og kontakter aktiveringsserveren for at rekvirere et aktiveringscertifikat.
Hvis enheden låses med Aktiveringslås, mens den er i macOS-gendannelse, kan Aktiveringslås låses op med:
Godkendelsesoplysningerne til en personlig Apple-konto, som bruges til at slå Aktiveringslås til
Den tidligere anvendte kode til enheden fra den lokale bruger, som slog Aktiveringslås til
Den omgåelseskode, som deponeres af MDM-løsningen
Når der er rekvireret et gyldigt aktiveringscertifikat, bruges aktiveringscertifikatet til at fremskaffe et RemotePolicy-certifikat. Mac-computeren bruger LocalPolicy-nøglen og RemotePolicy-certifikatet til at danne en gyldig LocalPolicy.
Bemærk: LLB tillader ikke, at computeren startes i macOS, medmindre der forefindes en gyldig LocalPolicy.
Yderligere virkemåde på en Mac med T2-chippen
På en Mac med T2-chippen kontrollerer firmwaren på T2-chippen, at der forefindes et gyldigt aktiveringscertifikat, før den tillader, at computeren startes i macOS. UEFI-firmware, der er indlæst af T2-chippen, er ansvarlig for at anmode om enhedens aktiveringsstatus fra T2-chippen. Mac-computeren starter i macOS-gendannelse, hvis:
Et gyldigt aktiveringscertifikat ikke er til stede
macOS-gendannelse registrerer, at Mac-computeren ikke er aktiveret og kontakter aktiveringsserveren for at rekvirere et aktiveringscertifikat.
Hvis Mac-computeren låses med Aktiveringslås, mens den er i macOS-gendannelse, kan Aktiveringslås låses op med:
Godkendelsesoplysningerne til en personlig Apple-konto, som bruges til at slå Aktiveringslås til
Den tidligere anvendte kode til enheden fra den lokale bruger, som slog Aktiveringslås til
Den omgåelseskode, som deponeres af MDM-løsningen
Bemærk: UEFI-firmwaren tillader ikke, at computeren startes i macOS, medmindre der forefindes et gyldigt aktiveringscertifikat.
Administration af Aktiveringslås i Apple School Manager eller Apple Business Manager
Hvis en Apple-enhed er registreret hos en Apple School Manager- eller Apple Business Manager-organisation, kan brugere, som har tilladelse til at administrere enheder, slå Aktiveringslås fra for enheder, der ejes af organisationen. Indstillingen er kun tilgængelig til enheder, som er registreret i organisationen, inden Aktiveringslås blev slået til, og som ikke er blevet frigivet. Da Aktiveringslås er slået fra vha. kald fra serversiden, behøver enheden ikke være administreret af en MDM-løsning.
Bemærk: Enheder, som i øjeblikket er låst med Aktiveringslås, kan ikke føjes til Apple School Manager- eller Apple Business Manager-organisationen.