Apple-laitteiden aktivointilukitus
Kun aktivointilukitus on päällä, vääriin käsiin joutuneen, toiselle henkilölle kuuluvan iPhonen, iPadin, Macin tai Apple Watchin käyttö tai myynti on vaikeaa. Hallitsemalla aktivointilukitusta MDM-ratkaisussa organisaatiosi voi hyödyntää sitä varkauksien estämiseen sekä laittaa aktivointilukituksen pois päältä organisaation omistamista laitteista.
Käytettävissä on kaksi aktivointilukitustyyppiä:
Organisaatioon linkitetty: Organisaatioon linkitetty aktivointilukitus edellyttää Apple School Manageria, Apple Business Manageria tai Apple Business Essentialsia, ja yleisesti ottaen se on organisaatioille helpommin hallittava tapa. Se sallii MDM-ratkaisun kontrolloida aktivointilukituksen laittamista päälle ja pois palvelimenpuoleisilla toimenpiteillä.
Käyttäjään linkitetty: Käyttäjään linkitettyä aktivointilukitusta varten käyttäjällä on oltava henkilökohtainen Apple-tili (ei hallittu Apple-tili) ja hänen on laitettava Etsi-toiminto päälle. Tässä menetelmässä käyttäjä voi lukita organisaatioon linkitetyn laitteen henkilökohtaiseen Apple-tiliinsä, jos MDM-ratkaisu on sallinut aktivointilukituksen.
Huomaa: Jotkut MDM-ratkaisut tukevat kumpaakin aktivointilukitusmenetelmää. Jos yritetään käyttää molempia, ensimmäinen onnistunut aktivointilukitustapahtuma saa etusijan.
Aktivointilukituksen laittaminen pois päältä
Apple School Managerissa, Apple Business Managerissa tai Apple Business Essentialsissa sellainen käyttäjä, jolla on laitteiden hallintaoikeudet, voi laittaa pois päältä organisaatio- ja käyttäjäkohtaisen aktivointilukituksen iPhonessa, iPadissa, Macissa, Apple Watchissa tai Apple Vision Prossa, jonka organisaatio omistaa. Laitteen täytyy näkyä Apple School Managerissa, Apple Business Managerissa tai Apple Business Essentialsissa, mutta sen ei tarvitse olla liitettynä MDM-palvelimelle.
Jos haluat lisätietoja, katso:
Apple School Managerin käyttöopas: Aktivointilukituksen laittaminen pois päältä
Apple Business Managerin käyttöopas: Aktivointilukituksen laittaminen pois päältä
Apple Business Essentialsin käyttöopas: Aktivointilukituksen laittaminen pois päältä
Organisaatioon linkitetty aktivointilukitus iPhonessa ja iPadissa
Kun organisaatioon linkitetty aktivointilukitus otetaan käyttöön, MDM-ratkaisu (ei käyttäjä) ottaa suoraan yhteyttä Applen palvelimiin laitteen lukitsemista tai avaamista varten. Kaikki tapahtuu kokonaan palvelinpuolella eikä toiminta ei ole riippuvaista käyttäjän toimista tai laitteen tilasta. MDM-ratkaisu luo oman ohituskoodinsa ja lähettää sen Applen palvelimille, kun sen tarvitsee laittaa päälle tai pois päältä laitteen aktivointilukitus.
Jos MDM-ratkaisu ei onnistu poistamaan aktivointilukitusta, syötä siinä tapauksessa aktivointilukitusnäytöllä sen tilin käyttäjätunnus ja salasana, joka loi MDM-ratkaisun Apple School Manageriin, Apple Business Manageriin tai Apple Business Essentialsiin linkittävän MDM-palvelimen tunnuksen. Tämän tilin rooli on Ylläpitäjä, Järjestelmänhallinnan vastuuhenkilö (vain Apple School Managerissa) tai Laitehallinnan vastuuhenkilö.
Tärkeää: Jos laitteet on liitetty Apple School Manageriin, Apple Business Manageriin tai Apple Business Essentialsiin linkitettyyn MDM-ratkaisuun, kannattaa käyttää tätä menetelmää.
Käyttäjään linkitetty aktivointilukitus
Toisin kuin organisaatioon linkitetty aktivointilukitus, käyttäjään linkitetty aktivointilukitus sallii käyttäjien lukita organisaatiosi omistamat laitteet henkilökohtaisella iCloud-tilillään.
Tässä tapauksessa MDM-ratkaisut voivat sallia käyttäjien laittaa aktivointilukituksen päälle organisaatioon linkitetyissä valvotuissa laitteissa. Koska valvottujen laitteiden aktivointilukitus on oletuksena estetty, MDM-ratkaisun tulisi hakea laitteen luoma ohituskoodi ja tallentaa se, ennen kuin käyttäjien sallitaan laittaa aktivointilukitus päälle. Mikäli käyttäjä ei jostakin syystä voi tehdä todennusta Apple-tilillään (esimerkiksi siksi että hän on lähtenyt organisaatiosta), aktivointilukitus voidaan poistaa tällä ohituskoodilla joko etänä MDM-ratkaisussa tai suoraan laitteessa, kun laite pitää tyhjentää ja antaa uudelle käyttäjälle.
iPhonessa ja iPadissa ohituskoodit ovat saatavilla enintään 15 päivää sen jälkeen, kun laite on asetettu valvotuksi tai kunnes MDM-ratkaisu on saanut ja sitten tyhjentänyt koodin erikseen. Jos MDM-ratkaisu ei ole hakenut ohituskoodia 15 päivän kuluessa, ohituskoodia ei voida enää hakea.
Mac-tietokoneissa on oltava Applen siru tai Apple T2 Security -siru, jotta se soveltuu käyttämään aktivointilukitusta. Jos soveltuva Mac-tietokone käyttää laiterekisteröintiä ja se päivitetään macOS 10.15:een tai uudempaan, aktivointilukitus estetään oletuksena ja se voidaan sallia valinnaisesti. Aktivointilukituksen hallinta macOS 10.15 -asennuksissa (ei päivityksissä) tai uudemmissa vaatii, että laite on valvottu. Jos macOS 11:llä tai uudemmalla varustettua laitetta valvotaan laiterekisteröinnillä, aktivointilukitusta ei voida hallita, kunnes laite rekisteröidään MDM:ään. Tämä tarkoittaa, että aktivointilukitus saattaa jo olla päällä, kun laite rekisteröidään MDM:ään ja siitä tule valvottu. Tässä tapauksessa sitä ei voida laittaa pois päältä MDM:n avulla eikä sitä voida estää oletuksena ennen kuin se on laitettu pois päältä käyttäjän toimesta.
Jos laite on fyysisesti sinulla, syötä iPhonessa tai iPadissa MDM:n aktivointilukituksen ohituskoodi aktivointilukitusnäytöllä Apple-tilin salasanakenttään ja jätä käyttäjätunnuksen kenttä tyhjäksi. Macissa voit syöttää ohituskoodin klikkamalla palautusapuria valikkorivillä ja valitsemalla Aktivoi MDM-avaimella -vaihtoehdon. Selvitä MDM-toimittajasi dokumentaatiosta, mistä ohituskoodi löytyy.
Kun MDM sallii käyttäjään linkitetyn aktivointilukituksen, tapahtuu seuraavaa:
Jos Etsi‑toiminto on päällä, kun MDM-ratkaisu sallii aktivointilukituksen, aktivointilukitus otetaan tässä yhteydessä käyttöön.
Jos Etsi‑toiminto on pois päältä, kun MDM sallii aktivointilukituksen, aktivointilukitus otetaan käyttöön, kun käyttäjä laittaa Etsi‑toiminnon seuraavan kerran päälle.
Ohituskoodien käyttäminen aktivointilukituksen poistamiseen
Aktivointilukituksen hallintaa varten MDM-ratkaisussa on oltava kaksi ohituskoodia:
Laitteen luoma ohituskoodi. MDM-ratkaisu säilyttää tämän koodin, kunnes se saa toisen ei-tyhjän koodin laitteesta. Jos haluat lisätietoja, katso Get the Bypass Code for Activation Lock -kysely.
Ohituskoodi, jonka palvelin luo käynnistäessään aktivointilukituksen MDM:n kautta.
Aktivointilukituksen poistamiseen tarvitaan MDM:n aktivointilukituksen hallintaan käyttämiä ohituskoodeja. Nämä ohituskoodit tulee tallentaa luotettavasti ja varmuuskopioida säännöllisesti. Jos MDM-toimittajaa vaihdetaan, varmista, että saat kopion ohituskoodeista tai että aktivointilukitus on tyhjennetty kaikista rekisteröidyistä laitteista.
Jos halutaan poistaa aktivointilukitus Apple-laitteista, jotka tukevat kahta SIMiä, MDM-ratkaisun on sisällytettävä molemmat IMEI-arvot pyyntöön. Jos olet MDM-toimittaja, katso Creating and Using Bypass Codes Apple Developer ‑verkkosivustolla.
Jos MDM-ratkaisusi ei pysty poistamaan aktivointilukitusta, ota yhteyttä MDM-toimittajan tukeen tai katso Applen tukiartikkeli Aktivointilukituksen poistaminen.