Aktivointilukitussuojaus
Aktivointilukitus auttaa estämään valtuuttamattomia käyttäjiä aktivoimasta iPhonea, iPadia, Macia, Apple Watchia tai Apple Vision Prota uudelleen, jos se kadotetaan tai varastetaan. Lukitus pysyy käytössä, vaikka laite tyhjennettäisiin. Näin kadonnutta laitetta on vaikeampi käyttää tai myydä. Apple toteuttaa aktivointilukituksen eri tavoin eri laitteissa.
Aktivointilukitus iPhonen osissa
Apple laajentaa iPhonen aktivointilukituksen koskemaan yksittäisiä osia, jotta varastettuja osia ei pääsisi markkinoille. Jos iPhone havaitsee korjauksen aikana, että tuettu osa on peräisin toisesta iPhonesta, jossa aktivointilukitus tai Kadonnut-tila on käytössä, kalibrointia kyseiselle osalle rajoitetaan. Tämä aktivointilukituksen parannus laajentaa entisestään Applen sitoumusta käyttäjien suojelemiseen ja lisää samalla kuluttajien valinnanvaraa korjauksissa.
Toiminta iPhonessa, iPadissa ja Apple Vision Prossa
Valvomattomassa iPhonessa, iPadissa ja Apple Vision Prossa aktivointilukitus otetaan automaattisesti käyttöön, kun käyttäjä kirjautuu Apple-tililleen ja laittaa päälle Etsi-toiminnon.
Valvotussa laitteessa aktivointilukitus on poistettu oletusarvoisesti käytöstä, mutta mobiililaitteiden hallintaratkaisu (MDM) voi sallia käyttäjän ottaa se käyttöön. Näin MDM-ratkaisu voi tallentaa ohituskoodin laitteesta. Kyseisen ohituskoodin avulla voidaan tämän jälkeen poistaa aktivointilukitus käytöstä myöhemmin. Laite luo uuden ohituskoodin seuraavissa tilanteissa:
Laite otetaan käyttöön ensimmäistä kertaa
Laite otetaan käyttöön tyhjennyksen jälkeen, eikä sen sisältöä palauteta saman laitteen varmuuskopiosta.
Laite otetaan käyttöön tyhjennyksen jälkeen, ja sen sisältö palautetaan eri laitteen varmuuskopiosta.
Vaihtoehtoisesti hallituissa ja valvotuissa laitteissa MDM-ratkaisu voi ottaa yhteyttä suoraan Applen palvelimiin aktivointilukituksen ottamiseksi käyttöön. Tämä tehdään täysin palvelinpuolella, eivätkä käyttäjän toimet tai laitteen tila vaikuta siihen. MDM-ratkaisun on luotava 31-bittinen ohituskoodi ja lähetettävä se sitten Applen palvelimille, kun se haluaa ottaa aktivointilukituksen käyttöön laitteelle. MDM-ratkaisun ohituskoodin tulee olla satunnaisesti luotu ja yksilöllinen kullekin laitteelle.
Aktivointilukitus toteutetaan aktivointiprosessilla Wi-Fi-verkon valintanäytön jälkeen käyttöönottoapurissa. Kun laite kertoo, että se aktivoituu, se lähettää pyynnön aktivointipalvelimelle saadakseen aktivointivarmenteen.
Valvomattomat iPhone-, iPad- ja Apple Vision Pro -laitteet, jotka on lukittu aktivointilukituksella, voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aiemmin käytetty laitteen pääsykoodi
Valvotut iPhone-, iPad- ja Apple Vision Pro -laitteet, jotka on lukittu aktivointilukituksella, voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Tunnistetiedot hallitulta Apple-tililtä, jolla MDM-ratkaisu yhdistettiin Apple School Manageriin tai Apple Business Manageriin
MDM-ratkaisun tallentama ohituskoodi
MDM-ratkaisun palvelinpuolen puhelu Applen palvelimille samalla ohituskoodilla, jota se käytti aktivointilukituksen ottamiseksi käyttöön
Huomaa: iOS:n, iPadOS:n ja visionOS:n käyttöönottoapuri ei etene, ellei kelvollista varmennetta saada.
Toiminta Apple Watchissa
Valvomattomassa Apple Watchissa aktivointilukitus liittyy sen iPhonen aktivointilukituksen tilaan, josta on muodostettu pari laitteen kanssa. Jos kyseisessä iPhonessa on aktivointilukitus käytössä, Apple Watchia neuvotaan ottamaan yhteyttä Applen palvelimiin laiteparin muodostusprosessin lopussa aktivointilukituksen laittamiseksi päälle. Jos aktivointilukitus ei ole käytössä iPhonessa laiteparin muodostuksen aikana, mutta se otetaan myöhemmin käyttöön, iPhone tekee seuraavat:
Se kehottaa kaikkia pariksi muodostettuja Apple Watch -laitteita ottamaan yhteyttä Applen palvelimiin.
Se voi ottaa käyttöön aktivointilukituksen Apple Watchissa.
Osana ensimmäistä laiteparin muodostusprosessia iPhone lähettää aktivointipalvelimelle pyynnön saada aktivointivarmenne Apple Watchia varten.
Jos Apple Watch on lukittu aktivointilukituksella, käyttäjältä pyydetään sen Apple-tilin tunnistetietoja, jolla aktivointilukitus otettiin tuolloin käyttöön, Apple Watchin laiteparin poistamiseksi, sisällön tyhjentämiseksi tai laitteen uudelleenaktivoimiseksi.
Huomaa: Laiteparin muodostusta ei voi suorittaa loppuun, ellei kelvollista varmennetta saada.
Toiminta Macissa
Valvomattomassa Macissa aktivointilukitus otetaan automaattisesti käyttöön, kun käyttäjä kirjautuu Apple-tililleen ja laittaa päälle Etsi-toiminnon. Valvotussa Macissa aktivointilukitus on poistettu oletusarvoisesti käytöstä, mutta MDM-ratkaisu voi sallia käyttäjän ottaa se käyttöön. Näin MDM-ratkaisu voi tallentaa ohituskoodin laitteesta. Kyseisen ohituskoodin avulla voidaan tämän jälkeen poistaa aktivointilukitus käytöstä myöhemmin. Laite luo uuden ohituskoodin seuraavissa tilanteissa:
Laite otetaan käyttöön ensimmäistä kertaa
Laite otetaan käyttöön tyhjennyksen jälkeen.
Muu toiminta Applen sirulla varustetussa Macissa
Applen sirulla varustetussa Macissa Low Level Bootloader (LLB) tarkistaa, että laitteelle on olemassa kelvollinen LocalPolicy ja että LocalPolicy-käytännön toiston estävät arvot vastaavat Secure Storage ‑komponenttiin tallennettuja arvoja. LLB käynnistää recoveryOS:ään, jos:
nykyiselle macOS:lle ei ole LocalPolicya
LocalPolicy ei ole kelvollinen kyseiselle macOS-versiolle
LocalPolicyn toiston estävän arvon tiivistearvot eivät vastaa Secure Storage ‑komponenttiin tallennettuja arvoja
recoveryOS havaitsee, että Mac ei ole aktivoitu, ja yhdistää aktivointipalvelimeen aktivointivarmenteen saamista varten.
Jos laite on lukittu aktivointilukituksella recoveryOS:ssä, aktivointilukitus voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aktivointilukituksen käyttöön ottaneen paikallisen käyttäjän aiemmin käyttämä laitteen salasana
MDM-ratkaisun tallentama ohituskoodi
Kun kelvollinen aktivointivarmenne on saatu, kyseisen aktivointivarmenteen avainta käytetään RemotePolicyn varmenteen saamista varten. Mac käyttää LocalPolicyn avainta ja RemotePolicyn varmennetta kelvollisen LocalPolicyn tuottamiseen.
Huomaa: LLB ei salli macOS:n käynnistämistä, jos kelvollinen LocalPolicy puuttuu.
Muu toiminta T2-sirulla varustetussa Macissa
T2‑sirulla varustetussa Macissa T2‑sirun laiteohjelmisto tarkistaa, että kelvollinen aktivointivarmenne löytyy, ennen kuin se sallii tietokoneelle käynnistyksen macOS:ään. T2-sirun lataama UEFI-laiteohjelmisto on vastuussa laitteen aktivointitilan pyytämisestä T2-sirulta. Mac käynnistää recoveryOS:ään, jos:
Kelvollinen aktivointivarmenne puuttuu
recoveryOS havaitsee, että Mac ei ole aktivoitu, ja yhdistää aktivointipalvelimeen aktivointivarmenteen saamista varten.
Jos Mac on lukittu aktivointilukituksella recoveryOS:ssä, aktivointilukitus voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aktivointilukituksen käyttöön ottaneen paikallisen käyttäjän aiemmin käyttämä laitteen salasana
MDM-ratkaisun tallentama ohituskoodi
Huomaa: UEFI-laiteohjelmisto ei salli macOS:n käynnistämistä, jos kelvollinen aktivointivarmenne puuttuu.
Aktivointilukituksen hallinta Apple School Managerissa tai Apple Business Managerissa
Jos Apple-laite on rekisteröity Apple School Manager- tai Apple Business Manager -organisaatiolle, käyttäjät, joiden rooli sisältää laitteiden hallintaoikeudet, voivat laittaa aktivointilukituksen pois päältä organisaation omistamissa laitteissa. Tämä valinta on saatavilla vain laitteille, jotka rekisteröitiin organisaatiolle ennen aktivointilukituksen käyttöönottoa ja joita ei ole vapautettu. Koska aktivointilukitus poistetaan käytöstä palvelinpuolen puheluilla, laitetta ei tarvitse hallita MDM-ratkaisulla.
Huomaa: Tällä hetkellä aktivointilukituksella lukittuja laitteita ei voi lisätä Apple School Manager- tai Apple Business Manager -organisaatioon.