Keamanan Kunci Aktivasi
Kunci Aktivasi membantu mencegah pengguna yang tidak disahkan agar tidak mengaktivasi ulang iPhone, iPad, Mac, Apple Watch, dan Apple Vision Pro jika hilang atau dicuri. Fitur ini terus aktif bahkan jika perangkat dihapus. Ini mempersulit seseorang menggunakan atau menjual perangkat yang hilang. Cara Apple memberlakukan Kunci Aktivasi tergantung pada perangkat.
Kunci Aktivasi di bagian iPhone
Apple memperluas Kunci Aktivasi untuk iPhone agar mencakup masing-masing bagian untuk membantu mencegah bagian yang dicuri dijual di pasaran. Selama perbaikan, jika iPhone mendeteksi bahwa bagian yang didukung berasal dari iPhone lain dengan Kunci Aktivasi atau Mode Hilang yang dinyalakan, kalibrasi akan dibatasi untuk bagian tersebut. Peningkatan ke fitur Kunci Aktivasi ini kian memperluas komitmen Apple untuk melindungi pengguna selagi menambah pilihan pelanggan mengenai perbaikan.
Perilaku di iPhone, iPad, dan Apple Vision Pro
Di iPhone, iPad, dan Apple Vision Pro yang tidak diawasi, Kunci Aktivasi diaktifkan secara otomatis saat pengguna masuk ke Akun Apple mereka dan menyalakan Lacak.
Di perangkat yang diawasi, Kunci Aktivasi dinonaktifkan secara default, tetapi solusi manajemen perangkat bergerak (MDM) dapat mengizinkan pengguna untuk mengaktifkannya. Ini memungkinkan solusi MDM untuk mengeskrow kode pintas dari perangkat. Kode pintas tersebut kemudian digunakan untuk menonaktifkan Kunci Aktivasi di lain waktu. Perangkat membuat kode pintas baru saat:
Mengatur perangkat untuk pertama kalinya
Mengatur perangkat setelah penghapusan dan tidak memulihkan perangkat dari cadangan perangkat yang sama tersebut
Mengatur perangkat setelah penghapusan dan memulihkan perangkat dari cadangan perangkat yang berbeda
Selain itu, untuk perangkat terkelola dan diawasi, solusi MDM dapat menghubungi server Apple secara langsung untuk mengaktifkan Kunci Aktivasi. Ini dilakukan sepenuhnya di server dan tidak ada ketergantungan pada tindakan pengguna atau status perangkat. Solusi MDM harus membuat kode pintas 31 bita, lalu mengirimkannya ke server Apple saat ingin mengaktifkan Kode Aktivasi untuk perangkat tersebut. Kode pintas solusi MDM harus dibuat secara acak dan bersifat unik untuk setiap perangkat.
Kunci Aktivasi diberlakukan melalui proses aktivasi setelah layar pilihan Wi-Fi di Asisten Pengaturan. Saat perangkat terindikasi aktif, perangkat mengirimkan permintaan ke server aktivasi untuk mendapatkan sertifikat aktivasi.
Perangkat iPhone, iPad, dan Apple Vision Pro yang tidak diawasi dan dikunci dengan Kunci Aktivasi dapat dibuka dengan:
Kredensial Akun Apple pribadi yang digunakan untuk mengaktifkan Kunci Aktivasi
Kode sandi perangkat yang digunakan sebelumnya
Perangkat iPhone, iPad, dan Apple Vision Pro yang diawasi dan dikunci dengan Kunci Aktivasi dapat dibuka dengan:
Kredensial Akun Apple pribadi yang digunakan untuk mengaktifkan Kunci Aktivasi
Kredensial Akun Apple Terkelola yang digunakan untuk menautkan solusi MDM dengan Apple School Manager atau Apple Business Manager
Kode pintas yang dieskrow oleh solusi MDM
Solusi MDM yang membuat panggilan pada server ke server Apple dengan kode pintas yang sama yang digunakan untuk mengaktifkan Kunci Aktivasi
Catatan: Asisten Pengaturan di iOS, iPadOS, dan visionOS tidak akan dilanjutkan kecuali jika sertifikat yang sah dapat diperoleh.
Perilaku di Apple Watch
Kunci Aktivasi di Apple Watch yang tidak diawasi terkait dengan status Kunci Aktivasi pada iPhone yang dipasangkan. Jika iPhone telah mengaktifkan Kunci Aktivasi, Apple Watch diperintahkan untuk menghubungi server Apple di akhir proses pemasangan untuk menyalakan Kunci Aktivasi. Jika Kunci Aktivasi tidak diaktifkan di iPhone pada saat pemasangan, tetapi diaktifkan di lain waktu, iPhone:
Meminta semua perangkat Apple Watch yang dipasangkan untuk menghubungi server Apple
Dapat mengaktifkan Kunci Aktivasi di Apple Watch
Sebagai bagian dari proses pemasangan awal, iPhone mengirimkan permintaan ke server aktivasi untuk mendapatkan sertifikat aktivasi untuk Apple Watch
Jika Apple Watch dikunci dengan Kunci Aktivasi, pengguna dimintai kredensial Akun Apple yang digunakan untuk mengaktifkan Kunci Aktivasi pada saat tersebut untuk melepas, menghapus, atau mengaktifkan kembali Apple Watch.
Catatan: Pemasangan tidak dapat diselesaikan kecuali jika sertifikat yang sah dapat diperoleh.
Perilaku di Mac
Di Mac yang tidak diawasi, Kunci Aktivasi diaktifkan secara otomatis saat pengguna masuk dengan Akun Apple mereka dan menyalakan Lacak. Untuk Mac yang diawasi, Kunci Aktivasi dinonaktifkan secara default, tetapi solusi MDM dapat mengizinkan pengguna untuk mengaktifkannya. Ini memungkinkan solusi MDM untuk mengeskrow kode pintas dari perangkat. Kode pintas tersebut kemudian digunakan untuk menonaktifkan Kunci Aktivasi di lain waktu. Perangkat membuat kode pintas baru saat:
Mengatur perangkat untuk pertama kalinya
Mengatur perangkat setelah penghapusan
Perilaku tambahan di Mac dengan Apple silicon
Di Mac dengan Apple silicon, Bootloader Level Rendah (LLB) memverifikasi bahwa LocalPolicy yang sah untuk perangkat ada dan bahwa nilai anti-pemutaran ulang kebijakan LocalPolicy sesuai dengan nilai yang disimpan di Komponen Penyimpanan Aman. LLB melakukan boot ke recoveryOS jika:
Tidak ada LocalPolicy untuk macOS saat ini
LocalPolicy tidak sah untuk versi macOS tersebut
Nilai anti-pemutaran ulang LocalPolicy tidak sesuai dengan hash nilai yang disimpan di Komponen Penyimpanan Aman
recoveryOS mendeteksi bahwa Mac tidak diaktifkan dan menghubungi server aktivasi untuk mendapatkan sertifikat aktivasi.
Jika perangkat dikunci menggunakan Kunci Aktivasi selagi dalam recoveryOS, Kunci Aktivasi dapat dibuka dengan:
Kredensial Akun Apple pribadi yang digunakan untuk mengaktifkan Kunci Aktivasi
Kata sandi perangkat yang sebelumnya digunakan milik pengguna lokal yang mengaktifkan Kunci Aktivasi
Kode pintas yang dieskrow oleh solusi MDM
Setelah sertifikat aktivasi yang sah diperoleh, kunci sertifikat aktivasi digunakan untuk memperoleh sertifikat RemotePolicy. Mac menggunakan kunci LocalPolicy dan sertifikat RemotePolicy untuk memproduksi LocalPolicy yang sah.
Catatan: LLB tidak akan mengizinkan boot macOS kecuali LocalPolicy yang sah ada.
Perilaku tambahan di Mac dengan keping T2
Di Mac dengan keping T2, firmware keping T2 memverifikasi bahwa sertifikat aktivasi yang sah ada sebelum mengizinkan komputer di-boot ke macOS. Firmware UEFI yang dimuat oleh keping T2 bertanggung jawab untuk meminta status aktivasi perangkat dari keping T2. Mac melakukan boot ke recoveryOS jika:
Sertifikat aktivasi yang sah tidak ada
recoveryOS mendeteksi bahwa Mac tidak diaktifkan dan menghubungi server aktivasi untuk mendapatkan sertifikat aktivasi.
Jika Mac dikunci menggunakan Kunci Aktivasi selagi dalam recoveryOS, Kunci Aktivasi dapat dibuka dengan:
Kredensial Akun Apple pribadi yang digunakan untuk mengaktifkan Kunci Aktivasi
Kata sandi perangkat yang sebelumnya digunakan milik pengguna lokal yang mengaktifkan Kunci Aktivasi
Kode pintas yang dieskrow oleh solusi MDM
Catatan: Firmware UEFI tidak akan mengizinkan macOS untuk melakukan boot kecuali jika sertifikat aktivasi yang sah ada.
Mengelola Kunci Aktivasi di Apple School Manager atau Apple Business Manager
Jika perangkat Apple didaftarkan dengan organisasi Apple School Manager atau Apple Business Manager, pengguna dengan peran yang memiliki hak Kelola Perangkat dapat mematikan Kunci Aktivasi untuk perangkat milik organisasi. Pilihan ini hanya tersedia untuk perangkat yang didaftarkan dengan organisasi sebelum Kunci Aktivasi diaktifkan dan yang belum dilepaskan. Karena Kunci Aktivasi dinonaktifkan menggunakan panggilan dari server, perangkat tidak perlu dikelola oleh solusi MDM.
Catatan: Perangkat yang sedang dikunci dengan Kunci Aktivasi tidak dapat ditambahkan ke organisasi Apple School Manager atau Apple Business Manager.