Aktiveringslås-sikkerhet
Aktiveringslås bidrar til å forhindre at uautoriserte brukere reaktiverer en iPhone, iPad, Mac, Apple Watch eller Apple Vision Pro hvis enheten er mistet eller stjålet. Funksjonen forblir aktiv selv om enheten slettes. Dette gjør det vanskeligere for noen å bruke eller selge en mistet enhet. Hvordan Apple håndhever Aktiveringslås varierer avhengig av enheten.
Aktiveringslås på iPhone-deler
Apple utvider Aktiveringslås for iPhone for å dekke individuelle deler, slik at det blir enklere å forhindre at stjålne deler kommer ut på markedet. Hvis en iPhone som repareres, avdekker at en støttet del kommer fra en annen iPhone der Aktiveringslås eller Mistet-modus var aktivert, begrenses kalibreringen av den aktuelle delen. Denne forbedringen av Aktiveringslås-funksjonen styrker Apples fokus på å beskytte brukerne, samtidig som kundene får flere valgmuligheter når det gjelder reparasjoner.
Atferd på iPhone, iPad og Apple Vision Pro
På en iPhone, iPad og Apple Vision Pro som ikke er under tilsyn, aktiveres Aktiveringslås automatisk når brukeren logger på Apple-kontoen sin og slår på Hvor er.
På en enhet som er under tilsyn, er Aktiveringslås deaktivert som standard, men en MDM-løsning kan tillate at brukeren aktiverer den. Dette gjør at MDM-løsningen kan deponere en overstyringskode fra enheten. Deretter kan overstyringskoden brukes til å deaktivere Aktiveringslås senere. En enhet genererer en ny overstyringskode når
enheten konfigureres for første gang
enheten konfigureres etter en sletting og den ikke gjenopprettes fra en sikkerhetskopi av den samme enheten
enheten konfigureres etter en sletting og den gjenopprettes fra en sikkerhetskopi av en annen enhet
For administrerte enheter og enheter som er under tilsyn, kan også en MDM-løsning kontakte Apple-tjenere direkte for å aktivere Aktiveringslås. Dette gjøres kun på tjeneren, og det er ikke avhengig av brukerhandlinger eller enhetens tilstand. MDM-løsningen må opprette en overstyringskode på 31 bytes, og deretter sende den til Apple-tjenere når den vil aktivere Aktiveringslås for enheten. MDM-løsningens overstyringskode skal opprettes tilfeldig og være unik for hver enhet.
Aktiveringslås håndheves gjennom aktiveringsprosessen etter skjermen med Wi-Fi-valg i Oppsettassistent. Når en enhet indikerer at den aktiveres, sender den en forespørsel til en Apple-tjener for å få et aktiveringssertifikat.
iPhone-, iPad- og Apple Vision Pro-enheter som ikke er under tilsyn, og som er låst med Aktiveringslås, kan låses opp ved hjelp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som ble brukt tidligere
iPhone-, iPad- og Apple Vision Pro-enheter som er under tilsyn, og som er låst med Aktiveringslås, kan låses opp ved hjelp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
akkreditivene til den administrerte Apple-kontoen som ble brukt for å koble MDM-løsningen til Apple School Manager eller Apple Business Manager
overstyringskoden som MDM-løsningen har deponert
et tjenersidekall fra MDM-løsningen til Apple-tjenere, med samme overstyringskode den brukte for å aktivere Aktiveringslås
Merk: Oppsettassistent i iOS, iPadOS og visionOS går ikke videre med mindre den får et gyldig sertifikat.
Atferd på Apple Watch
Aktiveringslås på en Apple Watch som ikke er under tilsyn, er knyttet til Aktiveringslås-statusen for den sammenkoblede iPhonen. Hvis Aktiveringslås er aktivert på iPhonen, får Apple Watch beskjed om å kontakte Apple-tjenere mot slutten av sammenkoblingsprosessen for å slå på Aktiveringslås. Hvis Aktiveringslås ikke er aktivert på iPhonen ved sammenkobling, men aktiveres senere, vil iPhonen
be alle sammenkoblede Apple Watch-enheter om å kontakte Apple-tjenere
kunne aktivere Aktiveringslås på Apple Watch
sende en forespørsel til aktiveringstjeneren for å få et aktiveringssertifikat for Apple Watch som en del av den første sammenkoblingsprosessen
Hvis Apple Watch er låst med Aktiveringslås, blir brukeren bedt om akkreditivene for Apple-kontoen som ble brukt til å aktivere Aktiveringslås, slik at en Apple Watch kan kobles fra, slettes eller aktiveres igjen.
Merk: Sammenkoblingen kan ikke fullføres hvis det ikke kan hentes et gyldig sertifikat.
Atferd på Mac
På en Mac som ikke er under tilsyn, aktiveres Aktiveringslås automatisk når brukeren logger på Apple-kontoen sin og slår på Hvor er. På en Mac som er under tilsyn, er Aktiveringslås deaktivert som standard, men en MDM-løsning kan tillate at brukeren aktiverer den. Dette gjør at MDM-løsningen kan deponere en overstyringskode fra enheten. Deretter kan overstyringskoden brukes til å deaktivere Aktiveringslås senere. En enhet genererer en ny overstyringskode når
enheten konfigureres for første gang
enheten konfigureres etter at den har vært slettet
Ytterligere atferd på Mac med Apple-chip
På en Mac med Apple-chip verifiserer LLB (Low Level Bootloader) at det finnes en gyldig LocalPolicy for enheten, og at anti-repetisjonsverdiene til LocalPolicy-regelen stemmer overens med verdiene som er lagret i komponenten for sikker lagring. LLB starter opp i recoveryOS hvis
det ikke finnes en LocalPolicy for den nåværende macOS-versjonen
LocalPolicy er ugyldig for den versjonen av macOS
hash-verdiene for anti-repetisjonsverdien i LocalPolicy ikke stemmer overens med hashene for verdiene lagret i komponenten for sikker lagring
recoveryOS oppdager at Macen ikke er aktivert, og kontakter aktiveringstjeneren for å få et aktiveringssertifikat.
Hvis enheten er låst med Aktiveringslås i recoveryOS, kan Aktiveringslås låses opp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som den lokale brukeren som aktiverte Aktiveringslås, brukte tidligere
overstyringskoden som MDM-løsningen har deponert
Etter at et gyldig aktiveringssertifikat er innhentet, brukes denne aktiveringssertifikatnøkkelen til å innhente et RemotePolicy-sertifikat. Macen bruker LocalPolicy-nøkkelen og RemotePolicy-sertifikat til å lage en gyldig LocalPolicy.
Merk: LLB tillater ikke oppstart av macOS med mindre det finnes en gyldig LocalPolicy.
Ytterligere atferd på Mac med T2-chip
På Mac med T2-chip bekrefter firmwaren i T2-chipen at det finnes et gyldig aktiveringssertifikat før datamaskinen får lov til å starte opp til macOS. UEFI-firmware som lastes av T2-chipen, er ansvarlig for å spørre T2-chipen om enhetens status. Macen starter opp i recoveryOS hvis
det ikke finnes et gyldig valideringssertifikat
recoveryOS oppdager at Macen ikke er aktivert, og kontakter aktiveringstjeneren for å få et aktiveringssertifikat.
Hvis Macen er låst med Aktiveringslås i recoveryOS, kan Aktiveringslås låses opp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som den lokale brukeren som aktiverte Aktiveringslås, brukte tidligere
overstyringskoden som MDM-løsningen har deponert
Merk: UEFI-firmware tillater ikke oppstart av macOS med mindre det finnes et gyldig aktiveringssertifikat.
Administrere Aktiveringslås i Apple School Manager eller Apple Business Manager
Hvis en Apple-enhet er registrert i en Apple School Manager- eller Apple Business Manager-organisasjon, kan brukere som har en rolle med Administrer enheter-tilgang, slå av Aktiveringslås for enheter som eies av organisasjonen. Dette valget er bare tilgjengelig for enheter som ble registrert i organisasjonen før Aktiveringslås ble aktivert, og som ikke har blitt frigjort. Siden Aktiveringslås deaktiveres ved hjelp av tjenersidekall, trenger ikke enheten å administreres av en MDM-løsning.
Merk: Enheter som er låst med Aktiveringslås, kan ikke legges til i en Apple School Manager- eller Apple Business Manager-organisasjon.