Безопасность блокировки активации

Блокировка активации для деталей iPhone

Теперь блокировка активации работает и для отдельных деталей iPhone. Таким образом Apple помогает предотвратить перепродажу украденных деталей. Если в процессе ремонта iPhone определяет, что любая из поддерживаемых деталей снята с другого iPhone, на котором включены блокировка активации или режим пропажи, возможности калибровки этой детали ограничиваются. Улучшая функцию блокировки активации таким образом, Apple дополнительно защищает пользователей и расширяет выбор доступных вариантов при ремонте.

Работа функции на iPhone, iPad и Apple Vision Pro

Если iPhone, iPad или Apple Vision Pro не является контролируемым устройством, блокировка активации включается автоматически, когда пользователь входит в свой Аккаунт Apple и включает Локатор.

На контролируемом устройстве блокировка активации по умолчанию выключена, но в системе управления мобильными устройствами (MDM) пользователю может быть разрешено ее включить. Это позволяет системе MDM получить от устройства код обхода блокировки. Затем этот код может использоваться для выключения блокировки активации. Устройство создает новый код обхода блокировки в следующих ситуациях:

• при первоначальной настройке устройства;

• при настройке устройства после стирания, если данные на устройстве не восстанавливаются из его резервной копии;

• при настройке устройства после стирания, если данные на устройстве восстанавливаются из резервной копии другого устройства.

Кроме того, если устройство является управляемым или контролируемым, система MDM может обратиться непосредственно на серверы Apple для включения блокировки активации. Эта задача полностью выполняется на сервере и не зависит от действий пользователя или состояния устройства. Система MDM должна создать код обхода блокировки размером 31 байт, а затем отправить его на серверы Apple, когда необходимо включить блокировку активации. Код обхода блокировки, созданный системой MDM, должен быть случайным и уникальным для каждого устройства.

Блокировка активации применяется во время активации устройства, после того как в Ассистенте настройки отображается экран выбора сети Wi‑Fi. Чтобы сообщить о своей активации, устройство отправляет на сервер активации запрос на получение сертификата активации.

Если iPhone, iPad или Apple Vision Pro не является контролируемым устройством, блокировку активации на нем можно выключить любым из способов, перечисленных далее.

• Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.

• Ввести код‑пароль, который ранее использовался на этом устройстве.

На контролируемом iPhone, iPad или Apple Vision Pro можно выключить блокировку активации любым из способов, перечисленных далее.

• Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.

• Ввести учетные данные управляемого Аккаунта Apple, через который система MDM связывалась с Apple School Manager или Apple Business Manager.

• Ввести код обхода блокировки, предоставленный системой MDM.

• Система MDM может отправить на серверы Apple код обхода блокировки, который использовался при включении блокировки активации.

Работа функции на Apple Watch

Блокировка активации на часах Apple Watch, не являющихся контролируемым устройством, связана со статусом блокировки активации на iPhone, объединенном с ними в пару. Если на этом iPhone включена блокировка активации, то в конце процесса объединения в пару часам Apple Watch необходимо обратиться на серверы Apple, чтобы включить блокировку активации и на них. Если блокировка активации не включена на iPhone во время объединения в пару, но включается позже, этот iPhone:

• инструктирует все связанные с ним в пары часы Apple Watch связаться с серверами Apple;

• может включить блокировку активации на этих часах Apple Watch.

Во время первоначального объединения в пару iPhone отправляет на сервер активации запрос сертификата активации для Apple Watch.

Если часы Apple Watch заблокированы с помощью блокировки активации, в этот момент пользователю предлагается ввести учетные данные Аккаунта Apple, из которого была включена блокировка активации, чтобы разорвать пару, стереть все данные или заново активировать Apple Watch.

Работа функции на Mac

Если Mac не является контролируемым устройством, блокировка активации включается автоматически, когда пользователь входит в свой Аккаунт Apple и включает Локатор. На контролируемом Mac блокировка активации по умолчанию выключена, но в системе MDM пользователю может быть разрешено ее включить. Это позволяет системе MDM получить от устройства код обхода блокировки. Затем этот код может использоваться для выключения блокировки активации. Устройство создает новый код обхода блокировки в следующих ситуациях:

• при первоначальной настройке устройства;

• при настройке устройства после стирания.

Дополнительные особенности работы функции на Mac с чипом Apple

На Mac с чипом Apple низкоуровневый загрузчик (LLB) проверяет наличие действующей политики LocalPolicy для устройства, а также совпадение значений функции антиповтора в политике LocalPolicy со значениями, которые хранятся в компоненте защищенного хранилища. В случаях, перечисленных далее, LLB загружает recoveryOS.

• Политики LocalPolicy нет в текущей версии macOS.

• Политика LocalPolicy недействительна для текущей версии macOS.

• Значения хеша для значений функции антиповтора политики LocalPolicy не совпадают со значениями хеша, которые хранятся в компоненте защищенного хранилища.

recoveryOS определяет, что Mac не активирован, и обращается к серверу активации за соответствующим сертификатом.

Если при нахождении в recoveryOS устройство заблокировано с помощью блокировки активации, ее можно выключить любым из указанных далее способов.

• Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.

• Ввести пароль, который ранее использовал на устройстве локальный пользователь, включивший блокировку активации.

• Ввести код обхода блокировки, предоставленный системой MDM.

После получения действительного сертификата активации ключ этого сертификата используется для получения сертификата RemotePolicy. Для создания действительной политики LocalPolicy компьютер Mac использует ключ LocalPolicy и сертификат RemotePolicy.

Дополнительные особенности работы функции на Mac с чипом T2

На Mac с чипом T2 прошивка чипа T2 проверяет наличие действительного сертификата активации, прежде чем разрешить загрузку macOS. Прошивка UEFI, загруженная чипом T2, запрашивает статус активации устройства у чипа T2. В случаях, перечисленных далее, Mac загружает recoveryOS.

• Отсутствует действительный сертификат активации.

recoveryOS определяет, что Mac не активирован, и обращается к серверу активации за соответствующим сертификатом.

Если при нахождении в recoveryOS компьютер Mac заблокирован с помощью блокировки активации, ее можно выключить любым из способов, перечисленных далее.

• Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.

• Ввести пароль, который ранее использовал на устройстве локальный пользователь, включивший блокировку активации.

• Ввести код обхода блокировки, предоставленный системой MDM.

Управление блокировкой активации в Apple School Manager или Apple Business Manager

Если устройство Apple зарегистрировано в организации Apple School Manager или Apple Business Manager, пользователи с правами на управление устройствами могут выключить блокировку активации для устройств, которыми владеет организация. Эта возможность доступна только для устройств, которые были зарегистрированы в организации до включения блокировки активации и не были переданы другим владельцам. Блокировка активации выключается путем вызовов на сервер, поэтому устройство не обязательно должно управляться системой MDM.