ความปลอดภัยของการล็อคการเข้าใช้เครื่อง
การล็อคการเข้าใช้เครื่องช่วยป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเปิดใช้งาน iPhone, iPad, Mac, Apple Watch และ Apple Vision Pro อีกครั้งหากสูญหายหรือถูกขโมย การล็อคการเข้าใช้เครื่องจะยังคงเปิดใช้งานอยู่แม้ว่าอุปกรณ์จะถูกลบข้อมูลแล้ว ซึ่งจะทำให้คนอื่นใช้งานหรือขายอุปกรณ์ที่หายไปได้ยากขึ้น วิธีที่ Apple บังคับใช้การล็อคการเข้าใช้เครื่องจะแตกต่างกันไปโดยขึ้นอยู่กับอุปกรณ์
การล็อคการเข้าใช้เครื่องสำหรับชิ้นส่วนต่างๆ ของ iPhone
Apple กำลังขยายการล็อคการเข้าใช้เครื่องสำหรับ iPhone เพื่อให้ครอบคลุมชิ้นส่วนแต่ละชิ้น เพื่อช่วยป้องกันไม่ให้ชิ้นส่วนที่ถูกขโมยเข้าสู่ตลาดได้ ระหว่างการซ่อมแซม หาก iPhone ตรวจพบว่าชิ้นส่วนที่รองรับมาจาก iPhone เครื่องอื่นที่มีการเปิดใช้งานการล็อคการเข้าใช้เครื่องหรือโหมดสูญหาย การปรับเทียบจะถูกจำกัดสำหรับชิ้นส่วนนั้น การปรับปรุงคุณสมบัติการล็อคการเข้าใช้เครื่องนี้จะขยายขอบเขตความมุ่งมั่นของ Apple ในการปกป้องผู้ใช้ พร้อมทั้งเพิ่มทางเลือกให้กับผู้บริโภคเมื่อต้องซ่อมแซม
ลักษณะการทำงานบน iPhone, iPad และ Apple Vision Pro
บน iPhone, iPad และ Apple Vision Pro ที่ไม่มีการกำกับดูแล การล็อคการเข้าใช้เครื่องจะเปิดใช้งานโดยอัตโนมัติเมื่อผู้ใช้ลงชื่อเข้าบัญชี Apple และเปิดใช้ “ค้นหาของฉัน”
บนอุปกรณ์ที่มีการกำกับดูแล การล็อคการเข้าใช้เครื่องจะไม่ได้รับอนุญาตให้ใช้ตามค่าเริ่มต้น แต่โซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) สามารถอนุญาตให้ผู้ใช้เปิดใช้งานได้ วิธีนี้ช่วยให้โซลูชั่น MDM สามารถฝากรหัสบายพาสจากอุปกรณ์ได้ จากนั้นจึงสามารถใช้รหัสบายพาสนั้นเพื่อปิดใช้งานการล็อคการเข้าใช้เครื่องในภายหลังได้ อุปกรณ์จะสร้างรหัสบายพาสใหม่เมื่อ:
ตั้งค่าอุปกรณ์เป็นครั้งแรก
ตั้งค่าอุปกรณ์หลังการลบข้อมูลและไม่กู้คืนอุปกรณ์จากการสำรองข้อมูลของอุปกรณ์เดียวกัน
ตั้งค่าอุปกรณ์หลังการลบข้อมูลและกู้คืนอุปกรณ์จากการสำรองข้อมูลของอุปกรณ์อื่น
หรือสำหรับอุปกรณ์ที่มีการจัดการและมีการกำกับดูแล โซลูชั่น MDM สามารถติดต่อเซิร์ฟเวอร์ของ Apple โดยตรงเพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่องได้ การดำเนินการนี้จะเกิดขึ้นที่ฝั่งเซิร์ฟเวอร์ทั้งหมด และไม่ต้องพึ่งพาการดำเนินการของผู้ใช้หรือสถานะของอุปกรณ์ โซลูชั่น MDM ต้องสร้างรหัสบายพาสแบบ 31 ไบต์ จากนั้นส่งไปยังเซิร์ฟเวอร์ของ Apple เมื่อต้องการเปิดใช้งานการล็อคการเข้าใช้เครื่องสำหรับอุปกรณ์ รหัสบายพาสของโซลูชั่น MDM จะสร้างขึ้นแบบสุ่มและไม่ซ้ำกันสำหรับแต่ละอุปกรณ์
การล็อคการเข้าใช้เครื่องจะถูกบังคับใช้ผ่านกระบวนการเปิดใช้งานหลังจากหน้าจอการเลือก Wi-Fi ในผู้ช่วยตั้งค่า เมื่ออุปกรณ์ระบุว่าเปิดใช้งานอยู่ อุปกรณ์จะส่งคำขอไปยังเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน
อุปกรณ์ iPhone, iPad และ Apple Vision Pro ที่ไม่มีการกำกับดูแล ซึ่งถูกล็อคด้วยการล็อคการเข้าใช้เครื่อง สามารถปลดล็อคได้โดย:
ข้อมูลประจำตัวของบัญชี Apple ส่วนบุคคลที่ใช้เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง
รหัสอุปกรณ์ที่เคยใช้ก่อนหน้า
อุปกรณ์ iPhone, iPad และ Apple Vision Pro ที่มีการกำกับดูแล ซึ่งถูกล็อคด้วยการล็อคการเข้าใช้เครื่อง สามารถปลดล็อคได้โดย:
ข้อมูลประจำตัวของบัญชี Apple ส่วนบุคคลที่ใช้เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง
ข้อมูลประจำตัวของบัญชี Apple ที่มีการจัดการ ซึ่งใช้เพื่อเชื่อมโยงโซลูชั่น MDM กับ Apple School Manager หรือ Apple Business Manager
รหัสบายพาสที่ฝากโดยโซลูชั่น MDM
โซลูชั่น MDM เรียกจากฝั่งเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์ของ Apple โดยใช้รหัสบายพาสเดียวกับที่ใช้เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง
หมายเหตุ: ผู้ช่วยตั้งค่าใน iOS, iPadOS และ visionOS จะไม่ดำเนินการต่อ จนกว่าจะได้รับใบรับรองที่ถูกต้อง
ลักษณะการทำงานบน Apple Watch
การล็อคการเข้าใช้เครื่องบน Apple Watch ที่ไม่มีการกำกับดูแลนั้นเกี่ยวข้องกับสถานะการล็อคการเข้าใช้เครื่องของ iPhone ที่จับคู่อยู่ ถ้า iPhone เปิดใช้งานการล็อคการเข้าใช้เครื่อง Apple Watch จะได้รับคำแนะนำให้ติดต่อเซิร์ฟเวอร์ของ Apple เมื่อสิ้นสุดกระบวนการจับคู่เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง ถ้าการล็อคการเข้าใช้เครื่องไม่ได้เปิดใช้งานบน iPhone ในเวลาที่ทำการจับคู่ แต่เปิดใช้งานในภายหลัง iPhone จะ:
แจ้งให้อุปกรณ์ Apple Watch ที่จับคู่ทั้งหมดติดต่อเซิร์ฟเวอร์ของ Apple
สามารถเปิดใช้งานการล็อคการเข้าใช้เครื่องบน Apple Watch ได้
iPhone จะส่งคำขอไปยังเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งานสำหรับ Apple Watch ซึ่งเป็นส่วนหนึ่งของกระบวนการจับคู่เบื้องต้น
ถ้า Apple Watch ถูกล็อคด้วยการล็อคการเข้าใช้เครื่อง ผู้ใช้จะได้รับแจ้งให้ป้อนข้อมูลประจำตัวของบัญชี Apple ซึ่งใช้ในการเปิดใช้งานการล็อคการเข้าใช้เครื่องในขณะนั้นเพื่อยกเลิกการจับคู่ ลบข้อมูล หรือเปิดใช้งาน Apple Watch อีกครั้ง
หมายเหตุ: การจับคู่จะไม่เสร็จสมบูรณ์ จนกว่าจะได้รับใบรับรองที่ถูกต้อง
ลักษณะการทำงานบน Mac
บน Mac ที่ไม่มีการกำกับดูแล การล็อคการเข้าใช้เครื่องจะเปิดใช้งานโดยอัตโนมัติเมื่อผู้ใช้ลงชื่อเข้าด้วยบัญชี Apple และเปิดใช้ “ค้นหาของฉัน” สำหรับ Mac ที่มีการกำกับดูแล การล็อคการเข้าใช้เครื่องจะไม่ได้รับอนุญาตให้ใช้ตามค่าเริ่มต้น แต่โซลูชั่น MDM สามารถอนุญาตให้ผู้ใช้เปิดใช้งานได้ วิธีนี้ช่วยให้โซลูชั่น MDM สามารถฝากรหัสบายพาสจากอุปกรณ์ได้ จากนั้นจึงสามารถใช้รหัสบายพาสนั้นเพื่อปิดใช้งานการล็อคการเข้าใช้เครื่องในภายหลังได้ อุปกรณ์จะสร้างรหัสบายพาสใหม่เมื่อ:
ตั้งค่าอุปกรณ์เป็นครั้งแรก
ตั้งค่าอุปกรณ์หลังการลบข้อมูล
ลักษณะการทำงานเพิ่มเติมบน Mac ที่มี Apple Silicon
บน Mac ที่มี Apple Silicon ตัวโหลดเริ่มต้นระบบระดับต่ำ (LLB) จะตรวจสอบยืนยันว่ามี LocalPolicy ที่ถูกต้องสำหรับอุปกรณ์ดังกล่าวและค่าป้องกันการเล่นซ้ำของนโยบาย LocalPolicy ตรงกับค่าที่จัดเก็บอยู่ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย LLB จะบูตไปยัง recoveryOS หาก:
ไม่มี LocalPolicy สำหรับ macOS เวอร์ชั่นปัจจุบัน
LocalPolicy ไม่ถูกต้องสำหรับ macOS เวอร์ชั่นนั้น
ค่าแฮชของค่าป้องกันการเล่นซ้ำของ LocalPolicy ไม่ตรงกับแฮชของค่าที่จัดเก็บอยู่ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย
recoveryOS ตรวจพบว่า Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน
ถ้าอุปกรณ์ถูกล็อคโดยใช้การล็อคการเข้าใช้เครื่องขณะอยู่ใน recoveryOS การล็อคการเข้าใช้เครื่องจะสามารถปลดล็อคได้โดย:
ข้อมูลประจำตัวของบัญชี Apple ส่วนบุคคลที่ใช้เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง
รหัสผ่านของอุปกรณ์ที่ใช้ก่อนหน้าของผู้ใช้ในพื้นที่ที่เปิดใช้งานการล็อคการเข้าใช้เครื่อง
รหัสบายพาสที่ฝากโดยโซลูชั่น MDM
หลังจากได้รับใบรับรองการเปิดใช้งานที่ถูกต้อง กุญแจใบรับรองการเปิดใช้งานจะถูกใช้เพื่อรับใบรับรอง RemotePolicy Mac จะใช้กุญแจ LocalPolicy และใบรับรอง RemotePolicy เพื่อสร้าง LocalPolicy ที่ถูกต้อง
หมายเหตุ: LLB จะไม่อนุญาตการเริ่มการทำงานของ macOS จนกว่าจะมี LocalPolicy ที่ถูกต้อง
ลักษณะการทำงานเพิ่มเติมบน Mac ที่มีชิป T2
บน Mac ที่มีชิป T2 เฟิร์มแวร์ของชิป T2 จะตรวจสอบยืนยันว่ามีใบรับรองการเปิดใช้งานที่ถูกต้องก่อนจะอนุญาตให้คอมพิวเตอร์เริ่มการทำงานของ macOS เฟิร์มแวร์ UEFI ที่โหลดโดยชิป T2 มีหน้าที่ในการค้นหาสถานะการเปิดใช้งานของอุปกรณ์จากชิป T2 Mac จะบูตไปยัง recoveryOS หาก:
ไม่มีใบรับรองการเปิดใช้งานที่ถูกต้อง
recoveryOS ตรวจพบว่า Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน
ถ้า Mac ถูกล็อคโดยใช้การล็อคการเข้าใช้เครื่องขณะอยู่ใน recoveryOS การล็อคการเข้าใช้เครื่องจะสามารถปลดล็อคได้โดย:
ข้อมูลประจำตัวของบัญชี Apple ส่วนบุคคลที่ใช้เพื่อเปิดใช้งานการล็อคการเข้าใช้เครื่อง
รหัสผ่านของอุปกรณ์ที่ใช้ก่อนหน้าของผู้ใช้ในพื้นที่ที่เปิดใช้งานการล็อคการเข้าใช้เครื่อง
รหัสบายพาสที่ฝากโดยโซลูชั่น MDM
หมายเหตุ: เฟิร์มแวร์ UEFI จะไม่อนุญาตการเริ่มการทำงานของ macOS จนกว่าจะมีใบรับรองการเปิดใช้งานที่ถูกต้อง
การจัดการการล็อคการเข้าใช้เครื่องใน Apple School Manager หรือ Apple Business Manager
ถ้าอุปกรณ์ Apple ลงทะเบียนกับองค์กร Apple School Manager หรือ Apple Business Manager ผู้ใช้ที่มีบทบาทที่มีสิทธิ์จัดการอุปกรณ์สามารถปิดใช้การล็อคการเข้าใช้เครื่องสำหรับอุปกรณ์ที่เป็นขององค์กรได้ ตัวเลือกนี้มีเฉพาะสำหรับอุปกรณ์ที่ลงทะเบียนกับองค์กรก่อนเปิดใช้งานการล็อคการเข้าใช้เครื่องและยังไม่ได้ปลดล็อค เนื่องจากการล็อคการเข้าใช้เครื่องถูกปิดใช้งานโดยใช้การเรียกจากฝั่งเซิร์ฟเวอร์ อุปกรณ์จึงไม่จำเป็นต้องได้รับการจัดการโดยโซลูชั่น MDM
หมายเหตุ: อุปกรณ์ที่ถูกล็อคด้วยการล็อคการเข้าใช้เครื่องในปัจจุบันไม่สามารถเพิ่มไปยังองค์กร Apple School Manager หรือ Apple Business Manager ได้