Замок активації на пристроях Apple
Коли замок активації ввімкнено, це ускладнює сторонній людині використання чи продаж пристроїв iPhone, iPad, Mac або Apple Watch. Керуючи замком активації за допомогою рішення MDM, ваша організація отримує можливість перешкоджати викраденню пристроїв, водночас маючи змогу вимкнути замок активації для пристроїв, які належать організації.
Є два типи замка активації:
Пристрій пов’язано з організацією. Для замка активації на основі пов’язаного з організацією пристрою потрібен Apple School Manager, Apple Business Manager або Apple Business Essentials. Загалом, організаціям простіше керувати ним. Дає змогу рішенню MDM повністю контролювати ввімкнення замка активації шляхом взаємодії із сервером.
Пристрій пов’язано з користувачем. Для замка активації на основі пов’язаного з користувачем пристрою потрібен персональний обліковий запис Apple (не керований обліковий запис Apple), а також вимкнений Локатор. Цей метод дає змогу користувачу замикати пов’язаний з організацією пристрій своїм персональним обліковим записом Apple, якщо рішення MDM дозволяє замок активації.
Примітка. Деякі рішення MDM підтримують обидва замка активації. У разі спроби застосувати обидва, перша успішна подія задіяння замка активації матиме пріоритет.
Як вимкнути замок активації
В Apple School Manager, Apple Business Manager або «Бізнес-засоби від Apple» користувач із привілеями керування пристроєм (Manage Device) може вимикати замок активації на iPhone, iPad, Mac, Apple Watch чи Apple Vision Pro, які повʼязані з організацією чи користувачем і належать організації. Пристрій має відображатися в Apple School Manager, Apple Business Manager або «Бізнес-засоби від Apple», однак йому не обовʼязково бути призначеним до сервера MDM.
Більше інформації наведено в цих статтях:
Посібник користувача Apple School Manager: «Як вимкнути замок активації»
Посібник користувача Apple Business Manager: «Як вимкнути замок активації»
Посібник користувача Apple Business Essentials: «Як вимкнути замок активації»
Замок активації на основі пов’язаного з організацією пристрою для iPhone та iPad
Увімкнення замка активації на основі пов’язаного з організацією пристрою означає, що рішення MDM (не користувач) зв’язуватиметься безпосередньо із серверами Apple для замикання або відмикання пристрою. Оскільки ця дія виконується повністю на сервері, підлеглості діям користувача чи стану пристрою відсутні. Рішення MDM створює власний обхідний ключ і надсилає його на сервери Apple, коли потрібно ввімкнути або вимкнути замок активації для пристрою.
Припустімо, що вашому рішенню MDM не вдається зняти замок активації. Потім на екрані замка активації вкажіть ім’я користувача та пароль облікового запису, який створив токен сервера MDM, що пов’язує рішення MDM з Apple School Manager, Apple Business Manager або Apple Business Essentials. Це обліковий запис із роллю «Адміністратор», «Керівник установи» (лише Apple School Manager) або «Апаратний менеджер із реєстрації пристроїв».
Важливо! Якщо ваші пристрої призначені рішенню MDM, яке пов’язане з Apple School Manager, Apple Business Manager або Apple Business Essentials, цьому методу слід віддати перевагу.
Замок активації на основі пов’язаного з користувачем пристрою
На противагу замку активації на основі пов’язаного з організацією пристрою замок активації на основі пов’язаного з користувачем пристрою дає змогу користувачам замикати пристрої організації своїми персональними обліковими записами iCloud.
У цьому випадку рішення MDM можуть дозволяти користувачам вмикати замок активації на пов’язаному з організацією пристрої під наглядом. Оскільки усталено на пристроях під наглядом замок активації заборонений, рішення MDM має отримати обхідний код, створений пристроєм, і зберегти його, перш ніж дозволити користувачу ввімкнути замок активації. Якщо з якоїсь причини користувачу не вдається автентифікуватися зі своїм обліковим записом Apple, наприклад якщо користувач полишив організацію, цим обхідним кодом через MDM або безпосередньо на пристрої можна віддалено вимкнути замок активації, якщо пристрій потрібно стерти та призначити новому користувачу.
На iPhone та iPad обхідні коди доступні впродовж 15 днів із моменту, коли пристрій було вперше взято під нагляд, або до моменту, коли в рішенні MDM було напряму отримано код і потім стерто. Якщо рішення MDM не отримало обхідний код упродовж 15 днів, отримати його буде неможливо.
Замок активації діє лише на комп’ютерах Mac із процесором Apple silicon або безпековою мікросхемою Apple T2. Якщо придатний комп’ютер Mac використовує реєстрацію пристрою та оновлений до macOS 10.15 або новішої, замок активації типово буде заборонений, але його за потреби можна дозволити. Для керування замком активації в інсталяції (не оновленні) macOS 10.15 або новішій потрібно, щоб пристрій був під наглядом. У macOS 11 або новішій, якщо пристрій поміщається під нагляд шляхом реєстрації пристрою, керувати замком активації буде неможливо до моменту реєстрації пристрою в MDM. Тобто замок активації може бути ввімкненим на момент реєстрації пристрою в MDM і взяття під нагляд. У такому разі його неможливо вимкнути за допомогою MDM і не можна заборонити, доки користувач спершу самостійно його не вимкне.
Якщо пристрій у вас, на iPhone та iPad введіть обхідний код замка активації MDM на екрані замка активації в полі пароля облікового запису Apple, залишивши поле імені користувача порожнім. На Mac обхідний код можна ввести в Асистенті відновлення, клацнувши його на смузі меню й вибравши опцію «Активувати за допомогою ключа MDM». Щоб дізнатися, де знайти обхідний код, перегляньте документацію постачальника MDM.
Коли MDM дозволяє замок активації на основі пов’язаного з користувачем пристрою:
Якщо функцію «Локатор» увімкнено, а рішення MDM дозволяє використання замка активації, замок активації буде ввімкнено.
Якщо Локаторвимкнуто, а рішення MDM дозволяє використання замка активації, замок активації буде ввімкнено, коли користувач наступного разу активує Локатор.
Використання обхідних кодів для очищення замка активації
Обхідні коди, які рішення MDM використовує для керування замком активації, мають вирішальне значення за необхідності усунути замок активації. Ці обхідні коди слід надійно захищати й регулярно резервувати. Якщо ви змінюєте постачальника MDM, подбайте про те, щоб отримати копію обхідних кодів, або усуньте всі замки активації для зареєстрованих пристроїв.
Щоб усунути замок активації на пристроях Apple, які підтримують дві SIM-карти, рішення MDM має містити обидва значення IMEI (Міжнародний ідентифікатор мобільного обладнання) у запиті. Інформацію для постачальників MDM наведено в статті Створення й використання обхідних кодів на вебсайті розробників Apple.
Якщо вашому рішенню не вдається вилучити замок активації, зверніться до допоміжних ресурсів свого постачальника MDM або перегляньте статтю служби підтримки Apple про те, як вилучити замок активації.