Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange Web 服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
Apple 设备上的激活锁
用户打开激活锁后,他人便难以使用或出售丢失或被盗的 iPhone、iPad、Mac 或 Apple Watch。如果使用支持激活锁的设备管理服务,你便可以针对组织拥有的设备管理该功能。
激活锁有两种可用类型:
组织关联:组织关联的激活锁需要 Apple 校园教务管理或 Apple 商务管理,并且对于组织来说一般更容易管理。它允许设备管理服务通过服务器端交互来完全控制激活锁的打开和关闭。
用户关联:用户关联的激活锁要求用户拥有个人 Apple 账户(而非管理式 Apple 账户)并为其打开“查找”。这种方法允许用户将组织关联的设备锁定到其个人 Apple 账户,前提是设备管理服务允许激活锁。
【注】部分设备管理服务同时支持这两种激活锁方式;在尝试同时使用两种方式的情况下,第一个成功的激活锁事件优先。
关闭激活锁
在 Apple 校园教务管理或 Apple 商务管理中,拥有“管理设备”权限的用户可为其组织所拥有的 iPhone、iPad、Mac、Apple Watch 或 Apple Vision Pro 关闭与组织关联和与用户关联的激活锁。在启用激活锁之前,你需要将设备添加到 Apple 校园教务管理或 Apple 商务管理。此外,你不得释放该设备,但也无需将其分配至设备管理服务。
有关更多信息,请参阅:
iPhone 和 iPad 上组织关联的激活锁
允许组织关联的激活锁意味着设备管理服务(而非用户)会直接联系 Apple 服务器以锁定或解锁设备。由于这完全在服务器端完成,因此与用户操作或其设备状态无关。设备管理服务会创建自己的绕过代码,并在需要打开或关闭设备的激活锁时将代码发送到 Apple 服务器。
如果设备管理服务未成功移除激活锁,在激活锁屏幕上,输入创建了设备管理服务令牌(用于将设备管理服务关联至 Apple 校园教务管理或 Apple 商务管理)的账户的用户名和密码。这个账户的职务包含管理员、机构经理(仅限 Apple 校园教务管理)或设备注册经理。
【重要事项】如果将设备分配到关联至 Apple 校园教务管理或 Apple 商务管理的设备管理服务,请使用此方法。
用户关联的激活锁
与组织关联的激活锁相反,用户关联的激活锁可让用户使用其个人 iCloud 账户锁定组织所拥有的设备。
在这种情况下,设备管理服务可允许用户在组织关联的受监督设备上打开激活锁。由于受监督设备上默认不允许激活锁,设备管理服务需要先获取由该设备创建的绕过代码并储存,再允许用户打开激活锁。如果用户出于某种原因无法使用自己的 Apple 账户认证,包括用户离开组织的情况,你可以在需要抹掉设备并将其分配给新用户时使用绕过代码通过设备管理服务远程关闭激活锁,或直接在设备上关闭。
在 iPhone 和 iPad 上,绕过代码在设备首次受监督后的最多 15 天内可用,或者直到设备管理服务明确获取代码(之后会清除)前都可用。如果设备管理服务未在 15 天内取回绕过代码,该绕过代码会变为不可取回。
Mac 电脑需要搭载 Apple 芯片或 Apple T2 安全芯片才符合使用激活锁的条件。如果符合条件的 Mac 电脑正在使用“设备注册”且你已将其更新或升级到 macOS 10.15 或更高版本,默认不允许使用激活锁,但你可选择允许使用。管理安装(非升级)的 macOS 10.15 或更高版本上的激活锁需要设备受监督。如果运行 macOS 11 或更高版本的 Mac 通过“设备注册”受监督,你无法管理激活锁,除非在设备管理服务中注册该设备。这意味着,当 Mac 在设备管理服务中注册并受监督时,激活锁可能已经打开。在这种情况下,你无法使用设备管理服务将激活锁关闭,且 macOS 默认不能禁用激活锁,除非用户将其关闭。
如果你实际拥有设备,在 iPhone 或 iPad 上激活锁屏幕的 Apple 账户密码栏中输入设备管理服务激活锁绕过代码,并将用户名一栏留空。在 Mac 上,你可以点按菜单栏中的“恢复助理”并选择“使用 MDM 密钥激活”选项来输入绕过代码。请参阅设备管理服务开发者文稿,了解在哪里可以找到绕过代码。
当设备管理服务允许用户关联的激活锁时,会发生以下情况:
如果设备管理服务允许激活锁时“查找”已打开,那么激活锁会在此时打开。
如果设备管理服务允许激活锁时“查找”已关闭,那么激活锁会在下次用户打开“查找”时打开。
使用绕过代码清除激活锁
若要管理激活锁,设备管理服务需要储存两个绕过代码:
设备生成的绕过代码。设备管理服务会保留此代码,直至其收到来自设备的不同非空代码。
通过设备管理服务初始化激活锁时,由服务器创建的绕过代码。
设备管理服务用于管理激活锁的绕过代码对于你可否清除激活锁至关重要。确保妥善保存绕过代码并定期备份。如果更换为其他设备管理服务,请确保你收到这些绕过代码的副本,或者设备管理服务清除所有已注册设备的激活锁。
若要在支持双 SIM 卡的 Apple 设备上清除激活锁,设备管理服务需要在请求中包括两个 IMEI(国际移动设备识别码)值。对于设备管理服务开发者,请参阅 Apple 开发者网站上的创建和使用绕过代码。
如果设备管理服务无法移除激活锁,请联系设备管理服务开发者支持资源,或参阅 Apple 支持文章:如何解除激活锁。