Seguridad del bloqueo de activación
El bloqueo de activación ayuda a evitar que los usuarios no autorizados puedan reactivar un iPhone, iPad, Mac, Apple Watch y Apple Vision Pro si se pierde o lo roban. Permanece activado incluso si se borra el dispositivo. Esto dificulta que otra persona pueda usar o vender un dispositivo perdido. El modo en que Apple aplica el bloqueo de activación varía en función del dispositivo.
Bloqueo de activación en las piezas del iPhone
Apple está ampliando el bloqueo de activación del iPhone para que cubra piezas individuales, con el fin de evitar que entren en el mercado piezas robadas. Durante una reparación, si un iPhone detecta que una pieza compatible procede de otro iPhone con el bloqueo de activación o el modo Perdido activados, se restringe la calibración de esa pieza. Esta mejora de la función de bloqueo de activación amplía aún más el compromiso de Apple de proteger a los usuarios y, además, aumenta las posibilidades de elección de los consumidores en lo que respecta a las reparaciones.
Comportamiento en el iPhone, iPad y Apple Vision Pro
En un iPhone, iPad y Apple Vision Pro no supervisados, el bloqueo de activación se activa automáticamente cuando el usuario inicia sesión en su cuenta de Apple y activa Buscar.
En un dispositivo supervisado, el bloqueo de activación está desactivado por omisión, pero una solución de gestión de dispositivos móviles (MDM) puede permitir que el usuario lo active. Esto hace que la solución MDM custodie un código de anulación del dispositivo. Ese código de anulación puede utilizarse para desactivar el bloqueo de activación más adelante. El dispositivo genera un nuevo código de anulación:
al configurar el dispositivo por primera vez;
al configurar el dispositivo después de una operación de borrado y no restaurar el dispositivo desde una copia de seguridad de ese mismo dispositivo;
al configurar el dispositivo después de una operación de borrado y restaurar el dispositivo desde una copia de seguridad de un dispositivo distinto.
Alternativamente, para los dispositivos gestionados y supervisados, una solución MDM puede contactar directamente con los servidores de Apple para activar el bloqueo de activación. Esto se realiza completamente del lado del servidor y no depende de las acciones del usuario ni del estado del dispositivo. La solución MDM debe crear un código de anulación de 31 bytes y, a continuación, enviarlo a los servidores de Apple cuando quiera activar el bloqueo de activación del dispositivo. El código de anulación de la solución MDM debe crearse aleatoriamente y ser único para cada dispositivo.
El bloqueo de activación se aplica mediante el proceso de activación posterior a la pantalla de selección de Wi-Fi en el asistente de configuración. Cuando un dispositivo indica que se está activando, envía una solicitud al servidor de activación para obtener un certificado de activación.
Los dispositivos iPhone, iPad y Apple Vision Pro no supervisados que estén bloqueados con el bloqueo de activación se pueden desbloquear con:
las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo de activación;
el código del dispositivo utilizado anteriormente.
Los dispositivos iPhone, iPad y Apple Vision Pro supervisados que estén bloqueados con el bloqueo de activación se pueden desbloquear con:
las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo de activación;
las credenciales de la cuenta de Apple gestionada que se usó para vincular la solución MDM con Apple School Manager o Apple Business Manager;
el código de anulación que custodia la solución MDM;
una llamada de la solución MDM a los servidores de Apple con el mismo código de anulación que se usó para activar el bloqueo de activación.
Nota: El asistente de configuración de iOS, iPadOS y visionOS no progresará a menos que pueda obtenerse un certificado válido.
Comportamiento en el Apple Watch
El bloqueo de activación en un Apple Watch no supervisado está relacionado con el estado del bloqueo de activación del iPhone enlazado. Si el iPhone tiene activado el bloqueo de activación, se solicita al Apple Watch que contacte con los servidores de Apple al final del proceso de enlace para activar el bloqueo de activación. Si el bloqueo de activación no está activado en el iPhone en el momento del enlace, pero se activa en un momento posterior, el iPhone:
solicita a todos los dispositivos Apple Watch enlazados que contacten con los servidores de Apple;
puede activar el bloqueo de activación en el Apple Watch.
Como parte del proceso de enlace inicial, el iPhone envía una solicitud al servidor de activación para obtener un certificado de activación para el Apple Watch.
Si el Apple Watch tiene un bloqueo de activación, se solicita al usuario las credenciales de la cuenta de Apple que se usó entonces para activar el bloqueo de activación para desenlazar, borrar o reactivar el Apple Watch.
Nota: No se puede completar en enlace a menos que pueda obtenerse un certificado válido.
Comportamiento en el Mac
En un Mac no supervisado, el bloqueo de activación se activa automáticamente cuando el usuario inicia sesión en su cuenta de Apple y activa Buscar. En un Mac supervisado, el bloqueo de activación está desactivado por omisión, pero una solución MDM puede permitir que el usuario lo active. Esto hace que la solución MDM custodie un código de anulación del dispositivo. Ese código de anulación puede utilizarse para desactivar el bloqueo de activación más adelante. El dispositivo genera un nuevo código de anulación:
al configurar el dispositivo por primera vez;
Configurar el dispositivo después de una operación de borrado
Comportamiento adicional en un Mac con chip de Apple
En un Mac con chip de Apple, el cargador de arranque de bajo nivel (LLB) verifica que existe un archivo LocalPolicy válido para el dispositivo y que los valores del valor de antirreproducción de la política de LocalPolicy coinciden con los valores almacenados en el componente de almacenamiento seguro. El LLB arranca en el sistema operativo de recuperación si se dan las siguientes circunstancias:
No hay un archivo LocalPolicy para la instancia de macOS actual.
El archivo LocalPolicy no es válido para esa versión de macOS.
Los valores de antirreproducción del archivo LocalPolicy no coinciden con los hashes de los valores almacenados en el componente de almacenamiento seguro.
El sistema operativo de recuperación detecta que el Mac no está activado y contacta con el servidor de activación para obtener un certificado de activación.
Si el dispositivo se ha bloqueado con el bloqueo de activación desde el sistema operativo de recuperación, el bloqueo de activación se puede desbloquear con:
las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo de activación;
el código del dispositivo usado anteriormente del usuario local que activó el bloqueo de activación;
el código de anulación que custodia la solución MDM.
Después de obtener un certificado de activación válido, esa clave del certificado de activación se emplea para obtener un certificado de RemotePolicy. El Mac usa la clave de LocalPolicy y el certificado de RemotePolicy para generar un archivo LocalPolicy válido.
Nota: El LLB no permitirá arrancar macOS a menos que haya presente un archivo LocalPolicy válido.
Comportamiento adicional en un Mac con el chip T2
En un Mac con el chip T2, el firmware del chip T2 verifica que hay un certificado de activación válido antes de permitir que el ordenador arranque en macOS. El firmware de UEFI cargado por el chip T2 es responsable de consultar el estado de activación del dispositivo desde este chip. El Mac arranca en el sistema operativo de recuperación si se dan las siguientes circunstancias:
No se encuentra un certificado de activación válido.
El sistema operativo de recuperación detecta que el Mac no está activado y contacta con el servidor de activación para obtener un certificado de activación.
Si el Mac se ha bloqueado con el bloqueo de activación desde el sistema operativo de recuperación, el bloqueo de activación se puede desbloquear con:
las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo de activación;
el código del dispositivo usado anteriormente del usuario local que activó el bloqueo de activación;
el código de anulación que custodia la solución MDM.
Nota: El firmware de UEFI no permitirá arrancar macOS a menos que haya presente un certificado de activación válido.
Gestionar el bloqueo de activación en Apple School Manager o Apple Business Manager
Si se ha registrado un dispositivo Apple con una organización de Apple School Manager o Apple Business Manager, los usuarios que tengan una función con privilegios de gestión de dispositivos pueden desactivar el bloqueo de activación de los dispositivos que sean propiedad de la organización. Esta opción solo está disponible para los dispositivos registrados en la organización antes de la activación del bloqueo de activación que no se hayan entregado. Dado que el bloqueo de activación se desactiva mediante llamadas del servidor, no es necesario que un dispositivo esté gestionado por una solución MDM.
Nota: Los dispositivos que estén bloqueados con el bloqueo de activación actualmente no se pueden añadir a una organización de Apple School Manager o Apple Business Manager.