Sicurezza del blocco attivazione
Il blocco attivazione aiuta a impedire a utenti non autorizzati di riattivare iPhone, iPad, Mac, Apple Watch e Apple Vision Pro se il dispositivo viene smarrito o rubato. Esso rimane abilitato anche se il dispositivo viene inizializzato. Ciò rende più difficile l’utilizzo o la rivendita di un dispositivo smarrito o rubato. Il modo in cui Apple implementa il blocco attivazione varia a seconda del dispositivo.
Blocco attivazione sulle parti di iPhone
Apple sta estendendo il blocco attivazione per iPhone in modo da coprire anche le singole parti, così da scoraggiare l’ingresso sul mercato di parti rubate. Durante una riparazione, se un iPhone rileva che una parte supportata proviene da un altro iPhone con il blocco attivazione o la modalità Smarrito attivati, la calibrazione per tale parte viene impedita. Questo aggiornamento al blocco attivazione estende ulteriormente l’impegno di Apple nella protezione degli utenti e al tempo stesso aumenta la possibilità di scelta della clientela per quanto riguarda le riparazioni.
Funzionamento su iPhone, iPad e Apple Vision Pro
Su iPhone, iPad e Apple Vision Pro non supervisionati, il blocco attivazione viene abilitato automaticamente quando l’utente accede al proprio Apple Account e attiva Dov’è.
Sui dispositivi supervisionati, la possibilità di attivare il blocco attivazione viene disabilitata di default, ma una soluzione MDM può consentire all’utente di abilitarlo. Ciò consente alla soluzione MDM di conservare un codice di elusione dal dispositivo. Tale codice di elusione potrà quindi essere usato per disabilitare il blocco attivazione in un secondo momento. Un dispositivo genera un nuovo codice di elusione quando:
Il dispositivo viene configurato per la prima volta.
Il dispositivo viene configurato dopo un’inizializzazione, senza ripristinarlo da un backup dello stesso dispositivo.
Il dispositivo viene configurato dopo un’inizializzazione e viene ripristinato da un backup di un altro dispositivo.
In alternativa, per i dispositivi gestiti e supervisionati, una soluzione MDM può contattare direttamente i server Apple per abilitare il blocco attivazione. L’operazione viene eseguita interamente sul server e non è influenzata dalle azioni dell’utente o dallo stato del dispositivo. La soluzione MDM deve creare un codice di elusione di 31 byte, quindi inviarlo ai server Apple quando vuole attivare il blocco attivazione sul dispositivo. Il codice di elusione della soluzione MDM deve essere creato in modo casuale e deve essere univoco per ciascun dispositivo.
Il blocco attivazione viene implementato durante il processo di attivazione, dopo la schermata di selezione del Wi-Fi in Impostazione Assistita. Quando un dispositivo segnala di essere in fase di attivazione, invia una richiesta al server per ottenere un certificato di attivazione.
Gli iPhone, iPad e Apple Vision Pro non supervisionati bloccati dal blocco attivazione possono essere sbloccati da:
Le credenziali dell’Apple Account personale usato per abilitare il blocco attivazione
Il codice del dispositivo usato in precedenza
Gli iPhone, iPad e Apple Vision Pro supervisionati bloccati dal blocco attivazione possono essere sbloccati da:
Le credenziali dell’Apple Account personale usato per abilitare il blocco attivazione
Le credenziali dell’Apple Account gestito utilizzato per collegare la soluzione MDM a Apple School Manager o Apple Business Manager
Il codice di elusione conservato dalla soluzione MDM
La soluzione MDM tramite una richiesta ai server Apple con lo stesso codice di elusione usato per abilitare il blocco attivazione
Nota: Impostazione Assistita su iOS, iPadOS e visionOS non continuerà la procedura di configurazione finché non si ottiene un certificato valido.
Funzionamento su Apple Watch
Il blocco attivazione su un Apple Watch non supervisionato è correlato allo stato del blocco attivazione sull’iPhone abbinato. Se su iPhone il blocco attivazione è abilitato, Apple Watch riceve il comando di contattare i server Apple al termine della procedura di abbinamento per attivare il blocco attivazione. Se al momento dell’abbinamento il blocco attivazione non è abilitato su iPhone, ma viene abilitato in seguito, iPhone:
Richiede a tutti gli Apple Watch abbinati di contattare i server Apple.
Può abilitare il blocco attivazione su Apple Watch.
Durante la procedura di abbinamento iniziale, iPhone invia una richiesta al server per ottenere un certificato di attivazione per Apple Watch.
Se Apple Watch è bloccato con il blocco attivazione, all’utente vengono chieste le credenziali dell’Apple Account che è stato usato per abilitare il blocco attivazione quando vuole annullare l’abbinamento, inizializzare o riattivare Apple Watch.
Nota: l’abbinamento non può essere completato se non si ottiene un certificato valido.
Funzionamento sul Mac
Su un Mac non supervisionato, il blocco attivazione viene abilitato automaticamente quando l’utente accede al proprio Apple Account e attiva Dov’è. Su un Mac supervisionato, la possibilità di attivare il blocco attivazione viene disabilitata di default, ma una soluzione MDM può consentire all’utente di abilitarlo. Ciò consente alla soluzione MDM di conservare un codice di elusione dal dispositivo. Tale codice di elusione potrà quindi essere usato per disabilitare il blocco attivazione in un secondo momento. Un dispositivo genera un nuovo codice di elusione quando:
Il dispositivo viene configurato per la prima volta.
Il dispositivo viene configurato dopo un’inizializzazione.
Funzionalità aggiuntive sui Mac dotati di chip Apple
Sui Mac dotati di chip Apple, il bootloader di livello inferiore verifica che sia presente un LocalPolicy valido per il dispositivo e che i valori anti-replay delle politiche di LocalPolicy corrispondano ai valori archiviati nel componente Secure Storage. Il bootloader di livello inferiore si riavvia in recoveryOS se:
Non è presente un LocalPolicy per l’attuale versione di macOS.
LocalPolicy non è valido per tale versione di macOS.
I valori degli hash dei valori anti-replay di LocalPolicy non corrispondono a quelli archiviati nel componente Secure Storage.
recoveryOS rileva che il Mac non è attivato e contatta il server di attivazione per ottenere un certificato.
Se il dispositivo è bloccato dal blocco attivazione mentre è in recoveryOS, è possibile disattivare il blocco attivazione mediante:
Le credenziali dell’Apple Account personale usato per abilitare il blocco attivazione
La password del dispositivo usata in precedenza dall’utente locale che ha abilitato il blocco attivazione.
Il codice di elusione conservato dalla soluzione MDM
Una volta ottenuto un certificato di attivazione valido, la relativa chiave viene usata per ottenere un certificato RemotePolicy. Il Mac utilizza la chiave di LocalPolicy e il certificato di RemotePolicy per produrre un LocalPolicy valido.
Nota: il bootloader di livello inferiore non consentirà l’avvio di macOS finché non è presente un LocalPolicy valido.
Funzionalità aggiuntive sui Mac dotati di chip T2
Sui Mac dotati di chip T2, il firmware del chip verifica che sia presente un certificato di attivazione valido prima di consentire l’avvio del computer in macOS. Il firmware UEFI caricato dal chip T2 è responsabile della richiesta dello stato di attivazione del dispositivo dal chip T2. Il Mac si riavvia in recoveryOS se:
Non è presente un certificato di attivazione valido.
recoveryOS rileva che il Mac non è attivato e contatta il server di attivazione per ottenere un certificato.
Se il Mac è bloccato dal blocco attivazione mentre è in recoveryOS, è possibile disattivare il blocco attivazione mediante:
Le credenziali dell’Apple Account personale usato per abilitare il blocco attivazione
La password del dispositivo usata in precedenza dall’utente locale che ha abilitato il blocco attivazione.
Il codice di elusione conservato dalla soluzione MDM
Nota: il firmware UEFI non consentirà l’avvio di macOS finché non è presente un certificato di attivazione valido.
Gestire il blocco attivazione in Apple School Manager o Apple Business Manager
Se un dispositivo è registrato presso un’organizzazione che utilizza Apple School Manager o Apple Business Manager, gli utenti che hanno un ruolo con privilegi di gestione dei dispositivi possono disattivare il blocco attivazione sui dispositivi di proprietà dell’organizzazione. L’opzione è disponibile solo per i dispositivi registrati presso l’organizzazione prima dell’abilitazione del blocco attivazione e che non sono stati rilasciati. Dal momento che il blocco attivazione è disabilitato tramite richieste sul lato server, non è necessario che un dispositivo sia gestito da una soluzione MDM.
Nota: i dispositivi attualmente bloccati dal blocco attivazione non possono essere aggiunti in un’organizzazione che utilizza Apple School Manager o Apple Business Manager.