アクティベーションロックのセキュリティ
アクティベーションロックにより、iPhone、iPad、Mac、Apple Watch、およびApple Vision Proが紛失や盗難に遭った場合に、不正なユーザに再度アクティベートされないようにすることができます。この機能はデバイスが消去された場合でも、有効のままになります。これにより、紛失したデバイスをほかの人が使用したり売却したりすることが困難になります。Appleがアクティベーションロックを適用する方法は、デバイスによって異なります。
iPhoneのパーツでのアクティベーションロック
Appleは、iPhoneのアクティベーションロックを拡張して個々のパーツを含めるようにし、盗難にあったパーツが市場に出るのを阻止できるようにしています。修理中にiPhoneで、アクティベーションロックまたは紛失モードがオンになっている別のiPhoneから提供された対応パーツが検出されると、そのパーツの較正は制限されます。アクティベーションロック機能に対するこの機能強化は、修理に関するコンシューマの選択肢を増やしながらユーザを保護するAppleの取り組みをさらに広げます。
iPhone、iPad、およびApple Vision Proでの動作
監視対象外のiPhone、iPad、およびApple Vision Proでは、ユーザがApple Accountにサインインして「探す」をオンにすると、アクティベーションロックが自動的に有効になります。
監視対象のデバイスでは、アクティベーションロックはデフォルトで禁止されていますが、モバイルデバイス管理(MDM)ソリューションでユーザが有効にすることを許可できます。これによってMDMソリューションはデバイスからバイパスコードをエスクローすることができます。そのバイパスコードを使用して、あとでアクティベーションロックを無効にすることができます。デバイスでは以下のときに新しいバイパスコードが生成されます:
初めてデバイスを設定する
消去後にデバイスを設定し、同じデバイスのバックアップからデバイスを復元しない
消去後にデバイスを設定し、別のデバイスのバックアップからデバイスを復元する
また、管理対象および監視対象デバイスの場合、MDMソリューションでAppleのサーバに直接接続して、アクティベーションロックを有効にすることができます。これは完全にサーバ側で実行され、ユーザアクションやデバイスの状態には依存しません。MDMソリューションでは、31バイトのバイパスコードを作成して、デバイスのアクティベーションロックを有効にしたいときにAppleのサーバに送信する必要があります。MDMソリューションのバイパスコードは、ランダムに作成され、デバイスごとに一意である必要があります。
アクティベーションロックは、設定アシスタントのWi-Fi選択画面後のアクティベーションプロセスを通じて適用されます。デバイスでアクティベーション中であることが示されると、アクティベーション証明書を入手するためのリクエストがアクティベーションサーバに送信されます。
アクティベーションロックでロックされている監視対象外のiPhone、iPad、およびApple Vision Proデバイスは、以下によってロックを解除できます:
アクティベーションロックを有効にするために使用された個人のApple Accountの資格情報
以前に使用したデバイスパスコード
アクティベーションロックでロックされている監視対象のiPhone、iPad、およびApple Vision Proデバイスは、以下によってロックを解除できます:
アクティベーションロックを有効にするために使用された個人のApple Accountの資格情報
MDMソリューションをApple School ManagerまたはApple Business Managerとリンクさせるために使用される管理対象Apple Accountの資格情報
MDMソリューションによってエスクローされたバイパスコード
アクティベーションロックを有効にするために使用したものと同じバイパスコードでAppleのサーバにサーバ側呼び出しを行うMDMソリューション
注記: iOS、iPadOS、およびvisionOSの設定アシスタントは、有効な証明書を入手できない限り続行されません。
Apple Watchでの動作
監視対象外のApple Watchのアクティベーションロックは、ペアリングされているiPhoneのアクティベーションロックの状態に関連しています。iPhoneでアクティベーションロックが有効になっている場合、Apple Watchは、ペアリングプロセスの終了時にAppleのサーバに接続してアクティベーションロックをオンにするように指示されます。ペアリング時にiPhoneでアクティベーションロックが有効になっていなくても、あとで有効になると、iPhoneは以下のような状態になります:
ペアリングされているすべてのApple WatchデバイスをAppleのサーバに接続するよう求められる
Apple Watchでアクティベーションロックを有効にすることができる
最初のペアリングプロセスの一環として、iPhoneはアクティベーションサーバに、Apple Watchのアクティベーション証明書を入手するためのリクエストを送信します。
Apple Watchがアクティベーションロックでロックされている場合、ユーザは、Apple Watchのペアリング解除、消去、または再アクティベートのときにアクティベーションロックを有効にするために使用した、Apple Accountの資格情報の入力を求められます。
注記: ペアリングは、有効な証明書を入手できない限り完了できません。
Macでの動作
監視対象外のMacでは、ユーザがApple Accountでサインインして「探す」をオンにすると、アクティベーションロックが自動的に有効になります。監視対象のMacの場合、アクティベーションロックはデフォルトで禁止されていますが、MDMソリューションでユーザが有効にすることを許可できます。これによってMDMソリューションはデバイスからバイパスコードをエスクローすることができます。そのバイパスコードを使用して、あとでアクティベーションロックを無効にすることができます。デバイスでは以下のときに新しいバイパスコードが生成されます:
初めてデバイスを設定する
消去後にデバイスを設定する
Appleシリコン搭載Macでのその他の動作
Appleシリコン搭載Macでは、Low Level Bootloader(LLB)が、デバイスの有効なLocalPolicyが存在することと、LocalPolicyポリシーアンチリプレイ値がセキュアストレージコンポーネントに格納されている値と一致することを確認します。以下の場合には、LLBはrecoveryOSでブートされます:
現在のmacOS用のLocalPolicyがない
LocalPolicyがそのバージョンのmacOSに対して無効である
LocalPolicyアンチリプレイ値ハッシュ値がセキュアストレージコンポーネントに格納されている値のハッシュと一致しない
recoveryOSは、Macがアクティベートされていないことを検出し、アクティベーションサーバに連絡してアクティベーション証明書を入手します。
recoveryOSで動作している間デバイスがアクティベーションロックを使用してロックされている場合、アクティベーションロックは以下によってロックを解除できます:
アクティベーションロックを有効にするために使用された個人のApple Accountの資格情報
アクティベーションロックを有効にしたローカルユーザの、以前に使用したデバイスパスワード
MDMソリューションによってエスクローされたバイパスコード
有効なアクティベーション証明書が入手されると、そのアクティベーション証明書キーがRemotePolicy証明書の入手に使用されます。Macは、LocalPolicyキーとRemotePolicy証明書を使用して、有効なLocalPolicyを生成します。
注記: LLBは、有効なLocalPolicyが存在しない限り、macOSのブートを許可しません。
T2チップ搭載Macでのその他の動作
T2チップを搭載したMacでは、T2チップのファームウェアが有効なアクティベーション証明書が存在することを確認したあと、コンピュータがmacOSをブートすることを許可します。T2チップによって読み込まれるUEFIファームウェアは、T2チップからデバイスのアクティベーション状況を照会します。以下の場合には、MacはrecoveryOSでブートされます:
有効なアクティベーション証明書が存在しない
recoveryOSは、Macがアクティベートされていないことを検出し、アクティベーションサーバに連絡してアクティベーション証明書を入手します。
recoveryOSで動作している間Macがアクティベーションロックを使用してロックされている場合、アクティベーションロックは以下によってロックを解除できます:
アクティベーションロックを有効にするために使用された個人のApple Accountの資格情報
アクティベーションロックを有効にしたローカルユーザの、以前に使用したデバイスパスワード
MDMソリューションによってエスクローされたバイパスコード
注記: UEFIファームウェアは、有効なアクティベーション証明書が存在しない限り、macOSのブートを許可しません。
Apple School ManagerまたはApple Business Managerでアクティベーションロックを管理する
AppleデバイスがApple School ManagerまたはApple Business Managerの組織に登録されている場合、デバイスの管理権限のある役割を持つユーザは、組織が所有するデバイスのアクティベーションロックをオフにすることができます。このオプションは、アクティベーションロックが有効になる前に組織に登録されていて、リリースされていないデバイスでのみ使用できます。アクティベーションロックはサーバ側呼び出しを使用して無効にされるため、デバイスをMDMソリューションによって管理する必要はありません。
注記: 現在アクティベーションロックでロックされているデバイスは、Apple School ManagerまたはApple Business Managerの組織に追加することはできません。