Segurança do Bloqueio de Ativação
O Bloqueio de Ativação ajuda a impedir que usuários não autorizados reativem um iPhone, iPad, Mac, Apple Watch ou Apple Vision Pro perdido ou roubado. Ele continuará ativado mesmo se o dispositivo for apagado. Isso dificulta que alguém use ou venda um dispositivo perdido. A maneira como a Apple exige o Bloqueio de Ativação depende do dispositivo.
Bloqueio de Ativação em peças do iPhone
A Apple está expandindo o Bloqueio de Ativação no iPhone para cobrir peças individuais e ajudar a impedir que peças roubadas entrem no mercado. Durante um reparo, se um iPhone detectar que uma parte compatível veio de outro iPhone com o Bloqueio de Ativação ou o Modo Perdido ativado, a calibragem dessa peça será restrita. Esse aprimoramento do recurso Bloqueio de Ativação expande ainda mais o comprometimento da Apple com a proteção de usuários, ao mesmo tempo que aumenta a escolha de consumidores quanto a reparos.
Comportamento no iPhone, iPad e Apple Vision Pro
Em um iPhone, iPad ou Apple Vision Pro não supervisionado, o Bloqueio de Ativação é ativado automaticamente quando o usuário inicia a sessão na respectiva Conta Apple e ativa o recurso Buscar.
Em um dispositivo supervisionado, o Bloqueio de Ativação não é permitido por padrão, mas uma solução de gerenciamento de dispositivos móveis (MDM) pode permitir que o usuário o ative. Isso permite que a solução MDM guarde um código de contorno do dispositivo. Esse código de contorno poderá ser usado para desativar o Bloqueio de Ativação posteriormente. Um dispositivo gera um novo código de contorno quando:
É configurado pela primeira vez
É configurado depois de ser apagado sem que um backup do mesmo dispositivo seja restaurado
É configurado depois de ser apagado e restaurado do backup de um outro dispositivo
Opcionalmente, no caso de dispositivos gerenciados e supervisionados, uma solução MDM pode contatar diretamente os servidores da Apple para ativar o Bloqueio de Ativação. Isso acontece integralmente no lado do servidor e independe de ações do usuário ou do estado do dispositivo. A solução MDM precisa criar um código de contorno de 31 bytes e enviá‑lo aos servidores da Apple quando quiser ativar o Bloqueio de Ativação no dispositivo. O código de contorno da solução MDM deve ser criado aleatória e exclusivamente para cada dispositivo.
O Bloqueio de Ativação é exigido pelo processo de ativação depois da tela de seleção de Wi-Fi no Assistente de Configuração. Quando um dispositivo indica que está sendo ativado, ele envia um pedido a um servidor de ativação para obter um certificado de ativação.
É possível desbloquear dispositivos iPhone, iPad e Apple Vision Pro não supervisionados que estejam bloqueados com o Bloqueio de Ativação com:
As credenciais da Conta Apple pessoal que foi usada para ativar o Bloqueio de Ativação
O código usado anteriormente no dispositivo
É possível desbloquear dispositivos iPhone, iPad e Apple Vision Pro supervisionados que estejam bloqueados com o Bloqueio de Ativação com:
As credenciais da Conta Apple pessoal que foi usada para ativar o Bloqueio de Ativação
As credenciais da Conta Apple Gerenciada que foi usada para vincular a solução MDM ao Apple School Manager ou Apple Business Manager
O código de contorno guardado pela solução MDM
Uma chamada do MDM para os servidores da Apple com o mesmo código de contorno que ele usou para ativar o Bloqueio de Ativação
Nota: o Assistente de Configuração no iOS, iPadOS e visionOS progredirá apenas se for possível obter um certificado válido.
Comportamento no Apple Watch
O Bloqueio de Ativação em um Apple Watch não supervisionado está relacionado ao estado do Bloqueio de Ativação do iPhone emparelhado. Se o Bloqueio de Ativação estiver ativado no iPhone, o Apple Watch será instruído a contatar os servidores da Apple no final do processo de emparelhamento para ativar o Bloqueio de Ativação. Se o Bloqueio de Ativação não estiver ativado no iPhone no momento do emparelhamento, mas for ativado posteriormente, o iPhone:
Avisará a todos os dispositivos Apple Watch emparelhados para que contatem os servidores da Apple
Poderá ativar o Bloqueio de Ativação no Apple Watch
Como parte do processo de emparelhamento inicial, o iPhone envia um pedido ao servidor de ativação para receber um certificado de ativação para o Apple Watch.
Se o Apple Watch estiver bloqueado com o Bloqueio de Ativação, as credenciais da Conta Apple que foi usada para ativar o Bloqueio de Ativação será solicitada para desemparelhar, apagar ou reativar o Apple Watch.
Nota: o emparelhamento será concluído apenas se for possível obter um certificado válido.
Comportamento no Mac
Em um Mac não supervisionado, o Bloqueio de Ativação é ativado automaticamente quando o usuário inicia a sessão na respectiva Conta Apple e ativa o recurso Buscar. Em um Mac supervisionado, o Bloqueio de Ativação não é permitido por padrão, mas uma solução MDM pode permitir que o usuário o ative. Isso permite que a solução MDM guarde um código de contorno do dispositivo. Esse código de contorno poderá ser usado para desativar o Bloqueio de Ativação posteriormente. Um dispositivo gera um novo código de contorno quando:
É configurado pela primeira vez
É configurado depois de um apagamento
Comportamento adicional em um Mac com Apple Silicon
Em um Mac com Apple Silicon, o Gerenciador de Inicialização de Baixo Nível (LLB) verifica a existência de uma LocalPolicy válida no dispositivo e se os valores antirreprodução da política LocalPolicy coincidem com os valores armazenados no Componente de Armazenamento Seguro. O LLB inicializa no recoveryOS se:
Não houver uma LocalPolicy para o macOS atual
A LocalPolicy não for válida para a versão do macOS em questão
Os valores de hash do valor antirreprodução da política LocalPolicy não coincidirem com os valores dos hashes armazenados no Componente de Armazenamento Seguro
O recoveryOS detecta que o Mac não está ativado e contata o servidor de ativação para obter um certificado de ativação.
Se o dispositivo estiver bloqueado com o Bloqueio de Ativação enquanto no recoveryOS, será possível desbloquear o Bloqueio de Ativação com:
As credenciais da Conta Apple pessoal que foi usada para ativar o Bloqueio de Ativação
A senha usada anteriormente no dispositivo pelo usuário local que ativou o Bloqueio de Ativação
O código de contorno guardado pela solução MDM
Depois de obter um certificado de ativação válido, a chave do certificado de ativação é usada para obter um certificado RemotePolicy. O Mac usa a chave LocalPolicy e o certificado RemotePolicy para produzir uma LocalPolicy válida.
Nota: o LLB não permitirá a inicialização do macOS sem a presença de uma LocalPolicy válida.
Comportamento adicional em um Mac com o chip T2
Em um Mac com o chip T2, o firmware do chip T2 verifica se um certificado de ativação válido está presente antes de permitir que o computador inicialize no macOS. O firmware da UEFI carregado pelo chip T2 é responsável por consultar o estado de ativação do dispositivo a partir do chip T2. O Mac inicializa no recoveryOS se:
Um certificado de ativação válido não estiver presente
O recoveryOS detecta que o Mac não está ativado e contata o servidor de ativação para obter um certificado de ativação.
Se o Mac estiver bloqueado com o Bloqueio de Ativação enquanto no recoveryOS, será possível desbloquear o Bloqueio de Ativação com:
As credenciais da Conta Apple pessoal que foi usada para ativar o Bloqueio de Ativação
A senha usada anteriormente no dispositivo pelo usuário local que ativou o Bloqueio de Ativação
O código de contorno guardado pela solução MDM
Nota: o firmware da UEFI não permitirá a inicialização do macOS sem a presença de um certificado de ativação válido.
Gerenciamento do Bloqueio de Ativação no Apple School Manager ou Apple Business Manager
Se um dispositivo Apple estiver registrado em uma organização do Apple School Manager ou Apple Business Manager, usuários com funções com privilégios para Gerenciar Dispositivo poderão desativar o Bloqueio de Ativação em dispositivos de propriedade da organização. Essa opção está disponível apenas para dispositivos registrados na organização antes da ativação do Bloqueio de Ativação e que não foram liberados. Como o Bloqueio de Ativação é desativado com chamadas do lado do servidor, não é preciso que um dispositivo seja gerenciado por uma solução MDM.
Nota: não é possível adicionar dispositivos atualmente bloqueados com o Bloqueio de Ativação à uma organização do Apple School Manager ou Apple Business Manager.