Säkerhet för Aktiveringslås
Aktiveringslås hjälper till att förhindra oauktoriserade användare från att återaktivera en iPhone, iPad, Mac, Apple Watch och Apple Vision Pro om den förloras eller stjäls. Låset förblir aktiverat även om enheten raderas. Detta gör det svårare för någon annan att använda eller sälja en saknad enhet. Hur Apple genomdriver Aktiveringslås varierar beroende på enhet.
Aktiveringslås på iPhone-delar
Apple utökar Aktiveringslås för iPhone så att det täcker enskilda delar, vilket bidrar till att försvåra att stulna delar hamnar på marknaden. Om en iPhone som repareras upptäcker att en del som stöds kommer från en annan iPhone med Aktiveringslås eller Förlorat läge aktiverat begränsas kalibrering för den delen. Den här förbättringen av Aktiveringslås-funktionen innebär att Apple ytterligare utökar sitt engagemang för att skydda användare och ökar kundernas val när det gäller reparationer.
Beteende på iPhone, iPad och Apple Vision Pro
På en oövervakad iPhone, iPad och Apple Vision Pro aktiveras Aktiveringslås automatiskt när användaren loggar in på sitt Apple-konto och slår på Hitta.
På en övervakad enhet är Aktiveringslås inte tillåtet som förval, men en MDM-lösning kan tillåta att användaren aktiverar det. Det gör det möjligt för MDM-lösningen att deponera en förbigångskod från enheten, Förbigångskoden kan sedan användas till att avaktivera Aktiveringslås vid ett senare tillfälle. En enhet genererar en ny förbigångskod när:
Enheten ställs in för första gången.
Enheten ställs in efter en radering och enheten återskapas inte från en säkerhetskopiering av samma enhet.
Enheten ställs in efter en radering och enheten återskapas från en säkerhetskopiering av en annan enhet.
För hanterade och övervakade enheter kan en MDM-lösning även kontakta Apple-servrar direkt för att aktivera Aktiveringslås. Det sker helt och hållet på serversidan och är inte avhängigt av användaråtgärder eller enhetsstatus. MDM-lösningen måste skapa en förbigångskod på 31 byte och sedan skicka den till Apple-servrar när den vill aktivera Aktiveringslås för enheten. MDM-lösningens förbigångskod bör skapas slumpmässigt och vara unik för varje enhet.
Aktiveringslås genomdrivs under aktiveringsprocessen efter skärmen för val av Wi-Fi i inställningsassistenten. När en enhet indikerar att den aktiveras skickas en begäran till aktiveringsservern om att få ett aktiveringscertifikat.
Oövervakade iPhone-, iPad- och Apple Vision Pro-enheter som är låsta med Aktiveringslås kan låsas upp av:
Inloggningsuppgifterna för det personliga Apple-konto som användes till att aktivera Aktiveringslås.
Den tidigare använda enhetslösenkoden.
Övervakade iPhone-, iPad- och Apple Vision Pro-enheter som är låsta med Aktiveringslås kan låsas upp av:
Inloggningsuppgifterna för det personliga Apple-konto som användes till att aktivera Aktiveringslås.
Inloggningsuppgifterna för det hanterade Apple‑konto som användes till att länka MDM-lösningen till Apple School Manager eller Apple Business Manager.
Förbigångskoden som deponerades av MDM-lösningen.
MDM-lösningen anropar Apple-servrar med samma förbigångskod den använde till att aktivera Aktiveringslås.
Obs! Inställningsassistenten i iOS, iPadOS och visionOS går inte vidare förrän ett giltigt certifikat kan erhållas.
Beteende på Apple Watch
Aktiveringslås på en oövervakad Apple Watch är relaterat till aktiveringslåsstatusen på dess parkopplade iPhone. Om Aktiveringslås är aktiverat på iPhone instrueras Apple Watch att kontakta Apple-servrar vid slutet av parkopplingsprocessen för att slå på Aktiveringslås. Om Aktiveringslås inte är aktiverat på iPhone vid tidpunkten för parkopplingen med aktiveras senare kan iPhone:
Beordra alla parkopplade Apple Watch-enheter att kontakta Apple-servrar.
Aktivera Aktiveringslås på Apple Watch.
Som en del av parkopplingsprocessen skickar iPhone en förfrågan till aktiveringsservern för att få ett aktiveringscertifikat för Apple Watch.
Om Apple Watch är låst med Aktiveringslås uppmanas användaren att ange inloggningsuppgifterna för det Apple-konto som användes till att aktivera Aktiveringslås vid tidpunkten för borttagning av parkoppling, radering eller återaktivering av Apple Watch.
Obs! Parkoppling kan inte slutföras förrän ett giltigt certifikat kan erhållas.
Beteende på Mac
På en oövervakad Mac aktiveras Aktiveringslås automatiskt när användaren loggar in på sitt Apple-konto och slår på Hitta. På en övervakad Mac är Aktiveringslås inte tillåtet som förval, men en MDM-lösning kan tillåta att användaren aktiverar det. Det gör det möjligt för MDM-lösningen att deponera en förbigångskod från enheten, Förbigångskoden kan sedan användas till att avaktivera Aktiveringslås vid ett senare tillfälle. En enhet genererar en ny förbigångskod när:
Enheten ställs in för första gången.
Enheten ställs in efter en radering.
Ytterligare beteende på en Mac med Apple Silicon
På en Mac med Apple Silicon verifierar LLB (Low Level Bootloader) att det finns en giltig LocalPolicy-policy för enheten och att dess anti-replay-värden stämmer överens med de värden som lagras i SSC (Secure Storage Component). LLB startar i recoveryOS om:
Det inte finns någon LocalPolicy för aktuellt macOS.
LocalPolicy är ogiltigt för den versionen av macOS.
LocalPolicys anti-replay-värden inte stämmer överens med de hash-värden som lagras i SSC.
recoveryOS märker att datorn inte är aktiverad och kontaktar aktiveringsservern för att få ett aktiveringscertifikat.
Om enheten är låst med Aktiveringslås medan den befinner sig i recoveryOS kan Aktiveringslås låsas upp av:
Inloggningsuppgifterna för det personliga Apple-konto som användes till att aktivera Aktiveringslås.
Det tidigare använda enhetslösenordet för den lokala användare som aktiverade Aktiveringslås.
Förbigångskoden som deponerades av MDM-lösningen.
När ett giltigt aktiveringscertifikat har erhållits används nyckeln för det aktiveringscertifikatet till att få ett RemotePolicy-certifikat. Mac-datorn använder LocalPolicy-nyckeln och RemotePolicy-certifikatet till att skapa en giltig LocalPolicy.
Obs! LLB tillåter inte start i macOS om det inte finns någon giltig LocalPolicy.
Ytterligare beteende på en Mac med T2-krets
På en Mac med T2-krets verifierar T2-kretsens fasta programvara att det finns ett giltigt aktiveringscertifikat innan datorn tillåts att starta i macOS. Den fasta UEFI-programvara som läses in av T2-kretsen ansvarar för att efterfråga aktiveringsstatus för enheten från T2-kretsen. Mac-datorn startar i recoveryOS om:
Ett giltigt aktiveringscertifikat saknas.
recoveryOS märker att datorn inte är aktiverad och kontaktar aktiveringsservern för att få ett aktiveringscertifikat.
Om datorn är låst med Aktiveringslås medan den befinner sig i recoveryOS kan Aktiveringslås låsas upp av:
Inloggningsuppgifterna för det personliga Apple-konto som användes till att aktivera Aktiveringslås.
Det tidigare använda enhetslösenordet för den lokala användare som aktiverade Aktiveringslås.
Förbigångskoden som deponerades av MDM-lösningen.
Obs! Den fasta UEFI-programvaran tillåter inte att macOS startar om det saknas ett giltigt aktiveringscertifikat.
Hantering av Aktiveringslås i Apple School Manager eller Apple Business Manager
Om en Apple-enhet är registrerad i en Apple School Manager- eller Apple Business Manager-organisation kan användare med en roll som har behörighet att hantera enheter stänga av Aktiveringslås för organisationsägda enheter. Det här alternativet är endast tillgängligt för enheter som har registrerats i organisationen innan Aktiveringslås aktiverades och som inte har släppts. Eftersom Aktiveringslås avaktiveras via anrop på serversidan behöver en enhet inte hanteras av en MDM-lösning.
Obs! Enheter som för närvarande är låsta med Aktiveringslås kan inte läggas till i en Apple School Manager- eller Apple Business Manager-organisation.