Apple 裝置上的啟用鎖定
開啟「啟用鎖定」後,此功能可讓任何人都難以使用或出售某人的 iPhone、iPad、Mac 或 Apple Watch。透過 MDM 解決方案管理「啟用鎖定」可讓你的組織受益於其防盜嚇阻功能,同時提供你替組織擁有的裝置關閉「啟用鎖定」的能力。
「啟用鎖定」的類型有兩種:
組織連結式:組織連結式「啟用鎖定」需要「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」而且整體上更易於組織管理。這可讓 MDM 解決方案透過伺服器端互動完全控制「啟用鎖定」的開啟和關閉。
使用者連結式:使用者連結式「啟用鎖定」需要使用者具備個人「Apple 帳號」(非「管理式 Apple 帳號」)並令其開啟「尋找」。如果 MDM 解決方案允許「啟用鎖定」,則此方法可讓使用者將組織連結式裝置鎖定到其個人「Apple 帳號」。
【注意】部分 MDM 解決方案支援「啟用鎖定」方法和直接將其開啟;若嘗試兩者皆使用,第一個成功的「啟用鎖定」事件會優先採用。
關閉「啟用鎖定」
在「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中,擁有「管理裝置」權限的使用者可以替其組織擁有的 iPhone、iPad、Mac、Apple Watch 或 Apple Vision Pro 關閉組織連結式和使用者連結式「啟用鎖定」。裝置必須在「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中顯示;然而該裝置不需要指派到 MDM 伺服器。
如需更多資訊,請參閱:
iPhone 和 iPad 的組織連結式「啟用鎖定」
允許組織連結式「啟用鎖定」表示 MDM 解決方案(非使用者)會直接聯絡 Apple 伺服器來鎖定或解鎖裝置。由於這完全是在伺服器端完成的,因此不依賴於使用者動作或其裝置的狀態。MDM 解決方案會製作自己的略過代碼,並在需要為裝置開啟或關閉「啟用鎖定」時將其傳送到 Apple 伺服器。
假設你的 MDM 解決方案未能成功移除「啟用鎖定」。那麼請在「啟用鎖定畫面」上,從帳號輸入建立 MDM 伺服器代號(用於連接 MDM 解決方案到「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」)之帳號的使用者名稱和密碼。這是一個具有「管理者」、「網站管理員」(僅限「Apple 校務管理」)或「裝置註冊管理員」職務的帳號。
【重要事項】如果你的裝置已指派到與「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」連結的 MDM 解決方案,你應該使用此方法。
使用者連結式「啟用鎖定」
與組織連結式「啟用鎖定」相比,使用者連結式「啟用鎖定」可讓使用者透過其個人 iCloud 帳號鎖定組織擁有的裝置。
在這種情況下,MDM 解決方案可以允許使用者在組織連結式受監管裝置上開啟「啟用鎖定」。由於受監管裝置預設不允許「啟用鎖定」,因此 MDM 解決方案應取得裝置製作的略過代碼並將其儲存,然後再允許使用者開啟「啟用鎖定」。如果使用者因為任何原因無法使用他們的「Apple 帳號」進行認證,包括他們是否離開了組織,當需要清除裝置並指派給新使用者時,透過 MDM 此略過代碼可用於遠端或直接在設備上關閉「啟用鎖定」。
在 iPhone 和 iPad 上,略過代碼在裝置首次受監管後最多可用 15 天,或是直到 MDM 解決方案已明確取得並通過代碼為止。若 MDM 解決方案未在 15 天內取回略過代碼,該略過代碼便無法取回。
Mac 電腦需要 Apple 晶片或 Apple T2 安全晶片才有資格使用「啟用鎖定」。若有資格的 Mac 電腦使用的是「裝置註冊」並升級到 macOS 10.15 或以上版本,「啟用鎖定」仍會預設為不允許,但可由使用者選擇允許。安裝(非升級)macOS 10.15 或以上版本時管理「啟用鎖定」會要求裝置必須受到監管。在 macOS 11 或以上版本中,若裝置使用「裝置註冊」而受監管,「啟用鎖定」在裝置註冊到 MDM 之前都無法受到管理。這表示「啟用鎖定」可能已經在裝置註冊到 MDM 時開啟並受監管。在此情況下便無法使用 MDM 關閉,而且會預設為不允許直到使用者先將其關閉。
如果你實際擁有該裝置,在 iPhone 或 iPad 上,在「Apple 帳號」密碼欄位中輸入「啟用鎖定畫面」上的 MDM「啟用鎖定」略過代碼,然後將使用者名稱欄位留空。在 Mac 上,略過代碼可透過按一下選單列中的「密鑰恢復輔助程式」並選取「使用 MDM 密鑰啟用」選項來輸入。請參閱 MDM 廠商的文件以瞭解何處可以找到略過代碼。
當 MDM 允許使用者連結式「啟用鎖定」,會發生以下情形:
如果在你的 MDM 解決方案允許「啟用鎖定」時,「尋找」為開啟狀態,「啟用鎖定」便會在那時啟用。
如果在你的 MDM 解決方案允許「啟用鎖定」時,「尋找」為關閉狀態,則會在下次使用者開啟「尋找」時開啟「啟用鎖定」。
使用略過代碼來清除「啟用鎖定」
MDM 解決方案用來管理「啟用鎖定」的略過代碼相當重要,其會影響你清除「啟用鎖定」的能力。這些略過代碼應定期確保安全和備份。若 MDM 廠商進行了更動,請確定廠商已提供你略過代碼的副本,或是清除所有已註冊裝置的「啟用鎖定」。
若要清除支援雙 SIM 卡之 Apple 裝置上的「啟用鎖定」,MDM 解決方案必須在要求中包含兩者的國際行動裝置辨識碼 IMEI 值。針對 MDM 廠商,請參閱 Apple 開發者網站上的製作和使用略過代碼。
如果你的 MDM 解決方案無法移除「啟用鎖定」,請聯繫你的 MDM 供應商支援資源或請參閱:Apple 支援文章如何移除「啟用鎖定」。