啟用鎖定安全性
「啟用鎖定」有助於防止未經授權的使用者重新啟用遺失或被竊的 iPhone、iPad、Mac、Apple Watch 和 Apple Vision Pro。即使裝置被清除,「啟用鎖定」仍然保持啟用狀態。這使得他人更難使用或販售失竊的裝置。Apple 強制執行「啟用鎖定」的方式會根據裝置的不同而有所變化。
iPhone 零件上的「啟用鎖定」
Apple 擴展了 iPhone 的「啟用鎖定」,涵蓋了各個零件,以協助防止被竊的零件流入市場。在維修過程中,如果 iPhone 偵測到某個支援的零件來自另一台開啟了「啟用鎖定」或「遺失模式」的 iPhone,該零件將會受到限制,無法進行校準。這項對「啟用鎖定」功能的增強進一步延伸了 Apple 對保護使用者的承諾,同時在維修方面增加了消費者的選擇。
在 iPhone、iPad 和 Apple Vision Pro 上的行為
在未受監管的 iPhone、iPad 和 Apple Vision Pro 上,當使用者登入「Apple 帳號」並開啟「尋找」時,「啟用鎖定」會自動啟用。
在受監管的裝置上,「啟用鎖定」預設為不允許使用,但行動裝置管理(MDM)解決方案可以允許使用者啟用此功能。這樣可以讓 MDM 解決方案從裝置託管略過代碼。該略過代碼稍後可用來停用「啟用鎖定」。裝置在以下情況下會產生新的略過代碼:
首次設定裝置時
裝置經過清除後設定,並且未從該相同裝置的備份回復資料
裝置經過清除後設定,並從其他裝置的備份回復資料
另外,對於受管理和監管的裝置,MDM 解決方案可以直接聯絡 Apple 伺服器來啟用「啟用鎖定」。此過程完全在伺服器端進行,無需使用者動作或依賴裝置的狀態。當 MDM 解決方案希望啟用裝置的「啟用鎖定」時,必須製作一個 31 位元的略過代碼,然後將其傳送到 Apple 伺服器。MDM 解決方案的略過代碼應隨機製作,並且對每個裝置都應是唯一的。
在「設定輔助程式」中的 Wi-Fi 選擇螢幕之後,將透過啟用程序來強制執行「啟用鎖定」。當裝置指出其正在啟用時,將會向啟用伺服器傳送要求以取得啟用憑證。
使用「啟用鎖定」鎖定的未受監管 iPhone、iPad 和 Apple Vision Pro 裝置,可以透過以下方式解鎖:
用來啟用「啟用鎖定」的個人 Apple 帳號的憑證
之前使用的裝置密碼
使用「啟用鎖定」鎖定的受監管 iPhone、iPad 和 Apple Vision Pro 裝置,可以透過以下方式解鎖:
用來啟用「啟用鎖定」的個人 Apple 帳號的憑證
用來將 MDM 解決方案與「Apple 校務管理」或「Apple 商務管理」連結的「管理式 Apple 帳號」憑證
MDM 解決方案託管的略過代碼
MDM 解決方案使用相同的略過代碼向 Apple 伺服器發出伺服器端要求來啟用「啟用鎖定」
【注意】在 iOS、iPadOS 和 visionOS 的「設定輔助程式」中,除非能夠取得有效的憑證,否則設定過程無法繼續。
在 Apple Watch 上的行為
在未受監管的 Apple Watch 上,「啟用鎖定」與配對之 iPhone 的「啟用鎖定」狀態相關聯。如果 iPhone 啟用了「啟用鎖定」,則在配對過程結束時,Apple Watch 會被指示聯絡 Apple 伺服器以啟用「啟用鎖定」。如果在配對時 iPhone 未啟用「啟用鎖定」,但稍後啟用,則 iPhone:
會提示所有已配對的 Apple Watch 裝置聯絡 Apple 伺服器
可以在 Apple Watch 上啟用「啟用鎖定」
作為初始配對過程的一部分,iPhone 會向啟用伺服器傳送要求,為 Apple Watch 取得啟用憑證
如果 Apple Watch 因為「啟用鎖定」功能而鎖定,使用者會被提示輸入當時用來啟用「啟用鎖定」的 Apple 帳號憑證,才能取消配對、清除或重新啟用 Apple Watch。
【注意】除非能夠取得有效的憑證,否則配對無法完成。
在 Mac 上的行為
在未受監管的 Mac 上,當使用者以其「Apple 帳號」登入並開啟「尋找」時,「啟用鎖定」會自動啟用。對於受監管的 Mac,「啟用鎖定」預設為不允許使用,但 MDM 解決方案可以允許使用者啟用此功能。這樣可以讓 MDM 解決方案從裝置託管略過代碼。該略過代碼稍後可用來停用「啟用鎖定」。裝置在以下情況下會產生新的略過代碼:
首次設定裝置時
在清除後設定裝置
在配備 Apple 晶片的 Mac 上的其他行為
在配備 Apple 晶片的 Mac 上,Low Level Bootloader(LLB)會驗證該裝置是否存在有效的 LocalPolicy,以及 LocalPolicy 規則的反重放值是否與「安全儲存元件」中儲存的值相符。如果出現以下情況,LLB 會開機進入 RecoveryOS:
目前的 macOS 沒有 LocalPolicy
該版本 macOS 的 LocalPolicy 無效
LocalPolicy 反重放值雜湊值與「安全儲存元件」中儲存的值不相符
RecoveryOS 偵測到 Mac 未啟用,就會與啟用伺服器聯絡以取得啟用憑證。
如果裝置在 RecoveryOS 中使用「啟用鎖定」進行鎖定,則可以透過以下方式解鎖「啟用鎖定」:
用來啟用「啟用鎖定」的個人 Apple 帳號的憑證
先前使用的本機使用者裝置密碼(啟用「啟用鎖定」的使用者)
MDM 解決方案託管的略過代碼
取得有效的啟用憑證後,該啟用憑證密鑰將用來取得 RemotePolicy 憑證。Mac 使用 LocalPolicy 密鑰和 RemotePolicy 憑證來產生有效的 LocalPolicy。
【注意】除非存在有效的 LocalPolicy,否則 LLB 將不會允許 macOS 開機。
在配備 T2 晶片的 Mac 上的其他行為
在配備 T2 晶片的 Mac 上,T2 晶片韌體會先驗證是否存在有效的啟用憑證,再允許電腦開機至 macOS。由 T2 晶片載入的 UEFI 韌體負責從 T2 晶片查詢裝置的啟用狀態。如果出現以下情況,Mac 會開機進入 RecoveryOS:
如果未找到有效的啟用憑證
RecoveryOS 偵測到 Mac 未啟用,就會與啟用伺服器聯絡以取得啟用憑證。
如果 Mac 在 RecoveryOS 中使用「啟用鎖定」進行鎖定,則可以透過以下方式解鎖「啟用鎖定」:
用來啟用「啟用鎖定」的個人 Apple 帳號的憑證
先前使用的本機使用者裝置密碼(啟用「啟用鎖定」的使用者)
MDM 解決方案託管的略過代碼
【注意】除非具有有效的啟用憑證,否則 UEFI 韌體將不允許 macOS 開機。
在「Apple 校務管理」或「Apple 商務管理」中管理「啟用鎖定」
如果 Apple 裝置已註冊於「Apple 校務管理」或「Apple 商務管理」組織,使用者如果有角色具備「管理裝置」權限,就可以為組織擁有的裝置關閉「啟用鎖定」。此選項僅適用於在啟用「啟用鎖定」之前註冊於該組織且尚未釋出的裝置。由於「啟用鎖定」是透過伺服器端呼叫來停用的,因此裝置不需要由 MDM 解決方案進行管理。
【注意】目前已使用「啟用鎖定」進行鎖定的裝置,無法加入到「Apple 校務管理」或「Apple 商務管理」組織中。