Sicherheit bei der Aktivierungssperre
Die Aktivierungssperre hilft dabei, unautorisierte Benutzer:innen daran zu hindern, ein iPhone, iPad, Mac, eine Apple Watch oder eine Apple Vision Pro zu reaktivieren, falls das entsprechende Gerät verloren gegangen oder gestohlen wurde. Sie bleibt aktiviert, auch wenn das Gerät gelöscht wird. Dadurch wird die Verwendung oder der Verkauf eines verloren gegangenen Gerätes erschwert. Wie Apple die Aktivierungssperre erzwingt, hängt von dem entsprechenden Gerät ab.
Aktivierungssperre bei iPhone-Bauteilen
Apple erweitert die Aktivierungssperre für das iPhone, um auch individuelle Bauteile abzudecken. Dadurch soll verhindert werden, dass gestohlene Bauteile verkauft werden. Während einer Reparatur wird die Kalibrierung des entsprechenden Bauteils eingeschränkt, wenn das iPhone feststellt, dass ein unterstütztes Bauteil von einem iPhone stammt, auf dem die Aktivierungssperre oder der Modus „Verloren“ aktiviert wurde. Diese Verbesserung der Aktivierungssperrenfunktion erweitert außerdem die Bemühungen von Apple, die Benutzer:innen besser zu schützen und dabei die Entscheidungsoptionen von Konsument:innen bei Reparaturen zu verbessern.
Verhalten auf dem iPhone, iPad und der Apple Vision Pro
Auf nicht betreuten iPhone-, iPad- oder Apple Vision Pro-Geräten wird die Aktivierungssperre automatisch aktiviert, wenn sich Benutzer:innen bei ihrem Apple Account anmelden und „Wo ist?“ aktivieren.
Auf einem betreuten Gerät ist die Aktivierungssperre standardmäßig nicht erlaubt. Eine MDM-Lösung (Mobile Device Management) kann jedoch Benutzer:innen das Einschalten der Aktivierungssperre erlauben. Dadurch kann die MDM-Lösung einen Umgehungscode für das Gerät verwalten. Mit diesem Umgehungscode kann dann zu einem späteren Zeitpunkt die Aktivierungssperre deaktiviert werden. Das Gerät erstellt in den folgenden Fällen einen neuen Umgehungscode:
Bei der Ersteinrichtung des Gerätes
Bei der Einrichtung des Gerätes nach einer Löschung, wenn das Gerät nicht mit einem Backup desselben Gerätes wiederhergestellt wird
Bei der Einrichtung des Gerätes nach einer Löschung, wenn das Gerät mit einem Backup eines anderen Gerätes wiederhergestellt wird
Bei verwalteten und betreuten Geräten kann eine MDM-Lösung auch die Apple-Server direkt kontaktieren, um die Aktivierungssperre zu aktivieren. Dies wird vollständig serverseitig durchgeführt und ist unabhängig von Benutzeraktionen oder dem Gerätestatus. Die MDM-Lösung muss einen 31-Byte großen Umgehungscode erstellen und diesen dann an die Apple-Server senden, wenn die Aktivierungssperre für das Gerät aktiviert werden soll. Der Umgehungscode der MDM-Lösung sollte zufällig erstellt und für jedes Gerät einzigartig sein.
Die Aktivierungssperre wird im Systemassistenten nach dem Bildschirm für die WLAN-Auswahl erzwungen. Wenn ein Gerät signalisiert, dass es aktiviert wird, sendet es eine Anfrage an den Aktivierungsserver, um ein Aktivierungszertifikat zu erhalten.
Mit der Aktivierungssperre gesperrte iPhone-, iPad- und Apple Vision Pro-Geräte, die nicht betreut werden, können auf folgende Weise entsperrt werden:
Mit den Anmeldedaten des persönlichen Apple Accounts, mit dem die Aktivierungssperre aktiviert wurde
Mit dem zuvor verwendeten Gerätecode
Mit der Aktivierungssperre gesperrte iPhone-, iPad- und Apple Vision Pro-Geräte, die betreut werden, können auf folgende Weise entsperrt werden:
Mit den Anmeldedaten des persönlichen Apple Accounts, mit dem die Aktivierungssperre aktiviert wurde
Mit den Anmeldedaten des verwalteten Apple Accounts, der für die Verknüpfung der MDM-Lösung mit Apple School Manager oder Apple Business Manager verwendet wurde
Mit dem von der MDM-Lösung verwalteten Umgehungscode
Mit einer serverseitigen Anfrage der MDM-Lösung an die Apple-Server mit demselben Umgehungscode, der für die Aktivierung der Aktivierungssperre verwendet wurde
Hinweis: Der Systemassistent in iOS, iPadOS und visionOS führt den Prozess erst fort, wenn ein gültiges Zertifikat erhalten wurde.
Verhalten auf der Apple Watch
Die Aktivierungssperre auf einer nicht betreuten Apple Watch ist mit dem Status der Aktivierungssperre auf dem gekoppelten iPhone verbunden. Wenn auf dem iPhone die Aktivierungssperre aktiviert ist, wird die Apple Watch angewiesen, am Ende des Kopplungsvorganges die Apple-Server zu kontaktieren, um die Aktivierungssperre zu aktivieren. Wenn die Aktivierungssperre auf dem iPhone beim Koppeln nicht aktiviert ist, sie aber zu einem späteren Zeitpunkt aktiviert wird, hat das iPhone folgende Möglichkeiten:
Alle gekoppelten Apple Watch-Geräte zum Kontaktieren der Apple-Server auffordern
Kann die Aktivierungssperre auf der Apple Watch aktivieren
Im Rahmen des ersten Kopplungsvorganges kontaktiert das iPhone den Aktivierungsserver, um ein Aktivierungszertifikat für die Apple Watch anzufordern.
Wenn die Apple Watch mit der Aktivierungssperre gesperrt wurde, werden die Benutzer:innen nach den Anmeldedaten des Apple Accounts gefragt, der zu dieser Zeit für das Einschalten der Aktivierungssperre verwendet wurde, um die Kopplung einer Apple Watch aufzuheben, sie zu löschen oder zu reaktivieren.
Hinweis: Der Kopplungsvorgang kann nur mit einem gültigen Zertifikat abgeschlossen werden.
Verhalten auf dem Mac
Auf einem nicht betreuten Mac wird die Aktivierungssperre automatisch aktiviert, wenn sich Benutzer:innen bei ihrem Apple Account anmelden und „Wo ist?“ aktivieren. Auf einem betreuten Mac ist die Aktivierungssperre standardmäßig nicht erlaubt. Eine MDM-Lösung kann jedoch Benutzer:innen das Einschalten der Aktivierungssperre erlauben. Dadurch kann die MDM-Lösung einen Umgehungscode für das Gerät verwalten. Mit diesem Umgehungscode kann dann zu einem späteren Zeitpunkt die Aktivierungssperre deaktiviert werden. Das Gerät erstellt in den folgenden Fällen einen neuen Umgehungscode:
Bei der Ersteinrichtung des Gerätes
Bei der Einrichtung des Gerätes nach einer Löschung
Zusätzliches Verhalten auf einem Mac mit Apple Chips
Auf einem Mac mit Apple Chips stellt der Low-Level-Bootloader (LBB) sicher, dass eine gültige LocalPolicy-Datei – eine gültige lokale Richtlinie – für das Gerät vorhanden ist und dass die Nonce-Werte dieser lokalen Richtlinie mit den Werten übereinstimmen, die in der Secure Storage-Komponente gespeichert sind. Der LLB startet recoveryOS in den folgenden Fällen:
Es gibt keine lokale Richtlinie (LocalPolicy) für das aktuelle macOS.
Die lokale Richtlinie (LocalPolicy) ist für die jeweilige Version von macOS ungültig.
Die Nonce-Hash-Werte der lokalen Richtlinie stimmen nicht mit den Hash-Werten überein, die in der Secure Storage-Komponente gespeichert sind.
recoveryOS erkennt, dass der Mac nicht aktiviert wurde, und stellt die Verbindung zum Aktivierungsserver her, um ein Aktivierungszertifikat zu erhalten.
Wenn das Gerät mithilfe der Aktivierungssperre im recoveryOS gesperrt wird, kann die Aktivierungssperre auf folgende Weise deaktiviert werden:
Mit den Anmeldedaten des persönlichen Apple Accounts, mit dem die Aktivierungssperre aktiviert wurde
Mit dem zuvor verwendeten Gerätepasswort des lokalen Benutzeraccounts, mit dem die Aktivierungssperre aktiviert wurde
Mit dem von der MDM-Lösung verwalteten Umgehungscode
Nachdem ein gültiges Aktivierungszertifikat empfangen wurde, wird der Schlüssel dieses Aktivierungszertifikats verwendet, um ein RemotePolicy-Zertifikat, d. h. ein Zertifikat für die „Remote-Richtlinie“ abzurufen. Der Mac verwendet den LocalPolicy-Schlüssel und das RemotePolicy-Zertifikat, um eine gültige lokale Richtlinie zu erstellen.
Hinweis: Der LLB lässt das Starten von macOS nur zu, wenn eine gültige lokale Richtlinie vorliegt.
Zusätzliches Verhalten auf einem Mac mit T2-Chip
Auf einem Mac mit T2-Chip verifiziert die Firmware dieses Chips, dass ein gültiges Aktivierungszertifikat vorliegt, bevor das Starten von macOS auf dem Computer erlaubt wird. Die UEFI-Firmware, die durch den T2-Chip geladen wird, ist verantwortlich dafür, den Aktivierungsstatus des Gerätes beim T2-Chip zu erfragen. Der Mac startet recoveryOS in den folgenden Fällen:
Es liegt kein gültiges Aktivierungszertifikat vor
recoveryOS erkennt, dass der Mac nicht aktiviert wurde, und stellt die Verbindung zum Aktivierungsserver her, um ein Aktivierungszertifikat zu erhalten.
Wenn der Mac mithilfe der Aktivierungssperre im recoveryOS gesperrt wird, kann die Aktivierungssperre auf folgende Weise deaktiviert werden:
Mit den Anmeldedaten des persönlichen Apple Accounts, mit dem die Aktivierungssperre aktiviert wurde
Mit dem zuvor verwendeten Gerätepasswort des lokalen Benutzeraccounts, mit dem die Aktivierungssperre aktiviert wurde
Mit dem von der MDM-Lösung verwalteten Umgehungscode
Hinweis: Die UEFI-Firmware lässt das Starten von macOS nur zu, wenn ein gültiges Aktivierungszertifikat vorliegt.
Aktivierungssperre in Apple School Manager oder Apple Business Manager verwalten
Wenn ein Apple-Gerät bei Apple School Manager oder Apple Business Manager von einer Organisation registriert wird, können Benutzer:innen mit einer Funktion, die Rechte zum Verwalten von Geräten besitzt, die Aktivierungssperre für die Geräte einer Organisation deaktivieren. Diese Option ist nur für Geräte verfügbar, die vor dem Einschalten der Aktivierungssperre bei der Organisation registriert wurden und nicht deregistriert sind. Da die Aktivierungssperre über serverseitige Aufrufe deaktiviert wird, muss ein Gerät nicht über eine MDM-Lösung verwaltet werden.
Hinweis: Geräte, die aktuell mit der Aktivierungssperre gesperrt sind, können nicht zu Apple School Manager oder Apple Business Manager einer Organisation hinzugefügt werden.