Aktivointilukitussuojaus
Aktivointilukitus auttaa estämään valtuuttamattomia käyttäjiä aktivoimasta iPadia, iPhonea, Macia, Apple Vision Prota tai Apple Watchia uudelleen, jos se kadotetaan tai varastetaan. Lukitus pysyy käytössä, vaikka laite tyhjennettäisiin. Näin kadonnutta laitetta on vaikeampi käyttää tai myydä. Apple toteuttaa aktivointilukituksen eri tavoin eri laitteissa.
Aktivointilukitus iPhonen osissa
Apple laajentaa iPhonen aktivointilukituksen koskemaan yksittäisiä osia, jotta varastettuja osia ei pääsisi markkinoille. Jos iPhone havaitsee korjauksen aikana, että tuettu osa on peräisin toisesta iPhonesta, jossa aktivointilukitus tai Kadonnut-tila on käytössä, kalibrointia kyseiselle osalle rajoitetaan. Tämä aktivointilukituksen parannus laajentaa entisestään Applen sitoumusta käyttäjien suojelemiseen ja lisää samalla kuluttajien valinnanvaraa korjauksissa.
Toiminta iPadissa, iPhonessa ja Apple Vision Prossa
Valvomattomassa iPadissa, iPhonessa ja Apple Vision Prossa aktivointilukitus otetaan automaattisesti käyttöön, kun käyttäjä kirjautuu Apple-tililleen ja laittaa päälle Etsi-toiminnon.
Valvotussa laitteessa aktivointilukitus on poistettu oletusarvoisesti käytöstä, mutta laitehallintapalvelu voi sallia käyttäjän ottaa se käyttöön. Näin palvelu voi tallentaa ohituskoodin laitteesta. Kyseisen ohituskoodin avulla voidaan tämän jälkeen laittaa aktivointilukitus pois päältä myöhemmin. Laite luo uuden ohituskoodin seuraavissa tilanteissa:
Laite otetaan käyttöön ensimmäistä kertaa
Laite otetaan käyttöön tyhjennyksen jälkeen, eikä sen sisältöä palauteta saman laitteen varmuuskopiosta.
Laite otetaan käyttöön tyhjennyksen jälkeen, ja sen sisältö palautetaan eri laitteen varmuuskopiosta.
Vaihtoehtoisesti hallituissa ja valvotuissa laitteissa laitehallintapalvelu voi ottaa yhteyttä suoraan Applen palvelimiin aktivointilukituksen ottamiseksi käyttöön. Tämä tehdään täysin palvelinpuolella, eivätkä käyttäjän toimet tai laitteen tila vaikuta siihen. Laitehallintapalvelun on luotava 31-bittinen ohituskoodi ja lähetettävä se sitten Applen palvelimille, kun se haluaa ottaa aktivointilukituksen käyttöön laitteelle. Palvelun ohituskoodin tulee olla satunnaisesti luotu ja yksilöllinen kullekin laitteelle.
Aktivointilukitus toteutetaan aktivointiprosessilla Wi-Fi-verkon valintanäytön jälkeen käyttöönottoapurissa. Kun laite kertoo, että se aktivoituu, se lähettää pyynnön aktivointipalvelimelle saadakseen aktivointivarmenteen.
Valvomattomat iPad-, iPhone- ja Apple Vision Pro -laitteet, jotka on lukittu aktivointilukituksella, voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aiemmin käytetty laitteen pääsykoodi
Valvotut iPad-, iPhone- ja Apple Vision Pro -laitteet, jotka on lukittu aktivointilukituksella, voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Tunnistetiedot hallitulta Apple-tililtä, jolla laitehallintapalvelu yhdistettiin Apple School Manageriin tai Apple Business Manageriin
Laitehallintapalvelun tallentama ohituskoodi
Laitehallintapalvelun palvelinpuolen puhelu Applen palvelimille samalla ohituskoodilla, jota se käytti aktivointilukituksen ottamiseksi käyttöön
Huomaa: iOS:n, iPadOS:n ja visionOS:n käyttöönottoapuri ei etene, ellei kelvollista varmennetta saada.
Toiminta Apple Watchissa
Valvomattomassa Apple Watchissa aktivointilukitus liittyy sen iPhonen aktivointilukituksen tilaan, josta on muodostettu pari laitteen kanssa. Jos kyseisessä iPhonessa on aktivointilukitus käytössä, Apple Watchia neuvotaan ottamaan yhteyttä Applen palvelimiin laiteparin muodostusprosessin lopussa aktivointilukituksen laittamiseksi päälle. Jos aktivointilukitus ei ole käytössä iPhonessa laiteparin muodostuksen aikana, mutta se otetaan myöhemmin käyttöön, iPhone tekee seuraavat:
Se kehottaa kaikkia pariksi muodostettuja Apple Watch -laitteita ottamaan yhteyttä Applen palvelimiin.
Se voi ottaa käyttöön aktivointilukituksen Apple Watchissa.
Osana ensimmäistä laiteparin muodostusprosessia iPhone lähettää aktivointipalvelimelle pyynnön saada aktivointivarmenne Apple Watchia varten.
Jos Apple Watch on lukittu aktivointilukituksella, käyttäjältä pyydetään sen Apple-tilin tunnistetietoja, jolla aktivointilukitus otettiin tuolloin käyttöön, Apple Watchin laiteparin poistamiseksi, sisällön tyhjentämiseksi tai laitteen uudelleenaktivoimiseksi.
Huomaa: Laiteparin muodostusta ei voi suorittaa loppuun, ellei kelvollista varmennetta saada.
Toiminta Macissa
Valvomattomassa Macissa aktivointilukitus otetaan automaattisesti käyttöön, kun käyttäjä kirjautuu Apple-tililleen ja laittaa päälle Etsi-toiminnon. Valvotussa Macissa aktivointilukitus on poistettu oletusarvoisesti käytöstä, mutta laitehallintapalvelu voi sallia käyttäjän ottaa se käyttöön. Näin palvelu voi tallentaa ohituskoodin laitteesta. Kyseisen ohituskoodin avulla voidaan tämän jälkeen laittaa aktivointilukitus pois päältä myöhemmin. Laite luo uuden ohituskoodin seuraavissa tilanteissa:
Laite otetaan käyttöön ensimmäistä kertaa
Laite otetaan käyttöön tyhjennyksen jälkeen.
Muu toiminta Applen sirulla varustetussa Macissa
Applen sirulla varustetussa Macissa Low Level Bootloader (LLB) tarkistaa, että laitteelle on olemassa kelvollinen LocalPolicy ja että LocalPolicy-käytännön toiston estävät arvot vastaavat Secure Storage ‑komponenttiin tallennettuja arvoja. LLB käynnistää recoveryOS:ään, jos:
nykyiselle macOS:lle ei ole LocalPolicya
LocalPolicy ei ole kelvollinen kyseiselle macOS-versiolle
LocalPolicyn toiston estävän arvon tiivistearvot eivät vastaa Secure Storage ‑komponenttiin tallennettuja arvoja
recoveryOS havaitsee, että Mac ei ole aktivoitu, ja yhdistää aktivointipalvelimeen aktivointivarmenteen saamista varten.
Jos laite on lukittu aktivointilukituksella recoveryOS:ssä, aktivointilukitus voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aktivointilukituksen käyttöön ottaneen paikallisen käyttäjän aiemmin käyttämä laitteen salasana
Laitehallintapalvelun tallentama ohituskoodi
Kun kelvollinen aktivointivarmenne on saatu, kyseisen aktivointivarmenteen avainta käytetään RemotePolicyn varmenteen saamista varten. Mac käyttää LocalPolicyn avainta ja RemotePolicyn varmennetta kelvollisen LocalPolicyn tuottamiseen.
Huomaa: LLB ei salli macOS:n käynnistämistä, jos kelvollinen LocalPolicy puuttuu.
Muu toiminta T2-sirulla varustetussa Macissa
T2‑sirulla varustetussa Macissa T2‑sirun laiteohjelmisto tarkistaa, että kelvollinen aktivointivarmenne löytyy, ennen kuin se sallii tietokoneelle käynnistyksen macOS:ään. T2-sirun lataama UEFI-laiteohjelmisto on vastuussa laitteen aktivointitilan pyytämisestä T2-sirulta. Mac käynnistää recoveryOS:ään, jos:
Kelvollinen aktivointivarmenne puuttuu.
recoveryOS havaitsee, että Mac ei ole aktivoitu, ja yhdistää aktivointipalvelimeen aktivointivarmenteen saamista varten.
Jos Mac on lukittu aktivointilukituksella recoveryOS:ssä, aktivointilukitus voidaan avata seuraavien avulla:
Tunnistetiedot henkilökohtaiselta Apple-tililtä, jolla aktivointilukitus otettiin käyttöön
Aktivointilukituksen käyttöön ottaneen paikallisen käyttäjän aiemmin käyttämä laitteen salasana
Laitehallintapalvelun tallentama ohituskoodi
Huomaa: UEFI-laiteohjelmisto ei salli macOS:n käynnistämistä, jos kelvollinen aktivointivarmenne puuttuu.
Aktivointilukituksen hallinta Apple School Managerissa tai Apple Business Managerissa
Jos Apple-laite on rekisteröity Apple School Manager- tai Apple Business Manager -organisaatiolle, käyttäjät, joiden rooli sisältää laitteiden hallintaoikeudet, voivat laittaa aktivointilukituksen pois päältä organisaation omistamissa laitteissa. Tämä valinta on saatavilla vain laitteille, jotka rekisteröitiin organisaatiolle ennen aktivointilukituksen käyttöönottoa ja joita ei ole vapautettu. Koska aktivointilukitus laitetaan pois päältä palvelinpuolen puheluilla, laitetta ei tarvitse hallita laitehallintapalvelulla.
Huomaa: Tällä hetkellä aktivointilukituksella lukittuja laitteita ei voi lisätä Apple School Manager- tai Apple Business Manager -organisaatioon.