Aktiveringslås-sikkerhet
Aktiveringslås bidrar til å forhindre at uautoriserte brukere reaktiverer en iPad, iPhone, Mac, Apple Vision Pro eller Apple Watch hvis enheten er mistet eller stjålet. Funksjonen forblir aktiv selv om enheten slettes. Dette gjør det vanskeligere for noen å bruke eller selge en mistet enhet. Hvordan Apple håndhever Aktiveringslås varierer avhengig av enheten.
Aktiveringslås på iPhone-deler
Apple utvider Aktiveringslås for iPhone for å dekke individuelle deler, slik at det blir enklere å forhindre at stjålne deler kommer ut på markedet. Hvis en iPhone som repareres, avdekker at en støttet del kommer fra en annen iPhone der Aktiveringslås eller Mistet-modus var aktivert, begrenses kalibreringen av den aktuelle delen. Denne forbedringen av Aktiveringslås-funksjonen styrker Apples fokus på å beskytte brukerne, samtidig som kundene får flere valgmuligheter når det gjelder reparasjoner.
Atferd på iPad, iPhone og Apple Vision Pro
En iPad, iPhone eller Apple Vision Pro som ikke er under tilsyn, aktiveres Aktiveringslås automatisk når brukeren logger på Apple-kontoen sin og slår på Hvor er.
Aktiveringslås er deaktivert som standard på enheter som er under tilsyn, men en tjeneste for enhetsadministrering kan tillate at brukeren aktiverer den. Dette gjør at tjenesten for enhetsadministrering kan deponere en overstyringskode fra enheten. Overstyringskoden kan så brukes til å slå av Aktiveringslås på et senere tidspunkt. En enhet genererer en ny overstyringskode når
enheten konfigureres for første gang
enheten konfigureres etter en sletting og den ikke gjenopprettes fra en sikkerhetskopi av den samme enheten
enheten konfigureres etter en sletting og den gjenopprettes fra en sikkerhetskopi av en annen enhet
For administrerte enheter og enheter som er under tilsyn, kan også en tjeneste for enhetsadministrering kontakte Apple-tjenere direkte for å aktivere Aktiveringslås. Dette gjøres kun på tjeneren, og det er ikke avhengig av brukerhandlinger eller enhetens tilstand. Tjenesten for enhetsadministrering må opprette en overstyringskode på 31 bytes, og deretter sende den til Apple-tjenere når den vil aktivere Aktiveringslås for enheten. Tjenestens overstyringskode skal opprettes tilfeldig og være unik for hver enhet.
Aktiveringslås håndheves gjennom aktiveringsprosessen etter skjermen med Wi-Fi-valg i Oppsettassistent. Når en enhet indikerer at den aktiveres, sender den en forespørsel til en Apple-tjener for å få et aktiveringssertifikat.
iPad-, iPhone- og Apple Vision Pro-enheter som ikke er under tilsyn, og som er låst med Aktiveringslås, kan låses opp ved hjelp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som ble brukt tidligere
En iPad, iPhone eller Apple Vision Pro som er under tilsyn, og som er låst med Aktiveringslås, kan låses opp ved hjelp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
akkreditivene til den administrerte Apple-kontoen som ble brukt for å koble tjenesten for enhetsadministrering til Apple School Manager eller Apple Business Manager
overstyringskoden som tjenesten for enhetsadministrering har deponert
et tjenersidekall fra tjenesten for enhetsadministrering til Apple-tjenere, med samme overstyringskode den brukte for å aktivere Aktiveringslås
Merk: Oppsettassistent i iOS, iPadOS og visionOS går ikke videre med mindre den får et gyldig sertifikat.
Atferd på Apple Watch
Aktiveringslås på en Apple Watch som ikke er under tilsyn, er knyttet til Aktiveringslås-statusen for den sammenkoblede iPhonen. Hvis Aktiveringslås er aktivert på iPhonen, får Apple Watch beskjed om å kontakte Apple-tjenere mot slutten av sammenkoblingsprosessen for å slå på Aktiveringslås. Hvis Aktiveringslås ikke er aktivert på iPhonen ved sammenkobling, men aktiveres senere, vil iPhonen
be alle sammenkoblede Apple Watch-enheter om å kontakte Apple-tjenere
kunne aktivere Aktiveringslås på Apple Watch
sende en forespørsel til aktiveringstjeneren for å få et aktiveringssertifikat for Apple Watch som en del av den første sammenkoblingsprosessen
Hvis Apple Watch er låst med Aktiveringslås, blir brukeren bedt om akkreditivene for Apple-kontoen som ble brukt til å aktivere Aktiveringslås, slik at en Apple Watch kan kobles fra, slettes eller aktiveres igjen.
Merk: Sammenkoblingen kan ikke fullføres hvis det ikke kan hentes et gyldig sertifikat.
Atferd på Mac
På en Mac som ikke er under tilsyn, aktiveres Aktiveringslås automatisk når brukeren logger på Apple-kontoen sin og slår på Hvor er. På en Mac som er under tilsyn, er Aktiveringslås deaktivert som standard, men en tjeneste for enhetsadministrering kan tillate at brukeren aktiverer den. Dette gjør at tjenesten for enhetsadministrering kan deponere en overstyringskode fra enheten. Overstyringskoden kan så brukes til å slå av Aktiveringslås på et senere tidspunkt. En enhet genererer en ny overstyringskode når
enheten konfigureres for første gang
enheten konfigureres etter at den har vært slettet
Ytterligere atferd på Mac med Apple-chip
På en Mac med Apple-chip verifiserer LLB (Low Level Bootloader) at det finnes en gyldig LocalPolicy for enheten, og at anti-repetisjonsverdiene til LocalPolicy-regelen stemmer overens med verdiene som er lagret i komponenten for sikker lagring. LLB starter opp i recoveryOS hvis
det ikke finnes en LocalPolicy for den nåværende macOS-versjonen
LocalPolicy er ugyldig for den versjonen av macOS
hash-verdiene for anti-repetisjonsverdien i LocalPolicy ikke stemmer overens med hashene for verdiene lagret i komponenten for sikker lagring
recoveryOS oppdager at Macen ikke er aktivert, og kontakter aktiveringstjeneren for å få et aktiveringssertifikat.
Hvis enheten er låst med Aktiveringslås i recoveryOS, kan Aktiveringslås låses opp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som den lokale brukeren som aktiverte Aktiveringslås, brukte tidligere
overstyringskoden som tjenesten for enhetsadministrering har deponert
Etter at et gyldig aktiveringssertifikat er innhentet, brukes denne aktiveringssertifikatnøkkelen til å innhente et RemotePolicy-sertifikat. Macen bruker LocalPolicy-nøkkelen og RemotePolicy-sertifikat til å lage en gyldig LocalPolicy.
Merk: LLB tillater ikke oppstart av macOS med mindre det finnes en gyldig LocalPolicy.
Ytterligere atferd på Mac med T2-chip
På Mac med T2-chip bekrefter firmwaren i T2-chipen at det finnes et gyldig aktiveringssertifikat før datamaskinen får lov til å starte opp til macOS. UEFI-firmware som lastes av T2-chipen, er ansvarlig for å spørre T2-chipen om enhetens status. Macen starter opp i recoveryOS hvis
det ikke finnes et gyldig valideringssertifikat
recoveryOS oppdager at Macen ikke er aktivert, og kontakter aktiveringstjeneren for å få et aktiveringssertifikat
Hvis Macen er låst med Aktiveringslås i recoveryOS, kan Aktiveringslås låses opp av
akkreditivene til den personlige Apple-kontoen som ble brukt for å aktivere Aktiveringslås
enhetskoden som den lokale brukeren som aktiverte Aktiveringslås, brukte tidligere
overstyringskoden som tjenesten for enhetsadministrering har deponert
Merk: UEFI-firmware tillater ikke oppstart av macOS med mindre det finnes et gyldig aktiveringssertifikat.
Administrere Aktiveringslås i Apple School Manager eller Apple Business Manager
Hvis en Apple-enhet er registrert i en Apple School Manager- eller Apple Business Manager-organisasjon, kan brukere som har en rolle med Administrer enheter-tilgang, slå av Aktiveringslås for enheter som eies av organisasjonen. Dette valget er bare tilgjengelig for enheter som ble registrert i organisasjonen før Aktiveringslås ble aktivert, og som ikke har blitt frigjort. Siden Aktiveringslås slås av ved hjelp av tjenersidekall, trenger ikke enheten å administreres av en tjeneste for enhetsadministrering.
Merk: Enheter som er låst med Aktiveringslås, kan ikke legges til i en Apple School Manager- eller Apple Business Manager-organisasjon.