Безопасность блокировки активации
Блокировка активации не позволяет посторонним людям заново активировать iPad, iPhone, Mac, Apple Vision Pro или Apple Watch в случае их потери или кражи. Она остается включенной даже после стирания всех данных с устройства. Это затрудняет несанкционированное использование или перепродажу устройства. На различных устройствах Apple обеспечивает работу блокировки активации различными способами.
Блокировка активации для деталей iPhone
Теперь блокировка активации работает и для отдельных деталей iPhone. Таким образом Apple помогает предотвратить перепродажу украденных деталей. Если в процессе ремонта iPhone определяет, что любая из поддерживаемых деталей снята с другого iPhone, на котором включены блокировка активации или режим пропажи, возможности калибровки этой детали ограничиваются. Улучшая функцию блокировки активации таким образом, Apple дополнительно защищает пользователей и расширяет выбор доступных вариантов при ремонте.
Работа функции на iPad, iPhone и Apple Vision Pro
Если iPad, iPhone или Apple Vision Pro не является контролируемым устройством, блокировка активации включается автоматически, когда пользователь входит в свой Аккаунт Apple и включает Локатор.
На контролируемом устройстве блокировка активации по умолчанию выключена, но в сервисе управления устройствами пользователю может быть разрешено ее включить. Это позволяет сервису получить от устройства код обхода блокировки. Затем этот код может использоваться для выключения блокировки активации. Устройство создает новый код обхода блокировки в следующих ситуациях:
при первоначальной настройке устройства;
при настройке устройства после стирания, если данные на устройстве не восстанавливаются из его резервной копии;
при настройке устройства после стирания, если данные на устройстве восстанавливаются из резервной копии другого устройства.
Кроме того, если устройство является управляемым или контролируемым,сервис управления устройствами может обратиться непосредственно на серверы Apple для включения блокировки активации. Эта задача полностью выполняется на сервере и не зависит от действий пользователя или состояния устройства. Сервису управления устройствами необходимо создать код обхода блокировки размером 31 байт, а затем отправить его на серверы Apple, когда необходимо включить блокировку активации. Код обхода блокировки, созданный сервисом, должен быть случайным и уникальным для каждого устройства.
Блокировка активации применяется во время активации устройства, после того как в Ассистенте настройки отображается экран выбора сети Wi‑Fi. Чтобы сообщить о своей активации, устройство отправляет на сервер активации запрос на получение сертификата активации.
Если iPad, iPhone или Apple Vision Pro не является контролируемым устройством, блокировку активации на нем можно выключить любым из способов, перечисленных далее.
Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.
Ввести код‑пароль, который ранее использовался на этом устройстве.
На контролируемом iPad, iPhone или Apple Vision Pro можно выключить блокировку активации любым из способов, перечисленных далее.
Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.
Ввести учетные данные управляемого Аккаунта Apple, через который сервис управления устройствами связывался с Apple School Manager или Apple Business Manager.
Ввести код обхода блокировки, предоставленный сервисом управления устройствами.
Сервис управления устройствами может отправить на серверы Apple код обхода блокировки, который использовался при включении блокировки активации.
Примечание. Ассистент настройки в iOS, iPadOS или visionOS не продолжит свою работу, пока не будет получен действительный сертификат.
Работа функции на Apple Watch
Блокировка активации на часах Apple Watch, не являющихся контролируемым устройством, связана со статусом блокировки активации на iPhone, объединенном с ними в пару. Если на этом iPhone включена блокировка активации, то в конце процесса объединения в пару часам Apple Watch необходимо обратиться на серверы Apple, чтобы включить блокировку активации и на них. Если блокировка активации не включена на iPhone во время объединения в пару, но включается позже, этот iPhone:
инструктирует все связанные с ним в пары часы Apple Watch связаться с серверами Apple;
может включить блокировку активации на этих часах Apple Watch.
Во время первоначального объединения в пару iPhone отправляет на сервер активации запрос сертификата активации для Apple Watch.
Если часы Apple Watch заблокированы с помощью блокировки активации, в этот момент пользователю предлагается ввести учетные данные Аккаунта Apple, из которого была включена блокировка активации, чтобы разорвать пару, стереть все данные или заново активировать Apple Watch.
Примечание. Объединение в пару не будет завершено, пока не будет получен действительный сертификат.
Работа функции на Mac
Если Mac не является контролируемым устройством, блокировка активации включается автоматически, когда пользователь входит в свой Аккаунт Apple и включает Локатор. На контролируемом Mac блокировка активации по умолчанию выключена, но сервис управления устройствами может разрешить пользователю включить ее. Это позволяет сервису получить от устройства код обхода блокировки. Затем этот код может использоваться для выключения блокировки активации. Устройство создает новый код обхода блокировки в следующих ситуациях:
при первоначальной настройке устройства;
при настройке устройства после стирания.
Дополнительные особенности работы функции на Mac с чипом Apple
На Mac с чипом Apple низкоуровневый загрузчик (LLB) проверяет наличие действующей политики LocalPolicy для устройства, а также совпадение значений функции антиповтора в политике LocalPolicy со значениями, которые хранятся в компоненте защищенного хранилища. В случаях, перечисленных далее, LLB загружает recoveryOS.
Политики LocalPolicy нет в текущей версии macOS.
Политика LocalPolicy недействительна для текущей версии macOS.
Значения хеша для значений функции антиповтора политики LocalPolicy не совпадают со значениями хеша, которые хранятся в компоненте защищенного хранилища.
recoveryOS определяет, что Mac не активирован, и обращается к серверу активации за соответствующим сертификатом.
Если при нахождении в recoveryOS устройство заблокировано с помощью блокировки активации, ее можно выключить любым из указанных далее способов.
Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.
Ввести пароль, который ранее использовал на устройстве локальный пользователь, включивший блокировку активации.
Ввести код обхода блокировки, предоставленный сервисом управления устройствами.
После получения действительного сертификата активации ключ этого сертификата используется для получения сертификата RemotePolicy. Для создания действительной политики LocalPolicy компьютер Mac использует ключ LocalPolicy и сертификат RemotePolicy.
Примечание. LLB не позволит загрузить macOS, пока не будет получена действительная политика LocalPolicy.
Дополнительные особенности работы функции на Mac с чипом T2
На Mac с чипом T2 прошивка чипа T2 проверяет наличие действительного сертификата активации, прежде чем разрешить загрузку macOS. Прошивка UEFI, загруженная чипом T2, запрашивает статус активации устройства у чипа T2. В случаях, перечисленных далее, Mac загружает recoveryOS.
Отсутствует действительный сертификат активации.
recoveryOS определяет, что Mac не активирован, и обращается к серверу активации за соответствующим сертификатом.
Если при нахождении в recoveryOS компьютер Mac заблокирован с помощью блокировки активации, ее можно выключить любым из способов, перечисленных далее.
Ввести учетные данные личного Аккаунта Apple, в котором была включена блокировка активации.
Ввести пароль, который ранее использовал на устройстве локальный пользователь, включивший блокировку активации.
Ввести код обхода блокировки, предоставленный сервисом управления устройствами.
Примечание. Прошивка UEFI не позволит загрузить macOS, пока не будет получен действительный сертификат активации.
Управление блокировкой активации в Apple School Manager или Apple Business Manager
Если устройство Apple зарегистрировано в организации Apple School Manager или Apple Business Manager, пользователи с правами на управление устройствами могут выключить блокировку активации для устройств, которыми владеет организация. Эта возможность доступна только для устройств, которые были зарегистрированы в организации до включения блокировки активации и не были переданы другим владельцам. Блокировка активации выключается путем вызовов на сервер, поэтому устройство не обязательно должно управляться сервисом управления устройствами.
Примечание. Устройства, заблокированные с помощью блокировки активации, невозможно добавить в организацию Apple School Manager или Apple Business Manager.