激活锁安全性
激活锁有助于防止 iPhone、iPad、Mac、Apple Watch 和 Apple Vision Pro 丢失或被盗时被未授权用户重新激活。即使设备被抹掉,激活锁仍会保持启用。这可使他人更难以使用或出售丢失设备。Apple 实施激活锁的方式因设备而异。
适用于 iPhone 部件的激活锁
Apple 正将 iPhone 的激活锁扩展至覆盖其各个部件,这有助于阻止被盗部件流入市场。维修期间,如果 iPhone 检测到受支持的部件来自另一台已打开激活锁或丢失模式的 iPhone,则针对该部件的校准会受到限制。此激活锁功能增强进一步延伸了 Apple 保护用户的承诺,同时也在维修方面为消费者带来更多选择。
在 iPhone、iPad 和 Apple Vision Pro 上的表现方式
在未受监督的 iPhone、iPad 和 Apple Vision Pro 上,激活锁会在用户登录其 Apple 账户且打开“查找”后自动启用。
在受监督的设备上,激活锁则默认不允许使用,但移动设备管理 (MDM) 解决方案可允许用户进行启用。这使 MDM 解决方案可托管设备上的绕过代码,随后该绕过代码便可用于稍后停用激活锁。设备在以下情况中会生成新的绕过代码:
首次设置设备
设置被抹掉且未从同一设备备份恢复的设备
设置被抹掉并从不同设备备份恢复的设备
另外,对于受管理且受监督的设备,MDM 解决方案还可直接联系 Apple 服务器启用激活锁。此操作完全在服务器端完成,且不依赖于任何用户操作或设备状态。MDM 解决方案必须创建一个 31 字节的绕过代码,然后在要启用设备激活锁时将其发送至 Apple 服务器。MDM 解决方案为每台设备创建的绕过代码应为随机且唯一。
激活锁通过“设置助理”中无线局域网选择屏幕之后的激活过程进行实施。当设备表示正进行激活时,其会向激活服务器发送请求以获取激活证书。
解锁由激活锁锁定的未受监督 iPhone、iPad 和 Apple Vision Pro 设备可使用:
用于启用激活锁的个人 Apple 账户凭证
之前使用的设备密码
解锁由激活锁锁定的受监督 iPhone、iPad 和 Apple Vision Pro 设备可使用:
用于启用激活锁的个人 Apple 账户凭证
用于关联 MDM 解决方案与“Apple 校园教务管理”或“Apple 商务管理”的管理式 Apple 账户凭证
MDM 解决方案所托管的绕过代码
通过用于启用激活锁的绕过代码在服务器端调用 Apple 服务器的 MDM 解决方案
【注】在 iOS、iPadOS 和 visionOS 中,“设置助理”只有在获得有效证书后才会继续。
在 Apple Watch 上的表现方式
未受监督 Apple Watch 上的激活锁与配对 iPhone 的激活锁状态相关。如果 iPhone 已启用激活锁,Apple Watch 会在配对过程结束时被要求联系 Apple 服务器以打开激活锁。如果 iPhone 在配对时未启用激活锁,而之后才启用,则该 iPhone:
会提示所有配对的 Apple Watch 设备联系 Apple 服务器
可在 Apple Watch 上启用激活锁
作为初始配对过程中的一环,iPhone 会向激活服务器发送请求以获取 Apple Watch 的激活证书
如果 Apple Watch 已使用激活锁锁定,用户需要提供当时用于启用激活锁的 Apple 账户凭证,才能取消配对、抹掉或重新激活 Apple Watch。
【注】只有在获得有效证书后才可完成配对。
在 Mac 上的表现方式
在未受监督的 Mac 上,激活锁会在用户通过其 Apple 账户登录且打开“查找”后自动启用。对于受监督的 Mac,激活锁则默认不允许使用,但 MDM 解决方案可允许用户进行启用。这使 MDM 解决方案可托管设备上的绕过代码,随后该绕过代码便可用于稍后停用激活锁。设备在以下情况中会生成新的绕过代码:
首次设置设备
设置被抹掉的设备
在搭载 Apple 芯片的 Mac 上的额外表现方式
在搭载 Apple 芯片的 Mac 上,底层引导载入程序 (LLB) 会验证设备是否存在有效的 LocalPolicy 且 LocalPolicy 策略反重放值是否与安全储存组件中所储存的值匹配。LLB 在以下情况中会启动进入 recoveryOS:
当前 macOS 不存在任何 LocalPolicy
LocalPolicy 对该 macOS 版本无效
LocalPolicy 反重放值哈希值与储存在安全储存组件中的哈希值不匹配
recoveryOS 检测到 Mac 未激活后会联系激活服务器以获取激活证书。
如果处于 recoveryOS 的设备已使用激活锁锁定,解锁激活锁可使用:
用于启用激活锁的个人 Apple 账户凭证
启用激活锁的本地用户之前所使用的设备密码
MDM 解决方案所托管的绕过代码
在获得有效的激活证书后,该激活证书密钥会用于获得 RemotePolicy 证书。Mac 会使用 LocalPolicy 密钥和 RemotePolicy 证书生成有效的 LocalPolicy。
【注】LLB 只有在有效 LocalPolicy 存在时才允许 macOS 启动。
在搭载 T2 芯片的 Mac 上的额外表现方式
在搭载 T2 芯片的 Mac 上,T2 芯片固件会先确认存在有效的激活证书,然后才会允许电脑启动进入 macOS。T2 芯片所载入的 UEFI 固件负责从 T2 芯片查询设备的激活状态。Mac 在以下情况中会启动进入 recoveryOS:
不存在有效的激活证书
recoveryOS 检测到 Mac 未激活后会联系激活服务器以获取激活证书。
如果处于 recoveryOS 的 Mac 已使用激活锁锁定,解锁激活锁可使用:
用于启用激活锁的个人 Apple 账户凭证
启用激活锁的本地用户之前所使用的设备密码
MDM 解决方案所托管的绕过代码
【注】UEFI 固件只有在有效激活证书存在时才允许 macOS 启动。
在 Apple 校园教务管理或 Apple 商务管理中管理激活锁
如果 Apple 设备通过“Apple 校园教务管理”或“Apple 商务管理”组织注册,具有“管理设备”权限的用户可为组织拥有的设备关闭激活锁。此选项仅适用于通过组织注册后才启用激活锁的设备,且其不得解除激活锁。因为如果激活锁已使用服务器端调用命令停用,则设备无需再通过 MDM 解决方案管理。
【注】当前已使用激活锁锁定的设备无法添加到“Apple 校园教务管理”或“Apple 商务管理”组织。