Aktiveringslås på Apple-enheter
När aktiveringslås är aktiverat är det svårt för någon annan att använda eller sälja en persons iPhone, iPad, Mac eller Apple Watch. Genom att hantera aktiveringslås med en MDM-lösning kan organisationen dra nytta av det stöldskydd som aktiveringslåset medför och har samtidigt möjlighet att stänga av aktiveringslåset för enheter som organisationen äger.
Det finns två typer av tillgängliga aktiveringslås:
Organisationskopplade: Ett enhetskopplat aktiveringslås kräver Apple School Manager, Apple Business Manager eller Apple Business Essentials och är i allmänhet enklare att hantera för organisationer. Det tillåter att en MDM-lösning helt och hållet styr aktivering eller avaktivering av aktiveringslås via interaktioner på serversidan.
Användarkopplade: Användarkopplat aktiveringslås kräver att användaren har ett personligt Apple-konto (inte ett hanterat Apple-konto) och aktiverar Hitta. Med den här metoden kan användaren låsa en organisationskopplad enhet till sitt personliga Apple-konto om MDM-lösningen har tillåtit aktiveringslås.
Obs! En del MDM-lösningar stöder båda metoderna för aktiveringslås – ifall båda försöker användas är det den första lyckade aktiveringslåshändelsen som prioriteras.
Stänga av aktiveringslås
I Apple School Manager, Apple Business Manager eller Apple Business Essentials kan en användare med behörighet att hantera enheter stänga av organisationslänkade och användarlänkade aktiveringslås för en iPhone, iPad, Mac, Apple Watch eller Apple Vision Pro som organisationen äger. Enheten måste visas i Apple School Manager, Apple Business Manager eller Apple Business Essentials, men den behöver inte vara tilldelad till en MDM-server.
Mer information finns i:
Apple School Manager Användarhandbok: Stänga av aktiveringslås
Apple Business Manager Användarhandbok: Stänga av aktiveringslås
Apple Business Essentials User Guide: Stänga av aktiveringslås
Organisationskopplat aktiveringslås för iPhone och iPad
Om enhetskopplade aktiveringslås tillåts innebär det att MDM-lösningen (inte användaren) kontaktar Apples servrar direkt för att låsa eller låsa upp enheten. Eftersom det här sker helt och hållet på serversidan finns inga avhängigheter som kräver åtgärder från användaren eller enhetens status. MDM-lösningen skapar en egen förbigångskod och skickar den till Apple-servrar när den behöver slå på eller stänga av enhetens aktiveringslås.
Anta att MDM-lösningen inte lyckas ta bort aktiveringslåset. På skärmen för aktiveringslås anger du sedan användarnamnet och lösenordet för kontot som skapade den MDM-servertoken som länkar MDM-lösningen till Apple School Manager, Apple Business Manager eller Apple Business Essentials. Det här är ett konto med rollen som administratör, platsansvarig (endast Apple School Manager) eller enhetsansvarig.
Viktigt: Om dina enheter är tilldelade till en MDM-lösning som är kopplad till Apple School Manager, Apple Business Manager eller Apple Business Essentials bör du använda den här metoden.
Användarkopplat aktiveringslås
I motsats till ett organisationskopplat aktiveringslås kan användare med användarkopplat aktiveringslås låsa enheter som organisationen äger med sitt personliga iCloud-konto.
I det här fallet kan MDM-lösningar tillåta att användare aktiverar aktiveringslås på en organisationskopplad övervakad enhet. Eftersom förvalet är att aktiveringslås inte tillåts på övervakade enheter bör MDM-lösningen hämta en förbigångskod som skapas av enheten och lagra koden innan den tillåter användaren att aktivera aktiveringslås. Ifall användaren inte kan autentisera med sitt Apple-konto av någon orsak, inklusive om den har lämnat organisationen, kan den här förbigångskoden användas till att stänga av aktiveringslås på distans med MDM, eller direkt på enheten när enheten ska raderas och tilldelas till en ny användare.
På iPhone och iPad är förbigångskoderna tillgängliga i upp till 15 dagar efter att enheten först övervakas, eller tills en MDM-lösning har erhållit och sedan uttryckligen raderat koden. Om en MDM-lösning inte har hämtat förbigångskoden inom 15 dagar går den förbigångskoden inte längre att hämta.
Mac-datorer måste ha Apple Silicon eller en Apple T2-säkerhetskrets för att kunna använda aktiveringslås. Om en behörig Mac-dator har enhetsregistrering och uppgraderas till macOS 10.15 eller senare tillåts inte aktiveringslås som förval men kan tillåtas. Hantering av aktiveringslås på installationer (inte uppgraderingar) av macOS 10.15 eller senare kräver att enheten är övervakad. Om en enhet övervakas med enhetsregistrering i macOS 11 eller senare kan aktiveringslås inte hanteras förrän enheten registreras i MDM. Det innebär att aktiveringslåset redan kan vara igång när enheten registreras i MDM och blir övervakad. I sådant fall kan det inte stängas av via MDM och nekas inte som förval förrän användaren först stänger av det.
Om du har fysisk tillgång till enheten kan du använda iPhone eller iPad till att ange MDM-lösningens förbigångskod för aktiveringslås på aktiveringslåsskärmen i lösenordsfältet för Apple-konto och lämna fältet för användarnamn tomt. På en Mac kan du ange förbigångskoden genom att klicka på Återställningsassistent i menyraden och välja alternativet Aktivera med MDM-nyckel. I dokumentationen från MDM-leverantören framgår var du hittar förbigångskoden.
När MDM tillåter användarkopplat aktiveringslås inträffar följande:
Om Hitta är på när MDM-lösningen tillåter aktiveringslåset aktiveras aktiveringslåset vid det tillfället.
Om Hitta är av när MDM-lösningen tillåter aktiveringslåset aktiveras aktiveringslåset nästa gång användaren aktiverar Hitta.
Använda förbigångskoder till att rensa aktiveringslås
För att kunna hantera aktiveringslås måste MDM-lösningen lagra två förbigångskoder:
Den enhetsgenererade förbigångskoden. MDM-lösningen bevarar den här koden tills den får en annan kod som inte är tom från enheten. Mer information finns i Get the Bypass Code for Activation Lock query.
Förbigångskoden som servern skapar när aktiveringslåset aktiveras via MDM.
Förbigångskoderna som MDM-lösningen använder till att hantera aktiveringslås är avgörande för din möjlighet att rensa aktiveringslås. De här förbigångskoderna bör skyddas och säkerhetskopieras regelbundet. Om du byter MDM-leverantör ska du se till att du får en kopia av de förbigångskoderna eller att aktiveringslås är rensat för alla registrerade enheter.
Om du vill rensa aktiveringslåset på Apple-enheter som har stöd för dubbla SIM-kort måste MDM-lösningen ta med båda IMEI (International Mobile Equipment Identity)-värdena i sin förfrågan. För MDM-leverantörer, se Creating and Using Bypass Codes på Apple Developer-webbplatsen.
Om din MDM-lösning inte kan ta bort aktiveringslås kontaktar du MDM-leverantörens supportresurser eller läser Apple Support-artikeln Så här tar du bort aktiveringslås.