Aktiveringslås på Apple-enheter
Når Aktiveringslås er slått på, er det vanskelig for andre å bruke eller selge en persons iPhone, iPad, Mac eller Apple Watch. Når Aktiveringslås administreres med en MDM-løsning, kan organisasjonen dra nytte av tyverisikringsfunksjonaliteten, samtidig som de får muligheten til å slå av Aktiveringslås fra enheter som organisasjonen eier.
Det finnes to typer Aktiveringslås:
Organisasjonskoblet: Organisasjonskoblet Aktiveringslås krever Apple School Manager, Apple Business Manager eller Apple Business Essentials og er vanligvis enklere å administrere for organisasjoner. Det gir MDM-løsningen full mulighet til å slå av og på Aktiveringslås ved hjelp av interaksjoner på tjeneren.
Brukerkoblet: Brukerkoblet Aktiveringslås krever at brukeren har en personlig Apple-konto (ikke en administrert Apple-konto), og at brukeren slår på Hvor er. Denne metoden lar brukeren låse en organisasjonskoblet enhet til sin personlige Apple-konto hvis MDM-løsningen har tillatt Aktiveringslås.
Merk: Noen MDM-løsninger støtter tillatelse til å bruke begge former for Aktiveringslås. Hvis begge deler forsøkes brukt, får den første vellykkede Aktiveringslås-hendelsen forrang.
Slå av Aktiveringslås
I Apple School Manager, Apple Business Manager og Apple Business Essentials kan brukere som har rettigheter til å administrere enheten, slå av organisasjonskoblet og brukerkoblet Aktiveringslås for en iPhone, iPad, Mac, Apple Watch eller Apple Vision Pro som organisasjonen eier. Enheten må være synlig i Apple School Manager, Apple Business Manager eller Apple Business Essentials, men den trenger ikke å være tilordnet til en MDM-tjener.
Her finner du mer informasjon:
Brukerveiledning for Apple School Manager: Slå av Aktiveringslås
Brukerveiledning for Apple Business Manager: Slå av Aktiveringslås
Brukerveiledning for Apple Business Essentials: Slå av Aktiveringslås
Organisasjonskoblet Aktiveringslås på iPhone og iPad
Hvis du tillater organisasjonskoblet Aktiveringslås, betyr det at MDM-løsningen (ikke brukeren) kontakter Apple-tjenere direkte for å låse eller låse opp enheten. Siden dette gjøres på tjeneren, er det ikke krav om brukerhandlinger eller enhetstilstand. MDM-løsningen lager sin egen overstyringskode som sendes til Apples tjenere når Aktiveringslås skal slås på eller av for enheten.
Se for deg at MDM-løsningen ikke klarer å deaktivere Aktiveringslås. På Aktiveringslås-skjermen skriver du da inn brukernavnet og passordet til kontoen som opprettet MDM-tjenerkjennetegnet som kobler MDM-løsningen til Apple School Manager, Apple Business Manager eller Apple Business Essentials. Dette er en konto som har rollen Administrator, Institusjonsansvarlig (kun Apple School Manager) eller Ansvarlig for enhetsregistrering.
Viktig: Hvis enhetene er tilordnet til en MDM-løsning som er koblet til Apple School Manager, Apple Business Manager eller Apple Business Essentials, bør du bruke denne metoden.
Brukerkoblet Aktiveringslås
I motsetning til organisasjonskoblet Aktiveringslås lar brukerkoblet Aktiveringslås brukere låse enheter som organisasjonen eier, med sin personlige iCloud-konto.
MDM-løsninger vil da kunne la brukere slå på Aktiveringslås på organisasjonskoblede enheter som er under tilsyn. Siden Aktiveringslås er deaktivert som standard på enheter som er under tilsyn, må MDM-løsningen hente og arkivere en overstyringskode som opprettes av enheten, før brukeren kan få tillatelse til å slå på Aktiveringslås. Hvis brukeren ikke kan autentisere med Apple-kontoen sin, for eksempel hvis brukeren har sluttet i organisasjonen, kan denne overstyringskoden brukes til å slå av Aktiveringslås via fjerntilkobling med MDM eller direkte på enheten når den skal slettes og deles ut til en ny bruker.
På iPhone og iPad er overstyringskodene tilgjengelige i opptil 15 dager etter at enheten først ble satt under tilsyn, eller til en MDM-løsning har hentet – og deretter fjernet – koden. Hvis en MDM-løsning ikke har hentet overstyringskoden innen 15 dager, kan ikke denne overstyringskoden hentes.
Macer krever Apple-chip eller Apple T2-sikkerhetsbrikke for å kunne bruke Aktiveringslås. Hvis en kvalifisert Mac bruker enhetsregistrering og blir oppgradert til macOS 10.15 eller nyere, er standardinnstillingen at Aktiveringslås ikke tillates, men innstillingen kan endres til tillatt. Administrering av Aktiveringslås på installasjoner (ikke oppgraderinger) av macOS 10.15 eller nyere krever at enheten er under tilsyn. Hvis en enhet er under tilsyn gjennom enhetsregistrering i macOS 11 eller nyere, kan ikke Aktiveringslås administreres før enheten er registrert i MDM. Det betyr at det er en mulighet for at Aktiveringslås allerede er aktivert når enheten registreres i MDM og kommer under tilsyn. I slike tilfeller kan den ikke slås av ved hjelp av MDM, og standardinnstillingen er at den ikke kan nektes før brukeren slår den av.
Hvis du har fysisk tilgang til enheten, skriver du inn MDM-koden for overstyring av Aktiveringslås i passordfeltet for Apple-konto på Aktiveringslås-skjermen på en iPhone eller iPad. Feltet for brukernavn skal stå tomt. På en Mac kan overstyringskoden skrives inn ved å klikke på Gjenopprettingsassistent i menylinjen og velge alternativet «Aktiver med MDM-nøkkel». Se MDM-leverandørens dokumentasjon for å se hvor du finner overstyringskoden.
Når MDM tillater brukerkoblet Aktiveringslås, skjer følgende:
Hvis Hvor er? er aktivert når MDM-løsningen tillater Aktiveringslås, blir Aktiveringslås aktivert.
Hvis Hvor er? er deaktivert når MDM-løsningen tillater Aktiveringslås, vil Aktiveringslås slås på neste gang brukeren aktiverer Hvor er?.
Bruk av overstyringskoder til å fjerne Aktiveringslås
Overstyringskodene som MDM-løsningen bruker til å administrere Aktiveringslås, er avgjørende for å kunne fjerne Aktiveringslås. Disse overstyringskodene bør sikres og sikkerhetskopieres med jevne mellomrom. Hvis det byttes MDM-leverandør, må du forsikre deg om at du får en kopi av overstyringskodene, eller at Aktiveringslås fjernes for alle registrerte enheter.
Hvis du vil fjerne Aktiveringslås på Apple-enheter med støtte for to SIM-kort, må MDM-løsningen inkludere begge IMEI-verdiene i forespørselen. MDM-leverandører: se Creating and Using Bypass Codes på Apple Developer-nettstedet.
Hvis MDM-løsningen ikke kan fjerne Aktiveringslås, kan du kontakte kundestøtte hos MDM-leverandøren eller se Apple-kundestøtteartikkelen Slik fjerner du Aktiveringslås.