Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
Apple 设备上的激活锁
激活锁打开后,可让其他任何人难以使用或出售某个人的 iPhone、iPad、Mac 或 Apple Watch。通过 MDM 解决方案管理激活锁可让组织享有防盗功能的同时,又可让你关闭组织所拥有的设备上的激活锁。
激活锁有两种可用类型:
组织关联:组织关联的激活锁需要“Apple 校园教务管理”或“Apple 商务管理”,并且对于组织来说一般更容易管理。它允许 MDM 解决方案通过服务器端交互来完全控制激活锁的打开和关闭。
用户关联:用户关联的激活锁要求用户拥有个人 Apple 账户(而非管理式 Apple 账户)并为其打开“查找”。这种方法允许用户将组织关联的设备锁定到其个人 Apple 账户,前提是 MDM 解决方案已允许激活锁。
【注】一些 MDM 解决方案同时支持这两种激活锁方式;在尝试同时使用两种方式的情况下,第一个成功的激活锁事件优先。
关闭激活锁
在“Apple 校园教务管理”或“Apple 商务管理”中,拥有“管理设备”权限的用户可为其组织所拥有的 iPhone、iPad、Mac、Apple Watch 或 Apple Vision Pro 关闭与组织关联和与用户关联的激活锁。设备必须在激活锁启用前添加到“Apple 校园教务管理”或“Apple 商务管理”且未发布,但无需分配至 MDM 服务器。
有关更多信息,请参阅:
iPhone 和 iPad 上组织关联的激活锁
允许组织关联的激活锁意味着 MDM 解决方案(而非用户)会直接联系 Apple 服务器以锁定或解锁设备。由于这完全在服务器端完成,因此与用户操作或其设备的状态无关。MDM 解决方案会创建自己的绕过代码,并在需要打开或关闭设备的激活锁时将代码发送到 Apple 服务器。
假设你的 MDM 解决方案无法成功移除激活锁。然后在激活锁屏幕上,输入创建了 MDM 服务器令牌(用于将 MDM 解决方案链接至“Apple 校园教务管理”或“Apple 商务管理”)的账户的用户名和密码。这个账户的职务包含管理员、机构经理(仅限“Apple 校园教务管理”)或设备注册经理。
【重要事项】如果设备已分配给链接至“Apple 校园教务管理”或“Apple 商务管理”的 MDM 解决方案,你应使用此方式。
用户关联的激活锁
与组织关联的激活锁相反,用户关联的激活锁可让用户使用其个人 iCloud 账户锁定组织所拥有的设备。
在这种情况下,MDM 解决方案可允许用户在组织关联的被监督设备上打开激活锁。由于被监督的设备上默认不允许激活锁,MDM 解决方案应当先获取由设备创建的绕过代码并储存,再允许用户打开激活锁。万一用户出于某种原因无法使用自己的 Apple 账户进行认证,包括用户已离开组织的情况,此绕过代码可用于在设备需要被抹掉并分配给新用户时通过 MDM 远程关闭激活锁,或直接在设备上关闭。
在 iPhone 和 iPad 上,绕过代码最多在设备首次被监督后的 15 天内可用,或者直到 MDM 解决方案明确获取代码(之后会清除)前都可用。如果 MDM 解决方案 15 天内未取回绕过代码,该绕过代码会变为不可取回。
Mac 电脑需要搭载 Apple 芯片或 Apple T2 安全芯片才符合使用激活锁的条件。如果符合条件的 Mac 电脑正在使用“设备注册”且已更新或升级到 macOS 10.15 或更高版本,激活锁默认不允许使用,但可选择将它设为允许使用。管理安装(非升级)的 macOS 10.15 或更高版本上的激活锁需要设备被监督。如果运行 macOS 11 或更高版本的 Mac 通过“设备注册”被监督,那么激活锁不能被管理,除非其已注册到 MDM 中。这意味着,当 Mac 已在 MDM 中注册并设为被监督时,激活锁可能已经打开。如果是这种情况,它无法通过 MDM 关闭,在用户首次将它关闭前,它默认不能设为不允许。
如果你实际拥有设备,在 iPhone 或 iPad 上激活锁屏幕的 Apple 账户密码栏中输入 MDM 激活锁绕过代码,并将用户名一栏留空。在 Mac 上,可在菜单栏中点按“恢复助理”并选择“使用 MDM 密钥激活”选项来输入绕过代码。请参阅 MDM 供应商文稿以了解在哪里可以找到绕过代码。
当 MDM 允许用户关联的激活锁时,会发生以下情况:
如果 MDM 解决方案允许激活锁时“查找”已打开,那么激活锁会在此时打开。
如果 MDM 解决方案允许激活锁时“查找”已关闭,那么激活锁会在下次用户打开“查找”时打开。
使用绕过代码清除激活锁
若要管理激活锁,MDM 解决方案必须储存两个绕过代码:
设备生成的绕过代码。MDM 解决方案会保留此代码,直至其收到来自设备的不同非空代码。有关更多信息,请参阅“获取激活锁的绕过代码”查询结果。
通过 MDM 初始化激活锁时由服务器创建的绕过代码。
MDM 解决方案用于管理激活锁的绕过代码对于你是否可以清除激活锁至关重要。这些绕过代码应妥善保存并定期备份。如果 MDM 供应商发生改变,请确保你已收到这些绕过代码的副本,或者所有已注册设备上的激活锁都已清除。
若要在支持双 SIM 卡的 Apple 设备上清除激活锁,MDM 解决方案必须在请求中包括两个 IMEI(国际移动设备识别码)值。对于 MDM 供应商,请参阅 Apple 开发者网站上的创建和使用绕过代码。
如果你的 MDM 解决方案无法移除激活锁,请联系你的 MDM 供应商支持资源,或参阅 Apple 支持文章:如何移除激活锁。