أمن قفل التنشيط
يساعد قفل التنشيط في منع المستخدمين غير المصرح لهم من إعادة تنشيط iPhone و iPad و Mac و Apple Watch وApple Vision Pro في حالة فقده أو سرقته. يظل ممكّنًا حتى في حالة مسح الجهاز. يجعل هذا من الصعب على أي شخص استخدام أو بيع جهاز مفقود. تختلف طريقة فرض Apple لقفل التنشيط وفقًا للجهاز.
قفل التنشيط على أجزاء iPhone
تعمل Apple على توسيع قفل التنشيط لجهاز iPhone لتغطية الأجزاء الفردية للمساعدة في ردع الأجزاء المسروقة من دخول السوق. أثناء الإصلاح، إذا اكتشف iPhone أن جزءًا مدعومًا جاء من iPhone آخر مع تشغيل قفل التنشيط أو نمط الفقدان، فسيتم تقييد المعايرة لهذا الجزء. يعمل هذا التحسين لميزة قفل التنشيط على تمديد التزام Apple بحماية المستخدمين مع زيادة اختيار المستهلك عندما يتعلق الأمر بالإصلاحات.
السلوك على iPhone، و iPad، و Apple Vision Pro
في iPhone و iPad و Apple Vision Pro غير الخاضع للإشراف، يتم تمكين قفل التنشيط تلقائيًا عندما يقوم المستخدم بتسجيل الدخول إلى حساب Apple الخاص به وتشغيل ميزة تحديد الموقع.
على جهاز خاضع للإشراف، لا يُسمح بقفل التنشيط افتراضيًا، ولكن يمكن لحل إدارة الأجهزة المحمولة (MDM) السماح للمستخدم بتمكينه. يسمح هذا لحل إدارة الأجهزة المحمولة بإيداع رمز تجاوز من الجهاز. يمكن بعد ذلك استخدام رمز التجاوز هذا لتعطيل قفل التنشيط في وقت لاحق. يقوم الجهاز بإنشاء رمز تجاوز جديد عند:
إعداد الجهاز لأول مرة
إعداد الجهاز بعد المسح وعدم استعادته من نسخة احتياطية لنفس الجهاز
إعداد الجهاز بعد المسح واستعادة الجهاز من نسخة احتياطية لجهاز مختلف
بدلاً من ذلك، بالنسبة للأجهزة المُدارة والخاضعة للإشراف، يمكن لحل MDM الاتصال بخوادم Apple مباشرةً لتمكين قفل التنشيط. يتم ذلك بالكامل من جانب الخادم ولا يعتمد على تصرفات المستخدم أو حالة الجهاز. يجب أن ينشئ حل MDM رمز تجاوز يتكون من 31 بايت، ثم يرسله إلى خوادم Apple عندما يريد تمكين قفل التنشيط للجهاز. يجب إنشاء رمز تجاوز لحل MDM عشوائيًا وبصورة فريدة لكل جهاز.
يتم فرض قفل التنشيط من خلال عملية التنشيط بعد شاشة تحديد Wi-Fi في مساعد إعداد. عندما يشير الجهاز إلى أنه قيد التنشيط، فإنه يرسل طلبًا إلى خادم التنشيط للحصول على شهادة تنشيط.
يمكن فتح قفل أجهزة iPhone و iPad و Apple Vision Pro غير الخاضعة للإشراف والمقفلة بقفل التنشيط من خلال:
بيانات اعتماد حساب Apple الشخصي المستخدم لتمكين قفل التنشيط
رمز المرور للجهاز المستخدم سابقًا
يمكن فتح قفل أجهزة iPhone و iPad و Apple Vision Pro الخاضعة للإشراف والمقفلة بقفل التنشيط من خلال:
بيانات اعتماد حساب Apple الشخصي المستخدم لتمكين قفل التنشيط
بيانات اعتماد حساب Apple المُدار المستخدم لربط حل MDM مع Apple School Manager أو Apple Business Manager
رمز التجاوز المودع في الضمان لدى حل MDM
يقوم حل MDM بإجراء مكالمة من جانب الخادم إلى خوادم Apple بنفس رمز التجاوز الذي استخدمه لتمكين قفل التنشيط
ملاحظة: لن يتقدم مساعد الإعداد في iOS و iPadOS و visionOS إلا إذا تم الحصول على شهادة صالحة.
السلوك على Apple Watch
يرتبط قفل التنشيط على Apple Watch غير الخاضعة للإشراف بحالة قفل التنشيط لجهاز iPhone المقترن. إذا تم تمكين قفل التنشيط على iPhone، يتم توجيه Apple Watch للاتصال بخوادم Apple في نهاية عملية الاقتران لتشغيل قفل التنشيط. إذا لم يتم تمكين قفل التنشيط على iPhone في وقت الاقتران، ولكن تم تمكينه في وقت لاحق، فإن iPhone:
يطالب جميع أجهزة Apple Watch المقترنة بالاتصال بخوادم Apple
يمكنه تمكين قفل التنشيط على Apple Watch
كجزء من عملية الاقتران الأولية، يرسل iPhone طلبًا إلى خادم التنشيط للحصول على شهادة تنشيط لـ Apple Watch
إذا تم قفل Apple Watch بقفل التنشيط، فإنه تتم مطالبة المستخدم ببيانات اعتماد حساب Apple الذي تم استخدامه لتمكين قفل التنشيط في ذلك الوقت لإلغاء اقتران Apple Watch أو مسحها أو إعادة تنشيطها.
ملاحظة: لا يمكن إكمال الاقتران إلا إذا تم الحصول على شهادة صالحة.
السلوك على Mac
في Mac غير الخاضع للإشراف، يتم تمكين قفل التنشيط تلقائيًا عندما يقوم المستخدم بتسجيل الدخول إلى حساب Apple الخاص به وتشغيل ميزة تحديد الموقع. بالنسبة لجهاز Mac الخاضع للإشراف، لا يُسمح بقفل التنشيط افتراضيًا، ولكن يمكن لحل إدارة الأجهزة المحمولة (MDM) السماح للمستخدم بتمكينه. يسمح هذا لحل إدارة الأجهزة المحمولة بإيداع رمز تجاوز من الجهاز. يمكن بعد ذلك استخدام رمز التجاوز هذا لتعطيل قفل التنشيط في وقت لاحق. يقوم الجهاز بإنشاء رمز تجاوز جديد عند:
إعداد الجهاز لأول مرة
إعداد الجهاز بعد المسح
السلوك الإضافي على Mac مزود بسيليكون Apple
على الـ Mac المزود بسيليكون Apple، يتحقق محمّل إقلاع المستوى الأدنى (LLB) من وجود LocalPolicy صالحة للجهاز وأن القيم غير القابلة لإعادة التشغيل لسياسة LocalPolicy تطابق القيم المخزنة في مكون التخزين الآمن. يعمل LLB بالتمهيد إلى recoveryOS في الحالات التالية:
عدم وجود LocalPolicy في macOS الحالي
عدم صلاحية LocalPolicy لهذا الإصدار من macOS
عدم تطابق قيم تجزئة القيم غير القابلة لإعادة الشغيل لسياسة LocalPolicy مع علامات تجزئة القيم المخزنة في مكون التخزين الآمن
يكتشف recoveryOS أن Mac لم يتم تنشيطه ويتصل بخادم التنشيط للحصول على شهادة تنشيط.
إذا تم قفل الجهاز باستخدام قفل التنشيط أثناء وجوده في recoveryOS، يمكن فتح قفل التنشيط من خلال:
بيانات اعتماد حساب Apple الشخصي المستخدم لتمكين قفل التنشيط
كلمة سر الجهاز المستخدمة سابقًا للمستخدم المحلي الذي مكّن قفل التنشيط
رمز التجاوز المودع في الضمان لدى حل MDM
بعد الحصول على شهادة تنشيط صالحة، يتم استخدام مفتاح شهادة التنشيط هذا للحصول على شهادة RemotePolicy. يستخدم Mac مفتاح LocalPolicy وشهادة RemotePolicy لإنتاج LocalPolicy صالحة.
ملاحظة: لن يسمح LLB بتمهيد macOS ما لم توجد LocalPolicy صالحة.
السلوك الإضافي على Mac مزود برقاقة T2
على Mac المزود بشريحة T2، يتحقق البرنامج الثابت لشريحة T2 من وجود شهادة تنشيط صالحة قبل السماح للكمبيوتر بالتمهيد إلى macOS. يكون برنامج UEFI الثابت الذي يتم تحميله بواسطة شريحة T2 هو المسؤول عن الاستعلام عن حالة تنشيط الجهاز من شريحة T2. يعمل Mac بالتمهيد إلى recoveryOS في الحالات التالية:
لا توجد شهادة تنشيط صالحة
يكتشف recoveryOS أن Mac لم يتم تنشيطه ويتصل بخادم التنشيط للحصول على شهادة تنشيط.
إذا تم قفل Mac باستخدام قفل التنشيط أثناء وجوده في recoveryOS، يمكن فتح قفل التنشيط من خلال:
بيانات اعتماد حساب Apple الشخصي المستخدم لتمكين قفل التنشيط
كلمة سر الجهاز المستخدمة سابقًا للمستخدم المحلي الذي مكّن قفل التنشيط
رمز التجاوز المودع في الضمان لدى حل MDM
ملاحظة: لن يسمح برنامج UEFI الثابت بتمهيد macOS ما لم يتم الحصول على شهادة تنشيط صالحة.
إدارة قفل التنشيط في Apple School Manager أو Apple Business Manager
إذا تم تسجيل جهاز Apple في مؤسسة Apple School Manager أو Apple Business Manager، يمكن للمستخدمين الذين لديهم دور يتمتع بامتيازات إدارة الجهاز إيقاف تشغيل قفل التنشيط للأجهزة المملوكة للمؤسسة. يتوفر هذا الخيار فقط للأجهزة المسجلة لدى المؤسسة قبل تمكين قفل التنشيط والتي لم يتم إصدارها. نظرًا لتعطيل قفل التنشيط باستخدام اتصالات من جانب الخادم، لا يلزم إدارة الجهاز بواسطة حل MDM.
ملاحظة: لا يمكن إضافة الأجهزة المقفلة حاليًا باستخدام قفل التنشيط إلى مؤسسة Apple School Manager أو Apple Business Manager.