激活锁是内置于 iOS/iPadOS 和 macOS 设备上的 “查找我的 ”应用的安全功能。 启用后,它通过要求用户的 Apple ID 和密码来防止未经授权的访问:
- 关闭“查找我的”
- 擦除设备
- 重新激活设备
当用户在设备上设置“查找我”时,将自动启用激活锁。
激活锁对组织的影响
虽然激活锁有助于防止设备被盗或丢失,但它可能会给管理设备生命周期的 IT 管理员带来挑战。 例如:
- 用户启用激活锁,然后离开组织。 如果没有 Apple ID 凭据,设备将无法重新激活。
- 你需要在刷新或传输期间重新分配设备,但激活锁会阻止重复使用。
这些方案可能会延迟预配,增加支持开销,并影响运营效率。
为了帮助解决这些问题,Apple 引入了对受监督设备禁用激活锁的功能,而无需用户的 Apple ID 和密码。 受监督设备生成特定于设备的激活锁绕过代码,该代码存储在 Apple 的激活服务器上。
若要深入了解激活锁的工作原理,请参阅 适用于 iPhone 和 iPad 的激活锁。
Intune 如何帮助你管理激活锁定
可通过两种方法在设备上禁用激活锁:
- 在设备上手动输入激活锁绕过代码。
- 使用 “禁用激活 锁定”设备作。
对于受监督的设备,Intune存储激活锁绕过代码,可在设备上输入该代码以手动禁用激活锁。 如果设备已被擦除,则可以使用空白用户名和代码作为密码直接访问设备。 此外,Intune可以直接向 Apple 的激活服务器发出绕过代码以禁用激活锁,而无需与设备交互。
使用 Intune 来管理激活锁的业务优点包括:
- 用户获得“查找我的”应用的安全优势。
- 你可以让用户在需要重新调整设备用途时完成其工作并解锁它,而无需以前的用户名或密码。
提示
还可以直接在 Apple Business Manager 和 Apple School Manager 中关闭激活锁定。 若要了解详细信息,请参阅 在 Apple Business Manager 中关闭激活锁定。
先决条件
设备平台要求
此远程作支持以下平台:
- 通过自动设备注册 (ADE) 处于 监督模式 的 iOS/iPadOS
- 通过自动设备注册 (ADE) 注册的 macOS
设备配置要求
角色要求
若要运行此远程作,请使用至少具有以下角色之一的帐户:
- Intune 服务管理员
- 自定义角色 包括:
- 权限 远程任务/绕过激活锁
- 提供对Intune (中托管设备的可见性和访问权限的权限,例如组织/读取、托管设备/读取)
如何使用禁用激活锁
Intune中的“禁用激活锁定远程设备”作无需用户的 Apple ID 和密码即可删除激活锁定。 但是,如果在此作后启动“查找我的应用”,则将自动重新启用激活锁。 若要避免重新锁定设备,请确保在禁用激活锁定之前拥有设备的物理所有权。
在Microsoft Intune管理中心,选择“设备>”“所有设备”。
从设备列表中,选择一个设备。
在设备概述窗格顶部,找到远程作图标行。 选择 “禁用激活锁”。
选择“硬件”,然后在“条件访问”下找到并复制“激活锁绕过代码”值。
重要
如果在复制代码之前重置设备设置,则代码将从Intune中删除,并且无法访问。 请确保在擦除设备之前复制绕过代码。
若要使用 Microsoft Graph 检索 activationLockBypassCode 属性,必须在查询中显式包含该属性。
如果发送设备对象的未筛选请求,Graph 将返回一组默认属性,并且 activationLockBypassCode 将为 null。
如何使用激活锁绕过代码
- 在Microsoft Intune管理中心,选择“设备>”“所有设备”。
- 从设备列表中,选择一个设备。
- 在设备概述窗格顶部,找到远程作图标行。 选择“ 擦除”。
- 重置设备后,系统会提示你输入 Apple ID 和密码。 将 ID 字段留空,然后输入密码的 激活锁绕过代码 。 此步骤从设备中删除帐户。
- 重置设备后,在菜单栏中选择“ 恢复助手 ”,然后选择“ 使用 MDM 密钥激活 ”选项以输入绕过代码。
参考链接
- Microsoft图形 API:bypassActivationLock作