Aktivierungssperre auf Apple-Geräten
Die Aktivierungssperre erschwert es anderen Personen, iPhone-, iPad-, Mac- oder Apple Watch-Geräte zu verwenden oder zu verkaufen. Durch Verwalten der Aktivierungssperre mit einer MDM-Lösung profitiert deine Organisation von der Diebstähle abschreckenden Funktion und verhindert gleichzeitig, dass die Aktivierungssperre auf Geräten deaktiviert wird, die deiner Organisation gehören.
Es stehen zwei Typen der Aktivierungssperre zur Verfügung:
Organisationsverlinkt: Für die organisationsverlinkte Aktivierungssperre ist Apple School Manager, Apple Business Manager oder Apple Business Essentials erforderlich. Sie ist für Organisationen leicht zu verwalten. Damit kann eine MDM-Lösung über server-seitige Interaktionen eigenständig die Aktivierungssperre aktivieren und deaktivieren.
Benutzerverlinkt: Für die benutzerverlinkte Aktivierungssperre ist es erforderlich, dass der Benutzer einen persönlichen Apple Account (keinen Verwalteten Apple Account) hat und die App „Wo ist?“ aktiviert ist. Bei dieser Methode kann der Benutzer ein organisationsverlinktes Gerät mit seinem persönlichen Apple Account sperren, wenn die MDM-Lösung die Aktivierungsperre erlaubt hat.
Hinweis: Einige MDM-Lösungen unterstützen beide Methoden für die Aktivierungssperre; bei dem Versuch, beide Varianten zu verwenden, hat das erste erfolgreiche Aktivierungssperre den Vorrang.
Aktivierungssperre deaktivieren
In Apple School Manager, Apple Business Manager oder Apple Business Essentials ist es mit Geräteverwaltungsprivilegien möglich, eine mit der Organisation oder Benutzer:innen verbundene Aktivierungssperre für Geräte wie iPhone, iPad, Mac, Apple Watch oder Apple Vision Pro, die der Organisation gehören, zu deaktivieren. Das Gerät muss im Apple School Manager, Apple Business Manager oder in den Apple Business Essentials angezeigt werden. Es muss jedoch nicht einem MDM-Server zugewiesen sein.
Weitere Informationen findest du unter:
Apple School Manager – Benutzerhandbuch: Aktivierungssperre deaktivieren
Apple Business Manager – Benutzerhandbuch: Aktivierungssperre deaktivieren
Apple Business Essentials – Benutzerhandbuch: Aktivierungssperre deaktivieren
Organisationsverlinkte Aktivierungssperre für iPhone und iPad
„Erlauben der organisationsverlinkten Aktivierungssperre“ bedeutet, dass die MDM-Lösung (nicht der Benutzer) die Apple-Server direkt kontaktiert, um das Gerät zu sperren oder zu entsperren. Der Vorgang findet vollständig serverseitig statt und ist daher nicht abhängig von Benutzeraktionen oder dem Status des Geräts. Die MDM-Lösung erstellt ihren eigenen Umgehungscode und sendet ihn an die Apple-Server, wenn die Aktivierungssperre für das Gerät aktiviert oder deaktiviert werden muss.
Nehmen wir einmal an, dass die MDM-Lösung die Aktivierungssperre nicht erfolgreich entfernen kann. Gib dann auf dem Bildschirm „Aktivierungssperre“ den Benutzernamen und das Passwort des Accounts ein, der das MDM-Server-Token erstellt hat, das die MDM-Lösung mit Apple School Manager, Apple Business Manager oder Apple Business Essentials verknüpft. Hierbei handelt es sich um einen Account mit der Funktion „Administrator“, „Standortmanager“ (nur Apple School Manager) oder „Geräteregistrierungsmanager“.
Wichtig: Wenn die Geräte einer MDM-Lösung zugewiesen sind, die mit Apple School Manager, Apple Business Manager oder Apple Business Essentials verlinkt sind, solltest du diese Methode bevorzugen.
Benutzerverlinkte Aktivierungssperre
Im Gegensatz zur organisationsverlinkte Aktivierungssperre ermöglicht die benutzerverlinkte Aktivierungssperre, dass Benutzer betriebseigene Geräte mit ihrem persönlichen iCloud-Account sperren.
In diesem Fall können MDM-Lösungen es Benutzern erlauben, die Aktivierungssperre auf oranisationsverlinkten, betreuten Geräten zu aktivieren. Da die Aktivierungssperre standardmäßig auf betreuten Geräten nicht erlaubt ist, sollte die MDM-Lösung einen vom Gerät erstellten Umgehungscode abrufen und speichern, bevor es einem Benutzer erlaubt, die Aktivierungssperre zu aktivieren. Für den Fall, dass sich der Benutzer aus irgendeinem Grund nicht mit seinem Apple Account authentifizieren kann (einschließlich Ausscheiden aus der Organisation), kann dieser Umgehungscode verwendet werden, um die Aktivierungssperre per Fernzugriff mit der MDM-Lösung oder direkt auf dem Gerät zu deaktivieren, wenn das Gerät gelöscht und einem neuen Benutzer zugewiesen werden soll.
Auf dem iPhone und iPad sind die Umgehungscodes bis zu 15 Tage nach der ersten Betreuung des Geräts verfügbar oder bis eine MDM-Lösung den Code explizit abgerufen – und danach gelöscht – hat. Hat eine MDM-Lösung den Umgehungscode nicht innerhalb von 15 Tagen abgerufen, kann dieser Umgehungscode nicht mehr abgerufen werden.
Bei Mac-Computern sind Apple Chips oder der Apple T2 Security Chip erforderlich, um die Aktivierungssperre verwenden zu können. Wenn ein berechtigter Mac-Computer die Geräteregistrierung verwendet und auf macOS 10.15 (oder neuer) aktualisiert wird, ist die Aktivierungssperre standardmäßig nicht erlaubt, kann aber optional erlaubt werden. Die Verwaltung der Aktivierungssperre auf Installationen (nicht auf Upgrades) von macOS 10.15 (oder neuer) setzt voraus, dass das Gerät betreut wird. Wenn in macOS 11 (oder neuer) ein Gerät mit einer Geräteregistrierung betreut wird, kann die Aktivierungssperre erst dann verwaltet werden, wenn das Gerät bei der MDM-Lösung registriert ist. Das bedeutet, dass die Aktivierungssperre unter Umständen bereits aktiviert sein kann, wenn das Gerät bei der MDM-Lösung registriert und anschließend betreut wird. In diesem Fall kann die Aktivierungssperre nicht mit der MDM-Lösung deaktiviert werden und sie wird auch nicht standardmäßig auf „nicht erlaubt“ zurückgesetzt, bevor die Sperre vom Benutzer deaktiviert wird.
Wenn das Gerät physisch verfügbar ist, gib auf einem iPhone oder iPad den Umgehungscode der MDM-Aktivierungssperre im Bildschirm „Aktivierungssperre“ in das Apple Account-Passwortfeld ein und lasse das Feld für den Benutzernamen leer. Auf einem Mac kann der Umgehungscode eingegeben werden, indem du in der Menüleiste auf den Wiederherstellungsassistenten klickst und die Option „Mit MDM-Schlüssel aktivieren“ auswählst. Informationen darüber, wo sich der Umgehungscode befindet, findest du in der Herstellerdokumentation der jeweiligen MDM-Lösung.
Wenn die MDM-Lösung die benutzerverlinkte Aktivierungssperre erlaubt, geschieht Folgendes:
Wenn „Wo ist?“eingeschaltet ist und die MDM-Lösung die Aktivierungssperre erlaubt, wird die Sperre ab diesem Moment aktiviert.
Wenn „Wo ist?“ausgeschaltet ist und die MDM-Lösung die Aktivierungssperre erlaubt, wird die Sperre aktiviert, wenn der Benutzer das nächste Mal „Wo ist?“ einschaltet.
Umgehungscodes für die Aktivierungssperre verwenden
Um die Aktivierungssperre zu verwalten, muss deine MDM-Lösung zwei Umgehungscodes speichern:
Der gerätegenerierte Umgehungscode. Die MDM-Lösung bewahrt diesen Code auf, bis sie einen anderen, nicht entleerten Code vom Gerät erhält. Weitere Informationen erhältst du in der Anfrage „Umgehungscode für die Aktivierungssperre erhalten“.
Der Server erstellt einen Umgehungscode, wenn die Aktivierungssperre durch MDM initiiert wird.
Die Umgehungscodes, die die MDM-Lösung für die Verwaltung der Aktivierungssperre verwendet, sind sehr wichtig, damit du die Aktivierungssperre löschen kannst. Umgebungscodes müssen deshalb sicher aufbewahrt und regelmäßig in Backups gesichert werden. Vergewissere dich beim Wecheln des MDM-Anbieters, dass du eine Kopie dieser Umgehungscodes erhältst oder dass die Aktivierungssperre für alle registrierten Geräte gelöscht wird.
Um die Aktivierungssperre auf Apple-Geräten mit Dual-SIM-Unterstützung zu deaktivieren, muss die MDM-Lösung beide IMEI-Werte (International Mobile Equipment Identity) zur Anfrage hinzufügen. MDM-Anbieter finden weitere Informationen unter Creating and Using Bypass Codes auf der Apple Developer-Website.
Wenn die MDM-Lösung die Aktivierungssperre nicht entfernen kann, wende dich an den Support deines MDM-Anbieters oder ziehe den Apple Support-Artikel So entfernst du die Aktivierungssperre heran.