清除 Apple 裝置
若你是管理者或使用者,多數情況下你可以使用「清除所有內容和設定」選項來在本機或遠端清除 iPhone、iPad 和 Mac。在該裝置上,清除(或抹除)的動作會抹除儲存空間中的所有密鑰,並透過加密方式讓所有使用者資料無法使用。
清除所有內容和設定
與 iPhone、iPad、Apple TV 和 Apple Watch 裝置上許可的行為相似,配備 Apple 晶片或配備 Apple T2 安全晶片並安裝 macOS 12.0.1 或以上版本的 Mac 電腦允許本機管理者,或是若已註冊 MDM,則允許 MDM 管理者執行「清除所有內容和設定」。所有使用者資料會與 Mac 上任何其他卷宗一併清除。針對配備 Apple 晶片的 Mac,安全性設定也會重置為預設狀態(「完整安全性」)。MDM 解決方案:
在 Mac 上可以使用取用限制來防止清除所有內容和設定(此功能已適用於 iPhone 和 iPad 裝置)
可以使用現有的
EraseDevice
指令來清除所有內容和設定
啟動遠端清除指令的方法
無論你要清除哪個 Apple 裝置(iPhone、iPad 或 Mac),你都可以透過行動裝置管理(MDM)、iCloud 或 Microsoft Exchange 啟動遠端清除指令。當你透過 MDM 啟動遠端清除指令時,Apple 裝置會將確認傳回 MDM 解決方案並執行清除。如需更多資訊,請參閱:遠端清除。
當你透過 Microsoft Exchange ActiveSync(僅限 iPhone 和 iPad)啟動遠端清除時,則裝置在執行清除前會先登入 Microsoft Exchange Server。你可以使用 Exchange Management Console、Outlook Web Access 或 Exchange ActiveSync Mobile Administration Web Tool 來執行遠端清除。
iOS 和 iPadOS 中的遠端清除
iPhone 和 iPad 的「清除所有內容和設定」選項位於「設定」App 中。以下類型的帳號無法使用「清除所有內容和設定」進行遠端清除:
使用「使用者註冊」的帳號
搭配「使用者註冊」安裝帳號時使用 Microsoft Exchange ActiveSync 的帳號
在裝置受監管時使用 Microsoft Exchange ActiveSync 的帳號
【注意】除了使用「清除所有內容和設定」選項之外,MDM 解決方案和使用者還可以將 iPhone 和 iPad 設定成在一系列密碼嘗試失敗後進行自動清除。
iPhone 和 iPad 的「返回服務狀態」
「返回服務狀態」可讓重置並將 iPhone 和 iPad 裝置重新註冊 MDM 的程序完全自動化,大幅提升了執行速度。當 MDM 解決方案送出清除受管理裝置的指令時,可提供 Wi-Fi 詳細資料並定義要讓裝置註冊哪一個 MDM 解決方案。
除非可透過其他方法連線至網際網路(例如共享快取連線),否則需使用 Wi-Fi 描述檔才能啟用裝置。
如果裝置已在「Apple 校務管理」或「Apple 商務管理」中註冊,就可以略過 MDM 設定。這會在啟用過程中提示裝置檢查註冊描述檔。若有提供此項目,就能在特定情況下使用,例如「自動裝置註冊」使用此項目就不需要進行互動式認證。
裝置會使用提供的資訊來清除所有資料,並自動繼續前往主畫面以供使用。在此程序中,會套用先前選擇的語言和地區。是否保留現有的 eSIM 取決於 PreserveDataPlan
金鑰的設定。透過 Apple Configurator 手動設定的監管狀態也會保留。
在 macOS 中搭配 MDM 進行遠端清除
在 macOS 12.0.1 或以上版本中,MDM 依照預設會使用「清除所有內容和設定」選項來啟動遠端清除,「清除所有內容和設定」也可在下列位置中找到:
macOS 13 或以上版本:「蘋果」選單 >「系統設定」>「一般」>「移轉或重置」>「清除所有內容和設定」。
macOS 12.0.1 或較早版本:「蘋果」選單 >「系統偏好設定」,然後在選單列中,「系統偏好設定」>「清除所有內容和設定」。
MDM 在配備 Apple 晶片的 Mac 電腦以及配備 Apple T2 安全晶片的 Mac 電腦上會啟動遠端清除。
使用 MDM 解決方案,根據你擁有的 Mac 機型,你可以透過向 Mac 傳送 EraseDevice
指令來觸發「清除所有內容和設定」選項。若要接收此指令,Mac 必須滿足下方列出的要求。
支援的最低作業系統 | Mac 機型 | 啟用遠端清除的需求 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.0.1 或以上版本 | 配備 Apple 晶片 |
| |||||||||
macOS 12.0.1 或以上版本 | 配備 Apple 晶片或配備 Apple T2 安全晶片 |
| |||||||||
macOS 12.0.1 或以上版本 | 配備 Apple T2 安全晶片 |
|
如果在收到 EraseDevice
指令時若未滿足上述一個或多個條件,Mac 預設會回退去使用 macOS 11 名為消除的行為。裝置使用消除被清除後,你必須重新安裝 macOS 才能使用 Mac。
你可以在 EraseDevice
指令的 ObliterationBehavior
鍵中管理清除 Mac 的消除回降行為。如果「清除所有內容和設定」失敗,你可以使用此鍵(對 T2 晶片之前的機器沒有影響)透過選擇以下其中一個值來指定 Mac 的回降行為:
預設(或遺失密鑰):裝置以
Error
狀態或無狀態回應伺服器,然後嘗試消除。DoNotObliterate:裝置以
Error
狀態回應,並且不會發生消除。ObliterateWithWarning:裝置以
Acknowledgement
或Warning
狀態回應,然後嘗試消除。
此外,EACSPreflight
檢查還可提前決定行為,並傳回成功、不支援或未知失敗以及可能的失敗原因資料。這讓組織和 MDM 解決方案可在送出 EraseDevice
指令之前,決定最適合的繼續執行方式。
【重要事項】若 Mac 已開啟「檔案保險箱」且不支援「清除所有內容和設定」,已註冊 MDM 解決方案的 Mac 電腦可能會在不經意間遭到清除。該行為類似於消除,需要完全重新安裝 macOS。