従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
アクティベーションロックは、Appleデバイスの不正な転送や使用を防止するために設計されたAppleの機能です。Appleの「Find My」システムに組み込まれたこの機能は、Appleが実装した工場出荷時のリセット保護機能であり、米国でスマートフォンを販売するためにメーカーが搭載することが法的に義務付けられている。当初はiOS 7の一部として2013年にiPhoneに(iCloud Activation Lockとして)登場したが、その後iPad、Apple Watch、AppleシリコンまたはT2セキュリティチップを搭載したMacにも実装されている。
アクティベーションロックの仕組み
デバイスで「Find My」をオンにすると、ハードウェアが起動するたびにアクティベーション・ロックが実行される。つまり、Wi-Fiが選択されると、デバイスはAppleにアクティベーション証明書を要求する。実際には、ユーザーが認証情報を使ってデバイスを認証すると、そのまま機能することになる。
しかし、デバイスを紛失した場合、ユーザーや管理者はiCloudやMDMソリューションで紛失マークを付けることができる。(Kandjiは、アクションメニューの 紛失モードを有効にするを使用してこれを実装しています)これにより、アクティベーションロックが有効になります。ユーザーや管理者は、画面をロックしたり、パスコードを要求したり、データを消去したり、デバイスの返却を促すメッセージを表示したりできる。ほとんどのコンソールでは、デバイスの最後の場所を示すFind Myマップも表示されます。
アクティベーション・ロックを使ってロックされたiPhoneは、有効なユーザー認証情報を要求し、その認証情報が入力されるまで機能しません。アクティベーション・ロックは簡単には回避できず、たとえすべてのデータを消去し、デバイス・ファームウェア・アップデート・モード(DFU)を使ってデバイスをリセットしても、ロックが解除されるまでiPhoneを使用することはできない。ロスト・モードのデバイスは、必要なパスワードがなければ使用も再アクティベーションもできません。
アクティベーション・ロックの使用方法
アクティベーション・ロックには2つのタイプがあります:ユーザーベースとデバイスベースです。
- ユーザーベースでは、デバイスがユーザーの個人的なiCloudアカウントにリンクされている必要があります。消費者向けには問題ありませんが、組織ではデバイス群を追跡するために、よりスケーラブルで一元管理できるツールが必要になる場合があります。
- デバイスベースのManaged Lost Modeは、Apple Business ManagerまたはApple School Managerを必要とし、ほとんどのApple MDMソリューション(Kandjiを含む)と互換性があります。
MDMソリューションは、デフォルトでは管理対象デバイスのユーザーベースのアクティベーションロックを許可しませんが、許可することを選択すれば許可することができます。許可する場合、MDMソリューションはバイパスコードを取得し、安全に保存します。ユーザーが通常の方法でデバイスを認証できない場合、IT管理者はMDMソリューションと保存されたバイパス・コードを使用してデバイスのロックを解除できる。アクティベーションロックはこのバイパスコードがないと解除できないため、管理者はこのバイパスコードを安全にバックアップしておくことが重要です。
アクティベーション・ロックの解除方法
iOS 15以降を実行しているiPhoneデバイスでは、ロックされたデバイスがアクティベートされると、iPhone Locked to Owner画面が表示されます。それ以前のバージョンのiOSは、ロック解除を拒否するか、緊急メッセージを表示するか、元のユーザーのApple IDを要求します。
管理者は、MDMソリューションからリモートでロストモードをオフにし、管理対象デバイスのアクティベーション・ロック保護を解除することができます。また、従業員が退職したにもかかわらずデバイスのロックを解除しなかった場合など、必要に応じて アクティベーションロックのバイパスコードを取得することもできます。
バイパスコードが利用できない場合(ある MDM ソリューションから別の MDM ソリューションに移行する際に発生する可能性があります)、IT チームは AppleCare Enterprise Support に連絡してロックを解除することができます。
場合によっては(特に、デバイスを紛失している間にロック解除に失敗した回数が多すぎる場合)、iPhoneが無効になっているという警告が表示されます。このような場合、デバイスを復元し、データを完全に消去する必要があります。保護されたデバイスのロックを解除できると主張するサードパーティ企業もあるが、たいていはデバイスをジェイルブレイクしているだけであり、ビジネスユースにはお勧めできない。