Всем привет! Меня зовут Эрик, я инженер технической поддержки в компании Ринго. В этой статье поговорим об Activation Lock и как грамотно выстроить работу с корпоративными MacBook.
Представьте, что вы ИТ-администратор, и однажды в вашем парке появляются несколько новеньких MacBook, внезапно превратившихся в тыкву. Точнее, в элегантные серебристые кирпичи без пользы. Что случилось? Скорее всего, сработала Activation Lock (блокировка активации) – фирменный механизм Apple, способный как защитить данные, так и изрядно потрепать нервы ИТ-отделу. Поэтому подробно разберем, как работает Activation Lock на Mac, что изменилось в последних версиях macOS и инструментах управления, чем рискуют компании без MDM и как избежать превращения корпоративных ноутбуков в дорогостоящие кирпичи.

Что такое Activation Lock и зачем он нужен?

Activation Lock, или блокировка активации — это функция Apple, изначально созданная для защиты устройств в случае кражи или потери. Проще говоря, она не дает другому человеку активировать и использовать устройство без ввода пароля Apple ID, к которому оно привязано. Даже после полного сброса или переустановки системы защиты сохраняется и требует авторизации под прежним аккаунтом, превращая украденный гаджет в бесполезный кусок железа. Изначально Activation Lock появилась на iPhone и iPad как часть сервиса Find My («Локатор»), чтобы злоумышленник не мог ни воспользоваться украденным устройством, ни вытащить из него данные владельца (рис.1).

Долгое время компьютеры Mac этой функцией не обладали, однако с выходом macOS Catalina (2019) и появлением чипа безопасности Apple T2 ситуация изменилась – Activation Lock пришла и на MacBook. Современные Mac с Apple T2 (Intel, 2018–2020) или на Apple Silicon (M1/M2 и новее) поддерживают блокировку активации при включении функции «Найти Mac». Для владельцев это дополнительная гарантия безопасности: никто не сможет беспрепятственно стереть или переустановить устройство без разрешения, а шансы найти пропажу повышаются. Но у медали есть и другая сторона: на вторичном рынке и в корпоративной среде Activation Lock способна вызвать сложности. Если прежний владелец или сотрудник не отключил «Найти Mac» перед продажей или передачей ноутбука, новый пользователь рискует получить неработающий кирпич – Mac, требующий ввода чужого Apple ID и годящийся лишь на запчасти. Многие до сих пор не осознают, что простого сброса данных недостаточно: перед передачей устройства нужно обязательно выйти из iCloud или отключить функцию «Локатор» (Find My) на Mac.

Вы можете проверить, активирована ли функция Activation Lock на Mac, в разделе «Отчёт о системе» (см. рис. 2).

Как срабатывает блокировка активации на Mac

Когда включается блокировка активации? Activation Lock автоматически активируется, как только на совместимом Mac включена функция «Найти Mac» (Find My Mac) под персональной учетной записью Apple ID. Обычно это происходит, когда пользователь входит в свой Apple ID в настройках Mac и оставляет включенным параметр «Локатор» (см. рис.3). С этого момента любое отключение «Локатора», сброс до заводских настроек или повторная активация системы потребуют ввести пароль от того самого Apple ID или пароль устройства, если настроен код разблокировки. Иначе Mac останется залоченным.

Важно понимать, Activation Lock привязывается к конкретному устройству на серверах Apple. Даже если злоумышленник извлечет диск или полностью переустановит macOS, при первой же попытке настроить Mac, он встретит экран Activate Mac с запросом оригинальныого Apple ID. Эта защита действует до тех пор, пока владелец не удалит устройство из своего iCloud (например, через iCloud.com) или не введет пароль на самом Mac для снятия блокировки. Проще говоря, без участия прежнего аккаунта разблокировать Mac штатными средствами нельзя. В этом состоит и сила, и потенциальная опасность Activation Lock.

Как снять блокировку? В обычных условиях есть два законных пути:

• ввести правильный Apple ID и пароль, к которому привязан Mac,

• попросить предыдущего владельца удалить Mac из своего аккаунта через iCloud, что тоже требует знать его доступ.

Если ни того ни другого нет, остается обращаться в службу поддержки Apple с доказательствами права собственности (чек, договор поставки и т.п.), чтобы они сняли Activation Lock на своей стороне. Но такой процесс обычно непрост, Apple не зря так тщательно защищает устройства. До недавнего времени корпоративным администраторам при забытом пароле ничего не оставалось, кроме как писать в Apple и предоставлять доказательства покупки, что может занять немало времени и потрепать нервы. К счастью, для корпоративных клиентов появились новые инструменты, о которых расскажу чуть ниже.

Стоит отметить, Apple внесла изменения в macOS, упрощающие предпродажную подготовку Mac. Например, в macOS Monterey появилась опция Erase All Content and Settings (Стереть контент и настройки) – аналог сброса, знакомого по iPhone. Однако даже она не обходит Activation Lock. Если сотрудник или сервис-инженер выполнит полный сброс через эту функцию, а «Найти Mac» был активен, при перезагрузке система все равно попросит авторизоваться через Apple ID прежнего владельца. Поэтому перед любым сбросом корпоративного Mac необходимо убедиться, что устройство отвязано от iCloud аккаунта компании или пользователя.

Как работает MDM с Activation Lock

Когда речь заходит о корпоративных устройствах Apple, ключевую роль играет Mobile Device Management (MDM) (см. рис.4) и Apple Business Manager (ABM).

Здесь важно понимать, как работает функция Activation Lock с MDM

Возможные сценарии:

• Пользовательский Mac — это обычный Mac, настроенный как потребительское устройство. Сотрудник может войти в свой личный Apple ID, включить «Найти Mac» и, по сути, стать единственным, кто контролирует Activation Lock на этом ноутбуке. Это называется User-linked Activation Lock. Если такой сотрудник уволится и не снимет блокировку, компания останется с заблокированным устройством. Сервер MDM, к которому устройство может быть привязано вручную постфактум, в такой ситуации бессилен. Он не имеет необходимых прав для сброса Activation Lock, потому что устройство изначально не было добавлено в ABM. Все, что может сервер MDM, — это попытаться собрать код обхода блокировки Activation Lock. Но следует помнить, что такой код может быть собран с устройства только один раз. Поэтому если вы добавили устройство в один MDM, а потом отвязали и добавили в другой, то код разблокировки последним сервером MDM собран не будет. К тому же эти коды разблокировки хранятся на устройствах Apple определенное время, поэтому надо следить за актуальностью оных в вашей системе MDM.

• Supervised Mac, не добавленный в ABM - это устройство, которое было добавлено в MDM перед выдачей сотруднику. Компьютер был включен, на нем создали учетку и добавили руками в MDM. Если вы не запрещаете использование функции FindMy средствами MDM, то при включении пользователем этой функции User-linked Activation Lock включен не будет.

• Supervised Mac, добавленный в MDM - устройство, добавленное в Apple Business Manager и автоматизированно зарегистрированное в MDM (через Automated Device Enrollment, бывший DEP). Такие Mac в глазах Apple являются Corporate owned devices, что дает дополнительные возможности для управления. Во-первых, администратор MDM может разрешить Organization-linked Activation Lock и автоматически получать специальный код разблокировки (Activation Lock bypass code) от устройства. Этот код хранится на сервере активации Apple и в системе MDM и позволяет разблокировать Mac без участия пользователя. Во-вторых, MDM-сервер способен самостоятельно снять блокировку активации по команде (если устройство онлайн), либо выдать администратору сохраненный код для ручного ввода. Проще говоря, компания имеет запасной ключ от Mac, если тот заблокирован.

Чтобы получить такие возможности, Mac должен быть именно supervised, то есть закуплен через официального реселлера с добавлением в ABM или вручную добавлен в ABM через Apple Configurator. Простая установка MDM-профиля вручную не даст такого контроля: MDM не сможет отключить Organization-linked Activation Lock. Поэтому критически важно, чтобы все корпоративные Mac’и были куплены или внесены в Apple Business Manager с самого начала эксплуатации.

MDM и Activation Lock на практике: ИТ-админ может настроить политики MDM, позволяющие или запрещающие блокировку активации на устройствах. Например, в профиле ограничений есть параметр «Разрешить блокировку активации». Если его отключить, то функция «Найти Mac» на устройстве не сможет включиться, предотвращая возможность срабатывания Activation Lock и лишая преимущества поиска устройства. Если же разрешить, то MDM позаботится о том, чтобы при включении Find My устройство сгенерировало и отправило в систему обходной код. Большинство компаний идут по второму пути: разрешают Activation Lock, но под контролем. Это разумный компромисс: сотрудники получают защиту своих рабочих Mac от кражи, ИТ-отдел – возможность разблокировать технику при необходимости. Без supervised-режима, увы, такого компромисса нет: либо рискуй получить “вечный лок”, либо отключай iCloud-функции вовсе.

Новые возможности Apple: изменения в macOS Sonoma, ABM и MDM

Apple не осталась безралична к проблемам корпоративных клиентов, связанных с Activation Lock. Последние обновления в экосистеме Apple значительно упростили жизнь системным администраторам. В частности, в конце 2024 года, после выхода macOS Sonoma, появилась долгожданная функция — снятие блокировки активации через Apple Business Manager. Теперь администратор с правами Manage Devices в ABM может буквально в один клик отвязать устройство от Apple ID прямо из консоли ABM. Это работает для всех устройств, привязанных к организации, – Mac, iPhone, iPad, Apple Watch и даже для футуристичного Vision Pro. Прекрасная новость в том, что ABM снимает как блокировки, включенные пользователем, так и те, что были установлены организацией, например, через Lost Mode. На практике это значит, что если сотрудник уволился, забыв выключить «Найти Mac» на своем рабочем ноутбуке, вы заходите в ABM, находите устройство и выбираете Turn Off Activation Lock. И всё, Mac больше не привязан к его Apple ID.

Особенно примечательно, что Apple Business Manager теперь позволяет снять блокировку, даже если Activation Lock был включен до регистрации в MDM. Ранее, если сотрудник успел залочить Mac своим Apple ID до подключения ноутбука к корпоративному MDM, у компании практически не было вариантов. Приходилось связываться с поддержкой Apple и доказывать свои права на устройства. Теперь же достаточно, чтобы сам девайс числился за организацией в ABM. По сути, Apple дала компаниям официальный инструмент, аналогичный тому, что используют их инженеры поддержки, только без бумажной волокиты.

Нюанс: действие этой функции распространяется на устройства, купленные после определенных дат. Например, Apple уточняет, что для Apple Watch и Vision Pro, приобретенных до июня 2024, отключить Activation Lock через ABM не удастся. Если он уже был включен пользователем, придется сначала попросить его отключить. Для Mac таких ограничений, как правило, нет: все Mac в ABM можно разблокировать. После отправки команды отключения блокировки через ABM устройство можно сразу же настраивать под нового пользователя, даже если до сброса в настройках самого Mac еще отображалось, что Activation Lock включен. Apple предупреждает, что индикатор на самом Mac может показать активную блокировку при сбросе, но фактически она уже будет снята, и активация пройдет без запроса пароля прежнего Apple ID.

Чем грозит блокировка активации для компании?

Если компания пренебрегает централизованным управлением Mac-устройствами, Activation Lock может выстрелить в самый неподходящий момент. Вот несколько реальных сценариев, с которыми сталкивались ИТ-отделы:

Увольнение сотрудника = потеря устройства

Работник настроил на выданном Mac свой Apple ID и включил Find My. Проходит время, он увольняется и возвращает ноутбук, но пароль от его Apple ID неизвестен. В результате Mac невозможно активировать для нового пользователя без ввода учетных данных бывшего сотрудника. Компания осталась с девайсом, который нельзя ни использовать, ни перепродать, не затеяв долгую переписку с Apple.

Ротация техники блокирована

Вы решили перевести несколько MacBook из одного отдела в другой, сделав чистую переустановку. Но после сброса три из десяти машин встретили новых пользователей экраном Activation Lock, так как предыдущие владельцы не вышли из iCloud. Повторное назначение устройств не удалось: технике место на складе до разблокировки. Сроки сорваны, пользователи без компьютеров, ИТ-специалисты лихорадочно ищут контакты бывших сотрудников.

Покупка устройств на вторичном рынке

Компания решила сэкономить и приобрести партию б/у MacBook у подрядчика. Устройства выглядят отлично, но при первой же инициализации половина из них запросила чужой Apple ID, так как предыдущие владельцы просто забыли отключить Activation Lock. Такие ноутбуки идут только на детали или долгий возврат продавцу.

Кража или потеря без контроля

Даже если устройство действительно украдено, при отсутствии MDM компания не может сама активировать Lost Mode или стереть данные удаленно, это делает пользователь через свой Apple ID. Но если это личный Apple ID сотрудника, у компании нет доступа ни к Локатору, ни к возможности разблокировать технику, если она вдруг найдется. Данные потенциально под угрозой, а найденное устройство может оказаться бесполезным, если сотрудник уволился или недоступен.

В итоге без централизованного управления Activation Lock превращается из полезного защитника в стихийное бедствие для корпоративной инфраструктуры. Согласно оценкам сервисных центров, до 99% заблокированных устройств попадают в эту ситуацию не из-за кражи, а из-за человеческой забывчивости: люди добровольно передают технику, не сняв учетную запись. Для бизнеса это прямые убытки: дорогое оборудование простаивает или списывается, сотрудники сидят без инструмента для работы, ИТ-отдел тратит время на разбор полетов.

MDM и ABM на страже: предотвращаем Activation Lock

К счастью, все описанные риски можно минимизировать, если с самого начала выстроить правильную стратегию управления устройствами Apple. Ниже описаны основные меры, которые помогут не доводить до блокировки активации или справиться с ней безболезненно.

Регистрируйте все устройства в Apple Business Manager.

При закупке Mac у официальных реселлеров привязывайте их к своему ABM–аккаунту (см. рис.5). Если ноутбук куплен без привязки, используйте Apple Configrator для ручного добавления в ABM (да, это потребует физически подключить каждый Mac, но оно того стоит). Устройство, числящееся за организацией, – фундамент для всех дальнейших действий.

Внедрите MDM-систему и автоматическую регистрацию устройств (ADE).

Современные MDM-решения (Jamf, Kandji, Microsoft Intune и др., в том числе отечественные, например, Ринго MDM (см. рис.6)) берут Mac под управление. Это переводит устройство в supervised-режим, давая админам контроль над функцией Find My. MDM-профиль можно настроить так, чтобы получать обходные коды Activation Lock и при необходимости отправлять команду на разблокировку.

Определитесь с политикой Activation Lock.

Есть два варианта. Либо запретить функцию «Найти Mac» на корпоративных устройствах, и тогда риск блокировки устранен, но вы жертвуете возможностью найти или заблокировать украденный ноутбук. Либо разрешить с контролем. Большинство компаний выбирают второе: они разрешают Activation Lock через MDM, что позволяет сотрудникам использовать Find My для защиты. И в то же время гарантирует, что у ИТ-отдела есть ключ от замка, bypass-код в MDM. Не забудьте включить соответствующий настройку Allow Activation Lock в MDM-политиках для Mac/iOS , иначе функция может не активироваться у пользователей, и код не сохранится.

Используйте Managed Apple ID для сотрудников.

По возможности переведите сотрудников на управляемые Apple ID, выданные через Apple Business Manager. Такие учетные записи контролируются компанией и обычно не позволяют включать Find My на устройстве. Это предотвратит ситуацию, когда персональный Apple ID блокирует корпоративный девайс. Если Managed Apple ID пока не вариант, прописывайте в политиках: никаких личных Apple ID на рабочих Mac без уведомления ИТ. Или хотя бы информируйте сотрудников о необходимости отключить свой Apple ID при сдаче ноутбука.

Отладьте онбординг и офбординг.

Включите в процесс приема на работу и увольнения специальные шаги:

1. При выдаче Mac – проверка, что устройство в MDM, и Activation Lock под контролем или выключен.

2. При возврате Mac – снятие Activation Lock.

3. Не полагайтесь на память, добавьте пункт в чек-лист при увольнении: “Сотрудник вышел из Apple ID, устройство отвязано от iCloud”.

Мониторьте статус устройств.

Хорошая MDM-система покажет, на каких Mac включена блокировка активации (например, статус Activation Lock: Enabled/Disabled). Регулярно отслеживайте эти данные. Если видите, что какой-то ноутбук числится с Activation Lock (Enabled) под личным Apple ID сотрудника, превентивно свяжитесь, объясните риски. Лучше решить вопрос сейчас, чем спустя год после увольнения через поддержку Apple.

Храните документы на устройства.

На случай, если все же придется просить Apple о разблокировке, у вас должны быть в порядке доказательства владения: инвойсы, серийные номера, акты приемки. Apple Enterprise Support обычно идет навстречу корпоративным клиентам при наличии необходимых бумаг. Но как мы выяснили, теперь можно решить вопрос и самим, если девайс привязан к ABM.

Обучайте сотрудников.

Проведите небольшое обучающее мероприятие или рассылку: расскажите, что такое Activation Lock и чем грозит компании. Без паники, но с четким посылом: “Прежде чем перепродавать или отдавать кому-то Mac – выйди из iCloud!”. Такая осведомленность полезна даже вне работы. Сколько историй, когда люди продают свой старый Mac или iPhone, забыв отключить «Найти», а потом новые владельцы остаются ни с чем . Воспитайте культуру ответственности за технику.

Избегайте сомнительных экономий.

Покупка устройств Apple с рук или у непроверенных поставщиков может обернуться приобретением залоченного хлама. Если уж вынуждены брать б/у технику, проверяйте Activation Lock. Сделать это можно, для этого нужно настроить Mac и посмотреть System Information → Activation Lock Status (Enabled/Disabled), либо попросить продавца показать статус. Лучше потратить лишние 5 минут, чем потом гоняться за бывшим владельцем или бороться с Apple Support.

Следуя этим рекомендациям, вы практически сводите на нет шанс внезапно потерять доступ к корпоративному Mac. Как показывает практика, система работает: Activation Lock остается полезной функцией, отпугивающей воров, но не мешает вашей работе, если правильно настроена.

Обход Activation Lock: мифы и реальность

Что делать, если устройство уже заблокировано, а нужного пароля нет? Интернет полон обещаний unlock iCloud free и прочих чудо-методик. Однако ИТ-админу важно трезво оценивать такие варианты: в корпоративной среде большинство из них либо неприменимы, либо незаконны. Кратко рассмотрим самые популярные методы обхода Activation Lock и почему не стоит на них рассчитывать:

Фишинг Apple ID.

Злоумышленники могут попытаться обманом выманить учетные данные у владельца. Например, отправляют ему письмо, маскируясь под поддержку Apple или покупателя устройства, с просьбой ввести Apple ID на фальшивом сайте. Новый владелец залоченного Mac тоже иногда идет на хитрость: связывается с прежним хозяином под видом сотрудника Apple и просит сообщить пароль «для подтверждения нахождения устройства». Это не только этически неприемлемо, но и уголовно наказуемо (мошенничество). Компании подобными вещами точно не должны заниматься.

Подделка документов для Apple.

Более «белый» вариант — попытаться обмануть уже саму Apple, предъявив ей фальшивый чек или накладную, чтобы добиться снятия Activation Lock. В сети можно найти умельцев, предлагающих за деньги изготовить такие документы. Apple, конечно, старается проверять данные (например, по серийному номеру устройства и базе продаж), и предоставление фальшивок чревато серьезными проблемами. Репутационные риски для компании куда дороже потерянного устройства.

Аппаратные махинации.

Поскольку Activation Lock привязан к железу (в Mac это плата с чипом T2/Secure Enclave), некоторые умельцы идут радикальным путем — замена логической платы. По сути, если вставить в Mac новую материнскую плату без привязки к чужому iCloud, то и блокировка исчезнет вместе со старой платой. Но цена такой операции сопоставима со стоимостью другого такого же б/у Mac. А в случае современных Mac на Apple Silicon и вовсе невозможно без помощи Apple, чип M1/M2 прочно интегрирован. Существует и чип-тюнинг: в моделях с T2 энтузиасты научились выпаивать микросхему памяти и прошивать ее специальными инструментами вроде T203 ROM Assistant. На фотографиях этот набор выглядит как плата и USB-донгл, с помощью которых можно попытаться сбросить EFI-прошивку и обойти iCloud-лок на Mac. Но процесс требует высокой квалификации, оборудования (термовоздушная паяльная станция, программатор) и несет риск окончательно угробить устройство. Вдобавок после такого «вскрытия» Mac потеряет гарантию и, возможно, часть функциональности (например, Touch ID может не работать, если менять T2 без родного сенсора). Подобные операции имеют смысл разве что для частных мастеров с рынка, которые захотят восстановить украденный девайс для перепродажи. В рамках же законной эксплуатации компании такие методы даже рассматривать не стоит.

Софт для обхода активации.

В интернете можно найти утилиты типа CheckM8, iRemove и им подобные, обещающие обойти Activation Lock на Mac программно. Они используют уязвимости (в основном для Intel-Mac с T2) и позволяют загрузить систему, минуя экран активации. Но тут есть несколько «но». Во-первых, эти решения платные и неофициальные, никто не даст гарантии их эффективности. Во-вторых, они по сути взламывают Mac, отключая некоторые системные защиты. После такого обхода вы не сможете нормально войти в iCloud под своим Apple ID, получать обновления и т.д. Устройство будет в подвешенном состоянии, как будто никогда не было заблокировано, но и без ряда сервисов. Для корпоративного использования такой взлом неприемлем, это нарушение лицензионных соглашений Apple, угрозы безопасности и отсутствие поддержки.

В сухом остатке, легального и простого способа обойти Activation Lock нет, кроме как через Apple или теперь через ABM для владельца. Все хитрости либо незаконны, либо сродни ремонту в гараже с непредсказуемым результатом. Apple специально сделала систему настолько непростой, чтобы украденные устройства не гуляли по рынку, и, стоит признать, со своей задачей она справляется. По словам специалистов по переработке электроники, тысячи идеально рабочих iPhone каждый месяц отправляются под пресс именно из-за Activation Lock. С появлением этой функции на MacBooks тенденция аналогична, если устройство заблокировано и нет доступа к аккаунту, то шанс вернуть его к жизни минимален без участия Apple.

Поэтому лучше изначально выстроить защиту от таких ситуаций, чем потом искать волшебный обходной ключ.

Рекомендации для ИТ-отдела и руководителей

Блокировка активации не приговор, если к ней подготовиться. В корпоративной среде этот механизм нужно воспринимать не как врага, а как дополнительный уровень безопасности, который вы контролируете. Подытожим основные советы:

• Включайте Apple Business Manager и MDM с первого дня. Это даст вам полный контроль над устройствами и их привязкой к Apple ID.

• Следите за Activation Lock-статусом устройств. Регулярный мониторинг убережет от сюрпризов. Вы будете знать, какие Mac и к чьим учеткам привязаны.

• Обучите персонал правилам обращения с Apple ID на рабочей технике. Лучше потратить время на профилактику, чем на устранение последствий.

• Используйте новые возможности Apple. Берите на вооружение функцию отключения Activation Lock через ABM, она создана специально, чтобы избавить бизнес от лишней головной боли.

• Не экономьте на официальных решениях. Качественная MDM-система окупится уже тем, что спасет хотя бы один топовый MacBook Pro от вечной блокировки. А их она спасет, будьте уверены, не один.

Вывод: Activation Lock — отличный инструмент для защиты данных и снижения привлекательности краж. В корпоративной же эксплуатации он требует внимательного подхода. Централизованное управление устройствами Apple, грамотные политики и использование возможностей ABM/MDM позволяют превратить Activation Lock из потенциального кошмара в контролируемый процесс. Вы сможете и защитить парк техники от злоумышленников, и избежать ситуации, когда собственные компьютеры становятся заложниками забытого пароля. Настройте все правильно, и пусть ваши MacBook работают, а не лежат мертвым грузом!