Finger, der auf Mac-Tastatur eine Taste mit Schlosssymbol drückt © momius - fotolia.com

Sicherheit bei Apple Mac - "Activation Lock" im Unternehmenseinsatz

"Activation Lock" verhindert die Nutzung gestohlener Geräte, stellt damit Administratoren jedoch vor Herausforderungen.

Apple Mac - "Activation Lock" im Unternehmenseinsatz

Was ist eigentlich Activation Lock?

Activation Lock (Aktivierungssperre) wurde zusammen mit macOS Catalina für den Mac eingeführt. Wie auf anderen iOS Geräten dient die Funktion in Verbindung mit dem persönlichen iCloud Account als Anti-Diebstahl Komponente um das Aktivieren des Macs bei Verlust oder Diebstahl zu verhindern.

Bedingungen:

  • Verfügbar ab macOS Catalina 10.15.0
  • Der Mac muss einen T2-Chip verbaut haben (Macbook ab 2018, iMac & Mac Pro ab 2019)
  • Die Zwei-Faktor Authentifizierung muss für den iCloud Account aktiv sein
  • "Secure Boot" muss mit vollen Sicherheitseinstellungen aktiviert und das Starten von externen Medien deaktiviert sein

Erfüllt der Mac diese Bedingungen, wird Activation Lock automatisch aktiviert, sobald die Funktion „Wo Ist?“ eingerichtet wird. Details sind bei Apple nachzulesen.

Risiko für Unternehmen

Diese Funktion verhindert die Nutzung gestohlener Geräte, stellt aber auch gleichzeitig die Administratoren vor eine Herausforderung: Was passiert, wenn Activation Log aktiviert ist, der Mac aber in der Firma den Benutzer wechselt und nicht mehr mit dessen Apple-ID entsperrt werden kann?

Wie entsperre ich als Administrator den Mac?

Damit man von dem Mac nicht ausgesperrt wird, bietet Apple Firmen, Schulen und Institutionen die Möglichkeit, anstatt einer Apple ID einen Bypass-Code zu verwenden, der in einem Mobile Device Management System (MDM) generiert wurde. In unserem Beispiel mit der MDM Plattform „Jamf Pro“ kann der Bypass-Code bequem über das Geräte-Inventar ausgelesen werden.

Der Bypass-Code kann nun anstelle der Apple-ID im Activation-Lock Fenster eingegeben werden. Hierzu muss über die Menüleiste im Menü Recovery Assistant „Activate with MDM key…“ ausgewählt werden.

Es gelten zusätzliche Bedingungen:

  • Der Mac muss mithilfe eines MDM Systems eingerichtet (enrolled) sein
  • Das Gerät muss Supervised sein, dementsprechend sollte für die Einrichtung Apples automatisiertes Geräte Enrollment Programm "Apple Business Manager" oder "Apple School Manager" genutzt werden

SPIRIT/21 Empfehlung

Verwalten sie ihre Macs mit einem geeigneten MDM System, z.B. Jamf Pro. Sprechen Sie uns an, wir bieten eine umfassende Beratung sowie den passenden Service um einen reibungslosen Betrieb ihrer Macs zu gewährleisten.