抹掉 Apple 设备如果你是管理员或用户,大多数情况下可以使用“抹掉所有内容和设置”选项来在本地或远程抹掉 iPhone、iPad 和 Mac。在设备上,抹掉(或擦除)操作会清除可擦除储存空间中的所有密钥,并通过加密方式使所有用户数据不可访问。

抹掉所有内容和设置搭载 Apple 芯片或 Apple T2 安全芯片且运行 macOS 12.0.1 或更高版本的 Mac 电脑允许本地管理员或 MDM 管理员(如果已在 MDM 中注册)执行“抹掉所有内容和设置”,与 iPhone、iPad、Apple TV 和 Apple Watch 设备上允许进行的操作相似。Mac 上的所有用户数据以及任何附加宗卷都会一同抹掉。对于搭载 Apple 芯片的 Mac,安全设置还会还原为其默认状态(完整安全性)。MDM 解决方案:

可使用访问限制来阻止 Mac 上的所有内容和设置被抹掉(iPhone 和 iPad 设备已有此功能)

可使用现有的 EraseDevice 命令来抹掉所有内容和设置

发起远程擦除命令的方式不管想要擦除哪一种 Apple 设备(iPhone、iPad 或 Mac),你都可以通过移动设备管理 (MDM)、iCloud 或 Microsoft Exchange ActiveSync 发起远程擦除命令。当你通过 MDM 发起远程擦除命令时,Apple 设备会向 MDM 解决方案发回确认信息并执行擦除。有关更多信息,请参阅远程擦除。

当你通过 Microsoft Exchange ActiveSync 发起远程擦除时(仅限 iPhone 和 iPad),在执行擦除前,设备会签入 Microsoft Exchange Server。你可以使用 Exchange Management Console、Outlook Web Access 或 Exchange ActiveSync Mobile Administration Web Tool 执行远程擦除。

在 iOS 和 iPadOS 中使用远程擦除对于 iPhone 和 iPad,“抹掉所有内容和设置”选项位于“设置” App 中。对于以下几种账户来说,无法使用“抹掉所有内容和设置”进行远程擦除:

使用“用户注册”的账户

账户通过“用户注册”安装时,使用 Microsoft Exchange ActiveSync 的账户

设备被监督时使用 Microsoft Exchange ActiveSync 的账户

【注】除了使用“抹掉所有内容和设置”选项,MDM 解决方案和用户还可将 iPhone 和 iPad 设为在连续多次输入密码失败后自动擦除。

适用于 iPhone 和 iPad 的“以可用状态返还”“以可用状态返还”可让在 MDM 中还原和重新注册 iPhone 和 iPad 设备的过程完全自动化且更快。MDM 解决方案发送抹掉管理式设备的命令时,它可提供无线局域网详细信息并定义要将设备注册到的 MDM 解决方案。

需要无线局域网描述文件才能激活设备,除非可以通过其他方式接入互联网(如网络共享连接)。

如果设备已在“Apple 校园教务管理”或“Apple 商务管理”中注册,则可忽略 MDM 配置。这会提醒设备在激活过程中检查注册描述文件。如果提供,则可用于自动设备注册不然可能需要交互式认证等情况。

设备会使用提供的信息抹掉所有数据并自动前进到主屏幕,准备好可供使用。作为此过程的一部分,将应用先前所选语言和地区。是否保留现有 eSIM 取决于 PreserveDataPlan 键的设置。还会保留通过 Apple Configurator 手动设定的监督状态。

在 macOS 中使用 MDM 远程擦除对于运行 macOS 12.0.1 或更高版本的 Mac,MDM 默认使用“抹掉所有内容和设置”选项发起远程擦除,该选项也可在以下位置找到:

macOS 13 或更高版本:苹果菜单 >“系统设置”>“通用”>“传输或还原”>“抹掉所有内容和设置”。

macOS 12.0.1 或更低版本:苹果菜单 >“系统偏好设置”,然后在菜单栏中,“系统偏好设置”>“抹掉所有内容和设置”。

MDM 在搭载 Apple 芯片和 Apple T2 安全芯片的 Mac 电脑上启动远程擦除。

使用 MDM 解决方案时,根据你拥有的 Mac 机型,你可以通过发送 EraseDevice 命令给 Mac 来触发“抹掉所有内容和设置”选项。若要接收此命令,Mac 必须符合以下所列要求。

Mac 机型

支持的最低操作系统版本

启用远程擦除的要求

搭载 Apple 芯片

macOS 12.0.1

必须拥有来自 MDM 的 Bootstrap 令牌。

搭载 Apple 芯片或 Apple T2 安全芯片

macOS 12.0.1

若有多个分区,必须从第一个分区开始。

必须拥有签名系统宗卷 (SSV)。

必须未从外部宗卷启动。

搭载 Apple T2 安全芯片

macOS 12.0.1

必须处于完整安全性模式。

必须未设定 EFI 固件密码。如果当前已设定密码,在 macOS 12.0.1 或更高版本中,你可以使用 SetFirmwarePassword 命令将密码移除,然后再发出 EraseDevice 命令,中途无需重新启动。

如果收到 EraseDevice 命令时不满足以上一个或多个条件,那么 Mac 会默认回退到使用 macOS 11 中叫做彻底抹掉的行为。设备被彻底抹掉后,你必须重新安装 macOS 才能使用 Mac。

你可以在 EraseDevice 命令的 ObliterationBehavior 键中管理抹掉 Mac 的彻底抹掉回退行为。如果“抹掉所有内容和设置”失败,你可以使用此键(对 T2 芯片之前的机器没有影响)指定 Mac 的回退行为,方法是选取以下其中一个值:

Default(或缺少键):设备以 Error 状态或无状态响应服务器,然后尝试彻底抹掉。

DoNotObliterate:设备以 Error 状态响应,但不会发生彻底抹掉。

ObliterateWithWarning:设备使用 Acknowledgement 或 Warning 状态进行响应,然后尝试彻底抹掉。

另外,EACSPreflight 检查可以提前确定行为并返回“成功”、“不支持”或“未知失败”及有关失败原因的数据。这允许组织和 MDM 解决方案在发送 EraseDevice 命令之前确定最合适的方式以继续。

【重要事项】在 MDM 解决方案中注册的 Mac 电脑如果打开了文件保险箱且不支持“抹掉所有内容和设置”,有可能会被意外抹掉。该行为与彻底抹掉类似,并且需要完全重新安装 macOS。

发布日期:2023 年 10 月 25 日另请参阅Apple 支持文章:iPhone 和 iPad 的激活锁Apple 平台安全保护:激活锁安全性