曾经,iPad 或 MacBook 被盗对 IT 部门来说是一场双重噩梦。你不仅要担心数据安全,还知道物理硬件已经永远丢失,必须重新采购。窃贼可以擦除设备、重装系统,然后在 Facebook Marketplace 上卖出一台完好无损的机器。然而,随着 Apple Business 平台的成熟和零接触注册的普及,Apple 已基本摧毁了窃取企业 Mac 和 iPad 的经济动机。
在早期管理技术的时代,物理盗窃是一项利润丰厚的生意。如果砸窗抢劫的窃贼从汽车或办公室偷走一堆笔记本电脑,他们清楚如何销赃。只要能启动到恢复驱动器或使用 USB 安装程序,他们就可以格式化磁盘。所有原始公司的痕迹都会被抹除。这台设备变成一张白纸,可以轻松在 FB Marketplace 或当铺出售。
我们曾经严重依赖固件密码来防止这种情况,但在大规模管理时这非常繁琐。如果设备丢失,IT 部门就必须核销整个硬件成本。二手市场因这些赃物而繁荣,因为买家在为时已晚之前根本无法知道设备是被盗的。我曾在 2011 年为一个组织管理 IT,在周末闯入事件中丢失了 10 多台 iPad。那时我们还在通过 iTunes 设置 iPad(Apple Configurator 之前)。
随着 Automated Device Enrollment 的引入,一切都改变了,它直接与 Apple Business Manager(现称为 Apple Business)绑定。当组织从 Apple 或授权企业经销商购买 iPhone、iPad 或 Mac 时,设备的序列号会在激活时永久映射到公司门户。
在 Apple Business 控制台中,IT 将该序列号分配到他们的设备管理平台。这就是创造零接触注册奇迹的原因。当员工打开全新的 Mac 并连接 Wi-Fi 时,设备会安全地与 Apple 激活服务器通信,识别出它属于公司,并自动下载所有管理配置文件、应用和安全策略。
防盗利器
正是这种零接触工作流程,让窃取这些设备对窃贼来说变得极其令人沮丧。假设窃贼偷走了一台受管理的 MacBook Pro。他们第一个想法是擦除硬盘并重装 macOS。
当刚刚擦除的 Mac 连接到互联网完成设置助手时,它会 ping Apple。设备会立即弹出远程管理屏幕,要求输入企业登录凭证。无法跳过。没有组合键命令可以绕过它。这台 Mac 在服务器层面被硬编码为属于你的组织。
结合受管理的 Activation Lock,被盗设备实际上就被“砖头化”了。窃贼无法使用它,当然也无法卖给懂行的买家。剩下的唯一价值就是拆解设备获取无序列号的零配件,这大大降低了盗窃的利润空间。
总结
Apple 通过将物理硬件与云激活绑定,悄然构建了世界上最有效的硬件防盗机制之一。作为 IT 管理员,知道如果设备丢失或被盗,数据受 FileVault 保护,而硬件对窃取者毫无用处,这带来极大的安心感。
如果你正在企业或 K-12 环境中管理 Apple 设备,却没有使用 Apple Business 和 Automated Device Enrollment,那么你的硬件就处于暴露状态。在零售店购买现货设备并手动管理,意味着你缺乏那种服务器级别的所有权。
