学校などで大量のiPadをはじめとしたApple製品を運用管理するような場面では、MDM(Mobile Device Management)は必須ともいえるソリューションです。 しかし、Apple製品をMDMで継続して管理するには、年1回証明書更新という作業が必要なことをご存知でしょうか?
今回のコラムでは、Apple製品利用時におけるMDMの証明書更新についてご紹介していきます。
Apple + MDMに必要な証明書について
MDMを導入することにより、管理者は管理下のデバイスを遠隔で操作したり、インストールするアプリを制御するといったことが可能になります。
Jamf Pro、mobiconnect、Microsoft Intuneなど、各メーカーから様々なMDM製品が提供されていますが、どのMDMサービスでもApple製品を管理する場合、以下の証明書やトークンが必要になってきます。
名前 | 期限が切れると… |
APNs証明書 (Apple プッシュ通知サービス証明書) | MDMで端末が管理できなくなる (MDMでリモート操作での初期化等ができなくなる) |
サーバトークン (旧:DEPトークン) | ADE※1 の機能が使用できなくなる |
コンテンツトークン (旧:VPPトークン) | MDMでアプリのライセンス管理等ができなくなる |
※1 ADE(旧:DEP)については、下記URLを参照ください。
https://support.apple.com/ja-jp/HT204142
いずれの証明書も有効期限が1年間となっており、期限が切れてしまうと様々な影響が出てきてしまうため、Apple製品を継続して管理するには、MDMに登録された証明書の更新作業を定期的に行わなければなりません。
それでは次章から、Apple製品の管理に特化したMDM「Jamf Pro」を例に、実際にどのようにして証明書更新を行うのかを見ていきましょう。
[Jamf Pro] APNs証明書を更新する
新しいAPNs証明書は、Apple プッシュ通知証明書ポータル(Apple Push Certificates Portal)で発行します。
Jamf Proの場合、以下の手順で更新を行います。
◆操作手順◆
1.Jamf Proに管理者アカウントでログインします。
2.右上の[設定] ⇒ [グローバル管理] ⇒ [プッシュ証明書]をクリックします。
3.プッシュ証明書をクリックします。
4.[更新]をクリックします。
5.[Download signed CSR from Jamf]を選択して、[次へ]をクリックします。
6.Jamf IDアカウントを入力して、[次へ]をクリックします。
7.CSR証明書のダウンロードが終了したら、[次へ]をクリックします。
8.[Apple Push Certificate Portal]をクリックします。
9.Apple Push Certificates Portalに移動します。
前回APNs証明書を取得する際に使用したApple IDでサインインします。
10.Apple IDに登録されている電話番号に送信された確認コードを入力します。
11.過去に発行したAPNs証明書が表示されます。
更新する証明書の[Renew]をクリックします。
Apple Push Certificates Portalに証明書が複数登録されていて、どれを使用すればよいか不明な場合は、MDMに登録されたAPNs証明書とUIDの値が一致するものを使用しましょう。
12.[ファイルを選択]をクリックします。
13.手順7でダウンロードしたCSR証明書を指定し、[Upload]をクリックします。
14.[Download]をクリックし、APNs証明書をダウンロードします。
15.手順8のJamf Pro管理画面に戻り、[次へ]をクリックします。
16.[アップロード]をクリックします。
17.[ファイルを選択]をクリックします。
18.手順14でダウンロードしたAPNs証明書を指定し、[アップロード]をクリックします。
19.[完了]をクリックします。
20.[EXPIRES]の日付が更新されていることを確認します。
21.以上でAPNs証明書の更新は完了です。
iPad等にリモートコマンドを実施し、正常に動作するか確認しましょう。
[Jamf Pro] コンテンツトークンを更新する
新しいサーバトークンは、Apple School Manager(ASM)から取得可能です。
Jamf Proの場合、以下の手順で更新を行います。
◆操作手順◆
1.ASMに管理者アカウントでログインします。
2.[アカウント名] ⇒ [環境設定]をクリックします。
3.[MDMサーバ]にてサーバトークンを更新するMDMを選択し、[トークンをダウンロード]をクリックします。
4.[サーバトークンをダウンロード]をクリックし、トークンをダウンロードします。
5.Jamf Proに管理者アカウントでログインします。
6.右上の[設定] ⇒ [グローバル管理] ⇒ [自動デバイス登録]をクリックします。
7.表示されている自動デバイス登録名をクリックします。
8.[編集]をクリックします。
9.[詳細]を開き、[サーバトークンファイルのアップロード]をクリックします。
10.[ファイルを選択]をクリックします。
11.手順4でダウンロードしたサーバトークンを指定し、[アップロード]をクリックします。
12.[保存]をクリックします。
13.トークン有効期限日が更新され、ASMとの同期が開始されます。
14.以上でサーバトークンの更新は完了です。
[Jamf Pro] コンテンツトークンを更新する
新しいコンテンツトークンは、サーバトークンと同じくApple School Manager(ASM)から取得可能です。
Jamf Proの場合、以下の手順で更新を行います。
◆操作手順◆
1.ASMに管理者アカウントでログインします。
2.[アカウント名] ⇒ [環境設定]をクリックします。
3.[お支払いと請求] ⇒ [Appとブック] ⇒ [サーバトークン]にて、該当の場所名をクリックしてトークンをダウンロードします。
4.Jamf Proに管理者アカウントでログインします。
5.右上の[設定] ⇒ [グローバル管理] ⇒ [一括購入]をクリックします。
6.該当のコンテンツトークンをクリックします。
※MDMに複数のコンテンツトークンが登録されている場合は、適宜手順3を繰り返し、必要なトークンをダウンロードしてください。
7.[編集]をクリックします。
8.[詳細]を開き、[Renew Service Token]をクリックします。
9.[ファイルを選択]をクリックします。
10.手順3でダウンロードしたコンテンツトークンを指定し、[アップロード]をクリックします。
11.有効期限日が更新されたことを確認し、[保存]をクリックします。
12.以上でコンテンツトークンの更新は完了です。
まとめ
今回はJamf Proを例にして、Apple製品の管理に必要な証明書の更新方法をご紹介しましたがいかがでしたでしょうか。
証明書の有効期限が切れてしまうと、MDMで端末をリモート操作できなくなるなどの弊害が発生します。
現在MDMでApple製品を管理されている方は、各種証明書の期限がいつまでなのか、この機会に確認してみてはいかがでしょうか。
なお、証明書の更新中は、管理下のiPad等には特に影響はなく普段通り使用が可能ですが、MDM上での操作はエラーになる恐れがあります。管理者が複数名いるような環境では、更新中のMDM操作は控えるよう周知するようにしましょう。
MDMでお悩みの方は、三谷商事までお気軽にお問い合わせください。
お問い合わせはこちら
本コラムに関するお問い合わせはこちらからよろしくお願いいたします。