毎年必須!Apple + MDM環境下における各種証明書(APNs証明書/サーバトークン/コンテンツトークン)更新手引き

公開日:2022/08/05
最終更新日:2023/10/05

学校などで大量のiPadをはじめとしたApple製品を運用管理するような場面では、MDM(Mobile Device Management)は必須ともいえるソリューションです。 しかし、Apple製品をMDMで継続して管理するには、年1回証明書更新という作業が必要なことをご存知でしょうか?

今回のコラムでは、Apple製品利用時におけるMDMの証明書更新についてご紹介していきます。

Apple + MDMに必要な証明書について

MDMを導入することにより、管理者は管理下のデバイスを遠隔で操作したり、インストールするアプリを制御するといったことが可能になります。

Jamf Pro、mobiconnect、Microsoft Intuneなど、各メーカーから様々なMDM製品が提供されていますが、どのMDMサービスでもApple製品を管理する場合、以下の証明書やトークンが必要になってきます。

名前期限が切れると…
APNs証明書
(Apple プッシュ通知サービス証明書)
MDMで端末が管理できなくなる
(MDMでリモート操作での初期化等ができなくなる)
サーバトークン
(旧:DEPトークン)
ADE※1 の機能が使用できなくなる
コンテンツトークン 
(旧:VPPトークン)
MDMでアプリのライセンス管理等ができなくなる


※1 ADE(旧:DEP)については、下記URLを参照ください。
https://support.apple.com/ja-jp/HT204142

いずれの証明書も有効期限が1年間となっており、期限が切れてしまうと様々な影響が出てきてしまうため、Apple製品を継続して管理するには、MDMに登録された証明書の更新作業を定期的に行わなければなりません。

それでは次章から、Apple製品の管理に特化したMDM「Jamf Pro」を例に、実際にどのようにして証明書更新を行うのかを見ていきましょう。

[Jamf Pro] APNs証明書を更新する

新しいAPNs証明書は、Apple プッシュ通知証明書ポータル(Apple Push Certificates Portal)で発行します。
Jamf Proの場合、以下の手順で更新を行います。

◆操作手順◆

1.Jamf Proに管理者アカウントでログインします。

2.右上の[設定] ⇒ [グローバル管理] ⇒ [プッシュ証明書]をクリックします。

3.プッシュ証明書をクリックします。

4.[更新]をクリックします。

5.[Download signed CSR from Jamf]を選択して、[次へ]をクリックします。

6.Jamf IDアカウントを入力して、[次へ]をクリックします。

7.CSR証明書のダウンロードが終了したら、[次へ]をクリックします。

8.[Apple Push Certificate Portal]をクリックします。

9.Apple Push Certificates Portalに移動します。
前回APNs証明書を取得する際に使用したApple IDでサインインします。

10.Apple IDに登録されている電話番号に送信された確認コードを入力します。

11.過去に発行したAPNs証明書が表示されます。
更新する証明書の[Renew]をクリックします。

アイコンをクリックすると、その証明書の詳細情報が表示されます。
Apple Push Certificates Portalに証明書が複数登録されていて、どれを使用すればよいか不明な場合は、MDMに登録されたAPNs証明書とUIDの値が一致するものを使用しましょう。

12.[ファイルを選択]をクリックします。

13.手順7でダウンロードしたCSR証明書を指定し、[Upload]をクリックします。

14.[Download]をクリックし、APNs証明書をダウンロードします。

15.手順8のJamf Pro管理画面に戻り、[次へ]をクリックします。

16.[アップロード]をクリックします。

17.[ファイルを選択]をクリックします。

18.手順14でダウンロードしたAPNs証明書を指定し、[アップロード]をクリックします。

19.[完了]をクリックします。

20.[EXPIRES]の日付が更新されていることを確認します。

21.以上でAPNs証明書の更新は完了です。
iPad等にリモートコマンドを実施し、正常に動作するか確認しましょう。

[Jamf Pro] コンテンツトークンを更新する

新しいサーバトークンは、Apple School Manager(ASM)から取得可能です。
Jamf Proの場合、以下の手順で更新を行います。

◆操作手順◆

1.ASMに管理者アカウントでログインします。

2.[アカウント名] ⇒ [環境設定]をクリックします。

3.[MDMサーバ]にてサーバトークンを更新するMDMを選択し、[トークンをダウンロード]をクリックします。

4.[サーバトークンをダウンロード]をクリックし、トークンをダウンロードします。

5.Jamf Proに管理者アカウントでログインします。

6.右上の[設定] ⇒ [グローバル管理] ⇒ [自動デバイス登録]をクリックします。

7.表示されている自動デバイス登録名をクリックします。

8.[編集]をクリックします。

9.[詳細]を開き、[サーバトークンファイルのアップロード]をクリックします。

10.[ファイルを選択]をクリックします。

11.手順4でダウンロードしたサーバトークンを指定し、[アップロード]をクリックします。

12.[保存]をクリックします。

13.トークン有効期限日が更新され、ASMとの同期が開始されます。


14.以上でサーバトークンの更新は完了です。

[Jamf Pro] コンテンツトークンを更新する

新しいコンテンツトークンは、サーバトークンと同じくApple School Manager(ASM)から取得可能です。
Jamf Proの場合、以下の手順で更新を行います。

◆操作手順◆

1.ASMに管理者アカウントでログインします。

2.[アカウント名] ⇒ [環境設定]をクリックします。

3.[お支払いと請求] ⇒ [Appとブック] ⇒ [サーバトークン]にて、該当の場所名をクリックしてトークンをダウンロードします。

4.Jamf Proに管理者アカウントでログインします。

5.右上の[設定] ⇒ [グローバル管理] ⇒ [一括購入]をクリックします。

6.該当のコンテンツトークンをクリックします。

※MDMに複数のコンテンツトークンが登録されている場合は、適宜手順3を繰り返し、必要なトークンをダウンロードしてください。

7.[編集]をクリックします。

8.[詳細]を開き、[Renew Service Token]をクリックします。

9.[ファイルを選択]をクリックします。

10.手順3でダウンロードしたコンテンツトークンを指定し、[アップロード]をクリックします。

11.有効期限日が更新されたことを確認し、[保存]をクリックします。

12.以上でコンテンツトークンの更新は完了です。

まとめ

今回はJamf Proを例にして、Apple製品の管理に必要な証明書の更新方法をご紹介しましたがいかがでしたでしょうか。

証明書の有効期限が切れてしまうと、MDMで端末をリモート操作できなくなるなどの弊害が発生します。
現在MDMでApple製品を管理されている方は、各種証明書の期限がいつまでなのか、この機会に確認してみてはいかがでしょうか。

なお、証明書の更新中は、管理下のiPad等には特に影響はなく普段通り使用が可能ですが、MDM上での操作はエラーになる恐れがあります。管理者が複数名いるような環境では、更新中のMDM操作は控えるよう周知するようにしましょう。

MDMでお悩みの方は、三谷商事までお気軽にお問い合わせください。

お問い合わせはこちら

本コラムに関するお問い合わせはこちらからよろしくお願いいたします。

Back Number

iPad OSの便利な機能「Return to Service」のご紹介

iPad OSの便利な機能「Return to Service」のご紹介

[Return to Service]は「卒業生のiPadを新入生に貸与する」といったGIGAスクール構想で調達されたiPadの運用などに最適な機能です。MDMと連携してiPadの初期化後の再登録を速やかに行ってくれる機能になりま

Apple Pencil 以外の選択肢、iPad をもっと快適にするスタイラスペンの選び方

Apple Pencil 以外の選択肢、iPad をもっと快適にするスタイラスペンの選び方

GIGAスクール構想により、多くの児童・生徒が iPadを活用して学習しています。iPadは指で操作することが基本となりますが、スタイラスペンを使うことでさらにその可能性が広がっていきます。ノートを取ったりメモを書

【Google Workspace運用術】サードパーティ製アプリのアクセス制御~18歳以上/18歳未満のユーザー向けの設定~

【Google Workspace運用術】サードパーティ製アプリのアクセス制御~18歳以上/18歳未満のユーザー向けの設定~

2023年10月23日以降、18歳未満のユーザーはアクセス設定されていないサードパーティ製アプリにアクセスできなくなったことは、皆様ご存じのことと思います。 しかし、「実際に制限されたら、どのような作業をしてアクセス