iOS デバイス を Intune へ 登録する（事前作業：MDM プッシュ証明書）

はじめに

Microsoft Intune で iOS/iPadOS および macOS デバイスを管理するためには、Apple MDM プッシュ証明書が必要で、毎年 証明書を更新する必要があります。

この記事では、Microsoft Intune で Apple MDM プッシュ証明書をアップロードして更新する手順を紹介します。

【公開情報：Apple MDM プッシュ証明書を取得する】
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get

なお、手順を見ると 多くのステップがあるように見えますが、一般的な証明書の作成と考え方は一緒です。

（おおざっぱな作業としては、以下を実施しているだけです）

1. Intune 管理センター で CSR を発行
2. Apple Push Certificates Portal へ CSR をアップロードし、証明書を発行
3. 証明書を Intune 管理センターへアップロード

要件

• Microsoft Edge (最新バージョン)
• Safari (最新バージョン、Mac のみ)
• Chrome (最新バージョン)
• Firefox (最新バージョン)

（Intune でサポートされている Web ブラウザー）
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/supported-devices-browsers#intune-supported-web-browsers

前提事項

① Microsoft 365 テナントの取得

以下のサイトを参考に、テナントの取得が行われている必要があります。

② 会社用の Apple ID を用意する

検証用途であれば、個人のデバイスに紐づいた Apple ID でも作業は可能ですが、運用用途を想定した場合は、この証明書を管理するために 専用の Apple ID をサインアップして 用意しておくことが推奨されています。
以下の　URL から、Apple ID を発行できます。
https://appleid.apple.com/account

（以下の公開情報の注意欄より抜粋）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-3-create-an-apple-mdm-push-certificate

注意
証明書は、証明書の作成に使用した Apple ID と関連付けられています。
ベスト プラクティスとしては、Apple ID に会社のメール アドレスを使用し、配布リストのように複数のユーザーによってメールボックスが監視されることを認識してください。 個人の Apple ID の使用は避けてください。

上記、判りづらい日本語ですが、メーリングリストを使って登録すると、複数のユーザーがそれを参照できてしまう状態なので注意してね・・・という事なのかと思います。

証明書の新規作成手順

サインイン

1. Intune 管理センターへサインインする
   https://intune.microsoft.com/
   　
   
2. 左ペインから「デバイス」を選択し、デバイスの概要画面で「デバイスの登録」を選択します。
   
   　
   
3. 「Apple 登録」を選択して「Apple MDM プッシュ通知証明書」を押します。
   

手順 1. Microsoft がユーザーとデバイスの情報を Apple に送信できるようにする

[同意する] を選択します。
データを Apple に送信するためのアクセス許可が、Microsoft に付与されます。

（公開情報：手順 1. Microsoft がユーザーとデバイスの情報を Apple に送信できるようにする）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-1-grant-microsoft-permission-to-send-user-and-device-information-to-apple

手順 2. Apple MDM プッシュ証明書の作成に必要な Intune 証明書署名要求をダウンロードする

[CSR のダウンロード] を選び、要求ファイルをダウンロードして、PC に保存します。

CSR ファイルは、Apple Push Certificates ポータルから信頼関係の証明書を要求するのに使用します。

（公開情報：手順 2. Apple MDM プッシュ証明書の作成に必要な Intune 証明書署名要求をダウンロードする）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-2-download-the-intune-certificate-signing-request-required-to-create-an-apple-mdm-push-certificate

手順 3. Apple MDM プッシュ証明書を作成する

1. 赤枠の「MDM プッシュ証明書を作成する」をクリックして、"Apple Push Certificates ポータル" に移動します。
   
   　
   
2. 事前に手配用意していた 会社の Apple ID を使用してポータルにサインインします。
   
   

3．Apple Push Certificates Portal にサインインされるため、[Create a Certificate] を選択します。

4．ご契約条件を読んで同意欄にチェックを入れ、[Accept] を選択します。

5．[ファイルの選択] を選択し、Intune でダウンロードした CSR ファイルを選択します。

6．[Upload] を選択します。

7．確認ページで、[Download] を選択します。
証明書ファイル (.pem) が PC にダウンロードされます。
後で使用するためにこのファイルを保存します。

なお、上記の Confirmation 画面で、[Manage Certificates] を押すと、発行された管理画面へ遷移することができます。これ以降は、ブラウザを閉じてしまっても 再度 以下のサイトへアクセスすれば、いつでも証明書のダウンロードができますし、更新作業 もここから行えます。
https://identity.apple.com/pushcert/

（公開情報：手順 3. Apple MDM プッシュ証明書を作成する）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-3-create-an-apple-mdm-push-certificate

手順 4. Apple MDM プッシュ証明書の作成に使用した Apple ID を入力する

Intune 管理センターの画面に戻り、Apple ID を入力します。
これは、証明書を更新する必要があるときに通知するために必要です。

（公開情報：手順 4. Apple MDM プッシュ証明書の作成に使用した Apple ID を入力する）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-4-enter-the-apple-id-used-to-create-your-apple-mdm-push-certificate

手順 5. アップロードする Apple MDM プッシュ証明書を参照する

1. [フォルダー] アイコンを選択します。
   
   　
   
2. Apple ポータルでダウンロードした証明書ファイル (.pem) を選択します。
   
   　
   
3. [アップロード] を選択して、MDM プッシュ証明書の構成を完了します。
   
   　
   
4. 以下の通知が表示されれば、完了です。
   
   　
   
5. 以下の右上の「×」ボタンを押して 閉じてしまって構いません。
   
   　
   
6. Apple MDM プッシュ証明書の状態が Intune 管理センターと Apple ポータルの両方でアクティブに表示されていることを確認しておきましょう。

（Intune 管理センター）

（Apple Push Certificates Portal）

（公開情報：手順 5. アップロードする Apple MDM プッシュ証明書を参照する）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#step-5-browse-to-your-apple-mdm-push-certificate-to-upload
　

以上で、iPhone を Intune へ登録するための環境が準備できました。

続いて、以下の記事を参考にデバイス登録を実施してください。

証明書の更新手順

Apple MDM プッシュ証明書は 365 日有効です。
iOS/iPadOS と macOS デバイスの管理を維持するには、毎年更新する必要があります。
証明書の有効期限が切れると、30 日間の猶予期間で証明書を更新できます。

更新作業は、手順No.5 で [Renew] を押すところ以外は、作成手順と変わりません。
一応、以下の手順で 更新作業が行えるかどうかは試しています。

MDM プッシュ証明書を、作成に使用したのと同じ Apple アカウントで更新作業を行う必要があります。

1. Intune管理センターにサインインします。
   https://intune.microsoft.com/
   　
   
2. [デバイス]>[登録デバイス]>[Apple 登録]>[Apple MDM プッシュ証明書] を選択します。
   
   　
   
3. [CSR のダウンロード] を選び、要求ファイルをダウンロードしてローカルに保存します。 ファイルは、Apple Push Certificates ポータルから信頼関係の証明書を要求するのに使用します。
   
   　
   
4. MDM プッシュ証明書を作成する を選択して、Apple Push Certificates ポータルに移動します。
   
   　
   
5. 更新する証明書を検索し、[Renew] を選択します。
   
   　
   
6. [ファイルの選択] を選択し、ダウンロードした新しい CSR ファイルを選択します。
   
   　
   
7. [Upload] を選択します。
   
   　
   
8. [確認] 画面で、[Download] を選択します。
   
   　
   
9. Intune 管理センター の [MDM プッシュ証明書の構成] ページに戻り、証明書ファイルをアップロードします。
   
   　
   
10. Apple MDM プッシュ証明書の状態が Intune 管理センターと Apple ポータルの両方でアクティブに表示されると、更新が完了します。

（Intune 管理センター）

（Apple Push Certificates Portal）

（公開情報：Apple MDM プッシュ証明書を更新する）
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#renew-apple-mdm-push-certificate