先日、検証環境の Intune にて Apple MDM プッシュ証明書をうっかり失効してしまいました。
※ 本番環境であれば年1の運用行事として管理されているだろう証明書更新です。
Apple MDM プッシュ証明書の更新運用
Apple デバイス (macOS, iOS, iPadOS) を Intune で管理する前提となる MDM プッシュ証明書は、Intune にアップロードしてから 365日間有効です。
管理を維持するためには、毎年更新する必要があります。
(公開情報 Apple MDM プッシュ証明書を更新する より引用)
今回図らずも珍しく MDM プッシュ証明書の期限切れ状態を経験できましたので、期限切れ前後を振り返って以下の構成で記事にまとめたいと思います。
| # | 章題 | 概要 |
|---|---|---|
| 1 | 期限切れ前 | 証明書期限が切れる前に受領した Apple のメール通知について |
| 2 | 期限切れ中! | 証明書期限切れ後に確認した事象について |
| 3 | 更新作業 | 証明書の更新手順について (ステップバイステップ) |
| 4 | 更新後 | 事象の解消報告 |
なお公開情報によると、Apple MDM プッシュ証明書は有効期限が切れてもなお30日間の猶予期間があるそうです。
(参考:Apple MDM プッシュ証明書を更新する)
ただし、今回更新作業をした時点で当環境の証明書は有効期限が切れてから 61日が経過していました。
タイムラインにすると以下の図のような状態です。
1. 期限切れ前
プッシュ証明書の期限が近付くと、Apple から Apple ID に紐づいたメールアドレスに通知が届きました。
今振り返ると、これをリマインダーとして更新作業計画を立てておけばよかったです。
メール通知
30日、15日、7日前の 3回のタイミングで通知を受け取りました。
- 送り主:Apple <appleid@id.apple.com>
- 件名:X day notification: Apple Push Notification Service certificate expiration
- 本文:
Dear {アカウント表示名},
The following Apple Push Notification Service certificate, created for AppleID {ID} will expire on Feb 26, 2025. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.
Mobile Device Management - null
Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.
Thank You,
Apple Push Notification Service
(本文はどれも同じでした)
30日前
15日前
7日前
メールを見て「そろそろこの時期か」と思ったのを覚えていますが、謎に「まだ今じゃない」とも思ってしまい作業に結び付けられませんでした。
ここまで来ると、何日前までカウントダウンしてくれるのか変な興味も湧いてきていました。
興味深いことに、期限切れまで 0日のタイミングでは通知が無いんですね。
(0日目の通知を契機にアクションを起こせたかは別問題)
7日前を最後に Apple から通知は来ていません。
2. 期限切れ中!
せっかくのメール通知に感化されず期限切れを迎え、猶予期間をも優に越えてしまったわがテナントでは以下が発生していました。
期限切れ後 61日目の様子を以下に記録します。
(この日まで碌に iOS で組織アプリを利用しておらず、ひさしぶりに使おうとして事象に遭遇しました。)
コネクタエラー
Intune 管理センターにサインインした直後に表示されるホーム画面にて、コネクタエラーありと表示されていました。
(こちらは猶予期間中も出ていた気がします)
APNSとは
Apple Push Notification Service を略して APNS と表記されています
なお、コネクタのヘルス状態について、Intune ではネイティブに通知する機能を持っていませんが Power Automate を使うと通知を実装できるようです。
(参考:Using Power Automate to notify admins on Intune Connector health, Microsoft Intune Connector health monitoring using Power Automate - The ins and outs.)
デバイス非準拠
ある日検証端末上で Teams を開いたところ、アクセスがブロックされアプリが利用できませんでした。
アクセスブロックの理由は、デバイスが非準拠であることです。
クライアントアプリ側のブロックメッセージ(上写真)およびサインインログ(下写真)から、デバイスは管理されている (マネージド) が非準拠のためブロックされていることが分かります。
条件付きアクセスポリシーの構成
前提として、iOS/iPadOS 向けに以下の条件を求めるポリシーを用意しています。
- アプリ保護ポリシー
- 準拠しているデバイス
今回はデバイスが非準拠のため、「準拠しているデバイス」許可条件を満たさずにアクセスがブロックされました。
Company Portal や Intune 管理センターの表示を見ると、以下の実体が推察できます:
- デバイスが Intune と疎通できず inactive 状態になった
- inactive 状態が続いたことでデフォルトデバイスポリシーに非準拠になった
なお、Intune 管理センター上で Apple デバイスを表示すると「最後のチェックイン」日が MDM プッシュ証明書の期限と合致していました。
#猶予期間とは??
MDM プッシュ証明書の期限
Intune 管理センター上の MDM プッシュ証明書構成画面および Apple Push Certificates Portal から確認できます。
- Intune 管理センター MDM プッシュ証明書構成画面の開き方:本記事 1) Intune: MDM プッシュ証明書構成画面 セクションご参考
- Apple Push Certificates Portal の開き方:本記事 3) Apple: MDM プッシュ証明書更新 セクションご参考
通常スマホは常に起動していて裏で疎通→コンプライアンス評価が定期的に行われるので、今思うとこんなに非準拠がそろうのは異常でした。
以上、MDM プッシュ証明書が期限切れなばかりに、通常であれば準拠できるだろうデバイスまで撥ねられてしまう実害を観測しました。
ここでようやく重い腰をあげて証明書を更新することに...
3. 更新作業
以下のステップで更新作業を実施しました。
| # | 操作場所 | 概要 |
|---|---|---|
| 1 | Intune 管理センター | Apple MDM プッシュ証明書の構成画面を開く |
| 2 | Intune 管理センター | Intune 証明書署名要求をダウンロードする |
| 3 | Apple Push Certificates Portal | Apple MDM プッシュ証明書を更新する |
| 4 | Intune 管理センター | Apple MDM プッシュ証明書をアップロードする |
Apple MDM プッシュ証明書の更新手順については、すでに上記公開情報やリッチな有志ブログがありますが、様式美のため本記事上にも画面を添えて記載します。
1) Intune: MDM プッシュ証明書構成画面
| # | 操作場所 | 概要 |
|---|---|---|
| 1 | Intune 管理センター | Apple MDM プッシュ証明書の構成画面を開く |
まず、Intune 管理センターにて [Apple MDM プッシュ証明書] 画面を開きます。
これには何通りか方法があり、例を挙げると以下などです:
(2025年4月記事作成時点)
-
[デバイス] ノードから推移する方法
[デバイス] > [登録] > [Apple] タブをクリック > [Apple の登録] 画面が開くので、[Apple MDM プッシュ証明書 行をクリック -
[ホーム] ノードから推移する方法
[ホーム] > [コネクタエラー] > [APNS の有効期限日] 行をクリック > [Apple の登録] 画面が開くので、[Apple MDM プッシュ証明書] 行をクリック -
[テナント管理] ノードから推移する方法
[テナント管理] > [テナントの状態] > [コネクタの状態] タブをクリック > [APNS の有効期限日] 行をクリック > [Apple の登録] 画面が開くので、[Apple MDM プッシュ証明書] 行をクリック
Intune 管理センターの特性上、関連のある様々な場所に構成画面のショートカットが潜んでいるため、最終的に [Apple MDM プッシュ証明書] 画面にたどり着ければOKです。
(運用手順書などに決め打ちで記載する必要がある場合は、現在公開情報に記載のある 1. が無難です。)
[テナント管理] ノードを入り口にする場合、以下画面になります↓
- [テナント管理] > [テナントの状態] > [コネクタの状態] タブをクリック > [APNS の有効期限日] 行をクリック
- [Apple の登録] 画面が開くので、[Apple MDM プッシュ証明書] 行をクリック
- Apple MDM プッシュ証明書 構成画面が表示されました
状態と期限、前回構成に使用した Apple ID とシリアル番号が表示されます
← この画面でも当環境のプッシュ証明書が期限切れであり、期限が切れてから 61日経過していることが分かります
以降、Apple MDM プッシュ証明書 構成画面をスクロールダウンし、順に対応していきます。
「1. ユーザー情報とデバイス情報の両方を Apple に送信するためのアクセス許可を Microsoft に付与します。」については、初期構築時に同意済みのため対応不要です。
2) Intune: 証明書署名要求ダウンロード
| # | 操作場所 | 概要 |
|---|---|---|
| 2 | Intune 管理センター | Intune 証明書署名要求をダウンロードする |
先ほど開いた Apple MDM プッシュ証明書構成画面にて、ステップ 2 下の 「CSR のダウンロード」ハイパーリンクをクリックします。
すると次のファイルがダウンロードできます。
- IntuneCSR.csr
次のステップで使用するため、作業用 PC のローカル領域など参照しやすい場所に配置します。
3) Apple: MDM プッシュ証明書更新
| # | 操作場所 | 概要 |
|---|---|---|
| 3 | Apple Push Certificates Portal | Apple MDM プッシュ証明書を更新する |
まず先ほどから開いている Intune 管理センター上の Apple MDM プッシュ証明書構成画面にて、ステップ 3 下の 「MDM プッシュ証明書を作成する」ハイパーリンクをクリックします。
すると Apple Push Certificates Portal のサインイン画面が開くので、Apple ID で認証します。
Apple ID
証明書更新の際、初回証明書作成時に利用したのと同じIDを利用する必要があります。
(参考:Apple MDM プッシュ証明書を更新する)
Apple Push Certificates Portal にて、Microsoft の MDM 向けに発行された証明書の行上にある 「Renew」ボタンをクリックします。
| Service | Vendor | Expiration Date | Status | Actions |
|---|---|---|---|---|
| Mobile Device Management | Microsoft Corporation | M DD, YYYY | 今回の当環境は期限切れのため「Expired」表示 | 「Renew」をクリックする |
Status 列の表示
MDM プッシュ証明書が有効な期間内であれば「Status」列には「Active」と表示されます
Renew Push Certificate 画面が表示されるので、画面下部の 「ファイルの選択」ボタンから先ほどダウンロードした「IntuneCSR.csr」ファイルを選択し、「Upload」ボタンをクリックします。
Confirmation 画面が表示されるので、「Download」ボタンをクリックします。
すると次のファイルがダウンロードできます。
- MDM_ Microsoft Corporation_Certificate.pem
こちらも次のステップで使用するため、作業用 PC のローカル領域など参照しやすい場所に配置します。
なお、Confirmation 画面にて「Manage Certificates」ボタンをクリックすると最初の証明書一覧画面が表示され、Status が「Active」 になっていることを確認できます。
4) Intune: MDM プッシュ証明書アップロード
| # | 操作場所 | 概要 |
|---|---|---|
| 4 | Intune 管理センター | Apple MDM プッシュ証明書をアップロードする |
Intune 管理センター上の Apple MDM プッシュ証明書構成画面に戻り、残りのステップを実施します。
- ステップ 4 下の Apple ID 欄に、使用した ID を入力します
- ステップ 5 のフォルダアイコンをクリックし、先ほどダウンロードした「MDM_ Microsoft Corporation_Certificate.pem」ファイルを選択します
- 最後に Apple MDM プッシュ証明書構成画面下部の 「アップロード」ボタンをクリックします
「MDM プッシュ通知証明書をアップロードしています」通知の後、上写真のように状態が「アクティブ」に推移します。
有効期限までの日数も、365日となりました。
(以後、ここからカウントダウンされます)
以上で更新完了です。
4. 更新後
Apple MDM プッシュ証明書更新後しばらくして、事象の解消を確認できました。
コネクタの状態
更新直後にはまだエラー表示が残っていましたが、しばらく放置して、約 4時間後にみると正常状態になっていました。
デバイスの準拠状態
デバイスは特に再登録することなく、疎通できるようになったことで 「準拠している」状態に戻りました。
アプリも問題なく利用できています。
セレクティブワイプ検証をした端末
MDM プッシュ証明書切れ中にセレクティブワイプ検証に使った端末も、再登録無しで再度アプリ利用可能になりました。
なお、セレクティブワイプ後の初回アプリ起動時に MFA とパスワード変更を求められます。
(以下挙動)
- アプリ起動
- サインイン画面
- ID 入力
- パスワード入力
- MFA
- パスワード変更
- サインイン成功、以後アプリ利用可能
さいごに
この度、検証環境でたまたま Apple MDM プッシュ証明書の期限が切れたことでレアな観察ができました。
公開情報に「Microsoft Intune で iOS/iPadOS および macOS デバイスを管理するには Apple MDM プッシュ証明書が必要です」との記載があることは把握していましたが、デバイスが非準拠になるまであまり深く考えていなかったというのが正直なところです。
デバイスが非準拠になると条件付きアクセスポリシーの兼ね合いでサービスアクセスがブロックされる実害があることを見て、運用設計の大切さを身に染みて感じました。
無事に 1年超えられているテナントは、その裏にこうしたメンテナンスがありますね。
とはいえ、Apple MDM プッシュ証明書に更新という概念があることは結構広く知られていそうですし、これを本番環境でやらかすことはなさそうですね汗
(本番環境では年次運用に組み込むなどして期限切れを起こすことはないだろう...)
ひとつ疑問が残ったのは、猶予期間についてです。
公開情報によると「証明書の有効期限が切れると、30 日間の猶予期間で証明書を更新できます」とのことですが、期限切れのその日を最後に端末が Intune と疎通できなくなっている形跡がありました。
今回猶予期間のタイムウィンドウを狙って動作検証できなかったのが残念です。
この点、有効期限が過ぎても猶予期間の30日以内に更新できればセーフなのか、もしご存じの方いらっしゃればぜひコメント欄で教えてください...!
巷で投稿されているブログを拝見していると、期限内の作業を推奨・前提としていることがほとんどのようです。
参考
-
セレクティブワイプ:保護済みアプリ上の組織データをワイプする MAM の機能 (参考:How to wipe only corporate data from Intune-managed apps) ↩
-
MAM-only: MAM-WE (Mobile Application Management Without Enrollment) とも呼ばれる、端末をMDM登録せずアプリだけ保護管理する方式のこと (参考:Deployment guide: Mobile Application Management (MAM) for unenrolled devices in Microsoft Intune) ↩