APNsの更新トラブルあれやこれや

APNsの更新トラブルあれやこれや

はじめに

どーもみなさんこんにちは。ねもてぃです。
今日はApple Push Notification Service(プッシュ通知サービス/APNs)証明書絡みのお話をしようと思います。

デリケートな内容なので保証はできません。試したりする際は自己責任でお願いします。基本的にはこちらからAppleに問い合わせるのが一番です!!

APNsとは

APNsとはAppleが提供しているApple Push Notification Serviceの略称で、サードパーティアプリなどで利用しているサーバーからApple製デバイスへプッシュ通知を送るサービスのことです。iPhoneを利用している人であればLINEなどのメッセージアプリの通知がわかりやすいでしょうか。あれの裏側で使われているのがこのAPNsとなります。

Jamf ProやIntuneといったMDMでデバイスを管理する際にも連携が必須となるサービスのため、このAPNsの管理が非常に重要になってきます。

連携に必要なAPNs証明書を発行するのにApple IDが必要になるのと年に一回更新が必要になることからちょっとしたトラブルに見舞われることもあるのでいくつか記載していこうと思います。

【ケース 1】APNs証明書の更新を忘れた

MDM立ち上げ時に設定したはいいものの気がついたら一年経ってしまっており、設定がうまく送れない、送られていない状態になって初めて更新をしていないことに気がつくパターンです。

どうしたかというと・・・

こちらのパターンはあとからでも証明書の更新を行うことで通信が取れるようになりました。

ですが、本来更新を忘れた場合、プロファイルの再インストールが必要になることもあるらしいのでうまくいかなくても保証はできません。必ず期限内にちゃんと更新しましょう。

何件か相談を受けたことがありますが、いまのところはなんとかなっているので諦めずに試す価値はあるとは思います。

予防策例

APNs証明書の設定と同時に翌年のカレンダーにリマインダーを設定しておきましょう。 自分だけでなくチームなど複数人の予定として登録しておくと良いと思います。

また、期限は更新してから一年であるため期限内であればいつでも更新が可能です。そのため四半期に一度更新したり、棚卸しなど一年以内に必ずあるイベントのやるべきことリストに追加し、更新のタイミングをイベントに合わせる、といった方法も有効だと考えられます。

【ケース 2】APNs証明書の更新を異なるApple IDで行ってしまった

APNsの更新をしようと証明書を発行したは良いものの、どうにもうまくMDMから設定が送れないので確認してみたら発行時に利用したApple IDが違っていた、というパターンです。更新ではなく誤って新規発行してしまったパターンも当てはまるかもしれません。

どうしたかというと・・・

正しいApple IDで発行した証明書で再度更新をかけることでなんとかなりました。期限内であればいつでも更新が可能なのでそれに由来しているのかもしれません。

予防策例

Jamf ProやIntuneといったMDM側に発行に使用したApple IDを記入できる欄がある場合は必ず記載しましょう。

Jamf Proの場合
Intuneの場合

また、発行時にアクセスするApple Push Certificates PortalにもNote欄が用意されているのでどのMDMサーバーで利用しているものか等メモしておいても良いかと思います。

Apple Push Certificates Portalより

【ケース 3】APNs証明書に利用しているApple IDを変更したい

これは作成時に個人に紐づいたApple ID(ichiro.yamada@hogehoge~のような)を利用してしまったが、運用上適切なグループアドレス等に変更したい、といったケースです。

どうしたかというと・・・

Apple ID管理ページにアクセスし、アカウント > 編集 > Apple IDの変更 より変更することが可能です。
ただし、こちらから変更する場合は変更先にManaged Apple IDが利用できないのでご注意ください。

予防策例

企業で管理するものになるかと思うので、今後の運用を見据え、個人に紐づいたApple IDを利用しないようにしましょう。

また、MDM導入時にApple Business Managerの開設も同時に行う場合は最初からManaged Apple IDを利用するようにしましょう。Managed Apple IDを利用することで、担当者が変更になりパスワードがわからなくなってしまった場合等にも対処ができるようになります。

【ケース 4】APNs証明書に利用していたApple IDがFederated AuthenticationでManaged Apple IDになってしまいサインインできなくなってしまった

これは弊社でおきたケースです。背景のところで状況について詳しく説明します。

※)Apple Push Certificatesポータルに新規でサインインする場合は、問題なくManaged Apple IDでAPNs証明書を作成できます。

背景

  1. APNs証明書を発行するのに普通のApple ID(@cloudnative.co.jp)で作成していた
  2. Apple Business ManagerでFederated Authenticationを有効にしたら@cloudnative.co.jpアカウントが全てManaged Apple IDになってしまい、Apple Push Certificatesポータルにサインインできなくなった
  3. Apple ID管理ページからIDを変更することは可能なため、いったんApple IDを会社ドメインじゃないアドレスに変更した
  4. 運用上会社ドメインじゃないアドレスは避けたいので会社ドメインのIDに戻したい
  5. Apple ID管理ページから変更する変更先IDにManaged Apple IDが使えないため戻せなかった
  6. Apple Business Managerで特定のアカウントをFederated Authenticationではなくする方法はあるがやっぱり変更できなかった

どうしたかというと・・・

Appleに電話して変更していただきました。

Apple プッシュ通知サービスの証明書に関する Apple へのお問い合わせ

手続きの内容としては「Apple プッシュ通知証明書の再割り当て」という形になります。
その時に必要になる情報として、

  • 証明書と関連付けられているデバイスを所有し管理している組織の名前
  • 会社の住所
  • 会社のURL
  • 証明書を作成した担当者の情報
  • 証明書のシリアル番号(9桁の数字もしくは16桁の英数字)
  • 証明書の有効期限
  • 証明書のサブジェクトDN(com.apple.mgmt.Externalを含むもの)
  • 現在のApple ID
  • 再割当先のApple ID
  • 今後の担当者情報

などなど・・・

担当者の在籍確認としてAppleから会社宛に電話があり、上席または人事部の方の確認を求められるのでそのあたりも事前に調整しておくとスムーズかと思います。

また、現在のApple ID、再割当先のApple IDともに氏名を問い合わせをした人のものに変更しておくよう案内がありました。(私は再割り当て完了の連絡があった後、元に戻しました)

Appleと上記の情報のやりとりや確認を終え、承認がおりてから約2~3日でApple IDの再割り当てが完了したとの連絡をいただきました。

以上で無事Apple Business Managerで管理しているアカウントをAPNs証明書の管理アカウントとすることができました。

予防策例

予防策、というわけではありませんが、

  • Apple Business Managerがある場合は最初からManaged Apple IDを利用する
  • Federated Authenticationを有効にする前に社内で利用されているApple IDの棚卸しを行っておく

といったところでしょうか・・・
このあたりはAppleのシステムにも関与してくるのでいずれにせよ連絡して依頼をする必要があると思います。

おわりに

意外となんとかなるので落ち着いて対処しましょう!

APNs証明書を発行する際に事前に注意することとしては、個人に紐づいたApple IDは利用しない、Managed Apple IDが利用できるのであれば利用する、更新期限や利用したIDは複数人で管理できる状態にしておく、という点になるかと思います。

ケーススタディとしてトラブルをいくつか挙げましたが、兎にも角にも困った時はApple相談するのが一番だと思います!それでは!

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。