有効期限前に Apple 登録証明書を更新する

中断なく登録された Apple デバイスを継続的に管理するには、ポリシー・アクションとして Apple 登録プロファイルを期限切れ前に更新する Fixlet をセットアップする必要があります。

Apple 登録証明書
Apple 登録証明書 (デバイス ID 証明書) は、MDM デバイスが MDM サーバーと通信することを許可します。MDM デバイスからの要求はすべて、このデバイス ID 証明書で署名されます。MDM 登録時に、Apple デバイスが MDM サーバーと通信すると、MDM サーバーは各デバイスに固有のデバイス ID 証明書 (または SCEP 証明書) を生成して割り当てます。MDM サーバーは各デバイスからの要求が正しいデバイス ID 証明書によって署名されていることを確認します。署名されていない場合、要求は無視されます。
この証明書の有効期間は 1 年間です。有効期限前に、既存の Apple デバイス ID 証明書を更新する必要があります。

Apple ID 証明書の有効期限が切れているデバイスを識別する方法

対象のターゲットが選択されたポリシー・アクションとして Fixlet Update Apple Enrollment Profile before Expiration をセットアップすると、ターゲットの Apple デバイスのデバイス ID 証明書の有効期限を表示できます。WebUI Modern Client Management ダッシュボード は証明書の有効期限が近いデバイスについて、WebUI ユーザーに通知します。

注意: この Fixlet がセットアップされていない場合、WebUI ダッシュボードを使用して有効期限をトラッキングすることはできません。

次の図は証明書が期限切れのデバイス数を示した「期限が切れる証明書」タイルの WebUI ダッシュボードです。数字をクリックすると、45 日以内に有効期限が切れるデバイスのリストが表示されます。

Apple 登録証明書の期限切れ前更新 Fixlet

この Fixlet は BESUEM サイトで使用できます。MCM デプロイメントに Apple デバイスがある場合は、正しいターゲットが選択されたポリシー・アクションとしてこの Fixlet をセットアップする必要があります。
ポリシー・アクションとしてセットアップすると、この Fixlet は以下のアクションを実行します。
  • デバイス ID 証明書の有効期限が 45 日以内に切れるすべてのデバイスを検索します。つまり、デバイスが最後に登録プロファイルと更新済みの証明書を受信してからほぼ 1 年が経過していることを意味します。
  • デバイス ID 証明書の有効期限が 45 日未満のデバイスを、メインの MCM ダッシュボードの期限が切れる証明書を示すタイルに表示します。
  • 関連する Apple デバイスへの登録プロファイルの更新アクションを開始します。デバイスが稼働中で、少なくとも 1 日 1 回チェックインされている場合、ポリシー・アクションは最新の登録プロファイルを (最新の証明書とともに) それらのデバイスにデプロイします。これにより、有効期限が近いデバイスの証明書が自動更新され、これらのデバイスが 1 日以上「期限が切れる証明書」タイルの下に表示されないようにします。内部的には、以下のアクションを実行します。
    • 今後 1 年間正常に機能できるようにする新しいデバイス ID 証明書をデバイスに提供
    • 最新の TLS 証明書の中間証明書をデバイスにプッシュして、信頼できることを確認
    • 使用可能な最新の署名証明書を使用して登録プロファイルに署名し、プロファイルが「検証済み」の状態を維持することを確認

Fixlet をセットアップして証明書を自動更新する方法

この Fixlet をポリシー・アクションとしてセットアップするには、次の手順を実行します。
  1. BESUEM サイトで、Fixlet Update Apple Enrollment Certificate before expiration を探します。
  2. 「アクションの実行」を選択します。
  3. 「preset type」「ポリシー」に変更します。
  4. 「プロパティーに応じて動的に対象を指定」を選択します。
  5. 「実行」タブで、以下を行います。
    • 「このアクションを再適用する」を選択します。
    • 「関連状態が続く場合」を選択します。
    • 「1 日」を選択します。

      関連状態が続く間、1 日 1 回アクションを再適用するようポリシーが設定されます。再適用に制限はありません。
重要: 「期限が切れる証明書」タイルで特定されているデバイスで有効期限切れ前に更新要求を実行するには、デバイスがオンラインで、画面ロックされていない必要があります。ターゲット・デバイスがアクティブでなくチェックインされていない場合でも、証明書の有効期限が切れて、デバイスが管理不能になる可能性があります。