2021.2.15
MDMの導入から利用開始まで(1) -PUSH証明書の取得-
(最終更新日 : 2021/2/22)
MDMとは何かの投稿やMDMの導入で意識しておきたい社内ネットワーク設定の投稿で紹介した通り、MDMが機能するためには、PUSH通知が必要不可欠なのでした。
(APNs = Apple Push Notification service)
APNsは、Appleがお金と人と時間をかけて管理・運用している通知システムです。誰もが自由に上図①のPUSH通知要求を出せるわけではありません。Appleが発行する「許可証のようなもの」を持っているサーバだけが送ることができる仕組みになっています。
その「許可証のようなもの」を、PUSH証明書といいます。PUSH証明書は、MDMサービスを使う企業単位でAppleから発行して貰い、MDMサーバに設置する必要があります。手順は以下の通り。
- MDMサービスからCSRを取得する
- Apple Push Certificates Portal (APCP) でCSRを使って申請し、証明書を取得する
- 取得した証明書をMDMサービスに登録する
MDM導入企業全てが、MDMを使い始める前(MDMサービスを契約した直後)に例外なく行う必要があります。本稿ではその手順を画面キャプチャつきで詳しく紹介します。
1. MDMサービスからCSRを取得する
PUSH通知証明書は、導入企業がいきなりAppleに申請できるものではありません。
まず最初に「APNs利用申請書」に相当するものをMDMベンダーに作ってもらいます。これをCSR(Certificate Signing Request)と言います。CSRは、MDMベンダー視点で書くと、
- ウチの顧客の□□□様が
- ウチのMDMサービス◯◯◯を使ってPUSH通知要求を送れるようにしたいです
というニュアンスのAppleへの申請書と捉えると良いでしょう。
CSRは単なるファイルであり、MDMサービスに契約するとその管理画面からダウンロードできるようになっています。MDMサービス契約直後は、MDMで何ができるのかとか、デバイスやアプリや設定の登録とか、色々気になるところですが、まずは真っ先にCSRをダウンロードしましょう。
(BizMobileでのPUSH証明書用のCSRダウンロード画面。他サービスでもほぼ同様)
なおPUSH証明書に関連する手続きはWebブラウザで完結しますので、Macである必要はありません。WindowsPCでも大丈夫です。ただWindowsPCを使うにしても、IEは使わないほうがいいでしょう。
オンプレミス型のMDMシステムを導入する場合は、手順が異なりますのでメーカに問い合わせて下さい。
2. Apple Push Certificates Portal でCSRを使って申請し証明書を取得する
次に1.で取得したCSRファイルを Apple Push Certificates Portal (APCP) というサイトにアップロードして申請します。
(APCP = Apple Push Certificates Portal は、PUSH証明書を取得するためだけにAppleが用意しているサイト)
PUSH証明書の申請は、ADEPやABMの申請とは異なり、Apple側の人手を介した審査プロセスはありません。サイト上で自動で処理され即時発行されます。手順を見てみましょう。
(1) まず、 Apple Push Certificates Portal にアクセスします。サインインが求められます。
(2) AppleIDでサインインします。ここで使用するAppleIDは個人のものを使うべきではなく、企業用の特定人物用ではないメールアドレスで別途取得したAppleIDにして下さい。(ここで使うべき AppleID については Apple Push Certificates Portal で使うべき AppleID のガイドライン をご覧下さい)
(3) サインインできれば [Create a Certificate] ボタンをクリックします。
(4) 利用規約に同意します。「I have read 〜」のチェックボックスをONにして [Accept] をクリックします。念の為に Printable Version のリンクからPDF版をダウンロードしておくと良いでしょう。
(右下の国旗アイコンから言語変更ができそうに見えるが残念ながらできない)
(5) CSRのアップロードを促されますので 1. で取得したCSRを指定します。必須ではありませんが、Notesに何か分かり易いメモ書きをします。入力が終われば [Upload] をクリックします。
(Noteは、長さは200文字・日本語不可・英数字のみ・記号不可という制約があり自由度が極めて低い)
(6) 即時、PUSH証明書が作成されますので [Download] をクリックします
(CSRがおかしい場合はここでエラーがでる)
以上でPUSH証明書が入手できました。
ファイル名は
MDM_[MDMベンダー名]_Certificate.pem
となっている筈ですので間違いがないか確認しましょう。
3. 取得した証明書をMDMサービスに登録する
最後に、入手したPUSH証明書(.pemファイル)をMDMサービス側に登録します。
どんなMDMサービスでも、 1. のCSRダウンロードと同じ画面で .pem ファイルを登録できるようになっています。指示通りに登録しましょう。
(BizMobileでの証明書登録画面。.pemファイルが正しいかどうかはMDMサービス側が検証してくれる)
ところで、PUSH証明書ファイルは有効期限が1年と決まっており、以後1年ごとにPUSH証明書の更新作業が必要になります。更新を忘れるとMDMからAPNsへ通知要求が送れなくなりますので注意して下さい。
(MDMのトライアングルが分断されてMDMが機能しなくなる。最も避けなければならない事態)
通知要求が出せないということは、MDMが機能しなくなるということです。端末に命令も飛ばせませんし、アプリのインストールも設定の流し込みもできず、端末の情報収集も止まってしまいます。
従って、MDMのPUSH証明書更新はMDMの運用で一番気をつけるべきことです。通常はMDMサービス側が期限切れ1ヶ月前などに警告メールを飛ばしてくれますが、ご自身でもリマインダーを登録しておきましょう。MDMの導入・運用支援をするSIer様におかれては、更新忘れというポカミスでお客様の業務を止めないよう厳重に注意して下さい。
ということで、本稿ではMDM導入の最初で必要となるPUSH証明書の取得について解説しました。MDMに関しては以下のような記事もありますので併せてご覧下さい。
