2021.2.22
Apple Push Certificates Portal で使うべき AppleID のガイドライン
エンタープライズiOSでは複数のAppleIDが必要になります。主なものを以下に挙げてみました。
| No. | AppleIDが必要なサービス・契約 | 必要な時 |
|---|---|---|
| (1) | Apple Push Certificates Portal | MDMを使う場合 |
| (2) | Apple Business Manager (ABM) | 業務用アプリの一括購入やDEP端末を使用する場合 |
| (3) | Apple Developer Program (ADP) | 業務用アプリを自社開発(外注含む)して使用する場合 |
| (4) | Apple Developer Enterprise Program (ADEP) | iDEP,ADEPを取得していてInHouseアプリを運用している場合 (未取得企業なら2021年現在は考慮不要。こちら参照) |
大半の企業では (1), (2) の2つのみが必要で、自社専用アプリを開発する場合は (3) を加えた最大3つのAppleIDを管理・運用することになります。
悩ましいのは、それぞれで使用するAppleIDがどうあるべきかのガイドラインを Apple が示してくれていないことです。
そこで本稿では、Apple Push Certificates Portal で使うAppleIDについて指針を示したいと思います。(Apple Push Certificates Portal についてはMDMの導入から利用開始まで(1) 〜PUSH証明書の取得〜を参照のこと)
Apple Push Certificates Portal に個人AppleIDを使うと運用で詰む
ときどきある間違いが、MDM導入初期の担当者個人の AppleID を使ってしまうことです。「AppleID が必要なのね、なるほどなるほど、既に持ってるよ」的なノリで、
- 担当者のプライベートな私用のAppleID
- 会社供与の個人用メールアドレスに紐づくAppleID
を使用してしまうと、将来、運用上のトラブルを発生させる可能性があります。なぜでしょうか?
(PUSH証明書取得のためにしか使わない Apple Push Certificates Portal)
Apple Push Certificates Portal で取得するPUSH証明書は、申請時のAppleIDとユニークに紐づきます。そのため、1年後の更新時は、取得時と全く同じAppleIDでサインインする必要があり、他のAppleIDを使って更新することはできません。
(サインイン後の画面は、そのAppleIDで取得したPUSH通知書が並ぶだけ。これ以外の機能は一切ない)
例えば、担当者Aさんの個人AppleIDで取得したPUSH証明書は、翌年またAさんが更新しなければなりません。もし翌年、Aさんが退職していたらどうなるでしょうか?…PUSH証明書の更新が極めて困難になるということは想像に難くありません。
PUSH証明書を更新できなければ、MDMの全機能が使用不可となります。
別のAppleIDでPUSH証明書を取得し直すこともできますが、残念ながらその場合は「更新」ではなく「新規」の扱いとなります。これは、全デバイス再登録を含むMDM初期設定作業のやり直しを意味しています。目も当てられない事態ですね。
(同じドメインの別AppleIDでサインインした様子。同じ会社ドメインのAppleIDなのに何も表示されてない…)
ですから、個人に紐付いたAppleIDは使うべきではありません。
Apple Push Certificates Portal は、AppleIDがどこの企業のものかを全く気にしないことに留意しましょう。提出されたCSRがファイルとして適切なら、サインインしてきたAppleIDにPUSH証明書が発行されます。証明書をMDMサービスに紐付けたが最後、そのAppleIDで更新し続けなければならなくなります。
PUSH証明書は企業内共用AppleIDで取得する
前節の繰り返しですが個人のAppleIDは使うべきではありません。その代わりに、
- info@example.com のような共用メールアドレス
- devgroup@example.com のようなメーリングリストやエイリアス
で作成した AppleID を使用すべきでしょう。もし可能なら push@example.com や apcp@example.com など Apple Push Certificates Portal に使うことが分かるようにしておくと、いざPUSH証明書を更新する時に迷わずに済むのでお勧めです。(1年後なのでだいたい忘れているものです)
サインインパスワードは自社のセキュリティポリシーに従って共有管理して下さい。(弊社では法人向けパスワード管理サービスの 1Password Teams を推奨しています)
また、AppleIDでは、2ファクタ認証のため電話番号も必要になります。
(2021年現在、全てのAppleIDで2ファクタ認証が必須)
確認コードを受け取る電話番号もメールアドレスと同様、プライベート用か会社供与のものか関係なく個人に紐付いた番号は避けるべきです。情報システム部門として共用の電話番号を確保し、それを紐付けるのが良いでしょう。
ABM の Managed AppleID を使うこともできる
余りないケースですが、MDM導入前からABMが利用可能な場合は Managed AppleID を使うのもお勧めです。(参考 : ABM(Apple Business Manager)とは何か)
Managed AppleIDは、通常の AppleID と違って登録時の煩わしい各種入力が不要で、ABMの画面から簡単に作ることができます。
(ABMから作成する Managed AppleID は誕生日等の入力項目がなく必要最低限でok)
パスワードや電話番号のリセットも容易に行えますし、AppStoreアプリやiTunesのコンテンツが元々購入できない制限付きAppleIDですので、管理側として都合が良いです。
(Managed AppleIDはABM上から各種リセットが行える)
例えば、ABMで push@example.com といった Managed AppleID を作っておき、MDMサービスを契約後、Apple Push Certificates Manager にサインインしてPUSH証明書を取得、MDMに証明書を登録し、ABMとMDMも連携させる。こうすれば、ABMにMDM関連が集約できて分かり易いですね。
iOS端末の業務導入が初めて…という場合は、MDMサービスの選定を行うと同時に、ABMを利用申請しておくのも良いでしょう。iOS端末の業務活用を推し進めるとどうせABMは使うことになるからです。
以上、Apple Push Certificates Portal で使用する AppleID について紹介しました。まとめると、Apple Push Certificates Portal に使う AppleID ガイドラインは以下となります。
- 公私関わらず個人に紐づくAppleIDの使用は避ける
- info@〜等の社内共用のAppleIDを使う
- 可能であればABMのManaged AppleIDを使う
適切な AppleID を使用して将来のMDMトラブルを避けましょう。
