今回は、Microsoft Intuneで管理しているiPhoneのコンプライアンスが非準拠になってしまった問題の原因と解決策を共有したいと思います。
(この記事をお読みいただいている場合ちょっと遅いかもしれませんが…、)Apple MDMプッシュ証明書は必ず既存のものを更新(=作成時に利用したアカウントで更新)するようにしてください。
事象
- Intuneにて管理しているiPhoneの「コンプライアンス」が軒並み非準拠になった
→コンプライアンス内Default Device Compliance Policyの「アクティブかどうか」が非準拠となっている
原因
- 担当者変更によるMDM プッシュ証明書(APNs)の更新ミス
- 通常MDMプッシュ証明書の更新は前回と同じAppleアカウントで発行しなければならないが、別のアカウントで実行してしまった。
- そのため、新しい証明書が適切に機能せず、デバイス管理が停止。既存デバイスとの通信が途絶えてしまった。
解決方法
解決方法は2つあります。それぞれメリットデメリットがあるので、よりマッチする方法をご選択ください。
①プッシュ証明書を新規取得&iPhoneの初期化
今後、証明書更新を行うアカウントを決定し、そのアカウントでプッシュ証明書を新規発行します。
新規発行した証明書をiPhoneに配布するためには初期化しか方法はありませんので、プライマリユーザの方には必要なバックアップを取り初期化、再設定をしていただく必要があります。
メリット
すぐに実行できる
デメリット
iPhoneのバックアップ→初期化→再設定という手間が発生する
②プッシュ証明書を正しいアカウントに移管する
iPhoneの台数が多い、ユーザーによる初期化が難しい、などの場合は、プッシュ証明書の移管が可能です。
Appleのサポート窓口に電話し、プッシュ証明書の移管を希望する旨を伝えることで、手続きを実施できます。
Apple プッシュ通知サービスの証明書に関する Apple へのお問い合わせ>
こちらを実施する際は、担当者が企業に所属しているのか、正当な申し込みなのかを確認するため、以下の内容の提出が求められます。
- 担当者の写真付き身分証明書
- 担当者の雇用証明書(担当者氏名、雇用開始日、書類発行日、会社住所、社名、社印が記載されているもの)
- 担当者の社員バッジや名刺
- コーポレートサイトのURL
- 登記謄本などの最新のビジネス文書
メリット
iPhoneでの操作はほとんどないため、ユーザ側の負担が少ない
デメリット
書類準備に時間がかかる
今回は対象デバイスが少なかった、かつ迅速な対応が求められたため①の方法で解消しました。
バックオフィス全体を少人数で管理されている企業様にとって、ITだけに注力することは難しいかもしれません。
弊社bはIntuneを用いての端末管理のご支援させていただいております。数台〜でもご支援が可能ですので、ぜひお気軽にお問い合わせください。
最後にお知らせ
弊社ではAzure / Microsoft 365 関連の最新情報を日本語で分かりやすく、月1回(緊急時は都度)ご案内するメールマガジンを配信しています。
Azure管理者様必見です!ご興味お持ちいただけましたらぜひ下記よりご登録ください。
コメント