Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Meraki システム マネージャと登録済み iOS デバイスとの間で通信できるよう、Apple Push Notification Service(APNS)は最初にデバイスにサイレント通知を送信します。この通知は、デバイスに Meraki ダッシュボードにチェックインするように求め、保留中のコマンドを受信させます。Apple の Push Notification サーバがシステム マネージャからのコマンドを認識するには、登録済みの iOS デバイスに証明書をインストールする必要があります。この証明書は Apple の Push 証明書 Web サイトで作成され、システム マネージャにアップロードされて、システム マネージャの登録時に iOS デバイスにサイレント インストールされます。 

Apple はこの証明書を 365 日ごとに更新するよう要求しています。 Apple プッシュ証明書の更新プロセスは、基本的に新規作成と同じです。重要な相違点は、既存の証明書を更新して、ダッシュボードに再アップロードする必要があることです。一方で証明書を新規作成した場合、現在登録されている iOS デバイスはオフラインになります。その後は再登録しない限り MDM コマンドを受信できなくなります。

 

:Internet Explorer とは互換性がないため、Apple Push 証明書の取得は別のブラウザで実行する必要があります。Chrome または Safari での実行をお勧めします。

これらの手順には注意して従うようにしてください。間違いがあると元の証明書が失われ、管理対象デバイスをすべて手動で再登録しなければならなくなる場合があります。このプロセスを開始する前に、identity.apple.com からバックアップとして既存の証明書をダウンロードすることを強くお勧めします。

 

Apple MDM Push 証明書の作成

Apple Push 証明書を作成およびアップロードして、システム マネージャを通じて iOS デバイスを管理するには、次に示す 5 つの手順に従ってください。この手順は [組織(Organization)] > [MDM] > [Apple MDM] ページでも確認できます。

:Apple Push Certificate Portal では、可能であれば、個人アカウントではなく自分の組織の Apple ID を使用することをお勧めします。元の Apple ID(および元の Apple Push 証明書)にアクセスできなくなると、以前に登録したデバイスの管理ができなくなる可能性があります。 

1.png

Apple Push Certificate Portal で生成される有効な証明書の名前は MDM_ Meraki Inc._Certificate.pem です。作成した Push 証明書が別の名前になっている場合、その証明書をダッシュボードにアップロードすることができません(ファイル名を変更しても問題は解決されません)。  

このエラーは、一般的に Internet Explorer を使用して手順を行った場合に発生します。Internet Explorer には互換性に関する問題がいくつか見つかっているため、証明書は、最新バージョンの Google Chrome または Mozilla Firefox を使用して取得することをお勧めします。

Apple Push Notification サービス証明書は 365 日後に失効するので、それに応じて Apple Push 証明書を必ず更新してください。登録済みのデバイスの登録を維持するには、同一の証明書を更新することが重要になります。 

Apple MDM Push 証明書の更新

  1. [組織(Organization)] > [MDM] ページから Meraki CSR ファイルをダウンロードします。
  2. Apple の Push Notification Portal現在の Push 証明書の作成に使用したのと同じ Apple ID でログインします
    :Apple ID が不明である場合は、「Apple ID が不明な場合」セクションを参照してください。
  3. 失効する証明書を特定し、[更新(Renew)] を選択します(失効する証明書を取り消したり、新しい証明書を作成したりしないでください)。
  4. ステップ 1 でダウンロードした CSR をアップロードします。
  5. Apple から更新済み証明書をダウンロードして、ダッシュボードにアップロードします。
  6. Apple の Push Notification Portal にログインするために使用する Apple ID を入力して確認します(強く推奨)。

詳細な手順

  1. ダッシュボードで、[組織(Organization)]> [MDM] に移動します。
  2. [Apple MDM] で [証明書の更新(Update/renew certificate)] をクリックします。


     
  3. Meraki_Apple_CSR.csr という名の、Meraki の署名付きの証明書署名要求(CSR)ファイルをダウンロードします。
  4. ブラウザの別のウィンドウまたはタブで、Apple Push Certificates Portal に移動します。
  5. Push 証明書の作成に使用した Apple ID でログインします。同一の Apple ID を使用する必要があります
    :Apple ID が不明である場合は、「Push 証明書の Apple ID が不明な場合」セクションを参照してください。
  6. ダッシュボードに示された有効期限に一致する証明書を特定します。不明な場合は、以下のセクションを参照してください。次に [更新(Renew)] をクリックします。
    :証明書を取り消したり、証明書を作成したりしないでください。どちらの方法も、すべての Apple デバイスの再登録が必要になります。
    ef91d676-17d0-42c3-9595-77b429bfe6c3
     
  7. [ファイルの選択(Choose File)] をクリックし、先にダウンロードした CSR ファイルを参照します。[アップロード(Upload)] をクリックします。
    :名前が似た CSR ファイルが複数存在する場合があるため、必ず上記のステップ 3 でダウンロードした CSR ファイルを選択してください。
    cd799484-ec04-4b0e-985a-6e8f33669992
     
  8. 次のページで、新しい有効期限で証明書が正常に更新されたことを確認します。
  9. [ダウンロード(Download)] をクリックして新しい証明書を取得します。
    6c045dc7-6fef-48ff-9286-298db76bbf28
     
  10. ダッシュボードに戻り、ステップ 3 で、証明書の更新に使用した Apple ID を入力します。それにより、使用された Apple ID を追跡し、次回の更新で再利用することが容易になります。
  11. ステップ 4 で [ファイルの選択(Choose File)] をクリックし、ダウンロードした証明書を参照します。このファイル名は先頭が「MDM_Meraki」になっています。
    :名前が似た証明書が複数存在する場合があるため、ダウンロードした証明書であることを確認してください。

     
  12. 証明書をアップロードしたら、[証明書のテスト(Test Certificate)] をクリックします。

     
  13. 証明書が有効に機能することを確認できます。
    33d2d7f4-be9b-485a-9ac7-3aa9ea4b15af
     

Apple MDM Push 証明書更新時のトラブルシューティング

Apple Push Notification Service 証明書を更新し、デバイスがオフラインになって非コンプライアンスであることがダッシュボードに表示された場合は、更新プロセスに不具合があり、更新の代わりに新しい証明書が生成されたことを意味します。 トラブルシューティングを行うために、APNS 通信チェーンを回復し、APNS を通じてデバイスとの通信を再確立します。

既存の証明書を更新せずに新しい証明書を作成した場合

既存の証明書を更新するのではなく、誤って新しい証明書を作成した場合は、次の手順に従って問題を解決してください。

組織を以前の APNS 証明書に戻す

[証明書を元に戻す(Revert Certificate)]ボタンを使用すると、組織を以前にアップロードした APNS 証明書に戻すことができます。 revert-cert.png

正しい APNS 証明書の特定 

APNS 証明書が独自に作成されますが、特定の証明書チェーンのすべての証明書が、プッシュ トピック(一般的に、該当するプッシュ リクエストが通信できる一連のデバイスを示す共通の識別子)が含まれた 1 つのサブジェクトを共有します。ダッシュボードで [組織(Organization)] > [MDM] > [Apple MDM] に移動すると、現在のプッシュ トピックが表示されます。

2.png

更新する前に、このトピックを Apple の Identity Portal に示されている値と照合することで、適切な証明書を更新していることを確認できます。

3.png

:Apple Push Portal にアクセスできなくても、Push 証明書にアクセスできる場合は、次のようなコマンドを実行して、更新対象の正しい証明書を特定できます(これを Apple に提供して、更新元の正しいアカウントを特定することもできます)。

user$ openssl x509 -in /path/to/cert.pem -noout -text | grep 'Subject:'

コマンドの結果は次のようになります。

Subject: UID=com.apple.mgmt.External.f94b8e03-7cbd-4dcc-b1fb-1985dbc720ab, CN=APSP:f94b8e03-7cbd-4dcc-b1fb-1985dbc720ab, C=US

 

正しくない証明書が使用/更新された

APNS 証明書の更新後に、[システムマネージャ(Systems Manager)] > [MDM] > [デバイスの追加(Add Devices)] > [iOS](または [macOS])で、APNS の不一致を示すエラー メッセージが表示された場合は、正しくない証明書を更新した可能性があります。その場合は、2 つの簡単な回復方法があります。

ダッシュボードに古い APNS 証明書をアップロード 

以前の APNS 証明書にアクセスできる場合は、それをダッシュボードに戻し、次の手順で通信を再確立します。

  1. [組織(Organization)] > [MDM] に移動します。
  2. [更新(Update/Renew)] ボタンをクリックします。
  3. ステップ 1 と 2 をスキップして、ステップ 3 に進みます。以前の APNS 証明書の生成に使用した Apple ID を入力します。
  4. ダッシュボードに以前の APNS 証明書をアップロードします。
  5. 変更を保存します。

それによって登録済みのデバイスとの通信が再確立され、以前の更新が失敗した原因も特定できます。 

正しい APNS 証明書の更新 

以前の APNS 証明書のコピーにアクセスできない場合は、Meraki Support から以前の APNS トピックのコピーを取得できます。それにより、上記の情報を使用して、正しい APNS 証明書を特定して更新することができます。それ以降は、APNS 証明書を更新する通常の手順を踏みます。

当初使用した Apple ID を忘れた場合

Push 証明書を更新するには、最初に使用したものと同じ Apple ID を使用する必要があります。この Apple ID が不明である場合、または見つからない場合は、新しい証明書を生成する必要があります。その場合は、[証明書の更新(Update/renew certificate)] をクリックして、表示された手順に従って新しい証明書を生成します。証明書が生成されたら、登録済みのすべての Apple デバイスを再登録する必要があります。これを回避するには、証明書の署名に使用した Apple ID を記録して、必要に応じて Apple Support に連絡して支援を依頼してください。

元の Apple ID を特定

証明書の生成に使用したと思われるアカウントが複数ある場合は、次の項目をチェックして、証明書が正しいかどうかを確認します。

  1. ダッシュボードで、[組織(Organization)] > [MDM] > [Apple MDM] に移動します。
  2. Apple Push トピック(以下のスクリーンショットの UID)と有効期限(スクリーンショットの [有効期限(Expiration Date)] の日付)をメモします。

     
  3. Apple Push Certificates Portal に移動します。
  4. [サードパーティサーバ用証明書(Certificates for Third-Party Servers)] がリストされている場合は、[ベンダー(Vendor)] で「Meraki Inc.」を探します。
  5. [有効期限(Expiration Date)] がダッシュボードの表示と一致していることを確認します。
    133c11d8-ad7c-48ea-8f58-a0dc8ca6c51c.
     
  6. 情報アイコン [i] をクリックすると、証明書に関する詳細な情報が表示されます。
    565e1352-0894-4d89-9bd9-51276f6c839a
     
  7. 表示されている UID がダッシュボードの Apple Push トピックと正確に一致していることを確認します。
    9e8b0de4-3c3b-4e1d-bbd6-6094516edadc
     
  8. 有効期限UID がダッシュボードの表示と正確に一致すれば、証明書が正しく特定されたことになります。この記事の前半で示した手順に従って、既存の証明書を更新します。
    注:これが再度発生する可能性を減らすには、更新後に、使用した Apple ID がダッシュボードに入力されていることを確認してください。特定のユーザに関連付けられていない汎用的なアカウントか、mdm@example.com のような配布リストを使用することをお勧めします。

 

Apple Push Notification サービスの機能の詳細については、Apple のドキュメントを参照してください。