APNs 証明書管理
Apple Push Notification サービス(APNs)証明書は、MDM 通信の基盤です。これにより、GuardMDM は登録済みデバイスに対してコマンドの送信、プロファイルのインストール、アップデートのプッシュを行うことができます。
証明書のライフサイクル
| 段階 | 説明 | 期間 |
|---|---|---|
| 作成 | Apple Developer アカウントから生成 | 約10分 |
| 有効 | すべてのプッシュ通知に使用 | 1年間 |
| 更新 | 期限切れ前に更新 | 約5分 |
| 期限切れ | 証明書が失効し、プッシュが停止 | 即時 |
証明書ステータスの確認
- 設定 > APNs 証明書 に移動します
- ステータスページには以下が表示されます:
- ステータス: 有効、間もなく期限切れ、または期限切れ
- 発行日: 証明書が作成された日付
- 有効期限: 有効期限日
- 件名: 証明書に記載された組織名
- フィンガープリント: 検証用の SHA-1 ハッシュ
ステータスインジケーター
- 有効(緑)— 証明書は有効で動作中
- 間もなく期限切れ(黄)— 残り30日未満
- 期限切れ(赤)— 証明書が失効し、プッシュが停止
証明書の更新
サービス中断を避けるため、有効期限の少なくとも30日前に更新を開始してください。
- 設定 > APNs 証明書 に移動します
- 更新 をクリックします
- 証明書署名要求(CSR)をダウンロードします
- Apple Push Certificates ポータル にアクセスします
- 組織の Apple ID でサインインします
- 既存の証明書を選択し、更新 をクリックします
- CSR をアップロードします
- 更新された証明書をダウンロードします
- GuardMDM に戻り、更新された証明書をアップロードします
- ステータスが 有効 と表示されることを確認します
更新によって証明書の件名やトピックは変更されません。有効期限のみが延長されます。デバイスを再登録する必要はありません。
証明書の交換
Apple ID や組織の変更時、またはセキュリティインシデント後に証明書を交換します。
- 設定 > APNs 証明書 に移動します
- 交換 をクリックします
- CSR をダウンロードします
- Apple Push Certificates ポータル にアクセスします
- CSR を使用して新しい証明書を作成します
- 新しい証明書をダウンロードします
- GuardMDM にアップロードします
- 新しい証明書が有効であることを確認します
証明書を交換すると、新しいトピックが作成されます。古い証明書で登録されたデバイスはプッシュ通知を受信できなくなります。影響を受けるデバイスは再登録が必要になる場合があります。
複数の APNs 証明書
GuardMDM は複数の APNs 証明書をサポートしており、以下の用途に使用できます:
- マルチテナント構成 — 各組織が独自の証明書を使用
- ステージング環境と本番環境 — テスト環境と本番環境で別々の証明書
- 合併・買収 — 移行期間中に従来の証明書を維持
複数証明書の管理
- 設定 > APNs 証明書 に移動します
- アップロードされたすべての証明書がステータスとともに一覧表示されます
- アクティブ な証明書がプッシュ通知に使用されます
- アクティブな証明書はいつでも切り替えられます
- 期限切れまたは交換された証明書は削除できます
証明書の期限切れ監視
ダッシュボードアラート
- 証明書の有効期限が30日以内になると、ダッシュボードにバナーが表示されます
- APNs 証明書ページには各証明書のカウントダウンが表示されます
- 期限切れの証明書は重大アラートをトリガーします
メール通知
通知受信者を設定します:
- 設定 > 通知 に移動します
- 証明書アラート の下にメールアドレスを追加します
- アラートのしきい値を選択します:
- 期限切れ 30 日前(警告)
- 期限切れ 14 日前(リマインダー)
- 期限切れ 7 日前(緊急)
- 期限切れ時(重大)
Webhook アラート
監視システムとの統合用:
- 設定 > Webhook に移動します
- Webhook URL を追加します
- 証明書の期限切れ イベントを選択します
- GuardMDM が証明書の詳細を含む POST リクエストを送信します
証明書が期限切れになるとどうなるか
- すでに登録されているデバイスは登録されたままです
- 新しいプッシュコマンドは 配信されません
- デバイスのチェックイン(デバイス側からの通信)は引き続き機能します
- ポリシーの更新、リモートワイプ、ロックコマンドは動作しなくなります
- ユーザーには「管理対象外」と表示されるか、管理対象アプリにアクセスできなくなります
修正方法: 証明書を更新してアップロードします。プッシュ機能は即座に復旧します。
APNs 証明書の期限切れ = MDM 完全停止
APNs 証明書は GuardMDM の"生命線"です。期限が切れると、MDM システム全体が停止します:
| 機能 | 期限前 | 期限後 |
|---|---|---|
| リモートロック/ワイプ | ✅ 正常 | ❌ 完全不能 |
| プロファイルプッシュ | ✅ 正常 | ❌ プッシュ不可 |
| アプリインストール | ✅ 正常 | ❌ インストール不可 |
| デバイス登録 | ✅ 正常 | ❌ 新規デバイス登録不可 |
| ロストモード | ✅ 正常 | ❌ 有効化不可 |
| デバイス状態 | ✅ 正常 | ❌ Offline 表示 |
復旧: 証明書を更新してアップロードすると、プッシュ機能は即座に復旧します。停止中にキューイングされたコマンドは自動再生されません。
予防:
- 期限切れの 60 日 前にカレンダーリマインダーを設定
- 全管理者にメールアラートを設定
- 証明書作成に使用した Apple ID をアクセス可能に維持
- 毎週証明書の状態を確認
ベストプラクティス
- ✅ 期限切れの60日前にカレンダーリマインダーを設定する
- ✅ すべての管理者にメールアラートを設定する
- ✅ 証明書作成に使用した Apple ID にアクセス可能な状態を維持する
- ✅ まずステージング環境で更新をテストする
- ✅ 毎週証明書のステータスを確認する
- ❌ 期限の最終週まで待ってから更新しない
- ❌ 新しい証明書が確認されるまで古い証明書を削除しない
- ❌ 関連のない組織間で Apple ID を共有しない
次へ: デバイス登録方法
