iOS や iPad、MacOS を Intune で管理する場合、Apple MDM プッシュ通知証明書(APNs 証明書)を構成する必要があります。APNs 証明書を構成すると、前述の端末を Intune へ登録でき、管理者によるプロファイルの配布、各端末に対するリモート操作などを行うことができるようになります。

ただ、この APNs 証明書は 365 日の有効期限があり、この期限が切れてしまうと、上述のような Intune による制御ができなくなってしまいます。もし突然デバイスの登録が出来なくなった、同じようなエラーが同時期に複数の端末で発生した場合は、APNs 証明書の有効期限が切れている可能性がありますので、期限が切れていた場合は更新しましょう。

Apple MDM プッシュ通知証明書(APNs 証明書)更新手順

1.Microsoft Endpoint Manager admin center(https://endpoint.microsoft.com/)より、[デバイス] > [デバイスの登録] > [Apple 登録] > [Apple MDM プッシュ通知証明書] を選択します。

2.詳細画面の項目2. の [CSR のダウンロード] をクリックして、 [IntuneCSR.csr] をダウンロードします。

3.項目3. の [MDM プッシュ証明書を作成する] をクリックして、Apple Push Certificate Portal を開きます。

4.Apple Push Certificate Portal が開くので、構成時と同じ Apple ID でサインインします。
※ サインイン際に Apple ID 確認コードによる2ファクタ認証が行われる場合があります。

5.サインインすると「Apple Push Certificates Portal」画面が表示されますので、「Renew」ボタンをクリックします。

6.項目 3 でダウンロードした CSR ファイル (IntuneCSR.csr)をアップロードします。「参照」をクリックし、ダウンロードした CSR ファイルを指定後、「Upload」をクリックします。

7.正常にアップロードが完了すると下記画面が表示されますので、「Download」ボタンをクリックし、 APNs 証明書を任意の場所に保存します。

※ ダウンロードできない場合は、他のブラウザでお試しください。
※ 上記画面が表示されない場合は、「Apple Push Certificates Portal」の画面からダウンロードしてください。

8.Endpoint Manager の管理画面に戻り、「Apple ID」の入力と項目 7 でダウンロードした「Apple MDM プッシュ通知証明書」のアップロードをします。

9.「MDMプッシュ証明書を構成する」の有効期限が更新されており、状態が【アクティブ】になっていることを確認できたら、完了です。

有効期限が来た際の動作

証明書の有効期限が近づくと、Apple ID に登録したアドレスに Apple 社から以下のような通知が届きます。

件名:30 day notification: Apple Push Notification Service certificate expiration

本来、有効期限が過ぎてしまった場合は証明書の更新はできませんが、現時点では有効期限切れ後 30 日間の猶予期間が存在しており、猶予期間内での証明書の更新が可能です。※ 更新実施日から 365 日有効になります。
ただ、証明書の更新ができなかった場合、 Intune 登録されている iOS/iPad、MacOS はすべて管理対象外となってしまい、Intune 再登録を実施する必要がありますので、ご注意ください。

参考情報

Apple MDM プッシュ証明書を取得する
└Apple MDM プッシュ証明書を更新する
https://docs.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get#renew-apple-mdm-push-certificate