本記事では、Meraki 認証を使用されているSSID を使用されている環境において、

サーバ側の証明書更新が実施された際の動作等について、紹介をさせて頂ければと存じます。

// 問題 //

Meraki 認証を使用している環境において、サーバ側で証明書の期限切れに伴い、更新作業が発生する事がございます。

この動作に伴い、端末側で新たに更新された証明書の情報を信頼する必要があり、

無線接続時にポップアップが表示される場合がございます。

端末側の動作によっては、ポップアップ等が表示されず、新しい証明書が信頼されるまで

無線接続ができないという様な事象が発生する場合がございます。

無線接続時の端末のやり取りを確認すると、TLS Certificate のやり取りにおいて、

サーバ側は新しい証明書の情報を端末に通知をしている事が確認出来ます。

この情報を受信した端末側が、証明書を信頼するかどうかの判断を実施する形となります。

// 解決策 //

Meraki 認証の証明書更新は、今後も発生する可能性があるため、

更新の度に端末側で証明書を信頼する操作が必要になる可能性がございます。

ポップアップが表示されず、無線接続が実施できない場合、端末側で手動でWi-Fi プロファイルを削除し、

再度作成する事で事象が改善される可能性がございますが、弊社MDM をご利用の場合、

事前に以下の設定を実施して頂く事で、端末側での操作が不要になる場合がございます。

* 端末やOS のバージョン等により、動作が異なる場合がございますので、動作確認の上、
  実際にご利用頂ければと存じます。(弊社環境: iPhone 11/OS 15.6.1)

1. システムマネージャ> 管理> 設定 より、新しいプロファイルの作成

2. "設定を追加" をクリックし、Wi-Fi Settings を追加

3. SSID 名を設定し、セキュリティの項目でWPA2-エンタプライズ 及びプロトコルにおいて、PEAP にチェック

4. "信頼性"のタブにて、radius.meraki.com と入力し、保存

* 入力する値は、変動する可能性があるため、後に記載のあるURL を参照して下さい

上記設定後に、端末側にWi-Fi プロファイルがインストールされた事を確認した後に、

実際にSSID を接続時に、証明書を信頼する旨のポップアップが表示されないかどうか確認をして下さい。

現在Meraki 認証で使用されている証明書は、2023/02/08 までの期限となっているため、

この辺りの時期に再度証明書の更新が実施される事が予想されます。

証明書更新に関するご案内は、こちらのURL の様な形で公開がされるかと存じます。

なお、上記手順４で入力した値については、URL にて証明書のホスト名が公開されるかと存じますので、

そちらの値を入力して頂ければと存じます。

本記事では、弊社ダッシュボード側でApple のDEP 端末を管理する際に使用されるトークンの

更新手順についてご紹介します。

なお、記事の途中で、Apple 側のポータルサイトの操作等の記載がございますが、

弊社サポートではApple 側に関するお問い合わせは対応出来兼ねますので、予めご了承下さい。

また、本記事ではApple Business Manager を使用しております。

1.

Meraki 側のダッシュボードにログインし、オーガナイゼーション>MDM をクリックしてください

2.

トークンの更新を実施したいApple DEPサーバをクリックしてください

3.

以下の様な画面が表示されるため、"トークンを更新する" をクリックしてください

4.

以下の様な画面が表示させるため、公開鍵証明書をダウンロードから、.pem 形式のファイルをダウンロードしてください

5.

Apple Business Manager にログインを実施してください

6.

設定> MDM サーバより、更新対象のトークンを選択し、編集をクリックしてください

7.
MDM サーバの設定より、手順4でダウンロードした.pem 形式のファイルをアップロードし、完了をクリックしてください。

8.

トークンのダウンロードを実行してください

9.

Meraki 側のダッシュボード画面に戻り、ダウンロードしたDEP トークンをアップロードしてください

10.

トークンの有効期限が延長されているかどうか確認をしてください

参考URL: Apple_Device_Enrollment_Program_(DEP)

本記事では、Apple's Push Notification Service (以下、APNS) の証明書の更新方法について

ご紹介させて頂ければと存じます。

また、本記事内でApple のポータル画面のスクリーンショットや操作等の記述がございますが、

弊社Meraki サポートではApple 側のポータルに関するお問い合わせはご対応出来兼ねますので、予めご了承下さい。

1.

Meraki 側のダッシュボードにログインし、オーガナイゼーション> MDM をクリックし、Appleプッシュトピック の値をコピーして、メモしてください

2.
Apple Push Certificates Portal にダッシュボードに紐づいているApple ID を使用して、ログインをしてください

3.
更新対象の証明書の "Renew" をクリックしてください

* 複数の証明書が登録されている場合、Renew の左にあるアイコンをクリックして頂き、手順1で確認した値とUID が一致するかどうかで確認を行う事が可能となります。

4.

Meraki 側のダッシュボードに戻り、オーガナイゼーション> MDM> Apple MDM> 更新/証明書を更新 をクリックしてください

5.

以下の様な画面に遷移するため、.csr ファイルのダウンロードを実施してください

6.
Apple 側のポータル画面にアクセスし、ダウンロードした.csr ファイルをアップロードしてください

7.

Download ボタンをクリックし、.pem ファイルのダウンロードを実施してください

8.
Meraki 側のダッシュボードに戻り、ダウンロードした.pem ファイルのアップロード及びApple ID を入力してください

9.
有効期限が延長された事とAppleプッシュトピック の値が手順1で取得した値と同一であるかどうかを確認してください

参考URL: Apple MDM Push Certificate

本記事では、System ManagerのDEP端末の管理画面でASMサーバとの同期できないエラーが表示される問題とその対処方法について解説いたします。

// 概要 //

System ManagerでDEP端末の管理画面（System Manager > DEP）を表示した際、下記のようにASMサーバもしくはBSMサーバとの同期が出来ない旨のメッセージが出る場合があります。

※該当エラーが「Apple Device Enrollment Program Sync failed: Server token rejected by Apple.」等と表示される場合もあります。

// 問題 //

これは、通常Apple 側のサーバとMeraki ダッシュボードで保持しているDEP のTokenが異なっている、

または証明書の期限が切れている場合などに発生しますが、なんらかの証明書の問題によってうまく同期できない状態となる場合もございます。

// 対応方法 //

DEPのTokenの更新によって事象が改善される場合があります。

詳細手順は以下の「Renewing a DEP Token」をご参照ください。

https://documentation.meraki.com/SM/Device_Enrollment/Apple_Device_Enrollment_Program_(DEP)

本記事では、System ManagerでDEP(現ADE)端末を登録する際、プロファイルを割当後にAssignedから変化しないという事象についてその対応方法をご説明します。

// 概要 //

System Managerで新規及び機器交換などでデバイスをDEP(現ADE)端末として登録する場合、まずASMに登録された端末情報がダッシュボードにSyncされ、反映されたEmptyのデバイスに対しプロファイルを適用する形になります。

// 問題 //

この際に、プロファイル適用後に登録ステータスがAssignedで止まってしまいPushedに変化しないというお問い合わせがよく発生します。

// 対応方法 //

これはDEP(現ADE)の登録処理がデバイス設定段階（setup assistant）で実施されることによるものであるため、デバイスの初期設定を実施するか、もしくは既に利用状態となっている機器であればファクトリーリセットを実施する必要があります。

iPhone、iPadなどのファクトリーリセットに関しては、「すべての設定を消去」ではsetup assistantが開始されないため、下記のように実施する必要があります。

ホーム画面から、「設定」＞「一般」＞「リセット」＞「すべてのコンテンツと設定を消去」から初期化を実施。

  その後、setup assistantの中でProfileをインストールし、問題なく完了した場合はダッシュボードの表示もPushedとなります。

//参考情報//
Apple Device Enrollment Program (ADE)

本記事では、アプリまたはProfileがインストールできない際、まず確認必要がある項目についてご紹介させていただきます。

①該当アプリ、ProfileページからデバイスがScope内であることを確認します。

　・アプリ（システムマネージャ >> アプリ >> 該当アプリを選択

　・Profile (システムマネージャ >> 設定 >> 該当Profileを選択)

システムマネージャ >> デバイス >> デバイス詳細ページにて上記のようなStatusが表示されていない場合は、

該当端末は、Scope内ではない可能性が高いです。

②アプリ・Profileをアップデートまたはインストールしてから、

該当端末がインターネット(Meraki Cloud)へアクセスができるかご確認ください。

③以下のオンラインステータスページ(デバイスの詳細ページ)より、

アプリ・ProfileををPushしてから、チェックインが行われているかご確認ください。

   チェックインが行わっていなければ「今すぐチェックイン」ボタンを押してください

④該当デバイスがロックされていないか・電源ONになっているかご確認ください。(アプリ・Profile両方)

⑤該当デバイスの詳細ページにて、該当アプリの活動ログを確認してください。(アプリのみ)

　例えば状態がpendingの場合は端末がまだMeraki Cloudにチェックインしていないことを示します。

⑥該当デバイスのiTuneアカウントで支払い方法が設定されているかご確認ください。

　無料のアプリの場合でも支払い方法を選択が必要な場合がございます。

　(アプリのみ、VPP Device Licenseの場合は不要）

⑦該当デバイスの詳細ページのProfile項目より、該当Profileがインストールされているか、

　または最新Versionであるかをご確認ください。(Profileのみ)

　Profileがインストールされていない場合、あるいは最新Versionではない場合は

　「不足/更新プロファイルをインストール」をクリックしてください。

⑧上位FWや、Proxy ServerでMeraki Cloudへアクセスを拒否するようなルールはなく、

　それでも正常にMeraki Cloudへチェックインが行われない場合は、

　System Managerアプリを該当デバイスから削除、該当デバイスをネットワークから削除していただき、

　再度ご登録をしチェックインが行われるかご確認ください。

上記の全てを確認してからも正常にアプリまたはProfileがインストールできない場合はMeraki Technicalサポートまで

お問い合わせください。

[Managed device does not receive deployed app or settings profile]

https://documentation.meraki.com/SM/Profiles_and_Settings/Managed_device_does_not_receive_deployed_a...

本記事では、Passcode Payloadについてご紹介させていただきます。

Passcode Payloadは、MDMより管理しているデバイスに対して、ユーザ側でパスワードや、パスコードを設定する際、必要な要件を指定することが可能な機能となります。

※リモートから管理しているデバイスのパスコードやパスワードを直接設定するような機能ではありません。

設定可能なパスコード項目は以下となります。

■簡単な文字列を許可

簡単な文字列の入力を許可します。例）1111, 1234, abcdなどなど

■1つ以上の英数字の組み合わせ必須

英数字の組み合わせが必須となります。例）数字のみ1111, アルファベットのみabcdは入力不可。

■ 最小長

パスコードの長さは、指定の長さ以上である必要があります。(0~14).

■最小特殊文字数

最小特殊文字数以上の特殊文字を入力する必要があります。(0~4).

■パスコードの最大有効期間

パスコード変更要求が行われない最大有効期間を指定します。

0から730まで設定が可能となります。（1 = 1日）

■自動ロック

自動ロックがかかるまでの時間を指定します。

■パスコード入力の失敗回数制限

パスコード入力の失敗回数を指定することが可能となります。

(4~10)

iOS オプション

■デバイスロック解除後、パスコード猶予時間

デバイスロック解除後、再度パスコードを入力を行われなくても良い時間。

■パスコード履歴

再利用が不可能な以前のパスコード数( 1 ~ 50 )

■Touch ID

ユーザーにTouch ID設定の変更を許可

Androidのオプション

■仕事用プロファイルのみロックする。

-----------------------設定方法は以下をご参照くださいませ。-----------------------

システムマネージャー >> 設定 >> 該当Profileを選択

＋設定を追加 >> パスコードポリシー

ご希望のパスコードポリシーを設定し、保存する。

[Systems Manager Passcode Payload]

https://documentation.meraki.com/SM/Profiles_and_Settings/Systems_Manager_Passcode_Payload

本記事では、System Manager で管理している端末のイベントログに表示されるNotNow により、

アプリやプロファイルがインストールされない事象について紹介いたします。

アプリのインストールやプロファイルのインストールを実施した際に、

端末の状況に応じては、NotNow のステータスが返され、インストールが完了しない様な事が発生する可能性が考えられます。

このステータスが返される主な原因としては、端末側でパスコードが有効になっている事が考えられます。

端末が、パスコードを解除し、ダッシュボードにチェックインした際に、こちらの操作は再度自動で実施されます。

弊社ダッシュボード側では、以下の操作により、端末のパスコードを解除する事が可能となります。

* 再度パスコードを有効にするには、端末側での設定が必要となります。

システムマネージャー> 監視> デバイス> 対象機器の選択> MDM コマンド> モバイルセキュリティ> パスコードを消去

参考URL
Status of "NotNow" in Systems Manager Event Log

本記事では、こちらのURL に記載のあるアプリ カタログの作成方法についてご紹介します。

// 作成方法 //

1. 管理対象の端末をSystem Manager のネットワークに登録して下さい。

2. 管理対象の端末に、System Manager のアプリをインストールして下さい。(インストール方法はこちら)

3. Meraki のダッシュボードにログインして下さい。

4. システムマネージャー> 管理> アプリ をクリックしてください。

5. 画面右上のアプリの追加 より、端末にインストールしたいアプリを検索してください。

6. アプリを追加する際のオプションで "自動インストール/自動アンインストール" のチェックを外してください。

7. インストール範囲を対象の端末が含まれる様に設定したら、設定の保存をし、アプリを追加してください。

8. 端末側のSystem Manager のアプリ内のApps に対象のアプリが表示されているかご確認ください。

本記事では、System Managerに登録されているデバイスのGPS位置情報の取得方法・位置情報収集の種類について

ご紹介させていただきます。

位置情報の収集の方法は以下のものがございますが、最も正確な位置情報を取得できる方法は

GPSによるものとなります。こちらの設定はGPS機能をサポートしている端末のみ設定が可能となります。

・マニュアル

・GPS Location

・Meraki 製品による位置情報

・Wifiによる位置情報

・IPによる位置情報

iOSデバイスで、GPS Locationをenableにする方法は以下となります。

端末側

設定 >> プライバシー >> 位置情報サービス >> Meraki MDM >>常に

Dashboard側

システムマネージャー >> デバイス >> 該当デバイス選択 >> おおよその場所にてロケーションの更新

住所がvia GPSになっていることを確認。

本記事では、VPP 側で購入したApp をMeraki のダッシュボードにインポートできない事象に対しての

対処法についてご紹介をさせて頂ければと存じます。

// 問題 //

VPP 側でアプリを購入し、ダッシュボードのシステムマネージャー> VPP には対象のアプリが登録されている状況となっている。

システムマネージャ> アプリ> インポート> ライセンスされたiOS アプリ> 対象のアプリにチェックを入れ、インポートを実行しても、システムマネージャ> アプリ の一覧には表示されない。

// 対処法 //

一部のアプリでは、アプリのバージョン情報が正常に取得できず、以下の画像の様な表示がされる事があります。

===

Unable to find version information for this app.

This means that (1) the app is no longer listed in the app store, or (2) is listed privately in the B2B iTunes store .

It will be ignored on import unless overridden below.

===

その場合、アプリを選択する画面の一番下にある 'Ignore version check' にチェックを入れて、インポートを実行して下さい。

本記事では、DEP 端末の登録作業を行なっている際に、'リモードマネージメント' の画面において、

以下のエラーメッセージと共にユーザ名・パスワードを求められた際の対処法についてご案内します。

Maximum licensed devises already enrolled

上記のエラーメッセージが表示された場合、ダッシュボードのライセンス体系がPer Device License (PDL) となっており、

ライセンスがSystem Manager のネットワークに登録されていない可能性が考えられます。

そのため、以下の画面より、ライセンスがネットワークに割り当てられているか確認をしてください。

オーガナイゼーション> ライセンス情報> ライセンス数 > 'SME' と検索

対象ネットワークが空白や状態が'unused' または'unused active' の場合、

ネットワークにライセンスが割り当てられていないので、こちらを参照して

ライセンスの適用後、DEP 端末の登録作業を行なって頂ければと存じます。