Apple MDM Push Certificate in Microsoft Intune abgelaufen – Was tun?
Was ist das Apple MDM Push Zertifikat?
Das Apple MDM Push Zertifikat, auch bekannt als Apple Push Notification Service (APNs) Certificate, ist ein zentraler Bestandteil von Mobile Device Management (MDM)-Lösungen wie Microsoft Intune, Jamf, oder auch anderen Anbietern wie VMware Workspace ONE und MobileIron. Es ermöglicht MDM-Diensten, mit Apple-Geräten wie iPhones, iPads und Macs zu kommunizieren. Durch das Zertifikat werden Push-Benachrichtigungen gesendet, die eine direkte und sichere Kommunikation zwischen MDM-Servern und den verwalteten Apple-Geräten ermöglichen.
Gültigkeit und Verlängerung des Apple MDM Push Zertifikats
Das Apple MDM Push Zertifikat ist ab dem Ausstellungszeitpunkt ein Jahr gültig. Danach muss es verlängert werden, um die Kommunikation zwischen den MDM-Diensten und den Apple-Geräten aufrechtzuerhalten. Ein abgelaufenes Zertifikat führt dazu, dass keine Konfigurationsänderungen, Updates oder Richtlinien auf die verwalteten Geräte übertragen werden können. Daher ist es wichtig, das Ablaufdatum des Zertifikats im Auge zu behalten und rechtzeitig Maßnahmen zu ergreifen.
Wo kann ich den Status des Zertifikats einsehen?
Der Status des Zertifikats kann in zwei Hauptportalen überprüft werden:
- Apple Push Certificates Portal (IDMSA): Dies ist das offizielle Apple-Portal zur Verwaltung der APNs-Zertifikate.
- Microsoft Intune: Gehe zu Devices -> Enrollment -> Apple -> MDM Push Certificate, um den aktuellen Status, das Ablaufdatum und die Seriennummer des Zertifikats zu sehen.
Was passiert, wenn das Zertifikat abgelaufen ist?
Wenn das Zertifikat abgelaufen ist und nicht rechtzeitig verlängert wurde, wird die Kommunikation zwischen dem MDM-Server und den Geräten unterbrochen. Dies bedeutet jedoch nicht, dass die Geräte automatisch aus der MDM-Verwaltung entfernt werden. Die Geräte bleiben weiterhin registriert, aber es können keine neuen Befehle oder Updates an sie gesendet werden.
Verlängerung nach Ablauf: Chancen und Risiken
Apple bietet eine Kulanzzeit von bis zu 30 Tagen nach Ablauf des Zertifikats, in der eine Verlängerung noch möglich ist. Diese Regelung kann sich jedoch in Zukunft ändern und es hängt auch von der verwendeten MDM-Lösung ab, ob eine Verlängerung nach Ablauf unterstützt wird. Es gibt Berichte, dass nicht alle MDM-Lösungen mit Zertifikaten umgehen können, die nach längerer Zeit abgelaufen und dann verlängert wurden.
Vorgehensweise bei abgelaufenem Zertifikat
Wenn das Zertifikat innerhalb der 30-Tage-Frist abgelaufen ist, kann versucht werden, es wie folgt zu verlängern:
- Im Apple Push Certificates Portal (IDMSA) oder in Microsoft Intune anmelden.
- Das Ablaufdatum und die damit verbundene Apple-ID überprüfen (notieren).
- Beantrage über das IDMSA-Portal eine Verlängerung, solange das Zertifikat nicht länger als 30 Tage abgelaufen ist.
Sollte das Zertifikat jedoch länger als 30 Tage abgelaufen sein oder unter einer anderen Apple-ID ausgestellt worden sein, muss eine Apple Business Manager Certificate Reassignment durchgeführt werden. Dies erfordert die Unterstützung des Apple Deployment Programs Support.
Apple-ID und Certificate Reassignment
In diesem Fall muss ein Supportcase bei Apple eröffnet werden. Der Apple Deployment Programs Support benötigt dabei folgende Informationen:
- Die ursprüngliche Apple-ID (zu finden in Intune unter Devices -> Enrollment -> Apple -> MDM Push Certificate).
- Die neue Apple-ID, auf die das Zertifikat übertragen werden soll.
- Die Seriennummer des Zertifikats.
- Einen Nachweis der Berechtigung der Person, die den Supportfall eröffnet. Dies kann ein Beschäftigungsnachweis von der Personalabteilung des Unternehmens sein, ausgestellt auf offiziellem Briefkopf, sowie ein amtlicher Lichtbildausweis.
Erfahrungsgemäß wird der Reassignment-Prozess von Apple relativ schnell bearbeitet, insbesondere weil abgelaufene Zertifikate als geschäftskritisch gelten. In manchen Fällen kann eine Reassignment und Zertifikatsverlängerung innerhalb von 3 Stunden abgeschlossen werden, jedoch kann es auch bis zu 48 Stunden dauern.
Konsequenzen bei fehlender Zertifikatsverlängerung
Wenn das Zertifikat nicht rechtzeitig verlängert wird, ist dies vergleichbar mit einem gelöschten Zertifikat. In diesem Fall müssen alle Geräte zurückgesetzt, neu ausgegeben und neu in die jeweilige MDM-Lösung neu eingebracht werden. Das ist ein sehr aufwändiger Prozess, insbesondere für Unternehmen mit einer großen Anzahl von Geräten.
Es ist wichtig zu bedenken, dass die Geräte in diesem Fall ebenfalls nicht zentral zurückgesetzt werden können, da keinerlei Befehle vom MDM akzeptiert werden.
Für persönliche BYOD-Geräte:
Für persönliche Geräte (BYOD), die in MDM registriert sind, reicht es in der Regel aus, dass die Benutzer sich im Company Portal (z.B. bei Intune) neu anmelden und das Gerät neu registrieren.
Für DEP-Geräte:
Für Apple DEP-Geräte (Geräte, die über das Device Enrollment Program registriert sind) ist ein Re-Enrollement ohne Zurücksetzen des Geräts nicht möglich. In diesem Fall müssen die Geräte vollständig zurückgesetzt und neu eingerichtet werden.
Apple Deployment Programs Support kontaktieren:
Für weitere Informationen und Unterstützung kann der Apple Deployment Programs Support über die offiziellen Kanäle kontaktiert werden: