Attention à l’expiration des jetons APNS !

L’utilisation des solutions MDM avec les produits Apple requiert l’utilisation d’un jeton APNS, comme vous le savez sûrement si vous administrez des Mac, iPhone, iPad ou Apple TV. Ce jeton a plusieurs particularités :

  • Il doit être généré depuis la portail dédié d’Apple1.
  • Ce certificat doit être renouvelé une fois par an.
  • Le jeton est associé à un identifiant Apple
  • … Et lors du renouvellement, vous devez impérativement utiliser le même identifiant Apple qui a été utilisé pour le générer.

Ce dernier point est critique. Si vous utilisez un autre identifiant Apple pour générer un nouveau jeton APNS, la communication avec tous les appareils sera cassée et tous les appareils devront à nouveau être ré-inscrits dans votre MDM ! C’est le genre de situation qu’on préférera éviter.

Jeton APNS expiré, appareils tous paumés (proverbe de consultant Apple)

Que faire si l’identifiant Apple n’est plus accessible ?

Il peut arriver dans certains cas que l’identifiant Apple qui a généré le jeton APNS est inaccessible : l’employé qui l’a généré est parti, ou pire, le numéro de téléphone associé n’est plus accessible et l’authentification 2 facteurs bloque l’accès au compte. Ne rigolez pas, c’est arrivé à un de mes clients. Dans ce cas, n’utilisez pas un autre identifiant Apple, quoi qu’il arrive.

Car oui, il existe quand même une parade. Tant que vous disposez du jeton d’origine et qu’il n’a pas été remplacé, vous pouvez contacter la hotline d’Apple dédié à tout ce qui est Apple Business Manager (‭0805 540 758‬). Il faudra communiquer l’identifiant actuel, le nouvel identifiant que vous souhaitez utiliser, et le numéro de certificat associé au jeton (vous pouvez le trouver dans l’entrée du certificat APNS dans Jamf Pro, par ex).

Le numéro de série est l’élément clé du renouvellement vers un autre Apple ID.

Il faudra également indiquer le nom d’un contact de votre société, qui sera directement appelé par Apple pour valider la demande. Et vous pourrez ainsi transférer le jeton vers un autre identifiant Apple. Sauvé !

Comment éviter tout souci avec l’identifiant Apple lié au jeton APNS ?

La meilleure façon de garder le contrôle sur cet identifiant Apple est d’utiliser un identifiant Apple géré, donc toujours associé à votre entreprise, qui en garde le contrôle complet. Le gros avantage d’utiliser un identifiant Apple géré est de pouvoir facilement réinitialiser le mot de passe, ou changer l’adresse e-mail ou le numéro de téléphone associé à cet identifiant. Et si les identifiants Apple gérés ont pas mal de limitations comparés aux identifiants Apple « classiques », leur exploitation avec un jeton APNS ne pose aucun souci. La seule limitation de l’identifiant Apple géré est que votre entreprise doit disposer d’un compte Apple Business Manager.

Que faire si le jeton APNS a expiré ?

En soi, ce n’est pas très grave mais la communication sera coupée entre votre MDM et vos appareils, empêchant par exemple le push de profils de configuration et de commandes MDM (il y a cependant un délai de grâce de quelques jours, la coupure ne sera pas immédiate). Il faudra alors simplement renouveler le jeton en utilisant le même identifiant Apple : la communication sera automatiquement rétablie avec vos appareils, pas la peine de les ré-enrôler. Mais anticipez quand même : mettez une alerte dans votre calendrier, ça fait pas sérieux tout ça. Bon, après, que celui ou celle qui n’a jamais eu un jeton APNS expiré me jette la première pierre… Aie. Aie. AIEUHHHH MAIS ARRÊTEZ ENFIN !

  1. Qui a encore une interface d’il y a bien 10 ans voire plus