【不具合報告】「OPTiM Biz」iOS/iPadOSの構成プロファイルアップロードにおける証明書表示・削除・編集の不具合のご報告

平素はオプティム製品及びサービスをご愛顧賜り、誠にありがとうございます。

iOS/iPadOSの構成プロファイルアップロードにおける証明書表示・削除・編集の不具合を確認しましたのでご報告いたします。
本通知では、混乱を避けるため、拡張子[.mobileconfig]を持つ個別の構成プロファイルについては「コンフィグファイル」と表記いたします。

現時点での内容は以下をご参照ください。

ご迷惑をおかけし大変申し訳ございません。
ご理解とご協力を賜りますよう宜しくお願い申し上げます。

　　　　　　　　　　　　　　-　記　-

-------------------------------------------------------------------
■1. 対象サービス
-------------------------------------------------------------------
・OPTiM Biz(iOS/iPadOS)

-------------------------------------------------------------------
■2. 発生事象詳細
-------------------------------------------------------------------
◆2.1.発生事象
・事象内容：Wi-Fi設定、コンテンツフィルタ設定、VPN設定に証明書が付与されたコンフィグファイルをアップロードすると、以下の事象が発生します。
　・証明書欄に該当の証明書情報が表示されない
　・設定を編集または削除を行い証明書情報を利用しないようにしても、構成プロファイルアップロード設定の情報として残り続けてしまう
　　・内部に残っていることは、管理画面上からは確認できない
　・その構成プロファイルアップロード設定を利用して構成プロファイルを配布すると、残っている証明書も含めて端末へ配布されてしまう
・機能影響範囲：iOS/iPadOSにおけるWi-Fi設定、コンテンツフィルタ設定、VPN設定
・発生手順：
　1. 構成プロファイルアップロード設定を新規（空のプロファイルを新規作成）で作成する。
　2. Wi-Fi設定、コンテンツフィルタ設定、VPN設定のいずれかを開く。
　3. 証明書が必要な設定を選択する。
　　3.1. セキュリティとEAPの種類を「固有名証明書」が必要なものにする（Wi-Fi設定）
　　3.2. プラグイン（他社製App）を選択する（コンテンツフィルタ設定）
　　3.3. 接続のタイプと認証を「証明書」が必要なものにする（VPN設定）
　4. 「固有名証明書」または「証明書」に証明書管理 > クライアント証明書で用意したPKCS #12形式(.p12)の証明書を選択する。
　5. その他必須項目を入力後、設定を保存する。
　6. 「管理タブ」からコンフィグファイルをダウンロードする。
　7. 構成プロファイルアップロード設定を新規で作成し、ファイルをアップロードにチェック後、手順6で取得したコンフィグファイルをアップロードして保存を押下する。

※手順1～手順6の代わりに、Apple Configuratorを用いて証明書情報が含まれたコンフィグファイルを作成し、OPTiM Bizでアップロードした場合も同様の結果となります。

・発生条件：証明書情報が登録されたコンフィグファイルをアップロードする
　・証明書情報が登録できるのはWi-Fi設定、コンテンツフィルタ設定、VPN設定
　（VPNの場合、VPNタイプはPPTP以外の全て）

・事象回避方法：
　・プロファイルを作成する際は、構成プロファイルアップロード設定にて、各種設定画面（Wi-Fi設定、コンテンツフィルタ設定、VPN設定）で証明書を選択する
　※プロファイルを作成する際に、Wi-Fi設定、コンテンツフィルタ設定、VPN設定に証明書情報が含まれるコンフィグファイルをアップロードしない

◆2.2.対応方針
・現在、本件について詳細調査中です。
　対応方針が固まり次第、追ってご連絡いたします。

◆2.3.復旧方法
・「2.1.発生事象」に該当するお客様は、下記の操作を行っていただくようお願いいたします
　・構成プロファイルアップロードから設定を再作成する

■手順
既に証明書情報が内部データとして残留している構成プロファイルアップロード設定が存在し、端末へ構成プロファイルが配布されてしまっている状態での復旧手順となります。

関連する設定は下記の通りと仮定してご案内いたします。
・構成プロファイル：【事象発生中プロファイル】
　・構成プロファイルアップロード設定【証明書残留】が割り当たっている。
・構成プロファイルアップロード設定：【証明書残留】
※手順を実施する際は、実環境に合うように対象の構成プロファイルと、構成プロファイルアップロード設定を置き換えて実施をお願いいたします。

　1. 新規で構成プロファイルアップロード設定を作成する
　　1-1. ＜管理画面＞設定> iOS> 構成プロファイル> 構成プロファイルアップロード設定をクリックする。
　　1-2. ＜管理画面＞+ボタンをクリックし設定を作成する。空のプロファイルを新規作成にチェックが入っていることを確認し、保存をクリックする。
　　1-3. ＜管理画面＞構成プロファイルアップロード設定の【証明書残留】と、Wi-Fi設定、コンテンツフィルタ設定、VPN設定含め、完全に同様の設定となるように、
　　「1-2」で用意した構成プロファイルアップロード設定に作成し、保存する。
　　※「固有名証明書」または「証明書」が未選択である場合は、任意の証明書を選択してください。
　2. 段階的なテスト配信を実施
　　2-1. ＜管理画面＞設定> iOS> 構成プロファイル> 構成プロファイルから、【事象発生中プロファイル】をクリックする。
　　2-2. ＜管理画面＞構成プロファイル（通常モード）の欄に、「1-3」で作成した構成プロファイルアップロード設定を追加して保存する。
　　2-3. ＜管理画面＞構成プロファイル【事象発生中プロファイル】が割り当たっている機器を選択して、同期を実行する。
　　2-4. 下記を確認する。
　　・＜端末＞設定アプリ（設定＞一般＞VPNとデバイス管理）で新たに証明書が追加されていないことを確認する。
　　・＜端末＞新たに追加されたVPN設定にて、今までと同様にVPN接続ができること。
　　・＜端末＞新たに追加されたWi-Fi設定にて、今までと同様にWi-Fiが接続できること。
　3. 既存の構成プロファイルアップロード設定を構成プロファイル設定から削除
　　3-1. ＜管理画面＞構成プロファイル【事象発生中プロファイル】から、【証明書残留】を×ボタンで削除し、保存する。
　　3-2. ＜管理画面＞「2-3」で選択した端末で、同期を実行する。
　　3-3. 下記を確認する。
　　・＜端末＞設定アプリ（設定＞一般＞VPNとデバイス管理）で証明書が削除されていることを確認する。
　　・＜端末＞今まで同様のVPN設定で接続が可能なこと。
　　・＜端末＞今までと同様にWi-Fiが接続できること。
　　・＜端末＞今までと同様のコンテンツフィルタ設定にて、閲覧制限がかかっていること。

・補足事項
　・機器への影響を防ぐため、構成プロファイル設定に紐づいている場合、構成プロファイルアップロード設定【証明書残留】は削除しないようお願いいたします
　・必要な場合は、構成プロファイルアップロード設定【証明書残留】が紐づいている構成プロファイル設定にて、「2. 段階的なテスト配信を実施」「3. 既存の構成プロファイルアップロード設定を構成プロファイル設定から削除」の実施をお願いいたします
　・手順について、以下を確認しております
　　・手順実施後、証明書以外の構成プロファイルアップロード設定に変更がないこと
　　・手順実施後、端末に構成プロファイルを反映させると、証明書が端末から消えていること
　　・手順「2-4」実施時、端末に構成プロファイルを反映させると、下記挙動となることを確認しております。
　　　・オプティムの検証環境のVPN（IKEv2）でVPN切断 / VPN再接続のための端末操作が発生したこと
　　　・オプティムの検証環境のWi-Fi設定で、一瞬Wi-Fiが切断されたが、すぐに再接続されたこと

以上