So stellen Sie Clients auf Macs bereit
Gilt für: Configuration Manager (Current Branch)
Wichtig
Ab Januar 2022 ist dieses Feature von Configuration Manager veraltet. Weitere Informationen finden Sie unter Mac-Computer.
In diesem Artikel wird beschrieben, wie Sie den Configuration Manager-Client auf Mac-Computern bereitstellen und verwalten. Informationen dazu, was Sie vor der Bereitstellung von Clients auf Mac-Computern konfigurieren müssen, finden Sie unter Vorbereiten der Bereitstellung von Clientsoftware auf Macs.
Wenn Sie einen neuen Client für Mac-Computer installieren, müssen Sie möglicherweise auch Configuration Manager Updates installieren, um die neuen Clientinformationen in der Configuration Manager-Konsole widerzuspiegeln.
In diesen Verfahren haben Sie zwei Optionen zum Installieren von Clientzertifikaten. Weitere Informationen zu Clientzertifikaten für Macs finden Sie unter Vorbereiten der Bereitstellung von Clientsoftware auf Macs.
Verwenden Sie Configuration Manager Registrierung mit dem CMEnroll-Tool. Der Registrierungsprozess unterstützt keine automatische Zertifikatverlängerung. Registrieren Sie den Mac-Computer erneut, bevor das installierte Zertifikat abläuft.
Wichtig
Um den Client auf Geräten mit macOS Sierra bereitzustellen, konfigurieren Sie den Antragstellernamen des Verwaltungspunktzertifikats ordnungsgemäß. Verwenden Sie beispielsweise den FQDN des Verwaltungspunktservers.
Konfigurieren von Clienteinstellungen
Verwenden Sie die Standardclienteinstellungen , um die Registrierung für Mac-Computer zu konfigurieren. Sie können keine benutzerdefinierten Clienteinstellungen verwenden. Um das Zertifikat anzufordern und zu installieren, benötigt der Configuration Manager-Client für Mac die Standardclienteinstellungen.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung. Wählen Sie den Knoten Clienteinstellungen und dann Standardclienteinstellungen aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Wählen Sie den Abschnitt Registrierung aus, und konfigurieren Sie dann die folgenden Einstellungen:
Zulassen, dass Benutzer mobile Geräte und Mac-Computer registrieren: Ja
Registrierungsprofil: Wählen Sie Profil festlegen aus.
Wählen Sie im Dialogfeld Registrierungsprofil für mobile Gerätedie Option Erstellen aus.
Geben Sie im Dialogfeld Registrierungsprofil erstellen einen Namen für dieses Registrierungsprofil ein. Konfigurieren Sie dann den Code der Verwaltungswebsite. Wählen Sie den Configuration Manager primären Standort aus, der die Verwaltungspunkte für diese Mac-Computer enthält.
Hinweis
Wenn Sie den Standort nicht auswählen können, stellen Sie sicher, dass Sie mindestens einen Verwaltungspunkt auf dem Standort für die Unterstützung mobiler Geräte konfigurieren.
Wählen Sie Hinzufügen aus.
Wählen Sie im Fenster Zertifizierungsstelle für mobile Geräte hinzufügen den Zertifizierungsstellenserver aus, der Zertifikate für Mac-Computer ausstellt.
Wählen Sie im Dialogfeld Registrierungsprofil erstellen die Zertifikatvorlage für den Mac-Computer aus, die Sie zuvor erstellt haben.
Klicken Sie auf OK , um das Dialogfeld Registrierungsprofil und dann das Dialogfeld Standardclienteinstellungen zu schließen.
Tipp
Wenn Sie das Clientrichtlinienintervall ändern möchten, verwenden Sie das Clientrichtlinienabrufintervall in der Clienteinstellungsgruppe Clientrichtlinie .
Wenn die Geräte die Clientrichtlinie das nächste Mal herunterladen, wendet Configuration Manager diese Einstellungen für alle Benutzer an. Informationen zum Initiieren des Richtlinienabrufs für einen einzelnen Client finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager Client.
Stellen Sie zusätzlich zu den Registrierungsclienteinstellungen sicher, dass Sie die folgenden Clientgeräteeinstellungen konfiguriert haben:
Hardwareinventur: Aktivieren und konfigurieren Sie dieses Feature, wenn Sie die Hardwareinventur von Mac- und Windows-Clientcomputern erfassen möchten. Weitere Informationen finden Sie unter Erweitern der Hardwareinventur.
Kompatibilitätseinstellungen: Aktivieren und konfigurieren Sie dieses Feature, wenn Sie Einstellungen auf Mac- und Windows-Clientcomputern auswerten und korrigieren möchten. Weitere Informationen finden Sie unter Planen und Konfigurieren von Konformitätseinstellungen.
Weitere Informationen finden Sie unter Konfigurieren von Clienteinstellungen.
Herunterladen des Clients für macOS
Hinweis
Das macOS-Clientinstallationspaket ist für neue Bereitstellungen nicht verfügbar, aber vorhandene Bereitstellungen werden bis zum 31. Dezember 2022 unterstützt.
Speichern Sie ConfigmgrMacClient.msi auf einem Computer, auf dem Windows ausgeführt wird. Diese Datei befindet sich nicht auf dem Configuration Manager Installationsmedium.
Führen Sie das Installationsprogramm auf dem Windows-Computer aus. Extrahieren Sie das Mac-Clientpaket Macclient.dmg in einen Ordner auf dem lokalen Datenträger. Der Standardpfad ist
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client
.Kopieren Sie die Datei Macclient.dmg in einen Ordner auf dem Mac-Computer.
Führen Sie auf dem Mac-Computer Macclient.dmg aus, um die Dateien in einen Ordner auf dem lokalen Datenträger zu extrahieren.
Stellen Sie im Ordner sicher, dass er die folgenden Dateien enthält:
Ccmsetup: Installiert den Configuration Manager-Client auf Ihren Mac-Computern mithilfe von CMClient.pkg
CMDiagnostics: Sammelt Diagnoseinformationen im Zusammenhang mit dem Configuration Manager-Client auf Ihren Mac-Computern
CMUninstall: Deinstalliert den Client von Ihren Mac-Computern
CMAppUtil: Konvertiert Apple-Anwendungspakete in ein Format, das Sie als Configuration Manager-Anwendung bereitstellen können
CMEnroll: Fordert das Clientzertifikat für einen Mac-Computer an und installiert es, damit Sie dann den Configuration Manager-Client installieren können.
Registrieren des Mac-Clients
Registrieren Einzelner Clients mit dem Assistenten für die Registrierung von Mac-Computern.
Verwenden Sie das CMEnroll-Tool, um die Registrierung für viele Clients zu automatisieren.
Registrieren des Clients mit dem Assistenten für die Registrierung von Mac-Computern
Nachdem Sie den Client installiert haben, wird der Assistent für die Computerregistrierung geöffnet. Um den Assistenten manuell zu starten, wählen Sie auf der Seite Configuration Manager Einstellung die Option Registrieren aus.
Geben Sie auf der zweiten Seite des Assistenten die folgenden Informationen an:
Benutzername: Der Benutzername kann die folgenden Formate aufweisen:
domain\name
. Beispiel:contoso\mnorth
user@domain
. Beispiel:mnorth@contoso.com
Wichtig
Wenn Sie eine E-Mail-Adresse verwenden, um das Feld Benutzername aufzufüllen, füllt Configuration Manager automatisch das Feld Servername auf. Sie verwendet den Standardnamen des Registrierungsproxypunktservers und den Domänennamen der E-Mail-Adresse. Wenn diese Namen nicht mit dem Namen des Registrierungsproxypunktservers übereinstimmen, korrigieren Sie den Servernamen während der Registrierung.
Der Benutzername und das entsprechende Kennwort müssen mit einem Active Directory-Benutzerkonto übereinstimmen, das über lese - und registrierungsberechtigungen für die Mac-Clientzertifikatvorlage verfügt.
Servername: Der Name des Registrierungsproxypunktservers.
Client- und Zertifikatautomatisierung mit CMEnroll
Verwenden Sie dieses Verfahren für die Automatisierung der Clientinstallation und das Anfordern und Registrieren von Clientzertifikaten mit dem CMEnroll-Tool. Zum Ausführen des Tools benötigen Sie ein Active Directory-Benutzerkonto.
Navigieren Sie auf dem Mac-Computer zu dem Ordner, in den Sie den Inhalt der Datei Macclient.dmg extrahiert haben.
Geben Sie den folgenden Befehl ein:
sudo ./ccmsetup
Warten Sie, bis die Meldung Installation abgeschlossen angezeigt wird. Obwohl das Installationsprogramm eine Meldung anzeigt, dass Sie jetzt neu starten müssen, nicht neu starten, und fahren Sie mit dem nächsten Schritt fort.
Geben Sie auf dem Mac-Computer im Ordner Extras den folgenden Befehl ein:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'
Nach der Installation des Clients wird der Assistent für die Registrierung von Mac-Computern geöffnet, um Ihnen bei der Registrierung des Mac-Computers zu helfen. Weitere Informationen finden Sie unter Registrieren des Clients mithilfe des Assistenten für die Registrierung von Mac-Computern.
Beispiel: Wenn der Registrierungsproxypunktserver server02.contoso.com heißt und Sie contoso\mnorth-Berechtigungen für die Mac-Clientzertifikatvorlage erteilen, geben Sie den folgenden Befehl ein:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'
Hinweis
Wenn der Benutzername eines der folgenden Zeichen enthält, schlägt die Registrierung fehl:
<>"+=,
. Verwenden Sie ein Out-of-Band-Zertifikat mit einem Benutzernamen, der diese Zeichen nicht enthält.Für eine nahtlosere Benutzererfahrung erstellen Sie ein Skript für die Installationsschritte. Dann müssen Benutzer nur noch ihren Benutzernamen und ihr Kennwort angeben.
Geben Sie das Kennwort für das Active Directory-Benutzerkonto ein. Wenn Sie diesen Befehl eingeben, werden zwei Kennwörter eingegeben. Das erste Kennwort ist für das Superbenutzerkonto, um den Befehl auszuführen. Die zweite Eingabeaufforderung gilt für das Active Directory-Benutzerkonto. Die Eingabeaufforderungen sehen identisch aus. Stellen Sie daher sicher, dass Sie sie in der richtigen Reihenfolge angeben.
Warten Sie, bis die Meldung Erfolgreich registriert angezeigt wird .
Um das registrierte Zertifikat auf Configuration Manager zu beschränken, öffnen Sie auf dem Mac-Computer ein Terminalfenster, und nehmen Sie die folgenden Änderungen vor:
Geben Sie den Befehl ein.
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access
Wählen Sie im Fenster Schlüsselbundzugriff im Abschnitt Schlüsselbund die Option System aus. Wählen Sie dann im Abschnitt Kategorie die Option Schlüssel aus.
Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Suchen Sie das Zertifikat mit einem privaten Schlüssel, den Sie installiert haben, und öffnen Sie den Schlüssel.
Wählen Sie auf der Registerkarte Access Control die Option Bestätigen aus, bevor Sie den Zugriff zulassen.
Navigieren Sie zu /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient und dann Hinzufügen aus.
Wählen Sie Änderungen speichern aus, und schließen Sie das Dialogfeld Schlüsselbundzugriff .
Starten Sie den Mac-Computer neu.
Um zu überprüfen, ob die Clientinstallation erfolgreich war, öffnen Sie das element Configuration Manager in den Systemeinstellungen auf dem Mac-Computer. Aktualisieren Sie auch die Sammlung Alle Systeme, und zeigen Sie sie in der Configuration Manager-Konsole an. Vergewissern Sie sich, dass der Mac-Computer in dieser Sammlung als verwalteter Client angezeigt wird.
Tipp
Verwenden Sie das cmDiagnostics-Tool , das im Mac-Clientpaket enthalten ist, um die Problembehandlung für den Mac-Client zu unterstützen. Verwenden Sie es, um die folgenden Diagnoseinformationen zu sammeln:
- Eine Liste der ausgeführten Prozesse
- Die MacOS X-Betriebssystemversion
- macOS X-Absturzberichte im Zusammenhang mit dem Configuration Manager-Client, einschließlich CCM*.crash und System Preference.crash.
- Die Stücklistendatei (Bill of Materials, BOM) und die Eigenschaftenlistendatei (PLIST), die von der Configuration Manager Clientinstallation erstellt wurden.
- Der Inhalt des Ordners /Library/Application Support/Microsoft/CCM/Logs.
Die von CmDiagnostics gesammelten Informationen werden einer ZIP-Datei hinzugefügt, die auf dem Desktop des Computers gespeichert wird und den Namen trägt. cmdiag-<hostname>-<datetime>.zip
Verwalten von Zertifikaten außerhalb Configuration Manager
Sie können eine Zertifikatanforderung und installationsmethode unabhängig von Configuration Manager verwenden. Verwenden Sie den gleichen allgemeinen Prozess, schließen Sie jedoch die folgenden zusätzlichen Schritte ein:
Wenn Sie den Configuration Manager-Client installieren, verwenden Sie die Befehlszeilenoptionen MP und SubjectName. Geben Sie den folgenden Befehl ein:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>
. Beim Namen des Zertifikatantragstellers wird die Groß-/Kleinschreibung beachtet. Geben Sie ihn also genau so ein, wie er in den Zertifikatdetails angezeigt wird.Beispiel: Der Internet-FQDN des Verwaltungspunkts ist server03.contoso.com. Das Mac-Clientzertifikat weist den FQDN von mac12.contoso.com als allgemeinen Namen im Zertifikatantragsteller auf. Verwenden Sie den folgenden Befehl:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com
Wenn Sie über mehr als ein Zertifikat verfügen, das denselben Antragstellerwert enthält, geben Sie die Seriennummer des Zertifikats an, das für den Configuration Manager-Client verwendet werden soll. Verwenden Sie den folgenden Befehl:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"
.Beispiel:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
Erneuern des Mac-Clientzertifikats
Mit diesem Verfahren wird die SMSID entfernt. Der Configuration Manager-Client für Mac erfordert eine neue ID, um ein neues oder erneuertes Zertifikat zu verwenden.
Wichtig
Nachdem Sie die Client-SMSID ersetzt haben, löschen Sie beim Löschen der alten Ressource in der Configuration Manager-Konsole auch den gespeicherten Clientverlauf. Beispiel: Hardwareinventurverlauf für diesen Client.
Erstellen sie eine Gerätesammlung für die Mac-Computer, die die Computerzertifikate erneuern müssen, und füllen Sie sie auf.
Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.
Geben Sie auf der Seite Allgemein des Assistenten die folgenden Informationen an:
Name: Entfernen von SMSID für Mac
Typ: Mac OS X
Wählen Sie auf der Seite Unterstützte Plattformen alle macOS X-Versionen aus.
Wählen Sie auf der Seite Einstellungen die Option Neu aus. Geben Sie im Fenster Einstellung erstellen die folgenden Informationen an:
Name: Entfernen von SMSID für Mac
Einstellungstyp: Skript
Datentyp: String
Wählen Sie im Fenster Einstellung erstellen für Ermittlungsskriptdie Option Skript hinzufügen aus. Diese Aktion gibt ein Skript zum Ermitteln von Mac-Computern an, die mit einer SMSID konfiguriert sind.
Geben Sie im Fenster Ermittlungsskript bearbeiten das folgende Shellskript ein:
defaults read com.microsoft.ccmclient SMSID
Klicken Sie auf OK , um das Fenster Ermittlungsskript bearbeiten zu schließen.
Wählen Sie im Fenster Einstellung erstellen für Wartungsskript (optional)die Option Skript hinzufügen aus. Diese Aktion gibt ein Skript zum Entfernen der SMSID an, wenn sie auf Mac-Computern gefunden wird.
Geben Sie im Fenster Wartungsskript erstellen das folgende Shellskript ein:
defaults delete com.microsoft.ccmclient SMSID
Klicken Sie auf OK , um das Fenster Korrekturskript erstellen zu schließen.
Wählen Sie auf der Seite Kompatibilitätsregelndie Option Neu aus. Geben Sie dann im Fenster Regel erstellen die folgenden Informationen an:
Name: Entfernen von SMSID für Mac
Ausgewählte Einstellung: Wählen Sie Durchsuchen und dann das zuvor angegebene Ermittlungsskript aus.
Im Feld mit den folgenden Werten : Das Domänen-/Standardpaar von (com.microsoft.ccmclient, SMSID) ist nicht vorhanden.
Aktivieren Sie die Option Ausführen des angegebenen Wartungsskripts, wenn diese Einstellung nicht konform ist.
Schließen Sie den Assistenten ab.
Erstellen Sie eine Konfigurationsbaseline, die dieses Konfigurationselement enthält. Stellen Sie die Baseline für die Zielsammlung bereit.
Weitere Informationen finden Sie unter Erstellen von Konfigurationsbaselines.
Nachdem Sie ein neues Zertifikat auf Mac-Computern installiert haben, auf denen die SMSID entfernt wurde, führen Sie den folgenden Befehl aus, um den Client für die Verwendung des neuen Zertifikats zu konfigurieren:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>