Unterhalt von Mac-Clients

Gilt für: Configuration Manager (Current Branch)

Wichtig

Ab Januar 2022 ist dieses Feature von Configuration Manager veraltet. Weitere Informationen finden Sie unter Mac-Computer.

Hier finden Sie Verfahren zum Deinstallieren von Mac-Clients und zum Verlängern ihrer Zertifikate.

Deinstallieren des Mac-Clients

1. Öffnen Sie auf einem Mac-Computer ein Terminalfenster, und navigieren Sie zu dem Ordner, der macclient.dmg enthält.

2. Navigieren Sie zum Ordner Tools, und geben Sie die folgende Befehlszeile ein:

   ./CMUninstall -c

   Hinweis

   Die -c-Eigenschaft weist die Clientdeinstallation an, auch Clientabsturzprotokolle und Protokolldateien zu entfernen. Dies wird empfohlen, um Verwirrung zu vermeiden, wenn Sie den Client später erneut installieren.

3. Entfernen Sie bei Bedarf manuell das Clientauthentifizierungszertifikat, das Configuration Manager verwendet hat, oder widerrufen Sie es. CMUnistall entfernt oder widerruft dieses Zertifikat nicht.

Erneuern des Mac-Clientzertifikats

Verwenden Sie eine der folgenden Methoden, um das Mac-Clientzertifikat zu erneuern:

• Assistent zum Erneuern von Zertifikaten

• Manuelles Erneuern des Zertifikats

Assistent zum Erneuern von Zertifikaten

1. Konfigurieren Sie die folgenden Werte als Zeichenfolgen in der Datei ccmclient.plist, die steuert, wann der Assistent zum Erneuern von Zertifikaten geöffnet wird:

   • RenewalPeriod1 : Gibt in Sekunden den ersten Verlängerungszeitraum an, in dem Benutzer das Zertifikat erneuern können. Der Standardwert ist 3.888.000 Sekunden (45 Tage). Konfigurieren Sie keinen Wert kleiner als 300, da der Zeitraum auf den Standardwert rückgängig machen wird.

   • RenewalPeriod2 : Gibt in Sekunden den zweiten Verlängerungszeitraum an, in dem Benutzer das Zertifikat erneuern können. Der Standardwert ist 259.200 Sekunden (3 Tage). Wenn dieser Wert konfiguriert ist und größer oder gleich 300 Sekunden und kleiner oder gleich RenewalPeriod1 ist, wird der Wert verwendet. Wenn RenewalPeriod1 größer als 3 Tage ist, wird ein Wert von 3 Tagen für RenewalPeriod2 verwendet. Wenn RenewalPeriod1 weniger als 3 Tage ist, wird RenewalPeriod2 auf den gleichen Wert wie RenewalPeriod1 festgelegt.

   • RenewalReminderInterval1 : Gibt in Sekunden die Häufigkeit an, mit der der Assistent zum Erneuern von Zertifikaten benutzern während des ersten Verlängerungszeitraums angezeigt wird. Der Standardwert ist 86.400 Sekunden (1 Tag). Wenn RenewalReminderInterval1 größer als 300 Sekunden und kleiner als der für RenewalPeriod1 konfigurierte Wert ist, wird der konfigurierte Wert verwendet. Andernfalls wird der Standardwert von 1 Tag verwendet.

   • RenewalReminderInterval2 : Gibt in Sekunden die Häufigkeit an, mit der der Assistent zum Erneuern von Zertifikaten benutzern während des zweiten Verlängerungszeitraums angezeigt wird. Der Standardwert ist 28.800 Sekunden (8 Stunden). Wenn RenewalReminderInterval2 größer als 300 Sekunden, kleiner oder gleich RenewalReminderInterval1 und kleiner oder gleich RenewalPeriod2 ist, wird der konfigurierte Wert verwendet. Andernfalls wird ein Wert von 8 Stunden verwendet.

     Beispiel: Wenn die Werte als Standardwerte beibehalten werden, wird der Assistent 45 Tage vor Ablauf des Zertifikats alle 24 Stunden geöffnet. Innerhalb von 3 Tagen nach Ablauf des Zertifikats wird der Assistent alle 8 Stunden geöffnet.

     Beispiel: Verwenden Sie die folgende Befehlszeile oder ein Skript, um den ersten Verlängerungszeitraum auf 20 Tage festzulegen.

     sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

2. Wenn der Assistent zum Erneuern von Zertifikaten geöffnet wird, werden die Felder Benutzername und Servername in der Regel bereits ausgefüllt, und der Benutzer kann einfach ein Kennwort eingeben, um das Zertifikat zu erneuern.

   Hinweis

   Wenn der Assistent nicht geöffnet wird oder Sie den Assistenten versehentlich schließen, klicken Sie auf der Einstellungsseite Configuration Manager auf Verlängern, um den Assistenten zu öffnen.

Manuelles Erneuern des Zertifikats

Ein typischer Gültigkeitszeitraum für das Mac-Clientzertifikat beträgt 1 Jahr. Configuration Manager das Benutzerzertifikat, das während der Registrierung angefordert wird, nicht automatisch verlängert, daher müssen Sie das folgende Verfahren verwenden, um das Zertifikat manuell zu verlängern.

Wichtig

Wenn das Zertifikat abläuft, müssen Sie den Mac-Client deinstallieren, neu installieren und dann erneut registrieren.

Mit diesem Verfahren wird die SMSID entfernt, die zum Anfordern eines neuen Zertifikats für denselben Mac-Computer erforderlich ist. Wenn Sie die Client-SMSID entfernen und ersetzen, wird der gespeicherte Clientverlauf, z. B. der Bestand, gelöscht, nachdem Sie den Client aus der Configuration Manager-Konsole gelöscht haben.

1. Erstellen sie eine Gerätesammlung für die Mac-Computer, die die Benutzerzertifikate erneuern müssen, und füllen Sie sie auf.

   Warnung

   Configuration Manager überwacht nicht die Gültigkeitsdauer des Zertifikats, das für Mac-Computer registriert wird. Sie müssen dies unabhängig von Configuration Manager überwachen, um die Mac-Computer zu identifizieren, die dieser Sammlung hinzugefügt werden sollen.

2. Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.

3. Geben Sie auf der Seite Allgemein die folgenden Informationen an:

   • Name:Entfernen sie SMSID für Mac

   • Typ:Mac OS X

4. Stellen Sie auf der Seite Unterstützte Plattformen sicher, dass alle macOS X-Versionen ausgewählt sind.

5. Wählen Sie auf der Seite Einstellungen die Option Neu aus, und geben Sie dann im Dialogfeld Einstellung erstellen die folgenden Informationen an:

   • Name:Entfernen sie SMSID für Mac

   • Einstellungstyp:Skript

   • Datentyp:Zeichenfolge

6. Wählen Sie im Dialogfeld Einstellung erstellen für Ermittlungsskript die Option Skript hinzufügen aus, um ein Skript anzugeben, das Mac-Computer mit konfigurierter SMSID ermittelt.

7. Geben Sie im Dialogfeld Ermittlungsskript bearbeiten das folgende Shellskript ein:

   defaults read com.microsoft.ccmclient SMSID  
   

8. Klicken Sie auf OK , um das Dialogfeld Ermittlungsskript bearbeiten zu schließen.

9. Wählen Sie im Dialogfeld Einstellung erstellen für Wartungsskript (optional)die Option Skript hinzufügen aus, um ein Skript anzugeben, das die SMSID entfernt, wenn sie auf Mac-Computern gefunden wird.

10. Geben Sie im Dialogfeld Wartungsskript erstellen das folgende Shellskript ein:

    defaults delete com.microsoft.ccmclient SMSID  
    

11. Klicken Sie auf OK , um das Dialogfeld Wartungsskript erstellen zu schließen.

12. Klicken Sie auf der Seite Kompatibilitätsregeln des Assistenten auf Neu, und geben Sie dann im Dialogfeld Regel erstellen die folgenden Informationen an:

    • Name:Entfernen sie SMSID für Mac

    • Ausgewählte Einstellung: Wählen Sie Durchsuchen und dann das zuvor angegebene Ermittlungsskript aus.

    • Geben Sie im folgenden Wertefelddas Domänen-/Standardpaar von (com.microsoft.ccmclient, SMSID) ist nicht vorhanden ein.

    • Aktivieren Sie die Option Angegebenes Wartungsskript ausführen, wenn diese Einstellung nicht konform ist.

13. Schließen Sie den Assistenten zum Erstellen von Konfigurationselementen ab.

14. Erstellen Sie eine Konfigurationsbaseline, die das soeben erstellte Konfigurationselement enthält, und stellen Sie es in der Gerätesammlung bereit, die Sie in Schritt 1 erstellt haben.

    Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationsbaselines finden Sie unter Erstellen von Konfigurationsbaselines und Bereitstellen von Konfigurationsbaselines.

15. Führen Sie auf Mac-Computern, auf denen die SMSID entfernt wurde, den folgenden Befehl aus, um ein neues Zertifikat zu installieren:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für das Superbenutzerkonto zum Ausführen des Befehls und dann das Kennwort für das Active Directory-Benutzerkonto an.

16. Um das registrierte Zertifikat auf Configuration Manager zu beschränken, öffnen Sie auf dem Mac-Computer ein Terminalfenster, und nehmen Sie die folgenden Änderungen vor:

    a. Geben Sie den Befehl ein. sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. Wählen Sie im Dialogfeld Schlüsselbundzugriff im Abschnitt Schlüsselbund die Option System und dann im Abschnitt Kategorie die Option Schlüssel aus.

    c. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem privaten Schlüssel identifiziert haben, den Sie gerade installiert haben, doppelklicken Sie auf den Schlüssel.

    d. Wählen Sie auf der Registerkarte Access Control die Option Bestätigen aus, bevor Sie den Zugriff zulassen.

    e. Navigieren Sie zu /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient und dann Hinzufügen aus.

    f. Wählen Sie Änderungen speichern aus, und schließen Sie das Dialogfeld Schlüsselbundzugriff .

17. Starten Sie den Mac-Computer neu.