Installieren von Clients auf Macintosh-Computern in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Hinweis
Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP1 oder höher und System Center 2012 R2 Configuration Manager oder höher.

Die Clientinstallation und -verwaltung für Macintosh-Computer in System Center 2012 Configuration Manager erfordert PKI-Zertifikate (Public Key-Infrastruktur).Configuration Manager kann ein Benutzerclientzertifikat mithilfe der Microsoft-Zertifikatdienste mit einer Unternehmenszertifizierungsstelle (CA) sowie den Configuration Manager-Standortsystemrollen für Anmeldungspunkt und Anmeldungsproxypunkt anfordern und installieren. Sie können auch unabhängig von Configuration Manager ein Computerzertifikat anfordern und installieren, sofern das Zertifikat die Anforderungen für Configuration Manager erfüllt. Durch PKI-Zertifikate wird die Kommunikation zwischen den Macintosh-Computern und dem Configuration Manager-Standort mithilfe gegenseitiger Authentifizierung und verschlüsselter Datenübertragungen gesichert.

Wichtig

Im Gegensatz zu Configuration Manager-Clients unter Windows wird die Zertifikatsperrüberprüfung auf Configuration Manager-Mac-Clients immer durchgeführt. Sie können diese Funktion zur Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) also dort nicht deaktivieren. Wenn Mac-Clients den Zertifikatsperrstatus für ein Serverzertifikat nicht bestätigen können, weil die Zertifikatsperrliste nicht gefunden werden kann, ist keine erfolgreiche Verbindung mit Configuration Manager-Standortsystemen (beispielsweise mit Verwaltungspunkten und Verteilungspunkten) möglich. Überprüfen Sie den Entwurf der Zertifikatsperrliste insbesondere für Mac-Clients, die sich in einer anderen Gesamtstruktur als die ausstellende Zertifizierungsstelle befinden, um sicherzustellen, dass ein Sperrlisten-Verteilungspunkt für die Verbindung mit Standortsystemservern von den Mac-Clients gefunden und eine Verbindung damit hergestellt werden kann.

Legen Sie vor dem Installieren des Configuration Manager-Clients auf einem Macintosh-Computer fest, wie das Clientzertifikat installiert werden soll:

• Verwenden Sie die Configuration Manager-Anmeldung mithilfe des Tools CMEnroll, und führen Sie die im nächsten Abschnitt dieses Themas beschriebenen Schritte aus. Die automatische Zertifikatserneuerung wird bei der Anmeldung nicht unterstützt, sodass Sie Macintosh-Computer vor dem Ablaufdatum des installierten Zertifikats erneut anmelden müssen.

• Verwenden Sie eine von Configuration Manager unabhängige Zertifikatanforderungs- und -installationsmethode. Informationen zu dieser Installationsmethode finden Sie im Abschnitt Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode in diesem Thema.

Hinweis
Weitere Informationen zur Zertifikatanforderung für Mac-Clients und zu anderen PKI-Zertifikaten, die zur Unterstützung von Macintosh-Computern erforderlich sind, finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Mac-Clients werden automatisch dem Configuration Manager-Standort zugewiesen, von dem sie verwaltet werden. Macintosh-Clients werden als reine Internetclients installiert, selbst wenn die Kommunikation auf das Intranet beschränkt ist. Diese Clientkonfiguration bedeutet, dass die Kommunikation zwischen den Clients und den Standortsystemrollen (Verwaltungspunkte und Verteilungspunkte) am zugewiesenen Standort erfolgt, wenn Sie diese Standortsystemrollen so konfigurieren, dass Clientverbindungen aus dem Internet zulässig sind. Eine Kommunikation mit Standortsystemrollen außerhalb des zugewiesenen Standorts findet auf Macintosh-Computern nicht statt.

Wichtig
Der Configuration Manager-Macintosh-Client kann nicht zum Herstellen der Verbindung mit einem Verwaltungspunkt verwendet werden, der für die Verwendung eines Datenbankreplikats konfiguriert ist. Informationen zu Datenbankreplikaten finden Sie unter Konfigurieren von Datenbankreplikaten für Verwaltungspunkte.

Verwenden Sie die folgenden Abschnitte, um Macintosh-Computer für Configuration Manager zu installieren, zu konfigurieren und zu verwalten:

• Schritte zum Installieren und Konfigurieren des Clients für Macintosh-Computer

  • Zusätzliche Verfahren zum Installieren und Konfigurieren des Clients für Macintosh-Computer

• Schritte zur Aktualisierung des Clients für Macintosh-Computer

• Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode

Schritte zum Installieren und Konfigurieren des Clients für Macintosh-Computer

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Installieren und Konfigurieren des Clients für Macintosh-Computer.

Wichtig
Stellen Sie vor der Ausführung dieser Schritte sicher, dass Ihr Mac-Computer die im Abschnitt des Themas Unterstützte Konfigurationen für den Konfigurations-Manager aufgeführten Voraussetzungen erfüllt.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq

Schritte	Details	Weitere Informationen
Schritt 1: Stellen Sie ein Webserverzertifikat für Standortsystemserver bereit.	Auf den Standortsystemen ist dieses Zertifikat möglicherweise bereits für andere Configuration Manager-Clients vorhanden. Falls das nicht der Fall sein sollte, müssen Sie auf den entsprechenden Computern, auf denen sich die folgenden Standortsystemrollen befinden, ein Webserverzertifikat bereitstellen: Verwaltungspunkt Verteilungspunkt Anmeldungspunkt Anmeldungsproxypunkt Wichtig Im Webserverzertifikat muss der Internet-FQDN, der in den Eigenschaften des Standortsystems angegeben ist, enthalten sein. Dies bedeutet nicht, dass Zugriff auf den Server über das Internet möglich sein muss, um Macintosh-Computer zu unterstützen. Wenn Sie keine internetbasierte Clientverwaltung benötigen, können Sie den Wert des Intranet-FQDN für den Internet-FQDN angeben.	Eine Beispielbereitstellung, bei der dieses Webserverzertifikat erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Webserverzertifikats für Standortsysteme, von denen IIS ausgeführt werden des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle. Wichtig Achten Sie darauf, den Wert des Internet-FQDN für das Standortsystem im Webserverzertifikat für den Verwaltungspunkt, für den Verteilungspunkt und für den Anmeldungsproxypunkt anzugeben.
Schritt 2: Stellen Sie ein Clientauthentifizierungszertifikat für Standortsystemserver bereit.	Auf den Standortsystemen ist dieses Zertifikat möglicherweise bereits für Configuration Manager-Funktionen vorhanden. Falls das nicht der Fall sein sollte, müssen Sie auf den entsprechenden Computern, auf denen sich die folgenden Standortsystemrollen befinden, ein Clientauthentifizierungszertifikat bereitstellen: Verwaltungspunkt Verteilungspunkt	Eine Beispielbereitstellung, bei der das Clientzertifikat für Verwaltungspunkte erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Windows-Computer des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle. Eine Beispielbereitstellung, bei der das Clientzertifikat für Verteilungspunkte erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Verteilungspunkte des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.
Schritt 3: Bereiten Sie die Clientzertifikatvorlage für Macintosh-Computer vor. Hinweis Sie müssen über ein Active Directory-Benutzerkonto verfügen, um das Configuration Manager-Anmeldungstool ausführen zu können.	Die Zertifikatvorlage muss über die Berechtigungen Lesen und Anmelden für das Benutzerkonto verfügen, mit dem das Zertifikat auf dem Macintosh-Computer angemeldet wird.	Informationen hierzu finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Macintosh-Computer des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.
Schritt 4: Konfigurieren Sie den Verwaltungspunkt und den Verteilungspunkt.	Konfigurieren Sie Verwaltungspunkte für die folgenden Optionen: HTTPS Clientverbindungen aus dem Internet zulassen Hinweis Dieser Konfigurationswert wird benötigt, um Macintosh-Computer zu verwalten. Dies bedeutet jedoch nicht, dass Zugriff auf Standortsystemserver über das Internet möglich sein muss. Verwendung dieses Verwaltungspunkts durch mobile Geräte und Macintosh-Computer zulassen Verteilungspunkte sind zum Installieren des Clients auf Macintosh-Computern nicht erforderlich. Sie müssen jedoch Verteilungspunkte konfigurieren, um Clientverbindungen aus dem Internet zuzulassen, wenn Sie nach der Installation des Configuration Manager-Clients auf diesen Macintosh-Computern Software bereitstellen möchten.	Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 4: Konfigurieren von Verwaltungspunkten und Verteilungspunkten für die Unterstützung von Mac-Computern.
Schritt 5: Konfigurieren Sie den Anmeldungsproxypunkt und den Anmeldungspunkt.	Sie müssen diese beiden Standortsystemrollen am gleichen Standort installieren. Eine Installation auf dem gleichen Standortsystemserver oder in der gleichen Active Directory-Gesamtstruktur ist jedoch nicht erforderlich.	Weitere Informationen zu Überlegungen und Platzierung von Standortsystemrollen finden Sie im Abschnitt Planen der Installation von Standortsystemrollen in der Hierarchie des Themas Planen der Standortsysteme in Configuration Manager. Konfigurieren Sie den Anmeldungsproxypunkt und den Anmeldungspunkt anhand des folgenden Verfahrens in diesem Thema: Schritt 5: Installieren und Konfigurieren der Standortsysteme für die Anmeldung.
Schritt 6: Optional: Installieren Sie den Reporting Services-Punkt.	Installieren Sie den Reporting Services-Punkt, wenn Sie Berichte für Macintosh-Computer ausführen möchten.	Weitere Informationen zum Installieren und Konfigurieren des Reporting Services-Punkts finden Sie unter Konfigurieren der Berichterstattung in Configuration Manager.
Schritt 7: Konfigurieren Sie die Clienteinstellungen für die Anmeldung.	Sie müssen zum Konfigurieren der Anmeldung für Macintosh-Computer die Clientstandardeinstellungen verwenden. Benutzerdefinierte Clienteinstellungen dürfen hierzu nicht verwendet werden.	Weitere Informationen zu Clienteinstellungen finden Sie unter Informationen zu Clienteinstellungen in Configuration Manager. Informationen zum Konfigurieren dieser Clienteinstellungen finden Sie im folgenden Verfahren in diesem Thema: Schritt 7: Konfigurieren der Clienteinstellungen für die Anmeldung.
Schritt 8: Laden Sie die Clientquelldateien für Mac-Clients herunter.	Laden Sie die Installationsdateien herunter, und installieren Sie sie dann auf dem Macintosh-Computer.	Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 8: Herunterladen und Installieren der Mac-Clientdateien.
Schritt 9: Installieren Sie den Client, und melden Sie dann das Clientzertifikat auf dem Macintosh-Computer an.	Wenn Sie die Configuration Manager-Anmeldung verwenden, müssen Sie zuerst den Client mithilfe der Anwendung „Ccmsetup“ installieren und dann das Clientzertifikat mithilfe des Tools CMEnroll anmelden.	Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 9: Installieren des Clients und Anmelden des Zertifikats auf dem Mac-Computer mithilfe des Tools „CMEnroll“.

Zusätzliche Verfahren zum Installieren und Konfigurieren des Clients für Macintosh-Computer

Verwenden Sie die folgenden Informationen, wenn die Schritte in der vorstehenden Tabelle zusätzliche Verfahren erfordern.

Schritt 4: Konfigurieren von Verwaltungspunkten und Verteilungspunkten für die Unterstützung von Mac-Computern

Mithilfe dieses Verfahrens werden vorhandene Verwaltungspunkte und Verteilungspunkte für die Unterstützung von Macintosh-Computern konfiguriert. Bevor Sie das Verfahren anwenden, vergewissern Sie sich, dass der Standortsystemserver, auf dem der Verwaltungspunkt und der Verteilungspunkt ausgeführt werden, mit einem Internet-FQDN konfiguriert ist. Wenn von diesen Standortsystemservern keine internetbasierte Clientverwaltung unterstützt wird, können Sie den Intranet-FQDN als Wert des Internet-FQDN angeben. Außerdem müssen sich diese Standortsystemrollen an einem primären Standort befinden.

So konfigurieren Sie Verwaltungspunkte und Verteilungspunkte für die Unterstützung von Macintosh-Computern

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, klicken Sie auf Server und Standortsystemrollen, und wählen Sie den Server aus, auf dem sich die zu konfigurierenden Standortsystemrollen befinden.

3. Führen Sie im Detailbereich einen Rechtsklick auf Verwaltungspunkt aus, und klicken Sie auf die Eigenschaften der Rolle. Konfigurieren Sie im Dialogfeld Eigenschaften des Verwaltungspunkts die folgenden Optionen, und klicken Sie dann auf OK:

   1. Wählen Sie HTTPS aus.

   2. Wählen Sie Nur Internetverbindungen zulassen oder Intranet- und Internet-Clientverbindungen zulassen aus. Für diese Optionen muss ein Internet-FQDN in den Standortsystemeigenschaften angegeben werden, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll.

   3. Aktivieren Sie das Kontrollkästchen Verwendung dieses Verwaltungspunkts durch mobile Geräte und Macintosh-Computer zulassen.

4. Führen Sie im Detailbereich einen Rechtsklick auf Verteilungspunkt aus, und klicken Sie auf die Eigenschaften der Rolle. Konfigurieren Sie im Dialogfeld Eigenschaften des Verteilungspunkts die folgenden Optionen, und klicken Sie dann auf OK:

   - Wählen Sie **HTTPS** aus.
   
   - Wählen Sie **Nur Internetverbindungen zulassen** oder **Intranet- und Internet-Clientverbindungen zulassen** aus. Für diese Optionen muss ein Internet-FQDN in den Standortsystemeigenschaften angegeben werden, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll.
   
   - Klicken Sie auf **Zertifikat importieren**, suchen Sie die exportierte Clientzertifikatdatei für den Verteilungspunkt, und geben Sie das Kennwort an.
   

5. Wiederholen Sie die Schritte 2 bis 4 dieses Verfahrens für alle Verwaltungspunkte und Verteilungspunkte an primären Standorten, die mit Macintosh-Computern verwendet werden sollen.

Schritt 5: Installieren und Konfigurieren der Standortsysteme für die Anmeldung

Mithilfe dieser Verfahren werden die Standortsystemrollen für die Unterstützung von Macintosh-Computern konfiguriert. Wählen Sie abhängig davon, ob Sie zur Unterstützung von Macintosh-Computern einen neuen Standortsystemserver installieren oder einen vorhandenen Standortsystemserver verwenden, eines der folgenden Verfahren aus:

• So installieren und konfigurieren Sie die Standortsysteme für die Anmeldung: neuer Standortsystemserver

• So installieren und konfigurieren Sie die Standortsysteme für die Anmeldung: bestehender Standortsystemserver

So installieren und konfigurieren Sie die Standortsysteme für die Anmeldung: neuer Standortsystemserver

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, und klicken Sie dann auf Server und Standortsystemrollen.

3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemserver erstellen.

4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

   Wichtig

   Stellen Sie sicher, dass Sie einen Wert für den Internet-FQDN angeben, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll. Wenn Sie nicht über einen Internet-FQDN verfügen, weil kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll, können Sie den Wert des Intranet-FQDN als Internet-FQDN angeben. Macintosh-Computer stellen immer eine Verbindung mit dem Internet-FQDN her, auch wenn sie sich im Intranet befinden.

5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Anmeldungsproxypunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

6. Überprüfen Sie auf der Seite Anmeldungsproxypunkt die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

7. Überprüfen Sie auf der Seite Einstellungen des Anmeldungspunkts die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

8. Schließen Sie den Assistenten ab.

So installieren und konfigurieren Sie die Standortsysteme für die Anmeldung: bestehender Standortsystemserver

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, wählen Sie Server und Standortsystemrollen aus, und wählen Sie dann den Server aus, der zur Unterstützung von Macintosh-Computern verwendet werden soll.

3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemrollen hinzufügen.

4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

   Wichtig

   Stellen Sie sicher, dass Sie einen Wert für den Internet-FQDN angeben, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll. Wenn Sie nicht über einen Internet-FQDN verfügen, weil kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll, können Sie den Wert des Intranet-FQDN als Internet-FQDN angeben. Macintosh-Computer stellen immer eine Verbindung mit dem Internet-FQDN her, auch wenn sie sich im Intranet befinden.

5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Anmeldungsproxypunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

6. Überprüfen Sie auf der Seite Anmeldungsproxypunkt die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

7. Überprüfen Sie auf der Seite Einstellungen des Anmeldungspunkts die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

8. Schließen Sie den Assistenten ab.

Schritt 7: Konfigurieren der Clienteinstellungen für die Anmeldung

Dieser Schritt ist in Configuration Manager zum Anfordern und Installieren des Zertifikats auf dem Macintosh-Computer erforderlich.

So konfigurieren Sie die Clientstandardeinstellungen für Configuration Manager zum Anmelden von Zertifikaten für Macintosh-Computer

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Klicken Sie im Arbeitsbereich Verwaltung auf Clienteinstellungen.

3. Klicken Sie auf Clientstandardeinstellungen.

   Wichtig
   Sie können für die Anmeldungskonfiguration keine benutzerdefinierte Clienteinstellung verwenden. Sie müssen die Clientstandardeinstellungen verwenden.

4. Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.

5. Wählen Sie den Abschnitt Anmeldung aus, und konfigurieren Sie dann die folgenden Benutzereinstellungen:

   1. Benutzern die Anmeldung mobiler Geräte und von Macintosh-Computern gestatten: Ja 

   2. Anmeldungsprofil: Klicken Sie auf Profil festlegen.

6. Klicken Sie im Dialogfeld Anmeldungsprofil für mobile Geräte auf Erstellen.

7. Geben Sie im Dialogfeld Anmeldungsprofil erstellen einen Namen für dieses Anmeldungsprofil ein, und konfigurieren Sie dann den Verwaltungsstandortcode. Wählen Sie den primären Configuration Manager SP1-Standort aus, der die Verwaltungspunkte enthält, von denen die Macintosh-Computer verwaltet werden sollen.

   Hinweis
   Wenn ein Auswählen des Standorts nicht möglich ist, achten Sie darauf, dass mindestens ein Verwaltungspunkt am Standort für die Unterstützung mobiler Geräte konfiguriert ist.

8. Klicken Sie auf Hinzufügen.

9. Wählen Sie im Dialogfeld Zertifizierungsstelle für mobile Geräte hinzufügen den Server der Zertifizierungsstelle aus, von der Zertifikate für Macintosh-Computer ausgestellt werden, und klicken Sie dann auf OK.

10. Wählen Sie im Dialogfeld Anmeldungsprofil erstellen die Zertifikatvorlage für Macintosh-Computer aus, die Sie in Schritt 3 erstellt haben, und klicken Sie dann auf OK.

11. Klicken Sie auf OK, um das Dialogfeld Anmeldungsprofil zu schließen, und klicken Sie dann erneut auf OK, um das Dialogfeld Clientstandardeinstellungen zu schließen.

    Tipp
    Wenn Sie das Clientrichtlinienintervall ändern möchten, verwenden Sie in der Clienteinstellungsgruppe Clientrichtlinie die Clienteinstellung Clientrichtlinien-Abrufintervall.

Alle Benutzer werden beim nächsten Clientrichtliniendownload mit diesen Einstellungen konfiguriert. Informationen zum Initiieren des Abrufens von Richtlinien für einen einzelnen Client finden Sie im Abschnitt Initiieren des Richtlinienabrufs für einen Configuration Manager-Client des Themas Verwalten von Clients in Configuration Manager.

Zusätzlich zu den Clienteinstellungen für die Anmeldung müssen Sie unbedingt auch die folgenden Configuration Manager-Clientgeräteeinstellungen konfigurieren:

• Hardwareinventur: Aktivieren und konfigurieren Sie diese Clienteinstellung, wenn Sie Hardwareinventurdaten von Macintosh- und Windows-Clientcomputern sammeln möchten. Weitere Informationen finden Sie unter Konfigurieren der Hardwareinventur in Configuration Manager.

• Kompatibilitätseinstellungen: Aktivieren und konfigurieren Sie diese Clienteinstellung, wenn Sie Einstellungen von Macintosh- und Windows-Clientcomputern auswerten und wiederherstellen möchten. Weitere Informationen finden Sie unter Konfigurieren von Kompatibilitätseinstellungen in Configuration Manager.

Hinweis
Weitere Informationen zu Configuration Manager-Clienteinstellungen finden Sie unter Konfigurieren von Clienteinstellungen in Configuration Manager.

Schritt 8: Herunterladen und Installieren der Mac-Clientdateien

Bevor Sie den Configuration Manager-Client auf Macintosh-Computern installieren und verwalten können, müssen Sie die folgenden Programme herunterladen und installieren:

• Ccmsetup: Verwenden Sie diese Anwendung, um den Configuration Manager-Client auf den Macintosh-Computern in Ihrer Organisation zu installieren.

• CMDiagnostics: Verwenden Sie dieses Tool, um Diagnoseinformationen zu dem auf den Macintosh-Computern in Ihrer Organisation installierten Configuration Manager-Client zu sammeln.

• CMUninstall: Verwenden Sie dieses Tool, um den Configuration Manager-Client auf den Macintosh-Computern in Ihrer Organisation zu deinstallieren.

• CMAppUtil: Verwenden Sie dieses Tool, um Apple-Anwendungspakete in ein Format zu konvertieren, das als Configuration Manager-Anwendung bereitgestellt werden kann.

• CMEnroll: Verwenden Sie dieses Tool, um das Clientzertifikat für einen Macintosh-Computer anzufordern und zu installieren, damit Sie den Configuration Manager-Client installieren können.

Wichtig
Wenn Sie einen neuen Client für Mac-Computer installieren, müssen Sie möglicherweise auch Configuration Manager-Updates installieren, um die neuen Clientinformationen in der Configuration Manager-Konsole darzustellen. Neueste Informationen finden Sie im Abschnitt des Themas Unterstützte Konfigurationen für den Konfigurations-Manager.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq

So können Sie die Mac OS X-Clientdateien herunterladen und installieren

1. Laden Sie das Mac OS X-Clientdateipaket, ConfigmgrMacClient.msi, herunter, und speichern Sie es auf einem Computer mit Windows.

   Diese Datei wird nicht auf den Configuration Manager-Installationsmedien bereitgestellt. Sie können diese Datei im Microsoft Download Center für Configuration Manager SP1 bzw. im Microsoft Download Center für System Center 2012 R2 Configuration Manager herunterladen.

2. Führen Sie auf dem Windows-Computer die soeben heruntergeladene Datei ConfigmgrMacClient.msi aus, um das Mac-Clientpaket „Macclient.dmg“ in einem Ordner auf der lokalen Festplatte (standardmäßig C:\Programme (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\) zu extrahieren.

3. Kopieren Sie die Datei Macclient.dmg in einen Ordner auf dem Macintosh-Computer.

4. Führen Sie auf dem Macintosh-Computer die soeben heruntergeladene Datei Macclient.dmg aus, um die Dateien in einem Ordner auf der lokalen Festplatte zu extrahieren.

5. Überprüfen Sie im Ordner, ob die Dateien Ccmsetup und CMClient.pkg extrahiert wurden und ein Ordner mit dem Namen Tools erstellt wurde, in dem die Tools CMDiagnostics, CMUninstall, CMAppUtil und CMEnroll enthalten sind.

Schritt 9: Installieren des Clients und Anmelden des Zertifikats auf dem Mac-Computer mithilfe des Tools „CMEnroll“

Mithilfe dieses Verfahrens wird der Client installiert. Anschließend wird das Tool CMEnroll ausgeführt, um das Clientzertifikat für einen Macintosh-Computer anzufordern und zu installieren, sodass Sie diesen Computer mithilfe von Configuration Manager verwalten können.

Für System Center 2012 R2 Configuration Manager und höher: Sie können den Client mit dem Assistenten für die Macintosh-Computeranmeldung anmelden, ohne das Tool „CMEnroll“ zu verwenden. Weitere Informationen finden Sie im folgenden Verfahren.

So installieren Sie den Client und melden das Zertifikat mithilfe des Tools „CMEnroll“ an

1. Navigieren Sie auf dem Macintosh-Computer zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei Macclient.dmg extrahiert haben.

2. Geben Sie die folgende Befehlszeile ein: sudo ./ccmsetup

3. Warten Sie, bis die Meldung Installation abgeschlossen angezeigt wird. Vom Installationsprogramm wird eine Meldung angezeigt, dass Sie den Computer jetzt neu starten müssen. Führen Sie den Neustart jedoch nicht aus, sondern fahren Sie mit dem nächsten Schritt fort.

4. Geben Sie im Ordner „Extras“ auf dem Macintosh-Computer Folgendes ein: sudo ./CMEnroll -s <Anmeldung_Proxyservername> -ignorecertchainvalidation -u <'Benutzername'>

   Hinweis

   In System Center 2012 R2 Configuration Manager wird nach der Clientinstallation der Assistent für die Macintosh-Computeranmeldung geöffnet, um Ihnen beim Anmelden des Macintosh-Computers zu helfen. Informationen zum Anmelden des Clients mit dieser Methode finden Sie unter So melden Sie den Client mit dem Assistenten für die Macintosh-Computeranmeldung an (nur System Center 2012 R2 Configuration Manager) in diesem Thema.

   Sie werden dann aufgefordert, das Kennwort für das Active Directory-Benutzerkonto einzugeben.

   Wichtig
   Wenn Sie diesen Befehl eingeben, müssen Sie tatsächlich zwei Kennwörter eingeben: Zuerst müssen Sie das Kennwort für das Administratorkonto eingeben, um den Befehl auszuführen. Die zweite Eingabeaufforderung bezieht sich auf das Active Directory-Benutzerkonto. Da beide Eingabeaufforderungen identisch aussehen, achten Sie darauf, dass Sie die richtige Reihenfolge einhalten.

   Der Benutzername kann die folgenden Formate aufweisen:

   - 'Domäne\\Name'. Beispiel: 'contoso\\mrankenburg'
   
   - 'Benutzer@Domäne'. Beispiel: 'mrankenburg@contoso.com'
   

   Der Benutzername und das zugehörige Kennwort müssen mit den entsprechenden Angaben eines Active Directory-Benutzerkontos übereinstimmen, für das in der Mac-Clientzertifikatvorlage die Berechtigungen Lesen und Anmelden zugewiesen wurden.

   Beispiel: Wenn der Anmeldungsproxypunkt-Servername server02.contoso.com lautet und dem Benutzernamen contoso\mnorth Berechtigungen für die Mac-Clientzertifikatvorlage erteilt wurden, geben Sie Folgendes ein: sudo ./CMEnroll -s server02.contoso.com –ignorecertchainvalidation -u 'contoso\mrankenburg'

   Wichtig
   Wenn der Benutzername eins der Zeichen <> "+=, enthält, tritt ein Fehler bei der Anmeldung auf. Um dieses Problem zu beheben, rufen Sie ein Out-of-Band-Zertifikat mit einem Benutzernamen ab, der diese Zeichen nicht enthält.

   Hinweis
   Zur Verbesserung der Benutzerfreundlichkeit können Sie ein Skript für die Installationsschritte und -befehle erstellen, sodass die Benutzer nur ihren Benutzernamen und ihr Kennwort angeben müssen.

5. Warten Sie, bis die Meldung angezeigt wird, dass die Anmeldung erfolgreich war.

6. Nur für Configuration Manager SP1: Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um das angemeldete Zertifikat auf Configuration Manager zu beschränken:

   1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

   2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

   3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

   4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

   5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

   6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

7. Starten Sie den Macintosh-Computer neu.

Überprüfen Sie, ob die Clientinstallation erfolgreich ausgeführt wurde. Öffnen Sie hierzu auf dem Macintosh-Computer in den Systemeinstellungen das Element Configuration Manager. Sie können auch die Sammlung Alle Systeme aktualisieren und anzeigen, um sicherzustellen, dass der Macintosh-Computer jetzt in der Sammlung als verwalteter Client angezeigt wird.

Tipp

Sie können Probleme mit dem Mac-Client mithilfe des Programms CMDiagnostics beheben, das im Mac OS X-Clientpaket enthalten ist. Damit können die folgenden Diagnoseinformationen gesammelt werden: Eine Liste der ausgeführten Prozesse Die Version des Mac OS X-Betriebssystems Mac OS X-Absturzberichte, die sich auf den Configuration Manager-Client beziehen, einschließlich CCM*.crash und System Preference.crash. Die BOM-Datei (Bill of Materials) und die Eigenschaftenlistendatei (PLIST-Datei), die im Rahmen der Configuration Manager-Clientinstallation erstellt wurden Der Inhalt des Ordners /Library/Application Support/Microsoft/CCM/Logs Die von CmDiagnostics gesammelten Informationen werden einer ZIP-Datei hinzugefügt, die auf dem Desktop des Computers gespeichert und „cmdiag-<Hostname>-<Datum und Uhrzeit>.zip“ benannt wird.

So melden Sie den Client mit dem Assistenten für die Macintosh-Computeranmeldung an (nur System Center 2012 R2 Configuration Manager)

1. Nach der Installation des Clients wird der Assistent für die Computeranmeldung wird geöffnet. Klicken Sie auf Weiter, um die nächste Seite zu öffnen.

   Hinweis
   Wird der Assistent nicht geöffnet, oder haben Sie ihn versehentlich geschlossen, dann klicken Sie auf der Einstellungsseite von Configuration Manager auf Anmelden, um den Assistenten zu öffnen.

2. Geben Sie auf der nächsten Seite des Assistenten die folgenden Informationen an:

   - **Benutzername**: Der Benutzername kann die folgenden Formate aufweisen:
   
       - 'Domäne\\Name'. Beispiel: 'contoso\\mrankenburg'
   
       - 'Benutzer@Domäne'. Beispiel: 'mrankenburg@contoso.com'
   
         <div class="alert">
   
         <table>
         <colgroup>
         <col style="width: 100%" />
         </colgroup>
         <thead>
         <tr class="header">
         <th><img src="images/Dn249696.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Wichtig</th>
         </tr>
         </thead>
         <tbody>
         <tr class="odd">
         <td><p>Wenn Sie in das Feld <strong>Benutzername</strong> eine E-Mail-Adresse eingeben, wird von Configuration Manager automatisch der Domänenname der E-Mail-Adresse und der Standardname des Anmeldungsproxypunkt-Servers für das Feld <strong>Servername</strong> verwendet. Wenn der Domänenname und der Servername nicht mit dem Namen des Anmeldungsproxypunkt-Servers übereinstimmen, müssen Sie die Benutzer über den richtigen Namen informieren, damit sie diesen bei der Anmeldung ihrer Macintosh-Computer eingeben können.</p></td>
         </tr>
         </tbody>
         </table>
   
         </div>
   
     Der Benutzername und das zugehörige Kennwort müssen mit den entsprechenden Angaben eines Active Directory-Benutzerkontos übereinstimmen, für das in der Mac-Clientzertifikatvorlage die Berechtigungen Lesen und Anmelden zugewiesen wurden.
   
   - **Kennwort**: Geben Sie ein passendes Kennwort für den angegebenen Benutzernamen ein.
   
   - **Servername**: Geben Sie den Namen des Anmeldungsproxypunkt-Servers ein.
   

3. Klicken Sie auf Weiter, um den Vorgang fortzusetzen, und schließen Sie dann den Assistenten ab.

Deinstallieren des Mac-Clients

Zum Deinstallieren des Macintosh-Clients müssen Sie das Skript CMUninstall verwenden, das Sie zusammen mit den Dateien des Macintosh-Clients aus dem Internet heruntergeladen haben. Mithilfe des folgenden Verfahrens können Sie den Configuration Manager-Client von Macintosh-Computern deinstallieren.

So deinstallieren Sie den Macintosh-Client

1. Öffnen Sie auf einem Macintosh-Computer ein Terminal-Fenster, und navigieren Sie zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei macclient.dmg extrahiert haben.

2. Navigieren Sie zum Ordner Tools, und geben Sie die folgende Befehlszeile ein:

   ./CMUninstall -c

   Hinweis
   Durch die Eigenschaft –c werden bei der Deinstallation des Clients auch die Absturzprotokolle und die Protokolldateien des Clients entfernt. Ihre Angabe ist optional, stellt aber eine bewährte Methode dar, um Verwirrungen bei einer späteren erneuten Installation zu vermeiden.

3. Entfernen Sie bei Bedarf manuell das Clientauthentifizierungszertifikat, das von Configuration Manager verwendet wurde, oder widerrufen Sie es. Von „CMUninstall“ wird dieses Zertifikat nicht entfernt oder widerrufen.

Erneuern des Zertifikats für den Macintosh-Client

Verwenden Sie eines der folgenden Verfahren, um das Zertifikat für den Macintosh-Client zu erneuern:

• Erneuern des Zertifikats für den Macintosh-Client mithilfe des Assistenten zum Erneuern von Zertifikaten (nur System Center 2012 R2 Configuration Manager)

• Manuelles Erneuern des Zertifikats für den Macintosh-Client

Erneuern des Zertifikats für den Macintosh-Client mithilfe des Assistenten zum Erneuern von Zertifikaten (nur System Center 2012 R2 Configuration Manager)

Gehen Sie wie folgt vor, um den Assistenten zum Erneuern von Zertifikaten in System Center 2012 R2 Configuration Manager zu konfigurieren und zu verwenden.

So erneuern Sie das Zertifikat für den Macintosh-Client mithilfe des Assistenten zum Erneuern von Zertifikaten

1. Konfigurieren Sie die folgenden Werte in der Datei „ccmclient.plist“, mit denen gesteuert wird, wann der Assistent zum Erneuern von Zertifikaten geöffnet wird:

   Wichtig
   Sie müssen diese Werte als Zeichenfolgen konfigurieren. Wenn Sie diese Werte mit der Eigenschaft –int als ganzzahlige Datentypen konfigurieren, werden sie nicht gelesen.

   - **RenewalPeriod1**: Hiermit wird der erste Erneuerungszeitraum (in Sekunden) angegeben, in dem Benutzer das Zertifikat erneuern können. Der Standardwert beträgt 3.888.000 Sekunden (45 Tage).
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Wenn <strong>RenewalPeriod1</strong> konfiguriert wird und der Wert größer oder gleich 300 Sekunden ist, wird der konfigurierte Wert verwendet.  Wenn der konfigurierte Wert größer als 0 und kleiner als 300 Sekunden ist, wird der Standardwert von 45 Tagen verwendet.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **RenewalPeriod2**: Hiermit wird der zweite Erneuerungszeitraum (in Sekunden) angegeben, in dem Benutzer das Zertifikat erneuern können. Der Standardwert beträgt 259.200 Sekunden (3 Tage).
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Wenn <strong>RenewalPeriod2</strong> konfiguriert wird und der Wert größer oder gleich 300 Sekunden, aber kleiner oder gleich <strong>RenewalPeriod1</strong> ist, wird der konfigurierte Wert verwendet. Wenn <strong>RenewalPeriod1</strong> größer als 3 Tage ist, wird ein Wert von 3 Tagen für <strong>RenewalPeriod2</strong> verwendet.  Wenn <strong>RenewalPeriod1</strong> kleiner als 3 Tage ist, dann wird <strong>RenewalPeriod2</strong> auf denselben Wert wie <strong>RenewalPeriod1</strong> festgelegt.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **RenewalReminderInterval1**: Gibt die Häufigkeit (in Sekunden) an, mit der der Assistent zum Erneuern von Zertifikaten Benutzern während des ersten Erneuerungszeitraums angezeigt wird. Der Standardwert beträgt 86.400 Sekunden (1 Tag).
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Wenn <strong>RenewalReminderInterval1</strong> größer als 300 Sekunden, aber kleiner als der für <strong>RenewalPeriod1</strong> konfigurierte Wert ist, wird der konfigurierte Wert verwendet. Andernfalls wird der Standardwert 1 Tag verwendet.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **RenewalReminderInterval2**: Gibt die Häufigkeit (in Sekunden) an, mit der der Assistent zum Erneuern von Zertifikaten Benutzern während des zweiten Erneuerungszeitraums angezeigt wird. Der Standardwert beträgt 28.800 Sekunden (8 Stunden).
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Wenn <strong>RenewalReminderInterval2</strong> größer als 300 Sekunden, aber kleiner oder gleich <strong>RenewalReminderInterval1</strong> und kleiner oder gleich <strong>RenewalPeriod2</strong> ist, wird der konfigurierte Wert verwendet. Andernfalls wird ein Wert von 8 Stunden verwendet.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   

   Beispiel: Werden die Standardwerte nicht geändert, dann wird der Assistent 45 Tage vor Ablauf des Zertifikats alle 24 Stunden geöffnet.  In den letzten 3 Tagen vor Zertifikatsablauf wird der Assistent alle 8 Stunden geöffnet.

   Beispiel: Legen Sie mit der folgenden Befehlszeile oder einem Skript den ersten Erneuerungszeitraum auf 20 Tage fest.

   sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

2. Wenn der Assistent zum Erneuern von Zertifikaten geöffnet wird, sind die Felder Benutzername und Servername normalerweise bereits ausgefüllt, und der Benutzer muss lediglich ein Kennwort eingeben, um das Zertifikat zu erneuern.

   Hinweis
   Wird der Assistent nicht geöffnet, oder haben Sie ihn versehentlich geschlossen, dann klicken Sie auf der Einstellungsseite von Configuration Manager auf Erneuern, um den Assistenten zu öffnen.

Manuelles Erneuern des Zertifikats für den Macintosh-Client

Der typische Gültigkeitszeitraum für das Macintosh-Clientzertifikat beträgt 1 Jahr. Das während der Anmeldung angeforderte Benutzerzertifikat wird von Configuration Manager nicht automatisch erneuert, weswegen Sie wie folgt vorgehen müssen, um das Zertifikat zu erneuern.

Wichtig
Wenn das Zertifikat abläuft, müssen Sie den Macintosh-Client deinstallieren, neu installieren und dann erneut anmelden.

Durch dieses Verfahren wird die SMS-ID entfernt, die zur Anforderung eines neuen Zertifikats für denselben Macintosh-Computer erforderlich ist. Nach der Anforderung des neuen Zertifikats wird es automatisch von Configuration Manager verwendet.

Wichtig
Wenn Sie die Client-SMS-ID entfernen und ersetzen, wird der gesamte gespeicherte Clientverlauf, wie beispielsweise die Inventur, nach dem Löschen des Clients über die Configuration Manager-Konsole gelöscht.

So erneuern Sie das Macintosh-Clientzertifikat manuell

1. Erstellen Sie für die Macintosh-Computer, deren Benutzerzertifikate erneuert werden müssen, eine Gerätesammlung, und fügen Sie die Macintosh-Computer dieser Sammlung anschließend hinzu.

   Warnung
   Der Gültigkeitszeitraum des für Macintosh-Computer angemeldeten Zertifikats wird von Configuration Manager nicht überwacht. Dies müssen Sie unabhängig von Configuration Manager übernehmen, um die Macintosh-Computer zu identifizieren, die dieser Sammlung hinzugefügt werden müssen.

2. Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.

3. Geben Sie auf der Seite Allgemein des Assistenten die folgenden Informationen an:

   - **Name:** **SMS-ID für Mac entfernen**
   
   - **Type:** **Mac OS X**
   

4. Vergewissern Sie sich auf der Seite Unterstützte Plattformen des Assistenten, dass alle Versionen von Mac OS X ausgewählt sind.

5. Klicken Sie auf der Seite Einstellungen des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Einstellung erstellen die folgenden Informationen an:

   - **Name:** **SMS-ID für Mac entfernen**
   
   - **Einstellungstyp:** **Skript**
   
   - **Datentyp:** **Zeichenfolge**
   

6. Klicken Sie im Dialogfeld Einstellung erstellen für Ermittlungsskript auf Skript hinzufügen, um ein Skript anzugeben, mit dem Macintosh-Computer ermittelt werden können, die über eine konfigurierte SMS-ID verfügen.

7. Geben Sie im Dialogfeld Ermittlungsskript bearbeiten das folgende Shellskript ein:

     defaults read com.microsoft.ccmclient SMSID
   

8. Klicken Sie auf OK, um das Dialogfeld Ermittlungsskript bearbeiten zu schließen.

9. Klicken Sie im Dialogfeld Einstellung erstellen für Wiederherstellungsskript (optional) auf Skript hinzufügen, um ein Skript anzugeben, mit dem die SMS-ID von Macintosh-Computern entfernt wird, wenn sie gefunden wird.

10. Geben Sie im Dialogfeld Wiederherstellungsskript erstellen das folgende Shellskript ein:

     defaults delete com.microsoft.ccmclient SMSID
    

11. Klicken Sie auf OK, um das Dialogfeld Wiederherstellungsskript erstellen zu schließen.

12. Klicken Sie auf der Seite Kompatibilitätsregeln des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Regel erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Ausgewählte Einstellung: Klicken Sie auf Durchsuchen, und wählen Sie anschließend das Ermittlungsskript aus, das Sie zuvor angegeben haben.

    • Geben Sie Das Domänen-/Standardpaar (com.microsoft.ccmclient, SMS-ID) existiert nicht in das Feld die folgenden Werte ein.

    • Aktivieren Sie die Option Das angegebene Wiederherstellungsskript ausführen, wenn diese Einstellung nicht kompatibel ist.

13. Beenden Sie den Assistenten zum Erstellen von Konfigurationselementen.

14. Erstellen Sie eine Konfigurationsbasislinie mit dem Konfigurationselement, das Sie gerade erstellt haben, und stellen Sie es für die Gerätesammlung bereit, die Sie in Schritt 1 erstellt haben.

    Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationsbasislinien finden Sie unter Erstellen von Konfigurationsbasislinien für Kompatibilitätseinstellungen in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

15. Führen Sie auf Macintosh-Computern, auf denen die SMS-ID entfernt wurde, den folgenden Befehl aus, um ein neues Zertifikat zu installieren:

     sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'> 
    

    Geben Sie das Kennwort für das Administratorkonto ein, wenn Sie dazu aufgefordert werden, um den Befehl auszuführen. Geben Sie dann das Kennwort für das Active Directory-Benutzerkonto ein.

16. Nur für Configuration Manager SP1: Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um das angemeldete Zertifikat auf Configuration Manager zu beschränken:

    1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

    2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

    3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

    4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

    5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

    6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

17. Starten Sie den Macintosh-Computer neu.

Schritte zur Aktualisierung des Clients für Macintosh-Computer

Für System Center 2012 R2 Configuration Manager und höher:

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Aktualisieren des Clients für Macintosh-Computer mithilfe einer Configuration Manager-Anwendung. Alternativ können Sie auch die Macintosh-Clientinstallationsdatei herunterladen, in einen freigegebenen Netzwerkpfad oder einen lokalen Ordner auf dem Macintosh-Computer kopieren und dann die Benutzer auffordern, die Installation manuell auszuführen.

Hinweis
Stellen Sie vor der Ausführung dieser Schritte sicher, dass Ihr Mac-Computer die im Abschnitt des Themas Unterstützte Konfigurationen für den Konfigurations-Manager aufgeführten Voraussetzungen erfüllt.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq

Schritte	Details	Weitere Informationen
Schritt 1: Herunterladen der aktuellen Macintosh-Clientinstallationsdatei aus dem Microsoft Download Center	Der Macintosh-Client für Configuration Manager wird nicht auf den Configuration Manager-Installationsmedien bereitgestellt und muss aus dem Microsoft Download Center heruntergeladen werden. Die Macintosh-Clientinstallationsdateien sind in einer Windows Installer-Datei mit dem Namen ConfigmgrMacClient.msi enthalten.	Sie können diese Datei im Microsoft Download Center für Configuration Manager SP1 bzw. im Microsoft Download Center für System Center 2012 R2 Configuration Manager herunterladen.
Schritt 2: Ausführen der heruntergeladenen Installationsdatei zum Erstellen der Macintosh-Clientinstallationsdatei	Führen Sie auf einem Computer unter Windows die heruntergeladene Datei ConfigmgrMacClient.msi aus, um die Macintosh-Clientinstallationsdatei mit dem Namen Macclient.dmg zu entpacken. Nach dem Entpacken der Dateien befindet sich diese Datei standardmäßig im Ordner C:\Programme (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client auf dem Windows-Computer.	keine zusätzlichen Informationen
Schritt 3: Extrahieren der Clientinstallationsdateien	Kopien Sie die Datei Macclient.dmg in eine Netzwerkfreigabe oder einen lokalen Ordner auf dem Macintosh-Computer. Stellen Sie dann auf dem Macintosh-Computer die Datei Macclient.dmg bereit, und öffnen Sie sie. Kopieren Sie die Dateien in einen Ordner auf dem Macintosh-Computer.	keine zusätzlichen Informationen
Schritt 4: Erstellen einer CMMAC-Datei zum Erstellen einer Anwendung	Erstellen Sie mit dem Tool CMAppUtil (aus dem Ordner Tools der Macintosh-Clientinstallationsdateien) eine CMMAC-Datei aus dem Clientinstallationspaket. Mit dieser Datei wird die Configuration Manager-Anwendung erstellt. Kopieren Sie die neue Datei CMClient.pkg.cmmac in einen Speicherort, der für den Computer mit der Configuration Manager-Konsole verfügbar ist.	Weitere Informationen finden Sie im Abschnitt Schritt 1: Vorbereiten von Macintosh-Anwendungen für Configuration Manager des Themas Erstellen und Bereitstellen von Anwendungen für Macintosh-Computer in Configuration Manager.
Schritt 5: Erstellen und Bereitstellen einer Configuration Manager-Anwendung mit den Macintosh-Clientdateien	Erstellen Sie in der Configuration Manager-Konsole eine Anwendung aus der Datei CMClient.pkg.cmmac, die die Clientinstallationsdateien enthält. Stellen Sie diese Anwendung auf Macintosh-Computern in Ihrer Hierarchie bereit.	Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Anwendungen für Macintosh-Computer in Configuration Manager.
Schritt 6: Installieren des aktuellen Clients durch Benutzer	Benutzer von Macintosh-Clients werden informiert, dass ein Update für den Configuration Manager-Client verfügbar ist und installiert werden muss. Nachdem die Benutzer den Client installiert haben, müssen sie ihren Macintosh-Computer neu starten.	Nach dem Neustart des Computers wird automatisch der Assistent für die Computeranmeldung ausgeführt, um ein neues Benutzerzertifikat anzufordern. Wenn Sie die Configuration Manager-Anmeldung nicht verwenden, sondern das Clientzertifikat unabhängig von Configuration Manager installieren, finden Sie weitere Informationen unter Aktualisieren des Clients im Abschnitt Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode dieses Themas.

Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode

Wenn Sie keine Configuration Manager-Anmeldung verwenden, sondern das Clientzertifikat unabhängig von Configuration Manager anfordern und installieren, gibt es bei den Konfigurationsschritten kleine Unterschiede:

1. Führen Sie die Schritte 1, 2, 4, 6 (optional) und 8 durch.

2. Führen Sie die Schritte 3, 5, 7 und 9 nicht durch.

3. Installieren Sie den Client mithilfe der folgenden Anweisungen.

So installieren Sie das Clientzertifikat unabhängig von Configuration Manager und den Client

1. Gehen Sie zur Installation des Clientzertifikats unabhängig von Configuration Manager gemäß den Anweisungen der ausgewählten Methode zur Zertifikatbereitstellung vor, um das Clientzertifikat anzufordern und auf jedem Macintosh-Computer zu installieren.

2. Navigieren Sie zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei macclient.dmg extrahiert haben.

3. Geben Sie die folgende Befehlszeile ein: sudo ./ccmsetup –MP <Verwaltungspunkt_Internet-FQDN> -SubjectName <Wert für Zertifikatantragsteller>

   Wichtig
   Beim Wert für den Zertifikatantragsteller muss die Groß-/Kleinschreibung beachtet werden, daher muss dieser genauso eingegeben werden, wie er in den Zertifikatdetails angezeigt wird.

   Beispiel: Wenn der Internet-FQDN in den Systemeigenschaften server03.contoso.com und der FQDN des allgemeinen Namens im Zertifikatantragsteller des Macintosh-Clients mac12.contoso.com lautet, geben Sie Folgendes ein: sudo ./ccmsetup –MP server03.contoso.com –SubjectName mac12.contoso.com

4. Warten Sie, bis die Meldung Installation abgeschlossen angezeigt wird, und starten Sie anschließend den Macintosh-Computer neu.

5. Öffnen Sie auf dem Macintosh-Computer ein Terminal-Fenster, und nehmen Sie folgende Änderungen vor, um sicherzustellen, dass ein Zugriff von Configuration Manager auf dieses Zertifikat möglich ist:

   1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

   2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

   3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

   4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

   5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

   6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

6. Wenn Sie über mehrere Zertifikate mit dem gleichen Wert für den Antragsteller verfügen, müssen Sie die Seriennummer des Zertifikats angeben, um das für den Configuration Manager-Client zu verwendende Zertifikat zu bestimmen. Verwenden Sie hierzu den folgenden Befehl: sudo defaults write com.microsoft.ccmclient SerialNumber -data "<Seriennummer>".

   Beispiel: sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"

7. Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um dieses Zertifikat auf Configuration Manager zu beschränken:

   1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

   2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

   3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

   4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

   5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

   6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

Überprüfen Sie, ob die Clientinstallation erfolgreich ausgeführt wurde. Öffnen Sie hierzu auf dem Macintosh-Computer in den Systemeinstellungen das Element Configuration Manager. Sie können auch die Sammlung Alle Systeme aktualisieren und anzeigen, um sicherzustellen, dass der Macintosh-Computer jetzt in der Sammlung als verwalteter Client angezeigt wird.

Erneuern des Zertifikats für den Macintosh-Client

Gehen Sie folgendermaßen vor, bevor Sie das Computerzertifikat auf Macintosh-Computern erneuern.

Bei diesem Verfahren wird die SMS-ID entfernt, welche vom Client zur Verwendung eines neuen oder erneuerten Zertifikats auf dem Macintosh-Computer benötigt wird.

Wichtig
Wenn Sie die Client-SMS-ID entfernen und ersetzen, wird der gesamte gespeicherte Clientverlauf, wie beispielsweise die Inventur, nach dem Löschen des Clients über die Configuration Manager-Konsole gelöscht.

So erneuern Sie das Macintosh-Clientzertifikat

1. Erstellen Sie für die Macintosh-Computer, deren Computerzertifikate erneuert werden müssen, eine Gerätesammlung, und fügen Sie die Macintosh-Computer dieser Sammlung anschließend hinzu.

2. Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.

3. Geben Sie auf der Seite Allgemein des Assistenten die folgenden Informationen an:

   - **Name:** **SMS-ID für Mac entfernen**
   
   - **Type:** **Mac OS X**
   

4. Vergewissern Sie sich auf der Seite Unterstützte Plattformen des Assistenten, dass alle Versionen von Mac OS X ausgewählt sind.

5. Klicken Sie auf der Seite Einstellungen des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Einstellung erstellen die folgenden Informationen an:

   - **Name:** **SMS-ID für Mac entfernen**
   
   - **Einstellungstyp:** **Skript**
   
   - **Datentyp:** **Zeichenfolge**
   

6. Klicken Sie im Dialogfeld Einstellung erstellen für Ermittlungsskript auf Skript hinzufügen, um ein Skript anzugeben, mit dem Macintosh-Computer ermittelt werden können, die über eine konfigurierte SMS-ID verfügen.

7. Geben Sie im Dialogfeld Ermittlungsskript bearbeiten das folgende Shellskript ein:

     defaults read com.microsoft.ccmclient SMSID
   

8. Klicken Sie auf OK, um das Dialogfeld Ermittlungsskript bearbeiten zu schließen.

9. Klicken Sie im Dialogfeld Einstellung erstellen für Wiederherstellungsskript (optional) auf Skript hinzufügen, um ein Skript anzugeben, mit dem die SMS-ID von Macintosh-Computern entfernt wird, wenn sie gefunden wird.

10. Geben Sie im Dialogfeld Wiederherstellungsskript erstellen das folgende Shellskript ein:

     defaults delete com.microsoft.ccmclient SMSID
    

11. Klicken Sie auf OK, um das Dialogfeld Wiederherstellungsskript erstellen zu schließen.

12. Klicken Sie auf der Seite Kompatibilitätsregeln des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Regel erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Ausgewählte Einstellung: Klicken Sie auf Durchsuchen, und wählen Sie anschließend das Ermittlungsskript aus, das Sie zuvor angegeben haben.

    • Geben Sie Das Domänen-/Standardpaar (com.microsoft.ccmclient, SMS-ID) existiert nicht in das Feld die folgenden Werte ein.

    • Aktivieren Sie die Option Das angegebene Wiederherstellungsskript ausführen, wenn diese Einstellung nicht kompatibel ist.

13. Beenden Sie den Assistenten zum Erstellen von Konfigurationselementen.

14. Erstellen Sie eine Konfigurationsbasislinie mit dem Konfigurationselement, das Sie gerade erstellt haben, und stellen Sie es für die Gerätesammlung bereit, die Sie in Schritt 1 erstellt haben.

    Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationsbasislinien finden Sie unter Erstellen von Konfigurationsbasislinien für Kompatibilitätseinstellungen in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

15. Führen Sie den folgenden Befehl aus, nachdem Sie ein neues Zertifikat auf Macintosh-Computern mit entfernter SMS-ID installiert haben, um den Client so zu konfigurieren, dass das neue Zertifikat verwendet wird:

     sudo defaults write com.microsoft.ccmclient SubjectName –string <Subject_Name_of_New_Certificate>
    

16. Wenn Sie über mehrere Zertifikate mit dem gleichen Wert für den Antragsteller verfügen, müssen Sie die Seriennummer des Zertifikats angeben, um das für den Configuration Manager-Client zu verwendende Zertifikat zu bestimmen. Verwenden Sie hierzu den folgenden Befehl: sudo defaults write com.microsoft.ccmclient SerialNumber -data "<Seriennummer>".

    Beispiel: sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"

17. Starten Sie den Macintosh-Computer neu.

Aktualisieren des Clients

Für System Center 2012 R2 Configuration Manager und höher:

Befolgen Sie die Schritte zur Aktualisierung des Clients für Macintosh-Computer. Führen Sie nach der Aktualisierung des Clients das folgenden Verfahren aus, um zu verhindern, dass der Assistent für die Computeranmeldung ausgeführt wird und um den aktualisierten Client für die Verwendung eines vorhandenen Clientzertifikats zu konfigurieren.

So konfigurieren Sie den aktualisierten Client für die Verwendung eines vorhandenen Zertifikats

1. Erstellen Sie in der Configuration Manager-Konsole ein Konfigurationselement mit dem Typ Mac OS X.

2. Fügen Sie diesem Konfigurationselement eine Einstellung mit dem Einstellungstyp Skript hinzu.

3. Fügen Sie der Einstellung das folgende Skript hinzu:

     #!/bin/sh
     echo "Starting script\n"
     echo "Changing directory to MAC Client\n"
     cd /Users/Administrator/Desktop/'MAC Client'/
     echo "Import root cert\n"
     /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/Root.pfx -A -k /Library/Keychains/System.Keychain -P ROOT
     echo "Using openssl to convert pfx to a crt\n"
     /usr/bin/sudo openssl pkcs12 -in /Users/Administrator/Desktop/'MAC Client'/Root.pfx -out Root1.crt -nokeys -clcerts -passin pass:ROOT
     echo "Adding trust to root cert\n"
     /usr/bin/sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.Keychain Root1.crt
     echo "Import client cert\n"
     /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/MacClient.pfx -A -k /Library/Keychains/System.Keychain -P MAC
     echo "Executing ccmclient with MP\n"
     sudo ./ccmsetup -MP https://SCCM34387.SCCM34387DOM.NET/omadm/cimhandler.ashx
     echo "Editing Plist file\n"
     sudo /usr/libexec/Plistbuddy -c 'Add:SubjectName string CMMAC003L' /Library/'Application Support'/Microsoft/CCM/ccmclient.plist
     echo "Changing directory to CCM\n"
     cd /Library/'Application Support'/Microsoft/CCM/
     echo "Making connection to the server\n"
     sudo open ./CCMClient
     echo "Ending Script\n"
     exit
   

4. Fügen Sie das Konfigurationselement einer Konfigurationsbasislinie hinzu, und stellen Sie dann die Konfigurationsbasislinie auf allen Macintosh-Computern bereit, auf denen ein Zertifikat unabhängig von Configuration Manager installiert wird.

Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationselementen für Macintosh-Computer finden Sie unter Gewusst wie: Erstellen von Konfigurationselementen für Macintosh-Computer in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

Siehe auch

Konfigurieren der Clientbereitstellung in Configuration Manager