Mantener clientes Mac

Se aplica a: Configuration Manager (rama actual)

Importante

A partir de enero de 2022, esta característica de Configuration Manager está en desuso. Para obtener más información, consulte Equipos Mac.

Estos son los procedimientos para desinstalar clientes Mac y para renovar sus certificados.

Desinstalación del cliente Mac

1. En un equipo Mac, abra una ventana de terminal y vaya a la carpeta que contiene macclient.dmg.

2. Vaya a la carpeta Herramientas y escriba la siguiente línea de comandos:

   ./CMUninstall -c

   Nota:

   La propiedad -c indica a la desinstalación del cliente que también quite los registros de bloqueo de cliente y los archivos de registro. Se recomienda esto para evitar confusiones si posteriormente vuelve a instalar el cliente.

3. Si es necesario, quite manualmente el certificado de autenticación de cliente que Configuration Manager estaba usando o revoque el certificado. CMUnistall no quita ni revoca este certificado.

Renovación del certificado de cliente Mac

Use uno de los métodos siguientes para renovar el certificado de cliente Mac:

• Asistente para renovar certificados

• Renovación manual del certificado

Asistente para renovar certificados

1. Configure los siguientes valores como cadenas en el archivo ccmclient.plist que controla cuando se abre el Asistente para renovar certificado:

   • RenewalPeriod1 : especifica, en segundos, el primer período de renovación en el que los usuarios pueden renovar el certificado. El valor predeterminado es 3.888.000 segundos (45 días). No configure un valor inferior a 300, ya que el período se revertirá al valor predeterminado.

   • RenewalPeriod2 : especifica, en segundos, el segundo período de renovación en el que los usuarios pueden renovar el certificado. El valor predeterminado es 259 200 segundos (3 días). Si este valor está configurado y es mayor o igual que 300 segundos y es menor o igual que RenewalPeriod1, se usará el valor. Si RenewalPeriod1 es mayor que 3 días, se usará un valor de 3 días para RenewalPeriod2. Si RenewalPeriod1 es menor que 3 días, RenewalPeriod2 se establece en el mismo valor que RenewalPeriod1.

   • RenewalReminderInterval1 : especifica, en segundos, la frecuencia con la que el Asistente para renovar certificados se mostrará a los usuarios durante el primer período de renovación. El valor predeterminado es 86 400 segundos (1 día). Si RenewalReminderInterval1 es mayor que 300 segundos y menor que el valor configurado para RenewalPeriod1, se usará el valor configurado. De lo contrario, se usará el valor predeterminado de 1 día.

   • RenewalReminderInterval2 : especifica, en segundos, la frecuencia con la que el Asistente para renovar certificados se mostrará a los usuarios durante el segundo período de renovación. El valor predeterminado es 28 800 segundos (8 horas). Si RenewalReminderInterval2 es mayor que 300 segundos, menor o igual que RenewalReminderInterval1 y menor o igual que RenewalPeriod2, se usará el valor configurado. De lo contrario, se usará un valor de 8 horas.

     Ejemplo: Si los valores se dejan como valores predeterminados, 45 días antes de que expire el certificado, el asistente se abrirá cada 24 horas. En un plazo de 3 días a partir de la expiración del certificado, el asistente se abrirá cada 8 horas.

     Ejemplo: Use la siguiente línea de comandos o un script para establecer el primer período de renovación en 20 días.

     sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

2. Cuando se abra el Asistente para renovar certificados, los campos Nombre de usuario y Nombre del servidor normalmente se rellenarán previamente y el usuario solo puede escribir una contraseña para renovar el certificado.

   Nota:

   Si el asistente no se abre o si cierra accidentalmente el asistente, haga clic en Renovar en la página de preferencias de Configuration Manager para abrir el asistente.

Renovación manual del certificado

Un período de validez típico para el certificado de cliente Mac es de 1 año. Configuration Manager no renueva automáticamente el certificado de usuario que solicita durante la inscripción, por lo que debe usar el procedimiento siguiente para renovar el certificado manualmente.

Importante

Si el certificado expira, debe desinstalar, reinstalar y, a continuación, volver a inscribir el cliente Mac.

Este procedimiento quita el SMSID, que es necesario para solicitar un nuevo certificado para el mismo equipo Mac. Al quitar y reemplazar el SMSID de cliente, cualquier historial de cliente almacenado, como el inventario, se elimina después de eliminar el cliente de la consola de Configuration Manager.

1. Cree y rellene una recopilación de dispositivos para los equipos Mac que deben renovar los certificados de usuario.

   Advertencia

   Configuration Manager no supervisa el período de validez del certificado que se inscribe para equipos Mac. Debe supervisarlo independientemente de Configuration Manager para identificar los equipos Mac que se van a agregar a esta colección.

2. En el área de trabajo Activos y compatibilidad , inicie el Asistente para crear elementos de configuración.

3. En la página General , especifique la siguiente información:

   • Name:Remove SMSID for Mac

   • Type:Mac OS X

4. En la página Plataformas admitidas , asegúrese de que están seleccionadas todas las versiones de macOS X.

5. En la página Configuración , elija Nuevo y, a continuación, en el cuadro de diálogo Crear configuración , especifique la siguiente información:

   • Name:Remove SMSID for Mac

   • Tipo de configuración:Script

   • Tipo de datos:String

6. En el cuadro de diálogo Crear configuración , en Script de detección, elija Agregar script para especificar un script que detecte equipos Mac con un SMSID configurado.

7. En el cuadro de diálogo Editar script de detección , escriba el siguiente script de shell:

   defaults read com.microsoft.ccmclient SMSID  
   

8. Elija Aceptar para cerrar el cuadro de diálogo Editar script de detección .

9. En el cuadro de diálogo Crear configuración , en Script de corrección (opcional), elija Agregar script para especificar un script que quite el SMSID cuando se encuentre en equipos Mac.

10. En el cuadro de diálogo Crear script de corrección , escriba el siguiente script de Shell:

    defaults delete com.microsoft.ccmclient SMSID  
    

11. Elija Aceptar para cerrar el cuadro de diálogo Crear script de corrección .

12. En la página Reglas de cumplimiento del asistente, haga clic en Nuevoy, a continuación, en el cuadro de diálogo Crear regla , especifique la siguiente información:

    • Name:Remove SMSID for Mac

    • Configuración seleccionada: Elija Examinar y, a continuación, seleccione el script de detección que especificó anteriormente.

    • En el campo de valores siguientes , escriba El par de dominio/predeterminado de (com.microsoft.ccmclient, SMSID) no existe.

    • Habilite la opción Ejecutar el script de corrección especificado cuando esta configuración no sea conforme.

13. Complete el Asistente para crear elementos de configuración.

14. Cree una línea base de configuración que contenga el elemento de configuración que acaba de crear e impleméntela en la colección de dispositivos que creó en el paso 1.

    Para obtener más información sobre cómo crear e implementar líneas base de configuración, vea How to create configuration baselines (Cómo crear líneas base de configuración ) y How to deploy configuration baselines (Cómo implementar líneas base de configuración).

15. En los equipos Mac que tienen el SMSID quitado, ejecute el siguiente comando para instalar un nuevo certificado:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Cuando se le solicite, proporcione la contraseña para que la cuenta de superusuario ejecute el comando y, a continuación, la contraseña de la cuenta de usuario de Active Directory.

16. Para limitar el certificado inscrito a Configuration Manager, en el equipo Mac, abra una ventana de terminal y realice los siguientes cambios:

    a. Escriba el comando sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. En el cuadro de diálogo Acceso a llaveros , en la sección Llaveros , elija Sistema y, a continuación, en la sección Categoría , elija Claves.

    c. Expanda las claves para ver los certificados de cliente. Cuando haya identificado el certificado con una clave privada que acaba de instalar, haga doble clic en la clave.

    d. En la pestaña Access Control, elija Confirmar antes de permitir el acceso.

    e. Vaya a /Library/Application Support/Microsoft/CCM, seleccione CCMClient y, a continuación, elija Agregar.

    f. Elija Guardar cambios y cierre el cuadro de diálogo Acceso a llaveros .

17. Reinicie el equipo Mac.