Clients implementeren op Macs
Van toepassing op: Configuration Manager (current branch)
Belangrijk
Vanaf januari 2022 wordt deze functie van Configuration Manager afgeschaft. Zie Mac-computers voor meer informatie.
In dit artikel wordt beschreven hoe u de Configuration Manager-client op Mac-computers implementeert en onderhoudt. Zie De implementatie van clientsoftware op Macs voorbereiden voor meer informatie over wat u moet configureren voordat u clients op Mac-computers implementeert.
Wanneer u een nieuwe client voor Mac-computers installeert, moet u mogelijk ook Configuration Manager-updates installeren om de nieuwe clientgegevens in de Configuration Manager-console weer te geven.
In deze procedures hebt u twee opties voor het installeren van clientcertificaten. Meer informatie over clientcertificaten voor Macs vindt u in De implementatie van clientsoftware op Macs voorbereiden.
Gebruik Configuration Manager inschrijving met behulp van het hulpprogramma CMEnroll. Het inschrijvingsproces biedt geen ondersteuning voor automatische certificaatvernieuwing. Schrijf de Mac-computer opnieuw in voordat het geïnstalleerde certificaat verloopt.
Belangrijk
Als u de client wilt implementeren op apparaten met macOS Sierra, configureert u de onderwerpnaam van het beheerpuntcertificaat correct. Gebruik bijvoorbeeld de FQDN van de beheerpuntserver.
Clientinstellingen configureren
Gebruik de standaardclientinstellingen om de inschrijving voor Mac-computers te configureren. U kunt geen aangepaste clientinstellingen gebruiken. Voor het aanvragen en installeren van het certificaat heeft de Configuration Manager-client voor Mac de standaardclientinstellingen nodig.
Ga in de Configuration Manager-console naar de werkruimte Beheer. Selecteer het knooppunt Clientinstellingen en selecteer vervolgens Standaardclientinstellingen.
Kies op het tabblad Start van het lint in de groep Eigenschappen de optie Eigenschappen.
Selecteer de sectie Inschrijving en configureer vervolgens de volgende instellingen:
Gebruikers toestaan mobiele apparaten en Mac-computers in te schrijven: Ja
Inschrijvingsprofiel: Kies Profiel instellen.
Kies maken in het dialoogvenster Inschrijvingsprofiel voor mobiele apparaten.
Voer in het dialoogvenster Inschrijvingsprofiel maken een naam in voor dit inschrijvingsprofiel. Configureer vervolgens de beheersitecode. Selecteer de Configuration Manager primaire site met de beheerpunten voor deze Mac-computers.
Opmerking
Als u de site niet kunt selecteren, moet u ervoor zorgen dat u ten minste één beheerpunt op de site configureert voor ondersteuning van mobiele apparaten.
Kies Add.
Selecteer in het venster Certificeringsinstantie toevoegen voor mobiele apparaten de certificeringsinstantieserver die certificaten uitgeeft aan Mac-computers.
Selecteer in het dialoogvenster Inschrijvingsprofiel maken de mac-computercertificaatsjabloon die u eerder hebt gemaakt.
Selecteer OK om het dialoogvenster Inschrijvingsprofiel en vervolgens het dialoogvenster Standaardclientinstellingen te sluiten.
Tip
Als u het clientbeleidsinterval wilt wijzigen, gebruikt u Het polling-interval voor clientbeleid in de clientinstellingsgroep Clientbeleid .
De volgende keer dat de apparaten clientbeleid downloaden, past Configuration Manager deze instellingen toe voor alle gebruikers. Zie Het ophalen van beleid voor een Configuration Manager-client initiëren om het ophalen van beleid voor één client te starten.
Zorg er naast de instellingen voor de inschrijvingsclient voor dat u de volgende clientapparaatinstellingen hebt geconfigureerd:
Hardware-inventaris: schakel deze functie in en configureer deze functie als u hardware-inventaris wilt verzamelen van Mac- en Windows-clientcomputers. Zie Hardware-inventaris uitbreiden voor meer informatie.
Nalevingsinstellingen: schakel deze functie in en configureer deze functie als u instellingen op Mac- en Windows-clientcomputers wilt evalueren en herstellen. Zie Nalevingsinstellingen plannen en configureren voor meer informatie.
Zie Clientinstellingen configureren voor meer informatie.
De client voor macOS downloaden
Opmerking
Het installatiepakket van de macOS-client is niet beschikbaar voor nieuwe implementaties, maar bestaande implementaties worden ondersteund tot 31 december 2022.
Sla ConfigmgrMacClient.msi op een computer met Windows op. Dit bestand bevindt zich niet op het Configuration Manager installatiemedium.
Voer het installatieprogramma uit op de Windows-computer. Pak het Mac-clientpakket Macclient.dmg uit naar een map op de lokale schijf. Het standaardpad is
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client
.Kopieer het bestand Macclient.dmg naar een map op de Mac-computer.
Voer op de Mac-computer Macclient.dmg uit om de bestanden uit te pakken naar een map op de lokale schijf.
Controleer in de map of deze de volgende bestanden bevat:
Ccmsetup: installeert de Configuration Manager-client op uw Mac-computers met behulp van CMClient.pkg
CMDiagnostics: verzamelt diagnostische informatie met betrekking tot de Configuration Manager-client op uw Mac-computers
CMUninstall: hiermee verwijdert u de client van uw Mac-computers
CMAppUtil: converteert Apple-toepassingspakketten naar een indeling die u kunt implementeren als een Configuration Manager-toepassing
CMEnroll: hiermee wordt het clientcertificaat voor een Mac-computer aangevraagd en geïnstalleerd, zodat u vervolgens de Configuration Manager-client kunt installeren
De Mac-client inschrijven
Afzonderlijke clients inschrijven met de wizard Mac-computerinschrijving.
Als u de inschrijving voor veel clients wilt automatiseren, gebruikt u het hulpprogramma CMEnroll.
De client inschrijven met de wizard Mac-computerregistratie
Nadat u de client hebt geïnstalleerd, wordt de wizard Computerinschrijving geopend. Als u de wizard handmatig wilt starten, selecteert u Inschrijven op de pagina Configuration Manager voorkeur.
Geef op de tweede pagina van de wizard de volgende informatie op:
Gebruikersnaam: de gebruikersnaam kan de volgende indelingen hebben:
domain\name
. Bijvoorbeeld:contoso\mnorth
user@domain
. Bijvoorbeeld:mnorth@contoso.com
Belangrijk
Wanneer u een e-mailadres gebruikt om het veld Gebruikersnaam in te vullen, vult Configuration Manager automatisch het veld Servernaam in. De standaardnaam van de proxypuntserver en de domeinnaam van het e-mailadres worden gebruikt. Als deze namen niet overeenkomen met de naam van de inschrijvingsproxypuntserver, herstelt u de servernaam tijdens de inschrijving.
De gebruikersnaam en het bijbehorende wachtwoord moeten overeenkomen met een Active Directory-gebruikersaccount met lees- en inschrijvingsmachtigingen voor de Mac-clientcertificaatsjabloon.
Servernaam: de naam van de inschrijvingsproxypuntserver.
Client- en certificaatautomatisering met CMEnroll
Gebruik deze procedure voor het automatiseren van clientinstallatie en het aanvragen en inschrijven van clientcertificaten met het hulpprogramma CMEnroll. Als u het hulpprogramma wilt uitvoeren, moet u een Active Directory-gebruikersaccount hebben.
Navigeer op de Mac-computer naar de map waarin u de inhoud van het bestand Macclient.dmg hebt uitgepakt.
Voer de volgende opdracht in:
sudo ./ccmsetup
Wacht totdat u het bericht Voltooide installatie ziet. Hoewel het installatieprogramma een bericht weergeeft dat u nu opnieuw moet opstarten, moet u niet opnieuw opstarten en doorgaan met de volgende stap.
Typ in de map Extra op de Mac-computer de volgende opdracht:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'
Nadat de client is geïnstalleerd, wordt de wizard Mac-computerinschrijving geopend om u te helpen de Mac-computer in te schrijven. Zie De client inschrijven met behulp van de wizard Mac-computerregistratie voor meer informatie.
Voorbeeld: als de server voor het inschrijvingsproxypunt de naam server02.contoso.com heeft en u contoso\mnorth-machtigingen verleent voor de certificaatsjabloon van de Mac-client, typt u de volgende opdracht:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'
Opmerking
Als de gebruikersnaam een van de volgende tekens bevat, mislukt de inschrijving:
<>"+=,
. Gebruik een out-of-band-certificaat met een gebruikersnaam die deze tekens niet bevat.Voor een meer naadloze gebruikerservaring voert u een script uit voor de installatiestappen. Vervolgens hoeven gebruikers alleen hun gebruikersnaam en wachtwoord op te geven.
Typ het wachtwoord voor het Active Directory-gebruikersaccount. Wanneer u deze opdracht invoert, wordt om twee wachtwoorden gevraagd. Het eerste wachtwoord is voor het supergebruikersaccount om de opdracht uit te voeren. De tweede vraag is voor het Active Directory-gebruikersaccount. De prompts zien er identiek uit, dus zorg ervoor dat u ze in de juiste volgorde opgeeft.
Wacht totdat het bericht Is ingeschreven wordt weergegeven.
Als u het ingeschreven certificaat wilt beperken tot Configuration Manager, opent u op de Mac-computer een terminalvenster en voert u de volgende wijzigingen aan:
Voer de opdracht in
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access
Kies in het venster Toegang tot sleutelhanger in de sectie Sleutelhangersde optie Systeem. Kies vervolgens in de sectie Categoriede optie Sleutels.
Vouw de sleutels uit om de clientcertificaten weer te geven. Zoek het certificaat met een persoonlijke sleutel die u hebt geïnstalleerd en open de sleutel.
Kies op het tabblad Access Controlbevestigen voordat u toegang toestaat.
Blader naar /Library/Application Support/Microsoft/CCM, selecteer CCMClient en kies vervolgens Toevoegen.
Kies Wijzigingen opslaan en sluit het dialoogvenster Sleutelhangertoegang .
Start de Mac-computer opnieuw op.
Als u wilt controleren of de clientinstallatie is geslaagd, opent u het item Configuration Manager in Systeemvoorkeuren op de Mac-computer. Werk ook de verzameling Alle systemen bij en bekijk deze in de Configuration Manager-console. Controleer of de Mac-computer in deze verzameling wordt weergegeven als een beheerde client.
Tip
Als u problemen met de Mac-client wilt oplossen, gebruikt u het hulpprogramma CMDiagnostics dat deel uitmaakt van het Mac-clientpakket. Gebruik deze om de volgende diagnostische gegevens te verzamelen:
- Een lijst met actieve processen
- De versie van het macOS X-besturingssysteem
- macOS X-crashrapporten met betrekking tot de Configuration Manager-client, waaronder CCM*.crash en System Preference.crash.
- Het stuklijstbestand (Stuklijst) en het eigenschappenlijstbestand (.plist) die zijn gemaakt door de installatie van de Configuration Manager-client.
- De inhoud van de map /Library/Application Support/Microsoft/CCM/Logs.
De informatie die door CmDiagnostics wordt verzameld, wordt toegevoegd aan een zip-bestand dat wordt opgeslagen op het bureaublad van de computer en de naam heeft cmdiag-<hostname>-<datetime>.zip
Certificaten beheren buiten Configuration Manager
U kunt een certificaataanvraag en installatiemethode onafhankelijk van Configuration Manager gebruiken. Gebruik hetzelfde algemene proces, maar neem de volgende aanvullende stappen op:
Wanneer u de Configuration Manager-client installeert, gebruikt u de opdrachtregelopties MP en SubjectName. Voer de volgende opdracht in:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>
. De onderwerpnaam van het certificaat is hoofdlettergevoelig, dus typ deze precies zoals deze wordt weergegeven in de certificaatdetails.Voorbeeld: de internet-FQDN van het beheerpunt is server03.contoso.com. Het Mac-clientcertificaat heeft de FQDN van mac12.contoso.com als een algemene naam in het certificaatonderwerp. Gebruik de volgende opdracht:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com
Als u meer dan één certificaat hebt dat dezelfde onderwerpwaarde bevat, geeft u het serienummer van het certificaat op dat moet worden gebruikt voor de Configuration Manager-client. Gebruik de volgende opdracht:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"
.Bijvoorbeeld:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
Het Mac-clientcertificaat vernieuwen
Met deze procedure wordt de SMSID verwijderd. De Configuration Manager-client voor Mac vereist een nieuwe id om een nieuw of vernieuwd certificaat te gebruiken.
Belangrijk
Nadat u de SMSID van de client hebt vervangen en u de oude resource in de Configuration Manager-console verwijdert, verwijdert u ook de opgeslagen clientgeschiedenis. Bijvoorbeeld hardware-inventarisgeschiedenis voor die client.
Maak en vul een apparaatverzameling in voor de Mac-computers die de computercertificaten moeten vernieuwen.
Start in de werkruimte Activa en naleving de wizard Configuratie-item maken.
Geef op de pagina Algemeen van de wizard de volgende informatie op:
Naam: SMSID voor Mac verwijderen
Type: Mac OS X
Selecteer op de pagina Ondersteunde platforms alle macOS X-versies.
Selecteer op de pagina Instellingende optie Nieuw. Geef in het venster Instelling maken de volgende informatie op:
Naam: SMSID voor Mac verwijderen
Instellingstype: Script
Gegevenstype: Tekenreeks
Selecteer in het venster Instelling maken de optie Script toevoegen voor Detectiescript. Met deze actie wordt een script opgegeven voor het detecteren van Mac-computers die zijn geconfigureerd met een SMSID.
Voer in het venster Detectiescript bewerken het volgende shellscript in:
defaults read com.microsoft.ccmclient SMSID
Kies OK om het venster Detectiescript bewerken te sluiten.
Kies in het venster Instelling maken voor Herstelscript (optioneel) de optie Script toevoegen. Met deze actie geeft u een script op om de SMSID te verwijderen wanneer deze op Mac-computers wordt gevonden.
Voer in het venster Herstelscript maken het volgende shellscript in:
defaults delete com.microsoft.ccmclient SMSID
Kies OK om het venster Herstelscript maken te sluiten.
Kies op de pagina Nalevingsregelsde optie Nieuw. Geef vervolgens in het venster Regel maken de volgende informatie op:
Naam: SMSID voor Mac verwijderen
Geselecteerde instelling: kies Bladeren en selecteer vervolgens het detectiescript dat u eerder hebt opgegeven.
In het volgende waardenveldbestaat het domein/standaardpaar (com.microsoft.ccmclient, SMSID) niet.
Schakel de optie Het opgegeven herstelscript uitvoeren in wanneer deze instelling niet compatibel is.
Voltooi de wizard.
Maak een configuratiebasislijn die dit configuratie-item bevat. Implementeer de basislijn in de doelverzameling.
Zie Configuratiebasislijnen maken voor meer informatie.
Nadat u een nieuw certificaat hebt geïnstalleerd op Mac-computers waarop de SMSID is verwijderd, voert u de volgende opdracht uit om de client te configureren voor het gebruik van het nieuwe certificaat:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>