De implementatie van clientsoftware op Macs voorbereiden

Van toepassing op: Configuration Manager (current branch)

Belangrijk

Vanaf januari 2022 wordt deze functie van Configuration Manager afgeschaft. Zie Mac-computers voor meer informatie.

Volg deze stappen om ervoor te zorgen dat u klaar bent om de Configuration Manager-client te implementeren op Mac-computers.

Zie Ondersteunde besturingssystemen voor clients en apparaten voor de lijst met ondersteunde versies.

Certificaatvereisten

Voor clientinstallatie en -beheer voor Mac-computers zijn PKI-certificaten (Public Key Infrastructure) vereist. PKI-certificaten beveiligen de communicatie tussen de Mac-computers en de Configuration Manager-site met behulp van wederzijdse verificatie en versleutelde gegevensoverdracht. Configuration Manager kunt een gebruikersclientcertificaat aanvragen en installeren. Het maakt gebruik van Certificate Services met een ondernemingscertificeringsinstantie en de Configuration Manager inschrijvingspunt en inschrijvingsproxypunt. U kunt ook onafhankelijk van Configuration Manager een computercertificaat aanvragen en installeren. Dit certificaat moet voldoen aan de Configuration Manager-certificaatvereisten.

Configuration Manager Mac-clients controleren altijd op certificaatintrekking. U kunt deze functie niet uitschakelen.

Als Mac-clients de certificaatintrekkingslijst (CRL) niet kunnen vinden, kunnen ze geen verbinding maken met Configuration Manager sitesystemen. Met name voor Mac-clients in een ander forest dan de verlenende certificeringsinstantie, controleert u uw CRL-ontwerp. Zorg ervoor dat Mac-clients een CRL kunnen vinden en downloaden.

Voordat u de Configuration Manager-client op een Mac-computer installeert, moet u bepalen hoe u het clientcertificaat installeert:

• Gebruik Configuration Manager inschrijving met behulp van het hulpprogramma CMEnroll. Het inschrijvingsproces biedt geen ondersteuning voor automatische certificaatvernieuwing. Schrijf Mac-computers opnieuw in voordat het certificaat verloopt.

• Gebruik een certificaataanvraag- en installatiemethode die onafhankelijk is van Configuration Manager.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over de vereisten voor mac-clientcertificaten.

Mac-clients worden automatisch toegewezen aan de Configuration Manager site die ze beheert. Mac-clients worden geïnstalleerd als alleen-internetclients, zelfs als de communicatie is beperkt tot het intranet. Deze configuratie betekent dat ze communiceren met beheerpunten met internet en distributiepunten in de toegewezen site. Mac-computers communiceren niet met sitesystemen buiten de toegewezen site.

Belangrijk

De Configuration Manager-client voor macOS kan niet worden gebruikt om verbinding te maken met een beheerpunt dat is geconfigureerd voor het gebruik van een databasereplica.

Een webservercertificaat implementeren op sitesysteemservers

Als deze sitesystemen dit niet hebben, implementeert u een webservercertificaat op de computers met deze sitesysteemrollen:

• Beheerpunt

• Distributiepunt

• Inschrijvingspunt

• Proxypunt voor inschrijving

Het webservercertificaat moet de internet-FQDN bevatten die is opgegeven in de sitesysteemeigenschappen. De server hoeft niet toegankelijk te zijn vanaf internet om Mac-computers te ondersteunen. Als u geen clientbeheer op basis van internet vereist, kunt u de FQDN-waarde voor het intranet opgeven voor de internet-FQDN.

Geef de FQDN-waarde van het sitesysteem op in het webservercertificaat voor het beheerpunt, het distributiepunt en het inschrijvingsproxypunt.

Zie Het webservercertificaat implementeren voor sitesystemen waarop IIS wordt uitgevoerd voor meer informatie over een voorbeeldimplementatie.

Een clientverificatiecertificaat implementeren op sitesysteemservers

Als deze sitesystemen dit niet hebben, implementeert u een clientverificatiecertificaat op de computers waarop deze sitesysteemrollen worden gehost:

• Beheerpunt

• Distributiepunt

Zie Het clientcertificaat implementeren voor Windows-computers voor een voorbeeldimplementatie waarmee het clientcertificaat voor beheerpunten wordt gemaakt en geïnstalleerd.

Zie Het clientcertificaat implementeren voor distributiepunten voor een voorbeeldimplementatie waarmee het clientcertificaat voor distributiepunten wordt gemaakt en geïnstalleerd.

Belangrijk

Als u de client wilt implementeren op apparaten met macOS Sierra, moet de onderwerpnaam van het beheerpuntcertificaat correct zijn geconfigureerd. Gebruik bijvoorbeeld de FQDN van de beheerpuntserver.

De clientcertificaatsjabloon voor Macs voorbereiden

De certificaatsjabloon moet de machtigingen Lezen en Inschrijven hebben voor het gebruikersaccount waarmee het certificaat op de Mac-computer wordt geregistreerd.

Zie Het clientcertificaat implementeren voor Mac-computers voor meer informatie.

Het beheerpunt en het distributiepunt configureren

Beheerpunten configureren voor de volgende opties:

• HTTPS

• Clientverbindingen vanaf internet toestaan. Deze configuratiewaarde is vereist voor het beheren van Mac-computers. Dit betekent echter niet dat sitesysteemservers toegankelijk moeten zijn vanaf internet.

• Mobiele apparaten en Mac-computers toestaan dit beheerpunt te gebruiken

Distributiepunten zijn niet vereist om de client voor Mac te installeren. Als u software op deze computers wilt implementeren nadat u de client hebt geïnstalleerd, configureert u distributiepunten om clientverbindingen vanaf internet toe te staan.

Beheerpunten en distributiepunten configureren voor ondersteuning van Macs

Voordat u met deze procedure begint, moet u het beheerpunt en distributiepunt configureren met een internet-FQDN. Als deze servers geen ondersteuning bieden voor clientbeheer via internet, geeft u de intranet-FQDN op als de internet-FQDN-waarde.

De sitesysteemrollen moeten zich in een primaire site bevinden.

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Servers en sitesysteemrollen. Selecteer vervolgens de server met de juiste sitesysteemrollen.

2. Selecteer in het detailvenster de rol Beheerpunt en selecteer Eigenschappen op het lint. Configureer deze opties in het venster Eigenschappen van beheerpunt :

   1. Kies HTTPS.

   2. Kies Clientverbindingen met alleen internet toestaan of Intranet- en internetclientverbindingen toestaan. Voor deze opties is een internet- of intranet-FQDN vereist.

   3. Kies Mobiele apparaten en Mac-computers toestaan dit beheerpunt te gebruiken.

   4. Selecteer OK om deze configuratie op te slaan.

3. Selecteer in het detailvenster van het knooppunt Server- en sitesysteemrollen de rol Distributiepunt en selecteer Eigenschappen op het lint. Configureer deze opties in het venster Eigenschappen van distributiepunt :

   • Kies HTTPS.

   • Kies Clientverbindingen met alleen internet toestaan of Intranet- en internetclientverbindingen toestaan. Voor deze opties is een internet- of intranet-FQDN vereist.

   • Kies Certificaat importeren, blader naar het geëxporteerde clientdistributiepuntcertificaatbestand en geef vervolgens het wachtwoord op.

4. Herhaal deze procedure voor alle beheerpunten en distributiepunten op primaire sites die Mac-computers beheren.

Het inschrijvingsproxypunt en het inschrijvingspunt configureren

Installeer beide rollen op dezelfde site. U hoeft ze niet te installeren op dezelfde sitesysteemserver of in hetzelfde Active Directory-forest.

Zie Sitesysteemrollen voor meer informatie over de plaatsing en overwegingen van sitesysteemrollen.

Zie Sitesysteemrollen installeren om de sitesysteemrollen toe te voegen ter ondersteuning van Mac-computers.

Selecteer op de pagina Systeemrolselectiede optie Inschrijvingsproxypunt en Inschrijvingspunt in de lijst met beschikbare rollen.

Het Reporting Services-punt installeren

Zie Het Reporting Services-punt installeren voor meer informatie.

Volgende stappen

De Configuration Manager-client implementeren op Mac-computers