Jak wdrażać klientów na komputerach Mac
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ważna
Od stycznia 2022 r. ta funkcja Configuration Manager jest przestarzała. Aby uzyskać więcej informacji, zobacz Komputery Mac.
W tym artykule opisano sposób wdrażania i obsługi klienta Configuration Manager na komputerach Mac. Aby dowiedzieć się, co należy skonfigurować przed wdrożeniem klientów na komputerach Mac, zobacz Przygotowywanie do wdrożenia oprogramowania klienckiego na komputerach Mac.
Po zainstalowaniu nowego klienta dla komputerów Mac może być konieczne zainstalowanie aktualizacji Configuration Manager w celu odzwierciedlenia nowych informacji o kliencie w konsoli Configuration Manager.
W tych procedurach masz dwie opcje instalowania certyfikatów klienta. Dowiedz się więcej o certyfikatach klienta dla komputerów Mac w temacie Przygotowanie do wdrożenia oprogramowania klienckiego na komputerach Mac.
Użyj Configuration Manager rejestracji przy użyciu narzędzia CMEnroll. Proces rejestracji nie obsługuje automatycznego odnawiania certyfikatów. Zarejestruj ponownie komputer Mac przed wygaśnięciem zainstalowanego certyfikatu.
Użyj żądania certyfikatu i metody instalacji, która jest niezależna od Configuration Manager.
Ważna
Aby wdrożyć klienta na urządzeniach z systemem macOS Sierra, poprawnie skonfiguruj nazwę podmiotu certyfikatu punktu zarządzania. Na przykład użyj nazwy FQDN serwera punktu zarządzania.
Konfigurowanie ustawień klienta
Użyj domyślnych ustawień klienta , aby skonfigurować rejestrację dla komputerów Mac. Nie można używać niestandardowych ustawień klienta. Aby zażądać i zainstalować certyfikat, klient Configuration Manager dla komputerów Mac wymaga domyślnych ustawień klienta.
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja. Wybierz węzeł Ustawienia klienta , a następnie wybierz pozycję Domyślne ustawienia klienta.
Na karcie Narzędzia główne wstążki w grupie Właściwości wybierz pozycję Właściwości.
Wybierz sekcję Rejestracja , a następnie skonfiguruj następujące ustawienia:
Zezwalaj użytkownikom na rejestrowanie urządzeń przenośnych i komputerów Mac: Tak
Profil rejestracji: Wybierz pozycję Ustaw profil.
W oknie dialogowym Profil rejestracji urządzeń przenośnych wybierz pozycję Utwórz.
W oknie dialogowym Tworzenie profilu rejestracji wprowadź nazwę tego profilu rejestracji. Następnie skonfiguruj kod witryny zarządzania. Wybierz Configuration Manager lokacji głównej zawierającej punkty zarządzania dla tych komputerów Mac.
Uwaga
Jeśli nie możesz wybrać lokacji, upewnij się, że skonfigurowano co najmniej jeden punkt zarządzania w lokacji do obsługi urządzeń przenośnych.
Wybierz pozycję Add (Dodaj).
W oknie Dodawanie urzędu certyfikacji dla urządzeń przenośnych wybierz serwer urzędu certyfikacji, który wystawia certyfikaty na komputerach Mac.
W oknie dialogowym Tworzenie profilu rejestracji wybierz utworzony wcześniej szablon certyfikatu komputera Mac.
Wybierz przycisk OK , aby zamknąć okno dialogowe Profil rejestracji , a następnie okno dialogowe Domyślne ustawienia klienta .
Porada
Jeśli chcesz zmienić interwał zasad klienta, użyj interwału sondowania zasad klienta w grupie ustawień klienta zasad klienta .
Następnym razem, gdy urządzenia pobierzą zasady klienta, Configuration Manager zastosuje te ustawienia dla wszystkich użytkowników. Aby zainicjować pobieranie zasad dla jednego klienta, zobacz Initiate policy retrieval for a Configuration Manager client (Inicjowanie pobierania zasad dla klienta Configuration Manager).
Oprócz ustawień klienta rejestracji upewnij się, że skonfigurowano następujące ustawienia urządzenia klienckiego:
Spis sprzętu: włącz i skonfiguruj tę funkcję, jeśli chcesz zbierać spis sprzętu z komputerów Mac i komputerów klienckich z systemem Windows. Aby uzyskać więcej informacji, zobacz Jak rozszerzyć spis sprzętu.
Ustawienia zgodności: włącz i skonfiguruj tę funkcję, jeśli chcesz ocenić i skorygować ustawienia na komputerach Mac i komputerach klienckich z systemem Windows. Aby uzyskać więcej informacji, zobacz Planowanie i konfigurowanie ustawień zgodności.
Aby uzyskać więcej informacji, zobacz Jak skonfigurować ustawienia klienta.
Pobieranie klienta dla systemu macOS
Uwaga
Pakiet instalacyjny klienta systemu macOS nie jest dostępny dla nowych wdrożeń, ale istniejące wdrożenia są obsługiwane do 31 grudnia 2022 r.
Zapisz ConfigmgrMacClient.msi na komputerze z systemem Windows. Ten plik nie znajduje się na nośniku instalacyjnym Configuration Manager.
Uruchom instalatora na komputerze z systemem Windows. Wyodrębnij pakiet klienta mac macclient.dmg do folderu na dysku lokalnym. Ścieżka domyślna to
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client
.Skopiuj plik Macclient.dmg do folderu na komputerze Mac.
Na komputerze Mac uruchom plik Macclient.dmg , aby wyodrębnić pliki do folderu na dysku lokalnym.
W folderze upewnij się, że zawiera on następujące pliki:
Ccmsetup: instaluje klienta Configuration Manager na komputerach Mac przy użyciu pliku CMClient.pkg
CMDiagnostics: zbiera informacje diagnostyczne związane z klientem Configuration Manager na komputerach Mac
CMUninstall: odinstalowuje klienta z komputerów Mac
CMAppUtil: konwertuje pakiety aplikacji firmy Apple na format, który można wdrożyć jako aplikację Configuration Manager
CMEnroll: żąda i instaluje certyfikat klienta dla komputera Mac, aby następnie można było zainstalować klienta Configuration Manager
Rejestrowanie klienta mac
Rejestrowanie poszczególnych klientów za pomocą kreatora rejestracji komputerów Mac.
Aby zautomatyzować rejestrację wielu klientów, użyj narzędzia CMEnroll.
Rejestrowanie klienta za pomocą kreatora rejestracji komputerów Mac
Po zainstalowaniu klienta zostanie otwarty kreator rejestracji komputera. Aby ręcznie uruchomić kreatora, wybierz pozycję Zarejestruj na stronie preferencji Configuration Manager.
Na drugiej stronie kreatora podaj następujące informacje:
Nazwa użytkownika: Nazwa użytkownika może mieć następujące formaty:
domain\name
. Przykład:contoso\mnorth
user@domain
. Przykład:mnorth@contoso.com
Ważna
Jeśli użyjesz adresu e-mail do wypełnienia pola Nazwa użytkownika, Configuration Manager automatycznie wypełni pole Nazwa serwera. Używa domyślnej nazwy serwera punktu proxy rejestracji i nazwy domeny adresu e-mail. Jeśli te nazwy nie są zgodne z nazwą serwera punktu proxy rejestracji, napraw nazwę serwera podczas rejestracji.
Nazwa użytkownika i odpowiednie hasło muszą być zgodne z kontem użytkownika usługi Active Directory z uprawnieniami odczytu i rejestracji w szablonie certyfikatu klienta komputera Mac.
Nazwa serwera: nazwa serwera punktu proxy rejestracji.
Automatyzacja klienta i certyfikatu za pomocą programu CMEnroll
Ta procedura służy do automatyzacji instalacji klienta oraz żądania i rejestracji certyfikatów klienta za pomocą narzędzia CMEnroll. Aby uruchomić narzędzie, musisz mieć konto użytkownika usługi Active Directory.
Na komputerze Mac przejdź do folderu, w którym wyodrębniono zawartość pliku Macclient.dmg .
Wprowadź następujące polecenie:
sudo ./ccmsetup
Zaczekaj, aż zostanie wyświetlony komunikat Ukończono instalację . Mimo że instalator wyświetla teraz komunikat, który należy uruchomić ponownie, nie uruchamiaj ponownie i przejdź do następnego kroku.
W folderze Narzędzia na komputerze Mac wpisz następujące polecenie:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'
Po zainstalowaniu klienta zostanie otwarty kreator rejestracji komputerów Mac, który ułatwia zarejestrowanie komputera Mac. Aby uzyskać więcej informacji, zobacz Rejestrowanie klienta przy użyciu kreatora rejestracji komputerów Mac.
Przykład: Jeśli serwer punktu proxy rejestracji ma nazwę server02.contoso.com i udzielasz uprawnień contoso\mnorth dla szablonu certyfikatu klienta mac, wpisz następujące polecenie:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'
Uwaga
Jeśli nazwa użytkownika zawiera dowolny z następujących znaków, rejestracja kończy się niepowodzeniem:
<>"+=,
. Użyj certyfikatu poza pasmem z nazwą użytkownika, która nie zawiera tych znaków.Aby zapewnić bardziej bezproblemowe środowisko użytkownika, wykonaj skrypty kroków instalacji. Następnie użytkownicy muszą podać tylko nazwę użytkownika i hasło.
Wpisz hasło dla konta użytkownika usługi Active Directory. Po wprowadzeniu tego polecenia zostanie wyświetlony monit o podanie dwóch haseł. Pierwsze hasło jest dla konta administratora, aby uruchomić polecenie. Drugi monit dotyczy konta użytkownika usługi Active Directory. Monity wyglądają identycznie, dlatego upewnij się, że zostały określone w prawidłowej sekwencji.
Zaczekaj, aż zostanie wyświetlony komunikat Pomyślnie zarejestrowano .
Aby ograniczyć zarejestrowany certyfikat do Configuration Manager, na komputerze Mac otwórz okno terminalu i wprowadź następujące zmiany:
Wprowadź polecenie
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access
W oknie Dostęp do łańcucha kluczy w sekcji Pęku kluczy wybierz pozycję System. Następnie w sekcji Kategoria wybierz pozycję Klucze.
Rozwiń klucze, aby wyświetlić certyfikaty klienta. Znajdź certyfikat z zainstalowanym kluczem prywatnym i otwórz klucz.
Na karcie Access Control wybierz pozycję Potwierdź przed zezwoleniem na dostęp.
Przejdź do pozycji /Library/Application Support/Microsoft/CCM, wybierz pozycję CCMClient, a następnie wybierz pozycję Dodaj.
Wybierz pozycję Zapisz zmiany i zamknij okno dialogowe Dostęp do łańcucha kluczy .
Uruchom ponownie komputer Mac.
Aby sprawdzić, czy instalacja klienta zakończyła się pomyślnie, otwórz element Configuration Manager w obszarze Preferencje systemowe na komputerze Mac. Zaktualizuj i wyświetl kolekcję Wszystkie systemy w konsoli Configuration Manager. Upewnij się, że komputer Mac jest wyświetlany w tej kolekcji jako klient zarządzany.
Porada
Aby pomóc w rozwiązywaniu problemów z klientem mac, użyj narzędzia CMDiagnostics dołączonego do pakietu klienta dla komputerów Mac. Służy do zbierania następujących informacji diagnostycznych:
- Lista uruchomionych procesów
- Wersja systemu operacyjnego macOS X
- Raporty awarii systemu macOS X dotyczące klienta Configuration Manager, w tym CCM*.crash i System Preference.crash.
- Plik Listy materiałów (BOM) i plik listy właściwości (plist) utworzony przez instalację klienta Configuration Manager.
- Zawartość folderu /Library/Application Support/Microsoft/CCM/Logs.
Informacje zbierane przez program CmDiagnostics są dodawane do pliku zip, który jest zapisywany na pulpicie komputera i ma nazwę cmdiag-<hostname>-<datetime>.zip
Zarządzanie certyfikatami zewnętrznymi do Configuration Manager
Możesz użyć żądania certyfikatu i metody instalacji niezależnej od Configuration Manager. Użyj tego samego ogólnego procesu, ale uwzględnij następujące dodatkowe kroki:
Podczas instalowania klienta Configuration Manager użyj opcji wiersza polecenia MP i SubjectName. Wprowadź następujące polecenie:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>
. Nazwa podmiotu certyfikatu uwzględnia wielkość liter, więc wpisz ją dokładnie tak, jak jest wyświetlana w szczegółach certyfikatu.Przykład: nazwa FQDN internetowego punktu zarządzania jest server03.contoso.com. Certyfikat klienta komputera Mac ma nazwę FQDN mac12.contoso.com jako nazwę pospolitą w temacie certyfikatu. Użyj następującego polecenia:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com
Jeśli masz więcej niż jeden certyfikat zawierający tę samą wartość podmiotu, określ numer seryjny certyfikatu do użycia dla klienta Configuration Manager. Użyj następującego polecenia:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"
.Przykład:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
Odnawianie certyfikatu klienta dla komputerów Mac
Ta procedura usuwa identyfikator SMSID. Klient Configuration Manager dla komputerów Mac wymaga nowego identyfikatora w celu użycia nowego lub odnowionego certyfikatu.
Ważna
Po zastąpieniu identyfikatora SMSID klienta podczas usuwania starego zasobu w konsoli Configuration Manager należy również usunąć wszystkie przechowywane historii klienta. Na przykład historia spisu sprzętu dla tego klienta.
Utwórz i wypełnij kolekcję urządzeń dla komputerów Mac, które muszą odnowić certyfikaty komputera.
W obszarze roboczym Zasoby i zgodność uruchom Kreatora tworzenia elementu konfiguracji.
Na stronie Ogólne kreatora określ następujące informacje:
Nazwa: Usuwanie identyfikatora SMSID dla komputerów Mac
Typ: Mac OS X
Na stronie Obsługiwane platformy wybierz wszystkie wersje systemu macOS X.
Na stronie Ustawienia wybierz pozycję Nowy. W oknie Tworzenie ustawienia określ następujące informacje:
Nazwa: Usuwanie identyfikatora SMSID dla komputerów Mac
Typ ustawienia: Skrypt
Typ danych: Ciąg
W oknie Tworzenie ustawienia w polu Skrypt odnajdywania wybierz pozycję Dodaj skrypt. Ta akcja określa skrypt do odnajdywania komputerów Mac skonfigurowanych przy użyciu identyfikatora SMSID.
W oknie Edytowanie skryptu odnajdywania wprowadź następujący skrypt powłoki:
defaults read com.microsoft.ccmclient SMSID
Wybierz przycisk OK , aby zamknąć okno Edytowanie skryptu odnajdywania .
W oknie Tworzenie ustawienia dla skryptu korygowania (opcjonalnie) wybierz pozycję Dodaj skrypt. Ta akcja określa skrypt umożliwiający usunięcie identyfikatora SMSID po znalezieniu go na komputerach Mac.
W oknie Tworzenie skryptu korygowania wprowadź następujący skrypt powłoki:
defaults delete com.microsoft.ccmclient SMSID
Wybierz przycisk OK , aby zamknąć okno Tworzenie skryptu korygowania .
Na stronie Reguły zgodności wybierz pozycję Nowy. Następnie w oknie Tworzenie reguły określ następujące informacje:
Nazwa: Usuwanie identyfikatora SMSID dla komputerów Mac
Wybrane ustawienie: wybierz pozycję Przeglądaj , a następnie wybierz wcześniej określony skrypt odnajdywania.
W następującym polu wartości : domena/domyślna para (com.microsoft.ccmclient, SMSID) nie istnieje.
Włącz opcję Uruchamianie określonego skryptu korygowania, gdy to ustawienie jest niezgodne.
Zakończ pracę kreatora.
Utwórz konfigurację odniesienia zawierającą ten element konfiguracji. Wdróż punkt odniesienia w kolekcji docelowej.
Aby uzyskać więcej informacji, zobacz Jak utworzyć konfigurację odniesienia.
Po zainstalowaniu nowego certyfikatu na komputerach Mac z usuniętym identyfikatorem SMSID uruchom następujące polecenie, aby skonfigurować klienta do korzystania z nowego certyfikatu:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>