Como implementar clientes em Macs
Aplica-se a: Configuration Manager (ramo atual)
Este artigo descreve como implementar e manter o cliente Gestor de Configuração em computadores Mac. Para saber o que tem de configurar antes de colocar clientes em computadores Mac, consulte Prepare-se para implementar software de clientes para Macs.
Quando instalar um novo cliente para computadores Mac, poderá também ter de instalar atualizações do Gestor de Configuração para refletir as novas informações do cliente na consola Do Gestor de Configuração.
Nestes procedimentos, tem duas opções para instalar certificados de cliente. Leia mais sobre certificados de cliente para Macs em Prepare-se para implementar software de clientes para Macs.
Utilize a inscrição do Gestor de Configuração utilizando a ferramenta CMEnroll. O processo de inscrição não suporta a renovação automática de certificados. Reinscreva o computador Mac antes que o certificado instalado expire.
Utilize um método de pedido de certificado e de instalação independente do Gestor de Configuração.
Importante
Para implantar o cliente em dispositivos que executam o macOS Sierra, configurar corretamente o nome assunto do certificado de ponto de gestão. Por exemplo, utilize o FQDN do servidor de ponto de gestão.
Configurar definições do cliente
Utilize as definições de cliente predefinidas para configurar a inscrição para computadores Mac. Não pode usar configurações personalizadas do cliente. Para solicitar e instalar o certificado, o cliente Gestor de Configuração para Mac requer as definições de cliente predefinido.
Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Selecione o nó Definições cliente e, em seguida, selecione o Definições de Cliente Predefinido.
No separador Casa da fita, no grupo Propriedades, escolha Propriedades.
Selecione a secção de inscrição e, em seguida, configufique as seguintes definições:
Permitir que os utilizadores matriculem dispositivos móveis e computadores Mac: Sim
Perfil de inscrição: Escolha o perfil de definição.
Na caixa de diálogo de perfil de inscrição de dispositivo móvel, escolha Criar.
Na caixa de diálogo do perfil de inscrição, insira um nome para este perfil de inscrição. Em seguida, configurar o código do site Management. Selecione o site primário do Gestor de Configuração que contém os pontos de gestão destes computadores Mac.
Nota
Se não conseguir selecionar o site, certifique-se de que configura pelo menos um ponto de gestão no site para suportar dispositivos móveis.
Escolha Adicionar.
Na janela Da Autoridade de Certificação de Adicionar para Dispositivos Móveis, selecione o servidor da autoridade de certificação que emite certificados para computadores Mac.
Na caixa de diálogo do perfil de inscrição, selecione o modelo de certificado de computador Mac que criou anteriormente.
Selecione OK para fechar a caixa de diálogo do perfil de inscrição e, em seguida, a caixa de diálogo de Definições cliente predefinido.
Dica
Se quiser alterar o intervalo de política do cliente, utilize o intervalo de votação da política do Cliente no grupo de definição de clientes da Política de Clientes.
Da próxima vez que os dispositivos descarregarem a política do cliente, o Gestor de Configuração aplica estas definições para todos os utilizadores. Para iniciar a recuperação de políticas para um único cliente, consulte Iniciar a recuperação de políticas para um cliente Gestor de Configuração.
Além das definições do cliente de inscrição, certifique-se de que configura as seguintes definições do dispositivo cliente:
Inventário de hardware: Ative e configuure esta funcionalidade se quiser recolher o inventário de hardware dos computadores Mac e Windows clientes. Para obter mais informações, consulte Como alargar o inventário de hardware.
Definições de conformidade: Ative e configufique esta funcionalidade se pretender avaliar e remediar as definições nos computadores Mac e Windows clientes. Para obter mais informações, consulte o Plano e configurar as definições de conformidade.
Para obter mais informações, consulte como configurar as definições do cliente.
Descarregue o cliente para macOS
Descarregue o pacote de ficheiros para clientes macOS, Microsoft Endpoint Configuration Manager - macOS Client (64-bit). Guarde ConfigmgrMacClient.msi para um computador que executa Windows. Este ficheiro não está nos meios de instalação do Gestor de Configuração.
Executar o instalador no computador Windows. Extrair o pacote de cliente Mac, Macclient.dmg, para uma pasta no disco local. O caminho padrão é
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client
.Copie o ficheiro Macclient.dmg para uma pasta no computador Mac.
No computador Mac, executar Macclient.dmg extrair os ficheiros para uma pasta no disco local.
Na pasta, certifique-se de que contém os seguintes ficheiros:
Ccmsetup: Instala o cliente Gestor de Configuração nos seus computadores Mac utilizando CMClient.pkg
CMDiagnósticos: Recolhe informações de diagnóstico relacionadas com o cliente Gestor de Configuração nos seus computadores Mac
CMUninstall: Desinstala o cliente dos seus computadores Mac
CMAppUtil: Converte pacotes de aplicações da Apple num formato que pode implementar como uma aplicação De Gestor de Configuração
CMEnroll: Solicita e instala o certificado de cliente para um computador Mac para que possa instalar o cliente Gestor de Configuração
Inscreva o cliente Mac
Inscreva clientes individuais com o assistente de inscrição de computador Mac.
Para automatizar a inscrição para muitos clientes, utilize a ferramenta CMEnroll.
Inscreva o cliente com o assistente de inscrição de computador Mac
Depois de instalar o cliente, abre-se o assistente de inscrição de computador. Para iniciar manualmente o assistente, selecione Inscrever-se na página de preferência do Gestor de Configuração.
Na segunda página do assistente, forneça as seguintes informações:
Nome do utilizador: O nome de utilizador pode estar nos seguintes formatos:
domain\name
. Por exemplo:contoso\mnorth
user@domain
. Por exemplo:mnorth@contoso.com
Importante
Quando utiliza um endereço de e-mail para preencher o campo nome do Utilizador, o Gestor de Configuração povoa automaticamente o campo de nomes do Servidor. Utiliza o nome predefinido do servidor de ponto de procuração de inscrição e o nome de domínio do endereço de e-mail. Se estes nomes não corresponderem ao nome do servidor de ponto de procuração de inscrição, corrija o nome do Servidor durante a inscrição.
O nome de utilizador e a palavra-passe correspondente devem corresponder a uma conta de utilizador do Ative Directory que tenha permissões de Leitura e Inscrição no modelo de certificado do cliente Mac.
Nome do servidor: O nome do servidor de ponto de procuração de inscrição.
Automação de clientes e certificados com CMEnroll
Utilize este procedimento para automatizar a instalação do cliente e solicitar e inscrever certificados de cliente com a ferramenta CMEnroll. Para executar a ferramenta, tem de ter uma conta de utilizador do Ative Directory.
No computador Mac, navegue para a pasta onde extraiu o conteúdo do ficheiro Macclient.dmg.
Introduza o seguinte comando:
sudo ./ccmsetup
Aguarde até ver a mensagem Instalação concluída . Embora o instalador apresente uma mensagem de que deve reiniciar agora, não reinicie e continue para o próximo passo.
A partir da pasta Ferramentas no computador Mac, digite o seguinte comando:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'
Após a instalação do cliente, o Assistente para Inscrever um Computador Mac abre para ajudá-lo a inscrever o computador Mac. Para obter mais informações, consulte inscrever o cliente utilizando o assistente de inscrição do computador Mac.
Exemplo: Se o servidor de ponto de procuração de inscrição for nomeado server02.contoso.com, e conceder permissões contoso\mnorth para o modelo de certificado de cliente Mac, digite o seguinte comando:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'
Nota
Se o nome de utilizador incluir qualquer um dos seguintes caracteres, a inscrição falha:
<>"+=,
. Use um certificado fora de banda com um nome de utilizador que não inclua estes caracteres.Para uma experiência de utilizador mais perfeita, guie os passos de instalação. Em seguida, os utilizadores apenas têm que fornecer o seu nome de utilizador e senha.
Digite a palavra-passe para a conta de utilizador do Ative Directory. Quando introduz este comando, pede duas palavras-passe. A primeira palavra-passe é para a conta super utilizador executar o comando. O segundo pedido refere-se à conta de utilizador do Active Directory. Os pedidos parecem idênticos, por isso certifique-se de que os especifica pela sequência correta.
Aguarde até ver a mensagem Inscrito com êxito .
Para limitar o certificado inscrito ao Gestor de Configuração, no computador Mac, abra uma janela de terminal e faça as seguintes alterações:
Insira o comando
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access
Na janela de acesso do chaveiro, na secção Keychains, escolha Sistema. Em seguida, na secção Categoria, escolha Chaves.
Expanda as chaves para ver os certificados do cliente. Encontre o certificado com uma chave privada que instalou e abra a chave.
No separador Controlo de Acesso, escolha Confirmar antes de permitir o acesso.
Navegue para /Biblioteca/Suporte à Aplicação/Microsoft/CCM, selecione CCMClient, e, em seguida, escolha Adicionar.
Escolha Guardar alterações e feche a caixa de diálogo de acesso ao chaveiro.
Reinicie o computador Mac.
Para verificar se a instalação do cliente foi bem sucedida, abra o item 'Gestor de Configuração' nas Preferências do Sistema no computador Mac. Também atualize e veja a coleção All Systems na consola 'Gestor de Configuração'. Confirme que o computador Mac aparece nesta coleção como um cliente gerido.
Dica
Para ajudar a resolver problemas com o cliente Mac, utilize a ferramenta CMDiagnostics incluída no pacote de clientes Mac. Utilize-o para recolher as seguintes informações de diagnóstico:
- Uma lista dos processos em execução
- A versão do sistema operativo macOS X
- relatórios de acidentes do macOS X relativos ao cliente Do Gestor de Configuração, incluindo CCM * .crash e System Preference.crash.
- O ficheiro de ficheiros e lista de propriedades (.plist) da Fatura dos Materiais (BOM) criado pela instalação do cliente Do Gestor de Configuração.
- O conteúdo da pasta /Biblioteca/Suporte à Aplicação/Microsoft/CCM/Logs.
A informação recolhida pela CmDiagnostics é adicionada a um ficheiro zip que é guardado no ambiente de trabalho do computador e é nomeado cmdiag-<hostname>-<datetime>.zip
Gerir certificados externos ao Gestor de Configuração
Pode utilizar um método de pedido de certificado e instalação independente do Gestor de Configuração. Utilize o mesmo processo geral, mas inclua os seguintes passos adicionais:
Quando instalar o cliente Gestor de Configuração, utilize as opções de linha de comando MP e SubjectName. Introduza o seguinte comando:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>
. O nome do sujeito do certificado é sensível a maiíssimos casos, por isso escreva-o exatamente como aparece nos dados do certificado.Exemplo: A FQDN do ponto de gestão é server03.contoso.com. O certificado de cliente Mac tem a FQDN de mac12.contoso.com como um nome comum no sujeito do certificado. Utilize o seguinte comando:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com
Se tiver mais de um certificado que contenha o mesmo valor de sujeito, especifique o número de série do certificado a utilizar para o cliente Gestor de Configuração. Utilize o seguinte comando:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"
.Por exemplo:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
Renovar o certificado de cliente Mac
Este procedimento remove o SMSID. O cliente Do Gestor de Configuração para Mac requer um novo ID para usar um certificado novo ou renovado.
Importante
Depois de substituir o CLIENTE SMSID, quando eliminar o recurso antigo na consola Do Gestor de Configuração, também elimina qualquer histórico de clientes armazenado. Por exemplo, o histórico de inventário de hardware para aquele cliente.
Crie e preencha uma coleção de dispositivos para os computadores Mac que devem renovar os certificados de computador.
Na área de trabalho Ativos e Compatibilidade , inicie o Assistente de Criação de Item de Configuração.
Na página Geral do assistente, especifique as seguintes informações:
Nome: Remover SMSID para Mac
Tipo: Mac OS X
Na página 'Plataformas Suportadas', selecione todas as versões do macOS X.
Na página Definições, selecione Novo. Na janela 'Configurar' Criar, especifique as seguintes informações:
Nome: Remover SMSID para Mac
Tipo de definição: Script
Tipo de dados: Corda
Na janela 'Configurar' Criar, para o script Discovery, selecione Adicionar script. Esta ação especifica um script para descobrir computadores Mac configurados com um SMSID.
Na janela do Script do Discovery Editar, insira o seguinte script da concha:
defaults read com.microsoft.ccmclient SMSID
Escolha OK para fechar a janela do Script de Descoberta de Edição.
Na janela 'Configurar' Criar, para script de remediação (opcional), escolha adicionar script. Esta ação especifica um script para remover o SMSID quando é encontrado em computadores Mac.
Na janela 'Script 'Criar Remediação', insira o seguinte script de concha:
defaults delete com.microsoft.ccmclient SMSID
Escolha OK para fechar a janela Do Script de Remediação.
Na página 'Regras de Conformidade', escolha Novo. Em seguida, na janela 'Criar Regra', especifique as seguintes informações:
Nome: Remover SMSID para Mac
Definição selecionada: Escolha procurar e, em seguida, selecione o script de descoberta que especificou anteriormente.
No campo de valores seguintes: O par de domínio/predefinido de (com.microsoft.ccmclient, SMSID) não existe.
Ative a opção de executar o roteiro de remediação especificado quando esta definição não for conforme.
Conclua o assistente.
Crie uma linha de base de configuração que contenha este item de configuração. Desloque a linha de base para a recolha do alvo.
Para obter mais informações, consulte Como criar linhas de base de configuração.
Depois de instalar um novo certificado em computadores Mac que tenham o SMSID removido, execute o seguinte comando para configurar o cliente para utilizar o novo certificado:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>