Manter clientes Mac
Aplica-se a: Configuration Manager (branch atual)
Importante
A partir de janeiro de 2022, esse recurso de Configuration Manager é preterido. Para obter mais informações, confira Computadores Mac.
Aqui estão os procedimentos para desinstalar clientes Mac e para renovar seus certificados.
Desinstalando o cliente Mac
Em um computador Mac, abra uma janela do terminal e navegue até a pasta que contém macclient.dmg.
Navegue até a pasta Ferramentas e insira a seguinte linha de comando:
./CMUninstall -c
Observação
A propriedade -c instrui o cliente a desinstalar para também remover logs de falha do cliente e arquivos de log. Recomendamos isso para evitar confusão se você reinstalar o cliente posteriormente.
Se necessário, remova manualmente o certificado de autenticação do cliente que Configuration Manager estava usando ou revogue-o. O CMUnistall não remove nem revoga esse certificado.
Renovando o certificado cliente Mac
Use um dos seguintes métodos para renovar o certificado cliente Mac:
Assistente de renovação de certificado
Configure os seguintes valores como cadeias de caracteres no arquivo ccmclient.plist que controla quando o Assistente de Renovação de Certificado é aberto:
RenewalPeriod1 – especifica, em segundos, o primeiro período de renovação no qual os usuários podem renovar o certificado. O valor padrão é de 3.888.000 segundos (45 dias). Não configure um valor inferior a 300, pois o período reverter para o padrão.
RenewalPeriod2 – especifica, em segundos, o segundo período de renovação no qual os usuários podem renovar o certificado. O valor padrão é de 259.200 segundos (3 dias). Se esse valor estiver configurado e for maior ou igual a 300 segundos e for menor ou igual a RenewalPeriod1, o valor será usado. Se RenewalPeriod1 for maior que 3 dias, um valor de 3 dias será usado para RenewalPeriod2. Se RenewalPeriod1 for menor que 3 dias, o RenewalPeriod2 será definido como o mesmo valor que RenewalPeriod1.
RenewalReminderInterval1 – especifica, em segundos, a frequência em que o Assistente de Renovação de Certificado será exibido aos usuários durante o primeiro período de renovação. O valor padrão é de 86.400 segundos (1 dia). Se RenewalReminderInterval1 for maior que 300 segundos e menor que o valor configurado para RenewalPeriod1, o valor configurado será usado. Caso contrário, o valor padrão de 1 dia será usado.
RenewalReminderInterval2 – especifica, em segundos, a frequência em que o Assistente de Renovação de Certificado será exibido aos usuários durante o segundo período de renovação. O valor padrão é de 28.800 segundos (8 horas). Se RenewalReminderInterval2 for maior que 300 segundos, menor ou igual a RenewalReminderInterval1 e menor ou igual a RenewalPeriod2, o valor configurado será usado. Caso contrário, um valor de 8 horas será usado.
Exemplo: Se os valores forem deixados como padrão, 45 dias antes do certificado expirar, o assistente abrirá a cada 24 horas. Dentro de 3 dias após a expiração do certificado, o assistente abrirá a cada 8 horas.
Exemplo: Use a linha de comando a seguir, ou um script, para definir o primeiro período de renovação como 20 dias.
sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000
Quando o Assistente de Renovação de Certificado for aberto, os campos Nome de usuário e nome do servidor normalmente serão pré-preenchidos e o usuário pode apenas inserir uma senha para renovar o certificado.
Observação
Se o assistente não abrir ou se você fechar acidentalmente o assistente, clique em Renovar da página de preferência Configuration Manager para abrir o assistente.
Renovar certificado manualmente
Um período de validade típico para o certificado cliente Mac é de 1 ano. Configuration Manager não renova automaticamente o certificado de usuário solicitado durante o registro, portanto, você deve usar o procedimento a seguir para renovar o certificado manualmente.
Importante
Se o certificado expirar, você deverá desinstalar, reinstalar e registrar novamente o cliente Mac.
Esse procedimento remove o SMSID, que é necessário para solicitar um novo certificado para o mesmo computador Mac. Quando você remove e substitui o SMSID do cliente, qualquer histórico de cliente armazenado, como inventário, é excluído depois de excluir o cliente do console Configuration Manager.
Crie e preencha uma coleção de dispositivos para os computadores Mac que devem renovar os certificados de usuário.
Aviso
Configuration Manager não monitora o período de validade do certificado que ele registra para computadores Mac. Você deve monitorar isso independentemente de Configuration Manager para identificar os computadores Mac a serem adicionados a essa coleção.
No workspace Ativos e Conformidade , inicie o Assistente de Criar Item de Configuração.
Na página Geral , especifique as seguintes informações:
Nome:Remover SMSID para Mac
Type:Mac OS X
Na página Plataformas Com Suporte , verifique se todas as versões do macOS X estão selecionadas.
Na página Configurações, escolha Novo e, em seguida, na caixa de diálogo Criar Configuração, especifique as seguintes informações:
Nome:Remover SMSID para Mac
Tipo de configuração:Script
Tipo de dados:Cadeia de caracteres
Na caixa de diálogo Criar Configuração , para Script de Descoberta, escolha Adicionar script para especificar um script que descubra computadores Mac com um SMSID configurado.
Na caixa de diálogo Editar Script de Descoberta , insira o seguinte Script do Shell:
defaults read com.microsoft.ccmclient SMSID
Escolha OK para fechar a caixa de diálogo Editar Script de Descoberta .
Na caixa de diálogo Criar Configuração , para Script de Correção (opcional), escolha Adicionar script para especificar um script que remove o SMSID quando ele é encontrado em computadores Mac.
Na caixa de diálogo Criar Script de Correção , insira o seguinte Script do Shell:
defaults delete com.microsoft.ccmclient SMSID
Escolha OK para fechar a caixa de diálogo Criar Script de Correção .
Na página Regras de Conformidade do assistente, clique em Novo e, em seguida, na caixa de diálogo Criar Regra , especifique as seguintes informações:
Nome:Remover SMSID para Mac
Configuração selecionada: Escolha Procurar e selecione o script de descoberta especificado anteriormente.
No campo valores a seguir, insiraO par de domínio/padrão (com.microsoft.ccmclient, SMSID) não existe.
Habilite a opção Executar o script de correção especificado quando essa configuração não for compatível.
Conclua o Assistente de Criar Item de Configuração.
Crie uma linha de base de configuração que contenha o item de configuração que você acabou de criar e implante-o na coleção de dispositivos que você criou na etapa 1.
Para obter mais informações sobre como criar e implantar linhas de base de configuração, consulte Como criar linhas de base de configuração e Como implantar linhas de base de configuração.
Em computadores Mac que têm o SMSID removido, execute o seguinte comando para instalar um novo certificado:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>
Quando solicitado, forneça a senha da conta do super usuário para executar o comando e, em seguida, a senha da conta de usuário do Active Directory.
Para limitar o certificado registrado a Configuration Manager, no computador Mac, abra uma janela do terminal e faça as seguintes alterações:
a. Insira o comando
sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
b. Na caixa de diálogo Acesso ao Keychain , na seção Keychains , escolha Sistema e, na seção Categoria , escolha Chaves.
c. Expanda as chaves para exibir os certificados do cliente. Quando você identificou o certificado com uma chave privada que acabou de instalar, clique duas vezes na chave.
d. Na guia Controle de Acesso, escolha Confirmar antes de permitir o acesso.
e. Navegue até /Library/Application Support/Microsoft/CCM, selecione CCMClient e escolha Adicionar.
f. Escolha Salvar Alterações e feche a caixa de diálogo Acesso do Keychain .
Reinicie o computador Mac.