Обслуживание клиентов Mac
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с января 2022 г. эта функция Configuration Manager является устаревшей. Дополнительные сведения см. в статье Компьютеры Mac.
Ниже приведены процедуры по удалению клиентов Mac и обновлению их сертификатов.
Удаление клиента Mac
На компьютере Mac откройте окно терминала и перейдите к папке, содержащей macclient.dmg.
Перейдите в папку Сервис и введите следующую командную строку:
./CMUninstall -c
Примечание.
Свойство -c указывает, что удаление клиента также удаляет журналы сбоев клиента и файлы журналов. Мы рекомендуем это сделать, чтобы избежать путаницы при последующей переустановке клиента.
При необходимости вручную удалите сертификат проверки подлинности клиента, который Configuration Manager использовал, или отмените его. CMUnistall не удаляет и не отменяет этот сертификат.
Обновление сертификата клиента Mac
Используйте один из следующих методов, чтобы обновить сертификат клиента Mac:
Мастер обновления сертификатов
Настройте следующие значения в виде строк в файле ccmclient.plist, который управляет при открытии мастера обновления сертификатов:
RenewPeriod1 — указывает в секундах первый период продления, в течение которого пользователи могут продлить сертификат. Значение по умолчанию — 3 888 000 секунд (45 дней). Не настраивайте значение меньше 300, так как период будет отменить изменения по умолчанию.
RenewPeriod2 — указывает в секундах второй период продления, в течение которого пользователи могут продлить сертификат. Значение по умолчанию — 259 200 секунд (3 дня). Если это значение настроено и больше или равно 300 секундам и меньше или равно Параметру RenewalPeriod1, будет использоваться значение . Если параметр RenewalPeriod1 превышает 3 дня, для параметра RenewalPeriod2 будет использоваться значение 3 дня. Если параметр RenewalPeriod1 составляет менее 3 дней, то параметр RenewalPeriod2 имеет то же значение, что и RenewalPeriod1.
RenewReminderInterval1 — указывает в секундах частоту, с которой мастер продления сертификатов будет отображаться для пользователей в течение первого периода продления. Значение по умолчанию — 86 400 секунд (1 день). Если параметр RenewalReminderInterval1 превышает 300 секунд и меньше значения, настроенного для RenewalPeriod1, будет использоваться настроенное значение. В противном случае будет использоваться значение по умолчанию 1 день.
RenewReminderInterval2 — указывает в секундах частоту, с которой мастер продления сертификатов будет отображаться для пользователей в течение второго периода продления. Значение по умолчанию — 28 800 секунд (8 часов). Если значение RenewalReminderInterval2 больше 300 секунд, меньше или равно Значению RenewalReminderInterval1 и меньше или равно RenewalPeriod2, будет использовано настроенное значение. В противном случае будет использоваться значение 8 часов.
Примере: Если значения остаются по умолчанию, за 45 дней до истечения срока действия сертификата мастер будет открываться каждые 24 часа. В течение 3 дней после истечения срока действия сертификата мастер будет открываться каждые 8 часов.
Примере: Используйте следующую командную строку или скрипт, чтобы задать для первого периода продления 20 дней.
sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000
Когда откроется мастер продления сертификатов, поля Имя пользователя и Имя сервера обычно заполняются заранее, и пользователь может просто ввести пароль для продления сертификата.
Примечание.
Если мастер не открывается или вы случайно закроете мастер, нажмите кнопку Продлить на странице параметров Configuration Manager, чтобы открыть мастер.
Продление сертификата вручную
Обычно срок действия сертификата клиента Mac составляет 1 год. Configuration Manager не обновляет автоматически сертификат пользователя, запрошенный во время регистрации, поэтому для продления сертификата вручную необходимо выполнить следующую процедуру.
Важно!
Если срок действия сертификата истек, необходимо удалить, переустановить и повторно зарегистрировать клиент Mac.
Эта процедура удаляет ИДЕНТИФИКАТОР SMS, необходимый для запроса нового сертификата для того же компьютера Mac. При удалении и замене ИДЕНТИФИКАТОРа SMSID клиента все сохраненные журналы клиентов, такие как инвентаризация, удаляются после удаления клиента из консоли Configuration Manager.
Создайте и заполните коллекцию устройств для компьютеров Mac, которые должны обновить пользовательские сертификаты.
Предупреждение
Configuration Manager не отслеживает срок действия сертификата, зарегистрированного для компьютеров Mac. Необходимо отслеживать это независимо от Configuration Manager, чтобы определить компьютеры Mac для добавления в эту коллекцию.
В рабочей области Активы и соответствие запустите мастер создания элемента конфигурации.
На странице Общие укажите следующие сведения:
Имя:удаление SMSID для Mac
Тип:Mac OS X
На странице Поддерживаемые платформы убедитесь, что выбраны все версии macOS X.
На странице Параметры выберите Создать , а затем в диалоговом окне Создание параметра укажите следующие сведения:
Имя:удаление SMSID для Mac
Тип параметра:Скрипт
Тип данных:String
В диалоговом окне Создание параметра в поле Скрипт обнаружения выберите Добавить скрипт , чтобы указать скрипт, который обнаруживает компьютеры Mac с настроенным SMSID.
В диалоговом окне Изменение скрипта обнаружения введите следующий скрипт оболочки:
defaults read com.microsoft.ccmclient SMSID
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Изменение скрипта обнаружения .
В диалоговом окне Создание параметра в поле Скрипт исправления (необязательно) выберите Добавить скрипт , чтобы указать скрипт, который удаляет SMSID при его обнаружении на компьютерах Mac.
В диалоговом окне Создание скрипта исправления введите следующий скрипт оболочки:
defaults delete com.microsoft.ccmclient SMSID
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Создание скрипта исправления .
На странице Правила соответствия мастера нажмите кнопку Создать, а затем в диалоговом окне Создание правила укажите следующие сведения:
Имя:удаление SMSID для Mac
Выбранный параметр: Нажмите кнопку Обзор , а затем выберите сценарий обнаружения, указанный ранее.
В следующем поле значений введите Пара домен/по умолчанию (com.microsoft.ccmclient, SMSID) не существует.
Включите параметр Запуск указанного скрипта исправления, если этот параметр не соответствует требованиям.
Завершите работу мастера создания элемента конфигурации.
Создайте базовый план конфигурации, содержащий только что созданный элемент конфигурации, и разверните его в коллекции устройств, созданной на шаге 1.
Дополнительные сведения о создании и развертывании базовых показателей конфигурации см. в разделах Создание базовых показателей конфигурации и Развертывание базовых конфигураций.
На компьютерах Mac, на которых удален SMSID, выполните следующую команду, чтобы установить новый сертификат:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>
При появлении запроса введите пароль для учетной записи суперпользовала, чтобы выполнить команду, а затем пароль для учетной записи пользователя Active Directory.
Чтобы ограничить зарегистрированный сертификат Configuration Manager, на компьютере Mac откройте окно терминала и внесите следующие изменения:
А. Введите команду
sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
Б. В диалоговом окне Доступ к цепочке ключей в разделе Цепочка ключей выберите Система, а затем в разделе Категория выберите Ключи.
c. Разверните ключи, чтобы просмотреть сертификаты клиента. Когда вы определили сертификат с только что установленным закрытым ключом, дважды щелкните ключ.
d. На вкладке контроль доступа выберите Подтвердить, прежде чем разрешить доступ.
e. Перейдите в раздел /Library/Application Support/Microsoft/CCM, выберите CCMClient и нажмите кнопку Добавить.
f. Выберите Сохранить изменения и закройте диалоговое окно Доступ к цепочке ключей .
Перезагрузите компьютер Mac.