如何将客户端部署到 Mac
适用于: Configuration Manager(current branch)
重要
从 2022 年 1 月开始,Configuration Manager的此功能已弃用。 有关详细信息,请参阅 Mac 计算机。
本文介绍如何在 Mac 计算机上部署和维护 Configuration Manager 客户端。 若要了解在将客户端部署到 Mac 计算机之前必须配置的内容,请参阅 准备将客户端软件部署到 Mac。
为 Mac 计算机安装新客户端时,可能还需要安装Configuration Manager更新,以在 Configuration Manager 控制台中反映新的客户端信息。
在这些过程中,有两个选项用于安装客户端证书。 在准备将客户端软件部署到 Mac 中详细了解 Mac 的客户端证书。
使用 CMEnroll 工具使用Configuration Manager注册。 注册过程不支持自动证书续订。 在安装的证书过期之前重新注册 Mac 计算机。
重要
若要将客户端部署到运行 macOS Sierra 的设备,请正确配置管理点证书的 使用者名称 。 例如,使用管理点服务器的 FQDN。
配置客户端设置
使用 默认客户端设置 为 Mac 计算机配置注册。 不能使用自定义客户端设置。 若要请求和安装证书,适用于 Mac 的 Configuration Manager 客户端需要默认客户端设置。
在Configuration Manager控制台中,转到“管理”工作区。 选择“客户端设置”节点,然后选择“默认客户端设置”。
在功能区的“ 开始 ”选项卡上的 “属性” 组中,选择 “属性”。
选择“ 注册 ”部分,然后配置以下设置:
允许用户注册移动设备和 Mac 计算机: 是
注册配置文件: 选择 “设置配置文件”。
在“ 移动设备注册配置文件 ”对话框中,选择“ 创建”。
在“ 创建注册配置文件 ”对话框中,输入此注册配置文件的名称。 然后配置 管理站点代码。 选择包含这些 Mac 计算机的管理点Configuration Manager主站点。
注意
如果无法选择站点,请确保在站点中至少配置一个管理点以支持移动设备。
选择添加。
在 “为移动设备添加证书颁发机构 ”窗口中,选择向 Mac 计算机颁发证书的证书颁发机构服务器。
在 “创建注册配置文件 ”对话框中,选择之前创建的 Mac 计算机证书模板。
选择 “确定” 以关闭“ 注册配置文件 ”对话框,然后选择 “默认客户端设置” 对话框。
提示
如果要更改客户端策略间隔,请在 “客户端策略”客户端 设置组中使用 “客户端策略 轮询间隔”。
设备下次下载客户端策略时,Configuration Manager为所有用户应用这些设置。 若要为单个客户端启动策略检索,请参阅为Configuration Manager客户端启动策略检索。
除了注册客户端设置,请确保已配置以下客户端设备设置:
硬件清单:如果要从 Mac 和 Windows 客户端计算机收集硬件清单,请启用并配置此功能。 有关详细信息,请参阅 如何扩展硬件清单。
符合性设置:如果要在 Mac 和 Windows 客户端计算机上评估和修正设置,请启用并配置此功能。 有关详细信息,请参阅 规划和配置符合性设置。
有关详细信息,请参阅 如何配置客户端设置。
下载适用于 macOS 的客户端
注意
macOS 客户端安装包不适用于新部署,但在 2022 年 12 月 31 日之前支持现有部署。
将 ConfigmgrMacClient.msi 保存到运行 Windows 的计算机。 此文件不在Configuration Manager安装介质上。
在 Windows 计算机上运行安装程序。 将 Mac 客户端包 Macclient.dmg 提取到本地磁盘上的文件夹。 默认路径为
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client。将 Macclient.dmg 文件复制到 Mac 计算机上的文件夹。
在 Mac 计算机上,运行 Macclient.dmg 以将文件提取到本地磁盘上的文件夹。
在 文件夹中,请确保它包含以下文件:
Ccmsetup:使用 CMClient.pkg 在 Mac 计算机上安装 Configuration Manager 客户端
CMDiagnostics:收集与 Mac 计算机上的 Configuration Manager 客户端相关的诊断信息
CMUninstall:从 Mac 计算机卸载客户端
CMAppUtil:将 Apple 应用程序包转换为可部署为Configuration Manager应用程序的格式
CMEnroll:请求并安装 Mac 计算机的客户端证书,以便随后可以安装 Configuration Manager 客户端
注册 Mac 客户端
使用 Mac 计算机注册向导注册各个客户端。
若要自动注册许多客户端,请使用 CMEnroll 工具。
使用 Mac 计算机注册向导注册客户端
安装客户端后,将打开“计算机注册”向导。 若要手动启动向导,请从“Configuration Manager首选项”页中选择“注册”。
在向导的第二页上,提供以下信息:
用户名:用户名可使用以下格式:
domain\name. 例如:contoso\mnorthuser@domain. 例如:mnorth@contoso.com重要
使用电子邮件地址填充“用户名”字段时,Configuration Manager会自动填充“服务器名称”字段。 它使用注册代理点服务器的默认名称和电子邮件地址的域名。 如果这些名称与注册代理点服务器的名称不匹配,请在注册期间修复 服务器名称 。
用户名和密码必须与对 Mac 客户端证书模板具有 读取 和 注册 权限的 Active Directory 用户帐户匹配。
服务器名称:注册代理点服务器的名称。
使用 CMEnroll 实现客户端和证书自动化
使用此过程实现客户端安装自动化,以及使用 CMEnroll 工具请求和注册客户端证书。 若要运行该工具,必须具有 Active Directory 用户帐户。
在 Mac 计算机上,导航到提取 Macclient.dmg 文件内容的文件夹。
输入以下命令:
sudo ./ccmsetup等到看到 “已完成安装” 消息。 尽管安装程序显示一条消息,指出必须立即重启,但不要重启,然后继续执行下一步。
在 Mac 计算机上的 “工具” 文件夹中,键入以下命令:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'客户端安装后,将打开“Mac 计算机注册”向导,以帮助你注册 Mac 计算机。 有关详细信息,请参阅 使用 Mac 计算机注册向导注册客户端。
示例:如果注册代理点服务器名为 server02.contoso.com,并且你为 Mac 客户端证书模板授予 contoso\mnorth 权限,请键入以下命令:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'注意
如果用户名包含以下任何字符,注册将失败:
<>"+=,。 使用带外证书,其用户名不包含这些字符。若要获得更无缝的用户体验,请编写安装步骤脚本。 然后,用户只需提供其用户名和密码。
键入 Active Directory 用户帐户的密码。 输入此命令时,系统会提示输入两个密码。 第一个密码供超级用户帐户运行 命令。 第二个提示符是 Active Directory 用户帐户。 提示看起来完全相同,因此请确保按正确的顺序指定它们。
等到看到 “已成功注册” 消息。
若要将注册的证书限制为Configuration Manager,请在 Mac 计算机上打开终端窗口并进行以下更改:
输入命令
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access在 “密钥链访问 ”窗口中的“ 密钥链 ”部分中,选择“ 系统”。 然后在 “类别 ”部分中,选择“ 密钥”。
展开密钥以查看客户端证书。 找到安装了私钥的证书,然后打开该密钥。
在“访问控制”选项卡上,选择“在允许访问之前确认”。
浏览到/Library/Application Support/Microsoft/CCM,选择“CCMClient”,然后选择“添加”。
选择 “保存更改” 并关闭“ 密钥链访问 ”对话框。
重启 Mac 计算机。
若要验证客户端安装是否成功,请在 Mac 计算机上的“系统首选项”中打开Configuration Manager项。 此外,在 Configuration Manager 控制台中更新和查看 All Systems 集合。 确认 Mac 计算机在此集合中显示为托管客户端。
提示
若要帮助排查 Mac 客户端问题,请使用 Mac 客户端包附带的 CMDiagnostics 工具。 使用它收集以下诊断信息:
- 正在运行的进程列表
- macOS X 操作系统版本
- 与Configuration Manager客户端相关的 macOS X 崩溃报告,包括 CCM*.crash 和 System Preference.crash。
- 物料清单 (BOM) 文件和属性列表 (.plist) Configuration Manager 客户端安装创建的文件。
- 文件夹 /Library/Application Support/Microsoft/CCM/Logs 的内容。
CmDiagnostics 收集的信息将添加到保存到计算机桌面并命名的 zip 文件中 cmdiag-<hostname>-<datetime>.zip
管理Configuration Manager外部的证书
可以使用独立于Configuration Manager的证书请求和安装方法。 使用相同的常规过程,但包括以下附加步骤:
安装 Configuration Manager 客户端时,请使用 MP 和 SubjectName 命令行选项。 输入以下命令:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>。 证书使用者名称区分大小写,因此请完全按照证书详细信息中所示键入它。示例:server03.contoso.com 管理点的 Internet FQDN。 Mac 客户端证书的 FQDN mac12.contoso.com 作为证书使用者中的公用名称。 使用以下命令:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com如果有多个证书包含相同的使用者值,请指定要用于Configuration Manager客户端的证书序列号。 使用以下命令:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"。例如:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
续订 Mac 客户端证书
此过程将删除 SMSID。 适用于 Mac 的 Configuration Manager 客户端需要新的 ID 才能使用新的或续订的证书。
重要
替换客户端 SMSID 后,在 Configuration Manager 控制台中删除旧资源时,还会删除所有存储的客户端历史记录。 例如,该客户端的硬件清单历史记录。
为必须续订计算机证书的 Mac 计算机创建并填充设备集合。
在 “资产和符合性” 工作区中,启动 “创建配置项目向导”。
在向导的“ 常规 ”页上,指定以下信息:
名称: 删除 Mac 的 SMSID
类型: Mac OS X
在 “支持的平台 ”页上,选择所有 macOS X 版本。
在 “设置” 页上,选择“ 新建”。 在 “创建设置” 窗口中,指定以下信息:
名称: 删除 Mac 的 SMSID
设置类型: 脚本
数据类型: 字符串
在 “创建设置” 窗口中,对于 “发现脚本”,选择“ 添加脚本”。 此操作指定用于发现配置了 SMSID 的 Mac 计算机的脚本。
在 “编辑发现脚本” 窗口中,输入以下 shell 脚本:
defaults read com.microsoft.ccmclient SMSID选择 “确定” 关闭 “编辑发现脚本 ”窗口。
在 “创建设置” 窗口中,对于 “修正脚本 (可选) ”,选择 “添加脚本”。 此操作指定在 Mac 计算机上找到 SMSID 时删除它的脚本。
在 “创建修正脚本” 窗口中,输入以下 shell 脚本:
defaults delete com.microsoft.ccmclient SMSID选择 “确定” 关闭“ 创建修正脚本 ”窗口。
在 “符合性规则” 页上,选择“ 新建”。 然后在 “创建规则” 窗口中,指定以下信息:
名称: 删除 Mac 的 SMSID
所选设置:选择 “浏览 ”,然后选择之前指定的发现脚本。
在以下值字段中: (com.microsoft.ccmclient 的域/默认对,SMSID) 不存在。
启用选项以 在此设置不符合时运行指定的修正脚本。
完成该向导。
创建包含此配置项目的配置基线。 将基线部署到目标集合。
有关详细信息,请参阅 如何创建配置基线。
在已删除 SMSID 的 Mac 计算机上安装新证书后,运行以下命令,将客户端配置为使用新证书:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>