Развертывание клиентов на компьютерах Mac
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с января 2022 г. эта функция Configuration Manager является устаревшей. Дополнительные сведения см. в статье Компьютеры Mac.
В этой статье описывается развертывание и обслуживание клиента Configuration Manager на компьютерах Mac. Сведения о том, что необходимо настроить перед развертыванием клиентов на компьютерах Mac, см. в статье Подготовка к развертыванию клиентского программного обеспечения на компьютерах Mac.
При установке нового клиента для компьютеров Mac также может потребоваться установить Configuration Manager обновления, чтобы отразить новые сведения о клиенте в консоли Configuration Manager.
В этих процедурах у вас есть два варианта установки сертификатов клиента. Дополнительные сведения о сертификатах клиента для Mac см. в статье Подготовка к развертыванию клиентского программного обеспечения на компьютерах Mac.
Используйте Configuration Manager регистрации с помощью средства CMEnroll. Процесс регистрации не поддерживает автоматическое продление сертификата. Повторно зарегистрируйте компьютер Mac до истечения срока действия установленного сертификата.
Используйте метод запроса сертификата и установки, не зависящий от Configuration Manager.
Важно!
Чтобы развернуть клиент на устройствах под управлением macOS Sierra, правильно настройте имя субъекта сертификата точки управления. Например, используйте полное доменное имя сервера точек управления.
Настройка параметров клиента
Используйте параметры клиента по умолчанию , чтобы настроить регистрацию для компьютеров Mac. Вы не можете использовать пользовательские параметры клиента. Чтобы запросить и установить сертификат, клиенту Configuration Manager для Mac требуются параметры клиента по умолчанию.
В консоли Configuration Manager перейдите в рабочую область Администрирование. Выберите узел Параметры клиента , а затем выберите Параметры клиента по умолчанию.
На вкладке Главная ленты в группе Свойства выберите Свойства.
Выберите раздел Регистрация и настройте следующие параметры:
Разрешить пользователям регистрировать мобильные устройства и компьютеры Mac: Да
Профиль регистрации: Выберите Задать профиль.
В диалоговом окне Профиль регистрации мобильных устройств нажмите кнопку Создать.
В диалоговом окне Создание профиля регистрации введите имя этого профиля регистрации. Затем настройте код сайта управления. Выберите основной сайт Configuration Manager, содержащий точки управления для этих компьютеров Mac.
Примечание.
Если вы не можете выбрать сайт, убедитесь, что на сайте настроена хотя бы одна точка управления для поддержки мобильных устройств.
Нажмите кнопку Добавить.
В окне Добавление центра сертификации для мобильных устройств выберите сервер центра сертификации, который выдает сертификаты компьютерам Mac.
В диалоговом окне Создание профиля регистрации выберите созданный ранее шаблон сертификата компьютера Mac.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Профиль регистрации , а затем диалоговое окно Параметры клиента по умолчанию .
Совет
Если вы хотите изменить интервал политики клиента, используйте интервал опроса политики клиента в группе параметров политики клиента .
При следующем скачивании клиентской политики устройства Configuration Manager применить эти параметры для всех пользователей. Сведения об инициировании извлечения политики для одного клиента см. в статье Инициирование извлечения политики для клиента Configuration Manager.
В дополнение к параметрам клиента регистрации убедитесь, что вы настроили следующие параметры клиентского устройства:
Инвентаризация оборудования. Включите и настройте эту функцию, если вы хотите собирать данные инвентаризации оборудования с клиентских компьютеров Mac и Windows. Дополнительные сведения см. в разделе Расширение инвентаризации оборудования.
Параметры соответствия. Включите и настройте эту функцию, если вы хотите оценить и исправить параметры на клиентских компьютерах Mac и Windows. Дополнительные сведения см. в статье Планирование и настройка параметров соответствия требованиям.
Дополнительные сведения см. в разделе Настройка параметров клиента.
Скачивание клиента для macOS
Примечание.
Пакет установки клиента macOS недоступен для новых развертываний, но существующие развертывания поддерживаются до 31 декабря 2022 г.
СохранитеConfigmgrMacClient.msi на компьютере под управлением Windows. Этот файл отсутствует на установочном носителе Configuration Manager.
Запустите установщик на компьютере с Windows. Извлеките пакет клиента Mac , Macclient.dmg, в папку на локальном диске. Путь по умолчанию —
C:\Program Files\Microsoft\System Center Configuration Manager for Mac client
.Скопируйте файл Macclient.dmg в папку на компьютере Mac.
На компьютере Mac запустите Macclient.dmg , чтобы извлечь файлы в папку на локальном диске.
Убедитесь, что в папке содержатся следующие файлы:
Ccmsetup: устанавливает клиент Configuration Manager на компьютерах Mac с помощью CMClient.pkg.
CMDiagnostics: собирает диагностические сведения, связанные с клиентом Configuration Manager на компьютерах Mac.
CMUninstall: удаляет клиент с компьютеров Mac.
CMAppUtil: преобразует пакеты приложений Apple в формат, который можно развернуть как Configuration Manager приложение.
CMEnroll: запрашивает и устанавливает сертификат клиента для компьютера Mac, чтобы затем можно было установить клиент Configuration Manager.
Регистрация клиента Mac
Регистрация отдельных клиентов с помощью мастера регистрации компьютеров Mac.
Чтобы автоматизировать регистрацию для многих клиентов, используйте средство CMEnroll.
Регистрация клиента с помощью мастера регистрации компьютеров Mac
После установки клиента откроется мастер регистрации компьютера. Чтобы вручную запустить мастер, выберите Регистрация на странице настроек Configuration Manager.
На второй странице мастера укажите следующие сведения:
Имя пользователя. Имя пользователя может быть в следующих форматах:
domain\name
. Пример:contoso\mnorth
user@domain
. Пример:[email protected]
Важно!
При использовании адреса электронной почты для заполнения поля Имя пользователя Configuration Manager автоматически заполняет поле Имя сервера. Он использует имя прокси-сервера точки регистрации по умолчанию и доменное имя адреса электронной почты. Если эти имена не совпадают с именем прокси-сервера точки регистрации, исправьте имя сервера во время регистрации.
Имя пользователя и соответствующий пароль должны соответствовать учетной записи пользователя Active Directory с разрешениями на чтение и регистрацию в шаблоне сертификата клиента Mac.
Имя сервера: имя прокси-сервера точки регистрации.
Автоматизация клиентов и сертификатов с помощью CMEnroll
Используйте эту процедуру для автоматизации установки клиента, а также запроса и регистрации сертификатов клиента с помощью средства CMEnroll. Для запуска средства требуется учетная запись пользователя Active Directory.
На компьютере Mac перейдите в папку, в которой извлечено содержимое файла Macclient.dmg .
Введите следующую команду:
sudo ./ccmsetup
Подождите, пока не появится сообщение о завершении установки . Хотя установщик отображает сообщение о том, что необходимо перезапустить сейчас, не перезагружайте и перейдите к следующему шагу.
В папке Сервис на компьютере Mac введите следующую команду:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u '<user_name>'
После установки клиента откроется мастер регистрации компьютеров Mac, который поможет вам зарегистрировать компьютер Mac. Дополнительные сведения см. в статье Регистрация клиента с помощью мастера регистрации компьютеров Mac.
Пример. Если прокси-сервер точки регистрации называется server02.contoso.com и вы предоставляете разрешения contoso\mnorth для шаблона сертификата клиента Mac, введите следующую команду:
sudo ./CMEnroll -s server02.contoso.com -ignorecertchainvalidation -u 'contoso\mnorth'
Примечание.
Если имя пользователя содержит любой из следующих символов, регистрация завершается ошибкой:
<>"+=,
. Используйте внеполосный сертификат с именем пользователя, не включающим эти символы.Чтобы обеспечить более простой пользовательский интерфейс, создайте скрипт для действий по установке. Затем пользователям нужно только указать свое имя пользователя и пароль.
Введите пароль для учетной записи пользователя Active Directory. При вводе этой команды запрашивается два пароля. Первый пароль — это для учетной записи суперпользовала для выполнения команды. Второй запрос — учетная запись пользователя Active Directory. Запросы выглядят одинаково, поэтому убедитесь, что они указаны в правильной последовательности.
Подождите, пока не появится сообщение Успешно зарегистрировано .
Чтобы ограничить зарегистрированный сертификат Configuration Manager, на компьютере Mac откройте окно терминала и внесите следующие изменения:
Введите команду
sudo /Applications/Utilities/Keychain Access.app/Contents/MacOS/Keychain Access
В окне Доступ к цепочке ключей в разделе Цепочка ключей выберите Система. Затем в разделе Категория выберите Ключи.
Разверните ключи, чтобы просмотреть сертификаты клиента. Найдите сертификат с установленным закрытым ключом и откройте ключ.
На вкладке контроль доступа выберите Подтвердить, прежде чем разрешить доступ.
Перейдите в раздел /Library/Application Support/Майкрософт/CCM, выберите CCMClient и нажмите кнопку Добавить.
Выберите Сохранить изменения и закройте диалоговое окно Доступ к цепочке ключей .
Перезагрузите компьютер Mac.
Чтобы убедиться, что установка клиента выполнена успешно, откройте элемент Configuration Manager в системных настройках на компьютере Mac. Кроме того, обновите и просмотрите коллекцию Все системы в консоли Configuration Manager. Убедитесь, что компьютер Mac отображается в этой коллекции в качестве управляемого клиента.
Совет
Чтобы устранить неполадки с клиентом Mac, используйте средство CMDiagnostics , входящее в состав пакета клиента Mac. Используйте его для сбора следующих диагностических сведений:
- Список запущенных процессов
- Версия операционной системы macOS X
- Отчеты о сбоях macOS X, относящиеся к клиенту Configuration Manager, включая CCM*.crash и System Preference.crash.
- Файл спецификации (BOM) и файл списка свойств (PLIST), созданный при установке клиента Configuration Manager.
- Содержимое папки /Library/Application Support/Майкрософт/CCM/Logs.
Сведения, собранные CmDiagnostics, добавляются в ZIP-файл, который сохраняется на рабочем столе компьютера и называется cmdiag-<hostname>-<datetime>.zip
Управление сертификатами, внешними по Configuration Manager
Вы можете использовать запрос сертификата и метод установки независимо от Configuration Manager. Используйте тот же общий процесс, но включите следующие дополнительные шаги:
При установке клиента Configuration Manager используйте параметры командной строки MP и SubjectName. Введите следующую команду:
sudo ./ccmsetup -MP <management point internet FQDN> -SubjectName <certificate subject name>
. Имя субъекта сертификата учитывает регистр, поэтому введите его точно так, как указано в сведениях о сертификате.Пример. Полное доменное имя в Интернете точки управления server03.contoso.com. Сертификат клиента Mac имеет полное доменное имя mac12.contoso.com в качестве общего имени в субъекте сертификата. Используйте следующую команду:
sudo ./ccmsetup -MP server03.contoso.com -SubjectName mac12.contoso.com
Если у вас есть несколько сертификатов, содержащих одно и то же значение субъекта, укажите серийный номер сертификата, который будет использоваться для клиента Configuration Manager. Используйте следующую команду:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"
.Пример:
sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
Обновление сертификата клиента Mac
Эта процедура удаляет ИДЕНТИФИКАТОР SMS. Клиенту Configuration Manager для Mac требуется новый идентификатор для использования нового или обновленного сертификата.
Важно!
После замены SMSID клиента при удалении старого ресурса в консоли Configuration Manager также удаляются все сохраненные журналы клиентов. Например, журнал инвентаризации оборудования для этого клиента.
Создайте и заполните коллекцию устройств для компьютеров Mac, которые должны обновить сертификаты компьютера.
В рабочей области Активы и соответствие запустите мастер создания элемента конфигурации.
На странице Общие мастера укажите следующие сведения:
Имя: удаление SMSID для Mac
Тип: Mac OS X
На странице Поддерживаемые платформы выберите все версии macOS X.
На странице Параметры выберите Создать. В окне Создание параметра укажите следующие сведения:
Имя: удаление SMSID для Mac
Тип параметра: скрипт
Тип данных: String
В окне Create Setting (Создать параметр) для параметра Сценарий обнаружения выберите Добавить скрипт. Это действие задает скрипт для обнаружения компьютеров Mac, настроенных с помощью SMSID.
В окне Изменение скрипта обнаружения введите следующий скрипт оболочки:
defaults read com.microsoft.ccmclient SMSID
Нажмите кнопку ОК , чтобы закрыть окно Изменение скрипта обнаружения .
В окне Создание параметра для параметра Скрипт исправления (необязательно) выберите Добавить скрипт. Это действие задает скрипт для удаления SMSID при его обнаружении на компьютерах Mac.
В окне Создание скрипта исправления введите следующий скрипт оболочки:
defaults delete com.microsoft.ccmclient SMSID
Нажмите кнопку ОК , чтобы закрыть окно Создание скрипта исправления .
На странице Правила соответствия нажмите кнопку Создать. Затем в окне Создание правила укажите следующие сведения:
Имя: удаление SMSID для Mac
Выбранный параметр. Выберите Обзор , а затем выберите сценарий обнаружения, указанный ранее.
В следующем поле значений : Пара домен/по умолчанию (com.microsoft.ccmclient, SMSID) не существует.
Включите параметр Запуск указанного скрипта исправления, если этот параметр не соответствует требованиям.
Завершите работу мастера.
Создайте базовый план конфигурации, содержащий этот элемент конфигурации. Разверните базовый план в целевой коллекции.
Дополнительные сведения см. в разделе Создание базовых показателей конфигурации.
После установки нового сертификата на компьютерах Mac, на которых удален SMSID, выполните следующую команду, чтобы настроить клиент для использования нового сертификата:
sudo defaults write com.microsoft.ccmclient SubjectName -string <subject_name_of_new_certificate>