Partage via


Gérer les clients Mac

S’applique à : Configuration Manager (branche actuelle)

Importante

À compter de janvier 2022, cette fonctionnalité de Configuration Manager est déconseillée. Pour plus d’informations, consultez Ordinateurs Mac.

Voici les procédures de désinstallation des clients Mac et de renouvellement de leurs certificats.

Désinstallation du client Mac

  1. Sur un ordinateur Mac, ouvrez une fenêtre de terminal et accédez au dossier contenant macclient.dmg.

  2. Accédez au dossier Outils et entrez la ligne de commande suivante :

    ./CMUninstall -c

    Remarque

    La propriété -c indique à la désinstallation du client de supprimer également les journaux d’incident et les fichiers journaux du client. Nous vous recommandons de procéder ainsi pour éviter toute confusion si vous réinstallez ultérieurement le client.

  3. Si nécessaire, supprimez manuellement le certificat d’authentification client que Configuration Manager utilisait, ou révoquez-le. CMUnistall ne supprime pas ou ne révoque pas ce certificat.

Renouvellement du certificat client Mac

Utilisez l’une des méthodes suivantes pour renouveler le certificat client Mac :

Assistant Renouvellement de certificat

  1. Configurez les valeurs suivantes en tant que chaînes dans le fichier ccmclient.plist qui contrôle l’ouverture de l’Assistant Renouvellement de certificat :

    • RenewalPeriod1 : spécifie, en secondes, la première période de renouvellement pendant laquelle les utilisateurs peuvent renouveler le certificat. La valeur par défaut est 3 888 000 secondes (45 jours). Ne configurez pas une valeur inférieure à 300, car la période revient à la valeur par défaut.

    • RenewalPeriod2 : spécifie, en secondes, la deuxième période de renouvellement pendant laquelle les utilisateurs peuvent renouveler le certificat. La valeur par défaut est 259 200 secondes (3 jours). Si cette valeur est configurée et est supérieure ou égale à 300 secondes et inférieure ou égale à RenewalPeriod1, la valeur est utilisée. Si RenewalPeriod1 est supérieur à 3 jours, la valeur 3 jours est utilisée pour RenewalPeriod2. Si RenewalPeriod1 est inférieur à 3 jours, RenewalPeriod2 est défini sur la même valeur que RenewalPeriod1.

    • RenewalReminderInterval1 : spécifie, en secondes, la fréquence à laquelle l’Assistant Renouvellement de certificat sera affiché aux utilisateurs pendant la première période de renouvellement. La valeur par défaut est 86 400 secondes (1 jour). Si RenewalReminderInterval1 est supérieur à 300 secondes et inférieur à la valeur configurée pour RenewalPeriod1, la valeur configurée est utilisée. Sinon, la valeur par défaut 1 jour est utilisée.

    • RenewalReminderInterval2 : spécifie, en secondes, la fréquence à laquelle l’Assistant Renouvellement de certificat sera affiché aux utilisateurs pendant la deuxième période de renouvellement. La valeur par défaut est 28 800 secondes (8 heures). Si RenewalReminderInterval2 est supérieur à 300 secondes, inférieur ou égal à RenewalReminderInterval1 et inférieur ou égal à RenewalPeriod2, la valeur configurée est utilisée. Sinon, une valeur de 8 heures est utilisée.

      Exemple: Si les valeurs sont conservées par défaut, 45 jours avant l’expiration du certificat, l’Assistant s’ouvre toutes les 24 heures. Dans les 3 jours suivant l’expiration du certificat, l’Assistant s’ouvre toutes les 8 heures.

      Exemple: Utilisez la ligne de commande suivante, ou un script, pour définir la première période de renouvellement sur 20 jours.

      sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. Lorsque l’Assistant Renouvellement de certificat s’ouvre, les champs Nom d’utilisateur et Nom du serveur sont généralement préremplies et l’utilisateur peut simplement entrer un mot de passe pour renouveler le certificat.

    Remarque

    Si l’Assistant ne s’ouvre pas ou si vous fermez accidentellement l’Assistant, cliquez sur Renouveler dans la page des préférences Configuration Manager pour ouvrir l’Assistant.

Renouveler le certificat manuellement

Une période de validité classique pour le certificat client Mac est de 1 an. Configuration Manager ne renouvelle pas automatiquement le certificat utilisateur qu’il demande lors de l’inscription, vous devez donc utiliser la procédure suivante pour renouveler le certificat manuellement.

Importante

Si le certificat expire, vous devez désinstaller, réinstaller, puis réinscrire le client Mac.

Cette procédure supprime l’ID SMS, qui est requis pour demander un nouveau certificat pour le même ordinateur Mac. Lorsque vous supprimez et remplacez l’ID SMS du client, tout historique client stocké, tel que l’inventaire, est supprimé après avoir supprimé le client de la console Configuration Manager.

  1. Créez et remplissez un regroupement d’appareils pour les ordinateurs Mac qui doivent renouveler les certificats utilisateur.

    Avertissement

    Configuration Manager ne surveille pas la période de validité du certificat qu’il inscrit pour les ordinateurs Mac. Vous devez surveiller cela indépendamment de Configuration Manager pour identifier les ordinateurs Mac à ajouter à ce regroupement.

  2. Dans l’espace de travail Ressources et conformité , démarrez l’Assistant Création d’un élément de configuration.

  3. Dans la page Général , spécifiez les informations suivantes :

    • Nom :Supprimer SMSID pour Mac

    • Type :Mac OS X

  4. Dans la page Plateformes prises en charge , vérifiez que toutes les versions de macOS X sont sélectionnées.

  5. Dans la page Paramètres , choisissez Nouveau , puis, dans la boîte de dialogue Créer un paramètre , spécifiez les informations suivantes :

    • Nom :Supprimer SMSID pour Mac

    • Type de paramètre :Script

    • Type de données :String

  6. Dans la boîte de dialogue Créer un paramètre , pour Script de découverte, choisissez Ajouter un script pour spécifier un script qui détecte les ordinateurs Mac avec un SMSID configuré.

  7. Dans la boîte de dialogue Modifier le script de découverte , entrez le script shell suivant :

    defaults read com.microsoft.ccmclient SMSID  
    
  8. Choisissez OK pour fermer la boîte de dialogue Modifier le script de découverte .

  9. Dans la boîte de dialogue Créer un paramètre , pour Script de correction (facultatif), choisissez Ajouter un script pour spécifier un script qui supprime l’ID SMS lorsqu’il est trouvé sur les ordinateurs Mac.

  10. Dans la boîte de dialogue Créer un script de correction , entrez le script shell suivant :

    defaults delete com.microsoft.ccmclient SMSID  
    
  11. Choisissez OK pour fermer la boîte de dialogue Créer un script de correction .

  12. Dans la page Règles de conformité de l’Assistant, cliquez sur Nouveau, puis dans la boîte de dialogue Créer une règle , spécifiez les informations suivantes :

    • Nom :Supprimer SMSID pour Mac

    • Paramètre sélectionné : Choisissez Parcourir , puis sélectionnez le script de découverte que vous avez spécifié précédemment.

    • Dans le champ de valeurs suivant , entrez La paire domaine/défaut de (com.microsoft.ccmclient, SMSID) n’existe pas.

    • Activez l’option Exécuter le script de correction spécifié lorsque ce paramètre n’est pas conforme.

  13. Terminez l’Assistant Création d’un élément de configuration.

  14. Créez une base de référence de configuration qui contient l’élément de configuration que vous venez de créer et déployez-le sur le regroupement d’appareils que vous avez créé à l’étape 1.

    Pour plus d’informations sur la création et le déploiement de bases de référence de configuration, consultez Guide pratique pour créer des bases de référence de configuration et Comment déployer des bases de référence de configuration.

  15. Sur les ordinateurs Mac sur lesquels l’ID SMS a été supprimé, exécutez la commande suivante pour installer un nouveau certificat :

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Lorsque vous y êtes invité, fournissez le mot de passe du compte de super utilisateur pour exécuter la commande, puis le mot de passe du compte d’utilisateur Active Directory.

  16. Pour limiter le certificat inscrit à Configuration Manager, sur l’ordinateur Mac, ouvrez une fenêtre de terminal et apportez les modifications suivantes :

    a. Entrez la commande sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. Dans la boîte de dialogue Accès au trousseau , dans la section Trousseaux , choisissez Système, puis, dans la section Catégorie , choisissez Clés.

    c. Développez les clés pour afficher les certificats clients. Une fois que vous avez identifié le certificat avec une clé privée que vous venez d’installer, double-cliquez sur la clé.

    d. Sous l’onglet Access Control, choisissez Confirmer avant d’autoriser l’accès.

    e. Accédez à /Library/Application Support/Microsoft/CCM, sélectionnez CCMClient, puis choisissez Ajouter.

    f. Choisissez Enregistrer les modifications et fermez la boîte de dialogue Accès au trousseau .

  17. Redémarrez l’ordinateur Mac.