Gestire i client Mac

Si applica a: Configuration Manager (Current Branch)

Importante

A partire da gennaio 2022, questa funzionalità di Configuration Manager è deprecata. Per altre informazioni, vedere Computer Mac.

Di seguito sono riportate le procedure per disinstallare i client Mac e rinnovare i certificati.

Disinstallazione del client Mac

1. In un computer Mac aprire una finestra del terminale e passare alla cartella contenente macclient.dmg.

2. Passare alla cartella Strumenti e immettere la riga di comando seguente:

   ./CMUninstall -c

   Nota

   La proprietà -c indica alla disinstallazione client di rimuovere anche i log di arresto anomalo del client e i file di log. È consigliabile evitare confusione se in seguito si reinstalla il client.

3. Se necessario, rimuovere manualmente il certificato di autenticazione client che Configuration Manager stava usando o revocarlo. CMUnistall non rimuove o revoca questo certificato.

Rinnovo del certificato client Mac

Usare uno dei metodi seguenti per rinnovare il certificato client Mac:

• Rinnovare la procedura guidata del certificato

• Rinnovare manualmente il certificato

Rinnovare la procedura guidata del certificato

1. Configurare i valori seguenti come stringhe nel file ccmclient.plist che controlla quando viene aperta la Procedura guidata rinnova certificato:

   • RenewalPeriod1 : specifica, in secondi, il primo periodo di rinnovo in cui gli utenti possono rinnovare il certificato. Il valore predefinito è 3.888.000 secondi (45 giorni). Non configurare un valore minore di 300, perché il periodo verrà ripristinato al valore predefinito.

   • RenewalPeriod2 : specifica, in secondi, il secondo periodo di rinnovo in cui gli utenti possono rinnovare il certificato. Il valore predefinito è 259.200 secondi (3 giorni). Se questo valore è configurato ed è maggiore o uguale a 300 secondi ed è minore o uguale a RenewalPeriod1, verrà usato il valore . Se RenewalPeriod1 è maggiore di 3 giorni, verrà usato un valore di 3 giorni per RenewalPeriod2. Se RenewalPeriod1 è minore di 3 giorni, RenewalPeriod2 viene impostato sullo stesso valore di RenewalPeriod1.

   • RenewalReminderInterval1 : specifica, in secondi, la frequenza con cui verrà visualizzata la Procedura guidata rinnovo certificato durante il primo periodo di rinnovo. Il valore predefinito è 86.400 secondi (1 giorno). Se RenewalReminderInterval1 è maggiore di 300 secondi e minore del valore configurato per RenewalPeriod1, verrà usato il valore configurato. In caso contrario, verrà usato il valore predefinito di 1 giorno.

   • RenewalReminderInterval2 : specifica, in secondi, la frequenza con cui verrà visualizzata la Procedura guidata rinnovo certificato durante il secondo periodo di rinnovo. Il valore predefinito è 28.800 secondi (8 ore). Se RenewalReminderInterval2 è maggiore di 300 secondi, minore o uguale a RenewalReminderInterval1 e minore o uguale a RenewalPeriod2, verrà usato il valore configurato. In caso contrario, verrà usato un valore di 8 ore.

     Esempio: Se i valori vengono lasciati come valori predefiniti, 45 giorni prima della scadenza del certificato, la procedura guidata verrà aperta ogni 24 ore. Entro 3 giorni dalla scadenza del certificato, la procedura guidata verrà aperta ogni 8 ore.

     Esempio: Usare la riga di comando seguente, o uno script, per impostare il primo periodo di rinnovo su 20 giorni.

     sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

2. Quando si apre la Procedura guidata rinnova certificato, i campi Nome utente e Nome server vengono in genere prepopolato e l'utente può semplicemente immettere una password per rinnovare il certificato.

   Nota

   Se la procedura guidata non viene aperta o se si chiude accidentalmente la procedura guidata, fare clic su Rinnova nella pagina delle preferenze Configuration Manager per aprire la procedura guidata.

Rinnovare manualmente il certificato

Un periodo di validità tipico per il certificato client Mac è 1 anno. Configuration Manager non rinnova automaticamente il certificato utente richiesto durante la registrazione, pertanto è necessario usare la procedura seguente per rinnovare manualmente il certificato.

Importante

Se il certificato scade, è necessario disinstallare, reinstallare e quindi registrare nuovamente il client Mac.

Questa procedura rimuove l'SMSID, necessario per richiedere un nuovo certificato per lo stesso computer Mac. Quando si rimuove e si sostituisce l'SMSID client, qualsiasi cronologia client archiviata, ad esempio l'inventario, viene eliminata dopo l'eliminazione del client dalla console Configuration Manager.

1. Creare e popolare una raccolta di dispositivi per i computer Mac che devono rinnovare i certificati utente.

   Avviso

   Configuration Manager non monitora il periodo di validità del certificato registrato per i computer Mac. È necessario monitorarlo in modo indipendente da Configuration Manager per identificare i computer Mac da aggiungere a questa raccolta.

2. Nell'area di lavoro Asset e conformità avviare la Creazione guidata elemento di configurazione.

3. Nella pagina Generale specificare le informazioni seguenti:

   • Nome:Rimuovi SMSID per Mac

   • Tipo:Mac OS X

4. Nella pagina Piattaforme supportate verificare che siano selezionate tutte le versioni di macOS X.

5. Nella pagina Impostazioni scegliere Nuovo e quindi nella finestra di dialogo Crea impostazione specificare le informazioni seguenti:

   • Nome:Rimuovi SMSID per Mac

   • Impostazione di tipo:Script

   • Tipo di dati:String

6. Nella finestra di dialogo Crea impostazione scegliere Aggiungi script per specificare uno script che individua i computer Mac con un SMSID configurato.

7. Nella finestra di dialogo Modifica script di individuazione immettere lo script shell seguente:

   defaults read com.microsoft.ccmclient SMSID  
   

8. Scegliere OK per chiudere la finestra di dialogo Modifica script di individuazione .

9. Nella finestra di dialogo Crea impostazione , per Script di correzione (facoltativo) scegliere Aggiungi script per specificare uno script che rimuove l'SMSID quando viene trovato nei computer Mac.

10. Nella finestra di dialogo Crea script di correzione immettere lo script della shell seguente:

    defaults delete com.microsoft.ccmclient SMSID  
    

11. Scegliere OK per chiudere la finestra di dialogo Crea script di correzione .

12. Nella pagina Regole di conformità della procedura guidata fare clic su Nuovo e quindi nella finestra di dialogo Crea regola specificare le informazioni seguenti:

    • Nome:Rimuovi SMSID per Mac

    • Impostazione selezionata: Scegliere Sfoglia e quindi selezionare lo script di individuazione specificato in precedenza.

    • Nel campo valori seguente immettere La coppia dominio/default di (com.microsoft.ccmclient, SMSID) non esiste.

    • Abilitare l'opzione Esegui lo script di correzione specificato quando questa impostazione non è conforme.

13. Completare la Creazione guidata elemento di configurazione.

14. Creare una baseline di configurazione contenente l'elemento di configurazione appena creato e distribuirla nella raccolta di dispositivi creata nel passaggio 1.

    Per altre informazioni su come creare e distribuire linee di base di configurazione, vedere Come creare linee di base di configurazione e Come distribuire le baseline di configurazione.

15. Nei computer Mac in cui l'SMSID è stato rimosso, eseguire il comando seguente per installare un nuovo certificato:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Quando richiesto, specificare la password per l'account utente con privilegi avanzati per eseguire il comando e quindi la password per l'account utente di Active Directory.

16. Per limitare il certificato registrato a Configuration Manager, nel computer Mac aprire una finestra del terminale e apportare le modifiche seguenti:

    a. Immettere il comando sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. Nella sezione Keychains della finestra di dialogo Accesso keychain scegliere Sistema e quindi nella sezione Categoria scegliere Chiavi.

    c. Espandere le chiavi per visualizzare i certificati client. Dopo aver identificato il certificato con una chiave privata appena installata, fare doppio clic sulla chiave.

    d. Nella scheda Controllo di accesso scegliere Conferma prima di consentire l'accesso.

    e. Passare a /Library/Application Support/Microsoft/CCM, selezionare CCMClient e quindi scegliere Aggiungi.

    f. Scegliere Salva modifiche e chiudere la finestra di dialogo Accesso keychain .

17. Riavviare il computer Mac.