Mac クライアントを維持するMaintain Mac clients

「オブジェクトの適用対象: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

ここでは、Mac クライアントをアンインストールし、その証明書を更新するための手順を示します。Here are procedures for uninstalling Mac clients and for renewing their certificates.

Mac クライアントをアンインストールするUninstalling the Mac client

  1. Mac コンピューターで、ターミナル ウィンドウを開き、macclient.dmg が置かれているフォルダーに移動します。On a Mac computer, open a terminal window and navigate to the folder containing macclient.dmg.

  2. ツール フォルダーに移動し、次のコマンドラインを入力します。Navigate to the Tools folder and enter the following command-line:

    ./CMUninstall -c

    注意

    -c プロパティは、クライアントのアンインストールで、クライアントのクラッシュ ログとログ ファイルも削除するように指示します。The -c property instructs the client uninstall to also remove client crash logs and log files. クライアントを後で再インストールする場合に混乱が生じるのを避けるためにも、この処置をお勧めします。We recommend this to avoid confusion if you later reinstall the client.

  3. 必要に応じて、Configuration Manager が使用していたクライアント認証証明書を手動で削除するか、失効させます。If required, manually remove the client authentication certificate that Configuration Manager was using, or revoke it. CMUnistall では、この証明書は削除または失効されません。CMUnistall does not remove or revoke this certificate.

Mac クライアント証明書の更新Renewing the Mac client certificate

Mac クライアント証明書を更新する方法は、次の 2 通りあります。Use one of the following methods to renew the Mac client certificate:

証明書の更新ウィザードRenew certificate wizard

  1. ccmclient.plist ファイルで "文字列" として次の値を構成して、証明書の更新ウィザードがいつ開くかを制御します。Configure the following values as strings in the ccmclient.plist file that controls when the Renew Certificate Wizard opens:

    • RenewalPeriod1: ユーザーが証明書を更新できる 1 番目の更新期間を秒単位で指定します。RenewalPeriod1 - Specifies, in seconds, the first renewal period in which users can renew the certificate. 既定値は 3,888,000 秒 (45 日) です。The default value is 3,888,000 seconds (45 days). 期間は既定値に戻されるため、300 より小さい値に構成しないでください。Don't configure a value less than 300, as the period will revert to the default.

    • RenewalPeriod2: ユーザーが証明書を更新できる 2 番目の更新期間を秒単位で指定します。RenewalPeriod2 - Specifies, in seconds, the second renewal period in which users can renew the certificate. 既定値は 259,200 秒 (3 日) です。The default value is 259,200 seconds (3 days). この値を 300 秒以上、RenewalPeriod1 の値以下に設定した場合は、その値が使われます。If this value is configured and is greater than or equal to 300 seconds and is less than or equal to RenewalPeriod1, the value will be used. RenewalPeriod1 の値が 3 日より大きい場合は、 RenewalPeriod2の値として 3 日が使われます。If RenewalPeriod1 is greater than 3 days, a value of 3 days will be used for RenewalPeriod2. RenewalPeriod1 の値が 3 日より小さい場合は、 RenewalPeriod2RenewalPeriod1と同じ値に設定されます。If RenewalPeriod1 is less than 3 days, then RenewalPeriod2 is set to the same value as RenewalPeriod1.

    • RenewalReminderInterval1: 1 番目の更新期間中に、証明書の更新ウィザードがユーザーに表示される頻度を秒単位で指定します。RenewalReminderInterval1 - Specifies, in seconds, the frequency at which the Renew Certificate Wizard will be displayed to users during the first renewal period. 既定値は 86,400 秒 (1 日) です。The default value is 86,400 seconds (1 day). RenewalReminderInterval1 を 300 秒以上、 RenewalPeriod1の値未満に設定した場合は、その値が使われます。If RenewalReminderInterval1 is greater than 300 seconds and less than the value configured for RenewalPeriod1, then the configured value will be used. それ以外の場合は、既定値の 1 日が使われます。Otherwise, the default value of 1 day will be used.

    • RenewalReminderInterval2: 2 番目の更新期間中に、証明書の更新ウィザードがユーザーに表示される頻度を秒単位で指定します。RenewalReminderInterval2 - Specifies, in seconds the frequency at which the Renew Certificate Wizard will be displayed to users during the second renewal period. 既定値は 28,800 秒 (8 時間) です。The default value is 28,800 seconds (8 hours). RenewalReminderInterval2 を 300 秒以上、 RenewalReminderInterval1 の値以下、且つ RenewalPeriod2の値以下に設定した場合は、その値が使われます。If RenewalReminderInterval2 is greater than 300 seconds, less than or equal to RenewalReminderInterval1 and less than or equal to RenewalPeriod2, then the configured value will be used. それ以外の場合は、8 時間が使われます。Otherwise, a value of 8 hours will be used.

      例: 既定値のままにすると、証明書が失効する 45 日前から、24 時間ごとにウィザードが開きます。Example: If the values are left as their defaults, 45 days before the certificate expires, the wizard will open every 24 hours. 証明書が失効する 3 日前になると、8 時間に 1 回ウィザードが開くようになります。Within 3 days of the certificate expiring, the wizard will open every 8 hours.

      例: 1 回目の更新期間を 20 日に設定するには、次のコマンドライン (またはスクリプト) を使用します。Example: Use the following command line, or a script, to set the first renewal period to 20 days.

      sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. 証明書の更新ウィザードが開いたときには、通常、 [ユーザー名] フィールドと [サーバー名] フィールドに既に値が挿入されており、ユーザーはパスワードを入力するだけで証明書を更新できます。When the Renew Certificate Wizard opens, the User name and Server name fields will typically be pre-populated and the user can just enter a password to renew the certificate.

    注意

    ウィザードが表示されなかった場合や、間違ってウィザードを閉じてしまった場合は、 Configuration Manager の環境設定ページで [更新] をクリックして、ウィザードを開いてください。If the wizard does not open, or if you accidentally close the wizard, click Renew from the Configuration Manager preference page to open the wizard.

証明書を手動で更新するRenew certificate manually

Mac クライアント証明書の一般的な有効期間は 1 年間です。A typical validity period for the Mac client certificate is 1 year. Configuration Manager への登録時に必要なユーザー証明書は、自動的に更新されません。そのため、次の手順に従って証明書を手動で更新する必要があります。Configuration Manager does not automatically renew the user certificate that it requests during enrollment, so you must use the following procedure to renew the certificate manually.

重要

証明書が期限切れになった場合、Mac クライアントのアンインストール、再インストール、および再登録を行う必要があります。If the certificate expires, you must uninstall, reinstall and then re-enroll the Mac client.

この手順で SMSID が削除されます。SMSID は、同じ Mac コンピューターの新しい証明書を要求するために必要です。This procedure removes the SMSID, which is required to request a new certificate for the same Mac computer. クライアント SMSID を削除して置き換えると、Configuration Manager コンソールからクライアントが削除された後に、インベントリなどの保存されているクライアント履歴も削除されます。When you remove and replace the client SMSID, any stored client history such as inventory is deleted after you delete the client from the Configuration Manager console.

  1. ユーザー証明書を更新する必要がある Mac コンピューターのデバイス コレクションを作成します。Create and populate a device collection for the Mac computers that must renew the user certificates.

    警告

    Configuration Manager は、Mac コンピューター用に登録されている証明書の有効期間を監視しません。Configuration Manager does not monitor the validity period of the certificate that it enrolls for Mac computers. Configuration Manager とは関係なく有効期間を監視して、このコレクションに追加する Mac コンピューターを特定する必要があります。You must monitor this independently from Configuration Manager to identify the Mac computers to add to this collection.

  2. [資産とコンプライアンス] ワークスペースで、構成項目の作成ウィザードを開始します。In the Assets and Compliance workspace, start the Create Configuration Item Wizard.

  3. [全般] ページで、以下の情報を指定します。On the General page, specify the following information:

    • [名前]:Mac の SMSID の削除Name:Remove SMSID for Mac

    • [種類]:Mac OS XType:Mac OS X

  4. [サポートされているプラットフォーム] ページで、すべての Mac OS X バージョンが選択されていることを確認します。On the Supported Platforms page, ensure that all Mac OS X versions are selected.

  5. [設定] ページで [新規作成] を選択し、 [設定の作成] ダイアログ ボックスで次の情報を指定します。On the Settings page, choose New and then, in the Create Setting dialog box, specify the following information:

    • [名前]:Mac の SMSID の削除Name:Remove SMSID for Mac

    • [設定の種類]:スクリプトSetting type:Script

    • [データ型]:文字列Data type:String

  6. [設定の作成] ダイアログ ボックスの [検索スクリプト][スクリプトの追加] を選択し、SMSID が構成されている Mac コンピューターを検出するスクリプトを指定します。In the Create Setting dialog box, for Discovery script, choose Add script to specify a script that discovers Mac computers with an SMSID configured.

  7. [探索スクリプトの編集] ダイアログ ボックスで、次のシェル スクリプトを入力します。In the Edit Discovery Script dialog box, enter the following Shell Script:

    defaults read com.microsoft.ccmclient SMSID  
    
  8. [OK] を選択して、 [探索スクリプトの編集] ダイアログ ボックスを閉じます。Choose OK to close the Edit Discovery Script dialog box.

  9. [設定の作成] ダイアログ ボックスの [修復スクリプト (オプション)] で、 [スクリプトの追加] を選択して、Mac コンピューターで見つかった SMSID を削除するスクリプトを指定します。In the Create Setting dialog box, for Remediation script (optional), choose Add script to specify a script that removes the SMSID when it is found on Mac computers.

  10. [修復スクリプトの作成] ダイアログ ボックスで、次のシェル スクリプトを入力します。In the Create Remediation Script dialog box, enter the following Shell Script:

    defaults delete com.microsoft.ccmclient SMSID  
    
  11. [OK] を選択して [修復スクリプトの作成] ダイアログ ボックスを閉じます。Choose OK to close the Create Remediation Script dialog box.

  12. ウィザードの [コンプライアンス規則] ページで [新規作成] をクリックし、 [規則の作成] ダイアログ ボックスで次の情報を指定します。On the Compliance Rules page of the wizard, click New, and then in the Create Rule dialog box, specify the following information:

    • [名前]:Mac の SMSID の削除Name:Remove SMSID for Mac

    • 選択された設定: [参照] を選んで、前に指定した探索スクリプトを選択します。Selected setting: Choose Browse and then select the discovery script that you specified previously.

    • [次の値] フィールドに「存在しないドメインと既定のペア (com.microsoft.ccmclient, SMSID) 」と入力します。In the following values field, enter The domain/default pair of (com.microsoft.ccmclient, SMSID) does not exist.

    • オプション [この設定が対応していない場合に指定した修復スクリプトを実行する] を有効にします。Enable the option Run the specified remediation script when this setting is noncompliant.

  13. 構成項目の作成ウィザードを完了します。Complete the Create Configuration Item Wizard.

  14. 作成した構成項目を含む構成基準を作成し、それを手順 1 で作成したデバイス コレクションに展開します。Create a configuration baseline that contains the configuration item that you have just created and deploy it to the device collection that you created in step 1.

    構成基準の作成方法と展開方法の詳細については、構成基準の作成方法に関するページと構成基準を展開する方法に関するページを参照してください。For more information about how to create and deploy configuration baselines, see How to create configuration baselines and How to deploy configuration baselines.

  15. SMSID を削除した Mac コンピューターで、次のコマンドを実行して新しい証明書をインストールします。On Mac computers that have the SMSID removed, run the following command to install a new certificate:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    プロンプトが表示されたら、コマンドを実行するスーパー ユーザー アカウントのパスワードを指定し、Active Directory ユーザー アカウントのパスワードを指定します。When prompted, provide the password for the super user account to run the command and then the password for the Active Directory user account.

  16. Mac コンピューターで、登録する証明書を Configuration Manager に制限するには、ターミナル ウィンドウを開き、次のように変更します。To limit the enrolled certificate to Configuration Manager, on the Mac computer, open a terminal window and make the following changes:

    」を参照します。a. コマンド sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access を入力しますEnter the command sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b.b. [キーチェーン アクセス] ダイアログの [キーチェーン] セクションで、 [システム] を選択し、 [カテゴリ] セクションの [キー] を選択します。In the Keychain Access dialog, in the Keychains section, choose System, and then, in the Category section, choose Keys.

    c.c. キーを展開してクライアント証明書を表示します。Expand the keys to view the client certificates. インストールした秘密キーの証明書を特定したら、そのキーをダブルクリックします。When you have identified the certificate with a private key that you have just installed, double-click the key.

    d.d. [アクセス制御] タブで、 [アクセスを許可する前に確認する] を選択します。On the Access Control tab, choose Confirm before allowing access.

    e.e. /Library/Application Support/Microsoft/CCM を参照し、 [CCMClient] を選択して [追加] を選択します。Browse to /Library/Application Support/Microsoft/CCM, select CCMClient, and then choose Add.

    f.f. [変更を保存] をクリックし、 [キーチェーン アクセス] ダイアログ ボックスを閉じます。Choose Save Changes and close the Keychain Access dialog box.

  17. Mac コンピューターを再起動します。Restart the Mac computer.