Mac-clients onderhouden

Van toepassing op: Configuration Manager (current branch)

Belangrijk

Vanaf januari 2022 wordt deze functie van Configuration Manager afgeschaft. Zie Mac-computers voor meer informatie.

Hier volgen procedures voor het verwijderen van Mac-clients en voor het vernieuwen van hun certificaten.

De Mac-client verwijderen

1. Open op een Mac-computer een terminalvenster en navigeer naar de map met macclient.dmg.

2. Ga naar de map Extra en voer de volgende opdrachtregel in:

   ./CMUninstall -c

   Opmerking

   De eigenschap -c geeft de client de opdracht om ook crashlogboeken en logboekbestanden van de client te verwijderen. We raden dit aan om verwarring te voorkomen als u de client later opnieuw installeert.

3. Verwijder indien nodig handmatig het clientverificatiecertificaat dat Configuration Manager gebruikte of trek het in. CMUnistall verwijdert of trekt dit certificaat niet in.

Het Mac-clientcertificaat vernieuwen

Gebruik een van de volgende methoden om het Mac-clientcertificaat te vernieuwen:

• Wizard Certificaat vernieuwen

• Certificaat handmatig verlengen

Wizard Certificaat vernieuwen

1. Configureer de volgende waarden als tekenreeksen in het bestand ccmclient.plist dat bepaalt wanneer de wizard Certificaat vernieuwen wordt geopend:

   • RenewalPeriod1 : hiermee geeft u in seconden de eerste verlengingsperiode op waarin gebruikers het certificaat kunnen vernieuwen. De standaardwaarde is 3.888.000 seconden (45 dagen). Configureer geen waarde die kleiner is dan 300, omdat de periode wordt teruggezet naar de standaardwaarde.

   • RenewalPeriod2 : hiermee geeft u in seconden de tweede verlengingsperiode op waarin gebruikers het certificaat kunnen vernieuwen. De standaardwaarde is 259.200 seconden (3 dagen). Als deze waarde is geconfigureerd en groter is dan of gelijk is aan 300 seconden en kleiner is dan of gelijk is aan RenewalPeriod1, wordt de waarde gebruikt. Als RenewalPeriod1 langer is dan 3 dagen, wordt een waarde van 3 dagen gebruikt voor RenewalPeriod2. Als RenewalPeriod1 minder dan 3 dagen is, wordt RenewalPeriod2 ingesteld op dezelfde waarde als RenewalPeriod1.

   • RenewalReminderInterval1 - Hiermee geeft u in seconden de frequentie op waarmee de wizard Certificaat vernieuwen wordt weergegeven aan gebruikers tijdens de eerste verlengingsperiode. De standaardwaarde is 86.400 seconden (1 dag). Als RenewalReminderInterval1 langer is dan 300 seconden en kleiner is dan de waarde die is geconfigureerd voor RenewalPeriod1, wordt de geconfigureerde waarde gebruikt. Anders wordt de standaardwaarde van 1 dag gebruikt.

   • RenewalReminderInterval2 - Hiermee geeft u in seconden de frequentie op waarmee de wizard Certificaat vernieuwen wordt weergegeven voor gebruikers tijdens de tweede verlengingsperiode. De standaardwaarde is 28.800 seconden (8 uur). Als RenewalReminderInterval2 langer is dan 300 seconden, kleiner dan of gelijk aan RenewalReminderInterval1 en kleiner dan of gelijk is aan RenewalPeriod2, wordt de geconfigureerde waarde gebruikt. Anders wordt een waarde van 8 uur gebruikt.

     Voorbeeld: Als de waarden als standaardwaarde worden behouden, wordt de wizard 45 dagen voordat het certificaat verloopt, elke 24 uur geopend. Binnen 3 dagen nadat het certificaat is verlopen, wordt de wizard elke 8 uur geopend.

     Voorbeeld: Gebruik de volgende opdrachtregel of een script om de eerste verlengingsperiode in te stellen op 20 dagen.

     sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

2. Wanneer de wizard Certificaat vernieuwen wordt geopend, worden de velden Gebruikersnaam en Servernaam doorgaans vooraf ingevuld en kan de gebruiker gewoon een wachtwoord invoeren om het certificaat te vernieuwen.

   Opmerking

   Als de wizard niet wordt geopend of als u de wizard per ongeluk sluit, klikt u op Verlengen op de pagina Configuration Manager voorkeur om de wizard te openen.

Certificaat handmatig verlengen

Een typische geldigheidsperiode voor het Mac-clientcertificaat is 1 jaar. Configuration Manager het gebruikerscertificaat dat tijdens de inschrijving wordt aangevraagd, niet automatisch wordt vernieuwd. U moet daarom de volgende procedure gebruiken om het certificaat handmatig te vernieuwen.

Belangrijk

Als het certificaat verloopt, moet u de Mac-client verwijderen, opnieuw installeren en vervolgens opnieuw inschrijven.

Met deze procedure wordt de SMSID verwijderd, die is vereist voor het aanvragen van een nieuw certificaat voor dezelfde Mac-computer. Wanneer u de SMSID van de client verwijdert en vervangt, wordt de opgeslagen clientgeschiedenis, zoals inventaris, verwijderd nadat u de client uit de Configuration Manager-console hebt verwijderd.

1. Maak en vul een apparaatverzameling in voor de Mac-computers die de gebruikerscertificaten moeten vernieuwen.

   Waarschuwing

   Configuration Manager controleert niet de geldigheidsperiode van het certificaat dat wordt ingeschreven voor Mac-computers. U moet dit onafhankelijk van Configuration Manager controleren om de Mac-computers te identificeren die aan deze verzameling moeten worden toegevoegd.

2. Start in de werkruimte Activa en naleving de wizard Configuratie-item maken.

3. Geef op de pagina Algemeen de volgende informatie op:

   • Naam:SMSID verwijderen voor Mac

   • Type:Mac OS X

4. Controleer op de pagina Ondersteunde platforms of alle macOS X-versies zijn geselecteerd.

5. Kies op de pagina Instellingende optie Nieuw en geef in het dialoogvenster Instelling maken de volgende informatie op:

   • Naam:SMSID verwijderen voor Mac

   • Instellingstype:Script

   • Gegevenstype:Tekenreeks

6. Kies in het dialoogvenster Instelling maken voor Detectiescript de optie Script toevoegen om een script op te geven waarmee Mac-computers worden gedetecteerd waarop een SMSID is geconfigureerd.

7. Voer in het dialoogvenster Detectiescript bewerken het volgende Shell-script in:

   defaults read com.microsoft.ccmclient SMSID  
   

8. Kies OK om het dialoogvenster Detectiescript bewerken te sluiten.

9. Kies in het dialoogvenster Instelling maken voor Herstelscript (optioneel) de optie Script toevoegen om een script op te geven waarmee de SMSID wordt verwijderd wanneer deze op Mac-computers wordt gevonden.

10. Voer in het dialoogvenster Herstelscript maken het volgende Shell-script in:

    defaults delete com.microsoft.ccmclient SMSID  
    

11. Kies OK om het dialoogvenster Herstelscript maken te sluiten.

12. Klik op de pagina Nalevingsregels van de wizard op Nieuw en geef in het dialoogvenster Regel maken de volgende informatie op:

    • Naam:SMSID verwijderen voor Mac

    • Geselecteerde instelling: Kies Bladeren en selecteer vervolgens het detectiescript dat u eerder hebt opgegeven.

    • Voer in het volgende waardenveldHet domein/standaardpaar van (com.microsoft.ccmclient, SMSID) bestaat niet in.

    • Schakel de optie Het opgegeven herstelscript uitvoeren in wanneer deze instelling niet compatibel is.

13. Voltooi de wizard Configuratie-item maken.

14. Maak een configuratiebasislijn die het configuratie-item bevat dat u zojuist hebt gemaakt en implementeer het in de apparaatverzameling die u in stap 1 hebt gemaakt.

    Zie Configuratiebasislijnen maken en Configuratiebasislijnen implementeren voor meer informatie over het maken en implementeren van configuratiebasislijnen.

15. Voer op Mac-computers waarop de SMSID is verwijderd de volgende opdracht uit om een nieuw certificaat te installeren:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Geef desgevraagd het wachtwoord op voor het supergebruikersaccount om de opdracht uit te voeren en geef vervolgens het wachtwoord voor het Active Directory-gebruikersaccount op.

16. Als u het ingeschreven certificaat wilt beperken tot Configuration Manager, opent u op de Mac-computer een terminalvenster en voert u de volgende wijzigingen aan:

    a. Voer de opdracht in sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. Kies in het dialoogvenster Sleutelhangertoegang in de sectie Sleutelhangersde optie Systeem en kies vervolgens in de sectie Categorie de optie Sleutels.

    c. Vouw de sleutels uit om de clientcertificaten weer te geven. Wanneer u het certificaat hebt geïdentificeerd met een persoonlijke sleutel die u zojuist hebt geïnstalleerd, dubbelklikt u op de sleutel.

    d. Kies op het tabblad Access Controlbevestigen voordat u toegang toestaat.

    e. Blader naar /Library/Application Support/Microsoft/CCM, selecteer CCMClient en kies vervolgens Toevoegen.

    f. Kies Wijzigingen opslaan en sluit het dialoogvenster Sleutelhangertoegang .

17. Start de Mac-computer opnieuw op.