准备将客户端软件部署到 Mac
适用于: Configuration Manager(current branch)
重要
从 2022 年 1 月开始,Configuration Manager的此功能已弃用。 有关详细信息,请参阅 Mac 计算机。
按照以下步骤操作,确保已准备好将 Configuration Manager 客户端部署到 Mac 计算机。
有关受支持的版本列表,请参阅 客户端和设备支持的操作系统。
证书要求
Mac 计算机的客户端安装和管理需要公钥基础结构 (PKI) 证书。 PKI 证书使用相互身份验证和加密数据传输来保护 Mac 计算机与 Configuration Manager 站点之间的通信。 Configuration Manager可以请求和安装用户客户端证书。 它使用具有企业证书颁发机构的证书服务,以及Configuration Manager注册点和注册代理点。 还可以独立于Configuration Manager请求和安装计算机证书。 此证书必须满足Configuration Manager证书要求。
Configuration Manager Mac 客户端始终检查证书吊销。 无法禁用此函数。
如果 Mac 客户端找不到 CRL) (证书吊销列表,则它们无法连接到Configuration Manager站点系统。 尤其是对于与证书颁发机构不同的林中的 Mac 客户端,请检查 CRL 设计。 确保 Mac 客户端可以查找并下载 CRL。
在 Mac 计算机上安装 Configuration Manager 客户端之前,请确定如何安装客户端证书:
使用 CMEnroll 工具使用Configuration Manager注册。 注册过程不支持自动证书续订。 在证书过期之前重新注册 Mac 计算机。
有关 Mac 客户端证书要求的详细信息,请参阅Configuration Manager的 PKI 证书要求。
Mac 客户端会自动分配到管理它们的Configuration Manager站点。 Mac 客户端安装为仅限 Internet 的客户端,即使通信仅限于 Intranet 也是如此。 此配置意味着它们与其分配的站点中启用了 Internet 的管理点和分发点进行通信。 Mac 计算机不与其分配的站点外部的站点系统通信。
重要
macOS 的 Configuration Manager 客户端不能用于连接到配置为使用数据库副本的管理点。
将 Web 服务器证书部署到站点系统服务器
如果这些站点系统没有证书,请将 Web 服务器证书部署到具有以下站点系统角色的计算机:
管理点
分发点
注册点
注册代理点
Web 服务器证书必须包含站点系统属性中指定的 Internet FQDN。 无需从 Internet 访问服务器即可支持 Mac 计算机。 如果不需要基于 Internet 的客户端管理,可以为 Internet FQDN 指定 Intranet FQDN 值。
在管理点、分发点和注册代理点的 Web 服务器证书中指定站点系统的 Internet FQDN 值。
有关示例部署的详细信息,请参阅 为运行 IIS 的站点系统部署 Web 服务器证书。
将客户端身份验证证书部署到站点系统服务器
如果这些站点系统没有客户端身份验证证书,请将客户端身份验证证书部署到托管这些站点系统角色的计算机:
管理点
分发点
有关为管理点创建并安装客户端证书的示例部署,请参阅 为 Windows 计算机部署客户端证书。
有关为分发点创建并安装客户端证书的示例部署,请参阅 为分发点部署客户端证书。
重要
若要将客户端部署到运行 macOS Sierra 的设备,必须正确配置管理点证书的使用者名称。 例如,使用管理点服务器的 FQDN。
为 Mac 准备客户端证书模板
证书模板必须具有在 Mac 计算机上注册证书的用户帐户的“读取”和“注册”权限。
有关详细信息,请参阅 为 Mac 计算机部署客户端证书。
配置管理点和分发点
为以下选项配置管理点:
HTTPS
允许来自 Internet 的客户端连接。 管理 Mac 计算机需要此配置值。 但是,这并不意味着必须从 Internet 访问站点系统服务器。
允许移动设备和 Mac 计算机使用此管理点
安装适用于 Mac 的客户端不需要分发点。 如果要在安装客户端后将软件部署到这些计算机,请将分发点配置为允许来自 Internet 的客户端连接。
配置管理点和分发点以支持 Mac
在开始此过程之前,请确保使用 Internet FQDN 配置管理点和分发点。 如果这些服务器不支持基于 Internet 的客户端管理,请将 Intranet FQDN 指定为 Internet FQDN 值。
站点系统角色必须位于主站点中。
在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“服务器和站点系统角色”节点。 然后选择具有正确站点系统角色的服务器。
在详细信息窗格中,选择 “管理点 ”角色,然后在功能区中选择“ 属性 ”。 在 “管理点属性” 窗口中,配置以下选项:
选择 “HTTPS”。
选择“仅允许 Internet 客户端连接”或“允许 Intranet 和 Internet 客户端连接”。 这些选项需要 Internet 或 Intranet FQDN。
选择 “允许移动设备和 Mac 计算机使用此管理点”。
选择“ 确定” 以保存此配置。
在“服务器和站点系统角色”节点的详细信息窗格中,选择 “分发点 ”角色,然后在功能区中选择“ 属性 ”。 在“ 分发点属性” 窗口中,配置以下选项:
选择 “HTTPS”。
选择“仅允许 Internet 客户端连接”或“允许 Intranet 和 Internet 客户端连接”。 这些选项需要 Internet 或 Intranet FQDN。
选择 “导入证书”,浏览到导出的客户端分发点证书文件,然后指定密码。
对管理 Mac 计算机的主站点中的所有管理点和分发点重复此过程。
配置注册代理点和注册点
在同一站点中安装这两个角色。 不必在同一站点系统服务器上或同一 Active Directory 林中安装它们。
有关站点系统角色放置和注意事项的详细信息,请参阅 站点系统角色。
若要添加站点系统角色以支持 Mac 计算机,请参阅 安装站点系统角色。
在“ 系统角色选择” 页上,从可用角色列表中选择“ 注册代理点 ”和“ 注册点 ”。
安装 Reporting Services 点
有关详细信息,请参阅 安装 Reporting Services 点。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈