维护 Mac 客户端

  • 项目

适用于: Configuration Manager(current branch)

重要

从 2022 年 1 月开始,Configuration Manager的此功能已弃用。 有关详细信息,请参阅 Mac 计算机

下面是卸载 Mac 客户端和续订其证书的过程。

卸载 Mac 客户端

  1. 在 Mac 计算机上,打开终端窗口并导航到包含 macclient.dmg 的文件夹。

  2. 导航到“工具”文件夹并输入以下命令行:

    ./CMUninstall -c

    注意

    -c 属性指示客户端卸载同时删除客户端崩溃日志和日志文件。 如果以后重新安装客户端,我们建议这样做以避免混淆。

  3. 如果需要,请手动删除Configuration Manager正在使用的客户端身份验证证书,或将其吊销。 CMUnistall 不会删除或吊销此证书。

续订 Mac 客户端证书

使用以下方法之一续订 Mac 客户端证书:

续订证书向导

  1. 在 ccmclient.plist 文件中将以下值配置为 字符串 ,用于控制续订证书向导的打开时间:

    • RenewalPeriod1 - 指定用户可以续订证书的第一个续订期(以秒为单位)。 默认值为 3,888,000 秒 (45 天) 。 不要配置小于 300 的值,因为时间段将还原默认值。

    • RenewalPeriod2 - 指定用户可以续订证书的第二个续订周期(以秒为单位)。 默认值为 259,200 秒 (3 天) 。 如果此值已配置且大于或等于 300 秒且小于或等于 RenewalPeriod1,则将使用该值。 如果 RenewalPeriod1 大于 3 天,则 3 天的值将用于 RenewalPeriod2。 如果 RenewalPeriod1 小于 3 天,则 RenewalPeriod2 设置为与 RenewalPeriod1 相同的值。

    • RenewalReminderInterval1 - 指定在第一个续订期间向用户显示续订证书向导的频率(以秒为单位)。 默认值为 86,400 秒 (1 天) 。 如果 RenewalReminderInterval1 大于 300 秒且小于为 RenewalPeriod1 配置的值,则使用配置的值。 否则,将使用默认值 1 天。

    • RenewalReminderInterval2 - 指定在第二个续订期间向用户显示续订证书向导的频率(以秒为单位)。 默认值为 28,800 秒 (8 小时) 。 如果 RenewalReminderInterval2 大于 300 秒,小于或等于 RenewalReminderInterval1 且小于或等于 RenewalPeriod2,则使用配置的值。 否则,将使用值 8 小时。

      例子: 如果值在证书过期前 45 天保留为默认值,向导将每 24 小时打开一次。 在证书过期后的 3 天内,向导将每 8 小时打开一次。

      例子: 使用以下命令行或脚本将第一个续订期设置为 20 天。

      sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. 当“续订证书向导”打开时,通常会预先填充 “用户名” 和“ 服务器名称” 字段,用户只需输入密码即可续订证书。

    注意

    如果向导未打开,或者意外关闭向导,请在Configuration Manager首选项页中单击“续订”以打开向导。

手动续订证书

Mac 客户端证书的典型有效期为 1 年。 Configuration Manager不会自动续订在注册期间请求的用户证书,因此必须使用以下过程手动续订证书。

重要

如果证书过期,则必须卸载、重新安装,然后重新注册 Mac 客户端。

此过程将删除 SMSID,这是为同一 Mac 计算机请求新证书所必需的。 删除并替换客户端 SMSID 时,从 Configuration Manager 控制台中删除客户端后,将删除任何存储的客户端历史记录(例如清单)。

  1. 为必须续订用户证书的 Mac 计算机创建并填充设备集合。

    警告

    Configuration Manager不监视它为 Mac 计算机注册的证书的有效期。 必须独立于Configuration Manager监视此操作,以标识要添加到此集合的 Mac 计算机。

  2. “资产和符合性” 工作区中,启动 “创建配置项目向导”。

  3. 在“ 常规 ”页上,指定以下信息:

    • 名称:删除 Mac 的 SMSID

    • 类型:Mac OS X

  4. “支持的平台 ”页上,确保选择了所有 macOS X 版本。

  5. “设置” 页上,选择“ 新建 ”,然后在“ 创建设置 ”对话框中指定以下信息:

    • 名称:删除 Mac 的 SMSID

    • 设置类型:脚本

    • 数据类型:String

  6. 在“ 创建设置 ”对话框中,对于 “发现脚本”,选择“ 添加脚本 ”以指定发现配置了 SMSID 的 Mac 计算机的脚本。

  7. “编辑发现脚本 ”对话框中,输入以下 Shell 脚本:

    defaults read com.microsoft.ccmclient SMSID

  8. 选择 “确定” 关闭 “编辑发现脚本 ”对话框。

  9. 在“ 创建设置 ”对话框中,对于“ 修正脚本 (可选) ”,选择 “添加脚本 ”以指定在 Mac 计算机上找到 SMSID 时删除它的脚本。

  10. 在“ 创建修正脚本 ”对话框中,输入以下 Shell 脚本:

    defaults delete com.microsoft.ccmclient SMSID

  11. 选择 “确定” 关闭“ 创建修正脚本 ”对话框。

  12. 在向导的“ 符合性规则 ”页上,单击“ 新建”,然后在“ 创建规则 ”对话框中指定以下信息:

    • 名称:删除 Mac 的 SMSID

    • 所选设置: 选择“ 浏览 ”,然后选择之前指定的发现脚本。

    • 以下值 字段中,输入 (com.microsoft.ccmclient 的域/默认对,SMSID) 不存在

    • 启用选项 “在此设置不符合时运行指定的修正脚本”。

  13. 完成“创建配置项向导”。

  14. 创建包含刚创建的配置项目的配置基线,并将其部署到步骤 1 中创建的设备集合。

    有关如何创建和部署配置基线的详细信息,请参阅 如何创建配置基线如何部署配置基线

  15. 在已删除 SMSID 的 Mac 计算机上,运行以下命令以安装新证书:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>

    出现提示时,请为超级用户帐户提供运行命令的密码,然后提供 Active Directory 用户帐户的密码。

  16. 若要将注册的证书限制为Configuration Manager,请在 Mac 计算机上打开终端窗口并进行以下更改:

    a. 输入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. 在 “密钥链访问 ”对话框中的“ 密钥链 ”部分中,选择“ 系统”,然后在“ 类别 ”部分选择“ 密钥”。

    c. 展开密钥以查看客户端证书。 使用刚安装的私钥标识证书后,双击该密钥。

    d. 在“访问控制”选项卡上,选择“在允许访问之前确认”。

    e. 浏览到 /Library/Application Support/Microsoft/CCM,选择“ CCMClient”,然后选择“ 添加”。

    f. 选择 “保存更改” 并关闭“ 密钥链访问 ”对话框。

  17. 重启 Mac 计算机。