維護 Mac 用戶端

  • 發行項

適用於:Configuration Manager (目前的分支)

重要事項

從 2022 年 1 月開始,Configuration Manager 的這項功能已被取代。 如需詳細資訊,請參閱 Mac電腦

以下是卸載 Mac 用戶端及更新其憑證的程式。

卸載 Mac 用戶端

  1. 在 Mac 電腦上,開啟終端機視窗,並流覽至包含 macclient.dmg 的資料夾。

  2. 瀏覽至 [工具] 資料夾,然後輸入下列命令列:

    ./CMUninstall -c

    注意事項

    -c 屬性會指示用戶端卸載,同時移除用戶端當機記錄和記錄檔。 如果您稍後重新安裝客戶端,建議您這樣做以避免混淆。

  3. 如有需要,請手動移除 Configuration Manager 使用的客戶端驗證憑證,或撤銷該憑證。 CMUnistall 不會移除或撤銷此憑證。

更新 Mac 用戶端憑證

使用下列其中一種方法來更新 Mac 用戶端憑證:

更新憑證精靈

  1. 將下列值設定為 ccmclient.plist 檔案中的 字串 ,以控制 [更新憑證精靈] 開啟時間:

    • RenewalPeriod1 - 指定使用者可以更新憑證的第一個更新期間,以秒為單位。 默認值為 3,888,000 秒, (45 天) 。 請勿設定小於 300 的值,因為期間會還原為預設值。

    • RenewalPeriod2 - 指定使用者可以更新憑證的第二個更新期間,以秒為單位。 默認值為 259,200 秒, (3 天) 。 如果這個值已設定,且大於或等於 300 秒且小於或等於 RenewalPeriod1,則會使用 值。 如果 RenewalPeriod1 大於 3 天,則 RenewalPeriod2 會使用 3 天的值。 如果 RenewalPeriod1 小於 3 天,則 RenewalPeriod2 會設定為與 RenewalPeriod1 相同的值。

    • RenewalReminderInterval1 - 指定在第一個更新期間,更新憑證精靈向用戶顯示的頻率,以秒為單位。 默認值為86,400秒, (1天) 。 如果 RenewalReminderInterval1 大於 300 秒且小於針對 RenewalPeriod1 設定的值,則會使用設定的值。 否則,將會使用預設值 1 天。

    • RenewalReminderInterval2 - 指定在第二個更新期間,更新憑證精靈向用戶顯示的頻率,以秒為單位。 默認值為 28,800 秒, (8 小時) 。 如果 RenewalReminderInterval2 大於 300 秒、小於或等於 RenewalReminderInterval1 且小於或等於 RenewalPeriod2,則會使用設定的值。 否則,將會使用 8 小時的值。

      例子: 如果值保留為預設值,則在憑證到期前 45 天,精靈會每隔 24 小時開啟一次。 在憑證到期的 3 天內,精靈會每隔 8 小時開啟一次。

      例子: 使用下列命令行或腳本,將第一個更新期間設定為 20 天。

      sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. 當 [更新憑證精靈] 開啟時,通常會預先填入 [ 用戶名稱 ] 和 [ 伺服器名稱 ] 字段,而且使用者只能輸入密碼來更新憑證。

    注意事項

    如果精靈未開啟,或您不小心關閉精靈,請從 [Configuration Manager 喜好設定] 頁面按兩下 [更新] 以開啟精靈。

手動更新憑證

Mac 用戶端憑證的一般有效期間為1年。 Configuration Manager 不會自動更新其在註冊期間要求的用戶憑證,因此您必須使用下列程式手動更新憑證。

重要事項

如果憑證過期,您必須卸載、重新安裝,然後重新註冊 Mac 用戶端。

此程式會移除SMSID,這是要求相同Mac電腦的新憑證所需的憑證。 當您移除並取代用戶端 SMSID 時,從 Configuration Manager 主控台刪除客戶端之後,就會刪除任何儲存的用戶端歷程記錄,例如清查。

  1. 為必須更新用戶憑證的 Mac 計算機建立並填入裝置集合。

    警告

    Configuration Manager 不會監視它為Mac電腦註冊之憑證的有效期間。 您必須從 Configuration Manager 獨立監視此專案,以識別要新增至此集合的 Mac 計算機。

  2. 在 [ 資產與兼容性] 工作區中,啟動 [ 建立設定項目精靈]

  3. 在 [ 一般] 頁面上,指定下列資訊:

    • 名稱:移除 Mac 版 SMSID

    • Type:Mac OS X

  4. 在 [ 支持的平臺] 頁面上,確定已選取所有 macOS X 版本。

  5. 在 [ 設定] 頁面上,選擇 [ 新增 ],然後在 [ 建立設定 ] 對話框中指定下列資訊:

    • 名稱:移除 Mac 版 SMSID

    • 設定類型:腳本

    • 數據類型:字串

  6. 在 [ 建立設定] 對話框中,針對 [ 探索腳本] 選擇 [ 新增腳本 ],以指定探索已設定 SMSID 之 Mac 計算機的腳本。

  7. 在 [ 編輯探索文稿] 對話框中,輸入下列 Shell 腳本:

    defaults read com.microsoft.ccmclient SMSID

  8. 選擇 [確定 ] 以關閉 [編輯探索文稿 ] 對話框。

  9. 在 [ 建立設定] 對話框中,針對 [ 補救腳本] (選用的 [) ],選擇 [ 新增腳本 ] 以指定在 Mac 計算機上找到 SMSID 時移除 SMSID 的腳本。

  10. 在 [ 建立補救腳本 ] 對話框中,輸入下列 Shell 腳本:

    defaults delete com.microsoft.ccmclient SMSID

  11. 選擇 [確定 ] 關閉 [ 建立補救腳本 ] 對話框。

  12. 在精靈的 [ 合規性規則] 頁面上,按兩下 [ 新增],然後在 [ 建立規則 ] 對話框中指定下列資訊:

    • 名稱:移除 Mac 版 SMSID

    • 選取的設定: 選擇 [瀏覽 ],然後選取您先前指定的探索腳本。

    • 下列值 欄位中,輸入 (com.microsoft.ccmclient 的網域/預設配對,SMSID) 不存在

    • 啟用 [ 當此設定不符合規範時,執行指定的補救腳本] 選項。

  13. 完成 [建立設定項目精靈]。

  14. 建立組態基準,其中包含您剛才建立的組態專案,並將其部署到您在步驟 1 中建立的裝置集合。

    如需如何建立和部署設定基準的詳細資訊,請參閱 如何建立設定基準如何部署設定基準

  15. 在已移除 SMSID 的 Mac 電腦上,執行下列命令以安裝新的憑證:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>

    出現提示時,請提供進階用戶帳戶的密碼以執行命令,然後提供 Active Directory 使用者帳戶的密碼。

  16. 若要將註冊的憑證限制為 Configuration Manager,請在 Mac 計算機上開啟終端機視窗並進行下列變更:

    a. 輸入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. 在 [ 金鑰鏈存取] 對話方塊的 [ Keychains] 區 段中,選擇 [系統],然後在 [ 類別 ] 區段中選擇 [ 金鑰]

    c. 展開金鑰以檢視客戶端憑證。 當您使用剛安裝的私鑰來識別憑證時,請按下金鑰。

    d. 在 [存取控制] 索引標籤上,選擇 [先確認再允許存取]

    e. 流覽至 /Library/Application Support/Microsoft/CCM,選取 [CCMClient],然後選擇 [ 新增]

    f. 選擇 [儲存變更 ] 並關閉 [ 金鑰鏈存取] 對話框。

  17. 重新啟動 Mac 電腦。