Compartilhar via


Manter clientes Mac

Aplica-se a: Configuration Manager (branch atual)

Importante

A partir de janeiro de 2022, esta funcionalidade do Configuration Manager é preterida. Para obter mais informações, consulte Computadores Mac.

Eis os procedimentos para desinstalar clientes Mac e renovar os respetivos certificados.

Desinstalar o cliente Mac

  1. Num computador Mac, abra uma janela de terminal e navegue para a pasta que contém macclient.dmg.

  2. Navegue para a pasta Ferramentas e introduza a seguinte linha de comandos:

    ./CMUninstall -c

    Observação

    A propriedade -c instrui o cliente a desinstalar para remover também os registos de falhas do cliente e os ficheiros de registo. Recomendamos que evite confusões se reinstalar posteriormente o cliente.

  3. Se necessário, remova manualmente o certificado de autenticação de cliente que Configuration Manager estava a utilizar ou revogue-o. O CMUnistall não remove nem revoga este certificado.

Renovar o certificado de cliente Mac

Utilize um dos seguintes métodos para renovar o certificado de cliente Mac:

Assistente para renovar certificados

  1. Configure os seguintes valores como cadeias no ficheiro ccmclient.plist que controla quando o Assistente para Renovar Certificados é aberto:

    • RenewalPeriod1 - Especifica, em segundos, o primeiro período de renovação no qual os utilizadores podem renovar o certificado. O valor predefinido é 3888 000 segundos (45 dias). Não configure um valor inferior a 300, uma vez que o período irá reverter para a predefinição.

    • RenewalPeriod2 - Especifica, em segundos, o segundo período de renovação no qual os utilizadores podem renovar o certificado. O valor predefinido é 259 200 segundos (3 dias). Se este valor estiver configurado e for maior ou igual a 300 segundos e for menor ou igual a RenewalPeriod1, o valor será utilizado. Se RenewalPeriod1 for superior a 3 dias, será utilizado um valor de 3 dias para RenewalPeriod2. Se RenewalPeriod1 for inferior a 3 dias, RenewalPeriod2 será definido como o mesmo valor que RenewalPeriod1.

    • RenewalReminderInterval1 - Especifica, em segundos, a frequência com que o Assistente para Renovar Certificados será apresentado aos utilizadores durante o primeiro período de renovação. O valor predefinido é 86 400 segundos (1 dia). Se RenewalReminderInterval1 for superior a 300 segundos e inferior ao valor configurado para RenewalPeriod1, será utilizado o valor configurado. Caso contrário, será utilizado o valor predefinido de 1 dia.

    • RenewalReminderInterval2 - Especifica, em segundos, a frequência com que o Assistente de Renovação de Certificados será apresentado aos utilizadores durante o segundo período de renovação. O valor predefinido é 28 800 segundos (8 horas). Se RenewalReminderInterval2 for superior a 300 segundos, menor ou igual a RenewalReminderInterval1 e menor ou igual a RenewalPeriod2, será utilizado o valor configurado. Caso contrário, será utilizado um valor de 8 horas.

      Exemplo: Se os valores forem deixados como predefinições, 45 dias antes de o certificado expirar, o assistente será aberto a cada 24 horas. No prazo de 3 dias após a expiração do certificado, o assistente será aberto a cada 8 horas.

      Exemplo: Utilize a seguinte linha de comandos, ou um script, para definir o primeiro período de renovação para 20 dias.

      sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. Quando o Assistente de Renovação de Certificados é aberto, os campos Nome de utilizador e Nome do servidor serão normalmente pré-preenchidos e o utilizador pode simplesmente introduzir uma palavra-passe para renovar o certificado.

    Observação

    Se o assistente não abrir ou se fechar acidentalmente o assistente, clique em Renovar a partir da página de preferência Configuration Manager para abrir o assistente.

Renovar o certificado manualmente

Um período de validade típico para o certificado de cliente Mac é de 1 ano. Configuration Manager não renova automaticamente o certificado de utilizador pedido durante a inscrição, pelo que tem de utilizar o procedimento seguinte para renovar o certificado manualmente.

Importante

Se o certificado expirar, terá de desinstalar, reinstalar e, em seguida, inscrever novamente o cliente Mac.

Este procedimento remove o SMSID, que é necessário para pedir um novo certificado para o mesmo computador Mac. Quando remove e substitui o SMSID do cliente, qualquer histórico de cliente armazenado, como o inventário, é eliminado depois de eliminar o cliente da consola do Configuration Manager.

  1. Crie e preencha uma coleção de dispositivos para os computadores Mac que têm de renovar os certificados de utilizador.

    Aviso

    Configuration Manager não monitoriza o período de validade do certificado que inscreve para computadores Mac. Tem de monitorizar isto de forma independente da Configuration Manager para identificar os computadores Mac a adicionar a esta coleção.

  2. Na área de trabalho Ativos e Compatibilidade , inicie o Assistente para Criar Item de Configuração.

  3. Na página Geral , especifique as seguintes informações:

    • Nome:Remover SMSID para Mac

    • Tipo:Mac OS X

  4. Na página Plataformas Suportadas , certifique-se de que todas as versões do macOS X estão selecionadas.

  5. Na página Definições, selecione Novo e, em seguida, na caixa de diálogo Criar Definição, especifique as seguintes informações:

    • Nome:Remover SMSID para Mac

    • Tipo de definição:Script

    • Tipo de dados:Cadeia

  6. Na caixa de diálogo Criar Definição , em Script de deteção, selecione Adicionar script para especificar um script que detete computadores Mac com um SMSID configurado.

  7. Na caixa de diálogo Editar Script de Deteção , introduza o seguinte Script da Shell:

    defaults read com.microsoft.ccmclient SMSID  
    
  8. Selecione OK para fechar a caixa de diálogo Editar Script de Deteção .

  9. Na caixa de diálogo Criar Definição , em Script de remediação (opcional), selecione Adicionar script para especificar um script que remove o SMSID quando é encontrado em computadores Mac.

  10. Na caixa de diálogo Criar Script de Remediação , introduza o seguinte Script da Shell:

    defaults delete com.microsoft.ccmclient SMSID  
    
  11. Selecione OK para fechar a caixa de diálogo Criar Script de Remediação .

  12. Na página Regras de Conformidade do assistente, clique em Novo e, em seguida, na caixa de diálogo Criar Regra , especifique as seguintes informações:

    • Nome:Remover SMSID para Mac

    • Definição selecionada:Selecione Procurar e, em seguida, selecione o script de deteção que especificou anteriormente.

    • No campo de valores seguinte , introduza O par de domínio/predefinido de (com.microsoft.ccmclient, SMSID) não existe.

    • Ative a opção Executar o script de remediação especificado quando esta definição não estiver em conformidade.

  13. Conclua o Assistente para Criar Item de Configuração.

  14. Crie uma linha de base de configuração que contenha o item de configuração que acabou de criar e implemente-o na coleção de dispositivos que criou no passo 1.

    Para obter mais informações sobre como criar e implementar linhas de base de configuração, veja Como criar linhas de base de configuração e Como implementar linhas de base de configuração.

  15. Em computadores Mac que tenham o SMSID removido, execute o seguinte comando para instalar um novo certificado:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>  
    

    Quando lhe for pedido, forneça a palavra-passe da conta de superutilizador para executar o comando e, em seguida, a palavra-passe da conta de utilizador do Active Directory.

  16. Para limitar o certificado inscrito a Configuration Manager, no computador Mac, abra uma janela do terminal e faça as seguintes alterações:

    a. Introduza o comando sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

    b. Na caixa de diálogo Acesso a Porta-chaves , na secção Keychains , selecione Sistema e, em seguida, na secção Categoria , selecione Chaves.

    c. Expanda as chaves para ver os certificados de cliente. Quando tiver identificado o certificado com uma chave privada que acabou de instalar, faça duplo clique na chave.

    d. No separador Controle de Acesso, selecione Confirmar antes de permitir o acesso.

    e. Navegue para /Library/Application Support/Microsoft/CCM, selecione CCMClient e, em seguida, selecione Adicionar.

    f. Selecione Guardar Alterações e feche a caixa de diálogo Acesso a Porta-chaves.

  17. Reinicie o computador Mac.