Управляем Mac OS X с помощью SCCM 2012 R2 SP1 часть 1

Перед тем как начать управлять Mac OS X в среде Configuration Manager 2012 R2 надо позаботиться о многих вещах. Самое основное это перевод вашей точки управления (management point) и точки распространения (distribution point) на https, установка двух ролей Enrollment point и Enrollment proxy point, и тщательное изучение документации по установке агента для Mac OS X https://technet.microsoft.com/ru-ru/library/jj591553.aspx и Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority (это действительно хороший гайд, где шаг за шагом объясняется, как переводить с http на https). Нет, с http работать не будет. Отдельно я собираюсь написать пару постов об продукте Parallels Mac Management Suite for SCCM, вот он умеет работать по http и возможностей там в разы больше.

Мы не будет здесь углубляться в конфигурацию сертификатов и перевод на https, если кому и интересно — пишите в комментарии.

На выходе у вас должно быть так:

Свойства точки управления с поддержкой Интернет клиентов, т.к. клиенты Mac OS X всегда будут определяться как внешние, даже если находятся внутри вашей сети. Затем опция Allow intranet and Internet connections и галка Allow mobile devices and Mac computers to use this management point.

Свойства точки распространения с сертификатом от внутреннего CA.

Версии Mac OS X, которые поддерживаются SCCM 2012 R2:

• Mac OS X 10.6 (Snow Leopard)
• Mac OS X 10.7 (Lion)
• Mac OS X 10.8 (Mountain Lion)
• Mac OS X 10.9 (Mavericks)
• Mac OS X 10.10 (Yosemite)

Скачиваем клиента Microsoft System Center 2012 R2 Configuration Manager — Clients for Additional Operating Systems

Устанавливаем ConfigmgrMacClient.msi (он просто скопирует dmg файл в Program Files (x86)\Microsoft\System Center 2012 R2 Configuration Manager For Mac Client) и копируем на Mac OS X файл macclient.dmg.

Внутри архива ccmsetup и несколько утилит.

Открываем терминал, переходим в каталог downloads (либо в который вы распаковали dmg) и выполняем sudo ./ccmsetup

Затем переходим в каталог tools и выполняем sudo ./CMenroll -s sccm.contoso.local  -ignorecertchainvalidation -u ‘domain\username’

• sccm.contoso.local — fqdn имя точки управления;
• domain\username — имя пользователя Active Directory, которому предоставлены разрешения на чтение и запись в шаблоне сертификата клиента Mac.

И после перезагрузки в Системных настройках появляется иконка Configuration Manager.

Ну и внутри.

Через какое-то время в свойствах клиента можно будет посмотреть Resource Explorer. Как пример инвентаризация ПО и железа.

И так это выглядит в консоли SCCM 2012 R2, в начале всегда идет имя Mac, а затем имя пользователя.

Чтобы удалить агента SCCM 2012 R2, необходимо из папки tools запустить sudo  ./CMUninstall -c

Для проверки, что сертификат успешно установлен, необходимо открыть поиск и запустить Keychain Access (Связка ключей).

Перейти в Система — Мои сертификаты и открыть личный ключ (private key).

Убедиться, что приложения CCMClient и CMEnroll есть в списке.

Что получаем для управления Mac OS:

• Обнаружение — только обнаружение клиентов из AD и через network discovery, но только обнаружение. Провиженинг, то есть добавление в инфраструктуру SCCM 2012 R2, только ручной;
• Инвентаризация — можно собирать данные о железе и установленном ПО;
• Управление настройками через Compliance Settings;
• Установка приложений через раздел Applications в SCCM 2012 R2;
• Управление обновлениями ПО — здесь вообще все туманно, прямой поддержки, такой как интеграция WSUS для клиентов Windows, нет. Надо использовать Configuration Items на выполнение Shell Script, в обнаружении определяем softwareupdate -l | grep ‘update’, а для изменения softwareupdate -i -a. Другой вариант это создание обновленного приложения или обновления для приложения через CMAppUtil и уже дальше распространять на клиентов Mac.

В целом не густо, но с основными задачами SCCM 2012 R2 справится: соберет отчет по вашим макам, установит ПО, раздаст настройки для сафари и т.д.