Seit SCCM 2012 ist es möglich Mac OS X Clients mit SCCM zu betreiben. Hier findet Ihre alle Informationen, die für das Thema SCCM und Mac OS X notwendig sind.
Von SCCM unterstützte Mac OS X Versionen
Es werden alle aktuellen Versionen unterstützt, auch Version 10.11 (El Capitan). Microsoft bringt die Unterstützung für neue Versionen mit 2-4 Monaten Verspätung nach dem Release. Hier ein Überblick der Release Termine und der Unterstützung durch SCCM:
Mac OS Version | Release | Datum SCCM Support |
El Capitan (10.11) | 30.09.2015 | 13.01.2016 |
Yosemite (10.10) | 16.10.2014 | 1.12.2014 |
Mavericks (10.9) | 22.10.2013 | 16.12.2013 |
Die Unterstützung wird dann zum Teil über Kumulative Updates oder über Service Packs bereitgestellt. Die Voraussetzungen für die jeweiligen Mac OS X Versionen sind hier dargestellt:
|
SCCM 2012 |
SCCM 2012 R2 |
SCCM 1511 |
Snow Leopard (10.6) |
SP1 |
RTM |
RTM |
Lion (10.7) |
SP1 |
RTM |
RTM |
Mountain Lion (10.8) |
SP1 mit CU1 |
RTM |
RTM |
Mavericks (10.9) |
SP1 mit CU4 |
CU1 |
RTM |
Yosemite (10.10) |
SP1 mit CU 5 |
CU3 |
RTM |
El Capitan (10.11) |
Mit SP2 |
SP1 |
RTM |
Möglichkeiten – SCCM und Mac OS X
Aktuell sind folgende Dinge mit SCCM und Mac OS X möglich:
- Software Verteilung
- Hardware Inventar
- Reporting
- Compliance Settings
Einschränkungen – SCCM und Mac OS X
Leider gibt es noch viele Einschränkungen mit SCCM und Mac OS. Ich denke die meisten Unternehmen werden hauptsächlich Windows Clients betreiben und nur wenige Mac, die dann für Designer, Geschäftsführer oder das Management verwendet werden. Für diese kleinen Gruppen sehe ich SCCM als ausreichend.
Hier noch ein paar wichtige Einschränkungen:
- Die Betriebssystem Verteilung wird nicht unterstützt. Ein Update Management lässt sich wohl sehr rudimentär über die Compliance Settings einrichten.
- Compliance Settings sind aktuell nur bis Version 10.10 unterstützt. Infos wann die Unterstützung für Version 10.11 kommt konnte ich nicht finden.
- Bei der Software Verteilung wird nur eine Verteilung als „Required“ unterstützt. Den Application Catalog gibt es daher nicht. Eine Verteilung an Benutzer funktioniert auch nicht.
SCCM Infrastruktur für Mac OS X vorbereiten
Damit die Verbindung zwischen Mac und SCCM funktioniert, ist eine PKI erforderlich. Die SCCM Verwaltungspunkt- und Verteilungspunkt-Rolle müssen für die Benutzung von HTTPS konfiguriert sein. Daher wird natürlich auch ein Client Zertifikat für die Mac Clients benötigt.
Mac Client Zertifikat erstellen
Zuerst müssen wir ein neues Template anlegen. Dazu das MMC Snapin für die Zertifizierungsstelle starten, auf „Certificate Templates“ rechts klicken und „Manage“ wählen. Anschließend muss dass Template „Authenticated Sessions“ dupliziert werden.
Der Name für das neue Template kann frei gewählt werden. Ich wähle den Namen „Mac Client Certificate“.
Als „Subject name format“ sollte dann „Common name“ gewählt und der Haken bei „User principal name“ entfernt werden.
Damit das Zertifikat vom Mac registriert werden kann, müssen die Berechtigungen angepasst werden. Den Domain Admins können die „Enroll“ Rechte entzogen werden. Eine zuvor angelegte Gruppe, in der alle Mac Anwender enthalten sind, erhalten dann die „Enroll“ rechte und dürfen damit die Zertifikate am Mac registrieren. Das Template ist damit fertig konfiguriert und kann publiziert werden.
Das publizieren erfolg über einen Rechtsklick auf die Certificate Templates, das wählen von „New“ und anschließendem klick auf „Certificate Template to issue“
Das Template wird dann unter dem zuvor gewählten Namen gefunden.
SCCM Konfiguration
Wie schon zuvor genannt, müssen die Verteilungspunkt- und Verwaltungspunkt-Rolle mit den Clients über HTTPS kommunizieren.. Bei manchen Rollen kann die HTTPS Kommunikation nur beim hinzufügen konfiguriert werden. Daher ist es notwendig diese Rollen zu entfernen und neu hinzuzufügen. Außerdem muss überall „Allow internet connections“ oder „Allow intranet and internet connections“ konfiguriert sein.
Bei der Konfiguration der Verwaltungspunkt Rolle muss noch der Haken „Allow mobile devices and Mac copmuters to use this management point“ gesetzt sein.
Wer nicht schon hat, muss außerdem die SCCM Rollen „Enrollment point“ und „Enrollment proxy point“ hinzufügen.
SCCM Client Settings
In den Client Einstellungen muss noch das Enrollment für die Mac Clients aktiviert werden. Dazu die Client Einstellungen öffnen.
Unter „Enrollment“ muss „Allow users to enroll mobile devices an Mac computers“ auf „Yes“ gesetzt werden und anschliessend ein Profil ausgewählt werden.
Der Name des Profils kann frei gewählt werden. Über „Add“ muss danach die Zertifizierungsstelle hinzugefügt werden.
Das zuvor erstellte Zertifikat für die Mac Clients muss nun ausgewählt werden. Bei mir „Mac Client Certificate“.
Die fertige Konfiguration sollte dann so aussehen:
SCCM Mac Client Installation
Der SCCM Client für Mac OS X lässt sich leider nicht per Client Push ausrollen und muss vorab von Microsoft heruntergeladen werden. Diese Version ist für SCCM 2012 SP2, 2012 R2 SP1 und 1511: https://www.microsoft.com/en-us/download/details.aspx?id=47719
Nach dem Download erhält man leider erstmal eine MSI Datei. Daher muss die Installation initial auf einem Windows Client erfolgen. Nach der Installation findet man, im bei der Installation gewählten Ordner, die Datei „macclient.dmg“. Diese Datei enthält den SCCM Client und diverse Skripte und muss auf den Mac kopiert werden.
So sieht das ganze dann entpackt aus:
Um die Installation zu starten muss die Datei „ccmsetup“ mit dem Befehl sudo ccmsetup
ausgeführt werden
Nach dem Installieren des Clients muss noch die Verbindung zum SCCM eingerichtet werden. Das funktioniert über die Datei „CMEnroll“ im Ordner „Tools“. Folgender Befehl muss ausgeführt werden:
sudo ./CMEnroll -s <SERVERNAME> -ignorecertchainvailidation -u '<Domain>\<Username>'
Achtung! Es wird zuerst nach dem Administrator Kennwort des Mac gefragt und dann nach dem Benutzer Passwort. Es muss ein Benutzer angegeben werden, der das „Enroll“ Recht für das Mac Zertifikat hat. Bei mir die Gruppe „Mac Users“, in der auch der Administrator ist.
Vielleicht fragt sich der ein oder andere warum ich anstatt dem FQDN eine IP Adresse angegeben habe. Ich hatte das Problem, dass meine Demo Umgebung „Demo.local“ heißt. Leider wird die Endung „.local“ nicht von Mac OS unterstützt, da diese für andere Dienste verwendet wird (Apple Bonjour). Ich habe daher zu Beginn die IP-Adresse verwendet, aber später die Hosts-Datei angepasst, damit die Verbindung funktioniert.
Über die Systemeinstellungen lässt sich, analog zur Windows Systemsteuerung, das Interface des SCCM Client aufrufen.
Im Vergleich mit dem Windows Client fällt auf, dass der Mac Client deutlich weniger Funktionen hat. Über den Button „Anmelden“ kann die Verbindung zum SCCM konfiguriert werden. „Jetzt verbinden“ ruft alle Richtlinien erneut ab.
Softwarepaketierung – SCCM und Mac OS
Die Paketierung der Software für Mac OS X ist einfacher als für Windows. Microsoft liefert beim Client ein Skript mit, das die Arbeit abnimmt. Paketiert werden können folgende Dateitypen:
- Apple Disk Image (.dmg)
- Meta Package File (.mpkg)
- Mac OS X Installer Package (.pkg)
- Mac OS X Application (.app)
Zum Paketieren der Software muss die Anwendung CMAppUtil aus dem Ordner Tools, bei den entpackten SCCM Client Setup Dateien, verwendet werden. Die Syntax ist folgende:
sudo ./CMAppUtil -c <Quelldateipfad> -o <Zielordnerpfad>
Der Ziel Ordner Pfad darf keinen Dateinamen enthalten, dieser wird automatisch generiert. Man erhält dann eine „.cmmac“-Datei, die dann in SCCM eingebunden werden kann.
Die Einbindung erfolgt ähnlich wie bei MSI Dateien. Vieles wird vorgegeben, es kann allerdings keine Kommandozeile angepasst werden:
Bei der Verteilung ist zu beachten, dass die Anwendung nur als „required“ zugewiesen werden kann. Wenn die Anwendung einem Computer zugewiesen wurde erhält der Anwender eine Mitteilung, dass eine neue Anwendung zur Verfügung steht. Er kann diese dann verzögern oder sofort installieren.