Problembehandlung bei SCEP-Zertifikatprofilen mit Intune

Dieser Artikel enthält Anleitungen, mit denen Sie Probleme mit SCEP-Zertifikatprofilen (Simple Certificate Enrollment Protocol) in Microsoft Intune beheben und beheben können. In den folgenden Abschnitten werden die folgenden Konzepte behandelt:

• Die Architektur und der Kommunikationsfluss des SCEP-Prozesses
• Eingrenzen, wo ein Problem in diesem Kommunikationsfluss vorhanden ist
• Identifizieren der Schlüsselprotokolldateien, auf die in nachfolgenden Artikeln zur Problembehandlung von Zertifikatprofilen verwiesen wird

Die Informationen in diesem Artikel und verwandte SCEP-Zertifikat-Problembehandlungsartikel gelten für die Verwendung von SCEP-Zertifikatprofilen mit Android-, iOS-/iPad- und Windows-Geräten. Ähnliche Informationen für macOS sind derzeit nicht verfügbar. Informationen zur Problembehandlung beim Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES) finden Sie in den folgenden Artikeln:

• Überprüfen der lokalen NDES-Konfiguration für SCEP-Zertifikate in Intune
• Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die Voraussetzungen für die Verwendung von SCEP-Zertifikatprofilen erfüllt haben, einschließlich der Bereitstellung eines Stammzertifikats über ein vertrauenswürdiges Zertifikatprofil.

ScEP-Kommunikationsflussübersicht

Die folgende Abbildung zeigt eine grundlegende Übersicht über den SCEP-Kommunikationsprozess in Intune. Jeder Schritt enthält einen Link zu einem Artikel mit ausführlicheren Anleitungen.

1. Stellen Sie ein SCEP-Zertifikatprofil bereit. Intune generiert eine Abfragezeichenfolge, für die ein bestimmter Benutzer, ein Zertifikatzweck und ein Zertifikattyp erforderlich sind.

2. Gerät zur NDES-Serverkommunikation. Das Gerät verwendet den URI für NDES aus dem Profil, um den NDES-Server zu kontaktieren, damit er eine Herausforderung darstellen kann.

3. NDES zur Kommunikation von Richtlinienmodulen. NDES leitet die Abfrage an das Intune Certificate Connector-Richtlinienmodul auf dem Server weiter, das die Anforderung überprüft.

4. NDES an Zertifizierungsstelle. NDES übergibt gültige Anforderungen, um ein Zertifikat an die Zertifizierungsstelle auszugeben.

5. Zertifikatübermittlung an das Gerät. Das Zertifikat wird an das Gerät übermittelt.

6. Berichterstellung für die Bereitstellung in Intune. Der Intune-Zertifikatconnector meldet das Zertifikatausstellungsereignis an Intune.

Protokolldateien

Um Probleme für den Kommunikations- und Zertifikatbereitstellungsworkflow zu identifizieren, überprüfen Sie Protokolldateien sowohl aus der Serverinfrastruktur als auch von Geräten. Spätere Abschnitte zur Problembehandlung von SCEP-Zertifikatprofilen beziehen sich auf Protokolldateien, auf die in diesem Abschnitt verwiesen wird.

• Infrastruktur- und Serverprotokolle

Geräteprotokolle hängen von der Geräteplattform ab:

• iOS und iPadOS
• Android
• Windows

Protokolle für lokale Infrastruktur

Lokale Infrastruktur, die die Verwendung von SCEP-Zertifikatprofilen für Zertifikatbereitstellungen unterstützt, umfasst den Microsoft Intune Certificate Connector, NDES, der auf einem Windows Server ausgeführt wird, und die Zertifizierungsstelle.

Protokolldateien für diese Rollen umfassen Windows Ereignisanzeige, die als Intune-Connectorprotokolle gelten, und Internetinformationsdienste (IIS)-Protokolle:

• Intune-Connectorprotokolle:

  Diese Protokolle zeigen alle Anforderungen und Kommunikationen von Geräten und Intune-Clouddiensten an.

  Speicherort: Öffnen Sie auf dem Server, auf dem NDES gehostet wird, Ereignisanzeige> Applications and Services Logs>Microsoft>Intune>CertificateConnectors>Admin and Operational.

• IIS-Protokolle:

  IIS-Protokolle zeigen die Zertifikatanforderungen von mobilen Geräten an, die NDES eingeben.

  Speicherort: Auf dem Server, auf dem NDES unter c:\inetpub\logs\LogFiles\W3SVC1 gehostet wird.

Protokolle für Android-Geräte

Notiz

Bevor Sie Protokolle sammeln und überprüfen, stellen Sie sicher, dass die ausführliche Protokollierung aktiviert ist, und reproduzieren Sie dann das Problem.

Je nach Registrierungstyp:

• Persönliche Geräte mit einem Arbeitsprofil (BYOD): Überprüfen Sie die OMADM.log Datei.

  Informationen zum Sammeln der OMADM.log Datei von einem Gerät finden Sie unter "Hochladen" und "E-Mail-Protokolle" mit einem USB-Kabel.

  Sie können auch Protokolle hochladen und E-Mail-Protokolle zur Unterstützung hochladen.

• Unternehmenseigenes Arbeitsprofil (COPE), fully managed (COBO) oder dedizierte Geräte (COSU): Überprüfen Sie die CloudExtension.log Datei.

Protokolle für iOS- und iPadOS-Geräte

Sammeln Sie für Geräte, auf denen iOS/iPadOS ausgeführt wird, Konsolenprotokolle auf einem Mac-Computer:

1. Verbinden Sie das iOS-/iPadOS-Gerät mit Mac, und wechseln Sie dann zu "Dienstprogramme für Anwendungen>", um die Konsolen-App zu öffnen.

2. Wählen Sie unter "Aktion" die Option "Infonachrichten einschließen" und "Debugnachrichten einschließen" aus.

   

3. Reproduzieren Sie das Problem, und speichern Sie die Protokolle dann in einer Textdatei:

   1. Wählen Sie "Alle bearbeiten">aus, um alle Nachrichten auf dem aktuellen Bildschirm auszuwählen, und wählen Sie dann "Kopie bearbeiten"> aus, um die Nachrichten in die Zwischenablage zu kopieren.
   2. Öffnen Sie die TextEdit-Anwendung, fügen Sie die kopierten Protokolle in eine neue Textdatei ein, und speichern Sie dann die Datei.

Das Unternehmensportal Protokoll für iOS- und iPadOS-Geräte enthält keine Informationen zu SCEP-Zertifikatprofilen.

Protokolle für Windows-Geräte

Verwenden Sie für Geräte, die Windows-Ereignisprotokolle ausführen, um Registrierungs- oder Geräteverwaltungsprobleme für Geräte zu diagnostizieren, die Sie mit Intune verwalten.

Öffnen Sie auf dem Gerät Ereignisanzeige> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Nächste Schritte

Problembehandlung bei der Bereitstellung eines SCEP-Zertifikatprofils auf Geräten in Microsoft Intune