Solución de problemas de perfiles de certificado SCEP con Intune

En este artículo se proporcionan instrucciones para ayudarle a solucionar problemas con perfiles de certificado de Protocolo de inscripción de certificados simple (SCEP) en Microsoft Intune. En las secciones siguientes se tratan estos conceptos:

• La arquitectura y el flujo de comunicación del proceso SCEP
• Restringir dónde existe un problema en ese flujo de comunicación
• Identificación de los archivos de registro clave a los que se hace referencia en artículos posteriores para solucionar problemas de perfiles de certificado

La información de este artículo y los artículos de solución de problemas de certificados SCEP relacionados se aplican al uso de perfiles de certificado SCEP con dispositivos Android, iOS/iPad y Windows. La información similar para macOS no está disponible en este momento. Para solucionar problemas del servicio de inscripción de dispositivos de red (NDES), consulte los artículos siguientes:

• Comprobación de la configuración de NDES local para certificados SCEP en Intune
• Configuración de la infraestructura para admitir SCEP con Intune

Antes de continuar, asegúrese de que cumple los requisitos previos para usar perfiles de certificado SCEP, incluida la implementación de un certificado raíz a través de un perfil de certificado de confianza.

Introducción al flujo de comunicación SCEP

En la imagen siguiente se muestra una introducción básica al proceso de comunicación SCEP en Intune. Cada paso incluye un vínculo a un artículo con instrucciones más prescriptivas.

1. Implemente un perfil de certificado SCEP. Intune genera una cadena de desafío, que requiere un usuario específico, un propósito de certificado y un tipo de certificado.

2. Comunicación de dispositivo a servidor NDES. El dispositivo usa el URI para NDES desde el perfil para ponerse en contacto con el servidor NDES para que pueda presentar un desafío.

3. NDES a la comunicación del módulo de directivas. NDES reenvía el desafío al módulo de directivas de Intune Certificate Connector en el servidor, que valida la solicitud.

4. NDES a la entidad de certificación. NDES pasa solicitudes válidas para emitir un certificado a la entidad de certificación (CA).

5. Entrega de certificados al dispositivo. El certificado se entrega al dispositivo.

6. Informes de implementación en Intune. Intune Certificate Connector notifica el evento de emisión de certificados a Intune.

Archivos de registro

Para identificar problemas para el flujo de trabajo de comunicación y aprovisionamiento de certificados, revise los archivos de registro de la infraestructura del servidor y de los dispositivos. Las secciones posteriores para solucionar problemas de perfiles de certificado SCEP hacen referencia a los archivos de registro a los que se hace referencia en esta sección.

• Registros de infraestructura y servidor

Los registros de dispositivos dependen de la plataforma del dispositivo:

• iOS y iPadOS
• Android
• Windows

Registros de la infraestructura local

La infraestructura local que admite el uso de perfiles de certificado SCEP para implementaciones de certificados incluye Microsoft Intune Certificate Connector, NDES que se ejecuta en Windows Server y la entidad de certificación.

Los archivos de registro de estos roles incluyen Windows Visor de eventos, considerados como registros de conector de Intune y registros de Internet Information Services (IIS):

• Registros del conector de Intune:

  Estos registros muestran todas las solicitudes y comunicaciones de los dispositivos y los servicios en la nube de Intune.

  Ubicación: en el servidor que hospeda NDES, abra Visor de eventos> Registros de aplicaciones y servicios de>Microsoft>Intune>CertificateConnectors>Admin y Operational.

• Registros de IIS:

  Los registros de IIS muestran las solicitudes de certificado de los dispositivos móviles que escriben NDES.

  Ubicación: en el servidor que hospeda NDES en c:\inetpub\logs\LogFiles\W3SVC1.

Registros para dispositivos Android

Nota:

Antes de recopilar y revisar los registros, asegúrese de que el registro detallado está habilitado y, a continuación, reproduzca el problema.

Dependiendo del tipo de inscripción:

• Dispositivos de propiedad personal con un perfil de trabajo (BYOD): revise el archivo OMADM.log .

  Para recopilar el archivo OMADM.log de un dispositivo, consulte Cargar y enviar registros de correo electrónico mediante un cable USB.

  También puede cargar y enviar registros de correo electrónico para admitir.

• Perfil de trabajo de propiedad corporativa (COPE), totalmente administrado (COBO) o dispositivos dedicados (COSU): revise el archivo CloudExtension.log .

Registros para dispositivos iOS e iPadOS

Para dispositivos que ejecutan iOS/iPadOS, recopile registros de consola en un equipo Mac:

1. Conecte el dispositivo iOS/iPadOS a Mac y, a continuación, vaya a Aplicaciones>Utilidades para abrir la aplicación consola.

2. En Acción, seleccione Incluir mensajes de información e Incluir mensajes de depuración.

   

3. Reproduzca el problema y guarde los registros en un archivo de texto:

   1. Seleccione Editar>seleccionar Todo para seleccionar todos los mensajes en la pantalla actual y, a continuación, seleccione Editar>copia para copiar los mensajes en el Portapapeles.
   2. Abra la aplicación TextEdit, pegue los registros copiados en un nuevo archivo de texto y guarde el archivo.

El registro de Portal de empresa para dispositivos iOS y iPadOS no contiene información sobre los perfiles de certificado SCEP.

Registros para dispositivos Windows

En el caso de los dispositivos que ejecutan Windows, use los registros de eventos de Windows para diagnosticar problemas de inscripción o administración de dispositivos para los dispositivos que administra con Intune.

En el dispositivo, abra Visor de eventos> Registros de aplicaciones y servicios>de Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Pasos siguientes

Solución de problemas de implementación de un perfil de certificado SCEP en dispositivos en Microsoft Intune