Partager via

Résolution des problèmes de déploiement du profil de certificats SCEP sur des appareils dans Intune

  • Article

Cet article fournit des conseils de résolution des problèmes de déploiement de profils de certificat SCEP (Simple Certificate Enrollment Protocol) avec Microsoft Intune. Le déploiement de certificat est l’étape 1 de la vue d’ensemble du flux de communication SCEP.

Le profil de certificat SCEP et le profil de certificat approuvé spécifié dans le profil SCEP doivent être attribués au même utilisateur ou au même appareil. Le tableau suivant présente le résultat attendu des affectations mixtes :

L’attribution de profil de certificat approuvé inclut l’utilisateur L’attribution de profil de certificat approuvé inclut l’appareil L’attribution de profil de certificat approuvé inclut l’utilisateur et l’appareil
L’attribution de profil de certificat SCEP inclut l’utilisateur Succès Échec Opération réussie
L’attribution de profil de certificat SCEP inclut l’appareil Échec Opération réussie Opération réussie
L’attribution de profil de certificat SCEP inclut l’utilisateur et l’appareil Opération réussie Opération réussie Opération réussie

Android

Les profils de certificat SCEP pour Android descendent sur l’appareil en tant que SyncML et sont enregistrés dans le journal OMADM.

Vérifiez que l’appareil Android a été envoyé à la stratégie

Pour valider qu’un profil a été envoyé à l’appareil attendu, dans le Centre d’administration Microsoft Intune, accédez à Résolution des problèmes + Résolution des problèmes de support>. Dans la fenêtre Résoudre les problèmes, définissez les affectations sur les profils de configuration, puis validez les configurations suivantes :

  1. Spécifiez l’utilisateur qui doit recevoir le profil de certificat SCEP.

  2. Passez en revue l’appartenance au groupe de l’utilisateur pour vous assurer qu’il se trouve dans le groupe de sécurité que vous avez utilisé avec le profil de certificat SCEP.

  3. Vérifiez quand l’appareil a été archivé pour la dernière fois avec Intune.

Valider la stratégie d’appareil Android

Valider que la stratégie a atteint l’appareil Android

Passez en revue le journal OMADM des appareils. Recherchez les entrées qui ressemblent aux exemples suivants, qui sont journalisés lorsque l’appareil obtient le profil à partir d’Intune :

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Exemples d’entrées clés :

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPadOS

Vérifiez que l’appareil iOS/iPadOS a été envoyé à la stratégie

Pour valider qu’un profil a été envoyé à l’appareil attendu, dans le Centre d’administration Microsoft Intune, accédez à Résolution des problèmes + Résolution des problèmes de support>. Dans la fenêtre Résoudre les problèmes, définissez les affectations sur les profils de configuration, puis validez les configurations suivantes :

  1. Spécifiez l’utilisateur qui doit recevoir le profil de certificat SCEP.

  2. Passez en revue l’appartenance au groupe de l’utilisateur pour vous assurer qu’il se trouve dans le groupe de sécurité que vous avez utilisé avec le profil de certificat SCEP.

  3. Vérifiez quand l’appareil a été archivé pour la dernière fois avec Intune.

Valider que la stratégie a atteint l’appareil iOS ou iPadOS

Passez en revue le journal de débogage des appareils. Recherchez les entrées qui ressemblent aux exemples suivants, qui sont journalisés lorsque l’appareil obtient le profil à partir d’Intune :

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Exemples d’entrées clés :

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

Vérifiez que l’appareil Windows a été envoyé à la stratégie

Pour valider que le profil a été envoyé à l’appareil attendu, dans le Centre d’administration Microsoft Intune, accédez à Dépannage + Résolution des problèmes de support>. Dans la fenêtre Résoudre les problèmes, définissez les affectations sur les profils de configuration, puis validez les configurations suivantes :

  1. Spécifiez l’utilisateur qui doit recevoir le profil de certificat SCEP.

  2. Passez en revue l’appartenance au groupe de l’utilisateur pour vous assurer qu’il se trouve dans le groupe de sécurité que vous avez utilisé avec le profil de certificat SCEP.

  3. Vérifiez quand l’appareil a été archivé pour la dernière fois avec Intune.

Valider la stratégie atteinte par l’appareil Windows

L’arrivée de la stratégie pour le profil est journalisée dans le journal d’administration deviceManagement-Enterprise-Diagnostics-Provider d’un >appareil Windows, avec un ID d’événement 306.

Pour ouvrir le journal :

  1. Sur l’appareil, exécutez eventvwr.msc pour ouvrir l’Observateur d’événements Windows.

  2. Développez les journaux>des applications et des services Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

  3. Recherchez l’événement 306, qui ressemble à l’exemple suivant :

    Event ID:      306
Task Category: None
Level:         Information
User:          SYSTEM
Computer:      <Computer Name>
Description:
SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).

    Le code d’erreur 0x2ab0003 se traduit par DM_S_ACCEPTED_FOR_PROCESSING.

    Un code d’erreur non réussi peut indiquer le problème sous-jacent.

Prochaines étapes

Si le profil atteint l’appareil, l’étape suivante consiste à passer en revue la communication entre l’appareil et le serveur NDES.