Résolution des problèmes liés aux profils de certificat SCEP avec Intune
Cet article fournit des conseils pour vous aider à résoudre les problèmes liés aux profils de certificat SCEP (Simple Certificate Enrollment Protocol) dans Microsoft Intune. Les sections suivantes couvrent ces concepts :
- Architecture et flux de communication du processus SCEP
- Réduction de l’emplacement d’un problème dans ce flux de communication
- Identification des fichiers journaux clés référencés dans les articles suivants pour résoudre les problèmes liés aux profils de certificat
Les informations contenues dans cet article et les articles de résolution des problèmes liés aux certificats SCEP s’appliquent à l’utilisation de profils de certificat SCEP avec des appareils Android, iOS/iPad et Windows. Des informations similaires pour macOS ne sont pas disponibles pour l’instant. Pour résoudre les problèmes liés au service NDES (Network Device Enrollment Service), consultez les articles suivants :
- Vérifier la configuration NDES locale pour les certificats SCEP dans Intune
- Configurer l’infrastructure pour prendre en charge SCEP avec Intune
Avant de continuer, vérifiez que vous avez rempli les conditions préalables à l’utilisation des profils de certificat SCEP, y compris le déploiement d’un certificat racine via un profil de certificat approuvé.
Vue d’ensemble du flux de communication SCEP
L’image suivante illustre une vue d’ensemble de base du processus de communication SCEP dans Intune. Chaque étape inclut un lien vers un article avec des conseils plus prescriptifs.
Déployez un profil de certificat SCEP. Intune génère une chaîne de défi, qui nécessite un utilisateur spécifique, un objectif de certificat et un type de certificat.
Communication entre l’appareil et le serveur NDES. L’appareil utilise l’URI pour NDES à partir du profil pour contacter le serveur NDES afin qu’il puisse présenter un défi.
Communication du module NDES vers le module de stratégie. NDES transfère le défi au module de stratégie Intune Certificate Connector sur le serveur, qui valide la demande.
NDES à l’autorité de certification. NDES transmet des demandes valides pour émettre un certificat à l’autorité de certification.
Remise de certificat à l’appareil. Le certificat est remis à l’appareil.
Création de rapports sur Intune. Intune Certificate Connector signale l’événement d’émission de certificat à Intune.
Fichiers journaux
Pour identifier les problèmes liés au flux de travail de communication et d’approvisionnement de certificats, passez en revue les fichiers journaux à partir de l’infrastructure serveur et des appareils. Les sections ultérieures pour la résolution des problèmes liés aux profils de certificat SCEP font référence aux fichiers journaux référencés dans cette section.
Les journaux d’activité des appareils dépendent de la plateforme d’appareils :
Journaux d’activité pour l’infrastructure locale
L’infrastructure locale qui prend en charge l’utilisation de profils de certificat SCEP pour les déploiements de certificats inclut Microsoft Intune Certificate Connector, NDES qui s’exécute sur un serveur Windows et l’autorité de certification.
Les fichiers journaux pour ces rôles incluent l’Observateur d’événements Windows, considéré comme les journaux du connecteur Intune et les journaux Iis (Internet Information Services) :
Journaux du connecteur Intune :
Ces journaux affichent toutes les demandes et communications provenant des appareils et des services cloud Intune.
Emplacement : sur le serveur qui héberge NDES, ouvrez >les applications et services de l’observateur d’événements journalise>Microsoft>Intune>CertificateConnectors>Admin and Operational.
Journaux IIS :
Les journaux IIS affichent les demandes de certificat provenant d’appareils mobiles entrant NDES.
Emplacement : sur le serveur qui héberge NDES à l’adresse c :\inetpub\logs\LogFiles\W3SVC1.
Journaux des appareils Android
Note
Avant de collecter et de passer en revue les journaux, vérifiez que la journalisation détaillée est activée, puis reproduisez le problème.
Selon le type d’inscription :
Appareils personnels avec profil professionnel (BYOD) : passez en revue le fichier OMADM.log .
Pour collecter le fichier OMADM.log à partir d’un appareil, consultez Charger et envoyer des journaux d’e-mail à l’aide d’un câble USB.
Vous pouvez également charger et envoyer des journaux d’e-mail pour prendre en charge.
Profil professionnel appartenant à l’entreprise (COPE), entièrement géré (COBO) ou appareils dédiés (COSU) : passez en revue le fichier CloudExtension.log .
Journaux d’activité pour les appareils iOS et iPadOS
Pour les appareils qui exécutent iOS/iPadOS, collectez les journaux de console sur un ordinateur Mac :
Connectez l’appareil iOS/iPadOS à Mac, puis accédez aux utilitaires d’applications>pour ouvrir l’application console.
Sous Action, sélectionnez Inclure les messages d’informations et Inclure les messages de débogage.
Reproduire le problème, puis enregistrer les journaux dans un fichier texte :
- Sélectionnez Modifier>tout pour sélectionner tous les messages sur l’écran actuel, puis sélectionnez Modifier> la copie pour copier les messages dans le Presse-papiers.
- Ouvrez l’application TextEdit, collez les journaux copiés dans un nouveau fichier texte, puis enregistrez le fichier.
Le journal Portail d’entreprise pour les appareils iOS et iPadOS ne contient pas d’informations sur les profils de certificat SCEP.
Journaux des appareils Windows
Pour les appareils qui exécutent Windows, utilisez les journaux des événements Windows pour diagnostiquer les problèmes d’inscription ou de gestion des appareils pour les appareils que vous gérez avec Intune.
Sur l’appareil, ouvrez les journaux>des applications et services de l’Observateur>d’événements Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.
