Condividi tramite


Risoluzione dei problemi dei profili certificato SCEP con Intune

Questo articolo fornisce indicazioni utili per risolvere i problemi relativi ai profili certificato SCEP (Simple Certificate Enrollment Protocol) in Microsoft Intune. Le sezioni seguenti illustrano questi concetti:

  • Architettura e flusso di comunicazione del processo SCEP
  • Restringere la posizione in cui si verifica un problema nel flusso di comunicazione
  • Identificazione dei file di log delle chiavi a cui si fa riferimento negli articoli successivi per la risoluzione dei problemi dei profili certificato

Le informazioni contenute in questo articolo e gli articoli correlati sulla risoluzione dei problemi dei certificati SCEP si applicano all'uso dei profili certificato SCEP con dispositivi Android, iOS/iPad e Windows. Informazioni simili per macOS non sono attualmente disponibili. Per risolvere i problemi relativi al servizio Registrazione dispositivi di rete (NDES), vedere gli articoli seguenti:

Prima di procedere, assicurarsi di aver soddisfatto i prerequisiti per l'uso dei profili certificato SCEP, inclusa la distribuzione di un certificato radice tramite un profilo certificato attendibile.

Panoramica del flusso di comunicazione SCEP

L'immagine seguente illustra una panoramica di base del processo di comunicazione SCEP in Intune. Ogni passaggio include un collegamento a un articolo con indicazioni più prescrittive.

Screenshot che mostra il flusso del profilo certificato SCEP.

  1. Distribuire un profilo certificato SCEP. Intune genera una stringa di verifica, che richiede un utente, uno scopo del certificato e un tipo di certificato specifici.

  2. Comunicazione da dispositivo a server NDES. Il dispositivo usa l'URI per il servizio Registrazione dispositivi di rete dal profilo per contattare il server NDES in modo che possa presentare una richiesta di verifica.

  3. Comunicazione da NDES a modulo criteri. Il servizio Registrazione dispositivi di rete inoltra la richiesta al modulo dei criteri del connettore di certificati di Intune nel server, che convalida la richiesta.

  4. NDES all'autorità di certificazione. Il servizio Registrazione dispositivi di rete passa richieste valide per rilasciare un certificato all'autorità di certificazione (CA).

  5. Recapito dei certificati al dispositivo. Il certificato viene recapitato al dispositivo.

  6. Creazione di report della distribuzione in Intune. Intune Certificate Connector segnala l'evento di rilascio del certificato a Intune.

File di registro

Per identificare i problemi relativi al flusso di lavoro di comunicazione e provisioning dei certificati, esaminare i file di log dell'infrastruttura server e dei dispositivi. Le sezioni successive per la risoluzione dei problemi dei profili certificato SCEP fanno riferimento ai file di log a cui si fa riferimento in questa sezione.

I log dei dispositivi dipendono dalla piattaforma del dispositivo:

Log per l'infrastruttura locale

L'infrastruttura locale che supporta l'uso dei profili certificato SCEP per le distribuzioni di certificati include il connettore di certificati di Microsoft Intune, il servizio Registrazione dispositivi di rete in esecuzione in Windows Server e l'autorità di certificazione.

I file di log per questi ruoli includono Windows Visualizzatore eventi, considerati come log del connettore di Intune e log di Internet Information Services (IIS):

  • Log del connettore di Intune:

    Questi log mostrano tutte le richieste e le comunicazioni dai dispositivi e dai servizi cloud di Intune.

    Percorso: nel server che ospita il servizio Registrazione dispositivi di rete aprire Visualizzatore eventi> Applicazioni e servizi Log certificati>>Di Microsoft>IntuneAmministratore> e operativo.

  • Log IIS:

    I log IIS mostrano le richieste di certificato dai dispositivi mobili che entrano nel servizio Registrazione dispositivi mobili.

    Percorso: nel server che ospita NDES in c:\inetpub\logs\LogFiles\W3SVC1.

Log per dispositivi Android

Note

Prima di raccogliere ed esaminare i log, assicurarsi che la registrazione dettagliata sia abilitata e quindi riprodurre il problema.

A seconda del tipo di registrazione:

  • Dispositivi di proprietà personale con un profilo di lavoro (BYOD): esaminare il file OMADM.log .

    Per raccogliere il file OMADM.log da un dispositivo, vedere Caricare e inviare i log di posta elettronica usando un cavo USB.

    È anche possibile caricare e inviare i log di posta elettronica per il supporto.

  • Profilo di lavoro di proprietà dell'azienda (COPE), dispositivi completamente gestiti (COBO) o dispositivi dedicati (COSU): esaminare il file CloudExtension.log .

Log per dispositivi iOS e iPadOS

Per i dispositivi che eseguono iOS/iPadOS, raccogliere i log della console in un computer Mac:

  1. Connettere il dispositivo iOS/iPadOS a Mac e quindi passare ad >Applicazioni Utilità per aprire l'app Console.

  2. In Azione selezionare Includi messaggi di informazioni e Includi messaggi di debug.

    Screenshot che mostra le opzioni Includi messaggi di informazioni e Includi messaggi di debug sono selezionate.

  3. Riprodurre il problema e quindi salvare i log in un file di testo:

    1. Selezionare Modifica>Seleziona tutto per selezionare tutti i messaggi nella schermata corrente e quindi selezionare Modifica>copia per copiare i messaggi negli Appunti.
    2. Aprire l'applicazione TextEdit, incollare i log copiati in un nuovo file di testo e quindi salvare il file.

Il log Portale aziendale per i dispositivi iOS e iPadOS non contiene informazioni sui profili certificato SCEP.

Log per i dispositivi Windows

Per i dispositivi che eseguono Windows, usare i registri eventi di Windows per diagnosticare i problemi di registrazione o gestione dei dispositivi per i dispositivi gestiti con Intune.

Nel dispositivo aprire Visualizzatore eventi> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Screenshot dei registri eventi di Windows in Visualizzatore eventi.

Passaggi successivi

Risolvere i problemi di distribuzione di un profilo certificato SCEP nei dispositivi in Microsoft Intune