次の方法で共有

Microsoft Intune のデバイスへの SCEP によってプロビジョニングされた証明書の配信に関するトラブルシューティング

  • [アーティクル]

この記事では、簡易証明書登録プロトコル (SCEP) を使用して Intune で証明書をプロビジョニングするときに、デバイスへの証明書の配信を調査するのに役立つトラブルシューティング ガイダンスを提供します。 ネットワーク デバイス登録サービス (NDES) サーバーは、証明機関 (CA) からデバイスの要求された証明書を受信した後、その証明書をデバイスに渡します。

この記事は、証明書要求を送信したデバイスへの証明書の配信 SCEP 通信ワークフロー; の手順 5 に適用されます。

証明機関を確認する

CA が証明書を発行すると、CA の次の例のようなエントリが表示されます。

発行された証明書の例のスクリーンショット。

デバイスを確認する

Android

デバイス管理者が登録したデバイスの場合、次の図のような通知が表示され、証明書をインストールするように求められます。

Android 通知のスクリーンショット。

Android Enterprise または Samsung Knox の場合、証明書のインストールは自動でサイレントです。

Android にインストールされている証明書を表示するには、サード パーティの証明書表示アプリを使用します。

devices OMADM ログを確認することもできます。 証明書のインストール時にログに記録される次の例のようなエントリを探します。

ルート証明書:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

SCEP を介してプロビジョニングされた証明書

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

iOS/iPadOS または iPadOS デバイスでは、デバイス管理 プロファイルの下に証明書を表示できます。 ドリルダウンして、インストールされている証明書の詳細を表示します。

デバイス管理 プロファイルの iOS 証明書のスクリーンショット。

iOS デバッグ ログには、次のようなエントリもあります

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Windows デバイスで、証明書が配信されたことを確認します。

  • eventvwr.msc を実行してイベント ビューアーを開きます。 Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin に移動し、Event 39 を探します。 このイベントには、 SCEP: 証明書が正常にインストールされたという一般的な説明が必要です。

    Windows アプリケーション ログのイベント 39 のスクリーンショット。

デバイス上の証明書を表示するには、 certmgr.msc を実行して証明書 MMC を開き、個人用ストア内のデバイスにルート証明書と SCEP 証明書が正しくインストールされていることを確認します。

  1. Certificates (ローカル コンピューター)>Trusted Root Certification Authorities>Certificates に移動し、CA からのルート証明書が存在することを確認します。 Issued ToIssued By の値は同じになります。
  2. 証明書 MMC で、 Certificates – Current User>Personal>Certificates に移動し、要求された証明書が存在することを確認します。 によって CA の名前と等しくなります。

エラーをトラブルシューティングする

Android

証明書の配信をトラブルシューティングするには、OMA DM ログに記録されているエラーを確認します。

iOS/iPadOS

証明書の配信をトラブルシューティングするには、デバイスのデバッグ ログに記録されているエラーを確認します。

Windows

デバイスに証明書がインストールされていない問題のトラブルシューティングを行うには、Windows イベント ログで問題を示唆するエラーを確認します。

  • デバイスで eventvwr.msc を実行してイベント ビューアーを開き、アプリケーションとサービス ログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin に移動します。

デバイスへの証明書の配信とインストールに関するエラーは、通常、Intune ではなく Windows 操作に関連します。

次のステップ

証明書がデバイスに正常に展開されたが、Intune が成功を報告しない場合は、「 NDES reporting to Intune 」を参照してレポートのトラブルシューティングを行います。