次の方法で共有


Intune のデバイスへの SCEP 証明書プロファイルの展開のトラブルシューティング

この記事では、Microsoft Intune での簡易証明書登録プロトコル (SCEP) 証明書プロファイルの展開に関する問題のトラブルシューティング ガイダンスについて説明します。 証明書のデプロイは、 SCEP 通信フローの概要の手順 1 です。

SCEP 証明書プロファイルと、SCEP プロファイルで指定された信頼された証明書プロファイルの両方を、同じユーザーまたは同じデバイスに割り当てる必要があります。 次の表は、混在割り当ての予想される結果を示しています。

信頼された証明書プロファイルの割り当てにユーザーが含まれる 信頼された証明書プロファイルの割り当てには、デバイスが含まれます 信頼された証明書プロファイルの割り当てには、ユーザーとデバイスが含まれます
SCEP 証明書プロファイルの割り当てにユーザーが含まれる 成功 失敗 成功
SCEP 証明書プロファイルの割り当てにはデバイスが含まれます 失敗 Success Success
SCEP 証明書プロファイルの割り当てには、ユーザーとデバイスが含まれます Success 成功 Success

Android

Android 用の SCEP 証明書プロファイルは、SyncML としてデバイスにダウンし、 OMADM ログに記録されます。

Android デバイスがポリシーを送信されたことを検証する

プロファイルが予期したデバイスに送信されたことを検証するには、Microsoft Intune 管理センターでトラブルシューティングとサポート>トラブルシューティングに移動します。 [トラブルシューティング] ウィンドウで、AssignmentsConfiguration プロファイルに設定し次の構成を検証します。

  1. SCEP 証明書プロファイルを受け取るユーザーを指定します。

  2. ユーザーのグループ メンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティ グループにユーザーが含まれているかを確認します。

  3. デバイスが Intune で最後にチェックインされた日時を確認します。

Android デバイス ポリシーを検証する

Android デバイスに到達したポリシーを検証する

devices OMADM ログを確認します。 次の例のようなエントリを探します。このエントリは、デバイスが Intune からプロファイルを取得したときにログに記録されます。

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

キー エントリの例:

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPadOS

iOS/iPadOS デバイスがポリシーを送信されたことを検証する

プロファイルが予期したデバイスに送信されたことを検証するには、Microsoft Intune 管理センターでトラブルシューティングとサポート>トラブルシューティングに移動します。 [トラブルシューティング] ウィンドウで、AssignmentsConfiguration プロファイルに設定し次の構成を検証します。

  1. SCEP 証明書プロファイルを受け取るユーザーを指定します。

  2. ユーザーのグループ メンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティ グループにユーザーが含まれているかを確認します。

  3. デバイスが Intune で最後にチェックインされた日時を確認します。

ポリシーが iOS または iPadOS デバイスに到達したことを検証する

devices デバッグ ログを確認します。 次の例のようなエントリを探します。このエントリは、デバイスが Intune からプロファイルを取得したときにログに記録されます。

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

キー エントリの例:

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

Windows デバイスがポリシーを送信されたことを検証する

プロファイルが予期したデバイスに送信されたことを確認するには、 Microsoft Intune 管理センタートラブルシューティングとサポート>トラブルシューティングに移動します。 [トラブルシューティング] ウィンドウで、AssignmentsConfiguration プロファイルに設定し次の構成を検証します。

  1. SCEP 証明書プロファイルを受け取るユーザーを指定します。

  2. ユーザーのグループ メンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティ グループにユーザーが含まれているかを確認します。

  3. デバイスが Intune で最後にチェックインされた日時を確認します。

Windows デバイスに到達したポリシーを検証する

プロファイルのポリシーの到着は、Windows デバイスの DeviceManagement-Enterprise-Diagnostics-Provider>Admin ログに記録され、イベント ID 306

ログを開くには:

  1. デバイスで、eventvwr.msc を実行して Windows イベント ビューアーを開きます。

  2. Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin を展開します。

  3. 次の例のようなイベント 306 を探します。

    Event ID:      306
    Task Category: None
    Level:         Information
    User:          SYSTEM
    Computer:      <Computer Name>
    Description:
    SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).
    

    エラー コード0x2ab0003DM_S_ACCEPTED_FOR_PROCESSINGに変換されます。

    失敗したエラー コードは、基になる問題を示す可能性があります。

次のステップ

プロファイルがデバイスに到達した場合、次の手順は、 device から NDES サーバーへの通信を確認することです