Intune での SCEP 証明書プロファイルのトラブルシューティング

この記事では、Microsoft Intune の簡易証明書登録プロトコル (SCEP) 証明書プロファイルに関する問題のトラブルシューティングと解決に役立つガイダンスを提供します。 以下のセクションでは、これらの概念について説明します。

• SCEP プロセスのアーキテクチャと通信フロー
• その通信フローに問題が存在する場所を絞り込む
• 証明書プロファイルのトラブルシューティングのために以降の記事で参照されているキー ログ ファイルの識別

この記事および関連する SCEP 証明書のトラブルシューティングに関する記事の情報は、Android、iOS/iPad、および Windows デバイスでの SCEP 証明書プロファイルの使用に適用されます。 現時点では、macOS の同様の情報は使用できません。 ネットワーク デバイス登録サービス (NDES) のトラブルシューティングを行うには、次の記事を参照してください。

• Intune で SCEP 証明書の NDES 構成をオンプレミスで確認する
• Intune で SCEP をサポートするようにインフラストラクチャを構成する

先に進む前に、SCEP 証明書プロファイルを使用するための 前提条件を満たしていることを確認します信頼された証明書プロファイルを介したルート証明書の展開も含まれます。

SCEP 通信フローの概要

次の図は、Intune での SCEP 通信プロセスの基本的な概要を示しています。 各手順には、より規範的なガイダンスを含む記事へのリンクが含まれています。

1. SCEP 証明書プロファイルをデプロイします。 Intune によってチャレンジ文字列が生成されます。これには、特定のユーザー、証明書の目的、および証明書の種類が必要です。

2. デバイスから NDES へのサーバー通信。 デバイスは、プロファイルから NDES の URI を使用して NDES サーバーに接続し、チャレンジを提示できるようにします。

3. NDES からポリシー モジュールへの通信。 NDES は、要求を検証する、サーバー上の Intune Certificate Connector ポリシー モジュールにチャレンジを転送します。

4. NDES から証明機関へ。 NDES は、証明機関 (CA) に証明書を発行するための有効な要求を渡します。

5. デバイスへの証明書の配信。 証明書はデバイスに配信されます。

6. Intune への展開のレポート。 Intune Certificate Connector は、証明書発行イベントを Intune に報告します。

ログ ファイル

通信と証明書のプロビジョニング ワークフローの問題を特定するには、サーバー インフラストラクチャとデバイスの両方のログ ファイルを確認します。 SCEP 証明書プロファイルのトラブルシューティングについては、このセクションで参照されているログ ファイルを参照してください。

• インフラストラクチャとサーバーのログ

デバイス ログは、デバイス プラットフォームによって異なります。

• iOS と iPadOS
• Android
• Windows

オンプレミス インフラストラクチャのログ

証明書の展開に SCEP 証明書プロファイルの使用をサポートするオンプレミス インフラストラクチャには、Microsoft Intune Certificate Connector、Windows Server で実行される NDES、証明機関が含まれます。

これらのロールのログ ファイルには、Windows イベント ビューアー、Intune コネクタ ログと見なされるログ、インターネット インフォメーション サービス (IIS) ログが含まれます。

• Intune コネクタ ログ:

  これらのログには、デバイスと Intune クラウド サービスからの要求と通信がすべて表示されます。

  場所: NDES をホストするサーバーで、イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Intune>CertificateConnectors>Admin および Operational を開きます。

• IIS ログ:

  IIS ログには、NDES に入るモバイル デバイスからの証明書要求が表示されます。

  場所: c:\inetpub\logs\LogFiles\W3SVC1 で NDES をホストするサーバー上。

Android デバイスのログ

Note

ログを収集して確認する前に、 Verbose Logging が有効になっていることを確認してから、問題を再現します。

登録の種類に応じて、次の手順を実行します。

• 仕事用プロファイル (BYOD) を持つ個人所有のデバイス: OMADM.log ファイルを確認します。

  デバイスから OMADM.log ファイルを収集するには、usb ケーブルを使用して アップロードと電子メール ログを参照してください。

  サポートするためにログのアップロードと電子メールのを行うこともできます。

• 企業所有の仕事用プロファイル (COPE)、フル マネージド (COBO)、または専用デバイス (COSU): CloudExtension.log ファイルを確認します。

iOS および iPadOS デバイスのログ

iOS/iPadOS を実行するデバイスの場合は、Mac コンピューターでコンソール ログを収集します。

1. iOS/iPadOS デバイスを Mac に接続し、 Applications>Utilities に移動してコンソール アプリを開きます。

2. [Actionで、[情報メッセージを含むを選択しデバッグ メッセージを含む。

   

3. 問題を再現し、ログをテキスト ファイルに保存します。

   1. 編集>すべて選択を選択して現在の画面のすべてのメッセージを選択し、 Edit>Copy を選択して、メッセージをクリップボードにコピーします。
   2. TextEdit アプリケーションを開き、コピーしたログを新しいテキスト ファイルに貼り付けて、ファイルを保存します。

iOS および iPadOS デバイスのポータル サイト ログには、SCEP 証明書プロファイルに関する情報は含まれません。

Windows デバイスのログ

Windows を実行するデバイスの場合は、Windows イベント ログを使用して、Intune で管理するデバイスの登録またはデバイス管理の問題を診断します。

デバイスで、イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider を開きます。

次のステップ

Microsoft Intune でのデバイスへの SCEP 証明書プロファイルの展開のトラブルシューティング