Problemen met de implementatie van het SCEP-certificaatprofiel oplossen op apparaten in Intune
In deze artikelen vindt u richtlijnen voor het oplossen van problemen met het implementeren van SCEP-certificaatprofielen (Simple Certificate Enrollment Protocol) met Microsoft Intune. Certificaatimplementatie is stap 1 van het overzicht van de SCEP-communicatiestroom.
Het SCEP-certificaatprofiel en het vertrouwde certificaatprofiel dat is opgegeven in het SCEP-profiel, moeten beide worden toegewezen aan dezelfde gebruiker of hetzelfde apparaat. In de volgende tabel ziet u het verwachte resultaat van gemengde toewijzingen:
| Vertrouwde certificaatprofieltoewijzing bevat gebruiker | Vertrouwde certificaatprofieltoewijzing bevat apparaat | Vertrouwde certificaatprofieltoewijzing omvat Gebruiker en Apparaat | |
|---|---|---|---|
| SCEP-certificaatprofieltoewijzing bevat gebruiker | Geslaagd | Fout | Geslaagd |
| SCEP-certificaatprofieltoewijzing bevat apparaat | Fout | Geslaagd | Geslaagd |
| SCEP-certificaatprofieltoewijzing omvat Gebruiker en Apparaat | Geslaagd | Geslaagd | Geslaagd |
Android
SCEP-certificaatprofielen voor Android worden als Een SyncML-apparaat weergegeven en worden geregistreerd in het OMADM-logboek.
Controleer of het Android-apparaat het beleid heeft verzonden
Als u wilt controleren of er een profiel is verzonden naar het apparaat dat u verwacht, gaat u in het Microsoft Intune-beheercentrum naar Probleemoplossing en ondersteuningsproblemen>. Stel in het venster Problemen oplossen toewijzingen in op configuratieprofielen en valideer vervolgens de volgende configuraties:
Geef de gebruiker op die het SCEP-certificaatprofiel moet ontvangen.
Controleer het groepslidmaatschap van de gebruiker om ervoor te zorgen dat deze zich in de beveiligingsgroep bevinden die u hebt gebruikt met het SCEP-certificaatprofiel.
Controleer wanneer het apparaat voor het laatst is ingecheckt bij Intune.
Controleer of het beleid het Android-apparaat heeft bereikt
Controleer het OMADM-logboek van apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat het profiel van Intune ophaalt:
Time VERB Event com.microsoft.omadm.syncml.SyncmlSession 9595 9 <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data><CertificateRequest><ConfigurationParametersDocument>&lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&gt;&lt;ExpirationThreshold&gt;20&lt;/ExpirationThreshold&gt;&lt;RetryCount&gt;3&lt;/RetryCount&gt;&lt;RetryDelay&gt;1&lt;/RetryDelay&gt;&lt;TemplateName /&gt;&lt;SubjectNameFormat&gt;{ID}&lt;/SubjectNameFormat&gt;&lt;SubjectAlternativeNameFormat&gt;{ID}&lt;/SubjectAlternativeNameFormat&gt;&lt;KeyStorageProviderSetting&gt;0&lt;/KeyStorageProviderSetting&gt;&lt;KeyUsage&gt;32&lt;/KeyUsage&gt;&lt;KeyLength&gt;2048&lt;/KeyLength&gt;&lt;HashAlgorithms&gt;&lt;HashAlgorithm&gt;SHA-1&lt;/HashAlgorithm&gt;&lt;HashAlgorithm&gt;SHA-2&lt;/HashAlgorithm&gt;&lt;/HashAlgorithms&gt;&lt;NDESUrls&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls&gt;&lt;CAThumbprint&gt;{GUID}&lt;/CAThumbprint&gt;&lt;ValidityPeriod&gt;2&lt;/ValidityPeriod&gt;&lt;ValidityPeriodUnit&gt;Years&lt;/ValidityPeriodUnit&gt;&lt;EKUMapping&gt;&lt;EKUMap&gt;&lt;EKUName&gt;Client Authentication&lt;/EKUName&gt;&lt;EKUOID&gt;1.3.6.1.5.5.7.3.2&lt;/EKUOID&gt;&lt;/EKUMap&gt;&lt;/EKUMapping&gt;&lt;/ConfigurationParameters&gt;</ConfigurationParametersDocument><RequestParameters><CertificateRequestToken>PENlcnRFbn... Hash: 1,010,143,298</CertificateRequestToken><SubjectName>CN=name</SubjectName><Issuers>CN=FourthCoffee CA; DC=fourthcoffee; DC=local</Issuers><SubjectAlternativeName><SANs><SAN NameFormat="ID" AltNameType="2" OID="{OID}"></SAN><SAN NameFormat="ID" AltNameType="11" OID="{OID}">john@contoso.onmicrosoft.com</SAN></SANs></SubjectAlternativeName><NDESUrl>https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll</NDESUrl></RequestParameters></CertificateRequest></Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>
Voorbeelden van belangrijke vermeldingen:
ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401NDESUrls&gt;&lt;NDESUrl&gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls
iOS/iPadOS
Controleer of het iOS-/iPadOS-apparaat het beleid heeft verzonden
Als u wilt controleren of er een profiel is verzonden naar het apparaat dat u verwacht, gaat u in het Microsoft Intune-beheercentrum naar Probleemoplossing en ondersteuningsproblemen>. Stel in het venster Problemen oplossen toewijzingen in op configuratieprofielen en valideer vervolgens de volgende configuraties:
Geef de gebruiker op die het SCEP-certificaatprofiel moet ontvangen.
Controleer het groepslidmaatschap van de gebruiker om ervoor te zorgen dat deze zich in de beveiligingsgroep bevinden die u hebt gebruikt met het SCEP-certificaatprofiel.
Controleer wanneer het apparaat voor het laatst is ingecheckt bij Intune.
Controleer of het beleid het iOS- of iPadOS-apparaat heeft bereikt
Controleer het foutopsporingslogboek van apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat het profiel van Intune ophaalt:
debug 18:30:54.638009 -0500 profiled Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\
Voorbeelden van belangrijke vermeldingen:
ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295PayloadDependencyDomainCertificate
Windows
Controleer of het Windows-apparaat het beleid heeft verzonden
Als u wilt controleren of het profiel is verzonden naar het apparaat dat u verwacht, gaat u in het Microsoft Intune-beheercentrum naar Probleemoplossing en ondersteuningsproblemen>. Stel in het venster Problemen oplossen toewijzingen in op configuratieprofielen en valideer vervolgens de volgende configuraties:
Geef de gebruiker op die het SCEP-certificaatprofiel moet ontvangen.
Controleer het groepslidmaatschap van de gebruiker om ervoor te zorgen dat deze zich in de beveiligingsgroep bevinden die u hebt gebruikt met het SCEP-certificaatprofiel.
Controleer wanneer het apparaat voor het laatst is ingecheckt bij Intune.
Controleren of het beleid het Windows-apparaat heeft bereikt
De komst van het beleid voor het profiel wordt geregistreerd in het beheerlogboek deviceManagement-Enterprise-Diagnostics-Provider>van een Windows-apparaat met een gebeurtenis-id 306.
Het logboek openen:
Voer op het apparaat eventvwr.msc uit om Windows Logboeken te openen.
Vouw toepassingen en services uit en registreert>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.
Zoek naar gebeurtenis 306, die lijkt op het volgende voorbeeld:
Event ID: 306 Task Category: None Level: Information User: SYSTEM Computer: <Computer Name> Description: SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall) KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).De foutcode 0x2ab0003 wordt omgezet in DM_S_ACCEPTED_FOR_PROCESSING.
Een niet-geslaagde foutcode kan een indicatie geven van het onderliggende probleem.
Volgende stappen
Als het profiel het apparaat bereikt, is de volgende stap het controleren van het apparaat naar de communicatie van de NDES-server.