Problemen met SCEP-certificaatprofielen oplossen met Intune

Dit artikel bevat richtlijnen voor het oplossen van problemen met SCEP-certificaatprofielen (Simple Certificate Enrollment Protocol) in Microsoft Intune. In de volgende secties worden de volgende concepten behandeld:

• De architectuur en de communicatiestroom van het SCEP-proces
• Beperken waar zich een probleem voordoet in die communicatiestroom
• Identificeren van de sleutellogboekbestanden waarnaar wordt verwezen in volgende artikelen voor het oplossen van problemen met certificaatprofielen

De informatie in dit artikel en verwante artikelen over het oplossen van problemen met SCEP-certificaten zijn van toepassing op het gebruik van SCEP-certificaatprofielen met Android-, iOS-/iPad- en Windows-apparaten. Vergelijkbare informatie voor macOS is momenteel niet beschikbaar. Raadpleeg de volgende artikelen om problemen met Network Device Enrollment Service (NDES) op te lossen:

• On-premises NDES-configuratie controleren voor SCEP-certificaten in Intune
• Infrastructuur configureren ter ondersteuning van SCEP met Intune

Voordat u doorgaat, moet u ervoor zorgen dat u voldoet aan de vereisten voor het gebruik van SCEP-certificaatprofielen, inclusief de implementatie van een basiscertificaat via een vertrouwd certificaatprofiel.

Overzicht van SCEP-communicatiestromen

In de volgende afbeelding ziet u een eenvoudig overzicht van het SCEP-communicatieproces in Intune. Elke stap bevat een koppeling naar een artikel met meer beschrijvende richtlijnen.

1. Implementeer een SCEP-certificaatprofiel. Intune genereert een uitdagingstekenreeks die een specifieke gebruiker, certificaatdoel en certificaattype vereist.

2. Apparaat-naar-NDES-servercommunicatie. Het apparaat gebruikt de URI voor NDES van het profiel om contact op te maken met de NDES-server, zodat deze een uitdaging kan opleveren.

3. Communicatie tussen NDES en beleidsmodules. NDES stuurt de uitdaging door naar de intune Certificate Connector-beleidsmodule op de server, waarmee de aanvraag wordt gevalideerd.

4. NDES naar certificeringsinstantie. NDES geeft geldige aanvragen door om een certificaat uit te geven aan de certificeringsinstantie (CA).

5. Certificaatlevering naar het apparaat. Het certificaat wordt aan het apparaat geleverd.

6. Rapportage van implementatie aan Intune. De Intune Certificate Connector rapporteert de certificaatuitgifte naar Intune.

Logboekbestanden

Als u problemen wilt identificeren voor de werkstroom voor communicatie en certificaatinrichting, controleert u logboekbestanden van zowel de Server-infrastructuur als van apparaten. Latere secties voor het oplossen van problemen met SCEP-certificaatprofielen verwijzen naar logboekbestanden waarnaar in deze sectie wordt verwezen.

• Infrastructuur- en serverlogboeken

Apparaatlogboeken zijn afhankelijk van het apparaatplatform:

• iOS en iPadOS
• Android
• Windows

Logboeken voor on-premises infrastructuur

On-premises infrastructuur die ondersteuning biedt voor het gebruik van SCEP-certificaatprofielen voor certificaatimplementaties, omvat de Microsoft Intune Certificate Connector, NDES die wordt uitgevoerd op een Windows Server en de certificeringsinstantie.

Logboekbestanden voor deze rollen omvatten Windows-Logboeken, beschouwd als Intune-connectorlogboeken en IIS-logboeken (Internet Information Services):

• Intune-connectorlogboeken:

  In deze logboeken worden alle aanvragen en communicatie van de apparaten en Intune-cloudservices weergegeven.

  Locatie: Open op de server die als host fungeert voor NDES Logboeken> Applications and Services Logs>Microsoft>Intune>CertificateConnectors>Admin and Operational.

• IIS-logboeken:

  IIS-logboeken tonen de certificaataanvragen van mobiele apparaten die NDES invoeren.

  Locatie: Op de server die als host fungeert voor NDES op c:\inetpub\logs\LogFiles\W3SVC1.

Logboeken voor Android-apparaten

Notitie

Voordat u logboeken verzamelt en bekijkt, moet u ervoor zorgen dat uitgebreide logboekregistratie is ingeschakeld en reproduceert u het probleem.

Afhankelijk van het inschrijvingstype:

• Apparaten in persoonlijk eigendom met een werkprofiel (BYOD): controleer het OMADM.log bestand.

  Als u het OMADM.log-bestand van een apparaat wilt verzamelen, raadpleegt u Logboeken uploaden en e-mailen met behulp van een USB-kabel.

  U kunt ook logboeken uploaden en e-mailen ter ondersteuning.

• Werkprofiel in bedrijfseigendom (COPE), volledig beheerd (COBO) of toegewezen apparaten (COSU): controleer het CloudExtension.log bestand.

Logboeken voor iOS- en iPadOS-apparaten

Verzamel consolelogboeken op een Mac-computer voor apparaten met iOS/iPadOS:

1. Verbind het iOS-/iPadOS-apparaat met Mac en ga vervolgens naar Applications>Utilities om de Console-app te openen.

2. Selecteer onder Actie Infoberichten opnemen en Foutopsporingsberichten opnemen.

   

3. Reproduceer het probleem en sla de logboeken vervolgens op in een tekstbestand:

   1. Selecteer Alles bewerken>om alle berichten op het huidige scherm te selecteren en selecteer vervolgens Kopiëren bewerken>om de berichten naar het klembord te kopiëren.
   2. Open de TextEdit-toepassing, plak de gekopieerde logboeken in een nieuw tekstbestand en sla het bestand op.

Het Bedrijfsportal logboek voor iOS- en iPadOS-apparaten bevat geen informatie over SCEP-certificaatprofielen.

Logboeken voor Windows-apparaten

Voor apparaten met Windows gebruikt u de Windows-gebeurtenislogboeken om registratie- of apparaatbeheerproblemen vast te stellen voor apparaten die u beheert met Intune.

Open op het apparaat Logboeken> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Volgende stappen

Problemen met de implementatie van een SCEP-certificaatprofiel oplossen op apparaten in Microsoft Intune