Rozwiązywanie problemów z profilami certyfikatów PROTOKOŁU SCEP przy użyciu usługi Intune

Ten artykuł zawiera wskazówki ułatwiające rozwiązywanie problemów z profilami certyfikatów prostego protokołu rejestrowania certyfikatów (SCEP) w usłudze Microsoft Intune. W poniższych sekcjach omówiono następujące pojęcia:

• Architektura i przepływ komunikacji procesu SCEP
• Zawężenie, w którym występuje problem w tym przepływie komunikacji
• Identyfikowanie plików dziennika kluczy, do których odwołuje się w kolejnych artykułach dotyczących rozwiązywania problemów z profilami certyfikatów

Informacje zawarte w tym artykule i powiązane artykuły dotyczące rozwiązywania problemów z certyfikatami SCEP dotyczą używania profilów certyfikatów SCEP z urządzeniami z systemami Android, iOS/iPad i Windows. Podobne informacje dla systemu macOS nie są obecnie dostępne. Aby rozwiązać problemy z usługą rejestracji urządzeń sieciowych (NDES), zobacz następujące artykuły:

• Weryfikowanie lokalnej konfiguracji usługi NDES dla certyfikatów SCEP w usłudze Intune
• Konfigurowanie infrastruktury do obsługi protokołu SCEP za pomocą usługi Intune

Przed kontynuowaniem upewnij się, że spełniono wymagania wstępne dotyczące używania profilów certyfikatów SCEP, w tym wdrożenia certyfikatu głównego za pośrednictwem profilu zaufanego certyfikatu.

Omówienie przepływu komunikacji protokołu SCEP

Na poniższej ilustracji przedstawiono podstawowe omówienie procesu komunikacji protokołu SCEP w usłudze Intune. Każdy krok zawiera link do artykułu z bardziej nakazowymi wskazówkami.

1. Wdrażanie profilu certyfikatu PROTOKOŁU SCEP. Usługa Intune generuje ciąg wyzwania, który wymaga określonego użytkownika, przeznaczenia certyfikatu i typu certyfikatu.

2. Komunikacja między urządzeniem a serwerem usługi NDES. Urządzenie używa identyfikatora URI dla usługi NDES z profilu, aby skontaktować się z serwerem usługi NDES, aby mógł stanowić wyzwanie.

3. Komunikacja modułu usługi NDES z modułem zasad. Usługa NDES przekazuje wyzwanie do modułu zasad łącznika certyfikatów usługi Intune na serwerze, który weryfikuje żądanie.

4. Usługi NDES do urzędu certyfikacji. Usługa NDES przekazuje ważne żądania wystawiania certyfikatu do urzędu certyfikacji.

5. Dostarczanie certyfikatu do urządzenia. Certyfikat jest dostarczany do urządzenia.

6. Raportowanie wdrożenia w usłudze Intune. Łącznik certyfikatów usługi Intune zgłasza zdarzenie wystawiania certyfikatów w usłudze Intune.

Plik dzienników

Aby zidentyfikować problemy dotyczące przepływu pracy komunikacji i aprowizacji certyfikatów, przejrzyj pliki dziennika zarówno z infrastruktury serwera, jak i z urządzeń. W kolejnych sekcjach dotyczących rozwiązywania problemów z profilami certyfikatów PROTOKOŁU SCEP zapoznaj się z plikami dzienników, do których odwołuje się ta sekcja.

• Dzienniki infrastruktury i serwera

Dzienniki urządzeń zależą od platformy urządzeń:

• iOS i iPadOS
• Android
• Windows

Dzienniki infrastruktury lokalnej

Infrastruktura lokalna, która obsługuje używanie profilów certyfikatów SCEP na potrzeby wdrożeń certyfikatów, obejmuje łącznik certyfikatów usługi Microsoft Intune, usługę NDES działającą w systemie Windows Server i urząd certyfikacji.

Pliki dziennika dla tych ról obejmują Podgląd zdarzeń systemu Windows, uważane za dzienniki łącznika usługi Intune, oraz dzienniki usług Internet Information Services (IIS):

• Dzienniki łącznika usługi Intune:

  Te dzienniki pokazują wszystkie żądania i komunikację z urządzeń i usług w chmurze usługi Intune.

  Lokalizacja: Na serwerze, który hostuje usługę NDES, otwórz Podgląd zdarzeń >Aplikacje i usługi Dzienniki certyfikatów usługi Microsoft>IntuneŁączniki>>>administracyjne i operacyjne.

• Dzienniki usług IIS:

  Dzienniki usług IIS pokazują żądania certyfikatów z urządzeń przenośnych wprowadzających usługę NDES.

  Lokalizacja: na serwerze hostujący usługę NDES w folderze c:\inetpub\logs\LogFiles\W3SVC1.

Dzienniki dla urządzeń z systemem Android

Uwaga 16.

Przed zebraniu i przejrzeniu dzienników upewnij się, że pełne rejestrowanie jest włączone, a następnie odtwórz problem.

W zależności od typu rejestracji:

• Urządzenia prywatne z profilem służbowym (BYOD): przejrzyj plik OMADM.log .

  Aby zebrać plik OMADM.log z urządzenia, zobacz Przekazywanie i wysyłanie dzienników poczty e-mail przy użyciu USB.

  Możesz również przekazać dzienniki i wysłać je pocztą e-mail do pomocy technicznej.

• Profil służbowy należący do firmy (COPE), w pełni zarządzane (COBO) lub dedykowane urządzenia (COSU): przejrzyj plik CloudExtension.log .

Dzienniki dla urządzeń z systemem iOS i iPadOS

W przypadku urządzeń z systemem iOS/iPadOS zbierz dzienniki konsoli na komputerze Mac:

1. Połącz urządzenie z systemem iOS/iPadOS z komputerem Mac, a następnie przejdź do pozycji Narzędzia aplikacji>, aby otworzyć aplikację Konsola.

2. W obszarze Akcja wybierz pozycję Uwzględnij komunikaty informacyjne i Dołącz komunikaty debugowania.

   

3. Odtwórz problem, a następnie zapisz dzienniki w pliku tekstowym:

   1. Wybierz pozycję Edytuj>zaznacz wszystko, aby wybrać wszystkie komunikaty na bieżącym ekranie, a następnie wybierz pozycję Edytuj>kopię, aby skopiować komunikaty do schowka.
   2. Otwórz aplikację TextEdit, wklej skopiowane dzienniki do nowego pliku tekstowego, a następnie zapisz plik.

Dziennik Portal firmy dla urządzeń z systemami iOS i iPadOS nie zawiera informacji o profilach certyfikatów SCEP.

Dzienniki dla urządzeń z systemem Windows

W przypadku urządzeń z systemem Windows użyj dzienników zdarzeń systemu Windows, aby zdiagnozować problemy z rejestracją lub zarządzaniem urządzeniami dla urządzeń zarządzanych za pomocą usługi Intune.

Na urządzeniu otwórz Podgląd zdarzeń >Aplikacje i usługi Dzienniki urządzeń>z systemem Microsoft>WindowsManagement-Enterprise-Diagnostics-Provider.>

Następne kroki

Rozwiązywanie problemów z wdrażaniem profilu certyfikatu SCEP na urządzeniach w usłudze Microsoft Intune