Compartilhar via

Solução de problemas de perfis de certificado SCEP com o Intune

  • Artigo

Este artigo fornece diretrizes para ajudá-lo a solucionar problemas com perfis de certificado SCEP (Simple Certificate Enrollment Protocol) no Microsoft Intune. As seções a seguir abordam esses conceitos:

  • A arquitetura e o fluxo de comunicação do processo SCEP
  • Restringir onde existe um problema nesse fluxo de comunicação
  • Identificando os arquivos de log de chaves que são referenciados em artigos subsequentes para solucionar problemas de perfis de certificado

As informações neste artigo e nos artigos relacionados à solução de problemas de certificado SCEP se aplicam ao uso de perfis de certificado SCEP com dispositivos Android, iOS/iPad e Windows. Informações semelhantes para macOS não estão disponíveis no momento. Para solucionar problemas do NDES (Serviço de Registro de Dispositivo de Rede), consulte os seguintes artigos:

Antes de continuar, verifique se você atendeu aos pré-requisitos para usar perfis de certificado SCEP, incluindo a implantação de um certificado raiz por meio de um perfil de certificado confiável.

Visão geral do fluxo de comunicação SCEP

A imagem a seguir demonstra uma visão geral básica do processo de comunicação SCEP no Intune. Cada etapa inclui um link para um artigo com orientação mais prescritiva.

A captura de tela mostra o fluxo do perfil do certificado SCEP.

  1. Implante um perfil de certificado SCEP. O Intune gera uma cadeia de caracteres de desafio, que requer um usuário, uma finalidade de certificado e um tipo de certificado específicos.

  2. Comunicação do dispositivo com o servidor NDES. O dispositivo usa o URI para NDES do perfil para entrar em contato com o servidor NDES para que ele possa apresentar um desafio.

  3. NDES para comunicação do módulo de política. O NDES encaminha o desafio para o módulo de política do Intune Certificate Connector no servidor, que valida a solicitação.

  4. NDES para autoridade de certificação. O NDES passa solicitações válidas para emitir um certificado para a Autoridade de Certificação (CA).

  5. Entrega de certificado para o dispositivo. O certificado é entregue ao dispositivo.

  6. Relatórios de implantação no Intune. O Intune Certificate Connector relata o evento de emissão de certificado para o Intune.

Arquivos de log

Para identificar problemas no fluxo de trabalho de comunicação e provisionamento de certificados, examine os arquivos de log da infraestrutura do servidor e dos dispositivos. As seções posteriores para solucionar problemas de perfis de certificado SCEP referem-se aos arquivos de log mencionados nesta seção.

Os logs do dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que dá suporte ao uso de perfis de certificado SCEP para implantações de certificado inclui o Microsoft Intune Certificate Connector, o NDES que é executado em um Windows Server e a autoridade de certificação.

Os arquivos de log para essas funções incluem o Visualizador de Eventos do Windows, considerados como logs do conector do Intune e logs do IIS (Serviços de Informações da Internet):

  • Logs do conector do Intune:

    Esses logs mostram todas as solicitações e comunicações dos dispositivos e serviços de nuvem do Intune.

    Local: no servidor que hospeda o NDES, abra Logs de Aplicativos e Serviços do Visualizador>de Eventos>Microsoft>Intune>CertificateConnectors>Admin e Operacional.

  • Logs do IIS:

    Os logs do IIS mostram as solicitações de certificado de dispositivos móveis que entram no NDES.

    Local: No servidor que hospeda o NDES em c:\inetpub\logs\LogFiles\W3SVC1.

Logs para dispositivos Android

Observação

Antes de coletar e revisar os logs, verifique se o Log Detalhado está habilitado e reproduza o problema.

Dependendo do tipo de registro:

  • BYOD (dispositivos de propriedade pessoal com um perfil de trabalho): revise o arquivo OMADM.log .

    Para coletar o arquivo OMADM.log de um dispositivo, consulte Carregar e enviar logs por e-mail usando um cabo USB.

    Você também pode fazer upload e enviar logs por e-mail para o suporte.

  • Perfil de trabalho corporativo (COPE), totalmente gerenciado (COBO) ou dispositivos dedicados (COSU): revise o arquivo CloudExtension.log .

Registros para dispositivos iOS e iPadOS

Para dispositivos que executam iOS/iPadOS, colete logs do console em um computador Mac:

  1. Conecte o dispositivo iOS/iPadOS ao Mac e vá para Utilitários de Aplicativos>para abrir o aplicativo Console.

  2. Em Ação, selecione Incluir Mensagens Informativas e Incluir Mensagens de Depuração.

    A captura de tela mostra que as opções Incluir mensagens de informações e Incluir mensagens de depuração estão selecionadas.

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar>Selecionar Tudo para selecionar todas as mensagens na tela atual e, em seguida, selecione Editar>Cópia para copiar as mensagens para a área de transferência.
    2. Abra o aplicativo Editor de Texto, cole os logs copiados em um novo arquivo de texto e salve o arquivo.

O log do Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado SCEP.

Logs para dispositivos Windows

Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com o Intune.

No dispositivo, abra Logs de Aplicativos e Serviços do Visualizador>de Eventos>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Captura de tela dos logs de eventos do Windows no Visualizador de Eventos.

Próximas etapas

Solucionar problemas de implantação de um perfil de certificado SCEP em dispositivos no Microsoft Intune