Partilhar via


Solução de problemas da implantação do perfil de certificados SCEP em dispositivos no Intune

Este artigo fornece diretrizes de solução de problemas para a implantação de perfis de certificado SCEP (Simple Certificate Enrollment Protocol) com o Microsoft Intune. A implantação do certificado é a Etapa 1 da visão geral do fluxo de comunicação do SCEP.

O perfil de certificado SCEP e o perfil de certificado confiável especificado no perfil SCEP devem ser atribuídos ao mesmo usuário ou ao mesmo dispositivo. A tabela a seguir mostra o resultado esperado de atribuições mistas:

A atribuição de perfil de certificado confiável inclui Usuário A atribuição de perfil de certificado confiável inclui Dispositivo A atribuição de perfil de certificado confiável inclui Usuário e Dispositivo
A atribuição de perfil de certificado SCEP inclui Usuário Êxito Falha Êxito
A atribuição de perfil de certificado SCEP inclui Dispositivo Falha Êxito Êxito
A atribuição de perfil de certificado SCEP inclui Usuário e Dispositivo Êxito Êxito Êxito

Android

Os perfis de certificado SCEP para Android chegam ao dispositivo como um SyncML e são registrados no log do OMADM.

Valide se a política foi enviada ao dispositivo Android

Para validar se um perfil foi enviado para o dispositivo esperado, no centro de administração Microsoft Intune, acesse Solução de problemas + Solução de problemas de suporte>. Na janela Solução de problemas, defina Atribuições como Perfis de configuração e valide as seguintes configurações:

  1. Especifique o usuário que deve receber o perfil de certificado SCEP.

  2. Revise a associação de grupo do usuário para garantir que ele esteja no grupo de segurança usado com o perfil de certificado SCEP.

  3. Examine quando o dispositivo fez check-in pela última vez com o Intune.

Validar a política de dispositivo Android

Valide se a política chegou ao dispositivo Android

Revise o log OMADM dos dispositivos. Procure entradas semelhantes aos exemplos a seguir, que são registrados quando o dispositivo obtém o perfil do Intune:

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Exemplos de entradas principais:

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPadOS

Valide se o dispositivo iOS/iPadOS recebeu a política

Para validar se um perfil foi enviado para o dispositivo esperado, no centro de administração Microsoft Intune, acesse Solução de problemas + Solução de problemas de suporte>. Na janela Solução de problemas, defina Atribuições como Perfis de configuração e valide as seguintes configurações:

  1. Especifique o usuário que deve receber o perfil de certificado SCEP.

  2. Examine a associação do grupo do usuário para garantir que ele esteja no grupo de segurança usado com o perfil de certificado SCEP.

  3. Examine quando o dispositivo fez check-in pela última vez com o Intune.

Validar se a política atingiu o dispositivo iOS ou iPadOS

Examine o log de depuração de dispositivos. Procure entradas semelhantes aos exemplos a seguir, que são registrados quando o dispositivo obtém o perfil do Intune:

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Exemplos de entradas principais:

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

Validar se o dispositivo Windows recebeu a política

Para validar se o perfil foi enviado para o dispositivo esperado, no centro de administração Microsoft Intune, acesse Solução de problemas + Solução de problemas de suporte>. Na janela Solução de problemas, defina Atribuições como Perfis de configuração e valide as seguintes configurações:

  1. Especifique o usuário que deve receber o perfil de certificado SCEP.

  2. Revise a associação de grupo do usuário para garantir que ele esteja no grupo de segurança usado com o perfil de certificado SCEP.

  3. Examine quando o dispositivo fez check-in pela última vez com o Intune.

Validar se a política atingiu o dispositivo Windows

A chegada da política para o perfil é registrada no log DeviceManagement-Enterprise-Diagnostics-Provider>Admin de um dispositivo Windows, com uma ID de evento 306.

Para abrir o log:

  1. No dispositivo, execute eventvwr.msc para abrir o Visualizador de Eventos do Windows.

  2. Expanda Logs>de Aplicativos e Serviços Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

  3. Procure o Evento 306, que se assemelha ao exemplo a seguir:

    Event ID:      306
    Task Category: None
    Level:         Information
    User:          SYSTEM
    Computer:      <Computer Name>
    Description:
    SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).
    

    O código de erro 0x2ab0003 se traduz em DM_S_ACCEPTED_FOR_PROCESSING.

    Um código de erro malsucedido pode fornecer indicação do problema subjacente.

Próximas etapas

Se o perfil atingir o dispositivo, a próxima etapa será revisar o dispositivo com a comunicação do servidor NDES.