Устранение неполадок профилей сертификатов SCEP с помощью Intune

В этой статье приводятся рекомендации по устранению неполадок и устранению проблем с профилями сертификатов SCEP в Microsoft Intune. В следующих разделах рассматриваются следующие понятия:

• Архитектура и поток обмена данными процесса SCEP
• Сужение до места возникновения проблемы в этом потоке коммуникации
• Определение файлов журнала ключей, на которые ссылаются в последующих статьях для устранения неполадок с профилями сертификатов

Сведения в этой статье и связанных статьях по устранению неполадок с сертификатами SCEP применяются к использованию профилей сертификатов SCEP с устройствами Android, iOS/iPad и Windows. В настоящее время аналогичные сведения для macOS недоступны. Сведения об устранении неполадок службы регистрации сетевых устройств (NDES) см. в следующих статьях:

• Проверка локальной конфигурации NDES для сертификатов SCEP в Intune
• Настройка инфраструктуры для поддержки SCEP в Intune

Прежде чем продолжить, убедитесь, что выполнены предварительные требования для использования профилей сертификатов SCEP, включая развертывание корневого сертификата с помощью профиля доверенного сертификата.

Общие сведения о потоке связи SCEP

На следующем рисунке показан базовый обзор процесса обмена данными SCEP в Intune. Каждый шаг содержит ссылку на статью с более подробными рекомендациями.

1. Разверните профиль сертификата SCEP. Intune создает строку вызова, требующую конкретного пользователя, назначения сертификата и типа сертификата.

2. Связь между сервером NDES и устройством. Устройство использует универсальный код ресурса (URI) для NDES из профиля для связи с сервером NDES, чтобы создать проблему.

3. Обмен данными модуля политики с помощью NDES. NDES перенаправляет вызов модулю политики соединителя сертификатов Intune на сервере, который проверяет запрос.

4. NDES в центр сертификации. NDES передает допустимые запросы на выдачу сертификата центру сертификации (ЦС).

5. Доставка сертификатов на устройство. Сертификат передается на устройство.

6. Отчеты о развертывании в Intune. Соединитель сертификатов Intune сообщает о событии выдачи сертификата в Intune.

Файлы журналов

Чтобы определить проблемы для рабочего процесса подготовки общения и сертификатов, просмотрите файлы журналов как из инфраструктуры сервера, так и с устройств. В последующих разделах по устранению неполадок с профилями сертификатов SCEP приведены ссылки на файлы журналов, на которые ссылается этот раздел.

• Журналы инфраструктуры и сервера

Журналы устройств зависят от платформы устройств:

• iOS и iPadOS
• Android
• Windows

Журналы для локальной инфраструктуры

Локальная инфраструктура, поддерживающая использование профилей сертификатов SCEP для развертываний сертификатов, включает соединитель сертификатов Microsoft Intune, NDES, работающий на Windows Server и центр сертификации.

Файлы журналов для этих ролей включают Просмотр событий Windows, которые рассматриваются как журналы соединителей Intune и журналы службы IIS (IIS):

• Журналы соединителя Intune:

  Эти журналы отображают все запросы и обмен данными с устройств и облачных служб Intune.

  Расположение. На сервере, на котором размещен NDES, откройте Просмотр событий> Applications и services logs>Microsoft>Intune>CertificateConnectors>Admin and Operational.

• Журналы IIS:

  В журналах IIS отображаются запросы сертификатов с мобильных устройств, входящих в NDES.

  Расположение: на сервере, на котором размещается NDES в c:\inetpub\logs\LogFiles\W3SVC1.

Журналы для устройств Android

Примечание.

Прежде чем собирать и просматривать журналы, убедитесь, что включено подробное ведение журнала , а затем воспроизвести проблему.

В зависимости от типа регистрации:

• Личные устройства с рабочим профилем (BYOD): просмотрите файл OMADM.log .

  Сведения о сборе OMADM.log файла с устройства см. в разделе "Отправка и отправка журналов электронной почты" с помощью USB-кабеля.

  Вы также можете отправлять и отправлять журналы электронной почты для поддержки .

• Корпоративный рабочий профиль (COPE), полностью управляемый (COBO) или выделенные устройства (COSU): просмотрите файл CloudExtension.log .

Журналы для устройств iOS и iPadOS

Для устройств под управлением iOS/iPadOS соберите журналы консоли на компьютере Mac:

1. Подключите устройство iOS/iPadOS к Mac, а затем перейдите в служебные программы приложений>, чтобы открыть консольное приложение.

2. В разделе "Действие" выберите "Включить сообщения сведений" и "Включить отладочные сообщения".

   

3. Воспроизводите проблему, а затем сохраните журналы в текстовый файл:

   1. Выберите "Изменить все", чтобы выбрать все сообщения на текущем экране, а затем нажмите кнопку "Изменить>>копию", чтобы скопировать сообщения в буфер обмена.
   2. Откройте приложение TextEdit, вставьте скопированные журналы в новый текстовый файл и сохраните файл.

Журнал Корпоративный портал для устройств iOS и iPadOS не содержит сведения о профилях сертификатов SCEP.

Журналы для устройств Windows

Для устройств под управлением Windows используйте журналы событий Windows для диагностики проблем регистрации или управления устройствами для устройств, управляемых с помощью Intune.

На устройстве откройте Просмотр событий> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Следующие шаги

Устранение неполадок при развертывании профиля сертификата SCEP на устройствах в Microsoft Intune