Felsöka SCEP-certifikatprofiler med Intune

Den här artikeln innehåller vägledning som hjälper dig att felsöka och lösa problem med SCEP-certifikatprofiler (Simple Certificate Enrollment Protocol) i Microsoft Intune. Följande avsnitt beskriver följande begrepp:

• Arkitekturen och kommunikationsflödet i SCEP-processen
• Begränsa var ett problem finns i kommunikationsflödet
• Identifiera de nyckelloggfiler som refereras till i efterföljande artiklar för felsökning av certifikatprofiler

Informationen i den här artikeln och relaterade felsökningsartiklar för SCEP-certifikat gäller för användning av SCEP-certifikatprofiler med Android-, iOS/iPad- och Windows-enheter. Liknande information för macOS är inte tillgänglig just nu. Information om hur du felsöker registreringstjänsten för nätverksenheter (NDES) finns i följande artiklar:

• Verifiera NDES-konfiguration lokalt för SCEP-certifikat i Intune
• Konfigurera infrastruktur för att stödja SCEP med Intune

Innan du fortsätter kontrollerar du att du uppfyller kraven för att använda SCEP-certifikatprofiler, inklusive distribution av ett rotcertifikat via en betrodd certifikatprofil.

Översikt över SCEP-kommunikationsflöde

Följande bild visar en grundläggande översikt över SCEP-kommunikationsprocessen i Intune. Varje steg innehåller en länk till en artikel med mer normativ vägledning.

1. Distribuera en SCEP-certifikatprofil. Intune genererar en utmaningssträng som kräver en specifik användare, certifikatsyfte och certifikattyp.

2. Kommunikation mellan enhet och NDES-server. Enheten använder URI:n för NDES från profilen för att kontakta NDES-servern så att den kan utgöra en utmaning.

3. NDES till principmodulkommunikation. NDES vidarebefordrar utmaningen till Principmodulen för Intune Certificate Connector på servern, som validerar begäran.

4. NDES till certifikatutfärdare. NDES skickar giltiga begäranden om att utfärda ett certifikat till certifikatutfärdare (CA).

5. Certifikatleverans till enheten. Certifikatet levereras till enheten.

6. Rapportering av distribution till Intune. Intune Certificate Connector rapporterar certifikatutfärdarhändelsen till Intune.

Loggfiler

Om du vill identifiera problem med arbetsflödet för kommunikation och certifikatetablering granskar du loggfiler från både serverinfrastrukturen och från enheter. Senare avsnitt för felsökning av SCEP-certifikatprofiler finns i loggfiler som refereras i det här avsnittet.

• Infrastruktur- och serverloggar

Enhetsloggar är beroende av enhetsplattformen:

• iOS och iPadOS
• Android
• Windows

Loggar för lokal infrastruktur

Lokal infrastruktur som stöder användning av SCEP-certifikatprofiler för certifikatdistributioner omfattar Microsoft Intune Certificate Connector, NDES som körs på en Windows Server och certifikatutfärdare.

Loggfiler för dessa roller omfattar Windows Loggboken, som betraktas som Intune-anslutningsloggar och IIS-loggar (Internet Information Services):

• Intune-anslutningsloggar:

  Dessa loggar visar alla begäranden och kommunikationer från enheterna och Intune-molntjänsterna.

  Plats: På den server som är värd för NDES öppnar du Loggboken> Program och tjänstloggar>Microsoft>Intune>CertificateConnectors>Admin och Operational.

• IIS-loggar:

  IIS-loggar visar certifikatbegäranden från mobila enheter som anger NDES.

  Plats: På servern som är värd för NDES på c:\inetpub\logs\LogFiles\W3SVC1.

Loggar för Android-enheter

Kommentar

Innan du samlar in och granskar loggar kontrollerar du att Utförlig loggning är aktiverat och återskapar sedan problemet.

Beroende på registreringstyp:

• Personligt ägda enheter med en arbetsprofil (BYOD): granska filen OMADM.log .

  Information om hur du samlar in OMADM.log-filen från en enhet finns i Ladda upp och skicka loggar via e-post med hjälp av en USB-kabel.

  Du kan också ladda upp och skicka loggar via e-post till supporten.

• Företagsägd arbetsprofil (COPE), fullständigt hanterad (COBO) eller dedikerade enheter (COSU): granska filen CloudExtension.log .

Loggar för iOS- och iPadOS-enheter

För enheter som kör iOS/iPadOS samlar du in konsolloggar på en Mac-dator:

1. Anslut iOS/iPadOS-enheten till Mac och gå sedan till Programverktyg> för att öppna konsolappen.

2. Under Åtgärd väljer du Inkludera informationsmeddelanden och Inkludera felsökningsmeddelanden.

   

3. Återskapa problemet och spara sedan loggarna i en textfil:

   1. Välj Redigera>Markera alla för att markera alla meddelanden på den aktuella skärmen och välj sedan Redigera>kopia för att kopiera meddelandena till Urklipp.
   2. Öppna TextEdit-programmet, klistra in de kopierade loggarna i en ny textfil och spara sedan filen.

Den Företagsportal loggen för iOS- och iPadOS-enheter innehåller inte information om SCEP-certifikatprofiler.

Loggar för Windows-enheter

För enheter som kör Windows använder du Windows-händelseloggarna för att diagnostisera problem med registrering eller enhetshantering för enheter som du hanterar med Intune.

Öppna Loggboken> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider på enheten.

Nästa steg

Felsöka distribution av en SCEP-certifikatprofil till enheter i Microsoft Intune