使用 Intune 排查 SCEP 证书配置文件问题
本文提供了指导,可帮助你排查和解决 Microsoft intune 中简单证书注册协议 (SCEP) 证书配置文件的问题。 以下部分介绍以下概念:
- SCEP 进程的体系结构和通信流
- 缩小该通信流中存在问题的位置
- 标识后续文章中引用的用于排查证书配置文件问题的关键日志文件
本文中的信息和相关 SCEP 证书故障排除文章适用于将 SCEP 证书配置文件与 Android、iOS/iPad 和 Windows 设备配合使用。 目前,macOS 的类似信息不可用。 若要对网络设备注册服务(NDES)进行故障排除,请参阅以下文章:
在继续之前,请确保已满足 使用 SCEP 证书配置文件的先决条件,包括通过受信任的证书配置文件部署根证书。
SCEP 通信流概述
下图演示了 Intune 中 SCEP 通信过程的基本概述。 每个步骤都包含指向具有更规范性指南的文章的链接。
部署 SCEP 证书配置文件。 Intune 生成质询字符串,该字符串需要特定的用户、证书用途和证书类型。
设备到 NDES 服务器通信。 设备使用配置文件中 NDES 的 URI 来联系 NDES 服务器,以便它可以提出质询。
NDES 到策略模块通信。 NDES 将质询转发到服务器上的 Intune 证书连接器策略模块,该模块会验证请求。
NDES 到证书颁发机构。 NDES 将有效请求传递给证书颁发机构(CA)。
证书传送到设备。 证书将传送到设备。
向 Intune 报告部署。 Intune 证书连接器将证书颁发事件报告给 Intune。
日志文件
若要确定通信和证书预配工作流的问题,请查看服务器基础结构和设备中的日志文件。 有关 SCEP 证书配置文件故障排除的后续部分,请参阅本节中引用的日志文件。
设备日志取决于设备平台:
本地基础结构的日志
支持将 SCEP 证书配置文件用于证书部署的本地基础结构包括 Microsoft Intune 证书连接器、在 Windows Server 上运行的 NDES 以及证书颁发机构。
这些角色的日志文件包括 Windows 事件查看器,被视为 Intune 连接器日志和 Internet Information Services (IIS) 日志:
Intune 连接器日志:
这些日志显示来自设备和 Intune 云服务的所有请求和通信。
位置:在托管 NDES 的服务器上,打开 事件查看器>Applications 和服务日志>Microsoft>Intune>CertificateConnectors>管理员和操作。
IIS 日志:
IIS 日志显示来自进入 NDES 的移动设备的证书请求。
位置:在托管 NDES 的服务器上,该服务器位于 c:\inetpub\logs\LogFiles\W3SVC1。
Android 设备的日志
注意
在收集和查看日志之前,请确保 启用详细日志记录 ,然后重现问题。
根据注册类型:
具有工作配置文件(BYOD)的个人拥有设备:查看 OMADM.log 文件。
若要从设备收集 OMADM.log 文件,请参阅 使用 USB 电缆上传和电子邮件日志。
还可以 上传日志并通过电子邮件发送日志 以支持。
公司拥有的工作配置文件(COPE)、完全托管(COBO)或专用设备(COSU):查看 CloudExtension.log 文件。
iOS 和 iPadOS 设备的日志
对于运行 iOS/iPadOS 的设备,请在 Mac 计算机上收集控制台日志:
将 iOS/iPadOS 设备连接到 Mac,然后转到应用程序>实用工具打开控制台应用。
在“操作”下,选择“包括信息消息”和“包括调试消息”。
重现问题,然后将日志保存到文本文件:
- 选择“编辑>全选”以选择当前屏幕上的所有消息,然后选择“编辑>副本”将消息复制到剪贴板。
- 打开 TextEdit 应用程序,将复制的日志粘贴到新的文本文件中,然后保存该文件。
iOS 和 iPadOS 设备的公司门户日志不包含有关 SCEP 证书配置文件的信息。
Windows 设备的日志
对于运行 Windows 的设备,请使用 Windows 事件日志诊断使用 Intune 管理的设备注册或设备管理问题。
在设备上,Microsoft Windows>DeviceManagement-Enterprise-Diagnostics-Provider 打开 事件查看器>Applications 和服务日志。>>
