使用 Intune 針對 SCEP 憑證配置檔進行疑難解答
本文提供指引,協助您針對 Intune Microsoft 中的簡單憑證註冊通訊協定 (SCEP) 憑證配置文件問題進行疑難解答和解決。 下列各節涵蓋這些概念:
- SCEP 程式的架構和通訊流程
- 縮小該通訊流程中存在問題的位置
- 識別後續文章中參考的金鑰記錄檔,以針對憑證配置檔進行疑難解答
本文中的資訊和相關 SCEP 憑證疑難解答文章適用於搭配 Android、iOS/iPad 和 Windows 裝置使用 SCEP 憑證配置檔。 目前無法使用macOS的類似資訊。 若要針對網路裝置註冊服務 (NDES) 進行疑難解答,請參閱下列文章:
繼續之前,請確定您已符合 使用 SCEP 憑證配置檔的必要條件,包括透過受信任的憑證配置檔部署跟證書。
SCEP 通訊流程概觀
下圖示範 Intune 中 SCEP 通訊程式的基本概觀。 每個步驟都包含具有更規範指引的文章連結。
部署 SCEP 憑證配置檔。 Intune 會產生挑戰字串,該字串需要特定的用戶、憑證用途和憑證類型。
裝置到 NDES 伺服器通訊。 裝置會使用配置檔中 NDES 的 URI 來連絡 NDES 伺服器,使其可以提出挑戰。
NDES 至原則模組通訊。 NDES 會將挑戰轉送至伺服器上的 Intune 憑證連接器原則模組,以驗證要求。
NDES 至證書頒發機構單位。 NDES 會將有效的要求傳遞給證書頒發機構單位 (CA) 發行憑證。
憑證傳遞至裝置。 憑證會傳遞至裝置。
向 Intune 部署的報告。 Intune 憑證連接器會將憑證發行事件回報給 Intune。
記錄檔
若要識別通訊和憑證布建工作流程的問題,請檢閱伺服器基礎結構和裝置的記錄檔。 針對 SCEP 憑證配置檔進行疑難解答的後續章節,請參閱本節中所參考的記錄檔。
裝置記錄取決於裝置平臺:
內部部署基礎結構的記錄
支援使用 SCEP 憑證配置檔進行憑證部署的內部部署基礎結構包括 Microsoft Intune 憑證連接器、在 Windows Server 上執行的 NDES,以及證書頒發機構單位。
這些角色的記錄檔包括 Windows 事件檢視器,被視為 Intune 連接器記錄,以及 網際網路資訊服務 (IIS) 記錄:
Intune 連接器記錄:
這些記錄會顯示來自裝置和 Intune 雲端服務的所有要求和通訊。
位置:在裝載 NDES 的伺服器上,開啟 事件檢視器 Applications 和服務記錄>Microsoft>> Intune>CertificateConnectors>管理員和作業。
IIS 記錄:
IIS 記錄會顯示來自進入 NDES 的行動裝置的憑證要求。
位置:在裝載 NDES 的 伺服器上,於 c:\inetpub\logs\LogFiles\W3SVC1。
Android 裝置的記錄
注意
收集並檢閱記錄之前,請確定 已啟用詳細資訊記錄 ,然後重現問題。
視註冊類型而定:
具有工作配置檔的個人擁有裝置 (BYOD):檢閱 OMADM.log 檔案。
若要從裝置收集 OMADM.log 檔案,請參閱 使用USB纜線上傳和電子郵件記錄。
您也可以 上傳和電子郵件記錄 以支援。
公司擁有的工作配置檔(COPE)、完全受控(COBO)或專用裝置(COSU):檢閱 CloudExtension.log 檔案。
iOS 和 iPadOS 裝置的記錄
針對執行 iOS/iPadOS 的裝置,請在 Mac 計算機上收集控制台記錄:
將 iOS/iPadOS 裝置連線到 Mac,然後移至 [應用程式>公用程式] 以開啟主控台應用程式。
在 [動作] 底下,選取 [包含資訊訊息] 和 [包含偵錯訊息]。
![顯示已選取 [包含資訊訊息] 和 [包含偵錯訊息] 選項的螢幕快照。](media/troubleshoot-scep-certificate-profiles/message-options.png)
重現問題,然後將記錄儲存至文本檔:
- 選取 [ 編輯>全 選] 以選取目前畫面上的所有訊息,然後選取 [編輯>複製 ] 將訊息複製到剪貼簿。
- 開啟 TextEdit 應用程式,將複製的記錄貼到新的文字檔,然後儲存盤案。
iOS 和 iPadOS 裝置 公司入口網站 記錄不包含 SCEP 憑證配置檔的相關信息。
Windows 裝置的記錄
針對執行 Windows 的裝置,請使用 Windows 事件記錄來診斷您使用 Intune 管理的裝置註冊或裝置管理問題。
在裝置上,開啟 事件檢視器> Applications 和服務記錄>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider。
