Problembehandlung bei der Bereitstellung des SCEP-Zertifikatprofils auf Geräten in Intune
Dieser Artikel enthält Anleitungen zur Problembehandlung bei der Bereitstellung von SCEP-Zertifikatprofilen (Simple Certificate Enrollment Protocol) mit Microsoft Intune. Die Zertifikatbereitstellung ist Schritt 1 der SCEP-Kommunikationsflussübersicht.
Das SCEP-Zertifikatprofil und das im SCEP-Profil angegebene vertrauenswürdige Zertifikatprofil müssen demselben Benutzer oder demselben Gerät zugewiesen werden. Die folgende Tabelle zeigt das erwartete Ergebnis gemischter Zuweisungen:
Zuweisung des vertrauenswürdigen Zertifikatprofils umfasst den Benutzer | Die Zuweisung des vertrauenswürdigen Zertifikatprofils umfasst das Gerät. | Zuweisung des vertrauenswürdigen Zertifikatprofils umfasst Benutzer und Gerät | |
---|---|---|---|
SCEP-Zertifikatprofilzuweisung umfasst Den Benutzer | Erfolgreich | Fehler | Erfolgreich |
SCEP-Zertifikatprofilzuweisung umfasst Gerät | Fehler | Erfolgreich | Erfolgreich |
SCEP-Zertifikatprofilzuweisung umfasst Benutzer und Gerät | Erfolgreich | Erfolgreich | Erfolgreich |
Android
SCEP-Zertifikatprofile für Android werden als SyncML auf das Gerät übertragen und im OMADM-Protokoll protokolliert.
Überprüfen, ob dem Android-Gerät die Richtlinie gesendet wurde
Um zu überprüfen, ob ein Profil an das erwartete Gerät gesendet wurde, wechseln Sie im Microsoft Intune Admin Center zu Problembehandlung + Supportproblem>. Legen Sie im Fenster ProblembehandlungZuweisungen auf Konfigurationsprofile fest, und überprüfen Sie dann die folgenden Konfigurationen:
Geben Sie den Benutzer an, der das SCEP-Zertifikatprofil erhalten soll.
Überprüfen Sie die Gruppenmitgliedschaft des Benutzers, um sicherzustellen, dass er sich in der Sicherheitsgruppe befindet, die Sie mit dem SCEP-Zertifikatprofil verwendet haben.
Überprüfen Sie, wann das Gerät zuletzt mit Intune eingecheckt wurde.
Überprüfen, ob die Richtlinie das Android-Gerät erreicht hat
Überprüfen Sie das OMADM-Protokoll der Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät das Profil von Intune abruft:
Time VERB Event com.microsoft.omadm.syncml.SyncmlSession 9595 9 <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data><CertificateRequest><ConfigurationParametersDocument>&lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&gt;&lt;ExpirationThreshold&gt;20&lt;/ExpirationThreshold&gt;&lt;RetryCount&gt;3&lt;/RetryCount&gt;&lt;RetryDelay&gt;1&lt;/RetryDelay&gt;&lt;TemplateName /&gt;&lt;SubjectNameFormat&gt;{ID}&lt;/SubjectNameFormat&gt;&lt;SubjectAlternativeNameFormat&gt;{ID}&lt;/SubjectAlternativeNameFormat&gt;&lt;KeyStorageProviderSetting&gt;0&lt;/KeyStorageProviderSetting&gt;&lt;KeyUsage&gt;32&lt;/KeyUsage&gt;&lt;KeyLength&gt;2048&lt;/KeyLength&gt;&lt;HashAlgorithms&gt;&lt;HashAlgorithm&gt;SHA-1&lt;/HashAlgorithm&gt;&lt;HashAlgorithm&gt;SHA-2&lt;/HashAlgorithm&gt;&lt;/HashAlgorithms&gt;&lt;NDESUrls&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls&gt;&lt;CAThumbprint&gt;{GUID}&lt;/CAThumbprint&gt;&lt;ValidityPeriod&gt;2&lt;/ValidityPeriod&gt;&lt;ValidityPeriodUnit&gt;Years&lt;/ValidityPeriodUnit&gt;&lt;EKUMapping&gt;&lt;EKUMap&gt;&lt;EKUName&gt;Client Authentication&lt;/EKUName&gt;&lt;EKUOID&gt;1.3.6.1.5.5.7.3.2&lt;/EKUOID&gt;&lt;/EKUMap&gt;&lt;/EKUMapping&gt;&lt;/ConfigurationParameters&gt;</ConfigurationParametersDocument><RequestParameters><CertificateRequestToken>PENlcnRFbn... Hash: 1,010,143,298</CertificateRequestToken><SubjectName>CN=name</SubjectName><Issuers>CN=FourthCoffee CA; DC=fourthcoffee; DC=local</Issuers><SubjectAlternativeName><SANs><SAN NameFormat="ID" AltNameType="2" OID="{OID}"></SAN><SAN NameFormat="ID" AltNameType="11" OID="{OID}">john@contoso.onmicrosoft.com</SAN></SANs></SubjectAlternativeName><NDESUrl>https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll</NDESUrl></RequestParameters></CertificateRequest></Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>
Beispiele für Schlüsseleinträge:
ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
NDESUrls&gt;&lt;NDESUrl&gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls
iOS/iPadOS
Überprüfen, ob die Richtlinie für das iOS-/iPadOS-Gerät gesendet wurde
Um zu überprüfen, ob ein Profil an das erwartete Gerät gesendet wurde, wechseln Sie im Microsoft Intune Admin Center zu Problembehandlung + Supportproblem>. Legen Sie im Fenster ProblembehandlungZuweisungen auf Konfigurationsprofile fest, und überprüfen Sie dann die folgenden Konfigurationen:
Geben Sie den Benutzer an, der das SCEP-Zertifikatprofil erhalten soll.
Überprüfen Sie die Gruppenmitgliedschaft des Benutzers, um sicherzustellen, dass er sich in der Sicherheitsgruppe befindet, die Sie mit dem SCEP-Zertifikatprofil verwendet haben.
Überprüfen Sie, wann das Gerät zuletzt mit Intune eingecheckt wurde.
Überprüfen, ob die Richtlinie das iOS- oder iPadOS-Gerät erreicht hat
Überprüfen Sie das Debugprotokoll für Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät das Profil von Intune abruft:
debug 18:30:54.638009 -0500 profiled Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\
Beispiele für Schlüsseleinträge:
ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
PayloadDependencyDomainCertificate
Windows
Überprüfen, ob die Richtlinie für das Windows-Gerät gesendet wurde
Um zu überprüfen, ob das Profil an das erwartete Gerät gesendet wurde, wechseln Sie im Microsoft Intune Admin Center zu Problembehandlung + Supportproblem>. Legen Sie im Fenster ProblembehandlungZuweisungen auf Konfigurationsprofile fest, und überprüfen Sie dann die folgenden Konfigurationen:
Geben Sie den Benutzer an, der das SCEP-Zertifikatprofil erhalten soll.
Überprüfen Sie die Gruppenmitgliedschaft des Benutzers, um sicherzustellen, dass er sich in der Sicherheitsgruppe befindet, die Sie mit dem SCEP-Zertifikatprofil verwendet haben.
Überprüfen Sie, wann das Gerät zuletzt mit Intune eingecheckt wurde.
Überprüfen, ob die Richtlinie das Windows-Gerät erreicht hat
Der Eingang der Richtlinie für das Profil wird im DeviceManagement-Enterprise-Diagnostics-Provider Admin-Protokoll eines Windows-Geräts mit der Ereignis-ID 306 protokolliert.>
So öffnen Sie das Protokoll:
Führen Sie auf dem Gerät eventvwr.msc aus, um Windows Ereignisanzeige zu öffnen.
Erweitern Sie Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.
Suchen Sie nach Ereignis 306, das dem folgenden Beispiel ähnelt:
Event ID: 306 Task Category: None Level: Information User: SYSTEM Computer: <Computer Name> Description: SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall) KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).
Der Fehlercode 0x2ab0003 wird in DM_S_ACCEPTED_FOR_PROCESSING übersetzt.
Ein nicht erfolgreicher Fehlercode kann einen Hinweis auf das zugrunde liegende Problem liefern.
Nächste Schritte
Wenn das Profil das Gerät erreicht, besteht der nächste Schritt darin, die Kommunikation zwischen Gerät und NDES-Server zu überprüfen.