Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando un utente tenta di accedere all'app Portale aziendale nel dispositivo Android gestito da Microsoft Intune, riceve il messaggio di errore "Non è possibile accedere perché il dispositivo manca un certificato obbligatorio".
Causa
Il dispositivo dell'utente manca un certificato o un certificato intermedio necessario per la registrazione oppure un certificato non è stato installato correttamente. Continuare con le sezioni seguenti per diagnosticare e risolvere il problema.
Soluzione 1
L'utente potrebbe essere in grado di recuperare il certificato mancante. Chiedere all'utente di completare i passaggi descritti in Installare il certificato mancante richiesto dall'organizzazione. Se l'errore persiste, continuare con la soluzione 2.
Soluzione 2
Dopo aver immesso le credenziali aziendali e aver eseguito il reindirizzamento per l'accesso federato, gli utenti potrebbero comunque visualizzare l'errore di certificato mancante. In questo caso, l'errore può indicare che un certificato intermedio non è presente nel server Active Directory Federation Services (AD FS).
L'errore del certificato si verifica perché i dispositivi Android richiedono l'inserimento di certificati intermedi in un hello server SSL. Attualmente, un server AD FS predefinito o un'installazione del server proxy AD FS - AD FS invia solo il certificato SSL del servizio AD FS nella risposta hello del server SSL a un hello client SSL.
Per risolvere il problema, importare i certificati nei certificati personali dei computer nel server AD FS o nei proxy come indicato di seguito:
- Nei server AD FS e proxy fare clic con il pulsante destro del mouse su Avvia>Esegui>certlm.msc per avviare la Console di gestione certificati computer locale.
- Espandere Personale e scegliere Certificati.
- Trovare il certificato per la comunicazione del servizio AD FS (un certificato firmato pubblicamente) e fare doppio clic per visualizzarne le proprietà.
- Scegliere la scheda Percorso certificazione per visualizzare i certificati padre del certificato.
- In ogni certificato padre scegliere Visualizza certificato.
- Scegliere Copia dettagli>nel file....
- Seguire le istruzioni della procedura guidata per esportare o salvare la chiave pubblica del certificato padre nel percorso del file desiderato.
- Fare clic con il pulsante destro del mouse su Certificati>Tutte le attività>importate.
- Seguire le istruzioni della procedura guidata per importare i certificati padre in Computer locale\Personal\Certificates.
- Riavviare i server AD FS.
- Ripetere i passaggi precedenti in tutti i server AD FS e proxy.
Verificare che il certificato sia installato correttamente
I passaggi seguenti descrivono solo uno dei numerosi metodi e strumenti che è possibile usare per verificare che il certificato sia installato correttamente.
- Passare allo strumento Digicert gratuito.
- Nella casella Indirizzo server immettere il nome di dominio completo del server AD FS ,ad esempio ,
sts.contoso.come selezionare CHECK SERVER.
Se il certificato server è installato correttamente, nei risultati vengono visualizzati tutti i segni di spunta. Se il problema precedente esiste, viene visualizzata una X rossa nelle sezioni Corrisponde al nome del certificato e il certificato SSL è installato correttamente nelle sezioni del report.
Soluzione 3
Gli utenti non sono in grado di eseguire l'autenticazione in Portale aziendale, ma possono eseguire l'autenticazione in Microsoft Authenticator e nei Web browser. Questo problema si verifica se il server AD FS usa un certificato utente anziché un certificato emesso da un'autorità di certificazione pubblica (CA).
Esistono due archivi certificati nei dispositivi Android:
- Archivio certificati utente
- Archivio certificati di sistema
Se si usa Android 7.0, le app ignorano i certificati utente per impostazione predefinita, a meno che le app non acconsentino esplicitamente. Per altre informazioni, vedere l'articolo sulle modifiche alle autorità di certificazione attendibili in Android Nougat.
Per risolvere questo problema, usare un certificato concatenato a una CA radice attendibile pubblicamente nel server AD FS. Un elenco di ca pubbliche in Android è disponibile all'indirizzo https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.