Intuneでの PKCS 証明書のデプロイのトラブルシューティング

  • [アーティクル]

この記事では、公開キー暗号化標準 (PKCS) 証明書をMicrosoft Intuneに展開するときの一般的な問題に関するトラブルシューティング ガイダンスについて説明します。 トラブルシューティングを行う前に、「Intuneで PKCS 証明書を構成して使用する」で説明されているように、次のタスクを完了していることを確認してください。

  • PKCS 証明書プロファイルを使用するための要件を確認します。
  • エンタープライズ証明機関 (CA) からルート証明書をエクスポートします。
  • 証明機関で証明書テンプレートを構成します。
  • Intune証明書コネクタをインストールして構成します。
  • 信頼された証明書プロファイルを作成してデプロイし、ルート証明書をデプロイします。
  • PKCS 証明書プロファイルを作成してデプロイします。

PKCS 証明書プロファイルの問題の最も一般的な原因は、PKCS 証明書プロファイルの構成です。 プロファイルの構成を確認し、サーバー名または完全修飾ドメイン名 (FQDN) の入力ミスを探し、 証明機関証明機関の名前 が正しいことを確認します。

  • 証明機関: 証明機関コンピューターの内部 FQDN。 たとえば、server1.domain.local です。
  • 証明機関名: 証明機関 MMC に表示される証明機関名。 証明機関 (ローカル) の下を確認する

CA の certutil コマンド ライン プログラム を使用して、証明機関と証明機関名の正しい名前を確認できます。

PKCS 通信の概要

次の図は、Intuneでの PKCS 証明書のデプロイ プロセスの基本的な概要を示しています。

PKCS 証明書プロファイル フローのスクリーンショット。

  1. 管理は、Intuneに PKCS 証明書プロファイルを作成します。
  2. Intune サービスは、オンプレミスIntune Certificate Connector がユーザーの新しい証明書を作成することを要求します。
  3. Intune証明書コネクタは、PFX BLOB と要求をMicrosoft Certification機関に送信します。
  4. 証明機関は PFX ユーザー証明書を発行し、Intune証明書コネクタに返送します。
  5. Intune証明書コネクタは、暗号化された PFX ユーザー証明書をIntuneにアップロードします。
  6. Intuneは、デバイス管理証明書を使用して PFX ユーザー証明書の暗号化を解除し、デバイスの再暗号化を行います。 Intune、PFX ユーザー証明書をデバイスに送信します。
  7. デバイスは、証明書の状態をIntuneに報告します。

ログ ファイル

通信と証明書のプロビジョニング ワークフローの問題を特定するには、サーバー インフラストラクチャとデバイスの両方からログ ファイルを確認します。 PKCS 証明書プロファイルのトラブルシューティングについては、このセクションで参照されているログ ファイルに関する以降のセクションを参照してください。

デバイス ログは、デバイス プラットフォームによって異なります。

オンプレミス インフラストラクチャのログ

証明書の展開に PKCS 証明書プロファイルの使用をサポートするオンプレミス インフラストラクチャには、証明書コネクタと証明機関Microsoft Intuneが含まれます。

これらのロールのログ ファイルには、Windows イベント ビューアー、証明書コンソール、Intune証明書コネクタに固有のさまざまなログ ファイル、またはオンプレミス インフラストラクチャの一部であるその他のロールと操作が含まれます。

  • NDESConnector_date_time.svclog:

    このログには、Microsoft Intune Certificate Connector から Intune クラウド サービスへの通信が表示されます。 サービス トレース ビューアー ツールを使用して、このログ ファイルを表示できます。

    関連するレジストリ キー: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    場所: %program_files%\Microsoft Intune\ndesconnectorsvc\logs\logs にあるIntune証明書コネクタをホストするサーバー上

  • Windows アプリケーション ログ:

    場所: Intune証明書コネクタをホストするサーバー上: eventvwr.msc を実行して Windows イベント ビューアーを開きます

Android デバイスのログ

Android を実行するデバイスの場合は、Android ポータル サイト アプリのログ ファイルを使用OMADM.log。 ログを収集して確認する前に、[ 詳細ログ] が有効になっていることを確認してから、問題を再現します。

デバイスから OMADM.logs を収集するには、「 USB ケーブルを使用してログをアップロードおよび電子メールで送信する」を参照してください。

サポートする ログをアップロードして電子メールで送信 することもできます。

iOS および iPadOS デバイスのログ

iOS/iPadOS を実行するデバイスの場合は、Mac コンピューターで実行されるデバッグ ログと Xcode を使用します。

  1. iOS/iPadOS デバイスを Mac に接続し、[アプリケーションユーティリティ]> に移動してコンソール アプリを開きます。

  2. [ アクション] で、[ 情報メッセージを含める ] と [ デバッグ メッセージを含める] を選択します。

    [情報メッセージを含める] オプションと [デバッグ メッセージを含める] オプションが選択されているスクリーンショット。

  3. 問題を再現し、ログをテキスト ファイルに保存します。

    1. [すべて編集]>を選択して現在の画面のすべてのメッセージを選択し、[コピー編集>] を選択してメッセージをクリップボードにコピーします。
    2. TextEdit アプリケーションを開き、コピーしたログを新しいテキスト ファイルに貼り付けて、ファイルを保存します。

iOS および iPadOS デバイスのポータル サイト ログには、PKCS 証明書プロファイルに関する情報は含まれません。

Windows デバイスのログ

Windows を実行するデバイスの場合は、Windows イベント ログを使用して、Intuneで管理するデバイスの登録またはデバイス管理の問題を診断します。

デバイスで、[イベント ビューアー>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider] を開きます

Windows イベント ログのスクリーンショット。

ウイルス対策の除外

次の場合は、Intune証明書コネクタをホストするサーバーにウイルス対策の除外を追加することを検討してください。

  • 証明書要求がサーバーまたはIntune証明書コネクタに到達するが、正常に処理されない
  • 証明書の発行速度が遅い

除外する可能性がある場所の例を次に示します。

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

一般的なエラー

次の一般的なエラーは、それぞれ次のセクションで対処されます。

RPC サーバーは使用できません0x800706ba

PFX の展開中に、信頼されたルート証明書がデバイスに表示されますが、PFX 証明書はデバイスに表示されません。 NDESConnector_date_time.svclog ログ ファイルには、次の例の最初の行に示すように、 RPC サーバーが使用できないという文字列が含まれています。0x800706ba。

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

原因 1 - Intuneでの CA の正しくない構成

この問題は、PKCS 証明書プロファイルで間違ったサーバーが指定されている場合、または CA の名前または FQDN のスペル エラーが含まれている場合に発生する可能性があります。 CA は、プロファイルの次のプロパティで指定されます。

  • 証明機関
  • 証明機関名

解決策:

次の設定を確認し、正しくない場合は修正します。

  • 証明機関プロパティには CA サーバーの内部 FQDN が表示されます。
  • 証明機関名プロパティには、CA の名前が表示されます。

原因 2 - CA では、以前の CA 証明書によって署名された要求の証明書の更新がサポートされていません

PKCS 証明書プロファイルで CA FQDN と名前が正しい場合は、証明機関サーバー上にある Windows アプリケーション ログを確認します。 次の例のような イベント ID 128 を探します。

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

CA 証明書が更新されると、オンライン証明書状態プロトコル (OCSP) 応答署名証明書に署名する必要があります。 署名により、OCSP 応答署名証明書は、失効状態を確認して他の証明書を検証できます。 この署名は既定では有効になっていません。

解決策:

証明書の署名を手動で強制します。

  1. CA サーバーで管理者特権のコマンド プロンプトを開き、certutil -setreg ca\UseDefinedCACertInRequest 1 というコマンドを実行します。
  2. Certificate Services サービスを再起動します。

Certificate Services サービスが再起動すると、デバイスは証明書を受信できます。

登録ポリシー サーバーを見つけられない0x80094015

次の例に示すように、登録ポリシー サーバーを見つけて0x80094015することはできません。

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

原因 - 証明書登録ポリシー サーバー名

この問題は、証明書コネクタIntuneホストするコンピューターで証明書登録ポリシー サーバーが見つからない場合に発生します。

解決策:

Intune Certificate Connector をホストするコンピューター上の証明書登録ポリシー サーバーの名前を手動で構成します。 名前を構成するには、 Add-CertificateEnrollmentPolicyServer PowerShell コマンドレットを使用します。

申請が保留中です

PKCS 証明書プロファイルをモバイル デバイスにデプロイした後、証明書は取得されず、NDESConnector_date_time.svclog ログには、次の例に示すように、 送信が保留中の文字列が含まれます。

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

さらに、証明機関サーバーでは、PFX 要求を [保留中の要求] フォルダーに表示できます。

証明機関の保留中の要求フォルダーのスクリーンショット。

原因 - 要求処理の構成が正しくありません

この問題は、[要求の状態を保留中に設定する] オプションの場合に発生します。管理者は、証明機関の [プロパティ] [>ポリシー モジュール>のプロパティ] ダイアログ ボックスで選択されている証明書を明示的に発行する必要があります。

ポリシー モジュールのプロパティのスクリーンショット。

解決策:

ポリシー モジュールのプロパティを編集して設定します。 該当する場合は、証明書テンプレートの設定に従います。それ以外の場合は、証明書を自動的に発行します。

パラメーターが正しくない0x80070057

Intune Certificate Connector が正常にインストールされ、構成されると、デバイスは PKCS 証明書を受信せず、NDESConnector_date_time.svclog ログには、次の例に示すように、パラメーターが正しくないという文字列が含まれています。0x80070057。

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

原因 - PKCS プロファイルの構成

この問題は、Intuneの PKCS プロファイルが正しく構成されていない場合に発生します。 一般的な構成ミスを次に示します。

  • プロファイルに CA の間違った名前が含まれています。
  • サブジェクト代替名 (SAN) は電子メール アドレス用に構成されていますが、対象ユーザーに有効なメール アドレスがまだありません。 この組み合わせにより、SAN の null 値が返されます。これは無効です。

解決策:

PKCS プロファイルの次の構成を確認し、デバイスでポリシーが更新されるまで待ちます。

  • CA の名前で構成されている
  • 適切なユーザー グループに割り当てられている
  • グループ内のユーザーに有効なメール アドレスがある

詳細については、「Intuneで PKCS 証明書を構成して使用する」を参照してください。

ポリシー モジュールによって拒否されました

デバイスが信頼されたルート証明書を受信しても PFX 証明書を受信せず、NDESConnector_date_time.svclog ログに、次の例に示すように、 送信に失敗しました: ポリシー モジュールによって拒否されたという文字列が含まれている場合:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

原因 – 証明書テンプレートに対するコンピューター アカウントのアクセス許可

この問題は、Intune Certificate Connector をホストするサーバーのコンピューター アカウントに証明書テンプレートに対するアクセス許可がない場合に発生します。

解決策:

  1. 管理特権があるアカウントでエンタープライズ CA にサインインします。
  2. 証明機関コンソールを開き、[証明書テンプレート] を右クリックし、[管理] を選択します
  3. 証明書テンプレートを見つけて、テンプレートの [ プロパティ ] ダイアログ ボックスを開きます。
  4. [セキュリティ] タブを選択し、Microsoft Intune証明書コネクタをインストールしたサーバーのコンピューター アカウントを追加します。 そのアカウントに 読み取り アクセス許可と 登録 アクセス許可を付与します。
  5. [ OK の適用>] を選択 して証明書テンプレートを保存し、 証明書テンプレート コンソールを閉じます。
  6. [証明機関] コンソールで [証明書テンプレート] を右クリックして、>[新規作成]>[発行する証明書テンプレート] をクリックします。
  7. 変更したテンプレートを選択し、[OK] をクリック します

詳細については、「 CA で証明書テンプレートを構成する」を参照してください。

証明書プロファイルが保留中としてスタックしている

Microsoft Intune管理センターでは、PKCS 証明書プロファイルの展開に失敗し、状態が [保留中] になっています。 NDESConnector_date_time.svclog ログ ファイルに明らかなエラーはありません。 この問題の原因はログで明確に識別されないため、次の原因に取り組みます。

原因 1 - 未処理の要求ファイル

要求ファイルで、処理に失敗した理由を示すエラーがないか確認します。

  1. Intune証明書コネクタをホストするサーバーで、エクスプローラーを使用して %programfiles%\Microsoft Intune\PfxRequest に移動します。

  2. お気に入りのテキスト エディターを使用して、[ 失敗] フォルダーと [処理 ] フォルダーのファイルを確認します。

    PfxRequest フォルダーのスクリーンショット。

  3. これらのファイルで、エラーを示すエントリを探すか、問題を提案します。 Web ベースの検索を使用して、要求が処理に失敗した理由に関する手掛かりと、それらの問題の解決策について、エラー メッセージを調べます。

原因 2 - PKCS 証明書プロファイルの構成ミス

[失敗]、[処理]、または [成功] フォルダーに要求ファイルが見つからない場合は、誤った証明書が PKCS 証明書プロファイルに関連付けられていることが原因である可能性があります。 たとえば、下位 CA がプロファイルに関連付けられているか、間違ったルート証明書が使用されます。

解決策:

  1. 信頼された証明書プロファイルを確認して、Enterprise CA からデバイスにルート証明書を展開していることを確認します。
  2. PKCS 証明書プロファイルを確認して、ルート証明書をデバイスに展開する正しい CA、証明書の種類、および信頼された証明書プロファイルを参照していることを確認します。

詳細については、「Microsoft Intune で認証に証明書を使用する」を参照してください。

エラー -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS 証明書のデプロイが失敗し、発行元 CA の証明書コンソールに、次の例に示すように、 文字列 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED を含むメッセージが表示されます。

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

原因 - "要求での供給" が正しく構成されていません

この問題は、証明書テンプレートの [プロパティ] ダイアログ ボックスの [サブジェクト名] タブで [要求の指定] オプションが有効になっていない場合に発生します。

要求オプションの Supply が強調表示されている NDES プロパティのスクリーンショット。

解決策:

テンプレートを編集して構成の問題を解決します。

  1. 管理特権があるアカウントでエンタープライズ CA にサインインします。
  2. [証明機関] コンソールで [証明書テンプレート] を右クリックして [管理] を選択します。
  3. 証明書テンプレートの [プロパティ] ダイアログ ボックスを開きます。
  4. [ サブジェクト名 ] タブで、 要求で [指定] を選択します。
  5. [ OK] を選択 して証明書テンプレートを保存し、 証明書テンプレート コンソールを閉じます。
  6. 証明機関コンソールで、[テンプレート] [発行する新しい>証明書テンプレート>] を右クリックします。
  7. 変更したテンプレートを選択し、[ OK] を選択します