Rozwiązywanie problemów z wdrażaniem profilu certyfikatów SCEP na urządzeniach w Intune

Artykuł
12/05/2023

Te artykuły zawierają wskazówki dotyczące rozwiązywania problemów z wdrażaniem profilów certyfikatów protokołu SCEP (Simple Certificate Enrollment Protocol) z Microsoft Intune. Wdrożenie certyfikatu to krok 1 przeglądu przepływu komunikacji protokołu SCEP.

Profil certyfikatu protokołu SCEP i profil zaufanego certyfikatu określony w profilu protokołu SCEP muszą być przypisane do tego samego użytkownika lub tego samego urządzenia. W poniższej tabeli przedstawiono oczekiwany wynik przypisań mieszanych:

	Przypisanie profilu zaufanego certyfikatu obejmuje użytkownika	Przypisanie profilu zaufanego certyfikatu obejmuje urządzenie	Przypisanie profilu zaufanego certyfikatu obejmuje użytkowników i urządzenia
Przypisanie profilu certyfikatu protokołu SCEP obejmuje użytkownika	Sukces	Awarii	Sukces
Przypisanie profilu certyfikatu protokołu SCEP obejmuje urządzenie	Awarii	Sukces	Sukces
Przypisanie profilu certyfikatu SCEP obejmuje użytkowników i urządzenia	Sukces	Sukces	Sukces

Android

Profile certyfikatów protokołu SCEP dla systemu Android pochodzą z urządzenia jako syncML i są rejestrowane w dzienniku OMADM.

Sprawdzanie, czy urządzenie z systemem Android zostało wysłane do zasad

Aby sprawdzić, czy profil został wysłany do oczekiwanego urządzenia, w centrum administracyjnym Microsoft Intune przejdź do sekcji Rozwiązywanie problemów i rozwiązywanie problemów z pomocą techniczną>. W oknie Rozwiązywanie problemów ustaw pozycję Przypisania na profile konfiguracji , a następnie zweryfikuj następujące konfiguracje:

Określ użytkownika, który powinien otrzymać profil certyfikatu SCEP.
Przejrzyj członkostwo użytkownika w grupie, aby upewnić się, że znajduje się on w grupie zabezpieczeń używanej z profilem certyfikatu SCEP.
Sprawdź, kiedy urządzenie zostało ostatnio zaewidencjonowane za pomocą Intune.

Sprawdzanie poprawności, czy zasady dotarły do urządzenia z systemem Android

Przejrzyj dziennik OMADM urządzeń. Wyszukaj wpisy podobne do następujących przykładów, które są rejestrowane, gdy urządzenie pobiera profil z Intune:

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Przykłady wpisów kluczowych:

ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
NDESUrls&gt;&lt;NDESUrl&gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls

iOS/iPadOS

Sprawdzanie, czy urządzenie z systemem iOS/iPadOS zostało wysłane do zasad

Określ użytkownika, który powinien otrzymać profil certyfikatu SCEP.
Przejrzyj członkostwo w grupie użytkownika, aby upewnić się, że znajduje się on w grupie zabezpieczeń używanej z profilem certyfikatu SCEP.
Sprawdź, kiedy urządzenie zostało ostatnio zaewidencjonowane za pomocą Intune.

Sprawdzanie poprawności, czy zasady dotarły do urządzenia z systemem iOS lub iPadOS

Przejrzyj dziennik debugowania urządzeń. Wyszukaj wpisy podobne do następujących przykładów, które są rejestrowane, gdy urządzenie pobiera profil z Intune:

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Przykłady wpisów kluczowych:

ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
PayloadDependencyDomainCertificate

System Windows

Sprawdzanie, czy urządzenie z systemem Windows zostało wysłane do zasad

Określ użytkownika, który powinien otrzymać profil certyfikatu SCEP.
Przejrzyj członkostwo użytkownika w grupie, aby upewnić się, że znajduje się on w grupie zabezpieczeń używanej z profilem certyfikatu SCEP.
Sprawdź, kiedy urządzenie zostało ostatnio zaewidencjonowane za pomocą Intune.

Sprawdzanie poprawności, czy zasady dotarły do urządzenia z systemem Windows

Pojawienie się zasad profilu jest rejestrowane w dzienniku DeviceManagement-Enterprise-Diagnostics-Provider> urządzenia z systemem Windows Administracja o identyfikatorze zdarzenia 306.

Aby otworzyć dziennik:

Na urządzeniu uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń systemu Windows.
Rozwiń węzeł Dzienniki> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja.

Poszukaj zdarzenia 306, które przypomina następujący przykład:

Event ID:      306
Task Category: None
Level:         Information
User:          SYSTEM
Computer:      <Computer Name>
Description:
SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).

Kod błędu 0x2ab0003 przekłada się na DM_S_ACCEPTED_FOR_PROCESSING.

Kod błędu, który nie powiedzie się, może wskazywać na podstawowy problem.

Następne kroki

Jeśli profil dotrze do urządzenia, następnym krokiem jest przejrzenie komunikacji urządzenia z serwerem usługi NDES.

Share via