Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy użytkownik próbuje zalogować się do aplikacji Portal firmy na urządzeniu z systemem Android zarządzanym przez usługę Microsoft Intune, otrzymuje komunikat o błędzie "Nie można się zalogować, ponieważ urządzenie nie ma wymaganego certyfikatu".
Przyczyna
Na urządzeniu użytkownika brakuje certyfikatu lub certyfikatu pośredniego niezbędnego do rejestracji lub certyfikat nie został poprawnie zainstalowany. Przejdź do poniższych sekcji, aby zdiagnozować i rozwiązać problem.
Rozwiązanie 1
Użytkownik może mieć możliwość pobrania brakującego certyfikatu. Poproś użytkownika o wykonanie kroków opisanych w temacie Instalowanie brakującego certyfikatu wymaganego przez organizację. Jeśli błąd będzie się powtarzać, przejdź do rozwiązania 2.
Rozwiązanie 2
Po wprowadzeniu poświadczeń firmowych i przekierowaniu do logowania federacyjnego użytkownicy mogą nadal widzieć brakujący błąd certyfikatu. W takim przypadku błąd może oznaczać, że na serwerze usług Active Directory Federation Services (AD FS) brakuje certyfikatu pośredniego.
Błąd certyfikatu występuje, ponieważ urządzenia z systemem Android wymagają dołączania certyfikatów pośrednich do powitania serwera SSL. Obecnie domyślny serwer usług AD FS lub WAP — instalacja serwera proxy usług AD FS wysyła tylko certyfikat SSL usługi AD FS w odpowiedzi hello serwera SSL na powitanie klienta SSL.
Aby rozwiązać ten problem, zaimportuj certyfikaty do komputerów osobistych certyfikatów na serwerze usług AD FS lub serwerach proxy w następujący sposób:
- Na serwerach usług AD FS i serwerach proxy kliknij prawym przyciskiem myszy uruchom >uruchom>certlm.msc, aby uruchomić konsolę zarządzania certyfikatami komputera lokalnego.
- Rozwiń węzeł Osobiste i wybierz pozycję Certyfikaty.
- Znajdź certyfikat komunikacji usług AD FS (certyfikat podpisany publicznie), a następnie kliknij dwukrotnie, aby wyświetlić jego właściwości.
- Wybierz kartę Ścieżka certyfikacji, aby wyświetlić certyfikaty nadrzędne certyfikatu.
- W każdym certyfikacie nadrzędnym wybierz pozycję Wyświetl certyfikat.
- Wybierz pozycję Kopiuj szczegóły>do pliku....
- Postępuj zgodnie z instrukcjami kreatora, aby wyeksportować lub zapisać klucz publiczny certyfikatu nadrzędnego do wybranej lokalizacji pliku.
- Kliknij prawym przyciskiem myszy pozycję Certyfikaty>Wszystkie zadania>importu.
- Postępuj zgodnie z instrukcjami kreatora, aby zaimportować certyfikaty nadrzędne do komputera lokalnego\Osobiste\Certyfikaty.
- Uruchom ponownie serwery usług AD FS.
- Powtórz powyższe kroki na wszystkich serwerach usług AD FS i serwerach proxy.
Sprawdź, czy certyfikat został poprawnie zainstalowany
W poniższych krokach opisano tylko jedną z wielu metod i narzędzi, których można użyć do sprawdzania poprawności instalacji certyfikatu.
- Przejdź do bezpłatnego narzędzia Digicert.
- W polu Adres serwera wprowadź w pełni kwalifikowaną nazwę domeny serwera usług AD FS (na przykład
sts.contoso.com) i wybierz pozycję SPRAWDŹ SERWER.
Jeśli certyfikat serwera jest poprawnie zainstalowany, wszystkie znaczniki wyboru są widoczne w wynikach. Jeśli powyższy problem istnieje, w sekcjach raportu zostanie wyświetlony czerwony znak X w sekcji Dopasowanie nazwy certyfikatu, a certyfikat SSL jest poprawnie zainstalowany .
Rozwiązanie 3
Użytkownicy nie mogą uwierzytelniać się w Portal firmy, ale mogą uwierzytelniać się w przeglądarce Microsoft Authenticator i przeglądarkach internetowych. Ten problem występuje, jeśli serwer usług AD FS używa certyfikatu użytkownika, a nie certyfikatu wystawionego przez publiczny urząd certyfikacji.
Istnieją dwa magazyny certyfikatów na urządzeniach z systemem Android:
- Magazyn certyfikatów użytkownika
- Systemowy magazyn certyfikatów
W przypadku systemu Android 7.0 aplikacje domyślnie ignorują certyfikaty użytkowników, chyba że aplikacje jawnie wyraźą zgodę. Aby uzyskać więcej informacji, zobacz Zmiany w zaufanych urzędach certyfikacji w systemie Android Nougat.
Aby rozwiązać ten problem, należy użyć certyfikatu, który jest łańcuchem do publicznie zaufanego głównego urzędu certyfikacji na serwerze usług AD FS. Listę publicznych urzędów certyfikacji w systemie Android można znaleźć na stronie https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.