Compartilhar via


Solução de problemas de perfis de certificado SCEP com Intune

Este artigo fornece diretrizes para ajudá-lo a solucionar problemas e resolve problemas com perfis de certificado SCEP (Protocolo de Registro de Certificado Simples) em Microsoft Intune. As seções a seguir abordam esses conceitos:

  • A arquitetura e o fluxo de comunicação do processo SCEP
  • Limitando onde existe um problema nesse fluxo de comunicação
  • Identificar os principais arquivos de log que são referenciados em artigos subsequentes para solucionar problemas de perfis de certificado

As informações neste artigo e os artigos relacionados à solução de problemas de certificado SCEP se aplicam ao uso de perfis de certificado SCEP com dispositivos Android, iOS/iPad e Windows. Informações semelhantes para macOS não estão disponíveis no momento. Para solucionar problemas do NDES (Serviço de Registro de Dispositivo de Rede), confira os seguintes artigos:

Antes de prosseguir, verifique se você cumpriu os pré-requisitos para usar perfis de certificado SCEP, incluindo a implantação de um certificado raiz por meio de um perfil de certificado confiável.

Visão geral do fluxo de comunicação SCEP

A imagem a seguir demonstra uma visão geral básica do processo de comunicação SCEP no Intune. Cada etapa inclui um link para um artigo com diretrizes mais prescritivas.

A captura de tela mostra o fluxo de perfil de certificado SCEP.

  1. Implantar um perfil de certificado SCEP. Intune gera uma cadeia de caracteres de desafio, que requer um usuário específico, uma finalidade de certificado e um tipo de certificado.

  2. Dispositivo para comunicação do servidor NDES. O dispositivo usa o URI para NDES do perfil para entrar em contato com o servidor NDES para que ele possa apresentar um desafio.

  3. NDES para comunicação do módulo de política. O NDES encaminha o desafio para o módulo de política do Conector de Certificado Intune no servidor, que valida a solicitação.

  4. NDES para autoridade de certificação. O NDES passa solicitações válidas para emitir um certificado para a Autoridade de Certificação (AC).

  5. Entrega de certificado para o dispositivo. O certificado é entregue ao dispositivo.

  6. Relatórios de implantação para Intune. O Conector de Certificado Intune relata o evento de emissão de certificado para Intune.

Arquivos de log

Para identificar problemas para o fluxo de trabalho de provisionamento de certificado e comunicação, examine arquivos de log da infraestrutura do Servidor e de dispositivos. Seções posteriores para solucionar problemas de perfis de certificado SCEP referem-se a arquivos de log referenciados nesta seção.

Os logs de dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que dá suporte ao uso de perfis de certificado SCEP para implantações de certificado inclui o Microsoft Intune Certificate Connector, o NDES que é executado em um Windows Server e a autoridade de certificação.

Os arquivos de log para essas funções incluem windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos para o Intune Conector de Certificado, NDES ou outras operações e função que fazem parte da infraestrutura local.

A lista a seguir inclui logs ou consoles referenciados nos artigos de solução de problemas scep subsequentes.

  • NDESConnector_date_time.svclog:

    Este log mostra a comunicação do Conector de Certificado Microsoft Intune para o serviço de nuvem Intune. Você pode usar a Ferramenta de Visualizador de Rastreamento de Serviço para exibir este arquivo de log.

    Chave de registro relacionada: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs\logs

  • CertificateRegistrationPoint_date_time.svclog:

    Este log mostra o módulo de política do NDES recebendo e verificando solicitações de certificado. Você pode usar a Ferramenta de Visualizador de Rastreamento de Serviço para exibir este arquivo de log.

    Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs\logs

  • NDESPlugin.log:

    Este log mostra a passagem de solicitações de certificado para o Ponto de Registro de Certificado e a verificação resultante dessas solicitações.

    Local: no servidor que hospeda o NDES em %program_files%\Microsoft Intune\NDESPolicyModule\logs

  • Logs do IIS:

    Os logs do IIS mostram as solicitações de certificado de dispositivos móveis inserindo o NDES.

    Local: No servidor que hospeda o NDES em c:\inetpub\logs\LogFiles\W3SVC1

  • Log de aplicativos do Windows:

    Esse log é útil ao investigar problemas do IIS, como o pool de aplicativos SCEP.

    Local: no servidor que hospeda o NDES: execute eventvwr.msc para abrir o Windows Visualizador de Eventos

Logs para dispositivos Android

Para dispositivos que executam o Android, use o arquivo de log do aplicativo android Portal da Empresa, OMADM.log. Antes de coletar e examinar logs, verifique se o Log verbose está habilitado e reproduz o problema.

Para coletar o OMADM.logs de um dispositivo, consulte Carregar e enviar logs de email usando um cabo USB.

Você também pode carregar e enviar logs de email para dar suporte.

Logs para dispositivos iOS e iPadOS

Para dispositivos que executam o iOS/iPadOS, você usa logs de depuração e Xcode executados em um computador Mac:

  1. Conecte o dispositivo iOS/iPadOS ao Mac e vá paraUtilitários de Aplicativos> para abrir o aplicativo Console.

  2. Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.

    A captura de tela mostra que as opções Incluir Mensagens de Informações e Incluir Mensagens de Depuração estão selecionadas.

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar>Selecionar Tudo para selecionar todas as mensagens na tela atual e selecione Editar>Copiar para copiar as mensagens na área de transferência.
    2. Abra o aplicativo TextEdit, cole os logs copiados em um novo arquivo de texto e salve o arquivo.

O log Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado SCEP.

Logs para dispositivos Windows

Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com Intune.

No dispositivo, abra Visualizador de Eventos>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Captura de tela dos logs de eventos do Windows no Visualizador de Eventos.

Próximas etapas

Solucionar problemas de implantação de um perfil de certificado SCEP para dispositivos em Microsoft Intune