Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När en användare försöker logga in på den Företagsportal appen på Microsoft Intune-hanterad Android-enhet får de felmeddelandet "Du kan inte logga in eftersom enheten saknar ett obligatoriskt certifikat".
Orsak
Användarens enhet saknar ett certifikat eller mellanliggande certifikat som krävs för registrering, eller så har ett certifikat inte installerats korrekt. Fortsätt genom följande avsnitt för att diagnostisera och lösa problemet.
Lösning 1
Användaren kanske kan hämta det saknade certifikatet. Be användaren att slutföra stegen i Installera certifikat som saknas som krävs av din organisation. Om felet kvarstår fortsätter du till Lösning 2.
Lösning 2
När de har angett sina företagsautentiseringsuppgifter och omdirigerats för federerad inloggning kan användarna fortfarande se det saknade certifikatfelet. I det här fallet kan felet innebära att ett mellanliggande certifikat saknas från din Active Directory Federation Services (AD FS) -server (AD FS).
Certifikatfelet uppstår eftersom Android-enheter kräver att mellanliggande certifikat inkluderas i en SSL Server hello. För närvarande skickar en AD FS-standardserver eller WAP – AD FS-proxyserverinstallation endast AD FS-tjänstens SSL-certifikat i SSL-serverns hello-svar på ett SSL-klienthälsning.
Åtgärda problemet genom att importera certifikaten till datorernas personliga certifikat på AD FS-servern eller proxyservrarna enligt följande:
- På AD FS- och proxyservrar högerklickar du på Starta>Kör>certlm.msc för att starta konsolen för certifikathantering på lokal dator.
- Expandera Personligt och välj Certifikat.
- Leta upp certifikatet för ad FS-tjänstens kommunikation (ett offentligt signerat certifikat) och dubbelklicka för att visa dess egenskaper.
- Välj fliken Certifieringssökväg för att se certifikatets överordnade certifikat.
- På varje överordnat certifikat väljer du Visa certifikat.
- Välj Information>Kopiera till fil....
- Följ guidens uppmaningar om att exportera eller spara den offentliga nyckeln för det överordnade certifikatet till valfri filplats.
- Högerklicka på Importera certifikat>alla aktiviteter.>
- Följ guidens uppmaningar om att importera de överordnade certifikaten till den lokala datorn\Personliga\Certifikat.
- Starta om AD FS-servrarna.
- Upprepa stegen ovan på alla dina AD FS- och proxyservrar.
Kontrollera att certifikatet har installerats korrekt
Följande steg beskriver bara en av många metoder och verktyg som du kan använda för att verifiera att certifikatet har installerats korrekt.
- Gå till det kostnadsfria Digicert-verktyget.
- I rutan Serveradress anger du AD FS-serverns fullständigt kvalificerade domännamn (till exempel
sts.contoso.com) och väljer KONTROLLERA SERVER.
Om servercertifikatet är korrekt installerat visas alla bockmarkeringar i resultatet. Om problemet ovan finns visas ett rött X i certifikatnamnet matchar och SSL-certifikatet är korrekt installerade avsnitt i rapporten.
Lösning 3
Användarna kan inte autentisera i Företagsportal, men de kan autentisera i Microsoft Authenticator och webbläsare. Det här problemet uppstår om AD FS-servern använder ett användarcertifikat i stället för ett certifikat som utfärdats av en offentlig certifikatutfärdare (CA).
Det finns två certifikatarkiv på Android-enheter:
- Användarcertifikatarkivet
- Systemcertifikatarkivet
Appar som stirrar i Android 7.0 ignorerar användarcertifikat som standard, såvida inte apparna uttryckligen väljer att delta. Mer information finns i Ändringar av betrodda certifikatutfärdare i Android Nougat.
Åtgärda problemet genom att använda ett certifikat som kedjar till en offentligt betrodd rotcertifikatutfärdare på AD FS-servern. En lista över offentliga certifikatutfärdare på Android finns på https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.