次の方法で共有

MICROSOFT INTUNE 内のデバイスへの SCEP によってプロビジョニングされた証明書の配信のトラブルシューティング

  • [アーティクル]

この記事では、簡易証明書登録プロトコル (SCEP) を使用してIntuneで証明書をプロビジョニングするときに、デバイスへの証明書の配信を調査するのに役立つトラブルシューティング ガイダンスについて説明します。 ネットワーク デバイス登録サービス (NDES) サーバーは、証明機関 (CA) からデバイスの要求された証明書を受信した後、その証明書をデバイスに渡します。

この記事は、 SCEP 通信ワークフローの手順 5 に適用されます。証明書要求を送信したデバイスへの証明書の配信。

証明機関を確認する

CA が証明書を発行すると、CA の次の例のようなエントリが表示されます。

発行された証明書の例のスクリーンショット。

デバイスを確認する

Android

デバイス管理者が登録したデバイスの場合、次の図のような通知が表示され、証明書のインストールを求められます。

Android 通知のスクリーンショット。

Android Enterprise または Samsung Knox の場合、証明書のインストールは自動でサイレントです。

Android にインストールされている証明書を表示するには、サード パーティの証明書表示アプリを使用します。

デバイスの OMADM ログを確認することもできます。 証明書のインストール時にログに記録される次の例のようなエントリを探します。

ルート証明書:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

SCEP を介してプロビジョニングされた証明書

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

iOS/iPadOS または iPadOS デバイスでは、デバイス管理 プロファイルの下に証明書を表示できます。 ドリルダウンして、インストールされている証明書の詳細を表示します。

デバイス管理 プロファイルの iOS 証明書のスクリーンショット。

iOS デバッグ ログには、次のようなエントリもあります。

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Windows デバイスで、証明書が配信されたことを確認します。

  • eventvwr.msc を実行してイベント ビューアーを開きます。 [アプリケーションとサービス ログ>] Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>移動し管理イベント 39 を探します。 このイベントには、SCEP: 証明書が正常にインストールされましたという一般的な説明が必要です。

    Windows アプリケーション ログのイベント 39 のスクリーンショット。

デバイス上の証明書を表示するには、 certmgr.msc を実行して証明書 MMC を開き、個人用ストア内のデバイスにルート証明書と SCEP 証明書が正しくインストールされていることを確認します。

  1. [証明書 (ローカル コンピューター)]>[信頼されたルート証明機関証明書>] に移動し、CA からのルート証明書が存在することを確認します。 [発行先] と [発行者] の値は同じになります。
  2. 証明書 MMC で、[ 証明書 - 現在のユーザー>個人>証明書] に移動し、要求された証明書が CA の名前と等しい [発行者] で存在することを確認します。

エラーのトラブルシューティング

Android

証明書の配信をトラブルシューティングするには、OMA DM ログに記録されているエラーを確認します。

iOS/iPadOS

証明書の配信のトラブルシューティングを行うには、デバイスのデバッグ ログに記録されているエラーを確認します。

Windows

証明書がデバイスにインストールされていない問題のトラブルシューティングを行うには、Windows イベント ログで問題を示唆するエラーを確認します。

  • デバイスで eventvwr.msc を実行してイベント ビューアーを開き、[アプリケーションとサービス ログ>] Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider管理 に移動します>。

デバイスへの証明書の配信とインストールに関するエラーは、通常、Windows 操作に関連しており、Intuneには関連しません。

次の手順

証明書がデバイスに正常に展開されても、Intuneが成功を報告しない場合は、「NDES レポートをIntuneに報告する」を参照して、レポートのトラブルシューティングを行います。