Intuneのデバイスへの SCEP 証明書プロファイルの展開のトラブルシューティング

[アーティクル]
12/05/2023

この記事では、Microsoft Intuneを使用した簡易証明書登録プロトコル (SCEP) 証明書プロファイルの展開に関する問題のトラブルシューティングガイダンスについて説明します。証明書のデプロイは、 SCEP 通信フローの概要の手順 1 です。

SCEP 証明書プロファイルと、SCEP プロファイルで指定された信頼された証明書プロファイルの両方を、同じユーザーまたは同じデバイスに割り当てる必要があります。次の表は、混合割り当ての予想される結果を示しています。

	信頼された証明書プロファイルの割り当てには、ユーザーが含まれます	信頼された証明書プロファイルの割り当てには、デバイスが含まれます	信頼された証明書プロファイルの割り当てには、ユーザーとデバイスが含まれます
SCEP 証明書プロファイルの割り当てには、ユーザーが含まれます	成功	失敗	成功
SCEP 証明書プロファイルの割り当てには、デバイスが含まれます	失敗	成功	成功
SCEP 証明書プロファイルの割り当てには、ユーザーとデバイスが含まれます	成功	成功	成功

Android

Android 用の SCEP 証明書プロファイルは、SyncML としてデバイスに送信され、 OMADM ログに記録されます。

Android デバイスがポリシーを送信したことを検証する

プロファイルが予期したデバイスに送信されたことを検証するには、Microsoft Intune管理センターの [トラブルシューティングとサポート>のトラブルシューティング] に移動します。 [ トラブルシューティング ] ウィンドウで、[ 割り当て] を [構成プロファイル] に設定し、次の構成を検証します。

SCEP 証明書プロファイルを受け取るユーザーを指定します。
ユーザーのグループメンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティグループにユーザーが存在することを確認します。
デバイスがIntuneで最後にチェックインされたタイミングを確認します。

Android デバイスに到達したポリシーを検証する

デバイス OMADM ログを確認します。次の例のようなエントリを探します。これは、デバイスがIntuneからプロファイルを取得したときにログに記録されます。

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

キーエントリの例:

ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
NDESUrls&gt;&lt;NDESUrl&gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls

iOS/iPadOS

iOS/iPadOS デバイスがポリシーを送信したことを検証する

SCEP 証明書プロファイルを受け取るユーザーを指定します。
ユーザーのグループメンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティグループにユーザーが存在することを確認します。
デバイスがIntuneで最後にチェックインされたタイミングを確認します。

ポリシーが iOS または iPadOS デバイスに到達したことを検証する

デバイスのデバッグログを確認します。次の例のようなエントリを探します。これは、デバイスがIntuneからプロファイルを取得したときにログに記録されます。

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

キーエントリの例:

ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
PayloadDependencyDomainCertificate

Windows

Windows デバイスがポリシーを送信したことを検証する

プロファイルが予期したデバイスに送信されたことを検証するには、Microsoft Intune管理センターで、[トラブルシューティングとサポート>のトラブルシューティング] に移動します。 [ トラブルシューティング ] ウィンドウで、[ 割り当て] を [構成プロファイル] に設定し、次の構成を検証します。

SCEP 証明書プロファイルを受け取るユーザーを指定します。
ユーザーのグループメンバーシップを確認して、SCEP 証明書プロファイルで使用したセキュリティグループにユーザーが存在することを確認します。
デバイスがIntuneで最後にチェックインされたタイミングを確認します。

ポリシーが Windows デバイスに到達したことを検証する

プロファイルのポリシーの到着は、Windows デバイスの DeviceManagement-Enterprise-Diagnostics-Provider>管理ログにイベント ID 306 で記録されます。

ログを開くには:

デバイスで eventvwr.msc を実行して Windows イベントビューアーを開きます。
[アプリケーションとサービスログ>] [Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider管理] を展開します>。

次の例のようなイベント 306 を探します。

Event ID:      306
Task Category: None
Level:         Information
User:          SYSTEM
Computer:      <Computer Name>
Description:
SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).

0x2ab0003エラーコードは、DM_S_ACCEPTED_FOR_PROCESSINGに変換されます。

失敗したエラーコードは、基になる問題を示す可能性があります。

次の手順

プロファイルがデバイスに到達した場合、次の手順は、デバイスを NDES サーバー通信に確認することです。

Share via