Solucionar problemas de implementación de un perfil de certificado de SCEP en dispositivos de Microsoft Intune

Use la siguiente información para ayudar a solucionar problemas de implementación de perfiles de certificado de protocolo de inscripción de certificados (SCEP) sencillos con Intune.

Este artículo hace referencia al paso 1 de la información general del flujo de comunicación de SCEP.

Android

Los perfiles de certificado de SCEP para Android llegan al dispositivo como SyncML y se registran en el registro de OMADM.

Validar que se envió la Directiva al dispositivo Android

Para validar un perfil se envió al dispositivo que esperaba, en el centro de administración de Microsoft Endpoint Manager , vaya a solución de problemas + soporte técnico > Troubleshoot. En la ventana solución de problemas , establezca las asignaciones a perfiles de configuración y, a continuación, valide las siguientes configuraciones:

  1. Especifique un usuario que deba recibir el perfil de certificado de SCEP.

  2. Revise la pertenencia al grupo usuarios para asegurarse de que se encuentran en el grupo de seguridad que usó con el perfil de certificado SCEP.

  3. Revise la última vez que se protegió el dispositivo con Intune.

Validar la Directiva de dispositivo de Android

Validar que la Directiva ha alcanzado el dispositivo Android

Revise el registro de OMADM de dispositivos. Busque entradas similares a las siguientes, que se registran cuando el dispositivo obtiene el perfil de Intune:

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Ejemplos de entradas clave:

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPados

Validar que se haya enviado la Directiva al dispositivo iOS/iPad

Para validar un perfil se envió al dispositivo que esperaba, en el centro de administración de Microsoft Endpoint Manager , vaya a solución de problemas + soporte técnico > Troubleshoot. En la ventana solución de problemas , establezca las asignaciones a perfiles de configuración y, a continuación, valide las siguientes configuraciones:

  1. Especifique un usuario que deba recibir el perfil de certificado de SCEP.

  2. Revise la pertenencia al grupo usuarios para asegurarse de que se encuentran en el grupo de seguridad que usó con el perfil de certificado SCEP.

  3. Revise la última vez que se protegió el dispositivo con Intune.

Validar la Directiva de dispositivo iOS/iPados

Validar que la Directiva ha alcanzado el dispositivo iOS o iPad

Revise el registro de depuración de dispositivos. Busque entradas similares a las siguientes, que se registran cuando el dispositivo obtiene el perfil de Intune:

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Ejemplos de entradas clave:

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

Validar que se ha enviado la Directiva al dispositivo Windows

Para validar que el perfil se envió al dispositivo que esperaba, en el centro de administración de Microsoft Endpoint Manager,centro de administración de Microsoft Endpoint Manager , vaya a solución de problemas + soporte técnico > Troubleshoot. En la ventana solución de problemas , establezca las asignaciones a perfiles de configuración y, a continuación, valide las siguientes configuraciones:

  1. Especifique un usuario que deba recibir el perfil de certificado de SCEP.

  2. Revise la pertenencia al grupo usuarios para asegurarse de que se encuentran en el grupo de seguridad que usó con el perfil de certificado SCEP.

  3. Revise la última vez que se protegió el dispositivo con Intune.

Validar la Directiva de dispositivos de Windows

Validar que la Directiva ha alcanzado el dispositivo Windows

La llegada de la Directiva para el perfil se registra en el registro de administración de DeviceManagement-Enterprise-Diagnostics-Providerde un dispositivo Windows > Admin , con un identificador de evento 306.

Para abrir el registro:

  1. En el dispositivo, ejecute eventvwr. msc para abrir el visor de eventos de Windows.

  2. Expanda aplicaciones y servicios registrosde > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > admin.

  3. Busque el evento 306, que es similar al ejemplo siguiente:

    Event ID:      306
    Task Category: None
    Level:         Information
    User:          SYSTEM
    Computer:      <Computer Name>
    Description:
    SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).
    

    El código de error 0x2ab0003 se traduce en DM_S_ACCEPTED_FOR_PROCESSING.

    Un código de error que no se ejecuta correctamente podría proporcionar la indicación del problema subyacente.

Pasos siguientes

Si el perfil alcanza el dispositivo, el siguiente paso es revisar el dispositivo para la comunicación con el servidor ndes.