Partager via

Résolution des problèmes de remise des certificats provisionnés par SCEP aux appareils dans Microsoft Intune

  • Article

Cet article fournit des conseils de dépannage pour vous aider à examiner la remise de certificats aux appareils lorsque vous utilisez le protocole SCEP (Simple Certificate Enrollment Protocol) pour provisionner des certificats dans Intune. Une fois que le serveur du service d’inscription de périphérique réseau (NDES) a reçu le certificat demandé pour un appareil de l’autorité de certification, il le transmet à nouveau à l’appareil.

Cet article s’applique à l’étape 5 du flux de travail de communication SCEP ; remise du certificat à l’appareil qui a envoyé la demande de certificat.

Passer en revue l’autorité de certification

Une fois que l’autorité de certification a émis le certificat, vous voyez une entrée similaire à l’exemple suivant sur l’autorité de certification :

Capture d’écran d’un exemple de certificats émis.

Passer en revue l’appareil

Android

Pour les appareils inscrits par l’administrateur d’appareil, vous verrez une notification similaire à l’image suivante, qui vous invite à installer le certificat :

Capture d’écran d’une notification Android.

Pour Android Enterprise ou Samsung Knox, l’installation du certificat est automatique et sans assistance.

Pour afficher un certificat installé sur Android, utilisez une application d’affichage de certificat tierce.

Vous pouvez également consulter le journal OMADM des appareils. Recherchez les entrées qui ressemblent aux exemples suivants, qui sont journalisées lors de l’installation des certificats :

Certificat racine :

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificat provisionné via SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Sur l’appareil iOS/iPadOS ou iPadOS, vous pouvez afficher le certificat sous le profil Gestion des appareils. Descendre dans la hiérarchie pour afficher les détails des certificats installés.

Capture d’écran des certificats iOS sous le profil Gestion des appareils.

Vous pouvez également trouver des entrées qui ressemblent à ce qui suit dans le journal de débogage iOS :

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Sur un appareil Windows, vérifiez que le certificat a été remis :

  • Exécutez eventvwr.msc pour ouvrir observateur d'événements. Accédez à Journaux >des applications et des servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> Administration et recherchez Événement 39. Cet événement doit avoir une description générale de : SCEP : Certificat installé avec succès.

    Capture d’écran de l’événement 39 dans le journal des applications Windows.

Pour afficher le certificat sur l’appareil, exécutez certmgr.msc pour ouvrir la console MMC Certificats et vérifier que les certificats racine et SCEP sont installés correctement sur l’appareil dans le magasin personnel :

  1. Accédez à Certificats (ordinateur local)>Autorités de certification> racinesapprouvées Certificats et vérifiez que le certificat racine de votre autorité de certification est présent. Les valeurs de Issued To et Issued By seront les mêmes.
  2. Dans la console MMC Certificats, accédez à Certificats –Certificatspersonnels>de l’utilisateur> actuel et vérifiez que le certificat demandé est présent, avec Émis par égal au nom de l’autorité de certification.

Résoudre les problèmes d’échec

Android

Pour résoudre les problèmes de remise de certificat, passez en revue les erreurs enregistrées dans le journal OMA DM.

iOS/iPadOS

Pour résoudre les problèmes de remise de certificat, passez en revue les erreurs enregistrées dans le journal de débogage des appareils.

Windows

Pour résoudre les problèmes liés au certificat qui n’est pas installé sur l’appareil, recherchez dans le journal des événements Windows les erreurs qui suggèrent des problèmes :

  • Sur l’appareil, exécutez eventvwr.msc pour ouvrir observateur d'événements, puis accédez à Journaux >des applications et des servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> Administration.

Les erreurs de remise et d’installation du certificat sur l’appareil sont généralement liées aux opérations Windows et non à Intune.

Prochaines étapes

Si le certificat est correctement déployé sur l’appareil, mais que Intune ne signale pas la réussite, consultez Rapports NDES pour Intune pour résoudre les problèmes de création de rapports.