Risoluzione dei problemi relativi ai profili certificato SCEP con Intune

  • Articolo

Questo articolo fornisce indicazioni utili per risolvere i problemi relativi ai profili di certificato SCEP (Simple Certificate Enrollment Protocol) in Microsoft Intune. Le sezioni seguenti illustrano questi concetti:

  • Architettura e flusso di comunicazione del processo SCEP
  • Restringimento della posizione in cui si verifica un problema nel flusso di comunicazione
  • Identificazione dei file di log chiave a cui si fa riferimento negli articoli successivi per la risoluzione dei problemi relativi ai profili certificato

Le informazioni contenute in questo articolo e gli articoli correlati per la risoluzione dei problemi relativi ai certificati SCEP si applicano all'uso di profili certificato SCEP con dispositivi Android, iOS/iPad e Windows. Informazioni simili per macOS non sono attualmente disponibili. Per risolvere i problemi relativi al servizio Registrazione dispositivi di rete, vedere gli articoli seguenti:

Prima di procedere, assicurarsi di aver soddisfatto i prerequisiti per l'uso dei profili certificato SCEP, inclusa la distribuzione di un certificato radice tramite un profilo certificato attendibile.

Panoramica del flusso di comunicazione SCEP

L'immagine seguente illustra una panoramica di base del processo di comunicazione SCEP in Intune. Ogni passaggio include un collegamento a un articolo con indicazioni più prescrittive.

Screenshot che mostra il flusso del profilo del certificato SCEP.

  1. Distribuire un profilo certificato SCEP. Intune genera una stringa di verifica, che richiede un utente, uno scopo del certificato e un tipo di certificato specifici.

  2. Comunicazione da dispositivo a server NDES. Il dispositivo usa l'URI per NDES dal profilo per contattare il server NDES in modo che possa presentare una richiesta di verifica.

  3. Comunicazione tra il modulo NDES e il modulo criteri. Il servizio Registrazione dispositivi di rete inoltra la richiesta al modulo dei criteri connettore di certificati Intune nel server, che convalida la richiesta.

  4. NDES all'autorità di certificazione. NDES passa richieste valide per rilasciare un certificato all'Autorità di certificazione (CA).

  5. Recapito del certificato al dispositivo. Il certificato viene recapitato al dispositivo.

  6. Segnalazione della distribuzione in Intune. Il connettore di certificati Intune segnala l'evento di rilascio del certificato da Intune.

File di registro

Per identificare i problemi relativi al flusso di lavoro di comunicazione e provisioning dei certificati, esaminare i file di log sia dall'infrastruttura del server che dai dispositivi. Le sezioni successive per la risoluzione dei problemi relativi ai profili certificato SCEP fanno riferimento ai file di log a cui si fa riferimento in questa sezione.

I log dei dispositivi dipendono dalla piattaforma del dispositivo:

Log per l'infrastruttura locale

L'infrastruttura locale che supporta l'uso di profili certificato SCEP per le distribuzioni di certificati include il connettore di certificati Microsoft Intune, il servizio Registrazione dispositivi di rete eseguito in windows server e l'autorità di certificazione.

I file di log per questi ruoli includono windows Visualizzatore eventi, console certificati e vari file di log specifici del connettore di certificati Intune, NDES o altri ruoli e operazioni che fanno parte dell'infrastruttura locale.

L'elenco seguente include log o console a cui viene fatto riferimento negli articoli successivi sulla risoluzione dei problemi SCEP.

  • NDESConnector_date_time.svclog:

    Questo log mostra le comunicazioni dal connettore di certificati Microsoft Intune al servizio cloud Intune. È possibile usare lo strumento Visualizzatore traccia del servizio per visualizzare questo file di log.

    Chiave del Registro di sistema correlata: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Percorso: nel server che ospita NDES in %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • CertificateRegistrationPoint_date_time.svclog:

    Questo log mostra il modulo dei criteri NDES che riceve e verifica le richieste di certificato. È possibile usare lo strumento Visualizzatore traccia del servizio per visualizzare questo file di log.

    Percorso: nel server che ospita NDES in %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • NDESPlugin.log:

    Questo log mostra il passaggio delle richieste di certificato al punto di registrazione certificati e la verifica risultante di tali richieste.

    Percorso: nel server che ospita NDES in %program_files%\Microsoft Intune\NDESPolicyModule\logs

  • Log IIS:

    I log IIS mostrano le richieste di certificati provenienti dai dispositivi mobili che entrano in NDES.

    Percorso: nel server che ospita NDES in c:\inetpub\logs\LogFiles\W3SVC1

  • Registro applicazioni windows:

    Questo log è utile quando si analizzano i problemi di IIS, ad esempio il pool di applicazioni SCEP.

    Percorso: nel server che ospita il servizio Registrazione dispositivi di rete: eseguire eventvwr.msc per aprire Windows Visualizzatore eventi

Log per dispositivi Android

Per i dispositivi che eseguono Android, usare il file di log dell'app Android Portale aziendaleOMADM.log. Prima di raccogliere ed esaminare i log, assicurarsi che la registrazione dettagliata sia abilitata e quindi riprodurre il problema.

Per raccogliere il file OMADM.logs da un dispositivo, vedere Caricare e inviare i log tramite posta elettronica usando un cavo USB.

È anche possibile caricare e inviare i log tramite posta elettronica per il supporto.

Log per dispositivi iOS e iPadOS

Per i dispositivi che eseguono iOS/iPadOS, si usano i log di debug e Xcode eseguiti in un computer Mac:

  1. Connettere il dispositivo iOS/iPadOS a Mac e quindi passare a Utilità applicazioni> per aprire l'app Console.

  2. In Azione selezionare Includi messaggi di informazioni e Includi messaggi di debug.

    Screenshot che mostra le opzioni Include Info Messages and Include Debug Messages (Includi messaggi di debug) selezionate.

  3. Riprodurre il problema e quindi salvare i log in un file di testo:

    1. Selezionare Modifica>Seleziona tutto per selezionare tutti i messaggi nella schermata corrente e quindi selezionare Modifica>copia per copiare i messaggi negli Appunti.
    2. Aprire l'applicazione TextEdit, incollare i log copiati in un nuovo file di testo e quindi salvare il file.

Il log Portale aziendale per i dispositivi iOS e iPadOS non contiene informazioni sui profili certificato SCEP.

Log per dispositivi Windows

Per i dispositivi che eseguono Windows, usare i log eventi di Windows per diagnosticare i problemi di registrazione o gestione dei dispositivi per i dispositivi gestiti con Intune.

Nel dispositivo aprire Visualizzatore eventi>Registri applicazioni e servizi>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Screenshot dei log eventi di Windows in Visualizzatore eventi.

Passaggi successivi

Risolvere i problemi di distribuzione di un profilo certificato SCEP nei dispositivi in Microsoft Intune