Intuneを使用した SCEP 証明書プロファイルのトラブルシューティング
この記事では、Microsoft IntuneのSimple Certificate Enrollment Protocol (SCEP) 証明書プロファイルに関する問題のトラブルシューティングと解決に役立つガイダンスを提供します。 次のセクションでは、これらの概念について説明します。
- SCEP プロセスのアーキテクチャと通信フロー
- その通信フローに問題が存在する場所を絞り込む
- 証明書プロファイルのトラブルシューティングに関する後続の記事で参照されているキー ログ ファイルの識別
この記事の情報と関連する SCEP 証明書のトラブルシューティングに関する記事は、Android、iOS/iPad、Windows デバイスでの SCEP 証明書プロファイルの使用に適用されます。 現時点では、macOS の同様の情報は利用できません。 ネットワーク デバイス登録サービス (NDES) のトラブルシューティングを行うには、次の記事を参照してください。
- Intuneで SCEP 証明書のオンプレミスで NDES 構成を確認する
- Configure infrastructure to support SCEP with Intune (Intune を使用してインフラストラクチャを構成して SCEP をサポートする)
続行する前に、信頼された証明書プロファイルを使用したルート証明書の展開など、 SCEP 証明書プロファイルを使用するための前提条件を満たしていることを確認します。
SCEP 通信フローの概要
次の図は、Intuneでの SCEP 通信プロセスの基本的な概要を示しています。 各手順には、より規範的なガイダンスを含む記事へのリンクが含まれています。
SCEP 証明書プロファイルをデプロイします。 Intuneチャレンジ文字列が生成されます。これには、特定のユーザー、証明書の目的、証明書の種類が必要です。
デバイスから NDES サーバーへの通信。 デバイスは、プロファイルから NDES の URI を使用して NDES サーバーに接続し、チャレンジを提示できるようにします。
NDES からポリシー モジュールへの通信。 NDES は、要求を検証するサーバー上のIntune証明書コネクタ ポリシー モジュールにチャレンジを転送します。
証明機関への NDES。 NDES は、証明機関 (CA) に証明書を発行するための有効な要求を渡します。
デバイスへの証明書の配信。 証明書はデバイスに配信されます。
Intuneへのデプロイのレポート。 Intune証明書コネクタは、証明書発行イベントをIntuneに報告します。
ログ ファイル
通信と証明書のプロビジョニング ワークフローの問題を特定するには、サーバー インフラストラクチャとデバイスの両方のログ ファイルを確認します。 SCEP 証明書プロファイルのトラブルシューティングの後のセクションでは、このセクションで参照されているログ ファイルを参照してください。
デバイス ログは、デバイス プラットフォームによって異なります。
オンプレミス インフラストラクチャのログ
証明書の展開に SCEP 証明書プロファイルの使用をサポートするオンプレミス インフラストラクチャには、Microsoft Intune証明書コネクタ、Windows Server 上で実行される NDES、証明機関が含まれます。
これらのロールのログ ファイルには、Windows イベント ビューアー、証明書コンソール、Intune証明書コネクタ、NDES、またはオンプレミス インフラストラクチャの一部であるその他のロールと操作に固有のさまざまなログ ファイルが含まれます。
次の一覧には、後続の SCEP トラブルシューティング記事で参照されているログまたはコンソールが含まれています。
NDESConnector_date_time.svclog:
このログには、Microsoft Intune証明書コネクタからIntune クラウド サービスへの通信が表示されます。 サービス トレース ビューアー ツールを使用して、このログ ファイルを表示できます。
関連するレジストリ キー: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
場所: %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs で NDES をホストするサーバー上
CertificateRegistrationPoint_date_time.svclog:
このログには、証明書要求を受信して確認する NDES ポリシー モジュールが表示されます。 サービス トレース ビューアー ツールを使用して、このログ ファイルを表示できます。
場所: %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs で NDES をホストするサーバー上
NDESPlugin.log:
このログには、証明書登録ポイントへの証明書要求の受け渡しと、それらの要求の結果の検証が示されます。
場所: %program_files%\Microsoft Intune\NDESPolicyModule\logs で NDES をホストするサーバー上
IIS ログ:
IIS ログには、NDES に入るモバイル デバイスからの証明書要求が表示されます。
場所: c:\inetpub\logs\LogFiles\W3SVC1 で NDES をホストするサーバー上
Windows アプリケーション ログ:
このログは、SCEP アプリケーション プールなどの IIS の問題を調査するときに役立ちます。
場所: NDES をホストするサーバーで:eventvwr.msc を実行して Windows イベント ビューアーを開く
Android デバイスのログ
Android を実行するデバイスの場合は、Android ポータル サイト アプリ ログ ファイル OMADM.log を使用します。 ログを収集して確認する前に、 詳細ログ が有効になっていることを確認してから、問題を再現します。
デバイスから OMADM.logs を収集するには、「 USB ケーブルを使用してログをアップロードして電子メールで送信する」を参照してください。
サポートする ログをアップロードして電子メールで送信 することもできます。
iOS デバイスと iPadOS デバイスのログ
iOS/iPadOS を実行するデバイスの場合は、Mac コンピューターで実行されるデバッグ ログと Xcode を使用します。
iOS/iPadOS デバイスを Mac に接続し、 アプリケーション > ユーティリティ に移動してコンソール アプリを開きます。
[ アクション] で、[ 情報メッセージを含める ] と [ デバッグ メッセージを含める] を選択します。
![スクリーンショットは、[情報メッセージを含める] オプションと [デバッグ メッセージを含める] オプションが選択されていることを示しています。](media/troubleshoot-scep-certificate-profiles/message-options.png)
問題を再現し、ログをテキスト ファイルに保存します。
- [すべて 編集] > を選択 して現在の画面のすべてのメッセージを選択し、[コピー の 編集] > を選択してメッセージをクリップボードにコピーします。
- TextEdit アプリケーションを開き、コピーしたログを新しいテキスト ファイルに貼り付けてから、ファイルを保存します。
iOS および iPadOS デバイスのポータル サイト ログには、SCEP 証明書プロファイルに関する情報は含まれません。
Windows デバイスのログ
Windows を実行するデバイスの場合は、Windows イベント ログを使用して、Intuneで管理するデバイスの登録またはデバイス管理の問題を診断します。
デバイスで 、イベント ビューアー > Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider を開きます。
