Share via

Problemen met SCEP-certificaatprofielen oplossen met Intune

  • Artikel

Dit artikel bevat richtlijnen voor het oplossen van problemen met SCEP-certificaatprofielen (Simple Certificate Enrollment Protocol) in Microsoft Intune. In de volgende secties worden deze concepten behandeld:

  • De architectuur en de communicatiestroom van het SCEP-proces
  • Beperken waar zich een probleem voordoet in die communicatiestroom
  • De belangrijkste logboekbestanden identificeren waarnaar in volgende artikelen wordt verwezen voor het oplossen van problemen met certificaatprofielen

De informatie in dit artikel en gerelateerde artikelen over het oplossen van problemen met SCEP-certificaten is van toepassing op het gebruik van SCEP-certificaatprofielen met Android-, iOS-/iPad- en Windows-apparaten. Vergelijkbare informatie voor macOS is momenteel niet beschikbaar. Zie de volgende artikelen voor het oplossen van problemen met NDES (Network Device Enrollment Service):

Voordat u doorgaat, moet u voldoen aan de vereisten voor het gebruik van SCEP-certificaatprofielen, waaronder de implementatie van een basiscertificaat via een vertrouwd certificaatprofiel.

Overzicht van SCEP-communicatiestroom

In de volgende afbeelding ziet u een basisoverzicht van het SCEP-communicatieproces in Intune. Elke stap bevat een koppeling naar een artikel met meer prescriptieve richtlijnen.

Schermopname van de scep-certificaatprofielstroom.

  1. Een SCEP-certificaatprofiel implementeren. Intune genereert een challenge-tekenreeks, waarvoor een specifieke gebruiker, certificaatdoel en certificaattype vereist zijn.

  2. Communicatie van apparaat naar NDES-server. Het apparaat gebruikt de URI voor NDES van het profiel om contact op te maken met de NDES-server, zodat dit een uitdaging kan zijn.

  3. Communicatie van NDES naar beleidsmodule. NDES stuurt de uitdaging door naar de Intune certificaatconnectorbeleidsmodule op de server, waarmee de aanvraag wordt gevalideerd.

  4. NDES naar certificeringsinstantie. NDES geeft geldige aanvragen voor het uitgeven van een certificaat door aan de certificeringsinstantie (CA).

  5. Certificaatlevering op het apparaat. Het certificaat wordt aan het apparaat geleverd.

  6. Rapportage van implementatie aan Intune. De Intune Certificate Connector rapporteert de gebeurtenis voor certificaatuitgifte aan Intune.

Logboekbestanden

Als u problemen wilt identificeren voor de werkstroom voor communicatie en certificaatinrichting, controleert u logboekbestanden van zowel de serverinfrastructuur als van apparaten. Latere secties voor het oplossen van problemen met SCEP-certificaatprofielen verwijzen naar logboekbestanden waarnaar in deze sectie wordt verwezen.

Apparaatlogboeken zijn afhankelijk van het apparaatplatform:

Logboeken voor on-premises infrastructuur

On-premises infrastructuur die het gebruik van SCEP-certificaatprofielen voor certificaatimplementaties ondersteunt, omvat de Microsoft Intune Certificate Connector, NDES die wordt uitgevoerd op een Windows Server en de certificeringsinstantie.

Logboekbestanden voor deze rollen omvatten Windows Logboeken, certificaatconsoles en verschillende logboekbestanden die specifiek zijn voor de Intune Certificaatconnector, NDES of andere rollen en bewerkingen die deel uitmaken van de on-premises infrastructuur.

De volgende lijst bevat logboeken of consoles waarnaar wordt verwezen in de volgende scep-probleemoplossingsartikelen.

  • NDESConnector_date_time.svclog:

    In dit logboek ziet u de communicatie van de Microsoft Intune Certificate Connector naar de Intune cloudservice. U kunt het hulpprogramma Service Trace Viewer gebruiken om dit logboekbestand weer te geven.

    Gerelateerde registersleutel: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Locatie: Op de server waarop NDES wordt gehost op %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • CertificateRegistrationPoint_date_time.svclog:

    In dit logboek ziet u de NDES-beleidsmodule die certificaataanvragen ontvangt en verifieert. U kunt het hulpprogramma Service Trace Viewer gebruiken om dit logboekbestand weer te geven.

    Locatie: Op de server waarop NDES wordt gehost op %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • NDESPlugin.log:

    In dit logboek ziet u het doorgeven van certificaataanvragen aan het certificaatregistratiepunt en de resulterende verificatie van deze aanvragen.

    Locatie: Op de server waarop NDES wordt gehost op %program_files%\Microsoft Intune\NDESPolicyModule\logs

  • IIS-logboeken:

    IIS-logboeken bevatten de certificaataanvragen van mobiele apparaten die NDES invoeren.

    Locatie: Op de server waarop NDES wordt gehost op c:\inetpub\logs\LogFiles\W3SVC1

  • Windows-toepassingslogboek:

    Dit logboek is handig bij het onderzoeken van IIS-problemen, zoals de SCEP-toepassingsgroep.

    Locatie: Op de server waarop NDES wordt gehost: voer eventvwr.msc uit om Windows Logboeken te openen

Logboeken voor Android-apparaten

Voor apparaten met Android gebruikt u het logboekbestand van de Android Bedrijfsportal-appOMADM.log. Voordat u logboeken verzamelt en bekijkt, controleert u of Uitgebreide logboekregistratie is ingeschakeld en reproduceert u het probleem.

Zie Logboeken uploaden en e-mailen via een USB-kabel om de OMADM.-logboeken van een apparaat te verzamelen.

U kunt ook logboeken uploaden en e-mailen naar ondersteuning.

Logboeken voor iOS- en iPadOS-apparaten

Voor apparaten met iOS/iPadOS gebruikt u foutopsporingslogboeken en Xcode die op een Mac-computer worden uitgevoerd:

  1. Verbind het iOS-/iPadOS-apparaat met Mac en ga vervolgens naarHulpprogramma's voor toepassingen> om de Console-app te openen.

  2. Selecteer onder Actiede optie Infoberichten opnemen en Foutopsporingsberichten opnemen.

    Schermopname van de opties Infoberichten opnemen en Foutopsporingsberichten opnemen zijn geselecteerd.

  3. Reproduceer het probleem en sla de logboeken vervolgens op in een tekstbestand:

    1. Selecteer Bewerken>Alles selecteren om alle berichten op het huidige scherm te selecteren en selecteer vervolgensKopiebewerken> om de berichten naar het Klembord te kopiƫren.
    2. Open de toepassing TextEdit, plak de gekopieerde logboeken in een nieuw tekstbestand en sla het bestand op.

Het Bedrijfsportal-logboek voor iOS- en iPadOS-apparaten bevat geen informatie over SCEP-certificaatprofielen.

Logboeken voor Windows-apparaten

Voor apparaten met Windows gebruikt u de Windows-gebeurtenislogboeken om registratie- of apparaatbeheerproblemen vast te stellen voor apparaten die u beheert met Intune.

Open op het apparaat Logboeken>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Schermopname van de Windows-gebeurtenislogboeken in Logboeken.

Volgende stappen

Problemen oplossen met de implementatie van een SCEP-certificaatprofiel op apparaten in Microsoft Intune