Solução de problemas de perfis de certificado SCEP com Intune
Este artigo fornece diretrizes para ajudá-lo a solucionar problemas com perfis de certificado protocolo SCEP (SCEP) no Microsoft Intune. As seções a seguir abordam estes conceitos:
- A arquitetura e o fluxo de comunicação do processo SCEP
- Restringindo onde existe um problema nesse fluxo de comunicação
- Identificar os arquivos de log de chaves referenciados nos artigos subsequentes para solucionar problemas de perfis de certificado
As informações neste artigo e artigos relacionados à solução de problemas de certificado SCEP se aplicam ao uso de perfis de certificado SCEP com dispositivos Android, iOS/iPad e Windows. Informações semelhantes para macOS não estão disponíveis no momento. Para solucionar problemas do NDES (Serviço de Registro de Dispositivo de Rede), consulte os seguintes artigos:
- Verificar a configuração do NDES local para certificados SCEP no Intune
- Configurar a infraestrutura para oferecer suporte ao SCEP com o Intune
Antes de continuar, verifique se você atendeu aos pré-requisitos para usar perfis de certificado SCEP, incluindo a implantação de um certificado raiz por meio de um perfil de certificado confiável.
Visão geral do fluxo de comunicação do SCEP
A imagem a seguir demonstra uma visão geral básica do processo de comunicação SCEP Intune. Cada etapa inclui um link para um artigo com diretrizes mais prescritivas.
Implantar um perfil de certificado SCEP. Intune gera uma cadeia de caracteres de desafio, que requer um usuário, uma finalidade de certificado e um tipo de certificado específicos.
Comunicação do dispositivo com o servidor NDES. O dispositivo usa o URI do NDES do perfil para entrar em contato com o servidor NDES para que ele possa apresentar um desafio.
Comunicação de NDES para módulo de política. O NDES encaminha o desafio para o Intune de política do Certificate Connector no servidor, que valida a solicitação.
NDES para autoridade de certificação. O NDES passa solicitações válidas para emitir um certificado para a AC (Autoridade de Certificação).
Entrega de certificado para o dispositivo. O certificado é entregue ao dispositivo.
Relatório de implantação para Intune. O Intune Certificate Connector relata o evento de emissão de certificado para Intune.
Arquivos de log
Para identificar problemas para o fluxo de trabalho de provisionamento de certificado e comunicação, examine os arquivos de log da infraestrutura do servidor e dos dispositivos. Seções posteriores para solucionar problemas de perfis de certificado SCEP referem-se aos arquivos de log referenciados nesta seção.
Os logs do dispositivo dependem da plataforma do dispositivo:
Logs para infraestrutura local
A infraestrutura local que dá suporte ao uso de perfis de certificado SCEP para implantações de certificado inclui o Microsoft Intune Certificate Connector, o NDES executado em um Windows Server e a autoridade de certificação.
Os arquivos de log para essas funções incluem o Windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos do Conector de Certificado do Intune, NDES ou outras funções e operações que fazem parte da infraestrutura local.
A lista a seguir inclui logs ou consoles que são referenciados nos artigos de solução de problemas do SCEP subsequentes.
NDESConnector_date_time.svclog:
Esse log mostra a comunicação do Microsoft Intune Certificate Connector com o serviço Intune nuvem. Você pode usar a Ferramenta visualizador de rastreamento de serviço para exibir esse arquivo de log.
Chave do Registro relacionada: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog:
Esse log mostra o módulo de política do NDES recebendo e verificando solicitações de certificado. Você pode usar a Ferramenta visualizador de rastreamento de serviço para exibir esse arquivo de log.
Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
NDESPlugin.log:
Esse log mostra a passagem de solicitações de certificado para o Ponto de Registro de Certificado e a verificação resultante dessas solicitações.
Local: no servidor que hospeda o NDES em %program_files%\Microsoft Intune\NDESPolicyModule\logs
Logs do IIS:
Os logs do IIS mostram as solicitações de certificado de dispositivos móveis que entram no NDES.
Local: no servidor que hospeda o NDES em c:\inetpub\logs\LogFiles\W3SVC1
Log de aplicativos do Windows:
Esse log é útil ao investigar problemas do IIS, como o pool de aplicativos SCEP.
Local: no servidor que hospeda o NDES: execute eventvwr.msc para abrir o Windows Visualizador de Eventos
Logs para dispositivos Android
Para dispositivos que executam o Android, use o arquivo de log Portal da Empresa aplicativo android, OMADM.log. Antes de coletar e examinar os logs, verifique se o Log Detalhado está habilitado e reproduza o problema.
Para coletar o OMADM.logs de um dispositivo, consulte Carregar e enviar logs de email usando um cabo USB.
Você também pode carregar e enviar logs de email para dar suporte.
Logs para dispositivos iOS e iPadOS
Para dispositivos que executam iOS/iPadOS, use logs de depuração e Xcode executados em um computador Mac:
Conecte o dispositivo iOS/iPadOS ao Mac e vá > para Utilitários de Aplicativos para abrir o aplicativo de Console.
Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.
Reproduza o problema e salve os logs em um arquivo de texto:
- Selecione Editar > Selecionar Tudo para selecionar todas as mensagens na tela atual e, em seguida, selecione Editar > Cópia para copiar as mensagens para a área de transferência.
- Abra o aplicativo TextEdit, cole os logs copiados em um novo arquivo de texto e salve o arquivo.
O Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado SCEP.
Logs para dispositivos Windows
Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos gerenciados com Intune.
No dispositivo, abra Visualizador de Eventos > Aplicações e Logs > de Serviços microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
