Résolution des problèmes liés aux profils de certificat SCEP avec Intune
Cet article fournit des conseils pour vous aider à résoudre les problèmes liés aux profils de certificat SCEP (Simple Certificate Enrollment Protocol) dans Microsoft Intune. Les sections suivantes couvrent ces concepts :
- L’architecture et le flux de communication du processus SCEP
- Restreindre l’emplacement d’un problème dans ce flux de communication
- Identification des fichiers journaux de clés référencés dans les articles suivants pour la résolution des problèmes liés aux profils de certificat
Les informations contenues dans cet article et les articles de résolution des problèmes liés aux certificats SCEP s’appliquent à l’utilisation de profils de certificat SCEP avec des appareils Android, iOS/iPad et Windows. Des informations similaires pour macOS ne sont pas disponibles pour l’instant. Pour résoudre les problèmes liés au service d’inscription de périphérique réseau (NDES), consultez les articles suivants :
- Vérifier la configuration NDES locale pour les certificats SCEP dans Intune
- Configurer l’infrastructure pour la prise en charge de SCEP avec Intune
Avant de continuer, vérifiez que vous avez rempli les conditions préalables à l’utilisation des profils de certificat SCEP, notamment le déploiement d’un certificat racine via un profil de certificat approuvé.
Vue d’ensemble du flux de communication SCEP
L’image suivante montre une vue d’ensemble de base du processus de communication SCEP dans Intune. Chaque étape inclut un lien vers un article avec des instructions plus normatives.
Déployez un profil de certificat SCEP. Intune génère une chaîne de défi, qui nécessite un utilisateur, un objectif de certificat et un type de certificat spécifiques.
Communication de l’appareil vers le serveur NDES. L’appareil utilise l’URI pour NDES à partir du profil pour contacter le serveur NDES afin qu’il puisse présenter un défi.
Communication du module NDES vers le module de stratégie. NDES transfère le défi au module de stratégie Intune Certificate Connector sur le serveur, qui valide la demande.
NDES à l’autorité de certification. NDES transmet les demandes valides d’émission d’un certificat à l’autorité de certification .
Remise du certificat à l’appareil. Le certificat est remis à l’appareil.
Création de rapports de déploiement à Intune. L’Intune Certificate Connector signale l’événement d’émission de certificat à Intune.
Fichiers journaux
Pour identifier les problèmes liés au flux de travail de communication et d’approvisionnement de certificats, passez en revue les fichiers journaux de l’infrastructure du serveur et des appareils. Les sections ultérieures pour la résolution des problèmes liés aux profils de certificat SCEP font référence aux fichiers journaux référencés dans cette section.
Les journaux d’activité de l’appareil dépendent de la plateforme de l’appareil :
Journaux d’activité pour l’infrastructure locale
L’infrastructure locale qui prend en charge l’utilisation de profils de certificat SCEP pour les déploiements de certificats inclut le Microsoft Intune Certificate Connector, NDES qui s’exécute sur un serveur Windows Server et l’autorité de certification.
Les fichiers journaux de ces rôles incluent les observateur d'événements Windows, les consoles de certificats et divers fichiers journaux spécifiques au Intune Certificate Connector, À NDES ou à d’autres rôles et opérations qui font partie de l’infrastructure locale.
La liste suivante inclut les journaux ou les consoles référencés dans les articles de résolution des problèmes SCEP suivants.
NDESConnector_date_time.svclog :
Ce journal affiche la communication entre le Microsoft Intune Certificate Connector et le service cloud Intune. Vous pouvez utiliser l’outil Visionneuse de traces de service pour afficher ce fichier journal.
Clé de Registre associée : HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
Emplacement : sur le serveur qui héberge NDES à l’emplacement %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog :
Ce journal affiche le module de stratégie NDES qui reçoit et vérifie les demandes de certificat. Vous pouvez utiliser l’outil Visionneuse de traces de service pour afficher ce fichier journal.
Emplacement : sur le serveur qui héberge NDES à l’emplacement %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
NDESPlugin.log :
Ce journal indique le passage des demandes de certificat au point d’enregistrement de certificat et la vérification résultante de ces demandes.
Emplacement : sur le serveur qui héberge NDES à l’emplacement %program_files%\Microsoft Intune\NDESPolicyModule\logs
Journaux IIS :
Les journaux IIS affichent les demandes de certificat des appareils mobiles qui entrent dans NDES.
Emplacement : sur le serveur qui héberge NDES à l’adresse c :\inetpub\logs\LogFiles\W3SVC1
Journal des applications Windows :
Ce journal est utile lors de l’examen des problèmes IIS, comme le pool d’applications SCEP.
Emplacement : Sur le serveur qui héberge NDES : exécutez eventvwr.msc pour ouvrir Windows observateur d'événements
Journaux pour les appareils Android
Pour les appareils qui exécutent Android, utilisez le fichier journal de l’application Android Portail d'entreprise, OMADM.log. Avant de collecter et de consulter les journaux, vérifiez que la journalisation détaillée est activée, puis reproduisez le problème.
Pour collecter le fichier OMADM.logs à partir d’un appareil, consultez Charger et envoyer des journaux d’activité par e-mail à l’aide d’un câble USB.
Vous pouvez également charger et envoyer des journaux par e-mail à l’assistance.
Journaux pour les appareils iOS et iPadOS
Pour les appareils qui exécutent iOS/iPadOS, vous utilisez les journaux de débogage et Xcode qui s’exécute sur un ordinateur Mac :
Connectez l’appareil iOS/iPadOS à Mac, puis accédez à Utilitaires d’applications> pour ouvrir l’application Console.
Sous Action, sélectionnez Inclure les messages d’informations et Inclure les messages de débogage.
Reproduisez le problème, puis enregistrez les journaux dans un fichier texte :
- Sélectionnez Modifier>Sélectionner Tout pour sélectionner tous les messages sur l’écran actif, puis sélectionnez Modifier>la copie pour copier les messages dans le Presse-papiers.
- Ouvrez l’application TextEdit, collez les journaux copiés dans un nouveau fichier texte, puis enregistrez le fichier.
Le journal Portail d'entreprise pour les appareils iOS et iPadOS ne contient pas d’informations sur les profils de certificat SCEP.
Journaux d’activité pour les appareils Windows
Pour les appareils qui exécutent Windows, utilisez les journaux des événements Windows pour diagnostiquer les problèmes d’inscription ou de gestion des appareils pour les appareils que vous gérez avec Intune.
Sur l’appareil, ouvrez observateur d'événements> Journaux >des applications et des servicesMicrosoft >Windows>DeviceManagement-Enterprise-Diagnostics-Provider.