MICROSOFT INTUNE 内のデバイスへの SCEP によってプロビジョニングされた証明書の配信のトラブルシューティング
この記事では、簡易証明書登録プロトコル (SCEP) を使用してIntuneで証明書をプロビジョニングするときに、デバイスへの証明書の配信を調査するのに役立つトラブルシューティング ガイダンスについて説明します。 ネットワーク デバイス登録サービス (NDES) サーバーは、証明機関 (CA) からデバイスの要求された証明書を受信した後、その証明書をデバイスに渡します。
この記事は、 SCEP 通信ワークフローの手順 5 に適用されます。証明書要求を送信したデバイスへの証明書の配信。
証明機関を確認する
CA が証明書を発行すると、CA の次の例のようなエントリが表示されます。
デバイスを確認する
Android
デバイス管理者が登録したデバイスの場合、次の図のような通知が表示され、証明書のインストールを求められます。
Android Enterprise または Samsung Knox の場合、証明書のインストールは自動でサイレントです。
Android にインストールされている証明書を表示するには、サード パーティの証明書表示アプリを使用します。
デバイスの OMADM ログを確認することもできます。 証明書のインストール時にログに記録される次の例のようなエントリを探します。
ルート証明書:
2018-02-27T04:50:52.1890000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 9 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 0 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 14 Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS
SCEP を介してプロビジョニングされた証明書
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 10 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 0 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 14 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 21 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED
iOS/iPadOS
iOS/iPadOS または iPadOS デバイスでは、デバイス管理 プロファイルの下に証明書を表示できます。 ドリルダウンして、インストールされている証明書の詳細を表示します。
iOS デバッグ ログには、次のようなエントリもあります。
Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\
Windows
Windows デバイスで、証明書が配信されたことを確認します。
eventvwr.msc を実行してイベント ビューアーを開きます。 [アプリケーションとサービス ログ>] Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>に移動し管理イベント 39 を探します。 このイベントには、SCEP: 証明書が正常にインストールされましたという一般的な説明が必要です。
デバイス上の証明書を表示するには、 certmgr.msc を実行して証明書 MMC を開き、個人用ストア内のデバイスにルート証明書と SCEP 証明書が正しくインストールされていることを確認します。
- [証明書 (ローカル コンピューター)]>[信頼されたルート証明機関証明書>] に移動し、CA からのルート証明書が存在することを確認します。 [発行先] と [発行者] の値は同じになります。
- 証明書 MMC で、[ 証明書 - 現在のユーザー>個人>証明書] に移動し、要求された証明書が CA の名前と等しい [発行者] で存在することを確認します。
エラーのトラブルシューティング
Android
証明書の配信をトラブルシューティングするには、OMA DM ログに記録されているエラーを確認します。
iOS/iPadOS
証明書の配信のトラブルシューティングを行うには、デバイスのデバッグ ログに記録されているエラーを確認します。
Windows
証明書がデバイスにインストールされていない問題のトラブルシューティングを行うには、Windows イベント ログで問題を示唆するエラーを確認します。
- デバイスで eventvwr.msc を実行してイベント ビューアーを開き、[アプリケーションとサービス ログ>] Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider管理 に移動します>。
デバイスへの証明書の配信とインストールに関するエラーは、通常、Windows 操作に関連しており、Intuneには関連しません。
次の手順
証明書がデバイスに正常に展開されても、Intuneが成功を報告しない場合は、「NDES レポートをIntuneに報告する」を参照して、レポートのトラブルシューティングを行います。