Aracılığıyla paylaş

Intune'da cihazlara SCEP sertifika profili dağıtımı sorunlarını giderme

  • Makale

Bu makaleler, Microsoft Intune ile Basit Sertifika Kayıt Protokolü (SCEP) sertifika profillerini dağıtma sorunları için sorun giderme yönergeleri sağlar. Sertifika dağıtımı, SCEP iletişim akışına genel bakış adım 1'dir.

SCEP sertifika profili ve SCEP profilinde belirtilen güvenilen sertifika profili, aynı kullanıcıya veya aynı cihaza atanmalıdır. Aşağıdaki tabloda, karma atamaların beklenen sonucu gösterilmektedir:

Güvenilen sertifika profili ataması Kullanıcı içerir Güvenilen sertifika profili ataması Cihaz içerir Güvenilen sertifika profili ataması Kullanıcı ve Cihaz içerir
SCEP sertifika profili ataması Kullanıcı içerir Başarılı Hata Başarılı
SCEP sertifika profili ataması Cihaz içerir Hata Başarılı Başarılı
SCEP sertifika profili ataması Kullanıcı ve Cihaz içerir Başarılı Başarılı Başarılı

Android

Android için SCEP sertifika profilleri cihaza SyncML olarak gelir ve OMADM günlüğüne kaydedilir.

Android cihazının ilkenin gönderildiğini doğrulama

Profilin beklediğiniz cihaza gönderildiğini doğrulamak için Microsoft Intune yönetim merkezinde Sorun Giderme + Destek>Sorunlarını Giderme'ye gidin. Sorun Giderme penceresinde Atamalar'ı Yapılandırma profilleri olarak ayarlayın ve aşağıdaki yapılandırmaları doğrulayın:

  1. SCEP sertifika profilini alması gereken kullanıcıyı belirtin.

  2. ScEP sertifika profiliyle kullandığınız güvenlik grubunda olduğundan emin olmak için kullanıcının grup üyeliğini gözden geçirin.

  3. Cihazın Intune ile en son ne zaman iade olduğunu gözden geçirin.

Android cihaz ilkesini doğrulama

İlkenin Android cihazına ulaştığını doğrulama

Cihazlar OMADM günlüğünü gözden geçirin. Cihaz Profili Intune'dan aldığında günlüğe kaydedilen aşağıdaki örneklere benzeyen girdileri arayın:

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Anahtar girişleri örnekleri:

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPadOS

İlkenin iOS/iPadOS cihazının gönderildiğini doğrulayın

Profilin beklediğiniz cihaza gönderildiğini doğrulamak için Microsoft Intune yönetim merkezinde Sorun Giderme + Destek>Sorunlarını Giderme'ye gidin. Sorun Giderme penceresinde Atamalar'ı Yapılandırma profilleri olarak ayarlayın ve aşağıdaki yapılandırmaları doğrulayın:

  1. SCEP sertifika profilini alması gereken kullanıcıyı belirtin.

  2. ScEP sertifika profiliyle kullandığınız güvenlik grubunda olduğundan emin olmak için kullanıcının grup Üyeliğini gözden geçirin.

  3. Cihazın Intune ile en son ne zaman iade olduğunu gözden geçirin.

İlkenin iOS veya iPadOS cihazına ulaştığını doğrulama

Cihazların hata ayıklama günlüğünü gözden geçirin. Cihaz Profili Intune'dan aldığında günlüğe kaydedilen aşağıdaki örneklere benzeyen girdileri arayın:

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Anahtar girişleri örnekleri:

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

İlkenin Windows cihazının gönderildiğini doğrulama

Profilin beklediğiniz cihaza gönderildiğini doğrulamak için Microsoft Intune yönetim merkezinde Sorun Giderme + Destek>Sorunlarını Giderme'ye gidin. Sorun Giderme penceresinde Atamalar'ı Yapılandırma profilleri olarak ayarlayın ve aşağıdaki yapılandırmaları doğrulayın:

  1. SCEP sertifika profilini alması gereken kullanıcıyı belirtin.

  2. ScEP sertifika profiliyle kullandığınız güvenlik grubunda olduğundan emin olmak için kullanıcının grup üyeliğini gözden geçirin.

  3. Cihazın Intune ile en son ne zaman iade olduğunu gözden geçirin.

İlkenin Windows cihazına ulaştığını doğrulama

Profil için ilkenin gelmesi, Bir Windows cihazının DeviceManagement-Enterprise-Diagnostics-Provider>Yönetici günlüğüne 306 olay kimliğiyle kaydedilir.

Günlüğü açmak için:

  1. Cihazda eventvwr.msc komutunu çalıştırarak Windows Olay Görüntüleyicisi açın.

  2. Uygulama ve Hizmet Günlükleri>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Yöneticisi'ni genişletin.

  3. Aşağıdaki örneğe benzeyen Olay 306'yı arayın:

    Event ID:      306
Task Category: None
Level:         Information
User:          SYSTEM
Computer:      <Computer Name>
Description:
SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).

    Hata kodu 0x2ab0003 DM_S_ACCEPTED_FOR_PROCESSING çevirir.

    Başarılı olmayan bir hata kodu, temel alınan sorunun göstergesini sağlayabilir.

Sonraki adımlar

Profil cihaza ulaşırsa, sonraki adım cihazı NDES sunucusu iletişimine gözden geçirmektir.