Risoluzione dei problemi relativi alla distribuzione del profilo dei certificati SCEP ai dispositivi in Intune

  • Articolo

Questo articolo fornisce indicazioni per la risoluzione dei problemi relativi alla distribuzione di profili di certificato SCEP (Simple Certificate Enrollment Protocol) con Microsoft Intune. La distribuzione dei certificati è il passaggio 1 della panoramica del flusso di comunicazione SCEP.

Il profilo certificato SCEP e il profilo certificato attendibile specificato nel profilo SCEP devono essere entrambi assegnati allo stesso utente o allo stesso dispositivo. La tabella seguente mostra il risultato previsto delle assegnazioni miste:

L'assegnazione del profilo certificato attendibile include l'utente L'assegnazione del profilo certificato attendibile include Device L'assegnazione del profilo certificato attendibile include utente e dispositivo
L'assegnazione del profilo certificato SCEP include l'utente Esito positivo Fallimento Esito positivo
L'assegnazione del profilo certificato SCEP include Device Fallimento Esito positivo Esito positivo
L'assegnazione del profilo certificato SCEP include utente e dispositivo Esito positivo Esito positivo Esito positivo

Android

I profili certificato SCEP per Android vengono assegnati al dispositivo come SyncML e vengono registrati nel log OMADM.

Verificare che il dispositivo Android sia stato inviato ai criteri

Per convalidare l'invio di un profilo al dispositivo previsto, nell'interfaccia di amministrazione Microsoft Intune passare a Risoluzione dei problemi e risoluzionedei problemi del supporto > tecnico. Nella finestra Risoluzione dei problemi impostare Assegnazioni su Profili di configurazione e quindi convalidare le configurazioni seguenti:

  1. Specificare l'utente che deve ricevere il profilo certificato SCEP.

  2. Esaminare l'appartenenza al gruppo dell'utente per assicurarsi che si trovino nel gruppo di sicurezza usato con il profilo di certificato SCEP.

  3. Verificare l'ultima archiviazione del dispositivo con Intune.

Convalidare i criteri del dispositivo Android

Verificare che i criteri abbiano raggiunto il dispositivo Android

Esaminare il log OMADM dei dispositivi. Cercare voci simili agli esempi seguenti, che vengono registrate quando il dispositivo ottiene il profilo da Intune:

Time    VERB    Event     com.microsoft.omadm.syncml.SyncmlSession     9595        9    <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>&lt;CertificateRequest&gt;&lt;ConfigurationParametersDocument&gt;&amp;lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&amp;gt;&amp;lt;ExpirationThreshold&amp;gt;20&amp;lt;/ExpirationThreshold&amp;gt;&amp;lt;RetryCount&amp;gt;3&amp;lt;/RetryCount&amp;gt;&amp;lt;RetryDelay&amp;gt;1&amp;lt;/RetryDelay&amp;gt;&amp;lt;TemplateName /&amp;gt;&amp;lt;SubjectNameFormat&amp;gt;{ID}&amp;lt;/SubjectNameFormat&amp;gt;&amp;lt;SubjectAlternativeNameFormat&amp;gt;{ID}&amp;lt;/SubjectAlternativeNameFormat&amp;gt;&amp;lt;KeyStorageProviderSetting&amp;gt;0&amp;lt;/KeyStorageProviderSetting&amp;gt;&amp;lt;KeyUsage&amp;gt;32&amp;lt;/KeyUsage&amp;gt;&amp;lt;KeyLength&amp;gt;2048&amp;lt;/KeyLength&amp;gt;&amp;lt;HashAlgorithms&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-1&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;HashAlgorithm&amp;gt;SHA-2&amp;lt;/HashAlgorithm&amp;gt;&amp;lt;/HashAlgorithms&amp;gt;&amp;lt;NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls&amp;gt;&amp;lt;CAThumbprint&amp;gt;{GUID}&amp;lt;/CAThumbprint&amp;gt;&amp;lt;ValidityPeriod&amp;gt;2&amp;lt;/ValidityPeriod&amp;gt;&amp;lt;ValidityPeriodUnit&amp;gt;Years&amp;lt;/ValidityPeriodUnit&amp;gt;&amp;lt;EKUMapping&amp;gt;&amp;lt;EKUMap&amp;gt;&amp;lt;EKUName&amp;gt;Client Authentication&amp;lt;/EKUName&amp;gt;&amp;lt;EKUOID&amp;gt;1.3.6.1.5.5.7.3.2&amp;lt;/EKUOID&amp;gt;&amp;lt;/EKUMap&amp;gt;&amp;lt;/EKUMapping&amp;gt;&amp;lt;/ConfigurationParameters&amp;gt;&lt;/ConfigurationParametersDocument&gt;&lt;RequestParameters&gt;&lt;CertificateRequestToken&gt;PENlcnRFbn... Hash: 1,010,143,298&lt;/CertificateRequestToken&gt;&lt;SubjectName&gt;CN=name&lt;/SubjectName&gt;&lt;Issuers&gt;CN=FourthCoffee CA; DC=fourthcoffee; DC=local&lt;/Issuers&gt;&lt;SubjectAlternativeName&gt;&lt;SANs&gt;&lt;SAN NameFormat="ID" AltNameType="2" OID="{OID}"&gt;&lt;/SAN&gt;&lt;SAN NameFormat="ID" AltNameType="11" OID="{OID}"&gt;john@contoso.onmicrosoft.com&lt;/SAN&gt;&lt;/SANs&gt;&lt;/SubjectAlternativeName&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/RequestParameters&gt;&lt;/CertificateRequest&gt;</Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>

Esempi di voci chiave:

  • ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401
  • NDESUrls&amp;gt;&amp;lt;NDESUrl&amp;gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&amp;lt;/NDESUrl&amp;gt;&amp;lt;/NDESUrls

iOS/iPadOS

Verificare che il dispositivo iOS/iPadOS sia stato inviato ai criteri

Per convalidare l'invio di un profilo al dispositivo previsto, nell'interfaccia di amministrazione Microsoft Intune passare a Risoluzione dei problemi e risoluzionedei problemi del supporto > tecnico. Nella finestra Risoluzione dei problemi impostare Assegnazioni su Profili di configurazione e quindi convalidare le configurazioni seguenti:

  1. Specificare l'utente che deve ricevere il profilo certificato SCEP.

  2. Esaminare l'appartenenza al gruppo dell'utente per assicurarsi che si trovino nel gruppo di sicurezza usato con il profilo di certificato SCEP.

  3. Verificare l'ultima archiviazione del dispositivo con Intune.

Verificare che i criteri abbiano raggiunto il dispositivo iOS o iPadOS

Esaminare il log di debug dei dispositivi. Cercare voci simili agli esempi seguenti, che vengono registrate quando il dispositivo ottiene il profilo da Intune:

debug    18:30:54.638009 -0500    profiled    Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\

Esempi di voci chiave:

  • ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295
  • PayloadDependencyDomainCertificate

Windows

Verificare che il dispositivo Windows sia stato inviato ai criteri

Per verificare che il profilo sia stato inviato al dispositivo previsto, nell'interfaccia di amministrazione Microsoft Intune passare a Risoluzione dei problemi e risoluzionedei problemi del supporto > tecnico. Nella finestra Risoluzione dei problemi impostare Assegnazioni su Profili di configurazione e quindi convalidare le configurazioni seguenti:

  1. Specificare l'utente che deve ricevere il profilo certificato SCEP.

  2. Esaminare l'appartenenza al gruppo dell'utente per assicurarsi che si trovino nel gruppo di sicurezza usato con il profilo di certificato SCEP.

  3. Verificare l'ultima archiviazione del dispositivo con Intune.

Verificare che i criteri abbiano raggiunto il dispositivo Windows

L'arrivo dei criteri per il profilo viene registrato nel log DeviceManagement-Enterprise-Diagnostics-Provider>Amministrazione di un dispositivo Windows con ID evento 306.

Per aprire il log:

  1. Nel dispositivo eseguire eventvwr.msc per aprire Windows Visualizzatore eventi.

  2. Espandere Registri> applicazioni e serviziMicrosoft> Windows >DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione.

  3. Cercare l'evento 306, simile all'esempio seguente:

    Event ID:      306
Task Category: None
Level:         Information
User:          SYSTEM
Computer:      <Computer Name>
Description:
SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall)  KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).

    Il codice di errore 0x2ab0003 viene convertito in DM_S_ACCEPTED_FOR_PROCESSING.

    Un codice di errore non riuscito potrebbe fornire un'indicazione del problema sottostante.

Passaggi successivi

Se il profilo raggiunge il dispositivo, il passaggio successivo consiste nell'esaminare la comunicazione tra il dispositivo e il server NDES.