Intune 디바이스에 SCEP 인증서 프로필 배포 문제 해결
이 문서에서는 Microsoft Intune 사용하여 SCEP(단순 인증서 등록 프로토콜) 인증서 프로필을 배포하는 문제에 대한 문제 해결 지침을 제공합니다. 인증서 배포는 SCEP 통신 흐름 개요의 1단계입니다.
SCEP 인증서 프로필 및 SCEP 프로필에 지정된 신뢰할 수 있는 인증서 프로필은 모두 동일한 사용자 또는 동일한 디바이스에 할당되어야 합니다. 다음 표에서는 혼합 할당의 예상 결과를 보여 줍니다.
| 신뢰할 수 있는 인증서 프로필 할당에는 사용자가 포함됩니다. | 신뢰할 수 있는 인증서 프로필 할당에는 디바이스가 포함됩니다. | 신뢰할 수 있는 인증서 프로필 할당에는 사용자 및 디바이스가 포함됩니다. | |
|---|---|---|---|
| SCEP 인증서 프로필 할당에는 사용자가 포함됩니다. | 성공 | 실패 | 성공 |
| SCEP 인증서 프로필 할당에는 디바이스가 포함됩니다. | 실패 | 성공 | 성공 |
| SCEP 인증서 프로필 할당에는 사용자 및 디바이스가 포함됩니다. | 성공 | 성공 | 성공 |
Android
Android용 SCEP 인증서 프로필은 디바이스에 SyncML로 내려와 OMADM 로그에 기록됩니다.
Android 디바이스가 정책을 보냈는지 확인합니다.
프로필이 예상한 디바이스로 전송되었는지 확인하려면 Microsoft Intune 관리 센터에서문제 해결 + 지원>문제 해결로 이동합니다. 문제 해결 창에서 할당을구성 프로필로 설정한 다음, 다음 구성의 유효성을 검사합니다.
SCEP 인증서 프로필을 받을 사용자를 지정합니다.
사용자의 그룹 멤버 자격을 검토하여 SCEP 인증서 프로필과 함께 사용한 보안 그룹에 있는지 확인합니다.
디바이스가 Intune 사용하여 마지막으로 체크 인한 시기를 검토합니다.
Android 디바이스에 도달한 정책의 유효성 검사
디바이스 OMADM 로그를 검토합니다. 디바이스가 Intune 프로필을 가져오면 기록되는 다음 예제와 유사한 항목을 찾습니다.
Time VERB Event com.microsoft.omadm.syncml.SyncmlSession 9595 9 <?xml version="1.0" encoding="utf-8"?><SyncML xmlns="SYNCML:SYNCML1.2"><SyncHdr><VerDTD>1.2</VerDTD><VerProto>DM/1.2</VerProto><SessionID>1</SessionID><MsgID>6</MsgID><Target><LocURI>urn:uuid:UUID</LocURI></Target><Source><LocURI>https://a.manage.microsoft.com/devicegatewayproxy/AndroidHandler.ashx</LocURI></Source><Meta><MaxMsgSize xmlns="syncml:metinf">524288</MaxMsgSize></Meta></SyncHdr><SyncBody><Status><CmdID>1</CmdID><MsgRef>6</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Replace><CmdID>2</CmdID><Item><Target><LocURI>./Vendor/MSFT/Scheduler/IntervalDurationSeconds</LocURI></Target><Meta><Format xmlns="syncml:metinf">int</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data>28800</Data></Item></Replace><Replace><CmdID>3</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseIDs</LocURI></Target><Data>contoso.onmicrosoft.com</Data></Item></Replace><Exec><CmdID>4</CmdID><Item><Target><LocURI>./Vendor/MSFT/EnterpriseAppManagement/EnterpriseApps/ClearNotifications</LocURI></Target></Item></Exec><Add><CmdID>5</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Root/{GUID}/EncodedCertificate</LocURI></Target><Data>Data</Data></Item></Add><Add><CmdID>6</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/Enroll/ModelName=AC_51…%2FLogicalName_39907…%3BHash=-1518303401/Install</LocURI></Target><Meta><Format xmlns="syncml:metinf">xml</Format><Type xmlns="syncml:metinf">text/plain</Type></Meta><Data><CertificateRequest><ConfigurationParametersDocument>&lt;ConfigurationParameters xmlns="http://schemas.microsoft.com/SystemCenterConfigurationManager/2012/03/07/CertificateEnrollment/ConfigurationParameters"&gt;&lt;ExpirationThreshold&gt;20&lt;/ExpirationThreshold&gt;&lt;RetryCount&gt;3&lt;/RetryCount&gt;&lt;RetryDelay&gt;1&lt;/RetryDelay&gt;&lt;TemplateName /&gt;&lt;SubjectNameFormat&gt;{ID}&lt;/SubjectNameFormat&gt;&lt;SubjectAlternativeNameFormat&gt;{ID}&lt;/SubjectAlternativeNameFormat&gt;&lt;KeyStorageProviderSetting&gt;0&lt;/KeyStorageProviderSetting&gt;&lt;KeyUsage&gt;32&lt;/KeyUsage&gt;&lt;KeyLength&gt;2048&lt;/KeyLength&gt;&lt;HashAlgorithms&gt;&lt;HashAlgorithm&gt;SHA-1&lt;/HashAlgorithm&gt;&lt;HashAlgorithm&gt;SHA-2&lt;/HashAlgorithm&gt;&lt;/HashAlgorithms&gt;&lt;NDESUrls&gt;&lt;NDESUrl&gt;https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls&gt;&lt;CAThumbprint&gt;{GUID}&lt;/CAThumbprint&gt;&lt;ValidityPeriod&gt;2&lt;/ValidityPeriod&gt;&lt;ValidityPeriodUnit&gt;Years&lt;/ValidityPeriodUnit&gt;&lt;EKUMapping&gt;&lt;EKUMap&gt;&lt;EKUName&gt;Client Authentication&lt;/EKUName&gt;&lt;EKUOID&gt;1.3.6.1.5.5.7.3.2&lt;/EKUOID&gt;&lt;/EKUMap&gt;&lt;/EKUMapping&gt;&lt;/ConfigurationParameters&gt;</ConfigurationParametersDocument><RequestParameters><CertificateRequestToken>PENlcnRFbn... Hash: 1,010,143,298</CertificateRequestToken><SubjectName>CN=name</SubjectName><Issuers>CN=FourthCoffee CA; DC=fourthcoffee; DC=local</Issuers><SubjectAlternativeName><SANs><SAN NameFormat="ID" AltNameType="2" OID="{OID}"></SAN><SAN NameFormat="ID" AltNameType="11" OID="{OID}">john@contoso.onmicrosoft.com</SAN></SANs></SubjectAlternativeName><NDESUrl>https://breezeappproxy-contoso.msappproxy.net/certsrv/mscep/mscep.dll</NDESUrl></RequestParameters></CertificateRequest></Data></Item></Add><Get><CmdID>7</CmdID><Item><Target><LocURI>./Vendor/MSFT/CertificateStore/SCEP</LocURI></Target></Item></Get><Add><CmdID>8</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Add><Replace><CmdID>9</CmdID><Item><Target><LocURI>./Vendor/MSFT/GCM</LocURI></Target><Data>Data</Data></Item></Replace><Get><CmdID>10</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr</LocURI></Target></Item></Get><Get><CmdID>11</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/CacheVersion</LocURI></Target></Item></Get><Get><CmdID>12</CmdID><Item><Target><LocURI>./Vendor/MSFT/NodeCache/SCConfigMgr/ChangedNodes</LocURI></Target></Item></Get><Get><CmdID>13</CmdID><Item><Target><LocURI>./DevDetail/Ext/Microsoft/LocalTime</LocURI></Target></Item></Get><Get><CmdID>14</CmdID><Item><Target><LocURI>./Vendor/MSFT/DeviceLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Get><CmdID>15</CmdID><Item><Target><LocURI>./Vendor/MSFT/WorkProfileLock/DevicePolicyManager/IsActivePasswordSufficient</LocURI></Target></Item></Get><Final /></SyncBody></SyncML>
키 항목의 예:
ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c%3BHash=-1518303401NDESUrls&gt;&lt;NDESUrl&gt;https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll&lt;/NDESUrl&gt;&lt;/NDESUrls
iOS/iPadOS
iOS/iPadOS 디바이스가 정책을 전송했는지 확인합니다.
프로필이 예상한 디바이스로 전송되었는지 확인하려면 Microsoft Intune 관리 센터에서문제 해결 + 지원>문제 해결로 이동합니다. 문제 해결 창에서 할당을구성 프로필로 설정한 다음, 다음 구성의 유효성을 검사합니다.
SCEP 인증서 프로필을 받을 사용자를 지정합니다.
사용자의 그룹 멤버 자격을 검토하여 SCEP 인증서 프로필과 함께 사용한 보안 그룹에 있는지 확인합니다.
디바이스가 Intune 사용하여 마지막으로 체크 인한 시기를 검토합니다.
iOS 또는 iPadOS 디바이스에 도달한 정책의 유효성 검사
디바이스 디버그 로그를 검토합니다. 디바이스가 Intune 프로필을 가져오면 기록되는 다음 예제와 유사한 항목을 찾습니다.
debug 18:30:54.638009 -0500 profiled Adding dependent ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 to parent 636572740000000000000012 in domain PayloadDependencyDomainCertificate to system\
키 항목의 예:
ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295PayloadDependencyDomainCertificate
Windows
Windows 디바이스가 정책을 보냈는지 확인합니다.
프로필이 예상 디바이스로 전송되었는지 확인하려면 Microsoft Intune 관리 센터에서문제 해결 + 지원>문제 해결로 이동합니다. 문제 해결 창에서 할당을구성 프로필로 설정한 다음, 다음 구성의 유효성을 검사합니다.
SCEP 인증서 프로필을 받을 사용자를 지정합니다.
사용자의 그룹 멤버 자격을 검토하여 SCEP 인증서 프로필과 함께 사용한 보안 그룹에 있는지 확인합니다.
디바이스가 Intune 사용하여 마지막으로 체크 인한 시기를 검토합니다.
Windows 디바이스에 도달한 정책의 유효성 검사
프로필에 대한 정책의 도착은 이벤트 ID가 306인 Windows 디바이스의 DeviceManagement-Enterprise-Diagnostics-Provider>관리 로그에 기록됩니다.
로그를 열려면 다음을 수행합니다.
디바이스에서 eventvwr.msc를 실행하여 Windows 이벤트 뷰어 엽니다.
애플리케이션 및 서비스 로그>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>관리 확장합니다.
다음 예제와 유사한 이벤트 306을 찾습니다.
Event ID: 306 Task Category: None Level: Information User: SYSTEM Computer: <Computer Name> Description: SCEP: CspExecute for UniqueId : (ModelName_<ModelName>_LogicalName_<LogicalName>_Hash_<Hash>) InstallUserSid : (<UserSid>) InstallLocation : (user) NodePath : (clientinstall) KeyProtection: (0x2) Result : (Unknown Win32 Error code: 0x2ab0003).0x2ab0003 오류 코드는 DM_S_ACCEPTED_FOR_PROCESSING 변환됩니다.
성공하지 못한 오류 코드는 기본 문제를 나타낼 수 있습니다.
다음 단계
프로필이 디바이스에 도달하면 다음 단계는 디바이스를 NDES 서버 통신으로 검토하는 것입니다.