Solução de problemas de perfis de certificado SCEP com Intune
Este artigo fornece diretrizes para ajudá-lo a solucionar problemas e resolve problemas com perfis de certificado SCEP (Protocolo de Registro de Certificado Simples) em Microsoft Intune. As seções a seguir abordam esses conceitos:
- A arquitetura e o fluxo de comunicação do processo SCEP
- Limitando onde existe um problema nesse fluxo de comunicação
- Identificar os principais arquivos de log que são referenciados em artigos subsequentes para solucionar problemas de perfis de certificado
As informações neste artigo e os artigos relacionados à solução de problemas de certificado SCEP se aplicam ao uso de perfis de certificado SCEP com dispositivos Android, iOS/iPad e Windows. Informações semelhantes para macOS não estão disponíveis no momento. Para solucionar problemas do NDES (Serviço de Registro de Dispositivo de Rede), confira os seguintes artigos:
- Verifique a configuração do NDES local para certificados SCEP no Intune
- Configurar a infraestrutura para oferecer suporte ao SCEP com o Intune
Antes de prosseguir, verifique se você cumpriu os pré-requisitos para usar perfis de certificado SCEP, incluindo a implantação de um certificado raiz por meio de um perfil de certificado confiável.
Visão geral do fluxo de comunicação SCEP
A imagem a seguir demonstra uma visão geral básica do processo de comunicação SCEP no Intune. Cada etapa inclui um link para um artigo com diretrizes mais prescritivas.
Implantar um perfil de certificado SCEP. Intune gera uma cadeia de caracteres de desafio, que requer um usuário específico, uma finalidade de certificado e um tipo de certificado.
Dispositivo para comunicação do servidor NDES. O dispositivo usa o URI para NDES do perfil para entrar em contato com o servidor NDES para que ele possa apresentar um desafio.
NDES para comunicação do módulo de política. O NDES encaminha o desafio para o módulo de política do Conector de Certificado Intune no servidor, que valida a solicitação.
NDES para autoridade de certificação. O NDES passa solicitações válidas para emitir um certificado para a Autoridade de Certificação (AC).
Entrega de certificado para o dispositivo. O certificado é entregue ao dispositivo.
Relatórios de implantação para Intune. O Conector de Certificado Intune relata o evento de emissão de certificado para Intune.
Arquivos de log
Para identificar problemas para o fluxo de trabalho de provisionamento de certificado e comunicação, examine arquivos de log da infraestrutura do Servidor e de dispositivos. Seções posteriores para solucionar problemas de perfis de certificado SCEP referem-se a arquivos de log referenciados nesta seção.
Os logs de dispositivo dependem da plataforma do dispositivo:
Logs para infraestrutura local
A infraestrutura local que dá suporte ao uso de perfis de certificado SCEP para implantações de certificado inclui o Microsoft Intune Certificate Connector, o NDES que é executado em um Windows Server e a autoridade de certificação.
Os arquivos de log para essas funções incluem windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos para o Intune Conector de Certificado, NDES ou outras operações e função que fazem parte da infraestrutura local.
A lista a seguir inclui logs ou consoles referenciados nos artigos de solução de problemas scep subsequentes.
NDESConnector_date_time.svclog:
Este log mostra a comunicação do Conector de Certificado Microsoft Intune para o serviço de nuvem Intune. Você pode usar a Ferramenta de Visualizador de Rastreamento de Serviço para exibir este arquivo de log.
Chave de registro relacionada: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs\logs
CertificateRegistrationPoint_date_time.svclog:
Este log mostra o módulo de política do NDES recebendo e verificando solicitações de certificado. Você pode usar a Ferramenta de Visualizador de Rastreamento de Serviço para exibir este arquivo de log.
Local: no servidor que hospeda o NDES em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs\logs
NDESPlugin.log:
Este log mostra a passagem de solicitações de certificado para o Ponto de Registro de Certificado e a verificação resultante dessas solicitações.
Local: no servidor que hospeda o NDES em %program_files%\Microsoft Intune\NDESPolicyModule\logs
Logs do IIS:
Os logs do IIS mostram as solicitações de certificado de dispositivos móveis inserindo o NDES.
Local: No servidor que hospeda o NDES em c:\inetpub\logs\LogFiles\W3SVC1
Log de aplicativos do Windows:
Esse log é útil ao investigar problemas do IIS, como o pool de aplicativos SCEP.
Local: no servidor que hospeda o NDES: execute eventvwr.msc para abrir o Windows Visualizador de Eventos
Logs para dispositivos Android
Para dispositivos que executam o Android, use o arquivo de log do aplicativo android Portal da Empresa, OMADM.log. Antes de coletar e examinar logs, verifique se o Log verbose está habilitado e reproduz o problema.
Para coletar o OMADM.logs de um dispositivo, consulte Carregar e enviar logs de email usando um cabo USB.
Você também pode carregar e enviar logs de email para dar suporte.
Logs para dispositivos iOS e iPadOS
Para dispositivos que executam o iOS/iPadOS, você usa logs de depuração e Xcode executados em um computador Mac:
Conecte o dispositivo iOS/iPadOS ao Mac e vá paraUtilitários de Aplicativos> para abrir o aplicativo Console.
Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.
Reproduza o problema e salve os logs em um arquivo de texto:
- Selecione Editar>Selecionar Tudo para selecionar todas as mensagens na tela atual e selecione Editar>Copiar para copiar as mensagens na área de transferência.
- Abra o aplicativo TextEdit, cole os logs copiados em um novo arquivo de texto e salve o arquivo.
O log Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado SCEP.
Logs para dispositivos Windows
Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com Intune.
No dispositivo, abra Visualizador de Eventos>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.
