Intuneを使用した SCEP 証明書プロファイルのトラブルシューティング
この記事では、Microsoft Intuneの簡易証明書登録プロトコル (SCEP) 証明書プロファイルに関する問題のトラブルシューティングと解決に役立つガイダンスを提供します。 次のセクションでは、これらの概念について説明します。
- SCEP プロセスのアーキテクチャと通信フロー
- その通信フローに問題が存在する場所を絞り込む
- 証明書プロファイルのトラブルシューティングのために以降の記事で参照されているキー ログ ファイルの識別
この記事および関連する SCEP 証明書のトラブルシューティングに関する記事の情報は、Android、iOS/iPad、および Windows デバイスでの SCEP 証明書プロファイルの使用に適用されます。 macOS の同様の情報は、現時点では使用できません。 ネットワーク デバイス登録サービス (NDES) のトラブルシューティングを行うには、次の記事を参照してください。
- Intuneで SCEP 証明書のオンプレミスの NDES 構成を確認する
- Configure infrastructure to support SCEP with Intune (Intune を使用してインフラストラクチャを構成して SCEP をサポートする)
先に進む前に、信頼された証明書プロファイルを介したルート証明書の展開など、 SCEP 証明書プロファイルを使用するための前提条件を満たしていることを確認してください。
SCEP 通信フローの概要
次の図は、Intuneの SCEP 通信プロセスの基本的な概要を示しています。 各手順には、より規範的なガイダンスを含む記事へのリンクが含まれています。
SCEP 証明書プロファイルをデプロイします。 Intuneは、特定のユーザー、証明書の目的、および証明書の種類を必要とするチャレンジ文字列を生成します。
デバイスから NDES サーバーへの通信。 デバイスは、プロファイルから NDES の URI を使用して NDES サーバーに接続し、チャレンジを提示できるようにします。
NDES からポリシー モジュールへの通信。 NDES は、要求を検証する、サーバー上の Intune Certificate Connector ポリシー モジュールにチャレンジを転送します。
NDES から証明機関へ。 NDES は、証明機関 (CA) に証明書を発行するための有効な要求を渡します。
デバイスへの証明書の配信。 証明書はデバイスに配信されます。
Intuneへのデプロイのレポート。 証明書コネクタIntuneは、証明書発行イベントをIntuneに報告します。
ログ ファイル
通信と証明書のプロビジョニング ワークフローの問題を特定するには、サーバー インフラストラクチャとデバイスの両方からログ ファイルを確認します。 SCEP 証明書プロファイルのトラブルシューティングについては、このセクションで参照されているログ ファイルに関する以降のセクションを参照してください。
デバイス ログは、デバイス プラットフォームによって異なります。
オンプレミス インフラストラクチャのログ
証明書の展開に SCEP 証明書プロファイルの使用をサポートするオンプレミス インフラストラクチャには、Microsoft Intune証明書コネクタ、Windows Server で実行される NDES、証明機関が含まれます。
これらのロールのログ ファイルには、Windows イベント ビューアー、証明書コンソール、Intune Certificate Connector、NDES、またはオンプレミス インフラストラクチャの一部であるその他のロールと操作に固有のさまざまなログ ファイルが含まれます。
次の一覧には、後続の SCEP トラブルシューティングに関する記事で参照されているログまたはコンソールが含まれています。
NDESConnector_date_time.svclog:
このログには、Microsoft Intune Certificate Connector から Intune クラウド サービスへの通信が表示されます。 サービス トレース ビューアー ツールを使用して、このログ ファイルを表示できます。
関連するレジストリ キー: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
場所: %program_files%\Microsoft Intune\ndesconnectorsvc\logs\logs で NDES をホストするサーバー上
CertificateRegistrationPoint_date_time.svclog:
このログには、証明書要求の受信と検証を行う NDES ポリシー モジュールが表示されます。 サービス トレース ビューアー ツールを使用して、このログ ファイルを表示できます。
場所: %program_files%\Microsoft Intune\ndesconnectorsvc\logs\logs で NDES をホストするサーバー上
NDESPlugin.log:
このログには、証明書登録ポイントへの証明書要求の渡しと、それらの要求の結果の検証が表示されます。
場所: %program_files%\Microsoft Intune\NDESPolicyModule\logs で NDES をホストするサーバー上
IIS ログ:
IIS ログには、NDES に入るモバイル デバイスからの証明書要求が表示されます。
場所: c:\inetpub\logs\LogFiles\W3SVC1 で NDES をホストするサーバー上
Windows アプリケーション ログ:
このログは、SCEP アプリケーション プールなどの IIS の問題を調査するときに役立ちます。
場所: NDES をホストするサーバー上: eventvwr.msc を実行して Windows イベント ビューアーを開きます
Android デバイスのログ
Android を実行するデバイスの場合は、Android ポータル サイト アプリのログ ファイルを使用OMADM.log。 ログを収集して確認する前に、 詳細ログ が有効になっていることを確認してから、問題を再現します。
デバイスから OMADM.logs を収集するには、「 USB ケーブルを使用してログをアップロードおよび電子メールで送信する」を参照してください。
サポートする ログをアップロードして電子メールで送信 することもできます。
iOS および iPadOS デバイスのログ
iOS/iPadOS を実行するデバイスの場合は、Mac コンピューターで実行されるデバッグ ログと Xcode を使用します。
iOS/iPadOS デバイスを Mac に接続し、[アプリケーションユーティリティ]> に移動してコンソール アプリを開きます。
[ アクション] で、[ 情報メッセージを含める ] と [ デバッグ メッセージを含める] を選択します。
![[情報メッセージを含める] オプションと [デバッグ メッセージを含める] オプションが選択されているスクリーンショット。](media/troubleshoot-scep-certificate-profiles/message-options.png)
問題を再現し、ログをテキスト ファイルに保存します。
- [すべて編集]>を選択して現在の画面のすべてのメッセージを選択し、[コピーの編集>] を選択してメッセージをクリップボードにコピーします。
- TextEdit アプリケーションを開き、コピーしたログを新しいテキスト ファイルに貼り付けて、ファイルを保存します。
iOS および iPadOS デバイスのポータル サイト ログには、SCEP 証明書プロファイルに関する情報は含まれません。
Windows デバイスのログ
Windows を実行するデバイスの場合は、Windows イベント ログを使用して、Intuneで管理するデバイスの登録またはデバイス管理の問題を診断します。
デバイスで、[イベント ビューアー>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider] を開きます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示