The case of the... Intune SCEP Profil hängt im Status "Pending"
In dieser Kategorie veröffentliche ich Blogeinträge, in denen ich ein Problem, die Lösung und den Weg dorthin erläutere.
Der Name ist Homage an “The Case of the Unexplained” von Mark Russinovich.
Der Fehler
Diese beiden Sätze in der Intune Dokumentation sind sehr wichtig wenn man ein SCEP Profil verteilen möchte.
Denn wenn man Sie nicht exakt befolgt, kommt es zu folgendem Phänomen.
Das SCEP Profil in Intune wird, auch nach langem Warten und erfolgreichem Synchronisieren des Clients, nicht auf das Gerät installiert.
Mein Pull Request wurde zwar nicht 1:1 übernommen, aber die Supportmatrix von Lu Chen in den offiziellen Troubleshooting Guide eingearbeitet.
Die Analyse
Windows 10 Client
Auf dem Windows 10 Gerät wurde im Eventlog die Event ID 306 nicht registriert.
Get-WinEvent -ProviderName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider" | ? Id -eq 306
Wenn dies nicht der Fall ist, ist davon auszugehen, dass die Policy das Gerät nicht erreicht hat.
Genauer geprüft werden kann dies in der Intune Logdatei MDMDiagHtmlReport.html.
Diese kann, zusammen mit anderen Loginformationen, über in den Windows 10 Einstellungen erstellt werden.
“Einstellungen” -> “Konten” -> “Auf Arbeits- oder Schulkonto zugreifen” auswählen und im rechten Bereich “Exportiert Ihre Verwaltungsprotokolldateien.” anklicken. Den nachfolgenden Dialog mit “Exportieren” bestätigen.
Die Datei MDMDiagReport.cab liegt anschließend im Ordner C:\Users\Public\Documents\MDMDiagnostics und aus dieser muss MDMDiagHtmlReport.html extrahiert werden. In der Log Datei reicht eine Suche nach dem Configuration Service Providernamen ClientCertificateInstall. Ist dieser nicht auffindbar wurde das SCEP Profil nicht verteilt.
IIS Server
Die zweite Anlaufstation kann noch der der Server, auf dem die NDES Rolle läuft, sein. Auf diesem müsste im nächsten Schritt geprüft werden, ob im IIS Log unter C:\inetpub\logs\LogFiles\W3SVC1 eingehende Verbindungen für den SCEP Dienst geloggt werden. Diese lassen sich daran erkennen, dass die URI /certsrv/mscep/mscep.dll angefragt wird.
Mit großer Sicherheit wird sich der entsprechende Client nicht hier melden. Es ist aber guter Punkt für weitere Analysen, wenn die erste Hürde genommen wurde, aber immer noch Probleme auftreten.
Die Ursache
Ursächlich für das Verhalten war, in diesem Fall, die fehlerhafte Verteilung des Trusted Certificate Profiles über Intune.
Das SCEP Profil wurde einer Gerätegruppe, das Trusted Certificate Profil jedoch einer Benutzergruppe zugewiesen. Im Ergebnis heißt diese Konstellation: Es passiert nichts.
Es reicht also nicht, dass der Benutzer der das Gerät nutzt der CA vertraut, sondern um das SCEP Profil zu verteilen muss auch das Gerät dieses Profil erhalten.
Supportmatrix
| Trusted certificate profiles assigned | to user | to device | both |
|---|---|---|---|
| SCEP Profile assigned to user | Ja | Nein | Ja |
| SCEP Profile assigned to device | Nein | Ja | Ja |
Die Lösung
Man muss nur der Benutzer- oder Gerätegruppe das entsprechende Trusted Certificate Profil zuweisen und bei der nächsten Synchronisierung des Client wird nun auch das SCEP Zertifikat korrekt angewendet.
MDMDiagHtmlReport.html
Eventlog
