Přidání nastavení Wi-Fi pro zařízení Windows 10/11 v Intune
Poznámka
Intune může podporovat více nastavení než nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.
Můžete vytvořit profil s konkrétním nastavením Wi-Fi. Potom tento profil nasaďte do klientských zařízení s Windows. Microsoft Intune nabízí mnoho funkcí, včetně ověřování v síti, použití předsdílený klíč a dalších.
Tento článek popisuje některá z těchto nastavení.
Než začnete
- Vytvořte konfigurační profil zařízení Windows 10/11 Wi-Fi.
- Tato nastavení používají Poskytovatele CSP Wi-Fi.
Základní profil
Základní nebo osobní profily používají WPA/WPA2 k zabezpečení Wi-Fi připojení na zařízeních. Wpa/WPA2 se obvykle používá v domácích nebo osobních sítích. Můžete také přidat předsdílený klíč pro ověření připojení.
Typ Wi-Fi: Vyberte Základní.
Název Wi-Fi (SSID): Zkratka pro identifikátor sady služeb. Tato hodnota je skutečný název bezdrátové sítě, ke které se zařízení připojují. Název připojení, který nakonfigurujete, se ale uživatelům zobrazí jenom při výběru připojení.
Název připojení: Zadejte popisný název tohoto Wi-Fi připojení. Text, který zadáte, je jméno, které se uživatelům zobrazí při procházení dostupných připojení na svém zařízení. Zadejte
ContosoWiFi
například .Připojovat se automaticky, když je v rozsahu: Pokud ano, zařízení se připojí automaticky, když jsou v dosahu této sítě. Pokud ne, zařízení se automaticky nepřipojují.
Připojte se k preferované síti, pokud je k dispozici: Pokud jsou zařízení v dosahu upřednostňovanější sítě, vyberte Ano a použijte upřednostňovanou síť. Pokud chcete použít Wi-Fi síť v tomto konfiguračním profilu, vyberte Ne .
Například vytvoříte síť ContosoCorp Wi-Fi a v tomto konfiguračním profilu použijete ContosoCorp . Máte také síť ContosoGuest Wi-Fi v dosahu. Když jsou vaše podniková zařízení v dosahu, chcete, aby se automaticky připojovala ke službě ContosoCorp. V tomto scénáři nastavte vlastnost Připojit k preferované síti, pokud je k dispozici , na hodnotu Ne.
Připojte se k této síti, i když nevysílá svůj identifikátor SSID: Pokud chcete automaticky připojit k síti, i když je síť skrytá, vyberte Ano . To znamená, že její identifikátor sady služeb (SSID) se nevysílá veřejně. Pokud nechcete, aby se tento konfigurační profil připojil ke skryté síti, vyberte Ne .
Limit připojení účtovaného podle objemu dat: Správce může zvolit způsob měření provozu sítě. Aplikace pak můžou na základě tohoto nastavení upravit chování síťového provozu. Možnosti:
- Bez omezení: Výchozí. Připojení se neměří podle objemu dat a provoz se nijak neomezuje.
- Opraveno: Tuto možnost použijte, pokud je v síti nakonfigurovaný pevný limit pro síťový provoz. Po dosažení tohoto limitu je zakázán přístup k síti.
- Proměnná: Tuto možnost použijte, pokud se síťový provoz účtuje za bajt (náklady na bajt).
Typ zabezpečení bezdrátové sítě: Zadejte protokol zabezpečení, který se používá k ověřování zařízení v síti. Máte k dispozici:
Otevřít (bez ověřování): Tuto možnost použijte jenom v případě, že je síť nezabezpečená.
WPA/WPA2-Personal: Bezpečnější možnost, která se běžně používá pro Wi-Fi připojení. Pro větší zabezpečení můžete také zadat předsdílený klíč heslo nebo síťový klíč.
Předsdílený klíč (PSK): Volitelné. Zobrazí se, když jako typ zabezpečení zvolíte WPA/WPA2-Personal . Když je síť vaší organizace nastavená nebo nakonfigurovaná, nakonfiguruje se také heslo nebo síťový klíč. Jako hodnotu PSK zadejte toto heslo nebo síťový klíč. Zadejte řetězec ASCII o délce 8 až 63 znaků nebo použijte 64 šestnáctkových znaků.
Důležité
PsK je stejný pro všechna zařízení, na která profil cílíte. Pokud dojde k ohrožení zabezpečení klíče, může ho použít jakékoli zařízení pro připojení k Wi-Fi síti. Chraňte své sady PSK, abyste se vyhnuli neoprávněnému přístupu.
Nastavení proxy serveru společnosti: Tuto možnost vyberte, pokud chcete použít nastavení proxy serveru ve vaší organizaci. Možnosti:
Žádné: Není nakonfigurováno žádné nastavení proxy serveru.
Ruční konfigurace: Zadejte IP adresu proxy serveru a číslo jeho portu.
Automaticky konfigurovat: Zadejte adresu URL odkazující na skript automatické konfigurace proxy serveru (PAC). Zadejte
http://proxy.contoso.com/proxy.pac
například .Další informace o souborech PAC najdete v souboru PAC (Proxy Auto-Configuration) ( otevře web od jiných společností než Microsoft).
Profil organizace
Podnikové profily používají k ověřování Wi-Fi připojení protokol EAP (Extensible Authentication Protocol). Protokol EAP často používají podniky, protože certifikáty můžete použít k ověřování a zabezpečení připojení. A nakonfigurujte další možnosti zabezpečení.
Typ Wi-Fi: Vyberte Enterprise.
Název Wi-Fi (SSID): Zkratka pro identifikátor sady služeb. Tato hodnota je skutečný název bezdrátové sítě, ke které se zařízení připojují. Název připojení, který nakonfigurujete, se ale uživatelům zobrazí jenom při výběru připojení.
Název připojení: Zadejte popisný název tohoto Wi-Fi připojení. Text, který zadáte, je jméno, které se uživatelům zobrazí při procházení dostupných připojení na svém zařízení. Zadejte
ContosoWiFi
například .Připojovat se automaticky, když je v rozsahu: Pokud ano, zařízení se připojí automaticky, když jsou v dosahu této sítě. Pokud ne, zařízení se automaticky nepřipojují.
Připojte se k preferované síti, pokud je k dispozici: Pokud jsou zařízení v dosahu upřednostňovanější sítě, vyberte Ano a použijte upřednostňovanou síť. Pokud chcete použít Wi-Fi síť v tomto konfiguračním profilu, vyberte Ne .
Například vytvoříte síť ContosoCorp Wi-Fi a v tomto konfiguračním profilu použijete ContosoCorp . Máte také síť ContosoGuest Wi-Fi v dosahu. Když jsou vaše podniková zařízení v dosahu, chcete, aby se automaticky připojovala ke službě ContosoCorp. V tomto scénáři nastavte vlastnost Připojit k preferované síti, pokud je k dispozici , na hodnotu Ne.
Připojte se k této síti, i když nevysílá svůj identifikátor SSID: Pokud chcete, aby se konfigurační profil automaticky připojil k síti, vyberte Ano , i když je síť skrytá (to znamená, že její identifikátor SSID se nevysílá veřejně). Pokud nechcete, aby se tento konfigurační profil připojil ke skryté síti, vyberte Ne .
Limit připojení účtovaného podle objemu dat: Správce může zvolit způsob měření provozu sítě. Aplikace pak můžou na základě tohoto nastavení upravit chování síťového provozu. Možnosti:
- Bez omezení: Výchozí. Připojení se neměří podle objemu dat a provoz se nijak neomezuje.
- Opraveno: Tuto možnost použijte, pokud je v síti nakonfigurovaný pevný limit pro síťový provoz. Po dosažení tohoto limitu je zakázán přístup k síti.
- Proměnná: Tuto možnost použijte, pokud je síťový provoz nákladný na bajt.
Režim ověřování: Vyberte, jak se má profil Wi-Fi ověřovat u Wi-Fi serveru. Možnosti:
- Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení se používá ověřování uživatele nebo počítače .
- Uživatel: Uživatelský účet přihlášený k zařízení se ověřuje v síti Wi-Fi.
- Počítač: Přihlašovací údaje zařízení se ověřují v síti Wi-Fi.
- Uživatel nebo počítač: Když je uživatel přihlášený k zařízení, přihlašovací údaje uživatele se ověřují v Wi-Fi síti. Pokud nejsou přihlášení žádní uživatelé, ověřte přihlašovací údaje zařízení.
- Host: K síti Wi-Fi nejsou přidružené žádné přihlašovací údaje. Ověřování je buď otevřené, nebo se zpracovává externě, například prostřednictvím webové stránky.
Zapamatujte si přihlašovací údaje při každém přihlášení: Tuto možnost vyberte, pokud chcete přihlašovací údaje uživatele uložit do mezipaměti, nebo jestli je uživatelé musí zadat pokaždé při připojování k Wi-Fi. Možnosti:
- Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém tuto funkci povolit a přihlašovací údaje ukládat do mezipaměti.
- Povolit: Ukládá přihlašovací údaje uživatele do mezipaměti při prvním připojení uživatelů k Wi-Fi síti. Přihlašovací údaje uložené v mezipaměti se používají pro budoucí připojení a uživatelé je nemusí znovu zadávat.
- Zakázat: Přihlašovací údaje uživatele se nezapamatová a neukážou se do mezipaměti. Když se zařízení připojí k Wi-Fi, musí uživatelé pokaždé zadat svoje přihlašovací údaje.
Doba ověřování: Zadejte počet sekund, po které musí zařízení čekat po pokusu o ověření, od 1 do 3600. Pokud se zařízení v době, kdy zadáte, nepřipojí, ověřování se nezdaří. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se
18
sekundy.Doba zpoždění opakování ověřování: Zadejte počet sekund mezi neúspěšným pokusem o ověření a dalším pokusem o ověření od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použije se
1
sekunda.Počáteční období: Zadejte počet sekund čekání před odesláním EAPOL-Start zprávy od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se
5
sekundy.Maximální hodnota EAPOL-start: Zadejte počet EAPOL-Start zpráv od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, odešle se maximálně zpráv
3
.Maximální počet selhání ověřování: Zadejte maximální počet selhání ověřování pro tuto sadu přihlašovacích údajů k ověření, od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou
1
, použije se pokus.Jednotné přihlašování (SSO): Umožňuje nakonfigurovat jednotné přihlašování (SSO), kde se přihlašovací údaje sdílí pro přihlášení k počítači a Wi-Fi síti. Možnosti:
- Zakázat: Zakáže chování jednotného přihlašování. Uživatel se musí ověřit v síti samostatně.
- Povolit před přihlášením uživatele k zařízení: Použijte jednotné přihlašování k síti těsně před procesem přihlášení uživatele.
- Povolit po přihlášení uživatele k zařízení: Použijte jednotné přihlašování k ověření v síti okamžitě po dokončení procesu přihlášení uživatele.
- Maximální doba ověřování před vypršením časového limitu: Zadejte maximální počet sekund čekání před ověřením v síti, od 1 do 120 sekund.
- Povolit systému Windows, aby uživatele vyzve k zadání dalších přihlašovacích údajů pro ověřování: Ano umožňuje systému Windows vyzvat uživatele k zadání dalších přihlašovacích údajů, pokud to metoda ověřování vyžaduje. Pokud chcete tyto výzvy skrýt, vyberte Ne .
Povolit ukládání do mezipaměti párového hlavního klíče (PMK): Vyberte Ano , pokud chcete uložit pmk použitý při ověřování do mezipaměti. Toto ukládání do mezipaměti obvykle umožňuje rychlejší dokončení ověřování v síti. Pokud chcete při každém připojování k síti Wi-Fi vynutit ověřování metodou handshake, vyberte Ne .
- Maximální doba uložení klíče PMK v mezipaměti: Zadejte počet minut, po které je v mezipaměti uložen párový hlavní klíč PMK (5 až 1440 minut).
- Maximální počet souborů PMK uložených v mezipaměti: Zadejte počet klíčů uložených v mezipaměti od 1 do 255.
- Povolit předběžné ověřování: Předběžné ověření umožňuje profilu ověřit se ve všech přístupových bodech sítě v profilu před připojením. Když se zařízení přesunují mezi přístupovými body, předběžné ověření uživatele nebo zařízení znovu rychleji připojí. Vyberte Ano , pokud chcete profil ověřit u všech přístupových bodů pro tuto síť, které jsou v dosahu. Pokud chcete, aby se uživatel nebo zařízení ověřili u každého přístupového bodu samostatně, vyberte Ne .
- Maximální počet pokusů o předběžné ověření: Zadejte počet pokusů o předběžné ověření od 1 do 16.
Typ protokolu EAP: Pokud chcete ověřit zabezpečená bezdrátová připojení, vyberte typ protokolu EAP (Extensible Authentication Protocol). Možnosti:
EAP-SIM
EAP-TLS: Zadejte také:
Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.
Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
- Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.
- Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.
- Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
EAP-TTLS: Zadejte také:
Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.
Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení. Zadejte také:
Metoda bez protokolu EAP (vnitřní identita): Zvolte způsob ověřování připojení. Nezapomeňte zvolit stejný protokol, který používá vaše Wi-Fi síť.
Vaše možnosti: Nešifrované heslo (PAP),PROTOKOL CHAP (Challenge Handshake),Microsoft CHAP (MS-CHAP) a Microsoft CHAP verze 2 (MS-CHAP v2)
Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Protected EAP (PEAP): Zadejte také:
Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.
Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
Provést ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 ověří zařízení certifikát a ověří server. Pokud chcete toto ověření zablokovat nebo zabránit, vyberte Ne . Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.
Pokud vyberete Ano, nakonfigurujte také:
- Zakázat uživatelské výzvy k ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 se nezobrazují výzvy uživatelů s žádostí o autorizaci nových serverů PEAP pro důvěryhodné certifikační autority. Výběrem možnosti Ne zobrazte výzvy. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.
Vyžadovat kryptografickou vazbu: Ano zabraňuje připojení k serverům PEAP, které během vyjednávání protokolu PEAP nepoužívají kryptografickou vazbu. Ne nevyžaduje kryptografické vazby. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.
Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení. Zadejte také:
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.
Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Nastavení proxy serveru společnosti: Tuto možnost vyberte, pokud chcete použít nastavení proxy serveru ve vaší organizaci. Možnosti:
Žádné: Není nakonfigurováno žádné nastavení proxy serveru.
Ruční konfigurace: Zadejte IP adresu proxy serveru a číslo jeho portu.
Automaticky konfigurovat: Zadejte adresu URL odkazující na skript PAC (Automatická konfigurace proxy serveru). Zadejte
http://proxy.contoso.com/proxy.pac
například .Další informace o souborech PAC najdete v souboru PAC (Proxy Auto-Configuration) ( otevře web od jiných společností než Microsoft).
Vynutit, aby byl profil Wi-Fi kompatibilní se standardem FIPS (Federal Information Processing Standard): Při ověřování proti standardu FIPS 140-2 vyberte Ano . Tento standard je vyžadován pro všechny federální vládní agentury USA, které používají kryptografické bezpečnostní systémy k ochraně citlivých, ale neklasifikovaných informací uložených digitálně. Vyberte Ne , pokud nechcete být kompatibilní se standardem FIPS.
Použití importovaného souboru nastavení
Pro všechna nastavení, která nejsou dostupná v Intune, můžete exportovat nastavení Wi-Fi z jiného zařízení s Windows. Tento export vytvoří soubor XML se všemi nastaveními. Potom tento soubor naimportujte do Intune a použijte ho jako profil Wi-Fi. Informace o importu souboru XML najdete v tématu Export a import nastavení Wi-Fi pro zařízení s Windows.
Související články
- Přiřaďte profil a sledujte jeho stav.
- Další informace o Wi-Fi profilech v Intune najdete v tématu Přehled nastavení Wi-Fi.
- Získejte informace o protokolu EAP (Extensible Authentication Protocol) pro přístup k síti.