Sdílet prostřednictvím

Přidání nastavení kabelové sítě pro zařízení s macOS v Microsoft Intune

  • Článek

Poznámka

Intune může podporovat více nastavení než nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Můžete vytvořit profil se specifickými nastaveními kabelové sítě a pak ho nasadit do zařízení s macOS. Microsoft Intune nabízí mnoho funkcí, včetně ověřování v síti, přidání certifikátu SCEP (Simple Certificate Enrollment Protocol) a dalších.

Tato funkce platí pro:

  • macOS

Tento článek popisuje nastavení, která můžete nakonfigurovat.

Než začnete

Drátová síť

  • Síťové rozhraní: Na zařízení, na které se profil vztahuje, vyberte síťová rozhraní na základě priority pořadí služeb. Možnosti:

    • První aktivní Ethernet (výchozí)
    • Druhý aktivní Ethernet
    • Třetí aktivní Ethernet
    • First Ethernet
    • Druhý Ethernet
    • Třetí Ethernet
    • Libovolný ethernet

    Možnosti s "aktivní" v názvu používají rozhraní, která aktivně pracují na zařízení. Pokud neexistují žádná aktivní rozhraní, nakonfiguruje se další rozhraní v prioritě servisního pořadí. Ve výchozím nastavení je vybraná možnost První aktivní ethernet , což je také výchozí nastavení nakonfigurované systémem macOS.

  • Kanál nasazení: Vyberte, jak chcete profil nasadit. Toto nastavení také určuje řetězce klíčů, ve kterém jsou uložené ověřovací certifikáty, takže je důležité vybrat správný kanál. Po nasazení profilu není možné upravit kanál nasazení. Chcete-li to provést, musíte vytvořit nový profil.

    Poznámka

    Doporučujeme znovu zkontrolovat nastavení kanálu nasazení v existujících profilech, když jsou propojené ověřovací certifikáty připraveny na prodloužení platnosti, aby se zajistilo, že je vybraný zamýšlený kanál. Pokud není, vytvořte nový profil se správným kanálem nasazení.

    Máte dvě možnosti:

    • Kanál uživatele: Vždy vyberte kanál nasazení uživatele v profilech s uživatelskými certifikáty. Tato možnost ukládá certifikáty do řetězce klíčů uživatele.
    • Kanál zařízení: Vždy vyberte kanál nasazení zařízení v profilech s certifikáty zařízení. Tato možnost ukládá certifikáty do systémového řetězce klíčů.

  • Typ protokolu EAP: Pokud chcete ověřit zabezpečená kabelová připojení, vyberte typ protokolu EAP (Extensible Authentication Protocol). Možnosti:

    • EAP-FAST: Zadejte nastavení PAC (Protected Access Credential). Tato možnost používá přihlašovací údaje chráněného přístupu k vytvoření ověřeného tunelu mezi klientem a ověřovacím serverem. Možnosti:

      • Nepoužívat (PAC)
      • Použijte (PAC): Pokud existuje existující soubor PAC, použijte ho.
      • Použití a zřízení PAC: Vytvořte soubor PAC a přidejte ho do svých zařízení.
      • Používejte a zřizovat PAC anonymně: Vytvořte a přidejte soubor PAC do svých zařízení bez ověřování na serveru.

    • EAP-TLS: Zadejte také:

      • Vztah důvěryhodnosti serveru - Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této síti.
      • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
      • Ověřování - klientůCertifikáty: Vyberte existující profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení. Certifikáty PKCS (Public Key Cryptography Standards) se nepodporují.
      • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.

    • EAP-TTLS: Zadejte také:

      • Vztah důvěryhodnosti serveru - Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této síti.
      • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
      • Ověřování klienta: Vyberte metodu ověřování. Možnosti:
        • Uživatelské jméno a heslo: Výzvy uživateli uživatelské jméno a heslo pro ověření připojení. Zadejte také:
          • Metoda bez protokolu EAP (vnitřní identita): Vyberte způsob ověřování připojení. Ujistěte se, že jste zvolili stejný protokol, který je nakonfigurovaný ve vaší síti. Možnosti:
            • Nešifrované heslo (PAP)
            • Protokol CHAP (Challenge Handshake Authentication Protocol)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP verze 2 (MS-CHAP v2)
        • Certifikáty: Vyberte existující profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení. Certifikáty PKCS se nepodporují. Zvolte certifikát, který odpovídá výběru kanálu nasazení. Pokud jste vybrali kanál uživatele, jsou možnosti certifikátu omezené na profily certifikátů uživatelů. Pokud jste vybrali kanál zařízení, můžete si vybrat z profilů certifikátů uživatelů i zařízení. Doporučujeme ale vždy vybrat typ certifikátu, který odpovídá vybranému kanálu. Ukládání uživatelských certifikátů do řetězce klíčů systému zvyšuje bezpečnostní rizika.
        • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.

    • SKOK

    • PEAP: Zadejte také:

      • Vztah důvěryhodnosti serveru - Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této síti.
      • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
      • Ověřování klienta: Vyberte metodu ověřování. Možnosti:
        • Uživatelské jméno a heslo: Výzvy uživateli uživatelské jméno a heslo pro ověření připojení.
        • Certifikáty: Vyberte existující profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení. Certifikáty PKCS se nepodporují.
        • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.