Freigeben über

Hinzufügen von Kabelnetzwerkeinstellungen für macOS-Geräte in Microsoft Intune

  • Artikel

Hinweis

Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.

Sie können ein Profil mit bestimmten kabelgebundenen Netzwerkeinstellungen erstellen und dieses Profil dann auf Ihren macOS-Geräten bereitstellen. Microsoft Intune bietet viele Features, darunter die Authentifizierung bei Ihrem Netzwerk, das Hinzufügen eines SCEP-Zertifikats (Simple Certificate Enrollment Protocol) und vieles mehr.

Diese Funktion gilt für:

  • macOS

In diesem Artikel werden die Einstellungen beschrieben, die Sie konfigurieren können.

Bevor Sie beginnen

Verkabeltes Netzwerk

  • Netzwerkschnittstelle: Wählen Sie die Netzwerkschnittstellen auf dem Gerät aus, auf das sich das Profil bezieht, basierend auf der Dienstauftragspriorität. Ihre Optionen:

    • Erstes aktives Ethernet (Standard)
    • Zweites aktives Ethernet
    • Drittes aktives Ethernet
    • First Ethernet
    • Zweites Ethernet
    • Drittes Ethernet
    • Beliebiges Ethernet

    Optionen mit "aktiv" im Titel verwenden Schnittstellen, die aktiv auf dem Gerät arbeiten. Wenn keine aktiven Schnittstellen vorhanden sind, wird die nächste Schnittstelle in der Dienstreihenfolgepriorität konfiguriert. Standardmäßig ist First active Ethernet (First active Ethernet ) ausgewählt. Dies ist auch die standardeinstellung, die von macOS konfiguriert wurde.

  • Bereitstellungskanal: Wählen Sie aus, wie Sie das Profil bereitstellen möchten. Diese Einstellung bestimmt auch den Keychain, in dem die Authentifizierungszertifikate gespeichert sind. Daher ist es wichtig, den richtigen Kanal auszuwählen. Es ist nicht möglich, den Bereitstellungskanal zu bearbeiten, nachdem Sie das Profil bereitgestellt haben. Dazu müssen Sie ein neues Profil erstellen.

    Hinweis

    Es wird empfohlen, die Bereitstellungskanaleinstellung in vorhandenen Profilen erneut zu überprüfen, wenn die verknüpften Authentifizierungszertifikate zur Verlängerung bereitstehen, um sicherzustellen, dass der beabsichtigte Kanal ausgewählt ist. Wenn dies nicht der Fall ist, erstellen Sie ein neues Profil mit dem richtigen Bereitstellungskanal.

    Sie haben zwei Möglichkeiten:

    • Benutzerkanal: Wählen Sie immer den Benutzerbereitstellungskanal in Profilen mit Benutzerzertifikaten aus. Mit dieser Option werden Zertifikate im benutzerseitig Keychain gespeichert.
    • Gerätekanal: Wählen Sie immer den Gerätebereitstellungskanal in Profilen mit Gerätezertifikaten aus. Diese Option speichert Zertifikate im System Keychain.

  • EAP-Typ: Wählen Sie zum Authentifizieren gesicherter kabelgebundener Verbindungen den EAP-Typ (Extensible Authentication Protocol) aus. Ihre Optionen:

    • EAP-FAST: Geben Sie die Pac-Einstellungen (Protected Access Credential) ein. Diese Option verwendet geschützte Zugriffsanmeldeinformationen, um einen authentifizierten Tunnel zwischen dem Client und dem Authentifizierungsserver zu erstellen. Ihre Optionen:

      • Nicht verwenden (PAC)
      • Use (PAC): Wenn eine vorhandene PAC-Datei vorhanden ist, verwenden Sie sie.
      • Verwenden und Bereitstellen von PAC: Erstellen Sie die PAC-Datei, und fügen Sie sie Ihren Geräten hinzu.
      • Verwenden und Anonymes Bereitstellen von PAC: Erstellen Sie die PAC-Datei, und fügen Sie sie Ihren Geräten hinzu, ohne sich beim Server zu authentifizieren.

    • EAP-TLS: Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das dynamische Vertrauensstellungsfenster umgehen, das auf Benutzergeräten angezeigt wird, wenn diese eine Verbindung mit diesem Netzwerk herstellen.
      • Stammzertifikat für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.
      • Clientauthentifizierung - Zertifikate: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Verbindung präsentiert. PKCS-Zertifikate (Public Key Cryptography Standards) werden nicht unterstützt.
      • Identitätsschutz (äußere Identität): Geben Sie den text ein, der in der Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität anfänglich gesendet. Anschließend wird die echte Identifikation in einem sicheren Tunnel gesendet.

    • EAP-TTLS: Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das dynamische Vertrauensstellungsfenster umgehen, das auf Benutzergeräten angezeigt wird, wenn diese eine Verbindung mit diesem Netzwerk herstellen.
      • Stammzertifikat für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.
      • Clientauthentifizierung: Wählen Sie eine Authentifizierungsmethode aus. Ihre Optionen:
        • Benutzername und Kennwort: Prompts den Benutzer für einen Benutzernamen und ein Kennwort, um die Verbindung zu authentifizieren. Geben Sie außerdem Folgendes ein:
          • Nicht-EAP-Methode (innere Identität):Wählen Sie aus, wie Sie die Verbindung authentifizieren möchten. Stellen Sie sicher, dass Sie dasselbe Protokoll auswählen, das in Ihrem Netzwerk konfiguriert ist. Ihre Optionen:
            • Unverschlüsseltes Kennwort (PAP)
            • Challenge Handshake Authentication Protocol (CHAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP Version 2 (MS-CHAP v2)
        • Zertifikate: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Verbindung präsentiert. PKCS-Zertifikate werden nicht unterstützt. Wählen Sie das Zertifikat aus, das ihrer Bereitstellungskanalauswahl entspricht. Wenn Sie den Benutzerkanal ausgewählt haben, sind Ihre Zertifikatoptionen auf Benutzerzertifikatprofile beschränkt. Wenn Sie den Gerätekanal ausgewählt haben, stehen Ihnen sowohl Benutzer- als auch Gerätezertifikatprofile zur Auswahl. Es wird jedoch empfohlen, immer den Zertifikattyp auszuwählen, der am ausgewählten Kanal ausgerichtet ist. Das Speichern von Benutzerzertifikaten im systeminternen Keychain erhöht die Sicherheitsrisiken.
        • Identitätsschutz (äußere Identität): Geben Sie den text ein, der in der Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität anfänglich gesendet. Anschließend wird die echte Identifikation in einem sicheren Tunnel gesendet.

    • SPRINGEN

    • PEAP: Geben Sie außerdem Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das dynamische Vertrauensstellungsfenster umgehen, das auf Benutzergeräten angezeigt wird, wenn diese eine Verbindung mit diesem Netzwerk herstellen.
      • Stammzertifikat für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.
      • Clientauthentifizierung: Wählen Sie eine Authentifizierungsmethode aus. Ihre Optionen:
        • Benutzername und Kennwort: Prompts den Benutzer für einen Benutzernamen und ein Kennwort, um die Verbindung zu authentifizieren.
        • Zertifikate: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Verbindung präsentiert. PKCS-Zertifikate werden nicht unterstützt.
        • Identitätsschutz (äußere Identität): Geben Sie den text ein, der in der Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität anfänglich gesendet. Anschließend wird die echte Identifikation in einem sicheren Tunnel gesendet.