Agregar Wi-Fi configuración para dispositivos Windows 10/11 en Intune
Nota:
Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.
Puede crear un perfil con una configuración wi-fi específica. A continuación, implemente este perfil en los dispositivos cliente de Windows. Microsoft Intune ofrece muchas características, incluida la autenticación en la red, el uso de una clave previamente compartida, etc.
En este artículo se describen algunas de estas opciones de configuración.
Antes de empezar
- Cree un perfil de configuración de dispositivo Wi-Fi Windows 10/11.
- Esta configuración usa el CSP de Wi-Fi.
Perfil básico
Los perfiles básicos o personales usan WPA/WPA2 para proteger la conexión Wi-Fi en los dispositivos. Normalmente, WPA/WPA2 se usa en redes domésticas o redes personales. También puede agregar una clave previamente compartida para autenticar la conexión.
Tipo de Wi-Fi: seleccione Básico.
Nombre de Wi-Fi (SSID): abreviatura del identificador del conjunto de servicios. Este valor es el nombre real de la red inalámbrica a la que se conectan los dispositivos. Sin embargo, los usuarios solo ven el nombre de conexión que configura cuando eligen la conexión.
Nombre de conexión: escriba un nombre descriptivo para esta conexión Wi-Fi. El texto que escriba es el nombre que los usuarios ven cuando examinan las conexiones disponibles en su dispositivo. Por ejemplo, escriba
ContosoWiFi
.Conectarse automáticamente cuando se encuentra en el intervalo: si es así, los dispositivos se conectan automáticamente cuando están en el intervalo de esta red. Cuando no, los dispositivos no se conectan automáticamente.
Conéctese a una red más preferida si está disponible: si los dispositivos están en el intervalo de una red más preferida, seleccione Sí para usar la red preferida. Seleccione No para usar la red Wi-Fi en este perfil de configuración.
Por ejemplo, crea una red Wi-Fi ContosoCorp y usa ContosoCorp dentro de este perfil de configuración. También tiene una red contosoguest Wi-Fi dentro del intervalo. Cuando los dispositivos corporativos están dentro del intervalo, quiere que se conecten automáticamente a ContosoCorp. En este escenario, establezca la propiedad Conectar a una red más preferida si está disponible en No.
Conéctese a esta red, incluso cuando no esté transmitiendo su SSID: seleccione Sí para conectarse automáticamente a la red, incluso cuando la red esté oculta. Es decir, su identificador de conjunto de servicios (SSID) no se difunde públicamente. Seleccione No si no desea que este perfil de configuración se conecte a la red oculta.
Límite de conexión medido: un administrador puede elegir cómo se mide el tráfico de la red. A continuación, las aplicaciones pueden ajustar su comportamiento de tráfico de red en función de esta configuración. Las opciones son:
- Sin restricciones: valor predeterminado. La conexión no se mide y no hay restricciones en el tráfico.
- Corregido: Use esta opción si la red está configurada con un límite fijo para el tráfico de red. Una vez alcanzado este límite, se prohíbe el acceso a la red.
- Variable: se usa esta opción si el tráfico de red se cobra por byte (costo por byte).
Tipo de seguridad inalámbrica: escriba el protocolo de seguridad usado para autenticar dispositivos en la red. Las opciones son:
Abrir (sin autenticación): use solo esta opción si la red no está segura.
WPA/WPA2-Personal: una opción más segura y se usa normalmente para Wi-Fi conectividad. Para más seguridad, también puede escribir una contraseña de clave previamente compartida o una clave de red.
Clave previamente compartida (PSK): opcional. Se muestra al elegir WPA/WPA2-Personal como tipo de seguridad. Cuando se ajusta o se configura la red de su organización, también se configura una contraseña o clave de red. Escriba esta contraseña o clave de red para el valor PSK. Escriba una cadena ASCII de entre 8 y 63 caracteres o use 64 caracteres hexadecimales.
Importante
El PSK es el mismo para todos los dispositivos a los que tiene como destino el perfil. Si la clave está en peligro, cualquier dispositivo puede usarla para conectarse a la red Wi-Fi. Mantenga sus PSK seguros para evitar el acceso no autorizado.
Configuración del proxy de empresa: seleccione esta opción para usar la configuración de proxy dentro de la organización. Las opciones son:
Ninguno: no se configura ninguna configuración de proxy.
Configurar manualmente: escriba la dirección IP del servidor proxy y su número de puerto.
Configurar automáticamente: escriba la dirección URL que apunta a un script de configuración automática de proxy (PAC). Por ejemplo, escriba
http://proxy.contoso.com/proxy.pac
.Para obtener más información sobre los archivos PAC, vaya al archivo de configuración automática de proxy (PAC) (abre un sitio que no es de Microsoft).
Perfil de empresa
Los perfiles empresariales usan el Protocolo de autenticación extensible (EAP) para autenticar las conexiones Wi-Fi. A menudo, las empresas usan EAP, ya que puede usar certificados para autenticar y proteger las conexiones. Además, configure más opciones de seguridad.
Tipo de Wi-Fi: seleccione Enterprise.
Nombre de Wi-Fi (SSID): abreviatura del identificador del conjunto de servicios. Este valor es el nombre real de la red inalámbrica a la que se conectan los dispositivos. Sin embargo, los usuarios solo ven el nombre de conexión que configura cuando eligen la conexión.
Nombre de conexión: escriba un nombre descriptivo para esta conexión Wi-Fi. El texto que escriba es el nombre que los usuarios ven cuando examinan las conexiones disponibles en su dispositivo. Por ejemplo, escriba
ContosoWiFi
.Conectarse automáticamente cuando se encuentra en el intervalo: si es así, los dispositivos se conectan automáticamente cuando están en el intervalo de esta red. Cuando no, los dispositivos no se conectan automáticamente.
Conéctese a una red más preferida si está disponible: si los dispositivos están en el intervalo de una red más preferida, seleccione Sí para usar la red preferida. Seleccione No para usar la red Wi-Fi en este perfil de configuración.
Por ejemplo, crea una red Wi-Fi ContosoCorp y usa ContosoCorp dentro de este perfil de configuración. También tiene una red contosoguest Wi-Fi dentro del intervalo. Cuando los dispositivos corporativos están dentro del intervalo, quiere que se conecten automáticamente a ContosoCorp. En este escenario, establezca la propiedad Conectar a una red más preferida si está disponible en No.
Conéctese a esta red, incluso cuando no esté transmitiendo su SSID: seleccione Sí para que el perfil de configuración se conecte automáticamente a la red, incluso cuando la red esté oculta (es decir, su SSID no se difunda públicamente). Seleccione No si no desea que este perfil de configuración se conecte a la red oculta.
Límite de conexión medido: un administrador puede elegir cómo se mide el tráfico de la red. A continuación, las aplicaciones pueden ajustar su comportamiento de tráfico de red en función de esta configuración. Las opciones son:
- Sin restricciones: valor predeterminado. La conexión no se mide y no hay restricciones en el tráfico.
- Corregido: Use esta opción si la red está configurada con un límite fijo para el tráfico de red. Una vez alcanzado este límite, se prohíbe el acceso a la red.
- Variable: use esta opción si el tráfico de red tiene un costo por byte.
Modo de autenticación: seleccione cómo se autentica el perfil de Wi-Fi con el servidor de Wi-Fi. Sus opciones son:
- Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, se usa la autenticación de usuario o máquina .
- Usuario: la cuenta de usuario que inició sesión en el dispositivo se autentica en la red Wi-Fi.
- Máquina: las credenciales del dispositivo se autentican en la red Wi-Fi.
- Usuario o equipo: cuando un usuario ha iniciado sesión en el dispositivo, las credenciales de usuario se autentican en la red Wi-Fi. Cuando no haya ningún usuario que haya iniciado sesión, las credenciales del dispositivo se autentican.
- Invitado: no hay credenciales asociadas a la red Wi-Fi. La autenticación está abierta o se controla externamente, por ejemplo, a través de una página web.
Recordar credenciales en cada inicio de sesión: seleccione para almacenar en caché las credenciales de usuario o si los usuarios deben especificarlas cada vez que se conecten a Wi-Fi. Sus opciones son:
- Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar esta característica y almacenar en caché las credenciales.
- Habilitar: almacena en caché las credenciales de usuario cuando se escriben la primera vez que los usuarios se conectan a la red Wi-Fi. Las credenciales almacenadas en caché se usan para conexiones futuras y los usuarios no necesitan volver a escribirlas.
- Deshabilitar: las credenciales de usuario no se recuerdan ni se almacenan en caché. Cuando los dispositivos se conectan a Wi-Fi, los usuarios deben escribir sus credenciales cada vez.
Período de autenticación: escriba el número de segundos que los dispositivos deben esperar después de intentar autenticarse, de 1 a 3600. Si el dispositivo no se conecta en el momento en que escribe, se produce un error en la autenticación. Si deja este valor vacío o en blanco,
18
se usan segundos.Período de retraso de reintento de autenticación: escriba el número de segundos entre un intento de autenticación con errores y el siguiente intento de autenticación, de 1 a 3600. Si deja este valor vacío o en blanco,
1
se usa segundo.Período de inicio: escriba el número de segundos que debe esperar antes de enviar un mensaje de EAPOL-Start, de 1 a 3600. Si deja este valor vacío o en blanco,
5
se usan segundos.Inicio máximo de EAPOL: escriba el número de mensajes EAPOL-Start, de 1 y 100. Si deja este valor vacío o en blanco, se envía un máximo de
3
mensajes.Máximo de errores de autenticación: escriba el número máximo de errores de autenticación para que este conjunto de credenciales se autentique, de 1 a 100. Si deja este valor vacío o en blanco,
1
se usa el intento.Inicio de sesión único (SSO): permite configurar el inicio de sesión único (SSO), donde las credenciales se comparten para el equipo y Wi-Fi inicio de sesión de red. Las opciones son:
- Deshabilitar: deshabilita el comportamiento del inicio de sesión único. El usuario debe autenticarse en la red por separado.
- Habilitar antes de que el usuario inicie sesión en el dispositivo: use sso para autenticarse en la red justo antes del proceso de inicio de sesión del usuario.
- Habilitar después de que el usuario inicie sesión en el dispositivo: use sso para autenticarse en la red inmediatamente después de que se complete el proceso de inicio de sesión del usuario.
- Tiempo máximo para autenticarse antes del tiempo de espera: escriba el número máximo de segundos que debe esperar antes de autenticarse en la red, de 1 a 120 segundos.
- Permitir que Windows solicite al usuario credenciales de autenticación adicionales: Sí permite que el sistema windows pida al usuario más credenciales, si el método de autenticación lo requiere. Seleccione No para ocultar estos mensajes.
Habilitar el almacenamiento en caché de clave maestra emparejada (PMK): seleccione Sí para almacenar en caché el PMK usado en la autenticación. Este almacenamiento en caché normalmente permite que la autenticación en la red se complete más rápido. Seleccione No para forzar el protocolo de enlace de autenticación al conectarse a la red Wi-Fi cada vez.
- Tiempo máximo que se almacena una PMK en la memoria caché: escriba el número de minutos que una clave maestra emparejada (PMK) se almacena en la memoria caché, de 5 a 1440 minutos.
- Número máximo de PMK almacenados en la memoria caché: escriba el número de claves almacenadas en la memoria caché, de 1 a 255.
- Habilitar autenticación previa: la autenticación previa permite que el perfil se autentique en todos los puntos de acceso de la red del perfil antes de conectarse. Cuando los dispositivos se mueven entre puntos de acceso, la autenticación previa vuelve a conectar el usuario o los dispositivos más rápidamente. Seleccione Sí para que el perfil se autentique en todos los puntos de acceso de esta red que están dentro del intervalo. Seleccione No para requerir que el usuario o dispositivo se autentique en cada punto de acceso por separado.
- Máximo de intentos de autenticación previa: escriba el número de intentos de autenticación previa, de 1 a 16.
Tipo eap: para autenticar conexiones inalámbricas protegidas, seleccione el tipo de protocolo de autenticación extensible (EAP). Las opciones son:
EAP-SIM
EAP-TLS: escriba también:
Nombres de servidor de certificados: escriba uno o varios nombres comunes usados en los certificados emitidos por la entidad de certificación (CA) de confianza. Si escribe esta información, puede omitir el cuadro de diálogo de confianza dinámica que se muestra en los dispositivos de usuario cuando se conectan a esta red Wi-Fi.
Certificados raíz para la validación del servidor: seleccione uno o varios perfiles de certificado raíz de confianza existentes. Cuando el cliente se conecta a la red, estos certificados se usan para establecer una cadena de confianza con el servidor. Si el servidor de autenticación usa un certificado público, no es necesario incluir un certificado raíz.
Método de autenticación: seleccione el método de autenticación usado por los clientes del dispositivo. Las opciones son:
- Certificado SCEP: seleccione el perfil de certificado de cliente SCEP que también se implementa en el dispositivo. Este certificado es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Certificado PKCS: seleccione el perfil de certificado de cliente PKCS y el certificado raíz de confianza que también se implementan en el dispositivo. El certificado de cliente es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Para obtener más información, vaya a Uso de credenciales derivadas en Microsoft Intune.
EAP-TTLS: Escriba también:
Nombres de servidor de certificados: escriba uno o varios nombres comunes usados en los certificados emitidos por la entidad de certificación (CA) de confianza. Si escribe esta información, puede omitir el cuadro de diálogo de confianza dinámica que se muestra en los dispositivos de usuario cuando se conectan a esta red Wi-Fi.
Certificados raíz para la validación del servidor: seleccione uno o varios perfiles de certificado raíz de confianza existentes. Cuando el cliente se conecta a la red, estos certificados se usan para establecer una cadena de confianza con el servidor. Si el servidor de autenticación usa un certificado público, no es necesario incluir un certificado raíz.
Método de autenticación: seleccione el método de autenticación usado por los clientes del dispositivo. Las opciones son:
Nombre de usuario y contraseña: solicite al usuario un nombre de usuario y una contraseña para autenticar la conexión. Escriba también:
Método que no es EAP (identidad interna): elija cómo autenticar la conexión. Asegúrese de elegir el mismo protocolo que usa la red Wi-Fi.
Opciones: contraseña sin cifrar (PAP), protocolo de enlace de desafío (CHAP),Microsoft CHAP (MS-CHAP) y Microsoft CHAP versión 2 (MS-CHAP v2)
Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Certificado SCEP: seleccione el perfil de certificado de cliente SCEP que también se implementa en el dispositivo. Este certificado es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Certificado PKCS: seleccione el perfil de certificado de cliente PKCS y el certificado raíz de confianza que también se implementan en el dispositivo. El certificado de cliente es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Para obtener más información, vaya a Uso de credenciales derivadas en Microsoft Intune.
EAP protegido (PEAP): escriba también:
Nombres de servidor de certificados: escriba uno o varios nombres comunes usados en los certificados emitidos por la entidad de certificación (CA) de confianza. Si escribe esta información, puede omitir el cuadro de diálogo de confianza dinámica que se muestra en los dispositivos de usuario cuando se conectan a esta red Wi-Fi.
Certificados raíz para la validación del servidor: seleccione uno o varios perfiles de certificado raíz de confianza existentes. Cuando el cliente se conecta a la red, estos certificados se usan para establecer una cadena de confianza con el servidor. Si el servidor de autenticación usa un certificado público, no es necesario incluir un certificado raíz.
Realizar validación del servidor: cuando se establece en Sí, en la fase de negociación 1 de PEAP, los dispositivos validan el certificado y comprueban el servidor. Seleccione No para bloquear o impedir esta validación. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración.
Si selecciona Sí, configure también:
- Deshabilitar las solicitudes de usuario para la validación del servidor: cuando se establece en Sí, en la fase de negociación de PEAP 1, no se muestran las solicitudes de usuario que solicitan autorizar nuevos servidores PEAP para entidades de certificación de confianza. Seleccione No para mostrar los mensajes. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración.
Requerir enlace criptográfico: Sí impide las conexiones a servidores PEAP que no usan cryptobinding durante la negociación de PEAP. No requiere criptobinding. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración.
Método de autenticación: seleccione el método de autenticación usado por los clientes del dispositivo. Las opciones son:
Nombre de usuario y contraseña: solicite al usuario un nombre de usuario y una contraseña para autenticar la conexión. Escriba también:
- Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Certificado SCEP: seleccione el perfil de certificado de cliente SCEP que también se implementa en el dispositivo. Este certificado es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Certificado PKCS: seleccione el perfil de certificado de cliente PKCS y el certificado raíz de confianza que también se implementan en el dispositivo. El certificado de cliente es la identidad presentada por el dispositivo al servidor para autenticar la conexión.
- Privacidad de identidad (identidad externa): escriba el texto enviado en respuesta a una solicitud de identidad eap. Este texto puede ser cualquier valor. Durante la autenticación, esta identidad anónima se envía inicialmente. A continuación, la identificación real se envía en un túnel seguro.
Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Para obtener más información, vaya a Uso de credenciales derivadas en Microsoft Intune.
Configuración del proxy de empresa: seleccione esta opción para usar la configuración de proxy dentro de la organización. Las opciones son:
Ninguno: no se configura ninguna configuración de proxy.
Configurar manualmente: escriba la dirección IP del servidor proxy y su número de puerto.
Configurar automáticamente: escriba la dirección URL que apunta a un script de configuración automática de proxy (PAC). Por ejemplo, escriba
http://proxy.contoso.com/proxy.pac
.Para obtener más información sobre los archivos PAC, vaya al archivo de configuración automática de proxy (PAC) (abre un sitio que no es de Microsoft).
Forzar Wi-Fi perfil para que sea compatible con la Standard federal de procesamiento de información (FIPS): seleccione Sí al validar con el estándar FIPS 140-2. Este estándar es necesario para todas las agencias gubernamentales federales de EE. UU. que usan sistemas de seguridad basados en criptografía para proteger la información confidencial pero sin clasificar almacenada digitalmente. Seleccione No para no ser compatible con FIPS.
Uso de un archivo de configuración importado
Para cualquier configuración que no esté disponible en Intune, puede exportar Wi-Fi configuración desde otro dispositivo Windows. Esta exportación crea un archivo XML con toda la configuración. A continuación, importe este archivo en para Intune y úselo como perfil de Wi-Fi. Para obtener información sobre cómo importar el archivo XML, vaya a Exportar e importar Wi-Fi configuración para dispositivos Windows.
Artículos relacionados
- Asigne el perfil y supervise su estado.
- Obtenga más información sobre los perfiles de Wi-Fi en Intune en Introducción a la configuración de Wi-Fi.
- Obtenga información sobre el Protocolo de autenticación extensible (EAP) para el acceso a la red.