Condividi tramite


Aggiungere impostazioni di rete cablate per i dispositivi macOS in Microsoft Intune

Nota

Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

È possibile creare un profilo con impostazioni di rete cablate specifiche e quindi distribuire questo profilo nei dispositivi macOS. Microsoft Intune offre molte funzionalità, tra cui l'autenticazione alla rete, l'aggiunta di un certificato SCEP (Simple Certificate Enrollment Protocol) e altro ancora.

Questa funzionalità si applica a:

  • macOS

Questo articolo descrive le impostazioni che è possibile configurare.

Prima di iniziare

Rete cablata

  • Interfaccia di rete: selezionare le interfacce di rete nel dispositivo a cui si applica il profilo, in base alla priorità dell'ordine di servizio. Le opzioni disponibili sono:

    • Prima ethernet attiva (impostazione predefinita)
    • Seconda ethernet attiva
    • Terza ethernet attiva
    • Prima Ethernet
    • Seconda Ethernet
    • Terza Ethernet
    • Qualsiasi ethernet

    Le opzioni con "attivo" nel titolo usano interfacce che lavorano attivamente sul dispositivo. Se non sono presenti interfacce attive, viene configurata l'interfaccia successiva nella priorità dell'ordine di servizio. Per impostazione predefinita, è selezionata l'opzione First active Ethernet , che è anche l'impostazione predefinita configurata da macOS.

  • Canale di distribuzione: selezionare la modalità di distribuzione del profilo. Questa impostazione determina anche il keychain in cui sono archiviati i certificati di autenticazione, quindi è importante selezionare il canale appropriato. Non è possibile modificare il canale di distribuzione dopo aver distribuito il profilo. A tale scopo, è necessario creare un nuovo profilo.

    Nota

    È consigliabile ricontrollare l'impostazione del canale di distribuzione nei profili esistenti quando i certificati di autenticazione collegati sono pronti per il rinnovo per assicurarsi che sia selezionato il canale previsto. In caso contrario, creare un nuovo profilo con il canale di distribuzione corretto.

    Sono disponibili due opzioni:

    • Canale utente: selezionare sempre il canale di distribuzione utente nei profili con certificati utente. Questa opzione archivia i certificati nel keychain utente.
    • Canale del dispositivo: selezionare sempre il canale di distribuzione del dispositivo nei profili con certificati del dispositivo. Questa opzione archivia i certificati nel keychain di sistema.
  • Tipo EAP: per autenticare le connessioni cablate protette, selezionare il tipo EAP (Extensible Authentication Protocol). Le opzioni disponibili sono:

    • EAP-FAST: immettere le impostazioni pac (Protected Access Credential). Questa opzione usa le credenziali di accesso protetto per creare un tunnel autenticato tra il client e il server di autenticazione. Le opzioni disponibili sono:

      • Non usare (PAC)
      • Usa (PAC): se esiste un file PAC esistente, usarlo.
      • Usare ed effettuare il provisioning di PAC: creare e aggiungere il file PAC ai dispositivi.
      • Usare e effettuare il provisioning di PAC in modo anonimo: creare e aggiungere il file PAC ai dispositivi senza eseguire l'autenticazione al server.
    • EAP-TLS: immettere anche:

      • Attendibilità - serverNomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Quando si immettono queste informazioni, è possibile ignorare la finestra di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.
      • Certificato radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.
      • Autenticazione - clientCertificati: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione. I certificati PKCS (Public Key Cryptography Standards) non sono supportati.
      • Privacy dell'identità (identità esterna): immettere il testo inviato nella risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata. Quindi, l'identificazione reale viene inviata in un tunnel sicuro.
    • EAP-TTLS: immettere anche:

      • Attendibilità - serverNomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Quando si immettono queste informazioni, è possibile ignorare la finestra di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.
      • Certificato radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.
      • Autenticazione client: selezionare un metodo di autenticazione. Le opzioni disponibili sono:
        • Nome utente e password: Richieste all'utente un nome utente e una password per autenticare la connessione. Immettere anche:
          • Metodo non EAP (identità interna): selezionare la modalità di autenticazione della connessione. Assicurarsi di scegliere lo stesso protocollo configurato nella rete. Le opzioni disponibili sono:
            • Password non crittografata (PAP)
            • Challenge Handshake Authentication Protocol (CHAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP versione 2 (MS-CHAP v2)
        • Certificati: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione. I certificati PKCS non sono supportati. Scegliere il certificato allineato alla selezione del canale di distribuzione. Se è stato selezionato il canale utente, le opzioni del certificato sono limitate ai profili certificato utente. Se è stato selezionato il canale del dispositivo, è possibile scegliere tra profili certificato utente e dispositivo. Tuttavia, è consigliabile selezionare sempre il tipo di certificato allineato al canale selezionato. L'archiviazione dei certificati utente nel keychain di sistema aumenta i rischi per la sicurezza.
        • Privacy dell'identità (identità esterna): immettere il testo inviato nella risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata. Quindi, l'identificazione reale viene inviata in un tunnel sicuro.
    • SALTARE

    • PEAP: immettere anche:

      • Attendibilità - serverNomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Quando si immettono queste informazioni, è possibile ignorare la finestra di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.
      • Certificato radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.
      • Autenticazione client: selezionare un metodo di autenticazione. Le opzioni disponibili sono:
        • Nome utente e password: Richieste all'utente un nome utente e una password per autenticare la connessione.
        • Certificati: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione. I certificati PKCS non sono supportati.
        • Privacy dell'identità (identità esterna): immettere il testo inviato nella risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata. Quindi, l'identificazione reale viene inviata in un tunnel sicuro.