Użyj niestandardowego profilu urządzenia, aby utworzyć profil sieci Wi-Fi z kluczem wstępnie udostępnianym przy użyciu Intune

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Klucze wstępne są zazwyczaj używane do uwierzytelniania użytkowników w sieciach Wi-Fi lub bezprzewodowych sieciach LAN. Za pomocą Intune można utworzyć zasady konfiguracji urządzenia Wi-Fi przy użyciu klucza wstępnego.

Aby utworzyć profil, skorzystaj z funkcji Niestandardowe profile urządzenia w usłudze Intune.

Ta funkcja ma zastosowanie do:

• Administratora urządzenia z systemem Android
• Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
• System Windows
• Profil sieci Wi-Fi oparty na protokole EAP

Informacje o Wi-Fi i psk są dodawane do pliku XML. Następnie należy dodać plik XML do niestandardowych zasad konfiguracji urządzenia w Intune. Gdy zasady będą gotowe, należy przypisać zasady do urządzeń. Przy następnym zaewidencjonowyniu urządzenia zostaną zastosowane zasady i zostanie utworzony profil Wi-Fi na urządzeniu.

W tym artykule przedstawiono sposób tworzenia zasad w Intune i przedstawiono przykład xml zasad Wi-Fi opartych na protokole EAP.

Ważna

• Użycie klucza wstępnego z Windows 10/11 powoduje wyświetlenie błędu korygowania w Intune. W takim przypadku profil Wi-Fi jest prawidłowo przypisany do urządzenia, a profil działa zgodnie z oczekiwaniami.
• Jeśli eksportujesz profil sieci Wi-Fi, który zawiera klucz wstępny, upewnij się, że plik jest chroniony. Klucz jest w postaci zwykłego tekstu. Twoim obowiązkiem jest ochrona klucza.

Wymagania wstępne

• Aby utworzyć zasady, co najmniej zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta z wbudowaną rolą Policy and Profile Manager. Aby uzyskać więcej informacji na temat wbudowanych ról, przejdź do obszaru Kontrola dostępu oparta na rolach dla Microsoft Intune.

Przed rozpoczęciem

• Może być łatwiej skopiować składnię XML z komputera, który łączy się z tą siecią, zgodnie z opisem w artykule Tworzenie pliku XML na podstawie istniejącego połączenia Wi-Fi (w tym artykule).
• Można dodać wiele sieci i kluczy, dodając więcej ustawień OMA-URI.
• W przypadku urządzeń z systemem iOS/iPadOS należy skonfigurować profil przy użyciu programu Apple Configurator na komputerze Mac.
• Klucz wstępny wymaga ciągu 64 cyfr szesnastkowych lub hasła o długości od 8 do 63 możliwych do wydrukowania znaków ASCII. Niektóre znaki, takie jak gwiazdka (*), nie są obsługiwane.

Tworzenie profilu niestandardowego

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę.
   • Typ profilu: wybierz pozycję Niestandardowe. Możesz też wybrać pozycję Szablony>Niestandardowy.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to Android-Custom Wi-Fi profil.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj. Wprowadź nowe ustawienie OMA-URI z następującymi właściwościami:

   1. Nazwa: wprowadź nazwę ustawienia OMA-URI.

   2. Opis: wprowadź opis ustawienia OMA-URI. To ustawienie jest opcjonalne, ale zalecane.

   3. OMA-URI: wprowadź jedną z następujących opcji:

      • System Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • System Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Uwaga

      • Pamiętaj, aby uwzględnić znak kropki na początku wartości OMA-URI.
      • Jeśli identyfikator SSID zawiera spację, dodaj spację poprzedzoną ukośnikiem wstecznym %20.

      Identyfikator SSID (Service Set Identifier) to nazwa sieci Wi-Fi, dla której tworzysz zasady. Na przykład jeśli sieć Wi-Fi ma nazwę Hotspot-1, wprowadź ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Jeśli sieć Wi-Fi ma nazwę Contoso WiFi, wprowadź ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings(ze %20spacją poprzedzoną ukośnikiem wstecznym).

   4. Typ danych: wybierz Ciąg.

   5. Wartość: wklej kod XML. Zobacz przykłady w tym artykule. Zaktualizuj każdą wartość w celu dopasowania do ustawień sieci. Wskazówki można znaleźć w sekcji komentarzy w kodzie.

   6. Wybierz opcję Dodaj, aby zapisać zmiany.

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz grupę użytkowników lub użytkowników, którzy otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Uwaga

    Te zasady można przypisać tylko do grup użytkowników.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Po następnym zalogowaniu się urządzenia, zasady zostaną zastosowane, a na urządzeniu zostanie utworzony profil sieci Wi-Fi. Urządzenie może następnie łączyć się z siecią automatycznie.

Przykład profilu sieci Wi-Fi systemu Android lub Windows

Poniższy przykład zawiera kod XML dla profilu sieci Wi-Fi systemu Android lub Windows. W przykładzie przedstawiono odpowiedni format i więcej szczegółowych informacji. Jest to tylko przykład, który nie stanowi zalecanej konfiguracji w Twoim środowisku.

Co musisz wiedzieć

• <protected>false</protected> należy ustawić na wartość False. Gdy wartość true, może to spowodować, że urządzenie będzie oczekiwać zaszyfrowanego hasła, a następnie spróbować je odszyfrować; może to spowodować niepowodzenie połączenia.

• <hex>53534944</hex> powinno być ustawione jako wartość szesnastkowa <name><SSID of wifi profile></name>. Windows 10/11 urządzenia mogą zwracać fałszywy x87D1FDE8 Remediation failed błąd, ale urządzenie nadal zawiera profil.

• Plik XML zawiera znaki specjalne, takie jak & („&”). Użycie znaków specjalnych może uniemożliwić działanie kodu XML zgodnie z oczekiwaniami.

Przykład

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Przykład profilu sieci Wi-Fi z użyciem protokołu EAP

Poniższy przykład zawiera kod XML dla profilu Wi-Fi opartego na protokole EAP. W przykładzie przedstawiono prawidłowy format i podano więcej szczegółów. Jest to tylko przykład, który nie stanowi zalecanej konfiguracji w Twoim środowisku.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Tworzenie pliku XML z istniejącego połączenia sieci Wi-Fi

Można również utworzyć plik XML z istniejącego połączenia sieci Wi-Fi. Na komputerze z systemem Windows wykonaj następujące czynności:

1. Utwórz folder lokalny dla wyeksportowanych profilów Wi-Fi, takich jak c:\WiFi.

2. Otwórz wiersz polecenia jako administrator (kliknij prawym przyciskiem myszy polecenie cmd>Uruchom jako administrator).

3. Uruchom netsh wlan show profiles. Zostanie wyświetlona lista wszystkich profilów.

4. Uruchom netsh wlan export profile name="YourProfileName" folder=c:\Wifi. To polecenie tworzy plik o nazwie Wi-Fi-YourProfileName.xml w folderze c:\WiFi.

   • Jeśli eksportujesz profil Wi-Fi zawierający wstępnie udostępniany klucz, dodaj key=clear go do polecenia . Parametr key=clear eksportuje klucz w postaci zwykłego tekstu, który jest wymagany do pomyślnego użycia profilu:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Jeśli wyeksportowany element profilu <name></name> Wi-Fi zawiera spację, może zwrócić ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) błąd po przypisaniu. Gdy ten problem wystąpi, profil zostanie wyświetlony na liście \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces jako znana sieć. Nie jest jednak pomyślnie wyświetlany jako zasady zarządzane w identyfikatorze URI „Obszary zarządzane przez...”.

     Aby rozwiązać ten problem, usuń spację.

Po utworzeniu pliku XML skopiuj i wklej składnię XML do ustawień > OMA-URI Typ danych. Lista czynności znajduje się w sekcji Tworzenie profilu niestandardowego.

Porada

Folder \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} zawiera również wszystkie profile w formacie XML.

Najważniejsze wskazówki

• Przed utworzeniem profilu sieci Wi-Fi z użyciem klucza wstępnego należy sprawdzić, czy urządzenie może połączyć się bezpośrednio z punktem końcowym.

• W przypadku rotacji kluczy (haseł lub kodów dostępu) należy spodziewać się przestoju i odpowiednio zaplanować wdrożenia. Należy:

  • Upewnij się, że urządzenia mają alternatywne połączenie z Internetem.

    Użytkownik końcowy może na przykład przełączyć się do gościnnej sieci Wi-Fi (lub innej sieci Wi-Fi) albo skorzystać z łączności telefonii komórkowej na potrzeby komunikowania się z usługą Intune. Dodatkowe połączenie umożliwia użytkownikowi otrzymywanie aktualizacji zasad po zaktualizowaniu profilu Wi-Fi firmowego na urządzeniu.

  • Wypychanie nowych profilów Wi-Fi w godzinach pracy.

  • Ostrzegaj użytkowników, że może to mieć wpływ na łączność.

Zasoby

Pamiętaj, aby przypisać profil i monitorować jego stan.