Udostępnij za pośrednictwem

Dodawanie ustawień sieci przewodowej dla urządzeń z systemem macOS w Microsoft Intune

  • Artykuł

Uwaga

Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

Możesz utworzyć profil z określonymi ustawieniami sieci przewodowej, a następnie wdrożyć ten profil na urządzeniach z systemem macOS. Microsoft Intune oferuje wiele funkcji, w tym uwierzytelnianie w sieci, dodawanie certyfikatu protokołu SCEP (Simple Certificate Enrollment Protocol) i nie tylko.

Ta funkcja ma zastosowanie do:

  • macOS

W tym artykule opisano ustawienia, które można skonfigurować.

Przed rozpoczęciem

Sieć przewodowa

  • Interfejs sieciowy: wybierz interfejsy sieciowe na urządzeniu, do których ma zastosowanie profil, na podstawie priorytetu zamówienia usługi. Dostępne opcje:

    • Pierwsza aktywna sieć Ethernet (domyślna)
    • Druga aktywna sieć Ethernet
    • Trzecia aktywna sieć Ethernet
    • Pierwsza sieć Ethernet
    • Druga sieć Ethernet
    • Trzeci ethernet
    • Dowolna sieć Ethernet

    Opcje z "aktywnym" w tytule używają interfejsów, które aktywnie pracują na urządzeniu. Jeśli nie ma aktywnych interfejsów, zostanie skonfigurowany następny interfejs w priorytecie zamówienia usługi. Domyślnie wybierana jest pierwsza aktywna sieć Ethernet , która jest również ustawieniem domyślnym skonfigurowanym przez system macOS.

  • Kanał wdrażania: wybierz sposób wdrażania profilu. To ustawienie określa również pęku kluczy, w którym są przechowywane certyfikaty uwierzytelniania, dlatego ważne jest, aby wybrać odpowiedni kanał. Nie można edytować kanału wdrażania po wdrożeniu profilu. W tym celu należy utworzyć nowy profil.

    Uwaga

    Zalecamy ponowne sprawdzenie ustawienia kanału wdrażania w istniejących profilach, gdy połączone certyfikaty uwierzytelniania są gotowe do odnowienia, aby upewnić się, że wybrany jest zamierzony kanał. Jeśli tak nie jest, utwórz nowy profil z prawidłowym kanałem wdrażania.

    Dostępne są dwie opcje:

    • Kanał użytkownika: zawsze wybieraj kanał wdrażania użytkownika w profilach z certyfikatami użytkownika. Ta opcja przechowuje certyfikaty w pęku kluczy użytkownika.
    • Kanał urządzenia: zawsze wybieraj kanał wdrażania urządzenia w profilach z certyfikatami urządzeń. Ta opcja przechowuje certyfikaty w pęku kluczy systemu.

  • Typ protokołu EAP: aby uwierzytelnić zabezpieczone połączenia przewodowe, wybierz typ EAP (Extensible Authentication Protocol). Dostępne opcje:

    • EAP-FAST: wprowadź ustawienia poświadczeń dostępu chronionego (PAC). Ta opcja używa chronionych poświadczeń dostępu do utworzenia uwierzytelnionego tunelu między klientem a serwerem uwierzytelniania. Dostępne opcje:

      • Nie używaj (PAC)
      • Użyj (PAC): jeśli istnieje istniejący plik PAC, użyj go.
      • Użyj i aprowizuj pac: utwórz i dodaj plik PAC do urządzeń.
      • Użyj i aprowizuj pac anonimowo: utwórz i dodaj plik PAC do urządzeń bez uwierzytelniania na serwerze.

    • EAP-TLS: wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
      • Uwierzytelnianie - klientaCertyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty standardów kryptografii klucza publicznego (PKCS) nie są obsługiwane.
      • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

    • EAP-TTLS: wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
      • Uwierzytelnianie klienta: wybierz metodę uwierzytelniania. Dostępne opcje:
        • Nazwa użytkownika i hasło: Polecenia użytkownikowi nazwę użytkownika i hasło w celu uwierzytelnienia połączenia. Wprowadź również:
          • Metoda spoza protokołu EAP (tożsamość wewnętrzna): wybierz sposób uwierzytelniania połączenia. Upewnij się, że wybrano ten sam protokół skonfigurowany w sieci. Dostępne opcje:
            • Hasło nieszyfrowane (PAP)
            • Protokół uwierzytelniania uzgadniania wyzwań (CHAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP w wersji 2 (MS-CHAP v2)
        • Certyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty PKCS nie są obsługiwane. Wybierz certyfikat, który jest zgodny z wyborem kanału wdrażania. W przypadku wybrania kanału użytkownika opcje certyfikatu są ograniczone do profilów certyfikatów użytkownika. W przypadku wybrania kanału urządzenia do wyboru są zarówno profile certyfikatów użytkowników, jak i urządzeń. Zalecamy jednak zawsze wybieranie typu certyfikatu, który jest zgodny z wybranym kanałem. Przechowywanie certyfikatów użytkowników w pęku kluczy systemowych zwiększa ryzyko bezpieczeństwa.
        • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

    • SKOK

    • PEAP: Wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
      • Uwierzytelnianie klienta: wybierz metodę uwierzytelniania. Dostępne opcje:
        • Nazwa użytkownika i hasło: Polecenia użytkownikowi nazwę użytkownika i hasło w celu uwierzytelnienia połączenia.
        • Certyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty PKCS nie są obsługiwane.
        • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.