Udostępnij za pośrednictwem

Dodawanie ustawień sieci przewodowej dla urządzeń z systemem Windows w usłudze Microsoft Intune

  • Artykuł

Możesz utworzyć profil z określonymi ustawieniami sieci przewodowej, a następnie wdrożyć ten profil na urządzeniach z systemem Windows. Możesz na przykład uwierzytelnić się w sieci, dodać certyfikat protokołu SCEP (Simple Certificate Enrollment Protocol) i nie tylko.

W tym artykule opisano ustawienia, które można skonfigurować.

Ta funkcja ma zastosowanie do:

  • System Windows 11
  • Windows 10

Przed rozpoczęciem

Sieć przewodowa

  • Tryb uwierzytelniania: wybierz sposób uwierzytelniania profilu w sieci. Jeśli używasz uwierzytelniania certyfikatu, upewnij się, że typ certyfikatu jest zgodny z typem uwierzytelniania.

    Dostępne opcje:

    • Nie skonfigurowano (ustawienie domyślne): usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może używać uwierzytelniania użytkownika lub komputera .
    • Użytkownik: konto użytkownika zalogowane na urządzeniu uwierzytelnia się w sieci.
    • Maszyna: poświadczenia urządzenia są uwierzytelniane w sieci.
    • Użytkownik lub maszyna: gdy użytkownik jest zalogowany na urządzeniu, poświadczenia użytkownika są uwierzytelniane w sieci. Gdy żaden użytkownik nie jest zalogowany, poświadczenia urządzenia są uwierzytelniane.
    • Gość: Żadne poświadczenia nie są skojarzone z siecią. Uwierzytelnianie jest otwarte lub obsługiwane zewnętrznie, na przykład za pośrednictwem strony internetowej.

  • Pamiętaj poświadczenia przy każdym logowaniu: wybierz opcję buforowania poświadczeń użytkownika lub jeśli użytkownicy muszą wprowadzać je za każdym razem podczas nawiązywania połączenia z siecią. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć tę funkcję i buforować poświadczenia.
    • Włącz: buforuje poświadczenia użytkownika po wprowadzeniu pierwszego połączenia użytkowników z siecią. Poświadczenia buforowane są używane w przypadku przyszłych połączeń, a użytkownicy nie muszą ich ponownie włączyć.
    • Wyłącz: poświadczenia użytkownika nie są zapamiętywane ani buforowane. Gdy użytkownicy łączą się z siecią, użytkownicy muszą wprowadzać swoje poświadczenia za każdym razem.

  • Okres uwierzytelniania: wprowadź liczbę sekund, przez które urządzenia muszą czekać po próbie uwierzytelnienia z zakresu od 1 do 3600. Jeśli urządzenie nie nawiąże połączenia podczas wprowadzania, uwierzytelnianie zakończy się niepowodzeniem. Jeśli pozostawisz tę wartość pustą lub pustą, 18 zostaną użyte sekundy.

  • Okres opóźnienia ponawiania próby uwierzytelniania: wprowadź liczbę sekund między nieudaną próbą uwierzytelnienia a następną próbą uwierzytelnienia z zakresu od 1 do 3600. Jeśli pozostawisz tę wartość pustą lub pustą, zostanie użyta 1 druga wartość.

  • Okres rozpoczęcia: wprowadź liczbę sekund oczekiwania przed wysłaniem komunikatu EAPOL-Start z zakresu od 1 do 3600. Jeśli pozostawisz tę wartość pustą lub pustą, 5 zostaną użyte sekundy.

  • Maksymalna liczba adresów EAPOL-start: wprowadź liczbę EAPOL-Start komunikatów z zakresu od 1 do 100. Jeśli pozostawisz tę wartość pustą lub pustą, zostanie wysłana maksymalna liczba komunikatów 3 .

  • Maksymalna liczba niepowodzeń uwierzytelniania: wprowadź maksymalną liczbę niepowodzeń uwierzytelniania dla tego zestawu poświadczeń do uwierzytelnienia z zakresu od 1 do 100. Jeśli pozostawisz tę wartość pustą lub pustą, zostanie użyta 1 próba.

  • 802.1x: Po ustawieniu opcji Wymuszaj usługa automatycznej konfiguracji sieci przewodowych (Wired AutoConfig) wymaga użycia 802.1X do uwierzytelniania portów. Po ustawieniu opcji Nie wymuszaj (wartość domyślna) usługa Wired AutoConfig nie wymaga użycia 802.1X do uwierzytelniania portów.

    Ostrzeżenie

    Po ustawieniu opcji Wymuszaj upewnij się, że ustawienia konfiguracji w zasadach są poprawne i są zgodne z ustawieniami sieci. Jeśli ustawienia zasad nie są zgodne z ustawieniami sieciowymi, dostęp do Internetu jest blokowany na urządzeniu. Urządzenie nie może nawiązać połączenia z Internetem w celu uzyskania zaktualizowanej wersji zasad. Aby ponownie uzyskać dostęp do Internetu, musisz ręcznie usunąć zasady z urządzenia.

  • Okres blokowania (minuty): po nieudanej próbie uwierzytelnienia system operacyjny automatycznie próbuje uwierzytelnić się ponownie. Wprowadź liczbę minut, aby zablokować te próby automatycznego uwierzytelniania z zakresu od 0 do 1440. Jeśli pozostawisz tę wartość pustą lub pustą, system operacyjny może automatycznie spróbować uwierzytelnić się ponownie.

  • Typ protokołu EAP: aby uwierzytelnić zabezpieczone połączenia przewodowe, wybierz typ EAP (Extensible Authentication Protocol). Dostępne opcje:

    • EAP-SIM

    • EAP-TLS: wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
      • Uwierzytelnianie - klientaMetoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Certyfikat SCEP: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia.

        • Certyfikat PKCS: wybierz istniejący profil certyfikatu klienta PKCS (Public Key Cryptography Standards) i istniejący zaufany certyfikat główny , które są również wdrożone na urządzeniu. Certyfikat klienta to tożsamość prezentowana przez urządzenie na serwerze w celu uwierzytelnienia połączenia.

        • Certyfikat importu PFX: wybierz istniejący zaimportowany profil certyfikatu PFX. Certyfikat klienta to tożsamość przedstawiona przez urządzenie w celu uwierzytelnienia połączenia.

          Aby uzyskać więcej informacji na temat zaimportowanych certyfikatów PFX, przejdź do tematu Konfigurowanie i używanie zaimportowanych certyfikatów PKCS w usłudze Intune.

        • Pochodne poświadczenia: wybierz istniejący profil certyfikatu, który pochodzi z karty inteligentnej użytkownika. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

    • EAP-TTLS: wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Jeśli wprowadzisz te informacje, możesz pominąć okno dialogowe dynamicznego zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.

      • Certyfikaty główne na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.

      • Uwierzytelnianie - klientaMetoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia sieciowego. Wprowadź również:

          • Metoda spoza protokołu EAP (tożsamość wewnętrzna): wybierz sposób uwierzytelniania połączenia sieciowego. Upewnij się, że wybrano ten sam protokół skonfigurowany w sieci.

            Dostępne opcje: Niezaszyfrowane hasło (PAP),Uzgadnianie wyzwania (CHAP),Microsoft CHAP (MS-CHAP) lub Microsoft CHAP w wersji 2 (MS-CHAP w wersji 2)

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat SCEP: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością przedstawioną przez urządzenie w celu uwierzytelnienia połączenia sieciowego.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat PKCS: wybierz istniejący profil certyfikatu klienta PKCS i istniejący zaufany certyfikat główny , które są również wdrożone na urządzeniu. Certyfikat klienta to tożsamość przedstawiona przez urządzenie w celu uwierzytelnienia połączenia sieciowego.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat importu PFX: wybierz istniejący zaimportowany profil certyfikatu PFX. Certyfikat klienta to tożsamość przedstawiona przez urządzenie w celu uwierzytelnienia połączenia sieciowego.

          Aby uzyskać więcej informacji na temat zaimportowanych certyfikatów PFX, przejdź do tematu Konfigurowanie i używanie zaimportowanych certyfikatów PKCS w usłudze Intune.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Pochodne poświadczenia: wybierz istniejący profil certyfikatu, który pochodzi z karty inteligentnej użytkownika. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

    • Chroniony protokół EAP (PEAP): wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Jeśli wprowadzisz te informacje, możesz pominąć okno dialogowe dynamicznego zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.

      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.

      • Walidacja serwera: po ustawieniu wartości Tak w fazie negocjacji PEAP 1 urządzenia weryfikują certyfikat i sprawdzają serwer. Wybierz pozycję Nie , aby zablokować lub zapobiec tej weryfikacji. Po ustawieniu opcji Nieskonfigurowane usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

        Jeśli wybierzesz pozycję Tak, skonfiguruj również:

        • Wyłącz monity użytkownika o weryfikację serwera: po ustawieniu pozycji Tak w fazie negocjacji PEAP 1 monity użytkownika z prośbą o autoryzację nowych serwerów PEAP dla zaufanych urzędów certyfikacji nie są wyświetlane. Wybierz pozycję Nie , aby wyświetlić monity. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Wymagaj powiązania kryptograficznego: Wartość Tak uniemożliwia nawiązywanie połączeń z serwerami PEAP, które nie używają powiązania kryptograficznego podczas negocjacji PEAP. Ustawienie Nie nie wymaga powiązania kryptografii. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Uwierzytelnianie - klientaMetoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia sieciowego. Wprowadź również:

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat SCEP: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat PKCS: wybierz istniejący profil certyfikatu klienta PKCS i istniejący zaufany certyfikat główny , które są również wdrożone na urządzeniu. Certyfikat klienta to tożsamość prezentowana przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Certyfikat importu PFX: wybierz istniejący zaimportowany profil certyfikatu PFX. Certyfikat klienta to tożsamość przedstawiona przez urządzenie w celu uwierzytelnienia połączenia sieciowego.

          Aby uzyskać więcej informacji na temat zaimportowanych certyfikatów PFX, przejdź do tematu Konfigurowanie i używanie zaimportowanych certyfikatów PKCS w usłudze Intune.

          • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

        • Pochodne poświadczenia: wybierz istniejący profil certyfikatu, który pochodzi z karty inteligentnej użytkownika. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

    • Tunel EAP (TEAP): wprowadź również:

      • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Jeśli wprowadzisz te informacje, możesz pominąć okno dialogowe dynamicznego zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.

      • Uwierzytelnianie - klientaPodstawowa metoda uwierzytelniania: wybierz podstawową metodę uwierzytelniania używaną przez klientów urządzeń do uwierzytelniania użytkowników. Ta metoda uwierzytelniania jest certyfikatem tożsamości, który urządzenie przedstawia serwerowi.

        Dostępne opcje:

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia sieciowego.

        • Certyfikat SCEP: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

        • Certyfikat PKCS: wybierz istniejący profil certyfikatu klienta PKCS i istniejący zaufany certyfikat główny , które są również wdrożone na urządzeniu. Certyfikat klienta to tożsamość prezentowana przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

        • Pochodne poświadczenia: wybierz istniejący profil certyfikatu, który pochodzi z karty inteligentnej użytkownika. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

      • Uwierzytelnianie - klientaMetoda uwierzytelniania pomocniczego: wybierz pomocniczą metodę uwierzytelniania używaną przez klientów urządzeń na potrzeby uwierzytelniania maszynowego. Ta metoda uwierzytelniania jest certyfikatem tożsamości, który urządzenie przedstawia serwerowi.

        Jeśli podstawowa metoda uwierzytelniania nie powiedzie się, używana jest pomocnicza metoda uwierzytelniania . Jeśli pomocnicza metoda uwierzytelniania nie jest dostępna, metoda uwierzytelniania pomocniczego nie jest używana, nawet jeśli podstawowa metoda uwierzytelniania nie powiedzie się. W tym scenariuszu uwierzytelnianie kończy się niepowodzeniem.

        Dostępne opcje:

        • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie nie jest używana dodatkowa metoda uwierzytelniania. Jeśli podstawowa metoda uwierzytelniania nie powiedzie się, uwierzytelnianie zakończy się niepowodzeniem.

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia sieciowego.

        • Certyfikat SCEP: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

        • Certyfikat PKCS: wybierz istniejący profil certyfikatu klienta PKCS i istniejący zaufany certyfikat główny , które są również wdrożone na urządzeniu. Certyfikat klienta to tożsamość prezentowana przez urządzenie na serwerze w celu uwierzytelnienia połączenia sieciowego.

        • Pochodne poświadczenia: wybierz istniejący profil certyfikatu, który pochodzi z karty inteligentnej użytkownika. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.