Использование пользовательского профиля устройства для создания профиля Wi-Fi с предварительным ключом с помощью Intune
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Как правило, общие ключи используются для аутентификации пользователей в сетях Wi-Fi и беспроводных сетях. С помощью Intune вы можете создать политику конфигурации устройств Wi-Fi с помощью предварительного ключа.
Чтобы создать профиль, используйте функцию пользовательского профиля устройства в Intune.
Данная функция применяется к:
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Windows
- Wi-Fi на основе EAP
Сведения о Wi-Fi и PSK добавляются в XML-файл. Затем добавьте XML-файл в настраиваемую политику конфигурации устройств в Intune. Когда политика будет готова, вы назначите ее устройствам. При следующем входе устройства применяется политика и на устройстве создается Wi-Fi профиль.
В этой статье показано, как создать политику в Intune, а также приведен xml-пример политики Wi-Fi на основе EAP.
Важно!
- Использование общего ключа с Windows 10/11 приводит к отображению ошибки исправления в Intune. В этом случае Wi-Fi профиль должным образом назначается устройству, и профиль работает должным образом.
- При экспорте профиля Wi-Fi, который содержит общий ключ, убедитесь, что файл защищен. Ключ в виде обычного текста. Вы несете ответственность за защиту ключа.
Предварительные условия
- Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.
Подготовка к работе
- Возможно, проще скопировать синтаксис XML с компьютера, который подключается к этой сети, как описано в разделе Создание XML-файла из существующего подключения Wi-Fi (в этой статье).
- Чтобы добавить несколько сетей и ключи, можно добавить дополнительные параметры OMA-URI.
- Чтобы настроить профиль для устройств iOS/iPadOS, используйте Apple Configurator на компьютере Mac.
- PSK требуется строка из 64 шестнадцатеричных цифр или парольная фраза из 8–63 печатных символов ASCII. Некоторые символы, например звездочка (
*
), не поддерживаются.
Создание настраиваемого профиля
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа: выберите платформу.
- Тип профиля: выберите Пользовательский. Либо выберите элементы Шаблоны>Пользовательский.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Android-Custom Wi-Fi profile.
- Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации нажмите Добавить. Введите новый параметр OMA-URI со следующими свойствами:
Имя: введите имя параметра OMA-URI.
Описание: введите описание параметра OMA-URI. Этот параметр является необязательным, но мы рекомендуем его использовать.
OMA-URI: введите один из следующих параметров:
-
Для Android:
./Vendor/MSFT/WiFi/Profile/SSID/Settings
-
Для Windows:
./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
Примечание.
- Обязательно включите символ точки в начале значения OMA-URI.
- Если идентификатор SSID содержит пробел, добавьте escape-пробел
%20
.
SSID (идентификатор набора служб) — это имя Wi-Fi сети, для чего создается политика. Например, если Wi-Fi имеет имя
Hotspot-1
, введите./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings
. Если Wi-Fi имеет имяContoso WiFi
, введите./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings
(с escape-символом%20
).-
Для Android:
Тип данных: выберите Строка.
Значение: вставьте XML-код. См. примеры в этой статье. Обновите каждое значение в соответствии с параметрами сети. Некоторые сведения содержатся в разделе комментариев кода.
Нажмите кнопку Добавить, чтобы сохранить изменения.
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT Team
илиJohnGlenn_ITDepartment
. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.Нажмите кнопку Далее.
В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Примечание.
Эту политику можно назначить только для групп пользователей.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Политика применяется при каждой следующей регистрации устройства, и на нем создается профиль Wi-Fi. Устройство сможет автоматически подключиться к сети.
Пример профиля Wi-Fi для Android или Windows
В следующем примере приведен XML-код профиля Wi-Fi для Android или Windows. В примере показан правильный формат и предоставлены дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.
Что необходимо знать
Для
<protected>false</protected>
нужно задать значение false. Если значение равно true, это может привести к тому, что устройство ожидает зашифрованный пароль, а затем попытается расшифровать его. что может привести к сбою подключения.<hex>53534944</hex>
должно быть присвоено шестнадцатеричное значение<name><SSID of wifi profile></name>
. устройства Windows 10/11 могут возвращать ложнуюx87D1FDE8 Remediation failed
ошибку, но устройство по-прежнему содержит профиль.XML содержит специальные символы, такие как
&
(амперсанд). Использование специальных символов может предотвратить работу XML должным образом.
Пример
<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name><Name of wifi profile></name>
<SSIDConfig>
<SSID>
<hex>53534944</hex>
<name><SSID of wifi profile></name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication><Type of authentication></authentication>
<encryption><Type of encryption></encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>password</keyMaterial>
</sharedKey>
<keyIndex>0</keyIndex>
</security>
</MSM>
</WLANProfile>
Пример профиля Wi-Fi на основе EAP
В следующем примере приведен XML-код для профиля Wi-Fi на основе EAP. В примере показан правильный формат и приводятся дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>testcert</name>
<SSIDConfig>
<SSID>
<hex>7465737463657274</hex>
<name>testcert</name>
</SSID>
<nonBroadcast>true</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>user</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<AllPurposeEnabled>true</AllPurposeEnabled>
<CAHashList Enabled="true">
<IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Client Authentication</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true"/>
<AnyPurposeEKUList Enabled="false">
<EKUMapInList>
<EKUName>Client Authentication</EKUName>
</EKUMapInList>
</AnyPurposeEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>
Создание XML-файла из существующего подключения Wi-Fi
Можно также создать XML-файл из существующего подключения Wi-Fi. На компьютере с Windows выполните следующие действия:
Создайте локальную папку для экспортированных профилей Wi-Fi, например c:\WiFi.
Откройте командную строку от имени администратора (щелкните правой кнопкой мыши
cmd
>Запуск от имени администратора).Запустите
netsh wlan show profiles
. Названия всех профилей перечислены.Запустите
netsh wlan export profile name="YourProfileName" folder=c:\Wifi
. Эта команда создает файл с именемWi-Fi-YourProfileName.xml
в c:\Wifi.Если вы экспортируете профиль Wi-Fi, содержащий предварительный ключ, добавьте
key=clear
в команду . Параметрkey=clear
экспортирует ключ в виде обычного текста, который необходим для успешного использования профиля:netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi
Если экспортируемый элемент профиля
<name></name>
Wi-Fi содержит пробел, при назначении он может вернуть ошибкуERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500)
. В таком случае профиль отображается в\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces
как известная сеть. Но он не отображается как управляемая политика в URI "Области, управляемые …".Чтобы устранить эту проблему, удалите пробел.
После создания XML-файла скопируйте и вставьте синтаксис XML в параметры > OMA-URI Тип данных. Создание пользовательского профиля (в этой статье) перечисляются шаги.
Совет
\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid}
также включает все профили в формате XML.
Рекомендации
Прежде чем развертывать профиль Wi-Fi с использованием PSK, убедитесь, что устройство может напрямую подключиться к конечной точке.
При смене ключей (паролей или парольных фраз) возможны простои. Учитывайте это при развертываниях. Вы должны:
Убедитесь, что устройства имеют альтернативное подключение к Интернету.
Например, конечный пользователь может переключиться обратно на гостевой WiFi (или другую сеть WiFi) или подключиться к Intune по сотовой сети. Дополнительное подключение позволяет пользователю получать обновления политики при обновлении корпоративного Wi-Fi профиля на устройстве.
Отправка новых профилей Wi-Fi в нерабочее время.
Предупреждайте пользователей о том, что подключение может быть затронуто.
Ресурсы
Обязательно изучите статьи Назначение профилей пользователей и устройств в Microsoft Intune и Мониторинг профилей устройств в Microsoft Intune.