Добавление параметров Wi-Fi для устройств Windows 10/11 в Intune
Примечание.
Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.
Вы можете создать профиль с определенными параметрами Wi-Fi. Затем разверните этот профиль на клиентских устройствах Windows. Microsoft Intune предлагает множество функций, включая проверку подлинности в сети, использование предварительно общего ключа и многое другое.
В этой статье описаны некоторые из этих параметров.
Подготовка к работе
- Создайте профиль конфигурации устройства Windows 10/11 Wi-Fi.
- В этих параметрах используется поставщик служб CSP Wi-Fi.
Базовый профиль
Базовые или личные профили используют WPA/WPA2 для защиты Wi-Fi подключения на устройствах. Как правило, WPA/WPA2 используется в домашних или персональных сетях. Вы также можете добавить предварительно общий ключ для проверки подлинности подключения.
Тип Wi-Fi: выберите Базовый.
Wi-Fi name (SSID): сокращение от идентификатора набора служб. Это значение является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят имя подключения , настроенного только при выборе подключения.
Имя подключения. Введите понятное имя для этого Wi-Fi подключения. Вводимый текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите
ContosoWiFi
.Автоматическое подключение, когда в диапазоне. Если да, устройства подключаются автоматически, когда они в диапазоне этой сети. Если нет, устройства не подключаются автоматически.
Подключение к более предпочтительной сети, если доступно. Если устройства находятся в диапазоне более предпочтительной сети, выберите Да , чтобы использовать предпочтительную сеть. Выберите Нет , чтобы использовать сеть Wi-Fi в этом профиле конфигурации.
Например, вы создаете ContosoCorp Wi-Fi сети и используете ContosoCorp в этом профиле конфигурации. У вас также есть сеть ContosoGuest Wi-Fi в пределах диапазона. Если корпоративные устройства находятся в пределах диапазона, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом сценарии задайте для свойства Connect to more preferred network if available (Подключиться к более предпочтительной сети, если доступно ) значение Нет.
Подключитесь к этой сети, даже если она не транслирует свой SSID. Выберите Да , чтобы автоматически подключиться к сети, даже если сеть скрыта. Это означает, что идентификатор набора служб (SSID) не является общедоступным. Выберите Нет , если вы не хотите, чтобы этот профиль конфигурации подключалось к скрытой сети.
Лимитное число подключений. Администратор может выбрать, как измеряется трафик сети. Затем приложения могут настроить поведение сетевого трафика на основе этого параметра. Доступны следующие параметры:
- Без ограничений: по умолчанию. Подключение не измеряется, и нет ограничений на трафик.
- Исправлено. Используйте этот параметр, если сеть настроена с фиксированным ограничением сетевого трафика. После достижения этого ограничения доступ к сети будет запрещен.
- Переменная. Этот параметр используется, если сетевой трафик взимается за байт (стоимость за байт).
Тип безопасности беспроводной сети. Введите протокол безопасности, используемый для проверки подлинности устройств в сети. Доступны следующие параметры:
Открыть (без проверки подлинности): используйте этот параметр только в том случае, если сеть не защищена.
WPA/WPA2-Personal: более безопасный вариант, который обычно используется для Wi-Fi подключения. Для большей безопасности можно также ввести пароль или сетевой ключ с предварительным общим доступом.
Предварительный общий ключ (PSK): необязательный. Отображается при выборе wpa/WPA2-Personal в качестве типа безопасности. Когда сеть вашей организации установлена или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK. Введите строку ASCII длиной от 8 до 63 символов или используйте 64 шестнадцатеричных символа.
Важно!
PSK одинаков для всех устройств, на которые предназначен профиль. Если ключ скомпрометирован, его может использовать любое устройство для подключения к Wi-Fi сети. Обеспечьте безопасность своих psks, чтобы избежать несанкционированного доступа.
Параметры прокси-сервера компании. Выберите, чтобы использовать параметры прокси-сервера в организации. Доступны следующие параметры:
Нет: параметры прокси-сервера не настроены.
Настройка вручную: введите IP-адрес прокси-сервера и его номер порта.
Автоматическая настройка. Введите URL-адрес, указывающий на скрипт автоматической настройки прокси-сервера (PAC). Например, введите
http://proxy.contoso.com/proxy.pac
.Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).
Корпоративный профиль
Профили предприятия используют расширяемый протокол проверки подлинности (EAP) для проверки подлинности Wi-Fi подключений. EAP часто используется предприятиями, так как для проверки подлинности и защиты подключений можно использовать сертификаты. И настройте дополнительные параметры безопасности.
Тип Wi-Fi: выберите Корпоративный.
Wi-Fi name (SSID): сокращение от идентификатора набора служб. Это значение является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят имя подключения , настроенного только при выборе подключения.
Имя подключения. Введите понятное имя для этого Wi-Fi подключения. Вводимый текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите
ContosoWiFi
.Автоматическое подключение, когда в диапазоне. Если да, устройства подключаются автоматически, когда они в диапазоне этой сети. Если нет, устройства не подключаются автоматически.
Подключение к более предпочтительной сети, если доступно. Если устройства находятся в диапазоне более предпочтительной сети, выберите Да , чтобы использовать предпочтительную сеть. Выберите Нет , чтобы использовать сеть Wi-Fi в этом профиле конфигурации.
Например, вы создаете ContosoCorp Wi-Fi сети и используете ContosoCorp в этом профиле конфигурации. У вас также есть сеть ContosoGuest Wi-Fi в пределах диапазона. Если корпоративные устройства находятся в пределах диапазона, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом сценарии задайте для свойства Connect to more preferred network if available (Подключиться к более предпочтительной сети, если доступно ) значение Нет.
Подключитесь к этой сети, даже если она не транслирует свой SSID. Выберите Да , чтобы профиль конфигурации автоматически подключается к сети, даже если сеть скрыта (это означает, что ее SSID не транслируется публично). Выберите Нет , если вы не хотите, чтобы этот профиль конфигурации подключалось к скрытой сети.
Лимитное число подключений. Администратор может выбрать, как измеряется трафик сети. Затем приложения могут настроить поведение сетевого трафика на основе этого параметра. Доступны следующие параметры:
- Без ограничений: по умолчанию. Подключение не измеряется, и нет ограничений на трафик.
- Исправлено. Используйте этот параметр, если сеть настроена с фиксированным ограничением сетевого трафика. После достижения этого ограничения доступ к сети будет запрещен.
- Переменная. Используйте этот параметр, если стоимость сетевого трафика составляет байт.
Режим проверки подлинности. Выберите способ проверки подлинности профиля Wi-Fi на сервере Wi-Fi. Доступны следующие параметры:
- Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию используется проверка подлинности пользователя или компьютера .
- Пользователь. Учетная запись пользователя, вошедшего в устройство, проходит проверку подлинности в Wi-Fi сети.
- Компьютер: учетные данные устройства проходят проверку подлинности в Wi-Fi сети.
- Пользователь или компьютер. При входе пользователя в устройство учетные данные пользователя проходят проверку подлинности в Wi-Fi сети. Если пользователи не вошли в систему, учетные данные устройства проходят проверку подлинности.
- Гость: с сетью Wi-Fi не связаны учетные данные. Проверка подлинности открыта или обрабатывается извне, например через веб-страницу.
Запомнить учетные данные при каждом входе. Выберите кэшировать учетные данные пользователя или если пользователи должны вводить их каждый раз при подключении к Wi-Fi. Доступны следующие параметры:
- Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может включить эту функцию и кэшировать учетные данные.
- Включить. Кэширует учетные данные пользователей при вводе при первом подключении пользователей к сети Wi-Fi. Кэшированные учетные данные используются для будущих подключений, и пользователям не нужно повторно входить в них.
- Отключить. Учетные данные пользователя не запоминаются и не кэшируются. Когда устройства подключаются к Wi-Fi, пользователи должны каждый раз вводить свои учетные данные.
Период проверки подлинности. Введите число секунд, в течение которых устройства должны ожидать после попытки проверки подлинности( от 1 до 3600). Если устройство не подключается во время ввода, проверка подлинности завершается ошибкой. Если оставить это значение пустым или пустым,
18
будут использоваться секунды.Период задержки повторных попыток проверки подлинности. Введите количество секунд между неудачной попыткой проверки подлинности и следующей попыткой проверки подлинности от 1 до 3600. Если оставить это значение пустым или пустым,
1
используется значение second.Начальный период. Введите число секунд ожидания перед отправкой сообщения EAPOL-Start от 1 до 3600. Если оставить это значение пустым или пустым,
5
будут использоваться секунды.Максимальное число сообщений eapol-start. Введите количество EAPOL-Start сообщений от 1 до 100. Если оставить это значение пустым или пустым, будет отправлено максимум
3
сообщений.Максимальное число ошибок проверки подлинности. Введите максимальное число ошибок проверки подлинности для этого набора учетных данных для проверки подлинности( от 1 до 100). Если оставить это значение пустым или пустым,
1
используется попытка.Единый вход. Позволяет настроить единый вход( SSO), при котором учетные данные используются совместно для компьютера и Wi-Fi сетевого входа. Доступны следующие параметры:
- Отключить. Отключает поведение единого входа. Пользователь должен пройти проверку подлинности в сети отдельно.
- Включить перед входом пользователя на устройство. Используйте единый вход для проверки подлинности в сети непосредственно перед входом пользователя.
- Включить после входа пользователя на устройство. Используйте единый вход для проверки подлинности в сети сразу после завершения процесса входа пользователя.
- Максимальное время проверки подлинности до истечения времени ожидания. Введите максимальное число секунд ожидания перед проверкой подлинности в сети от 1 до 120 секунд.
- Разрешить Windows запрашивать у пользователя дополнительные учетные данные проверки подлинности. Да позволяет системе Windows запрашивать у пользователя дополнительные учетные данные, если это требуется методом проверки подлинности. Выберите Нет , чтобы скрыть эти запросы.
Включить кэширование попарного ключа master (PMK). Выберите Да, чтобы кэшировать PMK, используемый при проверке подлинности. Это кэширование обычно позволяет быстрее выполнить проверку подлинности в сети. Выберите Нет , чтобы принудить подтверждение проверки подлинности при подключении к сети Wi-Fi каждый раз.
- Максимальное время хранения PMK в кэше. Введите количество минут, в течение которых в кэше хранится попарный ключ master (PMK), от 5 до 1440 минут.
- Максимальное число пакетов PMK, хранящихся в кэше: введите количество ключей, хранящихся в кэше, от 1 до 255.
- Включить предварительную проверку подлинности. Предварительная проверка подлинности позволяет профилю проходить проверку подлинности во всех точках доступа для сети в профиле перед подключением. При перемещении устройств между точками доступа предварительная проверку подлинности быстрее подключает пользователя или устройства. Выберите Да , чтобы профиль прошел проверку подлинности во всех точках доступа для этой сети, находящихся в пределах диапазона. Выберите Нет , чтобы требовать от пользователя или устройства проходить проверку подлинности в каждой точке доступа отдельно.
- Максимальное число попыток предварительной проверки подлинности. Введите число попыток предварительной проверки подлинности от 1 до 16.
Тип EAP. Для проверки подлинности защищенных беспроводных подключений выберите тип Протокола расширенной проверки подлинности (EAP). Доступны следующие параметры:
EAP-SIM
EAP-TLS: также введите:
Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.
Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:
- Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
EAP-TTLS: также введите:
Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.
Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:
Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:
Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который использует сеть Wi-Fi.
Возможные варианты: незашифрованный пароль (PAP),подтверждение вызова (CHAP),Microsoft CHAP (MS-CHAP) и Microsoft CHAP версии 2 (MS-CHAP v2)
Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
Защищенный EAP (PEAP): также введите:
Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.
Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
Выполнение проверки сервера. Если задано значение Да, на этапе согласования PEAP 1 устройства проверяют сертификат и сервер. Выберите Нет , чтобы заблокировать или запретить эту проверку. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.
Если выбрать да, также настройте следующие параметры:
- Отключить запросы пользователей на проверку сервера. Если задано значение Да, на этапе согласования PEAP 1 запросы пользователей с просьбой авторизовать новые серверы PEAP для доверенных центров сертификации не отображаются. Выберите Нет , чтобы отобразить запросы. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.
Требовать криптографическую привязку. Значение Да предотвращает подключения к серверам PEAP, которые не используют шифрование во время согласования PEAP. Нет не требует шифрования. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.
Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:
Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:
- Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
- Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
Параметры прокси-сервера компании. Выберите, чтобы использовать параметры прокси-сервера в организации. Доступны следующие параметры:
Нет: параметры прокси-сервера не настроены.
Настройка вручную: введите IP-адрес прокси-сервера и его номер порта.
Автоматическая настройка. Введите URL-адрес, указывающий на скрипт автоматической настройки прокси-сервера (PAC). Например, введите
http://proxy.contoso.com/proxy.pac
.Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).
Принудительное соответствие профиля Wi-Fi требованиям Федерального Standard обработки информации (FIPS). Выберите Да при проверке по стандарту FIPS 140-2. Этот стандарт необходим для всех федеральных государственных учреждений США, которые используют системы безопасности на основе шифрования для защиты конфиденциальной, но несекретной информации, хранящейся в цифровом виде. Выберите Нет , чтобы не соответствовать FIPS.
Использование импортированного файла параметров
Для любых параметров, недоступных в Intune, можно экспортировать параметры Wi-Fi с другого устройства Windows. При этом создается XML-файл со всеми параметрами. Затем импортируйте этот файл в Intune и используйте его в качестве профиля Wi-Fi. Сведения об импорте XML-файла см. в статье Экспорт и импорт Wi-Fi параметров для устройств Windows.
Статьи по теме
- Назначьте профиль и отслеживайте его состояние.
- Дополнительные сведения о профилях Wi-Fi в Intune см. в статье Общие сведения о параметрах Wi-Fi.
- Получите сведения о расширенном протоколе проверки подлинности (EAP) для доступа к сети.