Добавление параметров проводной сети для устройств macOS в Microsoft Intune

Примечание.

Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.

Вы можете создать профиль с определенными параметрами проводной сети, а затем развернуть его на устройствах macOS. Microsoft Intune предлагает множество функций, включая проверку подлинности в сети, добавление сертификата SCEP и многое другое.

Данная функция применяется к:

• macOS

В этой статье описаны параметры, которые можно настроить.

Подготовка к работе

• Создайте профиль конфигурации проводного сетевого устройства macOS.

• Эти параметры доступны для всех типов регистрации. Дополнительные сведения о типах регистрации см. в статье Регистрация macOS.

Проводная сеть

• Сетевой интерфейс. Выберите сетевые интерфейсы на устройстве, к которому применяется профиль, в зависимости от приоритета заказа службы. Доступны следующие параметры:

  • Первый активный Ethernet (по умолчанию)
  • Второй активный Ethernet
  • Третий активный Ethernet
  • First Ethernet
  • Second Ethernet
  • Третий Ethernet
  • Любой Ethernet

  Параметры с активным в заголовке используют интерфейсы, активно работающие на устройстве. Если активные интерфейсы отсутствуют, настраивается следующий интерфейс в приоритете порядка обслуживания. По умолчанию выбран параметр First active Ethernet , который также является параметром по умолчанию, настроенным в macOS.

• Канал развертывания. Выберите способ развертывания профиля. Этот параметр также определяет связка ключей, где хранятся сертификаты проверки подлинности, поэтому важно выбрать правильный канал. Изменить канал развертывания после развертывания профиля невозможно. Для этого необходимо создать новый профиль.

  Примечание.

  Мы рекомендуем повторно проверить параметр канала развертывания в существующих профилях, когда связанные сертификаты проверки подлинности будут продлены, чтобы убедиться, что выбранный канал выбран. Если это не так, создайте новый профиль с правильным каналом развертывания.

  У вас есть два варианта:

  • Канал пользователя. Всегда выбирайте канал развертывания пользователя в профилях с сертификатами пользователей. Этот параметр сохраняет сертификаты в пользовательском связка ключей.
  • Канал устройства. Всегда выбирайте канал развертывания устройств в профилях с сертификатами устройств. Этот параметр сохраняет сертификаты в системных связка ключей.

• Тип EAP. Для проверки подлинности защищенных проводных подключений выберите тип Расширяемый протокол проверки подлинности (EAP). Доступны следующие параметры:

  • EAP-FAST: введите параметры защищенных учетных данных доступа (PAC). Этот параметр использует защищенные учетные данные доступа для создания туннеля с проверкой подлинности между клиентом и сервером проверки подлинности. Доступны следующие параметры:

    • Не использовать (PAC)
    • Использовать (PAC): если существует существующий PAC-файл, используйте его.
    • Использование и подготовка PAC. Создайте и добавьте PAC-файл на устройства.
    • Использовать и подготавливать PAC анонимно. Создайте и добавьте PAC-файл на устройства без проверки подлинности на сервере.

  • EAP-TLS: также введите:

    • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). При вводе этих сведений можно обойти окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.
    • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
    • Проверка подлинности - клиентаСертификаты. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения. Сертификаты стандартов шифрования с открытым ключом (PKCS) не поддерживаются.
    • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • EAP-TTLS: также введите:

    • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). При вводе этих сведений можно обойти окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.
    • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
    • Проверка подлинности клиента. Выберите метод проверки подлинности. Доступны следующие параметры:
      • Имя пользователя и пароль. Запросы пользователю имя пользователя и пароль для проверки подлинности подключения. Также введите:
        • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в сети. Доступны следующие параметры:
          • Незашифрованный пароль (PAP)
          • Протокол проверки подлинности подтверждения запроса (CHAP)
          • Microsoft CHAP (MS-CHAP)
          • Microsoft CHAP версии 2 (MS-CHAP версии 2)
      • Сертификаты. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения. Сертификаты PKCS не поддерживаются. Выберите сертификат, соответствующий выбранному каналу развертывания. Если выбран канал пользователя, параметры сертификата ограничены профилями сертификатов пользователей. Если вы выбрали канал устройства, у вас есть профили сертификатов пользователей и устройств. Однако рекомендуется всегда выбирать тип сертификата, который соответствует выбранному каналу. Хранение сертификатов пользователей в системной связка ключей повышает риски безопасности.
      • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • ПРЫГАТЬ

  • PEAP: также введите:

    • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). При вводе этих сведений можно обойти окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.
    • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
    • Проверка подлинности клиента. Выберите метод проверки подлинности. Доступны следующие параметры:
      • Имя пользователя и пароль. Запросы пользователю имя пользователя и пароль для проверки подлинности подключения.
      • Сертификаты. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения. Сертификаты PKCS не поддерживаются.
      • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

Статьи по теме

• Обязательно назначьте этот профиль и отслеживайте его состояние.
• Дополнительные сведения о параметрах проводной сети для устройств Windows.