在 Microsoft Intune 中为 Android 企业版专用且完全托管的设备添加 Wi-Fi 设置
可以创建具有特定 Wi-Fi 设置的配置文件,然后将此配置文件部署到 Android Enterprise 完全托管的专用设备。 Microsoft Intune 提供了许多功能,包括向网络进行身份验证、使用预共享密钥等。
此功能适用于:
- Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
- Android Enterprise 公司拥有的工作配置文件 (COPE)
- Android Enterprise 公司拥有的完全托管 (COBO)
- Android Enterprise 公司拥有的专用设备 (COSU)
本文介绍这些设置。 在设备上使用 Wi-Fi 包括有关 Microsoft Intune 中的 Wi-Fi 功能的详细信息。
开始之前
创建 Android Enterprise Wi-Fi 设备配置文件:
- 完全托管、专用和公司拥有的工作配置文件
- 个人拥有的工作配置文件
完全托管、专用和 Corporate-Owned 工作配置文件
如果要部署到 Android Enterprise 专用、公司拥有的工作配置文件或完全托管的设备,请选择此选项。
基本
Wi-Fi 类型:选择“ 基本”。
网络名称:输入此 Wi-Fi 连接的名称。 最终用户在浏览其设备以查找可用的 Wi-Fi 连接时,会看到此名称。 例如,输入 Contoso WiFi。
SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称 。
重要
- 不能将具有相同 SSID 的两个 Wi-Fi 配置文件定向到同一设备。 因此,请确保任何新的 Wi-Fi 配置文件使用不同的 SSID。
- 如果计划更改 Wi-Fi 配置文件的“受信任的根证书”,请在更改证书之前确保设备连接到另一个 Internet 连接。 备份 Internet 连接允许分配具有更新证书的 Wi-Fi 配置文件。 在将来的更新中, (没有 ETA) ,Intune 将在 Wi-Fi 配置文件中支持多个受信任的根证书。 然后,不需要第二个 Internet 连接。
自动连接: 启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。
当设备连接到另一个首选 Wi-Fi 连接时,它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接,请断开设备与任何现有 Wi-Fi 连接的连接。
隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。
Wi-Fi 类型:选择要向 Wi-Fi 网络进行身份验证的安全协议。 选项包括:
打开 (无身份验证) :仅当网络不安全时,才使用此选项。
WEP 预共享密钥:在 预共享密钥中输入密码。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。
警告
在 Android 12 及更高版本上,Google 弃用了对 Wi-Fi 配置文件中 (PSK) WEP 预共享密钥的支持。 WEP 可能仍然有效。 但是,不建议这样做,并且被视为已过时。 相反,请在 Wi-Fi 配置文件中使用 WPA 预共享密钥 (PSK) 。
有关详细信息,请转到 Android 开发人员参考 - WifiConfiguration.GroupCipher。
WPA 预共享密钥:在 预共享密钥中输入密码。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。
代理设置:选择代理配置。 选项包括:
无:未配置代理设置。
手动:手动配置代理设置:
代理服务器地址:输入代理服务器的 IP 地址。 例如,输入
10.0.0.22。端口号:输入代理服务器的端口号。 例如,输入
8080。排除列表:输入不使用代理的主机名或 IP 地址。 可以使用
*通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址,它们必须位于单独的行中。 例如,可以输入:*.contoso.com test.contoso1.com mysite.contoso2.com 10.0.0.5 10.0.0.6
自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入
http://proxy.contoso.com、10.0.0.11或http://proxy.contoso.com/proxy.pac。有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。
MAC 地址随机化:根据需要使用随机 MAC 地址,例如用于网络访问控制 (NAC) 支持。 用户可以更改此设置。
选项包括:
使用设备默认值:Intune 不会更改或更新此设置。 默认情况下,当设备连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。
使用随机 MAC:在设备上启用 MAC 地址随机化。 当设备连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用随机 MAC ”。
使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 使用此设置时,设备的 MAC 地址将跟踪。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用设备 MAC ”。
此功能适用于:
- Android 13 及更高版本
企业版
Wi-Fi 类型:选择 “企业”。
SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称 。
重要
- 不能将具有相同 SSID 的两个 Wi-Fi 配置文件定向到同一设备。 因此,请确保任何新的 Wi-Fi 配置文件使用不同的 SSID。
- 如果计划更改 Wi-Fi 配置文件的“受信任的根证书”,请在更改证书之前确保设备连接到另一个 Internet 连接。 备份 Internet 连接允许分配具有更新证书的 Wi-Fi 配置文件。 在将来的更新中, (没有 ETA) ,Intune 将在 Wi-Fi 配置文件中支持多个受信任的根证书。 然后,不需要第二个 Internet 连接。
自动连接: 启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。
当设备连接到另一个首选 Wi-Fi 连接时,它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接,请断开设备与任何现有 Wi-Fi 连接的连接。
隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。
EAP 类型:选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括:
EAP-TLS:为了进行身份验证,可扩展身份验证协议 (EAP) 传输层安全性 (TLS) 在服务器上使用数字证书,在客户端上使用数字证书。 这两个证书都由服务器和客户端信任的证书颁发机构 (CA) 签名。
另输入:
Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入
Contoso.com、uk.contoso.com或jp.contoso.com。如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入
contoso.com。输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。
Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。
Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。
用于服务器验证的根证书:选择现有的受信任的根证书配置文件。 当客户端连接到网络时,此证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
注意
根据 Android OS 版本和 Wi-Fi 身份验证基础结构,证书要求可能会有所不同。 可能需要从网络策略服务器 (NPS) 使用的证书中添加安全哈希算法 () (SHA) 。 或者,如果 Radius 或 NPS 服务器具有公开签名的证书,则验证可能不需要根证书。
一个好的做法是输入 Radius 服务器名称 并添加 根证书进行服务器验证。
身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
- 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据。
- 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
EAP-TTLS:为了进行身份验证,可扩展身份验证协议 (EAP) 隧道传输层安全性 (TTLS) 在服务器上使用数字证书。 当客户端发出身份验证请求时,服务器使用隧道(安全连接)来完成身份验证请求。
另输入:
Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入
Contoso.com、uk.contoso.com或jp.contoso.com。如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入
contoso.com。输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。
Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。
Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。
用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据。
用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:
非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:
- 未加密的密码 (PAP)
- Microsoft CHAP (MS-CHAP)
- Microsoft CHAP 版本 2 (MS-CHAP v2)
证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
PEAP:受保护的可扩展身份验证协议 (PEAP) 使用受保护的隧道加密和进行身份验证。 另输入:
Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入
Contoso.com、uk.contoso.com或jp.contoso.com。如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入
contoso.com。输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。
Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。
Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。
用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据。
用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:
用于身份验证的非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:
- 无
- Microsoft CHAP 版本 2 (MS-CHAP v2)
证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
代理设置:选择代理配置。 选项包括:
无:未配置代理设置。
手动:手动配置代理设置:
代理服务器地址:输入代理服务器的 IP 地址。 例如,输入
10.0.0.22。端口号:输入代理服务器的端口号。 例如,输入
8080。排除列表:输入不使用代理的主机名或 IP 地址。 可以使用
*通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址,它们必须位于单独的行中。 例如,可以输入:*.contoso.com test.contoso1.com mysite.contoso2.com 10.0.0.5 10.0.0.6
自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入
http://proxy.contoso.com、10.0.0.11或http://proxy.contoso.com/proxy.pac。有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。
注意
当设备在注册期间标记为公司 (组织拥有的) 时,策略会控制设备功能和设置。 可以阻止用户管理策略中的功能和设置。 将 Wi-Fi 策略分配给设备时,将启用 Wi-Fi,并且可能会阻止用户关闭 Wi-Fi。
MAC 地址随机化:根据需要使用随机 MAC 地址,例如用于网络访问控制 (NAC) 支持。 用户可以更改此设置。
选项包括:
使用设备默认值:Intune 不会更改或更新此设置。 默认情况下,当设备连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。
使用随机 MAC:在设备上启用 MAC 地址随机化。 当设备连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用随机 MAC ”。
使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 使用此设置时,设备的 MAC 地址将跟踪。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用设备 MAC ”。
此功能适用于:
- Android 13 及更高版本
个人拥有的工作配置文件
基本 (个人拥有的工作配置文件)
- Wi-Fi 类型:选择“ 基本”。
- SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称 。
- 隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。
企业 (个人拥有的工作配置文件)
Wi-Fi 类型:选择 “企业”。
SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称 。
隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。
EAP 类型:选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括:
EAP-TLS:另输入:
证书服务器名称: 将 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如,添加
mywirelessserver.contoso.com或mywirelessserver。 输入此信息时,可以绕过用户连接到此 Wi-Fi 网络时在设备上显示的动态信任窗口。用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
EAP-TTLS:另输入:
用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:
非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:
- 未加密的密码 (PAP)
- Microsoft CHAP (MS-CHAP)
- Microsoft CHAP 版本 2 (MS-CHAP v2)
证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
PEAP:另输入:
用于服务器验证的根证书:选择现有的受信任的根证书配置文件。 当客户端连接到网络时,此证书将呈现给服务器,并对该连接进行身份验证。
身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:
用于身份验证的非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:
- 无
- Microsoft CHAP 版本 2 (MS-CHAP v2)
证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如
anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
代理设置:选择代理配置。 选项包括:
无:未配置代理设置。
自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入
http://proxy.contoso.com、10.0.0.11或http://proxy.contoso.com/proxy.pac。有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。
相关文章
还可以为 Android、 iOS/iPadOS、 macOS 和 Windows 创建 Wi-Fi 配置文件。