在 Microsoft Intune 中为 iOS 和 iPadOS 设备添加 Wi-Fi 设置

可以使用特定 WiFi 设置创建配置文件，然后使用 Intune 将此配置文件部署到 iOS/iPadOS 设备。 作为移动设备管理 (MDM) 解决方案的一部分，请使用这些设置对网络进行身份验证、添加 PKCS (公钥加密标准) 或 SCEP (简单证书注册协议) 证书、配置代理等。

此功能适用于：

• iOS/iPadOS

这些 Wi-Fi 设置分为两类：基本设置和企业级设置。

本文介绍可以配置的设置。

开始之前

• 创建 iOS/iPadOS Wi-Fi 设备配置文件。

• 这些设置适用于所有注册类型。 有关注册类型的详细信息，请转到 iOS/iPadOS 注册。

• 这些设置使用 Apple Wi-Fi 有效负载 (打开 Apple 网站) 。

基本配置文件

• Wi-Fi 类型：选择“ 基本”。

• 网络名称：输入此 Wi-Fi 连接的名称。 用户在浏览设备上的可用连接列表时会看到此名称。

• SSID：此 服务集标识符 (SSID) 属性是设备连接到的无线网络的真实名称。 但是，用户仅在选择连接时看到你配置的网络名称。

• 自动连接： 启用 当设备处于范围内时自动连接到此网络。 禁用 可阻止设备自动连接。

• 隐藏网络： “启用” 会将此设备设置与路由器上的 设置匹配 Wi-Fi 配置。 因此，如果网络设置为隐藏，则网络也会隐藏在 Wi-Fi 配置文件中。 如果网络 SSID 已广播且可见，请选择“ 禁用 ”。

• 安全类型：选择要向 Wi-Fi 网络进行身份验证的安全协议。 选项包括：

  • 打开 (无身份验证) ：仅当网络不安全时，才使用此选项。
  • WPA/WPA2 - 个人：在 预共享密钥 中输入密码 (PSK) 。 设置或配置组织的网络时，还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。
  • WEP

• 代理设置：选项：

  • 无：未配置代理设置。

  • 手动：输入 代理服务器地址 作为 IP 地址及其 端口号。

  • 自动：使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如，输入 http://proxy.contoso.com、10.0.0.11 或 http://proxy.contoso.com/proxy.pac。

    有关 PAC 文件的详细信息，请转到 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

• 禁用 MAC 地址随机化：从 iOS/iPadOS 14 开始，设备在连接到网络时显示随机 MAC 地址而不是物理 MAC 地址。 出于隐私原因，建议使用随机 MAC 地址，因为更难按 MAC 地址跟踪设备。 但是，随机 MAC 解决了依赖于静态 MAC 地址的中断功能，包括网络访问控制 (NAC) 。

  选项包括：

  • 未配置：Intune 不会更改或更新此设置。 默认情况下，当设备连接到新网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。
  • 是：强制设备显示其实际 Wi-Fi MAC 地址，而不是随机 MAC 地址。 “是 ”允许按其 MAC 地址跟踪设备。 仅在必要时禁用 MAC 地址随机化，例如网络访问控制 (NAC) 支持。
  • 否：在设备上启用 MAC 地址随机化。 用户无法将其关闭。 当设备连接到新网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。

  此设置适用于：

  • iOS 14.0 及更新版
  • iPadOS 14.0 及更新版

企业配置文件

• Wi-Fi 类型：选择 “企业”。

• 网络名称：输入此 Wi-Fi 连接的名称。 用户在浏览设备上的可用连接列表时会看到此名称。

• SSID： 服务集标识符的缩写。 此属性是设备连接到的无线网络的真实名称。 但是，用户仅在选择连接时看到你配置的网络名称。

• 自动连接： 启用 当设备处于范围内时自动连接到此网络。 禁用 可阻止设备自动连接。

• 隐藏网络： “启用” 会将此设备设置与路由器上的 设置匹配 Wi-Fi 配置。 因此，如果网络设置为隐藏，则网络也会隐藏在 Wi-Fi 配置文件中。 如果网络 SSID 已广播且可见，请选择“ 禁用 ”。

• 安全类型：选择要向 Wi-Fi 网络进行身份验证的安全协议。 选项包括：

  • WPA - 企业版
  • WPA/WPA2 - 企业版

• EAP 类型：选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括：

  • EAP-FAST：输入 “受保护的访问凭据” (PAC) 设置。 此选项使用受保护的访问凭据在客户端和身份验证服务器之间创建经过身份验证的隧道。 选项包括：

    • 请勿使用 (PAC)
    • 使用 (PAC) ：如果存在现有 PAC 文件，请使用该文件。
    • 使用和预配 PAC：创建 PAC 文件并将其添加到设备。
    • 匿名使用和预配 PAC：创建 PAC 文件并将其添加到设备，而无需对服务器进行身份验证。

  • EAP-SIM

  • EAP-TLS：另输入：

    • 证书服务器名称： 将 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如，添加 mywirelessserver.contoso.com 或 mywirelessserver。 输入此信息时，可以绕过用户连接到此 Wi-Fi 网络时在设备上显示的动态信任窗口。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀，则可以输入通配符后缀。 例如，可以输入 *.contoso.com。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

    • 身份验证方法：选择设备客户端使用的身份验证方法。 选项包括：

      • 派生凭据：使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者，Intune 会提示你添加一个。 有关详细信息，请转到 在 Microsoft Intune 中使用派生凭据。

      • 证书：选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

      • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，最初会发送此匿名标识。 然后，在安全隧道中发送真正的标识。

  • EAP-TTLS：另输入：

    • 证书服务器名称： 将 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如，添加 mywirelessserver.contoso.com 或 mywirelessserver。 输入此信息时，可以绕过用户连接到此 Wi-Fi 网络时在设备上显示的动态信任窗口。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

    • 身份验证方法：选择设备客户端使用的身份验证方法。 选项包括：

      • 派生凭据：使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者，Intune 会提示你添加一个。 有关详细信息，请转到 在 Microsoft Intune 中使用派生凭据。

      • 用户名和密码：提示用户输入用户名和密码，以便对连接进行身份验证。 另输入：

        • 非 EAP 方法 (内部标识) ：选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。

          选项： 未加密的密码 (PAP) 、 质询握手身份验证协议 (CHAP) 、 Microsoft CHAP (MS-CHAP) ，或 Microsoft CHAP 版本 2 (MS-CHAP v2)

      • 证书：选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

      • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，最初会发送此匿名标识。 然后，在安全隧道中发送真正的标识。

  • 飞跃

  • PEAP：另输入：

    • 证书服务器名称： 将 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如，添加 mywirelessserver.contoso.com 或 mywirelessserver。 输入此信息时，可以绕过用户连接到此 Wi-Fi 网络时在设备上显示的动态信任窗口。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

    • 身份验证方法：选择设备客户端使用的身份验证方法。 选项包括：

      • 派生凭据：使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者，Intune 会提示你添加一个。 有关详细信息，请转到 在 Microsoft Intune 中使用派生凭据。

      • 用户名和密码：提示用户输入用户名和密码，以便对连接进行身份验证。

      • 证书：选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

      • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，最初会发送此匿名标识。 然后，在安全隧道中发送真正的标识。

• 代理设置：选择代理配置。 选项包括：

  • 无：未配置代理设置。

  • 手动：输入 代理服务器地址 作为 IP 地址及其 端口号。

  • 自动：使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如，输入 http://proxy.contoso.com、10.0.0.11 或 http://proxy.contoso.com/proxy.pac。

    有关 PAC 文件的详细信息，请转到 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

• 禁用 MAC 地址随机化：从 iOS/iPadOS 14 开始，设备在连接到网络时显示随机 MAC 地址而不是物理 MAC 地址。 出于隐私原因，建议使用随机 MAC 地址，因为更难按 MAC 地址跟踪设备。 随机 MAC 地址还会破坏依赖于静态 MAC 地址的功能，包括网络访问控制 (NAC) 。

  选项包括：

  • 未配置：Intune 不会更改或更新此设置。 默认情况下，连接到网络时，设备可以显示随机 MAC 地址，而不是物理 MAC 地址。
  • 是：强制设备显示其实际 Wi-Fi MAC 地址，而不是随机 MAC 地址。 “是 ”允许按其 MAC 地址跟踪设备。 仅在必要时禁用 MAC 地址随机化，例如网络访问控制 (NAC) 支持。
  • 否：在设备上启用 MAC 地址随机化。 用户无法将其关闭。 当设备连接到网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。

  此设置适用于：

  • iOS 14.0 及更新版
  • iPadOS 14.0 及更新版

相关文章

• 请务必 分配此配置文件 并 监视其状态。

• 在 Android、 Android Enterprise、 macOS 和 Windows 设备上配置 Wi-Fi 设置。