在 Microsoft Intune 中添加 macOS 设备的有线网络设置

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录

可以使用特定的有线网络设置创建配置文件,然后将此配置文件部署到 macOS 设备。 Microsoft Intune提供了许多功能,包括向网络进行身份验证、添加简单证书注册协议 (SCEP) 证书等。

此功能适用于:

  • macOS

本文介绍可以配置的设置。

开始之前

有线网络

  • 网络接口:根据服务顺序优先级,在应用配置文件的设备上选择网络接口。 选项包括:

    • 第一个活动以太网 (默认)
    • 第二个活动以太网
    • 第三个活动以太网
    • 第一个以太网
    • 第二个以太网
    • 第三个以太网
    • 任何以太网

    游戏中具有“活动”的选项使用在设备上主动工作的接口。 如果没有活动接口,则会配置服务顺序优先级中的下一个接口。 默认情况下,选择 “第一个活动以太网 ”,这也是 macOS 配置的默认设置。

  • 部署通道:选择要部署配置文件的方式。 此设置还确定存储身份验证证书的密钥链,因此选择正确的通道非常重要。 部署配置文件后,无法编辑部署通道。 为此,必须创建新的配置文件。

    注意

    建议在链接的身份验证证书可供续订时,在现有配置文件中重新检查部署通道设置,以确保选择了预期的通道。 如果不是,请使用正确的部署通道创建新的配置文件。

    方法有以下两种:

    • 用户通道:始终使用用户证书在配置文件中选择用户部署通道。 此选项将证书存储在用户密钥链中。
    • 设备通道:始终使用设备证书在配置文件中选择设备部署通道。 此选项将证书存储在系统密钥链中。
  • EAP 类型:若要对安全有线连接进行身份验证,请选择“可扩展身份验证协议” (EAP) 类型。 选项包括:

    • EAP-FAST:输入 “受保护的访问凭据” (PAC) 设置。 此选项使用受保护的访问凭据在客户端和身份验证服务器之间创建经过身份验证的隧道。 选项包括:

      • 请勿使用 (PAC)
      • 使用 (PAC) :如果存在现有 PAC 文件,请使用该文件。
      • 使用和预配 PAC:创建 PAC 文件并将其添加到设备。
      • 匿名使用和预配 PAC:创建 PAC 文件并将其添加到设备,而无需对服务器进行身份验证。
    • EAP-TLS:另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 输入此信息时,可以绕过用户设备连接到此网络时显示的动态信任窗口。
      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
      • 客户端身份验证 - 证书:选择同时部署到设备的现有 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。 不支持公钥加密标准 (PKCS) 证书。
      • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
    • EAP-TTLS:另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 输入此信息时,可以绕过用户设备连接到此网络时显示的动态信任窗口。
      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
      • 客户端身份验证:选择 身份验证方法。 选项包括:
        • 用户名和密码:提示用户获取用户名和密码,以便对连接进行身份验证。 另输入:
          • 非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在网络上配置的相同协议。 选项包括:
            • 未加密的密码 (PAP)
            • 质询握手身份验证协议 (CHAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP 版本 2 (MS-CHAP v2)
        • 证书:选择同时部署到设备的现有 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。 不支持 PKCS 证书。 选择与部署通道选择一致的证书。 如果选择了用户通道,则证书选项仅限于用户证书配置文件。 如果选择了设备通道,则可以选择用户和设备证书配置文件。 但是,我们建议始终选择与所选通道一致的证书类型。 将用户证书存储在系统密钥链会增加安全风险。
        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
    • 飞跃

    • PEAP:另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 输入此信息时,可以绕过用户设备连接到此网络时显示的动态信任窗口。
      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
      • 客户端身份验证:选择 身份验证方法。 选项包括:
        • 用户名和密码:提示用户获取用户名和密码,以便对连接进行身份验证。
        • 证书:选择同时部署到设备的现有 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。 不支持 PKCS 证书。
        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。