启用 802.1x 有线身份验证
2017 年 11 月 14 日对 Windows 10 (内部版本 15063.726 的更新) 在 Surface Hub 设备上启用了 802.1x 有线身份验证策略配置。 该功能允许组织使用 IEEE 802.1x 身份验证协议 强制执行标准化有线网络身份验证。 此功能已可用于通过 MDM 或预配包使用 WLAN 配置文件 进行无线身份验证。 本主题说明如何配置 Surface Hub 以用于有线身份验证。
可以通过 MDM OMA-URI 配置文件 或预配包在 Surface Hub 上强制实施和启用 802.1x 有线身份验证。
主要配置设置为 LanProfile 策略。 根据所选的身份验证方法,可能需要其他策略,EapUserData 策略,或通过用于添加用户或计算证书的 MDM 策略(例如用户用户/设备证书的 ClientCertificateInstall 或用于设备证书的 RootCATrustedCertificates)。
LanProfile 策略元素
若要将 Surface Hub 配置为使用受支持的 802.1x 身份验证方法之一,请使用以下 OMA URI。
./Vendor/MSFT/SurfaceHub/Dot3/LanProfile
此 OMA-URI 节点采用 XML 文本字符串作为参数。 作为参数提供的 XML 应符合包括 802.1X 架构中的元素的有线 LAN 配置文件架构。
在大多数情况下,管理员或用户可以使用以下 NETSH 命令,从已在网络上针对 802.1X 配置的现有电脑中导出 LanProfile XML。
netsh lan export profile folder=.
运行此命令会提供以下输出,并将标题为 Ethernet.xml 的文件放在当前目录中。
Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.
若要在 Surface Hub 上完全禁用 802.1x,可以使用 预配包 将 SurfaceHub\Dot3\LanProfile 节点设置为以下 xml:
<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
<MSM>
<security>
<OneXEnforced>false</OneXEnforced>
<OneXEnabled>false</OneXEnabled>
</security>
</MSM>
</LANProfile>
EapUserData 策略元素
如果所选的身份验证方法需要用户名和密码而不是证书,则可以使用 EapUserData 元素指定供设备用于身份验证到网络的凭据。
./Vendor/MSFT/SurfaceHub/Dot3/EapUserData
此 OMA-URI 节点采用 XML 文本字符串作为参数。 作为参数提供的 XML 应符合 PEAP MS-CHAPv2 用户属性示例。 在此示例中,需要将 test 和 ias-domain 的所有实例替换为你的信息。
添加证书
如果所选身份验证方法基于证书,则需要 创建预配包、 使用 MDM 或从设置 (更新>和安全>证书) 导入证书,以将这些证书部署到相应证书存储中的 Surface Hub 设备。 添加证书时,每个 PFX 必须仅包含一个证书, (PFX 不能) 具有多个证书。