在 Intune 中新增 Windows 10/11 裝置的 Wi-Fi 設定
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
您可以使用特定 WiFi 設定來建立設定檔。 然後,將此配置檔部署至您的 Windows 用戶端裝置。 Microsoft Intune 提供許多功能,包括向您的網路進行驗證、使用預先共用密鑰等等。
本文說明其中一些設定。
開始之前
- 建立 Windows 10/11 Wi-Fi 裝置組態配置檔。
- 這些設定會使用 Wi-Fi CSP。
基本配置檔
基本或個人配置檔會使用 WPA/WPA2 來保護裝置上的 Wi-Fi 連線。 WPA/WPA2 通常用於家庭網路或個人網路。 您也可以新增預先共享的金鑰來驗證連線。
Wi-Fi 類型:選取 [基本]。
Wi-Fi 名稱 (SSID) :服務集標識符的簡短。 此值是裝置連線的無線網路實名。 不過,使用者只會在選擇 連線 時看到您設定的連線名稱。
線上名稱:輸入此 Wi-Fi 連線的使用者易記名稱。 您輸入的文字是使用者瀏覽其裝置上可用連線時看到的名稱。 例如,輸入
ContosoWiFi
。在範圍中自動連線:當 [ 是] 時,裝置會在此網路範圍內自動連線。 當 [否] 時,裝置不會自動連線。
如果有的話,請連線到更慣用的網路:如果裝置位於更慣用的網路範圍內,請選取 [是 ] 以使用慣用的網路。 選 取 [否 ] 以使用此組態設定檔中的 Wi-Fi 網络。
例如,您會建立 ContosoCorp Wi-Fi 網路,並在此組態配置檔中使用 ContosoCorp 。 您在範圍內也有 ContosoGuest Wi-Fi 網路。 當您的公司裝置在範圍內時,您希望它們自動連線到 ContosoCorp。 在此案例中,如果可用的屬性,請將 [連線到更慣用的網络 ] 設定為 [否]。
聯機到此網路,即使它不會廣播其 SSID:選取 [ 是 ] 以自動連線到您的網路,即使網路已隱藏也一般。 這表示其服務集標識碼 (SSID) 不會公開廣播。 如果您不想讓此組態配置檔連線到隱藏的網路,請選取 [ 否 ]。
計量付費連線限制:系統管理員可以選擇網路流量的計量方式。 然後,應用程式可以根據此設定來調整其網路流量行為。 選項包括:
- 不受限制:預設值。 連線不會計量,而且沒有流量限制。
- 已修正:如果網路已針對網路流量設定固定限制,請使用此選項。 達到此限制之後,即會禁止網路存取。
- 變數:如果網路流量是以每個位元組 (每個位元組) 的成本來計費,請使用此選項。
無線安全性類型:輸入用來驗證網路上裝置的安全性通訊協定。 您的選項如下:
開啟 (沒有驗證) :只有在網路不安全時,才使用此選項。
WPA/WPA2-Personal:更安全的選項,通常用於 Wi-Fi 連線。 為了提高安全性,您也可以輸入預先共用密鑰密碼或網路金鑰。
PSK (預先共用密鑰) :選擇性。 當您選擇 WPA/WPA2-Personal 做為安全性類型時顯示。 設定組織的網路時,也會設定密碼或網路金鑰。 輸入此密碼或網路金鑰作為 PSK 值。 輸入長度為 8-63 個字元或使用 64 個十六進位字元的 ASCII 字串。
重要事項
PSK 與您以設定檔為目標的所有裝置相同。 如果密鑰遭到入侵,任何裝置都可以使用它來連線到 Wi-Fi 網路。 保護您的 PSK 安全,以避免未經授權的存取。
公司 Proxy 設定:選取以使用組織內的 Proxy 設定。 選項包括:
無:未設定 Proxy 設定。
手動設定:輸入 Proxy 伺服器 IP 位址 及其 埠號碼。
自動設定:輸入指向 PROXY 自動設定 (PAC) 腳本的 URL。 例如,輸入
http://proxy.contoso.com/proxy.pac
。如需 PAC 檔案的詳細資訊,請移至 PROXY 自動設定 (PAC) 檔案 ( 開啟非Microsoft網站) 。
企業配置檔
企業配置檔會使用可延伸驗證通訊協定 (EAP) 來驗證 Wi-Fi 連線。 企業通常會使用 EAP,因為您可以使用憑證來驗證及保護連線。 此外,請設定更多安全性選項。
Wi-Fi 類型:選取 [企業]。
Wi-Fi 名稱 (SSID) :服務集標識符的簡短。 此值是裝置連線的無線網路實名。 不過,使用者只會在選擇 連線 時看到您設定的連線名稱。
線上名稱:輸入此 Wi-Fi 連線的使用者易記名稱。 您輸入的文字是使用者瀏覽其裝置上可用連線時看到的名稱。 例如,輸入
ContosoWiFi
。在範圍中自動連線:當 [ 是] 時,裝置會在此網路範圍內自動連線。 當 [否] 時,裝置不會自動連線。
如果有的話,請連線到更慣用的網路:如果裝置位於更慣用的網路範圍內,請選取 [是 ] 以使用慣用的網路。 選 取 [否 ] 以使用此組態設定檔中的 Wi-Fi 網络。
例如,您會建立 ContosoCorp Wi-Fi 網路,並在此組態配置檔中使用 ContosoCorp 。 您在範圍內也有 ContosoGuest Wi-Fi 網路。 當您的公司裝置在範圍內時,您希望它們自動連線到 ContosoCorp。 在此案例中,如果可用的屬性,請將 [連線到更慣用的網络 ] 設定為 [否]。
連線到此網路,即使未廣播其 SSID:選取 [ 是 ] 讓組態配置檔自動連線到您的網路,即使網络隱藏 (意義,其 SSID 也不會公開廣播) 。 如果您不想讓此組態配置檔連線到隱藏的網路,請選取 [ 否 ]。
計量付費連線限制:系統管理員可以選擇網路流量的計量方式。 然後,應用程式可以根據此設定來調整其網路流量行為。 選項包括:
- 不受限制:預設值。 連線不會計量,而且沒有流量限制。
- 已修正:如果網路已針對網路流量設定固定限制,請使用此選項。 達到此限制之後,即會禁止網路存取。
- 變數:如果網路流量是以每個位元組為成本,請使用此選項。
驗證模式:選取 Wi-Fi 配置檔如何向 Wi-Fi 伺服器進行驗證。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設, 會使用使用者或機器 驗證。
- 使用者:登入裝置的用戶帳戶會向 Wi-Fi 網路進行驗證。
- 計算機:向 Wi-Fi 網路驗證裝置認證。
- 使用者或計算機:當使用者登入裝置時,用戶認證會向 Wi-Fi 網路進行驗證。 當沒有任何使用者登入時,則會驗證裝置認證。
- 來賓:沒有與 Wi-Fi 網路相關聯的認證。 驗證會開啟或在外部處理,例如透過網頁。
在每次登入時記住認證:選取以快取使用者認證,或使用者每次連線到Wi-Fi時都必須輸入認證。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用這項功能,並快取認證。
- 啟用:使用者第一次連線到 Wi-Fi 網路時,於輸入時快取用戶認證。 快取的認證會用於未來的連線,而且使用者不需要重新輸入認證。
- 停用:不會記住或快取用戶認證。 當裝置連線到Wi-Fi時,使用者每次都必須輸入其認證。
驗證期間:輸入裝置在嘗試驗證之後必須等待的秒數,從 1 到 3600。 如果裝置在您輸入時未連線,則驗證會失敗。 如果您將此值保留空白或空白,則
18
會使用秒數。驗證重試延遲期間:輸入驗證嘗試失敗與下一次驗證嘗試之間的秒數,從 1 到 3600。 如果您將此值保留空白或空白,則
1
會使用 second。開始期間:輸入從 1 到 3600 傳送 EAPOL-Start 訊息之前要等候的秒數。 如果您將此值保留空白或空白,則
5
會使用秒數。EAPOL-start 上限:輸入 1 到 100 的 EAPOL-Start 訊息數目。 如果您將此值保留空白或空白,則會傳送最多訊
3
息。驗證失敗次數上限:輸入這組要驗證之認證的驗證失敗數目上限,從 1 到 100。 如果您將此值保留空白或空白,則
1
會使用 attempt。單一登錄 (SSO) :可讓您設定單一登錄 (SSO) ,其中會共用電腦和 Wi-Fi 網路登入的認證。 選項包括:
- 停用:停用 SSO 行為。 用戶必須個別向網路進行驗證。
- 在使用者登入裝置之前啟用:在使用者登入程式之前,使用SSO向網路進行驗證。
- 在使用者登入裝置之後啟用:使用 SSO 在使用者登入程式完成後立即向網路進行驗證。
- 逾時前的驗證時間上限:輸入驗證至網路之前等待的秒數上限,從 1 到 120 秒。
- 允許 Windows 提示使用者提供其他驗證認證: 是 ,如果驗證方法需要,允許 Windows 系統提示使用者提供更多認證。 選取 [否 ] 以隱藏這些提示。
在 PMK) 快取 (啟用成對主要密鑰:選取 [是 ] 以快取用於驗證的 PMK。 此快取通常可讓網路驗證更快速地完成。 選 取 [否 ] 以在每次連線到 Wi-Fi 網络時強制驗證交握。
- PMK 儲存在快取中的時間上限:輸入配對主要密鑰 (PMK) 儲存在快取中的分鐘數,從 5 到 1440 分鐘。
- 儲存在快取中的 PMK 數目上限:輸入儲存在快取中的金鑰數目,從 1 到 255。
- 啟用預先驗證:預先驗證可讓配置檔在連線之前,先向配置檔中網路的所有存取點進行驗證。 當裝置在存取點之間移動時,預先驗證會更快速地重新連接使用者或裝置。 針對配置檔選取 [ 是 ],以針對此網络範圍內的所有存取點進行驗證。 選取 [否 ] 以要求使用者或裝置分別向每個存取點進行驗證。
- 驗證前嘗試次數上限:輸入從 1 到 16 的嘗試預先驗證次數。
EAP 類型:若要驗證安全的無線連線,請選取可延伸驗證通訊協定 (EAP) 類型。 選項包括:
EAP-SIM
EAP-TLS:也請輸入:
證書伺服器名稱:輸入受信任證書頒發機構單位 (CA) 所簽發憑證中使用的一或多個通用名稱。 如果您輸入此資訊,您可以略過使用者裝置連線到此 Wi-Fi 網路時所顯示的動態信任對話方塊。
伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。
驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:
- SCEP 憑證:選取也部署到裝置的 SCEP 用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。
- PKCS 憑證:選取也部署至裝置的 PKCS 用戶端憑證 配置檔和受信任的 跟證書 。 用戶端憑證是裝置向伺服器呈現的身分識別,用來驗證連線。
- 衍生認證:使用衍生自用戶智慧卡的憑證。 如需詳細資訊,請移至在 Microsoft Intune 中使用衍生認證。
EAP-TTLS:也請輸入:
證書伺服器名稱:輸入受信任證書頒發機構單位 (CA) 所簽發憑證中使用的一或多個通用名稱。 如果您輸入此資訊,您可以略過使用者裝置連線到此 Wi-Fi 網路時所顯示的動態信任對話方塊。
伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。
驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:
使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:
非 EAP 方法 (內部身分識別) :選擇驗證連線的方式。 請確定您選擇的通訊協定與 Wi-Fi 網路使用的通訊協定相同。
您的選項: UNencrypted password (PAP) 、 Challenge Handshake (CHAP) 、 Microsoft CHAP (MS-CHAP) 和 Microsoft CHAP 第 2 版 (MS-CHAP v2)
身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
SCEP 憑證:選取也部署到裝置的 SCEP 用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。
- 身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
PKCS 憑證:選取也部署至裝置的 PKCS 用戶端憑證 配置檔和受信任的 跟證書 。 用戶端憑證是裝置向伺服器呈現的身分識別,用來驗證連線。
- 身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
衍生認證:使用衍生自用戶智慧卡的憑證。 如需詳細資訊,請移至在 Microsoft Intune 中使用衍生認證。
受保護的 EAP (PEAP) :也請輸入:
證書伺服器名稱:輸入受信任證書頒發機構單位 (CA) 所簽發憑證中使用的一或多個通用名稱。 如果您輸入此資訊,您可以略過使用者裝置連線到此 Wi-Fi 網路時所顯示的動態信任對話方塊。
伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。
執行伺服器驗證:當設定為 [是] 時,在PEAP交涉階段1中,裝置會驗證憑證,並驗證伺服器。 選取 [否 ] 以封鎖或防止此驗證。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
如果您選取 [ 是],也請設定:
- 停用使用者提示進行伺服器驗證:當設定為 [ 是] 時,在PEAP交涉階段1中,不會顯示要求授權受信任證書頒發機構單位的新PEAP伺服器的使用者提示。 選取 [否 ] 以顯示提示。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
需要密碼編譯系結: 是 ,可防止連線到PEAP交涉期間未使用密碼編譯的PEAP伺服器。 否 不需要加密系結。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:
使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:
- 身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
SCEP 憑證:選取也部署到裝置的 SCEP 用戶端憑證 配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。
- 身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
PKCS 憑證:選取也部署至裝置的 PKCS 用戶端憑證 配置檔和受信任的 跟證書 。 用戶端憑證是裝置向伺服器呈現的身分識別,用來驗證連線。
- 身分識別隱私權 (外部身分識別) :輸入為了回應 EAP 身分識別要求而傳送的文字。 此文字可以是任何值。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。
衍生認證:使用衍生自用戶智慧卡的憑證。 如需詳細資訊,請移至在 Microsoft Intune 中使用衍生認證。
公司 Proxy 設定:選取以使用組織內的 Proxy 設定。 選項包括:
無:未設定 Proxy 設定。
手動設定:輸入 Proxy 伺服器 IP 位址 及其 埠號碼。
自動設定:輸入指向 PROXY 自動設定的 URL (PAC) 腳本。 例如,輸入
http://proxy.contoso.com/proxy.pac
。如需 PAC 檔案的詳細資訊,請移至 PROXY 自動設定 (PAC) 檔案 ( 開啟非Microsoft網站) 。
強制 Wi-Fi 配置檔符合美國聯邦資訊處理 Standard (FIPS) :針對 FIPS 140-2 標準進行驗證時,請選取 [是]。 所有使用密碼編譯型安全性系統來保護以數位方式儲存之機密但未分類資訊的美國聯邦政府機構都需要此標準。 選取 [否 ] 以不符合 FIPS 規範。
使用匯入的配置檔
對於 Intune 中無法使用的任何設定,您可以從另一個 Windows 裝置匯出 Wi-Fi 設定。 此匯出會建立具有所有設定的 XML 檔案。 然後,將此檔案匯入至 Intune,並使用它作為 Wi-Fi 配置檔。 如需匯入 XML 檔案的資訊,請移至匯出 和匯入 Windows 裝置的 Wi-Fi 設定。
相關文章
- 指派設定檔 並 監視其狀態。
- 在Wi-Fi設定概觀 Intune 深入瞭解 Wi-Fi 配置檔。
- 取得 適用於網路存取的可延伸驗證通訊協定 (EAP) 的相關信息。