Přidání nastavení Wi-Fi pro zařízení s iOSem a iPadOS v Microsoft Intune

Můžete vytvořit profil s konkrétním nastavením Wi-Fi a pak ho nasadit do zařízení s iOS/iPadOS pomocí Intune. V rámci řešení správy mobilních zařízení (MDM) použijte tato nastavení k ověření sítě, přidání certifikátu PKCS (Public Key Cryptography Standards) nebo SCEP (Simple Certificate Enrollment Protocol), konfiguraci proxy serveru atd.

Tato funkce platí pro:

• iOS/iPadOS

Tato nastavení Wi-Fi jsou rozdělená do dvou kategorií: základní nastavení a nastavení na úrovni podniku.

Tento článek popisuje nastavení, která můžete nakonfigurovat.

Než začnete

• Vytvořte konfigurační profil zařízení Wi-Fi iOS/iPadOS.

• Tato nastavení jsou dostupná pro všechny typy registrací. Další informace o typech registrací najdete v tématu Registrace iOS/iPadOS.

• Tato nastavení používají datovou část Apple Wi-Fi (otevře web společnosti Apple).

Základní profily

• Typ Wi-Fi: Vyberte Základní.

• Název sítě: Zadejte název tohoto Wi-Fi připojení. Tento název se uživatelům zobrazí při procházení seznamu dostupných připojení na svém zařízení.

• SSID: Tato vlastnost identifikátoru sady služeb (SSID) je skutečný název bezdrátové sítě, ke které se zařízení připojují. Uživatelé ale uvidí název sítě, který jste nakonfigurovali, jenom když zvolí připojení.

• Připojovat se automaticky: Povolte automatické připojení k této síti, když je zařízení v dosahu. Zakázat zabrání zařízením v automatickém připojení.

• Skrytá síť: Povolení odpovídá tomuto nastavení zařízení s nastavením na směrovači Wi-Fi konfiguraci. Pokud je tedy síť nastavená na skrytou, je také skrytá v profilu Wi-Fi. Pokud je síťový identifikátor SSID vysílaný a viditelný, vyberte Zakázat .

• Typ zabezpečení: Vyberte protokol zabezpečení, který se má ověřit v Wi-Fi síti. Možnosti:

  • Otevřít (bez ověřování): Tuto možnost použijte jenom v případě, že je síť nezabezpečená.
  • WPA/WPA2 – osobní: Zadejte heslo do pole Předsdílený klíč (PSK). Když je síť vaší organizace nastavená nebo nakonfigurovaná, nakonfiguruje se také heslo nebo síťový klíč. Jako hodnotu PSK zadejte toto heslo nebo síťový klíč.
  • WEP

• Nastavení proxy serveru: Vaše možnosti:

  • Žádné: Není nakonfigurováno žádné nastavení proxy serveru.

  • Ručně: Jako IP adresu zadejte adresu proxy serveru a její číslo portu.

  • Automaticky: Ke konfiguraci proxy serveru použijte soubor. Zadejte adresu URL proxy serveru , která obsahuje konfigurační soubor. Zadejte http://proxy.contoso.comnapříklad , 10.0.0.11nebo http://proxy.contoso.com/proxy.pac.

    Další informace o souborech PAC najdete v souboru PAC (Proxy Auto-Configuration) ( otevře web od jiných společností než Microsoft).

• Zakázání náhodného používání adres MAC: Od verze iOS/iPadOS 14 zařízení při připojování k síti místo fyzické adresy MAC prezentují náhodnou adresu MAC. Kvůli ochraně osobních údajů se doporučuje používat náhodné adresy MAC, protože je těžší sledovat zařízení podle adresy MAC. Randomizované adresy MAC však naruší funkčnost, která závisí na statické adrese MAC, včetně řízení přístupu k síti (NAC).

  Možnosti:

  • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Když se zařízení připojí k nové síti, ve výchozím nastavení zařízení místo fyzické adresy MAC prezentují náhodnou adresu MAC.
  • Ano: Vynutí, aby zařízení místo náhodné adresy MAC zobrazovala svoji skutečnou Wi-Fi adresu MAC. Ano umožňuje sledovat zařízení podle jejich adresy MAC. Randomizaci adres MAC zakažte pouze v případě potřeby, například pro podporu řízení přístupu k síti (NAC).
  • Ne: Povolí náhodné přemístování adres MAC na zařízeních. Uživatelé ho nemůžou vypnout. Když se zařízení připojí k nové síti, místo fyzické adresy MAC se zobrazí náhodná adresa MAC.

  Toto nastavení platí pro:

  • iOS 14.0 a novější
  • iPadOS 14.0 a novější

Podnikové profily

• Typ Wi-Fi: Vyberte Enterprise.

• Název sítě: Zadejte název tohoto Wi-Fi připojení. Tento název se uživatelům zobrazí při procházení seznamu dostupných připojení na svém zařízení.

• SSID: Zkratka pro identifikátor sady služeb. Tato vlastnost je skutečný název bezdrátové sítě, ke které se zařízení připojují. Uživatelé ale uvidí název sítě, který jste nakonfigurovali, jenom když zvolí připojení.

• Připojovat se automaticky: Povolte automatické připojení k této síti, když je zařízení v dosahu. Zakázat zabrání zařízením v automatickém připojení.

• Skrytá síť: Povolení odpovídá tomuto nastavení zařízení s nastavením na směrovači Wi-Fi konfiguraci. Pokud je tedy síť nastavená na skrytou, je také skrytá v profilu Wi-Fi. Pokud je síťový identifikátor SSID vysílaný a viditelný, vyberte Zakázat .

• Typ zabezpečení: Vyberte protokol zabezpečení, který se má ověřit v Wi-Fi síti. Možnosti:

  • WPA - Enterprise
  • WPA/WPA2 - Enterprise

• Typ protokolu EAP: Vyberte typ protokolu EAP (Extensible Authentication Protocol) používaný k ověřování zabezpečených bezdrátových připojení. Možnosti:

  • EAP-FAST: Zadejte nastavení PAC (Protected Access Credential). Tato možnost používá přihlašovací údaje chráněného přístupu k vytvoření ověřeného tunelu mezi klientem a ověřovacím serverem. Možnosti:

    • Nepoužívat (PAC)
    • Použijte (PAC): Pokud existuje existující soubor PAC, použijte ho.
    • Použití a zřízení PAC: Vytvořte soubor PAC a přidejte ho do svých zařízení.
    • Používejte a zřizovat PAC anonymně: Vytvořte a přidejte soubor PAC do svých zařízení bez ověřování na serveru.

  • EAP-SIM

  • EAP-TLS: Zadejte také:

    • Názvy certifikačních serverů: Přidejte jeden nebo více běžných názvů používaných v certifikátech vydaných vaší důvěryhodnou certifikační autoritou (CA) na servery pro přístup k bezdrátové síti. Můžete například přidat mywirelessserver.contoso.com nebo mywirelessserver. Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na zařízeních uživatelů, když se připojí k této Wi-Fi síti. Pokud máte v plně kvalifikovaném názvu domény více serverů Radius se stejnou příponou DNS, můžete zadat příponu se zástupným znakem. Můžete například zadat *.contoso.com.

    • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat. Tento certifikát umožňuje klientovi důvěřovat certifikátu serveru pro přístup k bezdrátové síti.

    • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

      • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Pokud není nakonfigurovaný žádný odvozený vystavitel přihlašovacích údajů, Intune vás vyzve k jeho přidání. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

      • Certifikáty: Vyberte profil klientského certifikátu SCEP nebo PKCS, který je také nasazený v zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.

      • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.

  • EAP-TTLS: Zadejte také:

    • Názvy certifikačních serverů: Přidejte jeden nebo více běžných názvů používaných v certifikátech vydaných vaší důvěryhodnou certifikační autoritou (CA) na servery pro přístup k bezdrátové síti. Můžete například přidat mywirelessserver.contoso.com nebo mywirelessserver. Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na zařízeních uživatelů, když se připojí k této Wi-Fi síti.

    • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat. Tento certifikát umožňuje klientovi důvěřovat certifikátu serveru pro přístup k bezdrátové síti.

    • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

      • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Pokud není nakonfigurovaný žádný odvozený vystavitel přihlašovacích údajů, Intune vás vyzve k jeho přidání. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

      • Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení. Zadejte také:

        • Metoda bez protokolu EAP (vnitřní identita): Zvolte způsob ověřování připojení. Nezapomeňte zvolit stejný protokol, který je nakonfigurovaný ve vaší Wi-Fi síti.

          Vaše možnosti: Nešifrované heslo (PAP),protokol CHAP (Challenge Handshake Authentication Protocol),Microsoft CHAP (MS-CHAP) nebo Microsoft CHAP verze 2 (MS-CHAP v2)

      • Certifikáty: Vyberte profil klientského certifikátu SCEP nebo PKCS, který je také nasazený v zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.

      • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.

  • SKOK

  • PEAP: Zadejte také:

    • Názvy certifikačních serverů: Přidejte jeden nebo více běžných názvů používaných v certifikátech vydaných vaší důvěryhodnou certifikační autoritou (CA) na servery pro přístup k bezdrátové síti. Můžete například přidat mywirelessserver.contoso.com nebo mywirelessserver. Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na zařízeních uživatelů, když se připojí k této Wi-Fi síti.

    • Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat. Tento certifikát umožňuje klientovi důvěřovat certifikátu serveru pro přístup k bezdrátové síti.

    • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

      • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Pokud není nakonfigurovaný žádný odvozený vystavitel přihlašovacích údajů, Intune vás vyzve k jeho přidání. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

      • Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení.

      • Certifikáty: Vyberte profil klientského certifikátu SCEP nebo PKCS, který je také nasazený v zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.

      • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný v odpovědi na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například anonymous. Během ověřování se tato anonymní identita na začátku odešle. Pak se skutečná identifikace odešle v zabezpečeném tunelu.

• Nastavení proxy serveru: Vyberte konfiguraci proxy serveru. Možnosti:

  • Žádné: Není nakonfigurováno žádné nastavení proxy serveru.

  • Ručně: Jako IP adresu zadejte adresu proxy serveru a její číslo portu.

  • Automaticky: Ke konfiguraci proxy serveru použijte soubor. Zadejte adresu URL proxy serveru , která obsahuje konfigurační soubor. Zadejte http://proxy.contoso.comnapříklad , 10.0.0.11nebo http://proxy.contoso.com/proxy.pac.

    Další informace o souborech PAC najdete v souboru PAC (Proxy Auto-Configuration) ( otevře web od jiných společností než Microsoft).

• Zakázání náhodného používání adres MAC: Od verze iOS/iPadOS 14 zařízení při připojování k síti místo fyzické adresy MAC prezentují náhodnou adresu MAC. Kvůli ochraně osobních údajů se doporučuje používat náhodné adresy MAC, protože je těžší sledovat zařízení podle adresy MAC. Náhodné adresy MAC také přerušují funkčnost, která závisí na statické adrese MAC, včetně řízení přístupu k síti (NAC).

  Možnosti:

  • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení můžou zařízení při připojování k síti místo fyzické adresy MAC prezentovat náhodnou adresu MAC.
  • Ano: Vynutí, aby zařízení místo náhodné adresy MAC zobrazovala svoji skutečnou Wi-Fi adresu MAC. Ano umožňuje sledovat zařízení podle jejich adresy MAC. Randomizaci adres MAC zakažte pouze v případě potřeby, například pro podporu řízení přístupu k síti (NAC).
  • Ne: Povolí náhodné přemístování adres MAC na zařízeních. Uživatelé ho nemůžou vypnout. Když se zařízení připojí k síti, zobrazí se místo fyzické adresy MAC náhodná adresa MAC.

  Toto nastavení platí pro:

  • iOS 14.0 a novější
  • iPadOS 14.0 a novější

Související články

• Nezapomeňte tento profil přiřadit a sledovat jeho stav.

• Nakonfigurujte nastavení Wi-Fi na zařízeních s Androidem, AndroidEm Enterprise, macOS a Windows .