Přidání nastavení kabelové sítě pro zařízení s Windows v Microsoft Intune
Můžete vytvořit profil s konkrétním nastavením kabelové sítě a pak ho nasadit do zařízení s Windows. Microsoft Intune nabízí mnoho funkcí, včetně ověřování v síti, přidání certifikátu SCEP a dalších.
Tento článek popisuje nastavení, která můžete nakonfigurovat.
Než začnete
Tato nastavení jsou dostupná pro všechny typy registrací. Další informace o typech registrace najdete v tématu Nastavení registrace pro zařízení s Windows.
Tato nastavení používají poskytovatele CSP WiredNetwork.
Drátová síť
Režim ověřování: Vyberte, jak se má profil ověřovat v síti. Pokud používáte ověřování pomocí certifikátu, ujistěte se, že typ certifikátu odpovídá typu ověřování.
Možnosti:
- Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém používat ověřování uživatele nebo počítače .
- Uživatel: Uživatelský účet přihlášený k zařízení se ověřuje v síti.
- Počítač: Přihlašovací údaje zařízení se ověřují v síti.
- Uživatel nebo počítač: Když je uživatel přihlášený k zařízení, přihlašovací údaje uživatele se ověřují v síti. Pokud nejsou přihlášení žádní uživatelé, ověřte přihlašovací údaje zařízení.
- Host: K síti nejsou přidružené žádné přihlašovací údaje. Ověřování je buď otevřené, nebo se zpracovává externě, například prostřednictvím webové stránky.
Pamatovat si přihlašovací údaje při každém přihlášení: Vyberte, pokud chcete přihlašovací údaje uživatele ukládat do mezipaměti, nebo jestli je uživatelé musí zadat pokaždé, když se připojují k síti. Možnosti:
- Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém tuto funkci povolit a přihlašovací údaje ukládat do mezipaměti.
- Povolit: Ukládá přihlašovací údaje uživatele do mezipaměti při prvním připojení uživatelů k síti. Přihlašovací údaje uložené v mezipaměti se používají pro budoucí připojení a uživatelé je nemusí znovu zadávat.
- Zakázat: Přihlašovací údaje uživatele se nezapamatová a neukážou se do mezipaměti. Když se uživatelé připojují k síti, musí pokaždé zadat svoje přihlašovací údaje.
Doba ověřování: Zadejte počet sekund, po které musí zařízení čekat po pokusu o ověření, od 1 do 3600. Pokud se zařízení v době, kdy zadáte, nepřipojí, ověřování se nezdaří. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se
18sekundy.Doba zpoždění opakování ověřování: Zadejte počet sekund mezi neúspěšným pokusem o ověření a dalším pokusem o ověření od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použije se
1sekunda.Počáteční období: Zadejte počet sekund čekání před odesláním EAPOL-Start zprávy od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se
5sekundy.Maximální hodnota EAPOL-start: Zadejte počet EAPOL-Start zpráv od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, odešle se maximálně zpráv
3.Maximální počet selhání ověřování: Zadejte maximální počet selhání ověřování pro tuto sadu přihlašovacích údajů k ověření, od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou
1, použije se pokus.802.1x: Pokud je nastavená možnost Vynutit, služba automatické konfigurace pro kabelové sítě (Automatická konfigurace kabelové sítě) vyžaduje pro ověření portu použití 802.1X. Pokud je nastavená možnost Nevynucovat (výchozí), služba Automatická konfigurace kabelové sítě nevyžaduje použití 802.1X pro ověřování portů.
Upozornění
Pokud je nastavená možnost Vynutit, ujistěte se, že nastavení konfigurace v zásadách jsou správná a odpovídají nastavení sítě. Pokud se nastavení zásad neshoduje s nastavením vaší sítě, bude v zařízení blokovaný přístup k internetu. Zařízení se nemůže připojit k internetu, aby získalo aktualizovanou verzi zásad. Pokud chcete znovu získat přístup k internetu, musíte zásadu ze zařízení odebrat ručně.
Doba blokování (minuty): Po neúspěšném pokusu o ověření se operační systém automaticky pokusí znovu ověřit. Zadejte počet minut, po které se mají tyto pokusy o automatické ověření zablokovat, od 0 do 1440. Pokud tuto hodnotu necháte prázdnou nebo prázdnou, operační systém se může automaticky pokusit o ověření znovu.
Typ protokolu EAP: Vyberte typ protokolu EAP (Extensible Authentication Protocol) pro ověření zabezpečených kabelových připojení. Možnosti:
EAP-SIM
EAP-TLS: Zadejte také:
- Vztah důvěryhodnosti serveru - Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Když zadáte tyto informace, můžete obejít okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této síti.
- Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
- Ověřování - klientů Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
Certifikát SCEP: Vyberte existující profil klientského certifikátu SCEP, který je také nasazený do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.
Certifikát PKCS: Vyberte existující profil klientského certifikátu PKCS a existující důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.
Import certifikátu PFX: Vyberte existující importovaný profil certifikátu PFX. Klientský certifikát je identita, kterou zařízení předloží k ověření připojení.
Další informace o importovaných certifikátech PFX najdete v tématu Konfigurace a použití importovaných certifikátů PKCS s Intune.
Odvozené přihlašovací údaje: Vyberte existující profil certifikátu odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
EAP-TTLS: Zadejte také:
Vztah důvěryhodnosti serveru - Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti, které se zobrazuje na uživatelských zařízeních, když se připojují k této síti.
Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
Ověřování - klientů Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření síťového připojení. Zadejte také:
Metoda bez protokolu EAP (vnitřní identita): Zvolte způsob ověření síťového připojení. Nezapomeňte vybrat stejný protokol, který je nakonfigurovaný ve vaší síti.
Vaše možnosti: Nešifrované heslo (PAP),protokol CHAP (Challenge Handshake),Microsoft CHAP (MS-CHAP) nebo Microsoft CHAP verze 2 (MS-CHAP v2)
Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
Certifikát SCEP: Vyberte existující profil klientského certifikátu SCEP, který je také nasazený do zařízení. Tento certifikát je identita, kterou zařízení předloží k ověření síťového připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Certifikát PKCS: Vyberte existující profil klientského certifikátu PKCS a existující důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží k ověření síťového připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Import certifikátu PFX: Vyberte existující importovaný profil certifikátu PFX. Klientský certifikát je identita, kterou zařízení předloží k ověření síťového připojení.
Další informace o importovaných certifikátech PFX najdete v tématu Konfigurace a použití importovaných certifikátů PKCS s Intune.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Odvozené přihlašovací údaje: Vyberte existující profil certifikátu odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Protected EAP (PEAP): Zadejte také:
Vztah důvěryhodnosti - serveru Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti, které se zobrazuje na uživatelských zařízeních, když se připojují k této síti.
Kořenový certifikát pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.
Provést ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 ověří zařízení certifikát a ověří server. Pokud chcete toto ověření zablokovat nebo zabránit, vyberte Ne . Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.
Pokud vyberete Ano, nakonfigurujte také:
- Zakázat uživatelské výzvy k ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 se nezobrazují výzvy uživatelů s žádostí o autorizaci nových serverů PEAP pro důvěryhodné certifikační autority. Výběrem možnosti Ne zobrazte výzvy. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje.
Vyžadovat kryptografickou vazbu: Ano zabraňuje připojení k serverům PEAP, které během vyjednávání protokolu PEAP nepoužívají kryptografickou vazbu. Ne nevyžaduje kryptografické vazby. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje.
Ověřování - klientů Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření síťového připojení. Zadejte také:
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Certifikát SCEP: Vyberte existující profil klientského certifikátu SCEP, který je také nasazený do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Certifikát PKCS: Vyberte existující profil klientského certifikátu PKCS a existující důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Import certifikátu PFX: Vyberte existující importovaný profil certifikátu PFX. Klientský certifikát je identita, kterou zařízení předloží k ověření síťového připojení.
Další informace o importovaných certifikátech PFX najdete v tématu Konfigurace a použití importovaných certifikátů PKCS s Intune.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
anonymous. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.
- Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu, například
Odvozené přihlašovací údaje: Vyberte existující profil certifikátu odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Tunnel EAP (TEAP): Zadejte také:
Vztah důvěryhodnosti - serveru Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti, které se zobrazuje na uživatelských zařízeních, když se připojují k této síti.
Ověřování - klientů Primární metoda ověřování: Vyberte primární metodu ověřování, kterou klienti zařízení používají k ověřování uživatelů. Tato metoda ověřování je certifikát identity, který zařízení předloží serveru.
Možnosti:
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření síťového připojení.
Certifikát SCEP: Vyberte existující profil klientského certifikátu SCEP, který je také nasazený do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
Certifikát PKCS: Vyberte existující profil klientského certifikátu PKCS a existující důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
Odvozené přihlašovací údaje: Vyberte existující profil certifikátu odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Ověřování - klientů Sekundární metoda ověřování: Vyberte sekundární metodu ověřování, kterou používají klienti zařízení k ověřování počítačů. Tato metoda ověřování je certifikát identity, který zařízení předloží serveru.
Pokud primární metoda ověřování selže, použije se sekundární metoda ověřování . Pokud sekundární metoda ověřování není dostupná, sekundární metoda ověřování se nepoužívá, i když primární metoda ověřování selže. Ověřování se nezdaří.
Možnosti:
Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení se nepoužívá žádná sekundární metoda ověřování. Pokud primární metoda ověřování selže, ověřování se nezdaří.
Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření síťového připojení.
Certifikát SCEP: Vyberte existující profil klientského certifikátu SCEP, který je také nasazený do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
Certifikát PKCS: Vyberte existující profil klientského certifikátu PKCS a existující důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru k ověření síťového připojení.
Odvozené přihlašovací údaje: Vyberte existující profil certifikátu odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Další kroky
Profil se vytvoří, ale nemusí nic dělat. Nezapomeňte tento profil přiřadit a sledovat jeho stav.
Nastavení kabelové sítě pro zařízení s macOS
Další zdroje informací
Protokol EAP (Extensible Authentication Protocol) pro přístup k síti
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro