Konfigurace profilů a nastavení protokolu EAP ve Windows

Tento článek obsahuje informace o běžně používaných způsobech konfigurace nastavení protokolu EAP (Extensible Authentication Protocol). Konkrétně popisuje konfiguraci profilů protokolu EAP pomocí nástrojů XML a příkazového řádku. Ukazuje také, jak nakonfigurovat nastavení a profily protokolu EAP pomocí různých uživatelských rozhraní ve Windows.

Profily XML

Jak je uvedeno v profilech XML pro protokol EAP, profily připojení pro Wi-Fi, Ethernet a VPN jsou soubory XML, které obsahují možnosti konfigurace pro připojení. Tyto profily je možné importovat nebo exportovat a ručně upravit. Při vytváření nebo úpravách profilů v uživatelském rozhraní (jak je podrobně popsáno v následujících částech) systém Windows interně nastaví odpovídající možnosti konfigurace XML. V důsledku toho můžete pomocí uživatelského rozhraní vytvořit profil a pak ho exportovat, abyste viděli možnosti konfigurace XML, které byly nastaveny.

Note

Ne každá možnost konfigurace je vystavená v uživatelském rozhraní. V závislosti na vašem scénáři možná budete muset ručně upravit profil XML a nastavit požadované možnosti konfigurace. Potom naimportujete aktualizovaný profil pro nasazení.

Pokud například používáte zásady správy mobilních zařízení (MDM), například Wi-Fi CSP, musíte zřídit úplný profil XML.

Příklad profilu Wi-Fi najdete v této ukázce.

Import a export profilů pomocí nástrojů příkazového řádku

Import a export profilů pomocí nástroje příkazového řádku může být užitečný v mnoha scénářích. Například když není možné konfigurovat MDM nebo zásady skupiny, může být nejrychlejší možností ruční zadání těchto příkazů nebo jejich skriptování. Dá se také použít k exportu profilů po jejich konfiguraci prostřednictvím jiného uživatelského rozhraní.

netsh

netsh je nástroj příkazového řádku, který lze použít k zobrazení a konfiguraci různých nastavení souvisejících se sítí. Další informace naleznete v tématu Network Shell (netsh). netsh lze volat z obou cmd a powershell. Následující tabulka uvádí některé běžné netsh příkazy a příklady pro import a export profilů. K získání dalších informací o příkazu, včetně syntaxe, můžete použít /? s libovolným příkazem netsh.

Wi-Fi

Command	Description
netsh wlan show profiles	Zobrazuje všechny profily Wi-Fi, včetně názvu profilu.
netsh wlan show profiles name="ProfileName"	Zobrazuje podrobné informace o konkrétním profilu Wi-Fi.
netsh wlan export profile name="ProfileName" folder="C:\Profiles"	Exportuje profil Wi-Fi do zadané složky. Složka musí existovat.
netsh wlan add profile filename="C:\Profiles\ProfileName.xml"	Přidá Wi-Fi profil ze zadaného souboru.
netsh wlan delete profile name="ProfileName"	Odstraní profil Wi-Fi.

Wired

Command	Description
netsh lan show profiles	Zobrazí všechny kabelové profily včetně názvu profilu a dalších podrobností.
netsh lan show profiles interface="Ethernet"	Zobrazuje podrobné informace o kabelovém profilu v konkrétním rozhraní.
netsh lan export profile interface="Ethernet" folder="C:\Profiles"	Exportuje drátový profil do zadané složky. Složka musí existovat. Pokud není zadáno žádné rozhraní, profil počítače se exportuje.
netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"	Přidá drátový profil ze zadaného souboru do zadaného rozhraní. Pokud není zadáno žádné rozhraní, profil se přidá jako profil počítače.
netsh lan delete profile interface="ProfileName"	Odstraní síťový profil. Pokud není zadáno žádné rozhraní, profil počítače se odstraní.

PowerShell

PowerShell je prostředí příkazového řádku a skriptovací jazyk, který lze použít k zobrazení a konfiguraci různých nastavení. Zahrnuje různé příkazy (rutiny), které je možné použít k importu a exportu profilů připojení. Pomocí rutiny Get-Help můžete získat další informace o této rutině, včetně syntaxe.

VPN

Podrobné informace o těchto rutinách najdete v tématu Get-VpnConnection, Set-VpnConnection a Add-VpnConnection.

Command	Description
Get-VpnConnection	Zobrazí všechny profily SÍTĚ VPN, včetně názvu profilu a dalších podrobností.
Get-VpnConnection -Name "ProfileName"	Zobrazuje souhrnné informace o konkrétním profilu sítě VPN.
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml"	Exportuje konfiguraci protokolu EAP pro konkrétní profil SÍTĚ VPN do souboru.
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")	Importuje konfiguraci protokolu EAP ze souboru a aktualizuje zadaný profil SÍTĚ VPN.

Aplikace Nastavení (Windows pro desktop)

Na desktopovém klientovi Windows je možné nakonfigurovat řadu běžných nastavení Wi-Fi, Ethernetu a VPN prostřednictvím aplikace Nastavení. Následující snímky obrazovky ukazují aplikaci Nastavení Windows 11, ale uživatelské rozhraní je ve Windows 10 podobné. Některé funkce a možnosti ale můžou být dostupné jenom ve Windows 11.

Wi-Fi

Windows 10 a Windows 11 podporují přidávání profilů Wi-Fi s konkrétní konfigurací (včetně 802.1X) v aplikaci Nastavení. Toto nastavení najdete v aplikaci Nastavení v části Síť a internet>Wi-Fi>Spravovat známé sítě>Přidat síť:

Toto dialogové okno umožňuje nakonfigurovat identifikátor SSID, typ zabezpečení a další nastavení pro profil Wi-Fi. Když vyberete typ zabezpečení podporující protokol EAP, například WPA3-Enterprise AES, zobrazí se v dialogovém okně možnost konfigurace nastavení protokolu EAP:

Tip

Po přidání sítě nemůžete pomocí aplikace Nastavení upravit nastavení protokolu EAP. Pokud chcete upravit nastavení protokolu EAP, udělejte jednu z těchto věcí:

• Odstraňte profil a znovu ho přidejte se správným nastavením.
• netsh K ruční úpravě profilu použijte příkazy popsané v netsh.

Wired

Windows 11 přidal podporu pro změnu nastavení ověřování 802.1X u drátových připojení v aplikaci Nastavení. Toto nastavení najdete v aplikaci Nastavení v části Síť a internet>Ethernet>Nastavení ověřování>Upravit>Nastavení ověřování sítě Ethernet:

Povolení nastavení ověřování IEEE 802.1X umožňuje upravit nastavení protokolu EAP pro profil:

Pokud má počítač nakonfigurovaný profil počítače nebo má rozhraní profil nakonfigurovaný zásadami skupiny, nastavení povolit ověřování IEEE 802.1X je zakázané a nejde ho změnit:

VPN

Windows 10 a Windows 11 mají podporu pro úpravy profilů VPN, včetně možností protokolu EAP, v aplikaci Nastavení. Toto nastavení najdete v aplikaci Nastavení v části Síť a internet>VPN:

Výběrem možnosti Přidat síť VPN můžete přidat nový profil SÍTĚ VPN:

Po přidání profilu VPN ho můžete upravit rozbalením profilu a výběrem Upřesnit možnosti>Změnit:

Editor zásad skupiny (desktopový a server)

Zásady skupiny jsou infrastruktura, která umožňuje spravovat konfigurace pro uživatele a počítače. Pomocí zásad skupiny můžete nakonfigurovat nastavení Wi-Fi, Ethernet a VPN na základě pravidel, která definujete. Následující snímky obrazovky ukazují Editor pro správu zásad skupiny systému Windows Server 2022, ale uživatelské rozhraní je podobné desktopovým ovládacím panelům Windows a editoru místních zásad skupiny. Další informace o možnostech zobrazených na následujících snímcích obrazovky najdete v tématu EAP pro přístup k síti.

Wi-Fi

Možnosti zásad skupiny pro Wi-Fi se nacházejí pod Konfigurace počítače>Zásady>Nastavení Windows>Nastavení zabezpečení>Zásady bezdrátové sítě (IEEE 802.11):

Kliknutím pravým tlačítkem myši na zásady bezdrátové sítě (IEEE 802.11) a výběrem možnosti Vytvořit novou zásadu bezdrátové sítě pro systém Windows Vista a novější verze se otevře dialogové okno Nové vlastnosti zásad bezdrátové sítě :

Toto dialogové okno umožňuje nastavit název zásady, popis a přidat/upravit/odebrat profily, stejně jako importovat a exportovatprofily XML.

Když vyberete Přidat a pak vyberete Infrastrukturu , otevře se dialogové okno Vlastnosti nového profilu :

Toto dialogové okno umožňuje nastavit název profilu a přidat identifikátory SSID, na které se profil vztahuje.

Výběr možnosti Zabezpečení umožňuje konfigurovat nastavení protokolu EAP pro profil:

Toto dialogové okno umožňuje nakonfigurovat typ zabezpečení a další nastavení pro profil Wi-Fi. Pokud je vybrán typ ověřování podporující ověřování 802.1X (například WPA2-Enterprise), zobrazí se možnosti zabezpečení 802.1X . Podrobnosti o jednotlivých metodách ověřování sítě najdete v metodách protokolu EAP .

Když je vybráno tlačítko Upřesnit... zobrazí se dialogové okno Upřesnit nastavení zabezpečení :

Toto dialogové okno umožňuje nastavit některá upřesňující nastavení 802.1X a možnosti jednotného přihlašování .

Tip

Ne každé nastavení je k dispozici pro konfiguraci v Editoru zásad skupiny. Můžete to ale obejít importem profilu XML s požadovaným nastavením. Další informace naleznete v tématu Profily XML.

Wired

Možnosti zásad skupiny pro drátové sítě jsou umístěny v části Konfigurace počítače>Zásady>Nastavení Windows>Nastavení zabezpečení>Zásady kabelové sítě (IEEE 802.3):

Kliknutím pravým tlačítkem myši na zásady drátové sítě (IEEE 802.3) a výběrem možnosti Vytvořit novou drátovou síťovou zásadu pro Windows Vista a novější verze se otevře dialogové okno Nové vlastnosti zásad drátové sítě :

Toto dialogové okno umožňuje nastavit název zásady, popis a následující možnosti:

Setting	element XML	Description
Použití služby Automatická konfigurace drátového systému Windows pro klienty	enableAutoConfig	Pokud je tato možnost vybraná, lze k připojení k drátovým sítím bez explicitní konfigurace použít službu Automatická konfigurace systému Windows (dot3svc). Pokud tato možnost není vybraná, síť zadaná v této zásadě je jedinou dostupnou sítí pro připojení.
Nepovolit sdílené přihlašovací údaje uživatele pro ověřování sítě	enableExplicitCreds	Pokud je tato možnost vybraná, nejsou pro ověřování sítě povoleny sdílené přihlašovací údaje uživatele. Přihlašovací údaje musí být explicitní.
Povolit období blokování (minuty)	blockPeriod	Určuje dobu, po kterou se po neúspěšném pokusu o ověření zablokují pokusy o automatické ověřování. Výchozí hodnota je 20 minut.

Výběr možnosti Zabezpečení umožňuje konfigurovat nastavení protokolu EAP pro profil:

Toto dialogové okno umožňuje konfigurovat typ zabezpečení a další nastavení pro drátovou síť. Další informace najdete v tématu 802.1X možnosti zabezpečení. Podrobnosti o jednotlivých metodách ověřování sítě najdete v metodách protokolu EAP .

Když je vybráno tlačítko Upřesnit... zobrazí se dialogové okno Upřesnit nastavení zabezpečení :

Toto dialogové okno umožňuje nastavit některá upřesňující nastavení 802.1X a možnosti jednotného přihlašování .

Tip

Ne každé nastavení je k dispozici pro konfiguraci v Editoru zásad skupiny. Můžete to ale obejít tak, že zálohujete objekt zásad skupiny, upravíte Backup.xml soubor s požadovaným nastavením a znovu ho naimportujete. Další informace naleznete v tématu Profily XML.

Metody EAP

Přehled různých metod protokolu EAP najdete v tématu Metody ověřování.

Microsoft: Čipová karta nebo jiný certifikát

Další informace o tomto dialogovém okně najdete v tématu EAP-TLS.

Výběrem možnosti Upřesnit se otevře dialogové okno Konfigurovat výběr certifikátu :

Microsoft: Chráněný EAP (PEAP)

Další informace o tomto dialogovém okně najdete v tématu PEAP.

Výběrem možnosti Konfigurovat... při výběru zabezpečeného hesla (EAP-MSCHAP v2) se otevře dialogové okno EAP MSCHAPv2 :

Microsoft: EAP-SIM

Další informace o tomto dialogovém okně najdete v tématu EAP-SIM.

Microsoft: EAP-TTLS

Další informace o tomto dialogovém okně najdete v tématu EAP-TTLS.

Microsoft: EAP-AKA

Další informace o tomto dialogovém okně najdete v tématu EAP-AKA.

Microsoft: EAP-AKA'

Další informace o tomto dialogovém okně najdete v tématu EAP-AKA.

Microsoft: EAP-TEAP

Další informace o tomto dialogovém okně naleznete v tématu TEAP.

Související obsah

• Správa nastavení zásad nové bezdrátové sítě (IEEE 802.11)
• Správa nastavení zásad nové kabelové sítě (IEEE 802.3)
• Upřesňující nastavení zabezpečení pro zásady drátové a bezdrátové sítě