Verwenden eines benutzerdefinierten Geräteprofils zum Erstellen eines WLAN-Profils mit einem vorinstallierten Schlüssel mithilfe von Intune

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Vorinstallierte Schlüssel (Pre-shared keys, PSK) werden üblicherweise verwendet, um Benutzer in WLANs (drahtlosen Netzwerken) zu authentifizieren. Mit Intune können Sie eine WLAN-Gerätekonfigurationsrichtlinie mithilfe eines vorinstallierten Schlüssels erstellen.

Verwenden Sie zum Erstellen des Profils das Intune-Feature Benutzerdefinierte Geräteprofile.

Diese Funktion gilt für:

• Android-Geräteadministrator
• Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
• Windows
• EAP-basiertes WLAN

Sie fügen Wi-Fi- und PSK-Informationen in einer XML-Datei hinzu. Anschließend fügen Sie die XML-Datei einer benutzerdefinierten Gerätekonfigurationsrichtlinie in Intune hinzu. Wenn die Richtlinie bereit ist, weisen Sie die Richtlinie Ihren Geräten zu. Wenn das Gerät das nächste Mal eincheckt, wird die Richtlinie angewendet, und ein Wi-Fi Profil wird auf dem Gerät erstellt.

In diesem Artikel erfahren Sie, wie Sie die Richtlinie in Intune erstellen, und enthält ein XML-Beispiel für eine EAP-basierte Wi-Fi-Richtlinie.

Wichtig

• Die Verwendung eines vorab freigegebenen Schlüssels mit Windows 10/11 verursacht einen Korrekturfehler, der in Intune angezeigt wird. In diesem Fall wird das Wi-Fi-Profil ordnungsgemäß dem Gerät zugewiesen, und das Profil funktioniert wie erwartet.
• Vergewissern Sie sich, dass die Datei geschützt ist, wenn Sie ein WLAN-Profil exportieren, das einen vorinstallierten Schlüssel enthält. Der Schlüssel ist nur-Text. Es liegt in Ihrer Verantwortung, den Schlüssel zu schützen.

Voraussetzungen

• Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Bevor Sie beginnen

• Es kann einfacher sein, die XML-Syntax von einem Computer zu kopieren, der eine Verbindung mit diesem Netzwerk herstellt, wie in Erstellen der XML-Datei aus einer vorhandenen Wi-Fi-Verbindung (in diesem Artikel) beschrieben.
• Sie können mehrere Netzwerke und Schlüssel hinzufügen, indem Sie weitere OMA-URI-Einstellungen hinzufügen.
• Verwenden Sie für iOS/iPadOS den Apple Configurator auf einer Mac-Station, um das Profil einzurichten.
• PSK erfordert eine Zeichenfolge von 64 Hexadezimalziffern oder eine Passphrase von 8 bis 63 druckbaren ASCII-Zeichen. Einige Zeichen, z. B. Sternchen (*), werden nicht unterstützt.

Erstellen eines benutzerdefinierten Profils

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen SieGerätekonfiguration>>Erstellen aus.

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie Ihre Plattform aus.
   • Profiltyp: Wählen Sie Benutzerdefiniert aus. Oder wählen Sie Vorlagen>Benutzerdefiniert aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise Android-Custom Wi-Fi-Profil.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Wählen Sie unter Konfigurationseinstellungen die Option Hinzufügen aus. Geben Sie eine neue OMA-URI-Einstellung mit folgenden Eigenschaften ein:

   1. Name: Geben Sie einen Namen für die OMA-URI-Einstellung ein.

   2. Beschreibung: Geben Sie eine Beschreibung für die OMA-URI-Einstellung ein. Diese Einstellung ist optional, wird aber empfohlen.

   3. OMA-URI: Geben Sie eine der folgenden Optionen ein:

      • Für Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Für Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Hinweis

      • Achten Sie darauf, das Punktzeichen am Anfang des OMA-URI-Werts einzuschließen.
      • Wenn die SSID ein Leerzeichen enthält, fügen Sie einen Escaperaum %20 hinzu.

      SSID (Service Set Identifier) ist Ihr Wi-Fi Netzwerkname, für den Sie die Richtlinie erstellen. Lautet der WLAN-Name beispielsweise Hotspot-1, geben Sie ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings ein. Wenn der WLAN-Name Contoso WiFi lautet, geben Sie ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (mit dem Escape-Raum %20) ein.

   4. Datentyp: Wählen Sie Zeichenfolge aus.

   5. Wert: Fügen Sie Ihren XML-Code ein. Sehen Sie sich das Beispiel in diesem Artikel an. Aktualisieren Sie jeden Wert, damit er Ihren Netzwerkeinstellungen entspricht. Der Kommentarabschnitt des Codes enthält einige Hinweise.

   6. Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.

8. Wählen Sie Weiter aus.

9. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT.

   Wählen Sie Weiter aus.

10. Wählen Sie unter Zuweisungen die Benutzer oder Benutzergruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.

    Hinweis

    Diese Richtlinie kann nur Benutzergruppen zugewiesen werden.

    Wählen Sie Weiter aus.

11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn sich die einzelnen Geräte das nächste Mal anmelden, wird die Richtlinie angewendet, und auf dem Gerät wird ein WLAN-Profil erstellt. Das Gerät kann dann automatisch eine Verbindung mit dem Netzwerk herstellen.

Android- oder Windows-WLAN-Profil – Beispiel

Das folgende Beispiel enthält den XML-Code für ein Android- oder Windows-WLAN-Profil. Das Beispiel zeigt Ihnen das richtige Format sowie weitere Details. Es ist nur ein Beispiel, und dient nicht als empfohlene Konfiguration für Ihre Umgebung.

Was Sie wissen müssen

• <protected>false</protected> muss auf FALSE festgelegt werden. Wenn true, könnte dies dazu führen, dass das Gerät ein verschlüsseltes Kennwort erwartet und dann versucht, es zu entschlüsseln. Dies kann zu einem Verbindungsfehler führen.

• <hex>53534944</hex> sollte auf den hexadezimalen Wert von <name><SSID of wifi profile></name> festgelegt werden. Windows 10/11-Geräte können einen false-Fehler x87D1FDE8 Remediation failed zurückgeben, aber das Gerät enthält weiterhin das Profil.

• XML enthält Sonderzeichen, wie z. B. & (kaufmännisches Und-Zeichen). Die Verwendung von Sonderzeichen kann verhindern, dass der XML-Code wie erwartet funktioniert.

Beispiel

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP-basiertes WLAN-Profil – Beispiel

Das folgende Beispiel enthält den XML-Code für ein EAP-basiertes Wi-Fi-Profil. Das Beispiel zeigt das richtige Format und enthält weitere Details. Es ist nur ein Beispiel, und dient nicht als empfohlene Konfiguration für Ihre Umgebung.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Erstellen der XML-Datei aus einer vorhandenen WLAN-Verbindung

Sie können die XML-Datei auch aus einer vorhandenen WLAN-Verbindung erstellen. Führen Sie auf einem Windows-Computer die folgenden Schritte aus:

1. Erstellen Sie einen lokalen Ordner für die exportierten Wi-Fi Profile, z. B. c:\WiFi.

2. Öffnen Sie eine Eingabeaufforderung als Administrator (klicken Sie dazu mit der rechten Maustaste auf cmd>Als Administrator ausführen).

3. Führen Sie netsh wlan show profiles aus. Dort sind alle Profilnamen aufgelistet.

4. Führen Sie netsh wlan export profile name="YourProfileName" folder=c:\Wifi aus. Mit diesem Befehl wird eine Datei namens Wi-Fi-YourProfileName.xml in „C:\Wifi“ erstellt.

   • Wenn Sie ein Wi-Fi Profil exportieren, das einen vorinstallierten Schlüssel enthält, fügen Sie dem Befehl hinzu key=clear . Der key=clear -Parameter exportiert den Schlüssel als Nur-Text, der für die erfolgreiche Verwendung des Profils erforderlich ist:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Wenn das exportierte Wi-Fi Profilelement <name></name> ein Leerzeichen enthält, wird bei der Zuweisung möglicherweise ein ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) Fehler zurückgegeben. Bei Auftreten dieses Fehlers wird das Profil in \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces aufgeführt und als bekanntes Netzwerk angezeigt. Es wird jedoch nicht erfolgreich als verwaltete Richtlinie im URI „Bereiche verwaltet von...“.

     Entfernen Sie das Leerzeichen, um dieses Problem zu beheben.

Nachdem Sie die XML-Datei erstellt haben, kopieren Sie die XML-Syntax, und fügen Sie sie in die OMA-URI-Einstellungen >Datentyp ein. Im Abschnitt Erstellen eines benutzerdefinierten Profils (in diesem Artikel) werden die erforderlichen Schritte aufgelistet.

Tipp

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} umfasst auch alle Profile im XML-Format.

Bewährte Methoden

• Bevor Sie ein WLAN-Profil mit PSK bereitstellen, vergewissern Sie sich, dass das Gerät eine direkte Verbindung mit dem Endpunkt herstellen kann.

• Rechnen Sie beim Rotieren von Schlüsseln (Kennwörtern oder Passphrasen) mit Ausfallzeiten, und planen Sie Ihre Bereitstellungen. Folgende Aktionen sollten Sie ausführen:

  • Vergewissern Sie sich, dass die Geräte über eine alternative Verbindung mit dem Internet verfügen.

    Beispielsweise kann der Endbenutzer wieder zum Gast-WLAN (oder einem anderen WLAN-Netzwerk) wechseln oder über eine Mobilfunkverbindung verfügen, um mit Intune zu kommunizieren. Die zusätzliche Verbindung ermöglicht es dem Benutzer, Richtlinienupdates zu erhalten, wenn das Unternehmensprofil Wi-Fi auf dem Gerät aktualisiert wird.

  • Pushen Sie neue Wi-Fi Profile außerhalb der Arbeitszeit.

  • Warnen Sie Benutzer, dass die Konnektivität möglicherweise beeinträchtigt wird.

Ressourcen

Denken Sie daran, das Profil zuzuweisen und seinen Status zu überwachen.