Verwenden eines benutzerdefinierten Geräteprofils zum Erstellen eines WLAN-Profils mit einem vorinstallierten Schlüssel mithilfe von Intune
Wichtig
Microsoft Intune beendet am 31. Dezember 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Vorinstallierte Schlüssel (Pre-shared keys, PSK) werden üblicherweise verwendet, um Benutzer in WLANs (drahtlosen Netzwerken) zu authentifizieren. Mit Intune können Sie eine WLAN-Gerätekonfigurationsrichtlinie mithilfe eines vorinstallierten Schlüssels erstellen.
Verwenden Sie zum Erstellen des Profils das Intune-Feature Benutzerdefinierte Geräteprofile.
Diese Funktion gilt für:
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Windows
- EAP-basiertes WLAN
Sie fügen Wi-Fi- und PSK-Informationen in einer XML-Datei hinzu. Anschließend fügen Sie die XML-Datei einer benutzerdefinierten Gerätekonfigurationsrichtlinie in Intune hinzu. Wenn die Richtlinie bereit ist, weisen Sie die Richtlinie Ihren Geräten zu. Wenn das Gerät das nächste Mal eincheckt, wird die Richtlinie angewendet, und ein Wi-Fi Profil wird auf dem Gerät erstellt.
In diesem Artikel erfahren Sie, wie Sie die Richtlinie in Intune erstellen, und enthält ein XML-Beispiel für eine EAP-basierte Wi-Fi-Richtlinie.
Wichtig
- Die Verwendung eines vorab freigegebenen Schlüssels mit Windows 10/11 verursacht einen Korrekturfehler, der in Intune angezeigt wird. In diesem Fall wird das Wi-Fi-Profil ordnungsgemäß dem Gerät zugewiesen, und das Profil funktioniert wie erwartet.
- Vergewissern Sie sich, dass die Datei geschützt ist, wenn Sie ein WLAN-Profil exportieren, das einen vorinstallierten Schlüssel enthält. Der Schlüssel ist nur-Text. Es liegt in Ihrer Verantwortung, den Schlüssel zu schützen.
Voraussetzungen
- Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.
Bevor Sie beginnen
- Es kann einfacher sein, die XML-Syntax von einem Computer zu kopieren, der eine Verbindung mit diesem Netzwerk herstellt, wie in Erstellen der XML-Datei aus einer vorhandenen Wi-Fi-Verbindung (in diesem Artikel) beschrieben.
- Sie können mehrere Netzwerke und Schlüssel hinzufügen, indem Sie weitere OMA-URI-Einstellungen hinzufügen.
- Verwenden Sie für iOS/iPadOS den Apple Configurator auf einer Mac-Station, um das Profil einzurichten.
- PSK erfordert eine Zeichenfolge von 64 Hexadezimalziffern oder eine Passphrase von 8 bis 63 druckbaren ASCII-Zeichen. Einige Zeichen, z. B. Sternchen (
*
), werden nicht unterstützt.
Erstellen eines benutzerdefinierten Profils
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Ihre Plattform aus.
- Profiltyp: Wählen Sie Benutzerdefiniert aus. Oder wählen Sie Vorlagen>Benutzerdefiniert aus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise Android-Custom Wi-Fi-Profil.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Wählen Sie unter Konfigurationseinstellungen die Option Hinzufügen aus. Geben Sie eine neue OMA-URI-Einstellung mit folgenden Eigenschaften ein:
Name: Geben Sie einen Namen für die OMA-URI-Einstellung ein.
Beschreibung: Geben Sie eine Beschreibung für die OMA-URI-Einstellung ein. Diese Einstellung ist optional, wird aber empfohlen.
OMA-URI: Geben Sie eine der folgenden Optionen ein:
-
Für Android:
./Vendor/MSFT/WiFi/Profile/SSID/Settings
-
Für Windows:
./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
Hinweis
- Achten Sie darauf, das Punktzeichen am Anfang des OMA-URI-Werts einzuschließen.
- Wenn die SSID ein Leerzeichen enthält, fügen Sie einen Escaperaum
%20
hinzu.
SSID (Service Set Identifier) ist Ihr Wi-Fi Netzwerkname, für den Sie die Richtlinie erstellen. Lautet der WLAN-Name beispielsweise
Hotspot-1
, geben Sie./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings
ein. Wenn der WLAN-NameContoso WiFi
lautet, geben Sie./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings
(mit dem Escape-Raum%20
) ein.-
Für Android:
Datentyp: Wählen Sie Zeichenfolge aus.
Wert: Fügen Sie Ihren XML-Code ein. Sehen Sie sich das Beispiel in diesem Artikel an. Aktualisieren Sie jeden Wert, damit er Ihren Netzwerkeinstellungen entspricht. Der Kommentarabschnitt des Codes enthält einige Hinweise.
Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.
Wählen Sie Weiter aus.
Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie
US-NC IT Team
oderJohnGlenn_ITDepartment
zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT.Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die Benutzer oder Benutzergruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.
Hinweis
Diese Richtlinie kann nur Benutzergruppen zugewiesen werden.
Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
Wenn sich die einzelnen Geräte das nächste Mal anmelden, wird die Richtlinie angewendet, und auf dem Gerät wird ein WLAN-Profil erstellt. Das Gerät kann dann automatisch eine Verbindung mit dem Netzwerk herstellen.
Android- oder Windows-WLAN-Profil – Beispiel
Das folgende Beispiel enthält den XML-Code für ein Android- oder Windows-WLAN-Profil. Das Beispiel zeigt Ihnen das richtige Format sowie weitere Details. Es ist nur ein Beispiel, und dient nicht als empfohlene Konfiguration für Ihre Umgebung.
Was Sie wissen müssen
<protected>false</protected>
muss auf FALSE festgelegt werden. Wenn true, könnte dies dazu führen, dass das Gerät ein verschlüsseltes Kennwort erwartet und dann versucht, es zu entschlüsseln. Dies kann zu einem Verbindungsfehler führen.<hex>53534944</hex>
sollte auf den hexadezimalen Wert von<name><SSID of wifi profile></name>
festgelegt werden. Windows 10/11-Geräte können einen false-Fehlerx87D1FDE8 Remediation failed
zurückgeben, aber das Gerät enthält weiterhin das Profil.XML enthält Sonderzeichen, wie z. B.
&
(kaufmännisches Und-Zeichen). Die Verwendung von Sonderzeichen kann verhindern, dass der XML-Code wie erwartet funktioniert.
Beispiel
<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name><Name of wifi profile></name>
<SSIDConfig>
<SSID>
<hex>53534944</hex>
<name><SSID of wifi profile></name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication><Type of authentication></authentication>
<encryption><Type of encryption></encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>password</keyMaterial>
</sharedKey>
<keyIndex>0</keyIndex>
</security>
</MSM>
</WLANProfile>
EAP-basiertes WLAN-Profil – Beispiel
Das folgende Beispiel enthält den XML-Code für ein EAP-basiertes Wi-Fi-Profil. Das Beispiel zeigt das richtige Format und enthält weitere Details. Es ist nur ein Beispiel, und dient nicht als empfohlene Konfiguration für Ihre Umgebung.
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>testcert</name>
<SSIDConfig>
<SSID>
<hex>7465737463657274</hex>
<name>testcert</name>
</SSID>
<nonBroadcast>true</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>user</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<AllPurposeEnabled>true</AllPurposeEnabled>
<CAHashList Enabled="true">
<IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Client Authentication</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true"/>
<AnyPurposeEKUList Enabled="false">
<EKUMapInList>
<EKUName>Client Authentication</EKUName>
</EKUMapInList>
</AnyPurposeEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>
Erstellen der XML-Datei aus einer vorhandenen WLAN-Verbindung
Sie können die XML-Datei auch aus einer vorhandenen WLAN-Verbindung erstellen. Führen Sie auf einem Windows-Computer die folgenden Schritte aus:
Erstellen Sie einen lokalen Ordner für die exportierten Wi-Fi Profile, z. B. c:\WiFi.
Öffnen Sie eine Eingabeaufforderung als Administrator (klicken Sie dazu mit der rechten Maustaste auf
cmd
>Als Administrator ausführen).Führen Sie
netsh wlan show profiles
aus. Dort sind alle Profilnamen aufgelistet.Führen Sie
netsh wlan export profile name="YourProfileName" folder=c:\Wifi
aus. Mit diesem Befehl wird eine Datei namensWi-Fi-YourProfileName.xml
in „C:\Wifi“ erstellt.Wenn Sie ein Wi-Fi Profil exportieren, das einen vorinstallierten Schlüssel enthält, fügen Sie dem Befehl hinzu
key=clear
. Derkey=clear
-Parameter exportiert den Schlüssel als Nur-Text, der für die erfolgreiche Verwendung des Profils erforderlich ist:netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi
Wenn das exportierte Wi-Fi Profilelement
<name></name>
ein Leerzeichen enthält, wird bei der Zuweisung möglicherweise einERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500)
Fehler zurückgegeben. Bei Auftreten dieses Fehlers wird das Profil in\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces
aufgeführt und als bekanntes Netzwerk angezeigt. Es wird jedoch nicht erfolgreich als verwaltete Richtlinie im URI „Bereiche verwaltet von...“.Entfernen Sie das Leerzeichen, um dieses Problem zu beheben.
Nachdem Sie die XML-Datei erstellt haben, kopieren Sie die XML-Syntax, und fügen Sie sie in die OMA-URI-Einstellungen >Datentyp ein. Im Abschnitt Erstellen eines benutzerdefinierten Profils (in diesem Artikel) werden die erforderlichen Schritte aufgelistet.
Tipp
\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid}
umfasst auch alle Profile im XML-Format.
Bewährte Methoden
Bevor Sie ein WLAN-Profil mit PSK bereitstellen, vergewissern Sie sich, dass das Gerät eine direkte Verbindung mit dem Endpunkt herstellen kann.
Rechnen Sie beim Rotieren von Schlüsseln (Kennwörtern oder Passphrasen) mit Ausfallzeiten, und planen Sie Ihre Bereitstellungen. Folgende Aktionen sollten Sie ausführen:
Vergewissern Sie sich, dass die Geräte über eine alternative Verbindung mit dem Internet verfügen.
Beispielsweise kann der Endbenutzer wieder zum Gast-WLAN (oder einem anderen WLAN-Netzwerk) wechseln oder über eine Mobilfunkverbindung verfügen, um mit Intune zu kommunizieren. Die zusätzliche Verbindung ermöglicht es dem Benutzer, Richtlinienupdates zu erhalten, wenn das Unternehmensprofil Wi-Fi auf dem Gerät aktualisiert wird.
Pushen Sie neue Wi-Fi Profile außerhalb der Arbeitszeit.
Warnen Sie Benutzer, dass die Konnektivität möglicherweise beeinträchtigt wird.
Ressourcen
Denken Sie daran, das Profil zuzuweisen und seinen Status zu überwachen.