Hinzufügen von Kabelnetzwerkeinstellungen für Windows-Geräte in Microsoft Intune

  • Artikel

Sie können ein Profil mit bestimmten kabelgebundenen Netzwerkeinstellungen erstellen und dieses Profil dann auf Ihren Windows-Geräten bereitstellen. Microsoft Intune bietet viele Features, darunter die Authentifizierung bei Ihrem Netzwerk, das Hinzufügen eines SCEP-Zertifikats und vieles mehr.

In diesem Artikel werden die Einstellungen beschrieben, die Sie konfigurieren können.

Bevor Sie beginnen

Verkabeltes Netzwerk

  • Authentifizierungsmodus: Wählen Sie aus, wie das Profil beim Netzwerk authentifiziert wird. Wenn Sie die Zertifikatauthentifizierung verwenden, stellen Sie sicher, dass der Zertifikattyp dem Authentifizierungstyp entspricht.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig kann das Betriebssystem die Benutzer- oder Computerauthentifizierung verwenden.
    • Benutzer: Das benutzerkonto, das beim Gerät angemeldet ist, authentifiziert sich beim Netzwerk.
    • Computer: Geräteanmeldeinformationen authentifizieren sich beim Netzwerk.
    • Benutzer oder Computer: Wenn ein Benutzer beim Gerät angemeldet ist, authentifizieren sich die Benutzeranmeldeinformationen beim Netzwerk. Wenn keine Benutzer angemeldet sind, authentifizieren sich die Geräteanmeldeinformationen.
    • Gast: Dem Netzwerk sind keine Anmeldeinformationen zugeordnet. Die Authentifizierung ist entweder geöffnet oder wird extern verarbeitet, z. B. über eine Webseite.

  • Anmeldeinformationen bei jeder Anmeldung speichern: Wählen Sie diese Option aus, um Benutzeranmeldeinformationen zwischenzuspeichern, oder wenn Benutzer sie jedes Mal beim Herstellen einer Verbindung mit dem Netzwerk eingeben müssen. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem dieses Feature aktivieren und die Anmeldeinformationen zwischenspeichern.
    • Aktivieren: Speichert Benutzeranmeldeinformationen zwischen, wenn sie eingegeben werden, wenn Benutzer zum ersten Mal eine Verbindung mit dem Netzwerk herstellen. Zwischengespeicherte Anmeldeinformationen werden für zukünftige Verbindungen verwendet, und Benutzer müssen sie nicht erneut eingeben.
    • Deaktivieren: Benutzeranmeldeinformationen werden nicht gespeichert oder zwischengespeichert. Wenn Benutzer eine Verbindung mit dem Netzwerk herstellen, müssen Benutzer jedes Mal ihre Anmeldeinformationen eingeben.

  • Authentifizierungszeitraum: Geben Sie die Anzahl von Sekunden an, die Geräte nach dem Versuch der Authentifizierung warten müssen(1-3600). Wenn das Gerät während der Eingabe keine Verbindung herstellt, schlägt die Authentifizierung fehl. Wenn Sie diesen Wert leer oder leer lassen, 18 werden Sekunden verwendet.

  • Verzögerungszeitraum der Authentifizierungswiegeversuche: Geben Sie die Anzahl der Sekunden zwischen einem fehlgeschlagenen Authentifizierungsversuch und dem nächsten Authentifizierungsversuch zwischen 1 und 3600 ein. Wenn Sie diesen Wert leer oder leer lassen, wird second 1 verwendet.

  • Startzeitraum: Geben Sie zwischen 1 und 3600 die Anzahl der Sekunden an, die vor dem Senden einer EAPOL-Start Nachricht gewartet werden sollen. Wenn Sie diesen Wert leer oder leer lassen, 5 werden Sekunden verwendet.

  • Maximaler EAPOL-Start: Geben Sie die Anzahl der EAPOL-Start Nachrichten von 1 bis 100 ein. Wenn Sie diesen Wert leer oder leer lassen, werden maximal 3 Nachrichten gesendet.

  • Maximale Anzahl von Authentifizierungsfehlern: Geben Sie die maximale Anzahl von Authentifizierungsfehlern für diesen Satz von Anmeldeinformationen für die Authentifizierung zwischen 1 und 100 ein. Wenn Sie diesen Wert leer oder leer lassen, wird der 1 Versuch verwendet.

  • 802.1x: Bei Festlegung auf Erzwingen erfordert der automatische Konfigurationsdienst für kabelgebundene Netzwerke (Wired AutoConfig) die Verwendung von 802.1X für die Portauthentifizierung. Bei Festlegung auf Do not enforce (Default) ( Nicht erzwingen (Standard) erfordert der Dienst für die automatische Kabelkonfiguration keine Verwendung von 802.1X für die Portauthentifizierung.

    Warnung

    Stellen Sie bei Festlegung auf Erzwingen sicher, dass Ihre Konfigurationseinstellungen in der Richtlinie korrekt sind und Ihren Netzwerkeinstellungen entsprechen. Wenn die Richtlinieneinstellungen nicht mit Ihren Netzwerkeinstellungen übereinstimmen, wird der Internetzugriff auf dem Gerät blockiert. Das Gerät kann keine Verbindung mit dem Internet herstellen, um eine aktualisierte Richtlinienversion zu erhalten. Um wieder Internetzugriff zu erhalten, müssen Sie die Richtlinie manuell vom Gerät entfernen.

  • Blockierungszeitraum (Minuten): Nach einem fehlgeschlagenen Authentifizierungsversuch versucht das Betriebssystem automatisch erneut, sich zu authentifizieren. Geben Sie die Anzahl der Minuten für das Blockieren dieser automatischen Authentifizierungsversuche zwischen 0 und 1440 ein. Wenn Sie diesen Wert leer oder leer lassen, versucht das Betriebssystem möglicherweise automatisch erneut, sich zu authentifizieren.

  • EAP-Typ: Wählen Sie den EAP-Typ (Extensible Authentication Protocol) aus, um gesicherte kabelgebundene Verbindungen zu authentifizieren. Folgende Optionen sind verfügbar:

    • EAP-SIM

    • EAP-TLS: Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das dynamische Vertrauensstellungsfenster umgehen, das auf Benutzergeräten angezeigt wird, wenn diese eine Verbindung mit diesem Netzwerk herstellen.
      • Stammzertifikat für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.
      • Clientauthentifizierung - Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode aus, die von Ihren Geräteclients verwendet wird. Folgende Optionen sind verfügbar:

        • SCEP-Zertifikat: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Verbindung präsentiert.

        • PKCS-Zertifikat: Wählen Sie ein vorhandenes PKCS-Clientzertifikatprofil und ein vorhandenes vertrauenswürdiges Stammzertifikat aus, die ebenfalls auf dem Gerät bereitgestellt werden. Das Clientzertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Verbindung präsentiert.

        • PFX-Importzertifikat: Wählen Sie ein vorhandenes importiertes PFX-Zertifikatprofil aus. Das Clientzertifikat ist die Identität, die vom Gerät zum Authentifizieren der Verbindung angezeigt wird.

          Weitere Informationen zu importierten PFX-Zertifikaten finden Sie unter Konfigurieren und Verwenden importierter PKCS-Zertifikate mit Intune.

        • Abgeleitete Anmeldeinformationen: Wählen Sie ein vorhandenes Zertifikatprofil aus, das vom smarten Karte eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

    • EAP-TTLS: Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das Dynamische Vertrauensdialogfeld umgehen, das auf Benutzergeräten angezeigt wird, wenn sie eine Verbindung mit diesem Netzwerk herstellen.

      • Stammzertifikate für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.

      • Clientauthentifizierung - Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode aus, die von Ihren Geräteclients verwendet wird. Folgende Optionen sind verfügbar:

        • Benutzername und Kennwort: Fordern Sie den Benutzer zur Eingabe eines Benutzernamens und kennworts auf, um die Netzwerkverbindung zu authentifizieren. Geben Sie außerdem Folgendes ein:

          • Nicht-EAP-Methode (innere Identität):Wählen Sie aus, wie die Netzwerkverbindung authentifiziert werden soll. Stellen Sie sicher, dass Sie dasselbe Protokoll auswählen, das in Ihrem Netzwerk konfiguriert ist.

            Ihre Optionen: Unverschlüsseltes Kennwort (PAP),Challenge Handshake (CHAP),Microsoft CHAP (MS-CHAP) oder Microsoft CHAP Version 2 (MS-CHAP v2)

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • SCEP-Zertifikat: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die vom Gerät zum Authentifizieren der Netzwerkverbindung angezeigt wird.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • PKCS-Zertifikat: Wählen Sie ein vorhandenes PKCS-Clientzertifikatprofil und ein vorhandenes vertrauenswürdiges Stammzertifikat aus, die ebenfalls auf dem Gerät bereitgestellt werden. Das Clientzertifikat ist die Identität, die vom Gerät zum Authentifizieren der Netzwerkverbindung angezeigt wird.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • PFX-Importzertifikat: Wählen Sie ein vorhandenes importiertes PFX-Zertifikatprofil aus. Das Clientzertifikat ist die Identität, die vom Gerät zum Authentifizieren der Netzwerkverbindung angezeigt wird.

          Weitere Informationen zu importierten PFX-Zertifikaten finden Sie unter Konfigurieren und Verwenden importierter PKCS-Zertifikate mit Intune.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • Abgeleitete Anmeldeinformationen: Wählen Sie ein vorhandenes Zertifikatprofil aus, das vom smarten Karte eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

    • Protected EAP (PEAP): Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das Dynamische Vertrauensdialogfeld umgehen, das auf Benutzergeräten angezeigt wird, wenn sie eine Verbindung mit diesem Netzwerk herstellen.

      • Stammzertifikat für die Serverüberprüfung: Wählen Sie mindestens ein vorhandenes vertrauenswürdiges Stammzertifikatprofil aus. Wenn der Client eine Verbindung mit dem Netzwerk herstellt, werden diese Zertifikate verwendet, um eine Vertrauenskette mit dem Server einzurichten. Wenn Ihr Authentifizierungsserver ein öffentliches Zertifikat verwendet, müssen Sie kein Stammzertifikat einschließen.

      • Ausführen der Serverüberprüfung: Wenn diese Option auf Ja festgelegt ist, überprüfen Geräte in PEAP-Aushandlungsphase 1 das Zertifikat und den Server. Wählen Sie Nein aus, um diese Überprüfung zu blockieren oder zu verhindern. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht.

        Wenn Sie Ja auswählen, konfigurieren Sie auch Folgendes:

        • Benutzeraufforderungen zur Serverüberprüfung deaktivieren: Wenn diese Einstellung auf Ja festgelegt ist, werden in PEAP-Aushandlungsphase 1 benutzeraufforderungen, neue PEAP-Server für vertrauenswürdige Zertifizierungsstellen zu autorisieren, nicht angezeigt. Wählen Sie Nein aus, um die Eingabeaufforderungen anzuzeigen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

      • Kryptografische Bindung erforderlich: Ja verhindert Verbindungen mit PEAP-Servern, die während der PEAP-Aushandlung keine Kryptobindung verwenden. Nein erfordert keine Kryptobindung. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

      • Clientauthentifizierung - Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode aus, die von Ihren Geräteclients verwendet wird. Folgende Optionen sind verfügbar:

        • Benutzername und Kennwort: Fordern Sie den Benutzer zur Eingabe eines Benutzernamens und kennworts auf, um die Netzwerkverbindung zu authentifizieren. Geben Sie außerdem Folgendes ein:

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • SCEP-Zertifikat: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • PKCS-Zertifikat: Wählen Sie ein vorhandenes PKCS-Clientzertifikatprofil und ein vorhandenes vertrauenswürdiges Stammzertifikat aus, die ebenfalls auf dem Gerät bereitgestellt werden. Das Clientzertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • PFX-Importzertifikat: Wählen Sie ein vorhandenes importiertes PFX-Zertifikatprofil aus. Das Clientzertifikat ist die Identität, die vom Gerät zum Authentifizieren der Netzwerkverbindung angezeigt wird.

          Weitere Informationen zu importierten PFX-Zertifikaten finden Sie unter Konfigurieren und Verwenden importierter PKCS-Zertifikate mit Intune.

          • Identitätsschutz (äußere Identität): Geben Sie den Text ein, der als Antwort auf eine EAP-Identitätsanforderung gesendet wurde. Dieser Text kann ein beliebiger Wert sein, z anonymous. B. . Während der Authentifizierung wird diese anonyme Identität zunächst gesendet und dann von der echten Identifikation in einem sicheren Tunnel gesendet.

        • Abgeleitete Anmeldeinformationen: Wählen Sie ein vorhandenes Zertifikatprofil aus, das vom smarten Karte eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

    • Tunnel EAP (TEAP):Geben Sie auch Folgendes ein:

      • Serververtrauensstellung - Zertifikatservernamen: Geben Sie einen oder mehrere allgemeine Namen ein, die in den Zertifikaten verwendet werden, die von Ihrer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt werden. Wenn Sie diese Informationen eingeben, können Sie das Dynamische Vertrauensdialogfeld umgehen, das auf Benutzergeräten angezeigt wird, wenn sie eine Verbindung mit diesem Netzwerk herstellen.

      • Clientauthentifizierung - Primäre Authentifizierungsmethode: Wählen Sie die primäre Authentifizierungsmethode aus, die von Ihren Geräteclients für die Benutzerauthentifizierung verwendet wird. Diese Authentifizierungsmethode ist das Identitätszertifikat, das vom Gerät an den Server übergeben wird.

        Folgende Optionen sind verfügbar:

        • Benutzername und Kennwort: Fordern Sie den Benutzer zur Eingabe eines Benutzernamens und kennworts auf, um die Netzwerkverbindung zu authentifizieren.

        • SCEP-Zertifikat: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

        • PKCS-Zertifikat: Wählen Sie ein vorhandenes PKCS-Clientzertifikatprofil und ein vorhandenes vertrauenswürdiges Stammzertifikat aus, die ebenfalls auf dem Gerät bereitgestellt werden. Das Clientzertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

        • Abgeleitete Anmeldeinformationen: Wählen Sie ein vorhandenes Zertifikatprofil aus, das vom smarten Karte eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

      • Clientauthentifizierung - Sekundäre Authentifizierungsmethode: Wählen Sie die sekundäre Authentifizierungsmethode aus, die von Ihren Geräteclients für die Computerauthentifizierung verwendet wird. Diese Authentifizierungsmethode ist das Identitätszertifikat, das vom Gerät an den Server übergeben wird.

        Wenn bei der primären Authentifizierungsmethode ein Fehler auftritt, wird die sekundäre Authentifizierungsmethode verwendet. Wenn die sekundäre Authentifizierungsmethode nicht verfügbar ist, wird die sekundäre Authentifizierungsmethode nicht verwendet, auch wenn die primäre Authentifizierungsmethode fehlschlägt. Die Authentifizierung schlägt fehl.

        Folgende Optionen sind verfügbar:

        • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig wird keine sekundäre Authentifizierungsmethode verwendet. Wenn bei der primären Authentifizierungsmethode ein Fehler auftritt, schlägt die Authentifizierung fehl.

        • Benutzername und Kennwort: Fordern Sie den Benutzer zur Eingabe eines Benutzernamens und kennworts auf, um die Netzwerkverbindung zu authentifizieren.

        • SCEP-Zertifikat: Wählen Sie ein vorhandenes SCEP-Clientzertifikatprofil aus, das ebenfalls auf dem Gerät bereitgestellt wird. Dieses Zertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

        • PKCS-Zertifikat: Wählen Sie ein vorhandenes PKCS-Clientzertifikatprofil und ein vorhandenes vertrauenswürdiges Stammzertifikat aus, die ebenfalls auf dem Gerät bereitgestellt werden. Das Clientzertifikat ist die Identität, die das Gerät dem Server zur Authentifizierung der Netzwerkverbindung präsentiert.

        • Abgeleitete Anmeldeinformationen: Wählen Sie ein vorhandenes Zertifikatprofil aus, das vom smarten Karte eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

Nächste Schritte

Das Profil wird erstellt, aber es kann keine Aktionen ausführen. Stellen Sie sicher, dass Sie dieses Profil zuweisen und dessen status überwachen.

Kabelgebundene Netzwerkeinstellungen für macOS-Geräte

Weitere Ressourcen

Extensible Authentication Protocol (EAP) für den Netzwerkzugriff