Freigeben über


Aktivieren Sie 802.1x kabelgebundene Authentifizierung

Mit dem Update auf Windows 10 (Build 15063.726) vom 14. November 2017 wurde die 802.1x-Authentifizierungsrichtlinie auf Surface Hub-Geräten aktiviert. Das Feature ermöglicht Organisationen, standardisierte Kabelnetzwerkauthentifizierungen mithilfe des IEEE 802.1x-Authentifizierungsprotokolls zu verwenden. Dies war bereits für die drahtlose Authentifizierung über WLAN-Profile über MDM oder bereitstellungspaket verfügbar. In diesem Thema wird erläutert, wie Sie einen Surface Hub für die Verwendung mit kabelgebundener Authentifizierung konfigurieren.

Die Erzwingung und Aktivierung der kabelgebundenen 802.1-Authentifizierung auf Surface Hub kann über MDM-OMA-URI-Profile oder ein Bereitstellungspaket erfolgen.

Die primäre Konfiguration ist auf die Richtlinie LanProfile festgelegt. Je nach ausgewählter Authentifizierungsmethode sind andere Richtlinien möglicherweise erforderlich, entweder die EapUserData-Richtlinie oder die MDM-Richtlinien für das Hinzufügen von Benutzer- oder Computerzertifikaten (z. B. ClientCertificateInstall für Benutzer/Gerätezertifikate oder RootCATrustedCertificates für Gerätezertifikate).

LanProfile-Richtlinienelement

Um Surface Hub zum Verwenden der unterstützten 802.1 x-Authentifizierungsmethoden zu konfigurieren, verwenden Sie die folgende OMA-URI.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Dieser OMA-URI-Knoten verwendet eine XML-Textzeichenfolge als Parameter. Der als Parameter bereitgestellte XML-Code sollte dem verkabelten LAN-Profilschema einschließlich der Elemente des 802.1X-Schemas entsprechen.

In den meisten Fällen kann ein Administrator oder Benutzer die LanProfile XML von einem vorhandenen PC exportieren, der bereits im Netzwerk für 802.1X mit dem folgenden NETSH-Befehl konfiguriert ist.

netsh lan export profile folder=.

Wenn Sie diesen Befehl ausführen, wird die folgende Ausgabe ausgegeben und eine Datei mit dem Titel Ethernet.xml im aktuellen Verzeichnis abgelegt.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Um 802.1x vollständig auf dem Surface Hub zu deaktivieren, kann ein Bereitstellungspaket verwendet werden, um den Knoten SurfaceHub\Dot3\LanProfile auf den folgenden XML-Code festzulegen:

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

EapUserData-Richtlinienelement

Wenn die ausgewählte Authentifizierungsmethode einen Benutzernamen und Kennwort im Gegensatz zu einem Zertifikat erfordert, können Sie das EapUserData-Elements zur Angabe der Anmeldeinformationen für das Gerät verwenden, um sich beim Netzwerk zu authentifizieren.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

Dieser OMA-URI-Knoten verwendet eine XML-Textzeichenfolge als Parameter. Der als Parameter bereitgestellte XML-Code sollte dem Beispiel der Benutzereigenschaften für PEAP-MS-CHAPv2 entsprechen. In diesem Beispiel müssen Sie alle Instanzen von test und ias-domain durch Ihre Informationen ersetzen.

Hinzufügen von Zertifikaten

Wenn Die ausgewählte Authentifizierungsmethode zertifikatbasiert ist, müssen Sie ein Bereitstellungspaket erstellen, MDM verwenden oder ein Zertifikat aus den Einstellungen (Einstellungen>Update undSicherheitszertifikate>) importieren, um diese Zertifikate auf Ihrem Surface Hub-Gerät im entsprechenden Zertifikatspeicher bereitzustellen. Beim Hinzufügen von Zertifikaten darf jede PFX nur ein Zertifikat enthalten (eine PFX darf nicht über mehrere Zertifikate verfügen).