Habilitar la autenticación por cable 802.1X
La actualización del 14 de noviembre de 2017 a Windows 10 (compilación 15063.726) ha habilitado la configuración de la directiva de autenticación por cable 802.1x en dispositivos Surface Hub. La característica permite a las organizaciones aplicar la autenticación de red por cable estandarizada usando el protocolo de autenticación IEEE 802.1X. Esto ya estaba disponible para la autenticación inalámbrica mediante perfiles WLAN a través de MDM o paquete de aprovisionamiento. En este tema se explica cómo configurar un Surface Hub para su uso con autenticación cableada.
La aplicación y habilitación de la autenticación por cable 802.1x en Surface Hub se puede realizar a través de perfiles de MDM OMA-URI o paquete de aprovisionamiento.
La configuración principal que se establecerá es la directiva LanProfile. Según el método de autenticación seleccionado, otras directivas pueden ser necesarias, ya sea la directiva EapUserData o a través de directivas de MDM para agregar certificados de usuario o equipo (como ClientCertificateInstall para certificados de usuario/dispositivo o RootCATrustedCertificates para certificados de dispositivo).
Elemento de directiva LanProfile
Para configurar Surface Hub para que use uno de los métodos de autenticación 802.1X admitidos, utilice el siguiente OMA-URI.
./Vendor/MSFT/SurfaceHub/Dot3/LanProfile
Este nodo de OMA-URI toma una cadena de texto de XML como parámetro. El XML proporcionado como parámetro debe cumplir el esquema de perfil de LAN con cable incluidos los elementos del esquema 802.1X.
En la mayoría de los casos, un usuario o administrador puede exportar el XML LanProfile desde un PC existente que ya esté configurado en la red para 802.1x con este comando NETSH.
netsh lan export profile folder=.
La ejecución de este comando proporciona la siguiente salida y coloca un archivo titulado Ethernet.xml en el directorio actual.
Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.
Para deshabilitar 802.1x completamente en Surface Hub, se puede usar un paquete de aprovisionamiento para establecer el nodo SurfaceHub\Dot3\LanProfile en el siguiente xml:
<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
<MSM>
<security>
<OneXEnforced>false</OneXEnforced>
<OneXEnabled>false</OneXEnabled>
</security>
</MSM>
</LANProfile>
Elemento de directiva EapUserData
Si tu método de autenticación seleccionado requiere un nombre de usuario y una contraseña en lugar de un certificado, puedes usar el elemento EapUserData para especificar las credenciales para el dispositivo que se usará para autenticar en la red.
./Vendor/MSFT/SurfaceHub/Dot3/EapUserData
Este nodo de OMA-URI toma una cadena de texto de XML como parámetro. El XML proporcionado como parámetro debe cumplir con el ejemplo de las propiedades de usuario de PEAP MS-CHAPv2. En el ejemplo, debe reemplazar todas las instancias de test e ias-domain por su información.
Agregar certificados
Si el método de autenticación seleccionado está basado en certificados, debes crear un paquete de aprovisionamiento, usar MDM o importar un certificado desde la configuración (Certificados deseguridad> y actualización de configuración>) para implementar esos certificados en el dispositivo Surface Hub en el Almacén de certificados adecuado. Al agregar certificados, cada PFX debe contener solo un certificado (un PFX no puede tener varios certificados).