Ajouter des paramètres de réseau câblé pour les appareils Windows dans Microsoft Intune

  • Article

Vous pouvez créer un profil avec des paramètres réseau câblés spécifiques, puis déployer ce profil sur vos appareils Windows. Microsoft Intune offre de nombreuses fonctionnalités, notamment l’authentification auprès de votre réseau, l’ajout d’un certificat SCEP, etc.

Cet article décrit les paramètres que vous pouvez configurer.

Avant de commencer

Réseau câblé

  • Mode d’authentification : sélectionnez la façon dont le profil s’authentifie auprès du réseau. Si vous utilisez l’authentification par certificat, vérifiez que le type de certificat correspond au type d’authentification.

    Les options disponibles sont les suivantes :

    • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut utiliser l’authentification utilisateur ou machine .
    • Utilisateur : le compte d’utilisateur connecté à l’appareil s’authentifie auprès du réseau.
    • Machine : les informations d’identification de l’appareil s’authentifient auprès du réseau.
    • Utilisateur ou machine : lorsqu’un utilisateur est connecté à l’appareil, les informations d’identification de l’utilisateur s’authentifient auprès du réseau. Lorsqu’aucun utilisateur n’est connecté, les informations d’identification de l’appareil s’authentifient.
    • Invité : aucune information d’identification n’est associée au réseau. L’authentification est ouverte ou gérée en externe, par exemple via une page web.

  • Mémoriser les informations d’identification à chaque ouverture de session : sélectionnez cette option pour mettre en cache les informations d’identification de l’utilisateur, ou si les utilisateurs doivent les entrer chaque fois qu’ils se connectent au réseau. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer cette fonctionnalité et mettre en cache les informations d’identification.
    • Activer : met en cache les informations d’identification de l’utilisateur lorsqu’elles sont entrées la première fois que les utilisateurs se connectent au réseau. Les informations d’identification mises en cache sont utilisées pour les connexions futures, et les utilisateurs n’ont pas besoin de les réentrérer.
    • Désactiver : les informations d’identification de l’utilisateur ne sont pas mémorisées ou mises en cache. Lorsque les utilisateurs se connectent au réseau, ils doivent entrer leurs informations d’identification à chaque fois.

  • Période d’authentification : entrez le nombre de secondes pendant lesquelles les appareils doivent attendre après avoir essayé de s’authentifier, entre 1 et 3600. Si l’appareil ne se connecte pas au moment où vous entrez, l’authentification échoue. Si vous laissez cette valeur vide ou vide, les 18 secondes sont utilisées.

  • Délai de nouvelle tentative d’authentification : entrez le nombre de secondes entre une tentative d’authentification ayant échoué et la tentative d’authentification suivante, comprise entre 1 et 3600. Si vous laissez cette valeur vide ou vide, 1 second est utilisé.

  • Période de début : entrez le nombre de secondes d’attente avant l’envoi d’un message EAPOL-Start, entre 1 et 3600. Si vous laissez cette valeur vide ou vide, les 5 secondes sont utilisées.

  • Démarrage EAPOL maximal : entrez le nombre de messages EAPOL-Start, compris entre 1 et 100. Si vous laissez cette valeur vide ou vide, un maximum de 3 messages sont envoyés.

  • Nombre maximal d’échecs d’authentification : entrez le nombre maximal d’échecs d’authentification pour cet ensemble d’informations d’identification à authentifier, de 1 à 100. Si vous laissez cette valeur vide ou vide, la 1 tentative est utilisée.

  • 802.1x : Lorsque la valeur est Appliquée, le service de configuration automatique pour les réseaux câblés (configuration automatique câblée) nécessite l’utilisation de 802.1X pour l’authentification des ports. Lorsqu’il est défini sur Ne pas appliquer (valeur par défaut), le service de configuration automatique câblée ne nécessite pas l’utilisation de 802.1X pour l’authentification du port.

    Avertissement

    Lorsque la valeur est Appliquer, assurez-vous que vos paramètres de configuration dans la stratégie sont corrects et qu’ils correspondent à vos paramètres réseau. Si les paramètres de stratégie ne correspondent pas à vos paramètres réseau, l’accès à Internet est bloqué sur l’appareil. L’appareil ne peut pas se connecter à Internet pour obtenir une version de stratégie mise à jour. Pour obtenir à nouveau l’accès à Internet, vous devez supprimer manuellement la stratégie de l’appareil.

  • Période de blocage (minutes) : après une tentative d’authentification ayant échoué, le système d’exploitation tente automatiquement de s’authentifier à nouveau. Entrez le nombre de minutes pour bloquer ces tentatives d’authentification automatique, compris entre 0 et 1440. Si vous laissez cette valeur vide ou vide, le système d’exploitation peut essayer automatiquement de s’authentifier à nouveau.

  • Type EAP : sélectionnez le type EAP (Extensible Authentication Protocol) pour authentifier les connexions câblées sécurisées. Les options disponibles sont les suivantes :

    • EAP-SIM

    • EAP-TLS : entrez également :

      • Approbation de serveur - Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Lorsque vous entrez ces informations, vous pouvez contourner la fenêtre d’approbation dynamique affichée sur les appareils des utilisateurs lorsqu’ils se connectent à ce réseau.
      • Certificat racine pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.
      • Authentification - du client Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Certificat SCEP : sélectionnez un profil de certificat client SCEP existant qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

        • Certificat PKCS : sélectionnez un profil de certificat client PKCS existant et un certificat racine approuvé existant qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

        • Certificat d’importation PFX : sélectionnez un profil de certificat PFX importé existant. Le certificat client est l’identité présentée par l’appareil pour authentifier la connexion.

          Pour plus d’informations sur les certificats PFX importés, consultez Configurer et utiliser des certificats PKCS importés avec Intune.

        • Informations d’identification dérivées : sélectionnez un profil de certificat existant dérivé du carte intelligent d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

    • EAP-TTLS : entrez également :

      • Approbation de serveur - Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils des utilisateurs lorsqu’ils se connectent à ce réseau.

      • Certificats racines pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.

      • Authentification - du client Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion réseau. Entrez également :

          • Méthode non EAP (identité interne) : choisissez comment authentifier la connexion réseau. Veillez à sélectionner le même protocole que celui configuré sur votre réseau.

            Vos options : Mot de passe non chiffré (PAP),Challenge Handshake (CHAP),Microsoft CHAP (MS-CHAP) ou Microsoft CHAP Version 2 (MS-CHAP v2)

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat SCEP : sélectionnez un profil de certificat client SCEP existant qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil pour authentifier la connexion réseau.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat PKCS : sélectionnez un profil de certificat client PKCS existant et un certificat racine approuvé existant qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil pour authentifier la connexion réseau.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat d’importation PFX : sélectionnez un profil de certificat PFX importé existant. Le certificat client est l’identité présentée par l’appareil pour authentifier la connexion réseau.

          Pour plus d’informations sur les certificats PFX importés, consultez Configurer et utiliser des certificats PKCS importés avec Intune.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Informations d’identification dérivées : sélectionnez un profil de certificat existant dérivé du carte intelligent d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

    • EAP protégé (PEAP) : entrez également :

      • Approbation de serveur - Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils des utilisateurs lorsqu’ils se connectent à ce réseau.

      • Certificat racine pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.

      • Effectuer la validation du serveur : quand la valeur est Oui, dans la phase de négociation PEAP 1, les appareils valident le certificat et vérifient le serveur. Sélectionnez Non pour bloquer ou empêcher cette validation. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.

        Si vous sélectionnez Oui, configurez également :

        • Désactiver les invites utilisateur pour la validation du serveur : lorsque la valeur est Définie sur Oui, dans la phase de négociation PEAP 1, les invites utilisateur demandant à autoriser de nouveaux serveurs PEAP pour les autorités de certification approuvées ne sont pas affichées. Sélectionnez Non pour afficher les invites. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

      • Exiger une liaison de chiffrement : Oui empêche les connexions aux serveurs PEAP qui n’utilisent pas la liaison de chiffrement pendant la négociation PEAP. Non ne nécessite pas de cryptobinding. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

      • Authentification - du client Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion réseau. Entrez également :

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat SCEP : sélectionnez un profil de certificat client SCEP existant qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat PKCS : sélectionnez un profil de certificat client PKCS existant et un certificat racine approuvé existant qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Certificat d’importation PFX : sélectionnez un profil de certificat PFX importé existant. Le certificat client est l’identité présentée par l’appareil pour authentifier la connexion réseau.

          Pour plus d’informations sur les certificats PFX importés, consultez Configurer et utiliser des certificats PKCS importés avec Intune.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur, telle que anonymous. Lors de l’authentification, cette identité anonyme est initialement envoyée, puis suivie de l’identification réelle envoyée dans un tunnel sécurisé.

        • Informations d’identification dérivées : sélectionnez un profil de certificat existant dérivé du carte intelligent d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

    • Tunnel EAP (TEAP) : entrez également :

      • Approbation de serveur - Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils des utilisateurs lorsqu’ils se connectent à ce réseau.

      • Authentification - du client Méthode d’authentification principale : sélectionnez la méthode d’authentification principale utilisée par vos clients d’appareil pour l’authentification utilisateur. Cette méthode d’authentification est le certificat d’identité présenté par l’appareil au serveur.

        Les options disponibles sont les suivantes :

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion réseau.

        • Certificat SCEP : sélectionnez un profil de certificat client SCEP existant qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

        • Certificat PKCS : sélectionnez un profil de certificat client PKCS existant et un certificat racine approuvé existant qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

        • Informations d’identification dérivées : sélectionnez un profil de certificat existant dérivé du carte intelligent d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

      • Authentification - du client Méthode d’authentification secondaire : sélectionnez la méthode d’authentification secondaire utilisée par vos clients d’appareil pour l’authentification de l’ordinateur. Cette méthode d’authentification est le certificat d’identité présenté par l’appareil au serveur.

        Si la méthode d’authentification principale échoue, la méthode d’authentification secondaire est utilisée. Si la méthode d’authentification secondaire n’est pas disponible, la méthode d’authentification secondaire n’est pas utilisée, même si la méthode d’authentification principale échoue. L’authentification échoue.

        Les options disponibles sont les suivantes :

        • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, aucune méthode d’authentification secondaire n’est utilisée. Si la méthode d’authentification principale échoue, l’authentification échoue.

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion réseau.

        • Certificat SCEP : sélectionnez un profil de certificat client SCEP existant qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

        • Certificat PKCS : sélectionnez un profil de certificat client PKCS existant et un certificat racine approuvé existant qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion réseau.

        • Informations d’identification dérivées : sélectionnez un profil de certificat existant dérivé du carte intelligent d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

Étapes suivantes

Le profil est créé, mais il peut ne rien faire. Veillez à attribuer ce profil et à surveiller son status.

Paramètres de réseau câblé pour les appareils macOS

Ressources supplémentaires

Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau