Déploiement de l’accès sans fil

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Pour déployer l’accès sans fil, procédez comme suit :

• Déployer et configurer des points d’accès sans fil

• Créer un groupe de sécurité Utilisateurs sans fil

• Configurer les règles du réseau sans fil (IEEE 802.11)

• Configurer des serveurs NPS

• Joindre de nouveaux ordinateurs sans fil au domaine

Déployez et configurez des points d’accès sans fil

Procédez comme suit pour déployer et configurer vos points d’accès sans fil :

• Spécifier les fréquences des canaux des points d’accès sans fil

• Configurer des points d’accès sans fil

Notes

Les procédures décrites dans ce guide n'incluent aucune instruction dans le cas où la boîte de dialogue Contrôle de compte d'utilisateur s'ouvre pour demander votre autorisation de continuer. Si cette boîte de dialogue s’ouvre pendant que vous réalisez les procédures de ce guide, et si elle s’ouvre en réponse à vos actions, cliquez sur Continuer.

Spécifiez les fréquences des canaux des points d’accès sans fil

Lorsque vous déployez plusieurs points d’accès sans fil sur un même site géographique, vous devez configurer des points d’accès sans fil qui ont des signaux qui se chevauchent pour utiliser des fréquences de canal uniques afin de réduire les interférences entre les points d’accès sans fil.

Vous pouvez utiliser les directives suivantes pour vous aider à choisir des fréquences de canal qui n’entrent pas en conflit avec d’autres réseaux sans fil à l’emplacement géographique de votre réseau sans fil.

• Si d’autres organisations ont des bureaux à proximité ou dans le même bâtiment que votre organisation, déterminez s’il existe des réseaux sans fil appartenant à ces organisations. Découvrez à la fois l’emplacement et les fréquences de canal attribuées à leurs points d’accès sans fil, car vous devez attribuer différentes fréquences de canal à vos points d’accès et vous devez déterminer le meilleur emplacement pour installer vos points d’accès.

• Identifiez les signaux sans fil qui se chevauchent sur les étages adjacents au sein de votre propre organisation. Après avoir identifié les zones de couverture qui se chevauchent à l’extérieur et à l’intérieur de votre organisation, attribuez des fréquences de canal pour vos points d’accès sans fil, en veillant à ce que les deux points d’accès sans fil dont la couverture se chevauche se voient attribuer des fréquences de canal différentes.

Configurez des points d’accès sans fil

Utilisez les informations suivantes, ainsi que la documentation produit fournie par le fabricant du point d’accès sans fil pour configurer vos points d’accès sans fil.

Cette procédure énumère les éléments couramment configurés sur un point d’accès sans fil. Les noms d’éléments peuvent varier selon la marque et le modèle et peuvent être différents de ceux de la liste suivante. Pour plus d’informations, consultez la documentation de votre point d’accès sans fil.

Pour configurer vos points d’accès sans fil

• SSID. Spécifiez le nom du ou des réseaux sans fil (par exemple, ExampleWLAN). Il s’agit du nom qui est annoncé aux clients sans fil.

• Chiffrement. Spécifiez WPA2-Enterprise (préféré) ou WPA-Enterprise, et le chiffrement AES (préféré) ou TKIP, selon les versions prises en charge par les adaptateurs réseau de votre ordinateur client sans fil.

• Adresse IP de l’AP sans fil (statique). Sur chaque point d’accès, configurez une adresse IP statique unique qui se trouve dans la plage d’exclusion de l’étendue DHCP pour le sous-réseau. L’utilisation d’une adresse exclue de l’attribution par DHCP empêche le serveur DHCP d’attribuer la même adresse IP à un ordinateur ou à un autre appareil.

• Masque de sous-réseau. Configurez cette option pour qu’elle corresponde aux paramètres du masque de sous-réseau du réseau local auquel vous avez connecté le point d’accès sans fil.

• Nom DNS. Certaines adresses IP sans fil peuvent être configurées avec un nom DNS. Le service DNS sur le réseau peut résoudre les noms DNS en une adresse IP. Sur chaque point d’accès sans fil qui prend en charge cette fonctionnalité, entrez un nom unique pour la résolution DNS.

• Service DHCP. Si votre point d’accès sans fil dispose d’un service DHCP intégré, désactivez-le.

• Secret partagé RADIUS. Utilisez un secret partagé RADIUS unique pour chaque point d’accès sans fil, sauf si vous envisagez de configurer des points d’accès en tant que clients RADIUS dans le serveur NPS par groupe. Si vous envisagez de configurer des points d’accès par groupe dans le serveur NPS, le secret partagé doit être le même pour chaque membre du groupe. En outre, chaque secret partagé que vous utilisez doit être une séquence aléatoire d’au moins 22 caractères mélangeant des lettres majuscules et minuscules, des chiffres et des signes de ponctuation. Pour garantir le caractère aléatoire, vous pouvez utiliser un générateur de caractères aléatoires, tel que le générateur de caractères aléatoires disponible dans l’Assistant Configuration 802.1X du serveur NPS, pour créer les secrets partagés.

Conseil

Enregistrez le secret partagé pour chaque point d’accès sans fil et stockez-le dans un emplacement sécurisé, tel qu’un coffre-fort de bureau. Vous devez connaître le secret partagé pour chaque point d’accès sans fil lorsque vous configurez des clients RADIUS dans le serveur NPS.

• Adresse IP du serveur RADIUS. Tapez l’adresse IP du serveur exécutant le serveur NPS.

• Port(s) UDP. Par défaut, le serveur NPS utilise les ports UDP 1812 et 1645 pour les messages d’authentification, et les ports UDP 1813 et 1646 pour les messages de comptabilité. Il est recommandé d’utiliser ces mêmes ports UDP sur vos points d’accès, mais si vous avez une raison valable d’utiliser des ports différents, veillez non seulement à configurer les points d’accès avec les nouveaux numéros de port, mais également à reconfigurer tous vos serveurs NPS pour utiliser les mêmes numéros de port que les points d’accès. Si les points d’accès et les serveurs NPS ne sont pas configurés avec les mêmes ports UDP, le serveur NPS ne peut pas recevoir ou traiter les requêtes de connexion des points d’accès, et toutes les tentatives de connexion sans fil sur le réseau échoueront.

• VSAs. Certaines adresses IP sans fil nécessitent des attributs spécifiques au fournisseur (VSA) pour fournir des fonctionnalités d’AP sans fil complètes. Les VSA sont ajoutés dans la stratégie réseau du serveur NPS.

• Filtrage DHCP. Configurez les points d’accès sans fil pour empêcher les clients sans fil d’envoyer des paquets IP à partir du port UDP 68 vers le réseau, comme indiqué par le fabricant du point d’accès sans fil.

• Filtrage DNS. Configurez les points d’accès sans fil pour empêcher les clients sans fil d’envoyer au réseau des paquets IP à partir du port TCP ou UDP 53, comme indiqué par le fabricant du point d’accès sans fil.

Créez des groupes de sécurité pour les utilisateurs sans fil

Procédez comme suit pour créer un ou plusieurs groupes de sécurité d’utilisateurs sans fil, puis pour ajouter des utilisateurs au groupe de sécurité d’utilisateurs sans fil approprié :

• Créer un groupe de sécurité Utilisateurs sans fil

• Ajouter des utilisateurs au groupe de sécurité sans fil

Créez un groupe de sécurité utilisateurs sans fil

Vous pouvez utiliser cette procédure pour créer un groupe de sécurité sans fil dans le composant logiciel enfichable MMC (Microsoft Management Console) des utilisateurs et ordinateurs d’Active Directory.

Pour effectuer cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs du domaine ou à un groupe équivalent.

Pour créer un groupe de sécurité utilisateurs sans fil

1. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Le composant logiciel enfichable Utilisateurs et ordinateurs d’Active Directory s’ouvre. Si le nœud de votre domaine n’est pas encore sélectionné, cliquez dessus. Par exemple, si votre domaine est example.com, cliquez sur example.com.

2. Dans le volet d’informations, faites un clic droit sur le dossier dans lequel vous souhaitez ajouter un nouveau groupe (par exemple, faites un clic droit sur Utilisateurs), pointez sur Nouveau, puis cliquez sur Groupe.

3. Dans Nouvel objet - Groupe, tapez le nom du nouveau groupe dans la zone Nom du groupe. Par exemple, tapez Groupe sans fil.

4. Dans Étendue du groupe, sélectionnez l'une des options suivantes :

   • Domaine local

   • Global

   • Universal

5. Dans Type de groupe, sélectionnez Sécurité.

6. Cliquez sur OK.

Si vous avez besoin de plusieurs groupes de sécurité pour les utilisateurs sans fil, répétez ces étapes pour créer des groupes d’utilisateurs sans fil supplémentaires. Par la suite, vous pouvez créer des stratégies réseau individuelles dans le serveur NPS pour appliquer différentes conditions et contraintes à chaque groupe, en leur fournissant des autorisations d’accès et des règles de connectivité différentes.

Ajoutez des utilisateurs au groupe de sécurité Utilisateurs sans fil

Vous pouvez utiliser cette procédure pour ajouter un utilisateur, un ordinateur ou un groupe à votre groupe de sécurité sans fil dans le composant logiciel enfichable MMC (Microsoft Management Console) des Utilisateurs et Ordinateurs d’Active Directory.

Pour effectuer cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs du domaine ou à un groupe équivalent.

Pour ajouter des utilisateurs au groupe de sécurité sans fil

1. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. La console MMC Utilisateurs et ordinateurs Active Directory s’ouvre. Si le nœud de votre domaine n’est pas encore sélectionné, cliquez dessus. Par exemple, si votre domaine est example.com, cliquez sur example.com.

2. Dans le volet d’informations, double-cliquez sur le dossier qui contient votre groupe de sécurité sans fil.

3. Dans le volet d’informations, faites un clic droit sur le groupe de sécurité sans fil, puis cliquez sur Propriétés. La boîte de dialogue Propriétés du groupe de sécurité s’ouvre.

4. Dans l’onglet Membres, cliquez sur Ajouter, puis effectuez l’une des procédures suivantes pour ajouter un ordinateur ou ajouter un utilisateur ou un groupe.

Pour ajouter un utilisateur ou un groupe

1. Dans l’onglet Entrer les noms d’objets à sélectionner, saisissez le nom de l’utilisateur ou du groupe que vous souhaitez ajouter, puis cliquez sur OK.

2. Pour attribuer l’appartenance à un groupe à d’autres utilisateurs ou groupes, répétez l’étape 1 de cette procédure.

Pour ajouter un ordinateur

1. Cliquez sur Types d'objet. La boîte de dialogue Types d’objets s’ouvre.

2. Dans Types d’objets, sélectionnez Ordinateurs, puis cliquez sur OK.

3. Dans l’onglet Entrer les noms d’objets à sélectionner, saisissez le nom de l’ordinateur que vous souhaitez ajouter, puis cliquez sur OK.

4. Pour attribuer l’appartenance à un groupe à d’autres ordinateurs, répétez les étapes 1 à 3 de cette procédure.

Configurez les règles du réseau sans fil (IEEE 802.11)

Procédez comme suit pour configurer l’extension de stratégie de groupe pour les stratégies de réseau sans fil (IEEE 802.11) :

• Ouvrir ou ajouter et ouvrir un objet de stratégie de groupe

• Activer les stratégies par défaut du réseau sans fil (IEEE 802.11)

• Configurer la nouvelle stratégie de réseau sans fil

Ouvrez ou ajoutez et ouvrez un objet de stratégie de groupe

Par défaut, la fonctionnalité de gestion des stratégies de groupe est installée sur les ordinateurs exécutant Windows Server 2016 lorsque le rôle de serveur Active Directory Domain Services (AD DS) est installé et que le serveur est configuré en tant que contrôleur de domaine. La procédure suivante décrit comment ouvrir la console de gestion des stratégies de groupe (GPMC) sur votre contrôleur de domaine. La procédure décrit ensuite comment ouvrir un objet de stratégie de groupe (GPO) existant au niveau du domaine pour le modifier, ou créer un nouveau GPO de domaine et l’ouvrir pour le modifier.

Pour effectuer cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs du domaine ou à un groupe équivalent.

Pour ouvrir ou ajouter et ouvrir un objet de stratégie de groupe

1. Sur votre contrôleur de domaine, cliquez sur Démarrer, sur Outils d’administration Windows, puis sur Gestion des stratégie de groupe. La Console de gestion des stratégies de groupe s’ouvre.

2. Dans le volet de gauche, double-cliquez sur votre forêt. Par exemple, double-cliquez sur Forêt : example.com.

3. Dans le volet gauche, double-cliquez sur Domaines, puis sur le domaine pour lequel vous souhaitez gérer un objet de stratégie de groupe. Par exemple, double-cliquez sur example.com.

4. Effectuez l'une des opérations suivantes :

   • Pour ouvrir un objet de stratégie de groupe existant au niveau du domaine afin de le modifier, double-cliquez sur le domaine contenant l’objet de stratégie de groupe à gérer, faites un clic droit sur la stratégie de domaine à gérer, telle que la stratégie de domaine par défaut, puis cliquez sur Modifier. Éditeur de gestion des stratégies de groupe s’ouvre.

   • Pour créer un nouvel objet de stratégie de groupe et l’ouvrir pour modification, faites un clic droit sur le domaine pour lequel vous souhaitez créer un nouvel objet de stratégie de groupe, puis cliquez sur Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.

     Dans Nouvel objet GPO, dans Nom, tapez le nom du nouvel objet de stratégie de groupe, puis cliquez sur OK.

     Faites un clic droit sur votre nouvel objet de stratégie de groupe, puis sélectionnez Modifier. Éditeur de gestion des stratégies de groupe s’ouvre.

Dans la section suivante, vous allez utiliser l’Éditeur de gestion des stratégies de groupe pour créer une stratégie sans fil.

Activez les stratégies par défaut du réseau sans fil (IEEE 802.11)

Cette procédure explique comment activer les stratégies de réseau sans fil (IEEE 802.11) par défaut à l’aide de l’Éditeur de gestion des stratégies de groupe (GPME).

Notes

Après avoir activé la version Windows Vista et versions ultérieures des stratégies de réseau sans fil (IEEE 802.11) ou la version Windows XP, l’option de version est automatiquement supprimée de la liste des options lorsque vous faites un clic droit sur Stratégies de réseau sans fil (IEEE 802.11). Cela se produit car après avoir sélectionné une version de stratégie, la stratégie est ajoutée dans le volet d’informations du GPME lorsque vous sélectionnez le nœud Stratégies de réseau sans fil (IEEE 802.11). Cet état reste inchangé jusqu’à ce que vous supprimiez la stratégie sans fil, auquel cas la version de la stratégie sans fil réapparaît dans le menu contextuel pour les Stratégies de réseau sans fil (IEEE 802.11) dans le GPME. En outre, les stratégies sans fil sont répertoriées uniquement dans le volet d’informations GPME lorsque le nœud Stratégies de réseau sans fil (IEEE 802.11) est sélectionné.

Pour effectuer cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs du domaine ou à un groupe équivalent.

Pour activer les stratégies de réseau sans fil par défaut (IEEE 802.11)

1. Suivez la procédure précédente, Pour ouvrir ou ajouter et ouvrir un objet de stratégie de groupe pour ouvrir le GPME.

2. Dans le GPME, dans le volet gauche, double-cliquez sur Configuration de l’ordinateur, double-cliquez sur Stratégies, double-cliquez sur Paramètres Windows, puis double-cliquez sur Paramètres de sécurité.

3. Dans Paramètres de sécurité, faites un clic droit sur Stratégies de réseau sans fil (IEEE 802.11), puis cliquez sur Créer une nouvelle stratégie sans fil pour Windows Vista et versions ultérieures.

4. La boîte de dialogue Propriétés de la nouvelle stratégie de réseau sans fil s’ouvre. Dans Nom de la stratégie, tapez un nouveau nom pour la stratégie ou conservez le nom par défaut. Cliquez sur OK pour enregistrer les modifications. La stratégie par défaut est activée et répertoriée dans le volet d’informations du GPME avec le nouveau nom que vous avez fourni ou avec le nom par défaut Nouvelle stratégie de réseau sans fil.

5. Dans le volet d’informations, double-cliquez sur Nouvelle stratégie de réseau sans fil pour l’ouvrir.

Dans la section suivante, vous pouvez procéder à la configuration de la stratégie, à l’ordre de préférence de traitement de la stratégie et aux autorisations réseau.

Configurez la nouvelle stratégie de réseau sans fil

Vous pouvez utiliser les procédures de cette section pour configurer la stratégie de réseau sans fil (IEEE 802.11). Cette stratégie vous permet de configurer les paramètres de sécurité et d’authentification, de gérer les profils sans fil et de spécifier des autorisations pour les réseaux sans fil qui ne sont pas configurés en tant que réseaux préférés.

• Configurer un profil de connexion sans fil pour PEAP-MS-CHAP v2

• Définir l’ordre de préférence pour les profils de connexion sans fil

• Définir les autorisations réseau

Configurez un profil de connexion sans fil pour PEAP-MS-CHAP v2

Cette procédure fournit les étapes requises pour configurer un profil sans fil PEAP-MS-CHAP v2.

L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour configurer un profil de connexion sans fil pour PEAP-MS-CHAP v2

1. Dans GPME, dans la boîte de dialogue des propriétés du réseau sans fil pour la stratégie que vous venez de créer, dans l’onglet Général et dans Description, tapez une brève description de la stratégie.

2. Pour spécifier que WLAN AutoConfig est utilisé pour configurer les paramètres de l’adaptateur réseau sans fil, vérifiez que l’option Utiliser le service Windows WLAN AutoConfig pour les clients est sélectionnée.

3. Dans la section Se connecter aux réseaux disponibles dans l’ordre des profils répertoriés ci-dessous, cliquez sur Ajouter, puis sélectionnez Infrastructure. La boîte de dialogue Propriétés du nouveau profil s’ouvre.

4. Dans la boîte de dialoguePropriétés du nouveau profil, dans l’onglet Connexion, dans le champ Nom du profil, saisissez un nouveau nom pour le profil. Par exemple, saisissez Example.com Profil WLAN pour Windows 10.

5. Dans Nom(s) de réseau (SSID), saisissez l'identificateur SSID (Service Set Identifier) correspondant à l'identificateur SSID sur vos points d'accès sans fil, puis cliquez sur Ajouter.

   Si votre déploiement utilise plusieurs identificateurs SSID et que chaque point d'accès sans fil utilise les mêmes paramètres de sécurité sans fil, répétez cette étape pour ajouter l'identificateur SSID pour chaque point d'accès sans fil auquel vous voulez appliquer ce profil.

   Si votre déploiement utilise plusieurs identificateurs SSID et que les paramètres de sécurité pour chaque identificateur SSID ne sont pas identiques, configurez un profil distinct pour chaque groupe d'identificateurs SSID utilisant les mêmes paramètres de sécurité. Par exemple, si vous avez un groupe de points d'accès sans fil configurés pour utiliser WPA2-Enterprise et AES et un autre groupe de points d'accès sans fil configurés pour utiliser WPA-Enterprise et TKIP, configurez un profil pour chaque groupe de points d'accès sans fil.

6. Si le texte par défaut NEWSSID est présent, sélectionnez-le, puis cliquez sur Supprimer.

7. Si vous avez déployé des points d'accès sans fil configurés pour supprimer la balise de diffusion, sélectionnez Se connecter même s'il ne s'agit pas d'un réseau de diffusion.

   Notes

   L'activation de cette option peut créer un risque de sécurité, car les clients sans fil chercheront à se connecter à n’importe quel réseau sans fil. Par défaut, ce paramètre n'est pas activé.

8. Cliquez sur l'onglet Sécurité, cliquez sur Avancé puis configurez les éléments suivants :

   1. Pour configurer les paramètres 802.1X avancés, dans IEEE 802.1X, sélectionnez Appliquer les paramètres avancés IEEE 802.1X.

      Quand les paramètres 802.1X avancés sont appliqués, les valeurs par défaut pour Nbre max. de messages Eapol-Start, Période de maintien, Période de démarrage et Période d'authentification sont suffisantes pour les déploiements sans fil typiques. Pour cette raison, vous n’avez pas besoin de modifier les valeurs par défaut, sauf si vous avez une raison spécifique de le faire.

   2. Pour activer l'authentification unique, sélectionnez Activer l'authentification unique pour ce réseau.

   3. Les autres valeurs par défaut dans Authentification unique sont suffisantes pour les déploiements sans fil standard.

   4. Dans Itinérance rapide, si votre point d'accès sans fil est configuré pour l'authentification préalable, sélectionnez Ce réseau utilise l'authentification préalable.

9. Pour spécifier que les communications sans fil respectent les normes FIPS 140-2, sélectionnez Effectuer le chiffrement en mode certifié FIPS 140-2.

10. Cliquez sur OK pour revenir à l’onglet Sécurité. Dans Sélectionner les méthodes de sécurité pour ce réseau, dans Authentification, sélectionnez WPA2-Enterprise s'il est pris en charge par votre point d'accès sans fil et vos adaptateurs de réseau client sans fil. Sinon, sélectionnez WPA-Enterprise.

11. Dans Chiffrement, si votre point d’accès sans fil et vos adaptateurs réseau client sans fil le prennent en charge, sélectionnez AES-CCMP. Si vous utilisez des points d’accès et des adaptateurs réseau sans fil qui prennent en charge la version 802.11ac, sélectionnez AES-GCMP. Sinon, sélectionnez TKIP.

    Notes

    Les paramètres définis pour Authentification et pour Chiffrement doivent correspondre aux paramètres configurés sur vos points d'accès sans fil. Les paramètres par défaut pour Mode d’authentification, Nbre max. d’échecs d’authentification, et Mise en cache des informations de l’utilisateur pour les connexions ultérieures à ce réseau sont suffisants pour les déploiements sans fil typiques.

12. Dans Sélectionner une méthode d'authentification réseau, sélectionnez PEAP (Protected EAP), puis cliquez sur Propriétés. La boîte de dialogue Propriétés EAP protégées s’ouvre.

13. Dans Propriétés EAP protégées, confirmez que l’option Vérifier l’identité du serveur en validant le certificat est sélectionnée.

14. Dans Autorités de certification racine de confiance, sélectionnez l'autorité de certification (AC) racine de confiance qui a émis le certificat de serveur pour votre serveur NPS.

    Notes

    Ce paramètre limite aux seules autorités de certification sélectionnées les autorités de certification racines auxquelles les clients font confiance. Si aucune autorité de certification racine de confiance n'est sélectionnée, les clients feront confiance à toutes les autorités de certification racine figurant dans leur magasin de certificats d’autorités de certification racine de confiance.

15. Dans la liste Sélectionner la méthode d'authentification, sélectionnez Mot de passe sécurisé (EAP-MS-CHAP v2).

16. Cliquez sur Configurer. Dans la boîte de dialogue Propriétés EAP MSCHAPv2, vérifiez que l’option Utiliser automatiquement mon nom et mon mot de passe de connexion Windows (et mon domaine le cas échéant) est sélectionnée, puis cliquez sur OK.

17. Pour activer la Reconnexion rapide PEAP, vérifiez que l’option Activer la reconnexion rapide est sélectionnée.

18. Pour exiger le TLV de liaison de chiffrement du serveur lors des tentatives de connexion, sélectionnez Déconnecter si le serveur ne présente pas de TLV de liaison de chiffrement.

19. Pour spécifier que l’identité de l’utilisateur est masquée lors de la première phase d’authentification, sélectionnez Activer la confidentialité des identités et, dans la zone de texte, tapez un nom d’identité anonyme ou laissez la zone de texte vide.

    [!REMARQUES]

    • La stratégie NPS pour 802.1X Wireless doit être créée à l’aide de la Stratégie de requête de connexion du serveur NPS. Si la stratégie du serveur NPS est créée à l’aide de la Stratégie réseau du serveur NPS, la confidentialité des identités ne fonctionnera pas.
    • La confidentialité des identités EAP est fournie par certaines méthodes EAP où une identité vide ou anonyme (différente de l’identité réelle) est envoyée en réponse à la requête d’identité EAP. PEAP envoie l’identité deux fois pendant l’authentification. Dans la première phase, l’identité est envoyée en texte brut et cette identité est utilisée à des fins de routage, et non pour l’authentification du client. L’identité réelle, utilisée pour l’authentification, est envoyée au cours de la deuxième phase de l’authentification, dans le tunnel sécurisé établi dans la première phase. Si la case Activer la confidentialité des identités est cochée, le nom d’utilisateur est remplacé par l’entrée spécifiée dans la zone de texte. Par exemple, supposons que l’option Activer la confidentialité des identités soit sélectionnée et que l’alias de confidentialité d’identité anonyme soit spécifié dans la zone de texte. Pour un utilisateur avec un alias d’identité réel jdoe@example.com, l’identité envoyée dans la première phase d’authentification sera remplacée par anonymous@example.com. La partie du domaine de l’identité de la première phase n’est pas modifiée, car elle est utilisée à des fins de routage.

20. Cliquez sur OK pour fermer la boîte de dialogue Propriétés EAP protégées.

21. Cliquez sur OK pour fermer l’onglet Sécurité.

22. Si vous souhaitez créer des profils supplémentaires, cliquez sur Ajouter, puis répétez les étapes précédentes, en faisant différents choix pour personnaliser chaque profil pour les clients sans fil et le réseau auxquels vous souhaitez appliquer le profil. Lorsque vous avez terminé d’ajouter des profils, cliquez sur OK pour fermer la boîte de dialogue Propriétés de stratégie réseau sans fil.

Dans la section suivante, vous pouvez commander les profils de stratégie pour une sécurité optimale.

Définissez l’ordre de préférence pour les profils de connexion sans fil

Vous pouvez utiliser cette procédure si vous avez créé plusieurs profils sans fil dans votre stratégie de réseau sans fil et que vous souhaitez les classer pour une efficacité et une sécurité optimales.

Pour garantir que les clients sans fil se connectent avec le niveau de sécurité le plus élevé qu’ils peuvent prendre en charge, placez vos stratégies les plus restrictives en haut de la liste.

Par exemple, si vous avez deux profils, l’un pour les clients qui prennent en charge WPA2 et l’autre pour les clients qui prennent en charge WPA, placez le profil WPA2 plus haut dans la liste. Cela garantit que les clients qui prennent en charge WPA2 utiliseront cette méthode pour la connexion plutôt que la méthode WPA moins sécurisée.

Cette procédure fournit les étapes permettant de spécifier l’ordre dans lequel les profils de connexion sans fil sont utilisés pour connecter les clients sans fil des membres du domaine aux réseaux sans fil.

L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour définir l’ordre de préférence pour les profils de connexion sans fil

1. Dans GPME, dans la boîte de dialogue Propriétés du réseau sans fil pour la stratégie que vous venez de configurer, cliquez sur l’onglet Général.

2. Dans l’onglet Général, dans Se connecter aux réseaux disponibles dans l’ordre des profils répertoriés ci-dessous, sélectionnez le profil que vous souhaitez déplacer dans la liste, puis cliquez sur le bouton « flèche vers le haut » ou « flèche vers le bas » pour déplacer le profil à l’emplacement souhaité dans la liste.

3. Répétez l’étape 2 pour chaque profil que vous souhaitez déplacer dans la liste.

4. Cliquez sur OK pour enregistrer toutes les modifications.

Dans la section suivante, vous pouvez définir des autorisations réseau pour la stratégie sans fil.

Définissez des Autorisations réseau

Vous pouvez configurer les paramètres dans l’onglet Autorisations réseau pour les membres de domaine auxquels s’appliquent les stratégies de réseau sans fil (IEEE 802.11).

Vous pouvez uniquement appliquer les paramètres suivants pour les réseaux sans fil qui ne sont pas configurés dans l’onglet Général de la page Propriétés de la stratégie de réseau sans fil :

• Autorisez ou refusez des connexions à des réseaux sans fil spécifiques que vous spécifiez par type de réseau et identificateur de l’ensemble de services (SSID)

• Autorisez ou refusez des connexions à des réseaux ad hoc

• Autorisez ou refusez des connexions à des réseaux d’infrastructure

• Autorisez ou refusez aux utilisateurs d’afficher les types de réseaux (ad hoc ou infrastructure) auxquels ils n’ont pas accès

• Autorisez ou refusez aux utilisateurs de créer un profil qui s’applique à tous les utilisateurs

• Les utilisateurs peuvent uniquement se connecter aux réseaux autorisés à l’aide de profils de stratégie de groupe

L’appartenance au groupe Administrateurs du domaine, ou équivalent, est la condition minimale requise pour effectuer ces procédures.

Pour autoriser ou refuser des connexions à des réseaux sans fil spécifiques

1. Dans GPME, dans la boîte de dialogue Propriétés du réseau sans fil, cliquez sur l’onglet Autorisations réseau.

2. Dans l’onglet Autorisations réseau, cliquez sur Ajouter. La boîte de dialogue Nouvelle entrée d’autorisation s’ouvre.

3. Dans la boîte de dialogue Nouvelle entrée d’autorisation, dans le champ Nom du réseau (SSID), tapez le SSID réseau du réseau pour lequel vous souhaitez définir des autorisations.

4. Dans Type de réseau, sélectionnez Infrastructure ou Ad hoc.

   Notes

   Si vous ne savez pas si le réseau de diffusion est une infrastructure ou un réseau ad hoc, vous pouvez configurer deux entrées d’autorisation réseau, une pour chaque type de réseau.

5. Dans Autorisation, sélectionnez Autoriser ou Refuser.

6. Cliquez sur OK, pour revenir à l’onglet Autorisations réseau.

Pour spécifier des autorisations réseau supplémentaires (facultatif)

1. Dans l’onglet Autorisations réseau, configurez tout ou partie des éléments suivants :

   • Pour refuser aux membres de votre domaine l’accès aux réseaux ad hoc, sélectionnez Empêcher les connexions aux réseaux ad hoc.

   • Pour refuser aux membres de votre domaine l’accès aux réseaux d’infrastructure, sélectionnez Empêcher les connexions aux réseaux d’infrastructure.

   • Pour permettre aux membres de votre domaine d’afficher les types de réseau (ad hoc ou infrastructure) dont l’accès leur est refusé, sélectionnez Autoriser l’utilisateur à afficher les réseaux refusés.

   • Pour permettre aux utilisateurs de créer des profils qui s’appliquent à tous les utilisateurs, sélectionnez Autoriser tout le monde à créer tous les profils utilisateur.

   • Pour spécifier que vos utilisateurs peuvent uniquement se connecter aux réseaux autorisés à l’aide de profils de stratégie de groupe, sélectionnez Utiliser uniquement les profils de stratégie de groupe pour les réseaux autorisés.

Configurez vos serveurs NPS

Procédez comme suit pour configurer les serveur NPS afin d’effectuer l’authentification 802.1X pour l’accès sans fil :

• Enregistrer les serveurs NPS dans Active Directory Domain Services

• Configurer un point d’accès sans fil en tant que client RADIUS du serveur NPS

• Créer des stratégies de serveur NPS pour l’accès sans fil 802.1X à l’aide d’un Assistant

Enregistrez les serveurs NPS dans Active Directory Domain Services

Vous pouvez utiliser cette procédure pour inscrire un serveur exécutant le serveur NPS (Network Policy Server) dans Active Directory Domain Services (AD DS) dans le domaine où le serveur NPS est membre. Pour que les serveurs NPS soient autorisés à lire les propriétés de numérotation des comptes d’utilisateurs pendant le processus d’autorisation, chaque serveur NPS doit être enregistré dans AD DS. L’enregistrement d'un serveur NPS permet d’ajouter le serveur au groupe de sécurité des Serveurs RAS et IAS dans AD DS.

Notes

Vous pouvez installer le serveur NPS sur un contrôleur de domaine ou sur un serveur dédié. Exécutez la commande Windows PowerShell suivante pour installer le serveur NPS si vous ne l’avez pas encore fait :

Install-WindowsFeature NPAS -IncludeManagementTools

L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour inscrire un serveur NPS dans son domaine par défaut

1. Sur votre serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). Le composant logiciel enfichable du serveur NPS s’ouvre.

2. Cliquez avec le bouton droit sur NPS (Local), puis cliquez sur Inscrire un serveur dans Active Directory. La boîte de dialogue Serveur NPS (Network Policy Server) s’ouvre.

3. Dans Serveur NPS (Network Policy Server), cliquez sur OK, puis à nouveau sur OK.

Configurez un point d’accès sans fil en tant que client RADIUS du serveur NPS

Vous pouvez utiliser cette procédure pour configurer un point d’accès, également appelé serveur d’accès réseau (NAS), en tant que client RADIUS (Remote Authentication Dial-In User Service) à l’aide du composant logiciel enfichable du serveur NPS.

Important

Les ordinateurs clients, tels que les ordinateurs portables sans fil et autres ordinateurs exécutant des systèmes d'exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d'accès au réseau, tels que les points d'accès sans fil, les commutateurs compatibles 802.1X, les serveurs de réseaux privés virtuels (VPN) et les serveurs d'accès à distance, car ils utilisent le protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs NPS.

L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour ajouter un serveur d’accès réseau en tant que client RADIUS dans le serveur NPS

1. Sur votre serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). Le composant logiciel enfichable du serveur NPS s’ouvre.

2. Dans le composant logiciel enfichable du serveur NPS, double-cliquez sur Clients et serveurs RADIUS. Faites un clic droit sur Clients RADIUS, puis cliquez sur Nouveau.

3. Dans Nouveau client RADIUS, vérifiez que la case Activer ce client RADIUS est cochée.

4. Dans Nouveau client RADIUS, dans Nom convivial, tapez un nom d’affichage pour le point d’accès sans fil.

   Par exemple, si vous souhaitez ajouter un point d’accès sans fil nommé AP-01, tapez AP-01.

5. Dans Adresse (IP ou serveur DNS), tapez l’adresse IP ou le nom de domaine complet (FQDN) du NAS.

   Si vous entrez le nom de domaine complet, pour vérifier que le nom est correct et correspond à une adresse IP valide, cliquez sur Vérifier, puis dans Vérifier l’adresse, dans le champ Adresse, cliquez sur Résoudre. Si le nom de domaine complet est correspond à une adresse IP valide, l’adresse IP de ce NAS s’affichera automatiquement dans Adresse IP. Si le nom de domaine complet n’est pas résolu en une adresse IP, vous recevrez un message indiquant qu’aucun hôte de ce type n’est connu. Si cela se produit, vérifiez que le nom du point d’accès est correct, que le point d’accès est sous tension et qu’il est connecté au réseau.

   Cliquez sur OK pour fermer Vérifier l’adresse.

6. Dans Nouveau client RADIUS, dans Secret partagé, effectuez l’une des opérations suivantes :

   • Pour configurer manuellement un secret partagé RADIUS, sélectionnez Manuel, puis dans Secret partagé, tapez le mot de passe fort qui est également entré sur le NAS. Confirmer le secret partagé dans Confirmer le secret partagé.

   • Pour générer automatiquement un secret partagé, activez la case à cocher Générer, puis cliquez sur le bouton Générer. Enregistrez le secret partagé généré, puis utilisez cette valeur pour configurer le NAS afin qu’il puisse communiquer avec le serveur NPS.

     Important

     Le secret partagé RADIUS que vous entrez pour vos points d’accès virtuels dans le serveur NPS doit correspondre exactement au secret partagé RADIUS configuré sur vos points d’accès sans fil réels. Si vous utilisez l’option du serveur NPS pour générer un secret partagé RADIUS, vous devez configurer le point d’accès sans fil réel correspondant avec le secret partagé RADIUS qui a été généré par le serveur NPS.

7. Dans Nouveau client RADIUS, dans l’onglet Avancé, dans Nom du fournisseur, spécifiez le nom du fabricant du NAS. Si vous n’êtes pas sûr du nom du fabricant du NAS, sélectionnez Standard RADIUS.

8. Dans Options supplémentaires, si vous utilisez des méthodes d’authentification autres que EAP et PEAP, et si votre NAS prend en charge l’utilisation de l’attribut d’authentification du message, sélectionnez Les messages de demande d’accès doivent contenir l’attribut Message-Authenticator.

9. Cliquez sur OK. Votre NAS apparaît dans la liste des clients RADIUS configurés sur le serveur NPS.

Créez des stratégies de serveur NPS pour l’accès sans fil 802.1X à l’aide d’un Assistant

Vous pouvez utiliser cette procédure pour créer les stratégies de requête de connexion et les stratégies réseau requises pour déployer des points d’accès sans fil compatibles 802.1X en tant que clients RADIUS (Remote Authentication Dial-In User Service) sur le serveur RADIUS exécutant le serveur NPS (Network Policy Server). Après avoir exécuté l’Assistant, les stratégies suivantes sont créées :

• Une stratégie de demande de connexion

• Une stratégie réseau

Notes

Vous pouvez exécuter l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X chaque fois que vous devez créer de nouvelles stratégies pour l’accès authentifié 802.1X.

L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Créez des stratégies pour l’authentification sans fil 802.1X à l’aide d’un Assistant

1. Ouvrez le composant logiciel enfichable du serveur NPS. S’il n’est pas déjà sélectionné, cliquez sur Serveur NPS (local). Si vous exécutez le composant logiciel enfichable MMC du serveur NPS et que vous souhaitez créer des stratégies sur un serveur NPS distant, sélectionnez le serveur.

2. Dans Prise en main, dans Configuration standard, sélectionnez Serveur RADIUS pour les connexions sans fil ou câblées 802.1X. Le texte et les liens sous le texte changent pour refléter votre sélection.

3. Cliquez sur Configurer 802.1X. L’Assistant Configurer 802.1X s’ouvre.

4. Dans la page De l’Assistant Sélectionner un type de connexions 802.1X, dans Type de connexions 802.1X, sélectionnez Connexions sans fil sécurisées, puis, dans Nom, tapez un nom pour votre stratégie, ou laissez le nom par défaut Connexions sans fil sécurisées. Cliquez sur Suivant.

5. Sur la page de l’assistant Spécifier les commutateurs 802.1X, dans Clients RADIUS, tous les commutateurs 802.1X et points d’accès sans fil que vous avez ajoutés en tant que clients RADIUS dans le composant logiciel enfichable du serveur NPS sont affichés. Faites ce qui suit :

   • Pour ajouter des serveurs d’accès réseau (NAS) supplémentaires, tels que des points d’accès sans fil, dans Clients RADIUS, cliquez sur Ajouter, puis dans Nouveau client RADIUS, entrez les informations pour : Nom convivial, Adresse (IP ou DNS) et Secret partagé.

   • Pour modifier les paramètres d’un NAS, dans Clients RADIUS, sélectionnez le point d’accès pour lequel vous souhaitez modifier les paramètres, puis cliquez sur Modifier. Modifiez les paramètres en fonction des besoins.

   • Pour supprimer un NAS de la liste, dans Clients RADIUS, sélectionnez le NAS, puis cliquez sur Supprimer.

     Avertissement

     La suppression d’un client RADIUS dans l’Assistant Configuration 802.1X supprime le client de la configuration NPS. Tous les ajouts, modifications et suppressions que vous effectuez dans l’assistant Configurer 802.1X pour les clients RADIUS sont reflétés dans le composant logiciel enfichable du serveur NPS, dans le nœud Clients RADIUS sous Serveur NPS / Serveurs et clients RADIUS. Par exemple, si vous utilisez l’assistant pour supprimer un commutateur 802.1X, le commutateur est également supprimé du composant logiciel enfichable du serveur NPS.

6. Cliquez sur Suivant. Dans la page de l’Assistant Configurer une méthode d’authentification, dans Type (en fonction de la méthode d’accès et de la configuration du réseau), sélectionnez Microsoft : EAP protégé (PEAP), puis cliquez sur Configurer.

   Conseil

   Si vous recevez un message d’erreur indiquant qu’un certificat ne peut pas être trouvé pour une utilisation avec la méthode d’authentification et que vous avez configuré Active Directory Certificate Services pour émettre automatiquement des certificats aux serveurs RAS et IAS sur votre réseau, vérifiez d’abord que vous avez suivi les étapes pour enregistrer le serveur NPS dans Active Directory Domain Services, puis suivez les étapes suivantes pour mettre à jour la stratégie de groupe : cliquez sur Démarrer, sur Système Windows, sur Exécuter, puis dans Ouvrir, tapez gpupdate, puis appuyez sur ENTRÉE. Lorsque la commande renvoie des résultats indiquant que la stratégie de groupe de l’utilisateur et de l’ordinateur a été mise à jour avec succès, sélectionnez à nouveau Microsoft : EAP protégé (PEAP), puis cliquez sur Configurer.

   Si, après l’actualisation de la stratégie de groupe vous continuez à recevoir le message d’erreur indiquant qu’un certificat ne peut pas être trouvé pour une utilisation avec la méthode d’authentification, le certificat ne s’affiche pas, car il ne répond pas aux exigences minimales en matière de certificat de serveur, comme indiqué dans Core Network Companion Guide : Déployer des certificats de serveur pour les déploiements 802.1X avec et sans fil. Si cela se produit, vous devez interrompre la configuration du serveur NPS, révoquer le certificat émis pour votre (vos) serveur(s) NPS, puis suivre les instructions pour configurer un nouveau certificat à l’aide du guide de déploiement des certificats de serveur.

7. Dans la page de l’Assistant Modifier les propriétés EAP protégées, dans Certificat émis, vérifiez que le certificat NPS correct est sélectionné, puis procédez comme suit :

   Notes

   Vérifiez que la valeur dans Émetteur est correcte pour le certificat sélectionné dans Certificat émis. Par exemple, l’émetteur attendu pour un certificat émis par une autorité de certification exécutant les services de certificats Active Directory (AD CS) nommé corp\DC1, dans le domaine contoso.com, est corp-DC1-CA.

   • Pour permettre aux utilisateurs d’utiliser un profil itinérant avec leurs ordinateurs sans fil entre les points d’accès sans avoir à s’authentifier à nouveau chaque fois qu’ils s’associent à un nouveau point d’accès, sélectionnez Activer la reconnexion rapide.

   • Pour spécifier que la connexion des clients sans fil mettra fin au processus d’authentification du réseau si le serveur RADIUS ne présente pas de type-longueur-valeur (TLV) de liaison de chiffrement, sélectionnez Déconnecter les clients sans liaison de chiffrement.

   • Pour modifier les paramètres de stratégie du type EAP, dans Types EAP, cliquez sur Modifier, dans Propriétés EAP MSCHAPv2, modifiez les paramètres en fonction des besoins, puis cliquez sur OK.

8. Cliquez sur OK. La boîte de dialogue Modifier les propriétés EAP protégées se ferme et vous renvoie à l’Assistant Configurer 802.1X. Cliquez sur Suivant.

9. Dans Spécifier des groupes d’utilisateurs, cliquez sur Ajouter, puis tapez le nom du groupe de sécurité que vous avez configuré pour vos clients sans fil dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Par exemple, si vous avez nommé votre groupe de sécurité sans fil Groupe sans fil, tapez Groupe sans fil. Cliquez sur Suivant.

10. Cliquez sur Configurer pour configurer les attributs standard RADIUS et les attributs propres au fournisseur pour le réseau local virtuel (VLAN) en fonction des besoins et conformément à la documentation fournie par votre fournisseur de matériel d’accès sans fil. Cliquez sur Suivant.

11. Passez en revue les détails du résumé de la configuration, puis cliquez sur Terminer.

Vos stratégies de serveur NPS sont maintenant créées et vous pouvez passer à la jonction des ordinateurs sans fil au domaine.

Joignez de nouveaux ordinateurs sans fil au domaine

La méthode la plus simple pour joindre de nouveaux ordinateurs sans fil au domaine consiste à attacher physiquement l’ordinateur à un segment du réseau local câblé (segment non contrôlé par un commutateur 802.1X) avant de joindre l’ordinateur au domaine. C'est la solution la plus simple car les paramètres de stratégie de groupe sans fil sont automatiquement et immédiatement appliqués et, si vous avez déployé votre propre infrastructure à clé publique, l’ordinateur reçoit le certificat de l’autorité de certification et le place dans le magasin de certificats de l’autorité de certification racine de confiance, ce qui permet au client sans fil de faire confiance aux serveurs NPS dont les certificats de serveur ont été émis par votre autorité de certification.

De même, une fois qu’un nouvel ordinateur sans fil est joint au domaine, la méthode préférée pour les utilisateurs pour se connecter au domaine consiste à effectuer une connexion câblée au réseau.

Autres méthodes de jonction de domaines

Dans les cas où il n’est pas pratique de joindre des ordinateurs au domaine à l’aide d’une connexion Ethernet câblée, ou dans les cas où l’utilisateur ne peut pas se connecter au domaine pour la première fois à l’aide d’une connexion câblée, vous devez utiliser une autre méthode.

• Configuration de l’ordinateur du personnel informatique. Un membre du personnel informatique joint un ordinateur sans fil au domaine et configure un profil d’authentification unique sans fil au démarrage. Avec cette méthode, l’administrateur informatique connecte l’ordinateur sans fil au réseau Ethernet câblé joint l’ordinateur au domaine. Ensuite, l’administrateur distribue l’ordinateur à l’utilisateur. Lorsque l’utilisateur démarre l’ordinateur sans utiliser de connexion câblée, les informations d’identification de domaine qu’il spécifie manuellement pour la connexion de l’utilisateur sont utilisées à la fois pour établir une connexion au réseau sans fil et pour se connecter au domaine.

Pour plus d’informations, consultez la section Joindre le domaine et ouvrir une session à l’aide de la méthode de configuration de l’ordinateur du personnel informatique

• Configuration du profil sans fil au démarrage par les utilisateurs. L’utilisateur configure manuellement l’ordinateur sans fil avec un profil sans fil de démarrage et rejoint le domaine, en fonction des instructions fournies par un administrateur informatique. Le profil sans fil de démarrage permet à l’utilisateur d’établir une connexion sans fil, puis de joindre le domaine. Après avoir joint l’ordinateur au domaine et redémarré l’ordinateur, l’utilisateur peut se connecter au domaine à l’aide d’une connexion sans fil et des informations d’identification de son compte de domaine.

Pour plus d’informations, voir la section Joindre le domaine et se connecter à l’aide de la configuration du profil sans fil de démarrage par les utilisateurs.

Joignez le domaine et connectez-vous à l’aide de la méthode de configuration de l’ordinateur du personnel informatique

Les utilisateurs membres du domaine disposant d’ordinateurs clients sans fil joints à un domaine peuvent utiliser un profil sans fil temporaire pour se connecter à un réseau sans fil authentifié 802.1X sans se connecter au préalable au réseau local câblé. Ce profil sans fil temporaire est appelé profil sans fil de démarrage.

Un profil sans fil de démarrage nécessite que l’utilisateur spécifie manuellement ses informations d’identification de compte d’utilisateur de domaine et ne valide pas le certificat du serveur RADIUS (Remote Authentication Dial-In User Service) exécutant le serveur NPS (Network Policy Server).

Une fois la connectivité sans fil établie, la stratégie de groupe est appliquée à l’ordinateur client sans fil et un nouveau profil sans fil est créé automatiquement. La nouvelle stratégie utilise les informations d’identification de l’ordinateur et du compte d’utilisateur pour l’authentification du client.

En outre, dans le cadre de l’authentification mutuelle PEAP-MS-CHAP v2 à l’aide du nouveau profil au lieu du profil de démarrage, le client valide les informations d’identification du serveur RADIUS.

Après avoir joint l’ordinateur au domaine, utilisez cette procédure pour configurer un profil sans fil de démarrage de l’authentification unique, avant de distribuer l’ordinateur sans fil à l’utilisateur membre du domaine.

Pour configurer un profil sans fil de démarrage de l’authentification unique

1. Créez un profil de démarrage à l’aide de la procédure décrite dans ce guide, intitulée Configurer un profil de connexion sans fil pour PEAP-MS-CHAP v2 et utilisez les paramètres suivants :

   • Authentification PEAP-MS-CHAP v2

   • Validez le certificat de serveur RADIUS désactivé

   • Authentification unique activée

2. Dans les propriétés de la stratégie de réseau sans fil dans laquelle vous avez créé le nouveau profil de démarrage, dans l’onglet Général, sélectionnez le profil de démarrage, puis cliquez sur Exporter pour exporter le profil vers un partage réseau, un lecteur flash USB ou un autre emplacement facilement accessible. Le profil est enregistré en tant que fichier *.xml à l’emplacement que vous spécifiez.

3. Joignez le nouvel ordinateur sans fil au domaine (par exemple, via une connexion Ethernet qui ne nécessite pas d’authentification IEEE 802.1X) et ajoutez le profil sans fil de démarrage à l’ordinateur à l’aide de la commande netsh wlan add profile.

   Notes

   Pour plus d’informations, consultez Commandes Netsh pour le Réseau local sans fil (WLAN) à http://technet.microsoft.com/library/dd744890.aspx.

4. Distribuez le nouvel ordinateur sans fil à l’utilisateur en suivant la procédure « Se connecter au domaine à l’aide d’ordinateurs exécutant Windows 10 »

Lorsque l’utilisateur démarre l’ordinateur, Windows l’invite à saisir le nom et le mot de passe de son compte d’utilisateur de domaine. Étant donné que l’authentification unique est activée, l’ordinateur utilise les informations d’identification du compte d’utilisateur de domaine pour établir d’abord une connexion avec le réseau sans fil, puis pour se connecter au domaine.

Connectez-vous au domaine à partir d’ordinateurs fonctionnant sous Windows 10

1. Fermez la session sur l’ordinateur et redémarrez-le.

2. Appuyez sur n’importe quelle touche de votre clavier ou cliquez sur le bureau. L’écran de connexion s’affiche avec un nom de compte d’utilisateur local et un champ d’entrée de mot de passe sous le nom. Ne vous connectez pas avec le compte d’utilisateur local.

3. Dans le coin inférieur gauche de l’écran, cliquez sur Autre utilisateur. L’écran de connexion de l’autre utilisateur s’affiche avec deux champs, l’un pour le nom d’utilisateur et l’autre pour le mot de passe. Sous le champ de mot de passe se trouve le texte Se connecter à : puis le nom du domaine où l’ordinateur est joint. Par exemple, si votre domaine s’appelle example.com, le texte indique Se connecter à : EXEMPLE.

4. Dans Nom d’utilisateur, tapez votre nom d’utilisateur de domaine.

5. Dans Mot de passe, tapez votre mot de passe de domaine, puis cliquez sur la flèche ou appuyez sur ENTRÉE.

Notes

Si l’écran Autre utilisateur n’inclut pas le texte Se connecter à : et votre nom de domaine, vous devez entrer votre nom d’utilisateur au format domaine/utilisateur. Par exemple, pour vous connecter au domaine exemple.com avec un compte nommé Utilisateur-01, tapez exemple\Utilisateur-01.

Joignez le domaine et ouvrez une session à l’aide de la configuration du profil sans fil de démarrage par les utilisateurs

Avec cette méthode, vous effectuez les étapes de la section Étapes générales, puis vous fournissez à vos utilisateurs membres du domaine les instructions concernant la configuration manuelle d’un ordinateur sans fil avec un profil sans fil de démarrage. Le profil sans fil de démarrage permet à l’utilisateur d’établir une connexion sans fil, puis de joindre le domaine. Une fois l’ordinateur joint au domaine et redémarré, l’utilisateur peut se connecter au domaine via une connexion sans fil.

Étapes générales

1. Configurez un compte administrateur d’ordinateur local, dans Panneau de configuration, pour l’utilisateur.

   Important

   Pour joindre un ordinateur à un domaine, l’utilisateur doit être connecté à l’ordinateur avec le compte Administrateur local. L’utilisateur doit également fournir les informations d’identification du compte administrateur local pendant le processus de jointure de l’ordinateur au domaine. Par ailleurs, l’utilisateur doit posséder un compte utilisateur dans le domaine auquel il souhaite rattacher l’ordinateur. Au cours du processus de connexion de l’ordinateur au domaine, l’utilisateur sera invité à fournir les informations d’identification du compte de domaine (nom d’utilisateur et mot de passe).

2. Fournissez aux utilisateurs de votre domaine les instructions de configuration d’un profil sans fil de démarrage, comme indiqué dans la procédure suivante Pour configurer un profil sans fil de démarrage.

3. En outre, fournissez aux utilisateurs les informations d’identification de l’ordinateur local (nom d’utilisateur et mot de passe) et les informations d’identification de domaine (nom et mot de passe de compte d’utilisateur de domaine) sous la forme NomDeDomaine\NomD’utilisateur, ainsi que les procédures permettant de « Joindre l’ordinateur au domaine » et de « Se connecter au domaine », comme indiqué dans le Guide du réseau principal Windows Server 2016.

Pour configurer un profil sans fil de démarrage

1. Utilisez les informations d’identification fournies par votre administrateur réseau ou un professionnel de l’assistance informatique pour vous connecter à l’ordinateur avec le compte administrateur de l’ordinateur local.

2. Faites un clic droit sur l’icône du réseau sur le bureau, puis cliquez sur Ouvrir le centre de réseau et de partage. La boîte de dialogue Centre Réseau et partage s’ouvre. Dans Modifier vos paramètres de mise en réseau, cliquez sur Configurer une nouvelle connexion ou un nouveau réseau. La boîte de dialogue Configurer une connexion ou un réseau s’ouvre.

3. Cliquez sur Se connecter manuellement à un réseau sans fil, puis sur Suivant.

4. Dans Se connecter manuellement à un réseau sans fil, dans Nom du réseau, tapez le nom SSID du point d’accès.

5. Dans Type de sécurité, sélectionnez le paramètre fourni par votre administrateur.

6. Dans Type de chiffrement et Clé de sécurité, sélectionnez ou tapez les paramètres fournis par votre administrateur.

7. Sélectionnez Démarrer cette connexion automatiquement, puis cliquez sur Suivant.

8. Dans Ajouté avec succès de Votre SSID réseau, cliquez sur Modifier les paramètres de connexion.

9. Cliquez sur Modifier les paramètres de connexion. La boîte de dialogue de propriété du réseau sans fil Votre réseau SSID s’ouvre.

10. Cliquez sur l’onglet Sécurité, puis dans Choisir une méthode d’authentification réseau, sélectionnez EAP protégé (PEAP).

11. Cliquez sur Settings. La page Propriétés EAP protégées (PEAP) s’ouvre.

12. Dans la page Propriétés EAP protégées (PEAP), vérifiez que l’option Valider le certificat de serveur n’est pas sélectionnée, cliquez deux fois sur OK, puis sur Fermer.

13. Windows tente ensuite de se connecter au réseau sans fil. Les paramètres du profil sans fil de démarrage spécifient que vous devez fournir vos informations d’identification de domaine. Lorsque Windows vous invite à entrer un nom de compte et un mot de passe, tapez les informations d’identification de votre compte de domaine comme suit : Nom de domaine\Nom d’utilisateur, Mot de passe de domaine.

Pour joindre un ordinateur au domaine

1. Ouvrez une session sur l’ordinateur avec le compte Administrateur local.

2. Dans la zone de texte de recherche, tapez PowerShell. Dans les résultats de la recherche, faites un clic droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur. Windows PowerShell s’ouvre avec une invite élevée.

3. Dans Windows PowerShell, tapez la commande suivante, puis appuyez sur ENTRÉE. Veillez à remplacer la variable DomainName par le nom du domaine que vous souhaitez joindre.

   Ajouter-Nom de domaine de l’ordinateur

4. Lorsque vous y êtes invité, tapez le nom d’utilisateur et le mot de passe de votre domaine, puis cliquez sur OK.

5. Redémarrez l'ordinateur.

6. Suivez les instructions de la section précédente Connectez-vous au domaine à l’aide d’ordinateurs exécutant Windows 10.