Configurer des profils et des paramètres EAP dans Windows

S’applique à : Windows Server 2022, Windows 11, Windows 10

Cet article présente des informations sur les différentes façons couramment utilisées de configurer les paramètres du protocole EAP (Extensible Authentication Protocol). Plus précisément, il décrit la configuration de profils EAP à l’aide de XML et en ligne de commande. Il montre également comment configurer des paramètres et des profils EAP à l’aide de différentes interface utilisateur dans Windows.

Profils XML

Comme indiqué dans Profils XML pour EAP, les profils de connexion Wi-Fi, Ethernet et VPN sont des fichiers XML qui contiennent les options de configuration de cette connexion. Ces profils peuvent être importés/exportés et modifiés manuellement. Lorsque des profils sont créés ou modifiés dans l’interface utilisateur (comme indiqué dans les sections suivantes), Windows définit en interne les options de configuration XML correspondantes. Par conséquent, vous pouvez utiliser l’interface utilisateur pour créer un profil, puis l’exporter pour afficher les options de configuration XML qui ont été définies.

Notes

Toutes les options de configuration ne sont pas exposées dans l’interface utilisateur. Selon votre scénario, il peut être nécessaire de modifier manuellement le profil XML pour définir les options de configuration souhaitées, puis d’importer le profil mis à jour pour le déploiement.

Par exemple, lorsque vous utilisez des stratégies de Gestion des périphériques mobiles (GPM) (par exemple, CSP Wi-Fi), vous devez approvisionner le profil XML complet.

Vous trouverez un exemple de profil Wi-Fi dans cet exemple.

Importer et exporter des profils avec les outils en ligne de commande

L’importation et l’exportation de profils à l’aide d’un outil en ligne de commande peuvent être utiles dans de nombreux scénarios. Par exemple, lorsque la configuration de GPM ou de stratégie de groupe n’est pas possible, l'option la plus rapide peut consister à utiliser ces commandes manuellement ou par script. Il peut également être utilisé pour exporter des profils après les avoir configurés via une autre interface utilisateur.

netsh

netsh est un outil de ligne de commande qui peut être utilisé pour afficher et configurer différents paramètres liés au réseau. Pour plus d’informations, consultez Netsh (Network Shell). netsh peut être appelé à partir de cmd et powershell. Le tableau suivant répertorie certaines commandes netsh courantes et des exemples d’importation et d’exportation de profils. /? peut être utilisé avec n’importe quelle commande netsh pour obtenir plus d’informations sur la commande, y compris la syntaxe.

Wi-Fi

Commande	Description
netsh wlan show profiles	Affiche tous les profils Wi-Fi, y compris le nom du profil.
netsh wlan show profiles name="ProfileName"	Affiche des informations détaillées sur un profil Wi-Fi spécifique
netsh wlan export profile name="ProfileName" folder="C:\Profiles"	Exporte un profil Wi-Fi vers le dossier spécifié. Le dossier doit exister.
netsh wlan add profile filename="C:\Profiles\ProfileName.xml"	Ajoute un profil Wi-Fi à partir du fichier spécifié.
netsh wlan delete profile name="ProfileName"	Supprime un profil Wi-Fi.

Câblé

Commande	Description
netsh lan show profiles	Affiche tous les profils d'accès par câble, y compris le nom du profil et d’autres détails.
netsh lan show profiles interface="Ethernet"	Affiche des informations détaillées sur le profil d'accès par câble sur une interface spécifique.
netsh lan export profile interface="Ethernet" folder="C:\Profiles"	Exporte un profil d'accès par câble vers le dossier spécifié. Le dossier doit exister. Si aucune interface n’est spécifiée, le profil de machine est exporté.
netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"	Ajoute un profil d'accès par câble à partir du fichier spécifié à l’interface spécifiée. Si aucune interface n’est spécifiée, le profil est ajouté en tant que profil de machine.
netsh lan delete profile interface="ProfileName"	Supprime un profil d'accès par câble. Si aucune interface n’est spécifiée, le profil de machine est supprimé.

PowerShell

PowerShell est un interpréteur de ligne de commandes et un langage de script qui peut être utilisé pour afficher et configurer différents paramètres. Il comprend diverses commandes (applets de commande) qui peuvent être utilisées pour importer et exporter des profils de connexion. L’applet de commande Get-Help peut être utilisée avec n’importe quelle applet de commande pour obtenir plus d’informations sur cette applet de commande, y compris la syntaxe.

VPN

Pour plus d’informations sur ces applets de commande, consultez Get-VpnConnection, Set-VpnConnection et Add-VpnConnection.

Commande	Description
Get-VpnConnection	Affiche tous les profils VPN, y compris le nom du profil et d’autres détails.
Get-VpnConnection -Name "ProfileName"	Affiche des informations récapitulatives sur un profil VPN spécifique.
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml"	Exporte la configuration EAP d’un profil VPN spécifique dans un fichier.
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")	Importe la configuration EAP à partir d’un fichier et met à jour le profil VPN spécifié.

Application Paramètres (Bureau Windows)

Sur le client de bureau Windows, de nombreux paramètres Wi-Fi, Ethernet et VPN courants peuvent être configurés via l’application Paramètres. Les captures d’écran suivantes montrent l’application Paramètres Windows 11, mais l’interface utilisateur est similaire dans Windows 10. Toutefois, certaines fonctionnalités et options peuvent être disponibles uniquement dans Windows 11.

Wi-Fi

Windows 10 et 11 prennent en charge l’ajout de profils Wi-Fi avec une configuration spécifique (y compris 802.1X) dans l’application Paramètres. Ce paramètre se trouve dans l’application Paramètres sous Réseau & Internet>Wi-Fi>Gérer les réseaux connus>Ajouter un réseau :

Cette boîte de dialogue vous permet de configurer le SSID, le type de sécurité et d’autres paramètres pour le profil Wi-Fi. Lorsqu’un type de sécurité prenant en charge EAP est sélectionné, par exemple WPA3-Enterprise AES, la boîte de dialogue montre une option permettant de configurer les paramètres EAP :

Conseil

Une fois le réseau ajouté, il n’est pas possible de modifier les paramètres EAP via l’application Paramètres. Pour modifier les paramètres EAP, effectuez les opérations suivantes :

• Supprimez le profil et rajoutez-le avec les paramètres appropriés, ou
• Utilisez les commandes netsh décrites dans netsh pour modifier manuellement le profil.

Câblé

Windows 11 a ajouté la prise en charge de la modification des paramètres d’authentification 802.1X sur les connexions câblées dans l’application Paramètres. Ce paramètre se trouve dans l’application Paramètres sous Réseau & Internet>Ethernet>Paramètres d’authentification>Modifier>Paramètres d’authentification Ethernet :

Le fait d’Activer le paramètre Activer l’authentification IEEE 802.1X vous permet de modifier les paramètres EAP pour ce profil :

Si l’ordinateur a un profil de machine configuré ou si l’interface a un profil configuré par la Stratégie de groupe, le paramètre Activer l’authentification IEEE 802.1X est désactivé et ne peut pas être changé :

VPN

Windows 10 et 11 prennent en charge la modification des profils VPN, y compris les options EAP, dans l’application Paramètres. Ce paramètre se trouve dans l’application Paramètres sous Réseau & Internet>VPN :

Le fait de sélectionner Ajouter un VPN vous permet d’ajouter un nouveau profil VPN :

Une fois le profil VPN ajouté, vous pouvez le modifier en le développant et en sélectionnant Options avancées>Modifier :

Éditeur de stratégie de groupe (Bureau et Serveur)

La stratégie de groupe est une infrastructure qui vous permet de gérer des configurations pour les utilisateurs et les ordinateurs. À l’aide de la stratégie de groupe, vous pouvez configurer les paramètres Wi-Fi, Ethernet et VPN en fonction de règles que vous définissez. Les captures d’écran suivantes montrent l’Éditeur de gestion des stratégies de groupe de Windows Server 2022, mais l’interface utilisateur est similaire pour le Panneau de configuration et l’éditeur de stratégie de groupe local du Bureau Windows. Pour plus d’informations sur les options affichées dans les captures d’écran suivantes, consultez Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau.

Wi-Fi

Les options de stratégie de groupe pour le Wi-Fi se trouvent sous Configuration ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de réseau sans fil (IEEE 802.11) :

Un clic droit sur Stratégies de réseau sans fil (IEEE 802.11) et la sélection de Créer une stratégie de réseau sans fil pour Windows Vista et versions ultérieures permet d’ouvrir la boîte de dialogue Propriétés de la nouvelle stratégie de réseau sans fil :

Cette boîte de dialogue vous permet de définir le nom de la stratégie, une description et ajouter/des/profils Supprimer, ainsi que des profils XML d’importation et d’exportation.

Un clic sur Ajouter et la sélection de Infrastructure permet d’ouvrir la boîte de dialogue Propriétés du nouveau profil :

Cette boîte de dialogue vous permet de définir le Nom du profil et d’ajouter les SSID auquel ce profil s’applique.

La sélection de Sécurité vous permet de configurer les paramètres EAP pour le profil :

Cette boîte de dialogue vous permet de configurer le type de sécurité et d’autres paramètres pour le profil Wi-Fi. Lorsqu’un type d’authentification prenant en charge l’authentification 802.1X est sélectionné (par exemple WPA2-Enterprise), les options de sécurité 802.1X sont visibles. Pour plus d’informations sur chaque méthode d’authentification réseau, consultez Méthodes EAP.

Lorsque le bouton Avancé est sélectionné, la boîte de dialogue Paramètres de sécurité avancés s’affiche :

Cette boîte de dialogue vous permet de définir certains paramètres 802.1X avancés et des options d’authentification unique.

Conseil

Tous les paramètres ne sont pas disponibles pour la configuration dans l’éditeur de stratégie de groupe. Toutefois, vous pouvez contourner ce problème en important un profil XML avec les paramètres souhaités. Pour plus d’informations, consultez Profils XML.

Câblé

Les options de stratégie de groupe pour les réseaux câblés se trouvent sous Configuration ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de réseau câblé (IEEE 802.3) :

Un clic droit sur Stratégies de réseau câblé (IEEE 802.3) et la sélection de Créer une stratégie de réseau câblé pour Windows Vista et versions ultérieures permet d’ouvrir la boîte de dialogue Propriétés de la nouvelle stratégie de réseau câblé :

Cette boîte de dialogue vous permet de définir le nom de la stratégie, une description et les options suivantes :

Paramètre	Élément XML	Description
Utiliser le service de configuration automatique de réseau câblé Windows pour les clients	enableAutoConfig	Si cette option est sélectionnée, la configuration automatique de réseau câblé Windows (dot3svc) peut être utilisée pour se connecter à des réseaux câblés sans configuration explicite. Si elle n’est pas sélectionnée, le réseau spécifié dans cette stratégie est le seul réseau disponible pour la connexion.
Ne pas autoriser les informations d’identification de l’utilisateur partagées pour l’authentification réseau	enableExplicitCreds	Si cette option est sélectionnée, les informations d’identification de l’utilisateur partagées ne sont pas autorisées pour l’authentification réseau. Les informations d’identification doivent être explicites.
Activer la période de blocage (minutes)	blockPeriod	La valeur par défaut est de 20 minutes. Spécifie la durée pendant laquelle les tentatives d’authentification automatique seront bloquées après l’échec d’une tentative d’authentification.

La sélection de Sécurité vous permet de configurer les paramètres EAP pour le profil :

Cette boîte de dialogue vous permet de configurer le type de sécurité et d’autres paramètres pour le réseau câblé. Pour plus d’informations, consultez Options de sécurité 802.1X. Pour plus d’informations sur chaque méthode d’authentification réseau, consultez Méthodes EAP.

Lorsque le bouton Avancé est sélectionné, la boîte de dialogue Paramètres de sécurité avancés s’affiche :

Cette boîte de dialogue vous permet de définir certains paramètres 802.1X avancés et des options d’authentification unique.

Conseil

Tous les paramètres ne sont pas disponibles pour la configuration dans l’éditeur de stratégie de groupe. Toutefois, vous pouvez y remédier en sauvegardant l’objet de stratégie de groupe, en modifiant le fichier Backup.xml avec les paramètres souhaités et en le réimportant. Pour plus d’informations, consultez Profils XML.

Méthodes EAP

Pour obtenir une vue d’ensemble des différentes méthodes EAP, consultez Méthodes d’authentification.

Microsoft : Carte à puce ou autre certificat

Pour plus d’informations sur cette boîte de dialogue, consultez EAP-TLS.

La sélection de Avancé permet d’ouvrir la boîte de dialogue Configurer la sélection des certificats :

Microsoft : PEAP (Protected EAP)

Pour plus d’informations sur cette boîte de dialogue, consultez PEAP.

La sélection de Configurer lorsque Mot de passe sécurisé (EAP-MSCHAP version 2)) est sélectionné permet d’ouvrir la boîte de dialogue EAP MSCHAPv2 :

Microsoft : EAP-SIM

Pour plus d’informations sur cette boîte de dialogue, consultez EAP-SIM.

Microsoft : EAP-TTLS

Pour plus d’informations sur cette boîte de dialogue, consultez EAP-TTLS.

Microsoft : EAP-AKA

Pour plus d’informations sur cette boîte de dialogue, consultez EAP-AKA.

Microsoft : EAP-AKA'

Pour plus d’informations sur cette boîte de dialogue, consultez EAP-AKA'.

Microsoft : EAP-TEAP

Pour plus d’informations sur cette boîte de dialogue, consultez TEAP.

Ressources supplémentaires

• Gestion des paramètres des nouvelles stratégies de réseau sans fil (IEEE 802.11)
• Managing the New Wired Network (IEEE 802.3) Policies Settings
• Paramètres de sécurité avancés pour les stratégies de réseau câblé et sans fil