Wi-Fi-profil létrehozása egyéni eszközprofillal előre megosztott kulccsal az Intune-nal

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

Az előmegosztott kulcsok (PSK-k) segítségével hitelesítheti a felhasználókat a vezeték nélküli helyi hálózatokon. Az Intune-nal előmegosztott kulccsal hozhat létre Wi-Fi-eszközkonfigurációs szabályzatot.

A profil létrehozásához először készítenie kell egy egyéni eszközkonfigurációs profilt az Intune-ban.

Ez a funkció az alábbiakra vonatkozik:

• Android-eszközadminisztrátor
• Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
• A Windows
• EAP-alapú Wi-Fi

Egy XML-fájlban Wi-Fi és PSK-adatokat adhat hozzá. Ezután hozzáadja az XML-fájlt egy egyéni eszközkonfigurációs szabályzathoz az Intune-ban. Ha a szabályzat elkészült, hozzárendelheti a szabályzatot az eszközeihez. Amikor az eszköz legközelebb bejelentkezik, a rendszer alkalmazza a szabályzatot, és létrehoz egy Wi-Fi profilt az eszközön.

Ez a cikk bemutatja, hogyan hozhatja létre a szabályzatot az Intune-ban, és egy EAP-alapú Wi-Fi házirend XML-példáját is tartalmazza.

Fontos

• Ha egy előre megosztott kulcsot használ a Windows 10/11-gyel, szervizelési hiba jelenik meg az Intune-ban. Ebben az esetben a Wi-Fi profil megfelelően van hozzárendelve az eszközhöz, és a profil a várt módon működik.
• Az előmegosztott kulcsot tartalmazó Wi-Fi-profilok exportálásakor gondoskodjon a fájlok védelméről. A kulcs egyszerű szöveg. Az Ön felelőssége, hogy megvédje a kulcsot.

Előfeltételek

• A szabályzat létrehozásához legalább jelentkezzen be a Microsoft Intune Felügyeleti központba egy beépített Házirend- és Profilkezelő szerepkörrel rendelkező fiókkal. A beépített szerepkörökről a Szerepköralapú hozzáférés-vezérlés Microsoft Intune című témakörben talál további információt.

Az első lépések

• Egyszerűbb lehet az XML-szintaxis másolása az adott hálózathoz csatlakozó számítógépről az XML-fájl létrehozása meglévő Wi-Fi kapcsolatból (ebben a cikkben) című témakörben leírtak szerint.
• További OMA-URI-beállítások megadásával több hálózatot és kulcsot is hozzáadhat.
• iOS/iPadOS-rendszereken a profil létrehozásához használja az Apple Configurator programot egy Mac munkaállomáson.
• Az előmegosztott kulcsokhoz egy 64 hexadecimális számból álló sztringet vagy egy 8–63 nyomtatható ASCII-karakterből álló jelszót kell megadnia. Egyes karakterek, például a csillag (*) nem támogatottak.

Egyéni profil létrehozása

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>konfigurációja>Létrehozás lehetőséget.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki a platformot.
   • Profil típusa: Válassza az Egyéni lehetőséget. Vagy válassza a Sablonok>Egyéni lehetőséget.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például az Android-Custom Wi-Fi profil.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások között válassza a Hozzáadás lehetőséget. Adjon meg egy új OMA-URI beállítást az alábbi tulajdonságokkal:

   1. Név: Adja meg az OMA-URI beállítás nevét.

   2. Leírás: Adja meg az OMA-URI beállítás leírását. A beállítás használata nem kötelező, de ajánlott.

   3. OMA-URI: Adja meg az alábbi lehetőségek egyikét:

      • Android rendszerhez: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Windows rendszerhez: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Megjegyzés:

      • Ügyeljen arra, hogy az OMA-URI érték elején szerepeljen a pont karakter.
      • Ha az SSID-ben szerepel szóköz, adjon hozzá egy menekülési szóközt. %20

      Az SSID (szolgáltatáskészlet-azonosító) az a Wi-Fi hálózat neve, amely számára a szabályzatot létrehozza. Ha például a Wi-Fi neve Hotspot-1, írja be a következőt: ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Ha a Wi-Fi neve Contoso WiFi, írja be a következőt: ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (%20 menekülési szóközzel).

   4. Adattípus: Válassza a Karakterlánc karakterláncot.

   5. Érték: Illessze be az XML-kódot. Tekintse át a cikkben található példákat. Módosítsa az értékeket a saját hálózati beállításainak megfelelően. A kódban található megjegyzések további információt nyújtanak.

   6. A módosítások mentéshez válassza a Hozzáadás gombot.

8. Válassza a Tovább gombot.

9. A Hatókörcímkék (nem kötelező) csoportban rendeljen hozzá egy címkét a profil adott informatikai csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. A hatókörcímkékről további információt az RBAC és a hatókörcímkék használata elosztott it-hez című témakörben talál.

   Válassza a Tovább gombot.

10. A Feladatok csoportban válassza ki, hogy mely felhasználók vagy felhasználói csoportok kapják meg a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.

    Megjegyzés:

    Ez a szabályzat kizárólag felhasználói csoportokhoz rendelhető.

    Válassza a Tovább gombot.

11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Amikor az egyes eszközök legközelebb bejelentkeznek, a rendszer telepíti a szabályzatot, és létrehozza a Wi-Fi-profilt az eszközökön. Az eszköz így képes lesz automatikusan kapcsolódni a hálózathoz.

Android vagy Windows rendszerhez készült példa Wi-Fi-profil

Az alábbi példában megtalálhatja az Android vagy Windows rendszerhez készült Wi-Fi-profilhoz használható XML-kódot. A példa a megfelelő formátumot mutatja be, valamint részletesebb információkkal is szolgál. Ez azonban csak egy példa, és nem az Ön környezetéhez ajánlott konfiguráció.

Amit még tudnia kell

• A(z) <protected>false</protected> tulajdonságot false (hamis) értékre kell állítania. Ha ez igaz, előfordulhat, hogy az eszköz titkosított jelszót vár, majd megpróbálja visszafejteni; ami sikertelen kapcsolatot eredményezhet.

• A(z) <hex>53534944</hex> helyére a(z) <name><SSID of wifi profile></name> paraméter hexadecimális értékét kell beírni. Windows 10/11-eszközök hamis x87D1FDE8 Remediation failed hibát adhatnak vissza, de az eszköz továbbra is tartalmazza a profilt.

• Az XML különleges karaktereket tartalmaz, például & (& jel). Speciális karakterek használata megakadályozhatja, hogy az XML a várt módon működjenek.

Példa

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP-alapú példa Wi-Fi-profil

Az alábbi példa egy EAP-alapú Wi-Fi profil XML-kódját tartalmazza. A példa a megfelelő formátumot mutatja be, és további részleteket tartalmaz. Ez azonban csak egy példa, és nem az Ön környezetéhez ajánlott konfiguráció.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

XML-fájl létrehozása meglévő Wi-Fi kapcsolat alapján

Az XML-fájlt meglévő Wi-Fi kapcsolat alapján is létrehozhatja. Windows rendszerű számítógépen kövesse az alábbi lépéseket:

1. Hozzon létre egy helyi mappát az exportált Wi-Fi profilokhoz, például c:\WiFi.

2. Nyisson meg egy parancssort rendszergazdaként (kattintson a jobb gombbal, majd válassza a cmd>Futtatás rendszergazdaként lehetőséget).

3. Futtassa a következőt: netsh wlan show profiles. A listában az összes profil neve megjelenik.

4. Futtassa a következőt: netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Ezzel a paranccsal létrejön egy Wi-Fi-YourProfileName.xml nevű fájl a c:\Wifi mappában.

   • Ha egy előre megosztott kulcsot tartalmazó Wi-Fi-profilt exportál, adja hozzá key=clear a parancshoz. A key=clear paraméter egyszerű szövegben exportálja a kulcsot, amely a profil sikeres használatához szükséges:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Ha az exportált Wi-Fi profilelem <name></name> tartalmaz szóközt, akkor a hozzárendeléskor hibaüzenet jelenhet ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) meg. Ha ez a probléma jelentkezik, a profil felkerül a(z) \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces listára, és ismert hálózatként jelenik meg. Viszont nem jelenik meg felügyelt házirendként a "Felügyelt területek..." között. URI.

     A probléma megoldásához távolítsa el a szóközt.

Miután létrehozta az XML-fájlt, másolja és illessze be az XML-szintaxist az OMA-URI beállításokBa >Adattípus. Az Egyéni profil létrehozása (ebben a cikkben) szakasz ismerteti a lépéseket.

Tipp

A(z) \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} az összes profilt is tartalmazza XML formátumban.

Gyakorlati tanácsok

• A Wi-Fi-profil PSK használatával való üzembe helyezése előtt győződjön meg róla, hogy az eszköz tud közvetlenül kapcsolódni a végponthoz.

• Kulcsok (jelszavak és hozzáférési kódok) cseréjekor számítson üzemszünetre, és tervezze meg az üzembe helyezést. A következőt kell tenni:

  • Győződjön meg arról, hogy az eszközök másik internetkapcsolattal rendelkeznek.

    A felhasználónak például vissza kell tudni váltani a Vendég Wi-Fi-hálózatra (vagy egy másik Wi-Fi-hálózatra), vagy mobilhálózati kapcsolattal kell rendelkeznie, amellyel kommunikálhat az Intune-nal. A további kapcsolat lehetővé teszi, hogy a felhasználó megkapja a szabályzatfrissítéseket, amikor a vállalati Wi-Fi profil frissül az eszközön.

  • Új Wi-Fi profilok leküldése munkaidőn kívüli időszakban.

  • Figyelmeztesse a felhasználókat, hogy a kapcsolat hatással lehet.

Források

Mindenképpen rendelje hozzá a profilt, és kövesse nyomon az állapotát.