Aggiungere impostazioni di rete cablate per i dispositivi Windows in Microsoft Intune

  • Articolo

È possibile creare un profilo con impostazioni di rete cablate specifiche e quindi distribuire questo profilo nei dispositivi Windows. Microsoft Intune offre molte funzionalità, tra cui l'autenticazione alla rete, l'aggiunta di un certificato SCEP e altro ancora.

Questo articolo descrive le impostazioni che è possibile configurare.

Prima di iniziare

Rete cablata

  • Modalità di autenticazione: selezionare la modalità di autenticazione del profilo con la rete. Se si usa l'autenticazione del certificato, assicurarsi che il tipo di certificato corrisponda al tipo di autenticazione.

    Le opzioni disponibili sono:

    • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe usare l'autenticazione utente o computer .
    • Utente: l'account utente che ha eseguito l'accesso al dispositivo esegue l'autenticazione alla rete.
    • Computer: le credenziali del dispositivo eseguono l'autenticazione in rete.
    • Utente o computer: quando un utente ha eseguito l'accesso al dispositivo, le credenziali utente eseguono l'autenticazione in rete. Quando nessun utente ha eseguito l'accesso, le credenziali del dispositivo vengono autenticate.
    • Guest: nessuna credenziale associata alla rete. L'autenticazione è aperta o gestita esternamente, ad esempio tramite una pagina Web.

  • Ricordare le credenziali a ogni accesso: selezionare per memorizzare nella cache le credenziali utente o se gli utenti devono immetterle ogni volta durante la connessione alla rete. Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare questa funzionalità e memorizzare nella cache le credenziali.
    • Abilita: memorizza nella cache le credenziali utente quando vengono immesse la prima volta che gli utenti si connettono alla rete. Le credenziali memorizzate nella cache vengono usate per le connessioni future e gli utenti non devono immetterle nuovamente.
    • Disabilita: le credenziali utente non vengono memorizzate o memorizzate nella cache. Quando gli utenti si connettono alla rete, gli utenti devono immettere le proprie credenziali ogni volta.

  • Periodo di autenticazione: immettere il numero di secondi di attesa dei dispositivi dopo il tentativo di autenticazione, da 1 a 3600. Se il dispositivo non si connette nel momento in cui si immette, l'autenticazione non riesce. Se si lascia vuoto questo valore o vuoto, 18 vengono usati i secondi.

  • Periodo di ritardo dei tentativi di autenticazione: immettere il numero di secondi tra un tentativo di autenticazione non riuscito e il successivo tentativo di autenticazione, compreso tra 1 e 3600. Se si lascia vuoto questo valore o vuoto, 1 viene usato il secondo.

  • Periodo di inizio: immettere il numero di secondi di attesa prima di inviare un messaggio di EAPOL-Start, da 1 a 3600. Se si lascia vuoto questo valore o vuoto, 5 vengono usati i secondi.

  • Numero massimo di EAPOL-start: immettere il numero di messaggi di EAPOL-Start, da 1 a 100. Se si lascia questo valore vuoto o vuoto, viene inviato un massimo di 3 messaggi.

  • Numero massimo di errori di autenticazione: immettere il numero massimo di errori di autenticazione per questo set di credenziali da autenticare, da 1 a 100. Se si lascia questo valore vuoto o vuoto, 1 viene usato il tentativo.

  • 802.1x: se impostato su Imponi, il servizio di configurazione automatica per le reti cablate (Wired AutoConfig) richiede l'uso di 802.1X per l'autenticazione delle porte. Se impostato su Non applicare (impostazione predefinita), il servizio Cablato AutoConfig non richiede l'uso di 802.1X per l'autenticazione della porta.

    Avviso

    Se impostato su Imponi, verificare che le impostazioni di configurazione nei criteri siano corrette e corrispondano alle impostazioni di rete. Se le impostazioni dei criteri non corrispondono alle impostazioni di rete, l'accesso a Internet viene bloccato nel dispositivo. Il dispositivo non può connettersi a Internet per ottenere una versione aggiornata dei criteri. Per ottenere di nuovo l'accesso a Internet, è necessario rimuovere manualmente i criteri dal dispositivo.

  • Periodo di blocco (minuti): dopo un tentativo di autenticazione non riuscito, il sistema operativo tenta automaticamente di eseguire di nuovo l'autenticazione. Immettere il numero di minuti per bloccare questi tentativi di autenticazione automatica, da 0 a 1440. Se si lascia vuoto questo valore, il sistema operativo potrebbe provare automaticamente a eseguire di nuovo l'autenticazione.

  • Tipo EAP: selezionare il tipo EAP (Extensible Authentication Protocol) per autenticare le connessioni cablate protette. Le opzioni disponibili sono:

    • EAP-SIM

    • EAP-TLS: immettere anche:

      • Attendibilità - server Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Quando si immettono queste informazioni, è possibile ignorare la finestra di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.
      • Certificato radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.
      • Autenticazione - client Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Certificato SCEP: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione.

        • Certificato PKCS: selezionare un profilo certificato client PKCS esistente e un certificato radice attendibile esistente che vengono distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione.

        • Certificato di importazione PFX: selezionare un profilo certificato PFX importato esistente. Il certificato client è l'identità presentata dal dispositivo per autenticare la connessione.

          Per altre informazioni sui certificati PFX importati, vedere Configurare e usare certificati PKCS importati con Intune.

        • Credenziali derivate: selezionare un profilo certificato esistente derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    • EAP-TTLS: immettere anche:

      • Attendibilità - server Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.

      • Certificati radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.

      • Autenticazione - client Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione di rete. Immettere anche:

          • Metodo non EAP (identità interna): scegliere come autenticare la connessione di rete. Assicurarsi di selezionare lo stesso protocollo configurato nella rete.

            Opzioni: Password non crittografata (PAP),Verifica handshake (CHAP),Microsoft CHAP (MS-CHAP) o Microsoft CHAP versione 2 (MS-CHAP v2)

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato SCEP: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo per autenticare la connessione di rete.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato PKCS: selezionare un profilo certificato client PKCS esistente e un certificato radice attendibile esistente che vengono distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo per autenticare la connessione di rete.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato di importazione PFX: selezionare un profilo certificato PFX importato esistente. Il certificato client è l'identità presentata dal dispositivo per autenticare la connessione di rete.

          Per altre informazioni sui certificati PFX importati, vedere Configurare e usare certificati PKCS importati con Intune.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Credenziali derivate: selezionare un profilo certificato esistente derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    • Protected EAP (PEAP):Immettere anche:

      • Attendibilità server - Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.

      • Certificato radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.

      • Eseguire la convalida del server: se impostato su , nella fase 1 della negoziazione PEAP i dispositivi convalidano il certificato e verificano il server. Selezionare No per bloccare o impedire questa convalida. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione.

        Se si seleziona , configurare anche:

        • Disabilita richieste utente per la convalida del server: se impostato su , nella fase di negoziazione PEAP 1 non vengono visualizzate richieste utente che richiedono di autorizzare nuovi server PEAP per autorità di certificazione attendibili. Selezionare No per visualizzare i prompt. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

      • Richiedi associazione crittografica: impedisce le connessioni ai server PEAP che non usano la crittografia durante la negoziazione PEAP. No non richiede cryptobinding. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

      • Autenticazione - client Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione di rete. Immettere anche:

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato SCEP: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato PKCS: selezionare un profilo certificato client PKCS esistente e un certificato radice attendibile esistente che vengono distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato di importazione PFX: selezionare un profilo certificato PFX importato esistente. Il certificato client è l'identità presentata dal dispositivo per autenticare la connessione di rete.

          Per altre informazioni sui certificati PFX importati, vedere Configurare e usare certificati PKCS importati con Intune.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore, ad anonymousesempio . Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Credenziali derivate: selezionare un profilo certificato esistente derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    • Tunnel EAP (TEAP):Immettere anche:

      • Attendibilità server - Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono a questa rete.

      • Autenticazione - client Metodo di autenticazione primario: selezionare il metodo di autenticazione primario usato dai client del dispositivo per l'autenticazione utente. Questo metodo di autenticazione è il certificato di identità presentato dal dispositivo al server.

        Le opzioni disponibili sono:

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione di rete.

        • Certificato SCEP: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

        • Certificato PKCS: selezionare un profilo certificato client PKCS esistente e un certificato radice attendibile esistente che vengono distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

        • Credenziali derivate: selezionare un profilo certificato esistente derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

      • Autenticazione - client Metodo di autenticazione secondario: selezionare il metodo di autenticazione secondario usato dai client del dispositivo per l'autenticazione del computer. Questo metodo di autenticazione è il certificato di identità presentato dal dispositivo al server.

        Se il metodo di autenticazione primario ha esito negativo, viene usato il metodo di autenticazione secondario . Se il metodo di autenticazione secondario non è disponibile, il metodo di autenticazione secondaria non viene usato, anche se il metodo di autenticazione primario ha esito negativo. L'autenticazione avrà esito negativo.

        Le opzioni disponibili sono:

        • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, non viene usato alcun metodo di autenticazione secondario. Se il metodo di autenticazione primario ha esito negativo, l'autenticazione avrà esito negativo.

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione di rete.

        • Certificato SCEP: selezionare un profilo certificato client SCEP esistente distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

        • Certificato PKCS: selezionare un profilo certificato client PKCS esistente e un certificato radice attendibile esistente che vengono distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione di rete.

        • Credenziali derivate: selezionare un profilo certificato esistente derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

Passaggi successivi

Il profilo viene creato, ma potrebbe non eseguire alcuna operazione. Assicurarsi di assegnare questo profilo e di monitorarne lo stato.

Impostazioni di rete cablate per dispositivi macOS

Risorse aggiuntive

Extensible Authentication Protocol (EAP) per l'accesso alla rete