Configurare profili e impostazioni EAP in Windows

Questo articolo presenta informazioni sui diversi modi comunemente usati per configurare le impostazioni EAP (Extensible Authentication Protocol). In particolare, descrive la configurazione dei profili EAP usando gli strumenti da riga di comando e XML. Illustra anche come configurare le impostazioni e i profili EAP usando varie interfacce utente in Windows.

Profili di rete XML

Come descritto in Profili XML per EAP, i profili di connessione per Wi-Fi, Ethernet e VPN sono file XML che contengono le opzioni di configurazione per tale connessione. Questi profili possono essere importati/esportati e modificati manualmente. Quando i profili vengono creati o modificati nell'interfaccia utente (come descritto nelle sezioni seguenti), Windows imposta internamente le opzioni di configurazione XML corrispondenti. Di conseguenza, è possibile usare l'interfaccia utente per creare un profilo e quindi esportarlo per visualizzare le opzioni di configurazione XML impostate.

Nota

Non tutte le opzioni di configurazione vengono esposte nell'interfaccia utente. Potrebbe essere necessario, a seconda dello scenario, modificare manualmente il profilo XML per impostare le opzioni di configurazione desiderate, quindi importare il profilo aggiornato per la distribuzione.

Ad esempio, quando si usano criteri di gestione dei dispositivi mobili (MDM), ad esempio Wi-Fi CSP, è necessario effettuare il provisioning del profilo XML completo.

Un esempio di profilo Wi-Fi è disponibile in questo esempio.

Importare ed esportare profili con strumenti da riga di comando

L'importazione e l'esportazione di profili tramite uno strumento da riga di comando possono essere utili in molti scenari. Ad esempio, quando si configura MDM o Criteri di gruppo non è possibile, l'opzione più rapida può essere l'opzione manualmente o di scripting di questi comandi. Può anche essere usato per esportare i profili dopo averli configurati tramite altre interfacce utente.

netsh

netsh è uno strumento da riga di comando che può essere usato per visualizzare e configurare varie impostazioni correlate alla rete. Per altre informazioni, vedere Shell di rete (netsh). netsh può essere chiamato sia da cmd che da powershell. Nella tabella seguente sono elencati alcuni comandi netsh comuni ed esempi per l'importazione e l'esportazione di profili. /? può essere usato con qualsiasi comando netsh per ottenere altre informazioni sul comando, inclusa la sintassi.

Wi-Fi

Comando	Descrizione
netsh wlan show profiles	Mostra tutti i profili Wi-Fi, incluso il nome del profilo.
netsh wlan show profiles name="ProfileName"	Mostra informazioni dettagliate su un profilo Wi-Fi specifico
netsh wlan export profile name="ProfileName" folder="C:\Profiles"	Esporta un profilo Wi-Fi nella cartella specificata. La cartella deve esistere.
netsh wlan add profile filename="C:\Profiles\ProfileName.xml"	Aggiunge un profilo Wi-Fi dal file specificato.
netsh wlan delete profile name="ProfileName"	Elimina un profilo Wi-Fi.

Cablato

Comando	Descrizione
netsh lan show profiles	Mostra tutti i profili cablati, inclusi il nome del profilo e altri dettagli.
netsh lan show profiles interface="Ethernet"	Mostra informazioni dettagliate sul profilo cablato in un'interfaccia specifica.
netsh lan export profile interface="Ethernet" folder="C:\Profiles"	Esporta un profilo cablato nella cartella specificata. La cartella deve esistere. Se non viene specificata alcuna interfaccia, il profilo del computer viene esportato.
netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"	Aggiunge un profilo cablato dal file specificato all'interfaccia specificata. Se non viene specificata alcuna interfaccia, il profilo viene aggiunto come profilo computer.
netsh lan delete profile interface="ProfileName"	Elimina un profilo cablato. Se non viene specificata alcuna interfaccia, il profilo del computer viene eliminato.

PowerShell

PowerShell è una shell della riga di comando e un linguaggio di scripting che può essere usato per visualizzare e configurare varie impostazioni. Include vari comandi (cmdlet) che possono essere usati per importare ed esportare i profili di connessione. Il cmdlet Get-Help può essere usato con qualsiasi cmdlet per ottenere altre informazioni su tale cmdlet, inclusa la sintassi.

VPN

Per informazioni dettagliate su questi cmdlet, vedere Get-VpnConnection, Set-VpnConnection e Add-VpnConnection.

Comando	Descrizione
Get-VpnConnection	Mostra tutti i profili VPN, inclusi il nome del profilo e altri dettagli.
Get-VpnConnection -Name "ProfileName"	Mostra informazioni di riepilogo su un profilo VPN specifico.
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml"	Esporta la configurazione EAP per un profilo VPN specifico in un file.
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")	Importa la configurazione EAP da un file e ne aggiorna il profilo VPN specificato.

app Impostazioni (Windows desktop)

Nel client desktop di Windows è possibile configurare molte impostazioni Wi-Fi, Ethernet e VPN comuni tramite l'app Impostazioni. Gli screenshot seguenti mostrano l'app Impostazioni Windows 11, ma l'interfaccia utente è simile in Windows 10. Tuttavia, alcune funzionalità e opzioni possono essere disponibili solo in Windows 11.

Wi-Fi

Windows 10 e 11 supportano l'aggiunta di profili Wi-Fi con una configurazione specifica (inclusa la versione 802.1X) nell'app Impostazioni. Questa impostazione è disponibile nell'app Impostazioni in Rete e Internet>Wi-Fi>Gestisci reti note>Aggiungi rete:

Questa finestra di dialogo consente di configurare SSID, tipo di sicurezza e altre impostazioni per il profilo Wi-Fi. Quando viene selezionato un tipo di sicurezza che supporta EAP, ad esempio WPA3-Enterprise AES, la finestra di dialogo mostra un'opzione per configurare le impostazioni EAP:

Suggerimento

Dopo aver aggiunto la rete, non è possibile modificare le impostazioni EAP tramite l'app Impostazioni. Per modificare le impostazioni EAP, eseguire le operazioni seguenti:

• eliminare il profilo e aggiungerlo nuovamente con le impostazioni corrette oppure
• usare i netsh comandi descritti in netsh per modificare manualmente il profilo.

Cablato

Windows 11 ha aggiunto il supporto per la modifica delle impostazioni di autenticazione 802.1X nelle connessioni cablate nell'app Impostazioni. Questa impostazione è disponibile nell'app Impostazioni in Rete e Internet>Ethernet>Impostazioni di autenticazione>Modifica>Impostazioni di autenticazione Ethernet:

Attivare/Disattivare l'impostazione Abilita autenticazione IEEE 802.1X consente di modificare le impostazioni EAP di questo profilo: Screenshot of Ethernet authentication settings dialog, expanded, in Windows 11 settings app.

Se il computer ha un profilo computer configurato o l'interfaccia ha un profilo configurato da Criteri di gruppo, l'impostazione Abilita autenticazione IEEE 802.1X è disabilitata e non può essere modificata:

VPN

Windows 10 e 11 supportano la modifica dei profili VPN, incluse le opzioni EAP, nell'app Impostazioni. Questa impostazione è disponibile nell'app Impostazioni in Rete e Internet>VPN:

Selezionando Aggiungi VPN è possibile aggiungere un nuovo profilo VPN:

Una volta aggiunto, il profilo VPN può essere modificato espandendo il profilo e selezionando Opzioni> avanzateModifica:

Editor Criteri di gruppo (desktop e server)

Criteri di gruppo è un'infrastruttura che consente di gestire le configurazioni per utenti e computer. Usando Criteri di gruppo, è possibile configurare le impostazioni Wi-Fi, Ethernet e VPN in base alle regole definite. Gli screenshot seguenti mostrano l'Editor Gestione Criteri di gruppo di Windows Server 2022, ma l'interfaccia utente è simile per l'Pannello di controllo desktop di Windows e l'Editor Criteri di gruppo locali. Per altre informazioni sulle opzioni illustrate negli screenshot seguenti, vedere Extensible Authentication Protocol (EAP) per l'accesso alla rete.

Wi-Fi

Criteri di gruppo per Wi-Fi si trovano in Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri rete wireless (IEEE 802.11):

Fare clic con il pulsante destro del mouse su Criteri di rete wireless (IEEE 802.11) e scegliere Crea un nuovo criterio di rete wireless per Windows Vista e versioni successive apre la finestra di dialogo Nuove proprietà dei criteri di rete wireless, come mostrato nello screenshot della sezione

Questa finestra di dialogo consente di impostare il nome del criterio, una descrizione e aggiungere/, modificare/ e rimuovere profili, nonché importare ed esportareprofili XML.

Facendo clic su Aggiungi e selezionando Infrastruttura si apre la finestra di dialogo Nuove proprietà profilo :

Questa finestra di dialogo consente di impostare il nome del profilo e aggiungere gli SSID a cui si applica questo profilo.

Selezionando Sicurezza è possibile configurare le impostazioni EAP per il profilo:

Questa finestra di dialogo consente di configurare il tipo di sicurezza e altre impostazioni per il profilo Wi-Fi. Quando viene selezionato un tipo di autenticazione che supporta l'autenticazione 802.1X (ad esempio WPA2-Enterprise), sono visibili le opzioni di sicurezza 802.1X . Per informazioni dettagliate su ogni metodo di autenticazione di rete, vedere Metodi EAP .

Quando si seleziona il pulsante Avanzate... viene visualizzata la finestra di dialogo Impostazioni di sicurezza avanzate :

Questa finestra di dialogo consente di impostare alcune impostazioni avanzate 802.1X e opzioni di Single Sign-On .

Suggerimento

Non tutte le impostazioni sono disponibili per la configurazione nell'Editor Criteri di gruppo. Tuttavia, questa operazione può essere eseguita importando un profilo XML con le impostazioni desiderate. Per altre informazioni, vedere Profili XML.

Cablato

Le opzioni dei Criteri di gruppo per la Rete cablata si trovano in Configurazione computer>>>>: Screenshot showing Wired Network (IEEE 802.3) Policies option in Group Policy Management Editor.

Fare clic con il pulsante destro del mouse su Criteri di rete cablata (IEEE 802.3) e scegliere Crea un nuovo criterio di rete cablata per Windows Vista e versioni successive apre la finestra di dialogo Nuove proprietà dei criteri di rete cablata :

Questa finestra di dialogo consente di impostare il nome del criterio, una descrizione e le opzioni seguenti:

Impostazione	Elemento XML	Descrizione
Usare servizi Wired Auto Config per i client	abilita AutoConfig	Se selezionata, la configurazione automatica cablata di Windows (dot3svc) può essere usata per connettersi alle reti cablate senza configurazione esplicita. Se non selezionata, la rete specificata in questo criterio è l'unica rete disponibile per la connessione.
Non consentire la condivisione delle credenziali dell'utente per l'autenticazione di rete	enableExplicitCreds	Se selezionato, non consente la condivisione delle credenziali utente per l'autenticazione di rete. Le credenziali devono essere esplicite.
Attiva periodo di blocco (minuti)	blockPeriod	Con impostazione predefinita a 20 minuti, specifica il periodo di tempo trascorso il quale i tentativi di autenticazione automatica verranno bloccati dopo un tentativo di autenticazione non riuscito.

Selezionando Sicurezza è possibile configurare le impostazioni EAP per il profilo:

Questa finestra di dialogo consente di configurare il tipo di sicurezza e altre impostazioni per la rete cablata. Per altre informazioni, vedere Opzioni di sicurezza 802.1X. Per informazioni dettagliate su ogni metodo di autenticazione di rete, vedere Metodi EAP .

Quando si seleziona il pulsante Avanzate... viene visualizzata la finestra di dialogo Impostazioni di sicurezza avanzate :

Questa finestra di dialogo consente di impostare alcune impostazioni avanzate 802.1X e opzioni di Single Sign-On .

Suggerimento

Non tutte le impostazioni sono disponibili per la configurazione nell'Editor Criteri di gruppo. Tuttavia, questo problema può essere risolto eseguendo il backup dell'oggetto Criteri di gruppo, modificando il fileBackup.xml con le impostazioni desiderate e reimportandolo. Per altre informazioni, vedere Profili XML.

Metodi EAP

Per una panoramica sui diversi metodi EAP, vedere Metodi di autenticazione.

Microsoft: Smart card o altro certificato

Per altre informazioni su questa finestra di dialogo, vedere EAP-TLS.

Se si seleziona Avanzate , viene visualizzata la finestra di dialogo Configura selezione certificato :

Microsoft: EAP protetto (PEAP)

Per altre informazioni su questa finestra di dialogo, vedere PEAP.

Se si seleziona Configura... quando si seleziona Password protetta (EAP-MSCHAP v2) viene visualizzata la finestra di dialogo EAP MSCHAPv2 :

Microsoft: EAP-SIM

Per altre informazioni su questa finestra di dialogo, vedere EAP-SIM.

Microsoft: EAP-TTLS

Per altre informazioni su questa finestra di dialogo, vedere EAP-TTLS.

Microsoft: EAP-AKA

Per altre informazioni su questa finestra di dialogo, vedere EAP-AKA.

Microsoft: EAP-AKA'

Per altre informazioni su questa finestra di dialogo, vedere EAP-AKA.

Microsoft: EAP-TEAP

Per altre informazioni su questa finestra di dialogo, vedere TEAP.

Risorse aggiuntive

• Gestione delle impostazioni dei criteri della nuova rete wireless (IEEE 802.11)
• Gestione delle impostazioni dei criteri della nuova rete cablata (IEEE 802.3)
• Impostazioni di sicurezza avanzate per i criteri di rete cablata e wireless