사용자 지정 디바이스 프로필을 사용하여 Intune을 사용하여 미리 공유된 키로 WiFi 프로필 만들기

중요

Microsoft Intune은 2024년 12월 31일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune에서 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.

일반적으로 PSK(미리 공유한 키)를 사용하여 WiFi 네트워크 또는 무선 LAN에서 사용자를 인증합니다. Intune을 사용하면 미리 공유된 키를 사용하여 WiFi 디바이스 구성 정책을 만들 수 있습니다.

프로필을 만들려면 Intune 내에서 사용자 지정 디바이스 프로필 기능을 사용합니다.

이 기능은 다음에 적용됩니다.

• Android 장치 관리자
• Android Enterprise 개인 소유 회사 프로필 디바이스
• Windows
• EAP 기반 Wi-Fi

XML 파일에 Wi-Fi 및 PSK 정보를 추가합니다. 그런 다음 Intune의 사용자 지정 디바이스 구성 정책에 XML 파일을 추가합니다. 정책이 준비되면 디바이스에 정책을 할당합니다. 다음에 디바이스가 체크 인할 때 정책이 적용되고 디바이스에 Wi-Fi 프로필이 만들어집니다.

이 문서에서는 Intune에서 정책을 만드는 방법을 보여 하며 EAP 기반 Wi-Fi 정책의 XML 예제를 포함합니다.

중요

• Windows 10/11에서 미리 공유한 키를 사용하면 수정 오류가 Intune에 표시됩니다. 이 경우 Wi-Fi 프로필이 디바이스에 올바르게 할당되고 프로필이 예상대로 작동합니다.
• 미리 공유한 키를 포함하는 Wi-Fi 프로필을 내보내는 경우 파일이 보호되도록 합니다. 키는 일반 텍스트로 표시됩니다. 키를 보호하는 것은 사용자의 책임입니다.

필수 구성 요소

• 정책을 만들려면 최소한 정책 및 프로필 관리자 기본 제공 역할이 있는 계정으로 Microsoft Intune 관리 센터에 로그인합니다. 기본 제공 역할에 대한 자세한 내용은 Microsoft Intune에 대한 역할 기반 액세스 제어를 참조하세요.

시작하기 전에

• 이 문서에서는 기존 Wi-Fi 연결에서 XML 파일 만들기 에 설명된 대로 해당 네트워크에 연결하는 컴퓨터에서 XML 구문을 복사하는 것이 더 쉬울 수 있습니다.
• 더 많은 OMA-URI 설정을 추가하여 여러 네트워크와 키를 추가할 수 있습니다.
• iOS/iPadOS의 경우 Mac 스테이션의 Apple Configurator를 사용하여 프로필을 설정합니다.
• PSK는 64자리 16진수 문자열 또는 인쇄 가능한 8~63자의 ASCII 문자를 요구합니다. 별표(*)와 같은 일부 문자는 지원되지 않습니다.

사용자 지정 프로필 만들기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>>디바이스 관리구성>새 정책만들기>를 선택합니다.

3. 다음 속성을 입력합니다.

   • 플랫폼: 플랫폼을 선택합니다.
   • 프로필 유형: 사용자 지정을 선택합니다. 또는 템플릿>사용자 지정을 선택합니다.

4. 만들기를 선택합니다.

5. 기본에서 다음 속성을 입력합니다.

   • 이름: 정책에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 정책 이름은 Android-Custom Wi-Fi 프로필입니다.
   • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

6. 다음을 선택합니다.

7. 구성 설정에서 추가를 선택합니다. 다음 속성의 새 OMA-URI 설정을 입력합니다.

   1. 이름: OMA-URI 설정의 이름을 입력합니다.

   2. 설명: OMA-URI 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

   3. OMA-URI: 다음 옵션 중 하나를 입력합니다.

      • Android의 경우: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Windows의 경우: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      참고

      • OMA-URI 값의 시작 부분에 마침표 문자를 포함해야 합니다.
      • SSID에 공백이 있는 경우 이스케이프 공백 %20을 추가합니다.

      SSID(서비스 집합 식별자)는 정책을 만드는 Wi-Fi 네트워크 이름입니다. 예를 들어 Wi-Fi 이름이 Hotspot-1인 경우 ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings을 입력합니다. Wi-Fi 이름이 Contoso WiFi이면 ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings를 입력합니다(%20 이스케이프 공백 포함).

   4. 데이터 형식: 문자열을 선택합니다.

   5. 값: XML 코드를 붙여 넣습니다. 이 문서의 예제를 참조하세요. 네트워크 설정에 맞게 각 값을 업데이트합니다. 코드의 주석 섹션에는 일부 포인터가 포함됩니다.

   6. 추가를 선택하여 변경 내용을 저장합니다.

8. 다음을 선택합니다.

9. 범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링하는 태그를 할당합니다. 범위 태그에 대한 자세한 내용은 분산 IT에 RBAC 및 범위 태그 사용을 참조하세요.

   다음을 선택합니다.

10. 할당에서 프로필을 수신할 사용자 또는 사용자 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

    참고

    이 정책은 사용자 그룹에만 할당할 수 있습니다.

    다음을 선택합니다.

11. 검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

다음에 각 디바이스가 체크인되면 정책이 적용되고 해당 디바이스에 Wi-Fi 프로필이 만들어집니다. 디바이스는 네트워크에 자동으로 연결될 수 있습니다.

Android 또는 Windows Wi-Fi 프로필 예제

다음 예제에는 Android 또는 Windows Wi-Fi 프로필의 XML 코드가 포함됩니다. 이 예제는 적절한 형식을 표시하고 자세한 내용을 제공하기 위해 제공된 것입니다. 이는 예시일 뿐이며, 사용자 환경에 대한 권장 구성으로 제공된 것은 아닙니다.

기억해야 하는 사항

• <protected>false</protected>는 false로 설정해야 합니다. true이면 디바이스에서 암호화된 암호를 예상한 다음 암호 해독을 시도할 수 있습니다. 연결이 실패할 수 있습니다.

• <hex>53534944</hex>는 <name><SSID of wifi profile></name>의 16진수 값으로 설정해야 합니다. Windows 10/11 디바이스는 거짓 x87D1FDE8 Remediation failed 오류를 반환할 수 있지만 디바이스에는 여전히 프로필이 포함되어 있습니다.

• XML에는 &(앰퍼샌드)와 같은 특수 문자가 있습니다. 특수 문자를 사용하면 XML이 예상대로 작동하지 않습니다.

예제

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP 기반 Wi-Fi 프로필 예제

다음 예제에는 EAP 기반 Wi-Fi 프로필에 대한 XML 코드가 포함되어 있습니다. 이 예제에서는 적절한 형식을 보여 하며 자세한 내용을 제공합니다. 이는 예시일 뿐이며, 사용자 환경에 대한 권장 구성으로 제공된 것은 아닙니다.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

기존 Wi-Fi 연결에서 XML 파일 만들기

기존 Wi-Fi 연결에서 XML 파일을 만들 수도 있습니다. Windows 컴퓨터에서 다음 단계를 사용합니다.

1. 내보낸 Wi-Fi 프로필에 대한 로컬 폴더(예: c:\WiFi)를 만듭니다.

2. 관리자 권한으로 명령 프롬프트를 엽니다(cmd>관리자로 실행을 마우스 오른쪽 단추로 클릭합니다).

3. netsh wlan show profiles을(를) 실행합니다. 모든 프로필의 이름이 나열됩니다.

4. netsh wlan export profile name="YourProfileName" folder=c:\Wifi을(를) 실행합니다. 이 명령은 c:\Wifi.에 Wi-Fi-YourProfileName.xml이라는 파일을 만듭니다.

   • 미리 공유된 키가 포함된 Wi-Fi 프로필을 내보내는 경우 명령에 를 추가 key=clear 합니다. 매개 변수는 key=clear 프로필을 성공적으로 사용하는 데 필요한 일반 텍스트로 키를 내보냅니다.

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • 내보낸 Wi-Fi 프로필 <name></name> 요소에 공백이 포함된 경우 할당될 때 오류가 반환 ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) 될 수 있습니다. 이 문제가 발생하면 프로필이 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces에 나열되고, 알려진 네트워크로 표시됩니다. 그러나 "관리되는 영역..."에 관리되는 정책으로 표시되지 않습니다. URI.

     이 문제를 해결하려면 공백을 제거하세요.

XML 파일이 있으면 XML 구문을 복사하여 OMA-URI 설정 >데이터 형식에 붙여넣습니다. 사용자 지정 프로필 만들기(이 문서에서)는 단계를 나열합니다.

팁

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid}에는 XML 형식의 모든 프로필도 포함됩니다.

모범 사례

• PSK를 사용하여 Wi-Fi 프로필을 배포하기 전에 디바이스를 엔드포인트에 직접 연결할 수 있는지 확인합니다.

• 키(암호)를 회전하는 경우 가동 중지 시간을 예상하고 배포를 계획합니다. 다음을 수행해야 합니다.

  • 디바이스가 인터넷에 대체 연결되었는지 확인합니다.

    예를 들어, 최종 사용자가 게스트 WiFi(또는 다른 WiFi 네트워크)로 다시 전환할 수 있거나 셀룰러 연결을 통해 Intune과 통신할 수 있습니다. 추가 연결을 사용하면 디바이스에서 회사 Wi-Fi 프로필이 업데이트될 때 사용자가 정책 업데이트를 받을 수 있습니다.

  • 비근무 시간 동안 새 Wi-Fi 프로필을 푸시합니다.

  • 연결이 영향을 받을 수 있음을 사용자에게 경고합니다.

리소스

프로필을 할당하고 해당 상태를 모니터링합니다.