Een aangepast apparaatprofiel gebruiken om een Wi-Fi-profiel te maken met een vooraf gedeelde sleutel met Intune

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Vooraf gedeelde sleutels (PSK) worden meestal gebruikt om gebruikers in Wi-Fi-netwerken of draadloze LAN's te verifiëren. Met Intune kunt u een configuratiebeleid voor Wi-Fi-apparaten maken met behulp van een vooraf gedeelde sleutel.

Gebruik de functie Aangepaste apparaatprofielen in Intune om het profiel te maken.

Deze functie is van toepassing op:

• Android-apparaatbeheerder
• Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
• Windows
• Op EAP gebaseerde Wi-Fi

U voegt Wi-Fi- en PSK-gegevens toe in een XML-bestand. Vervolgens voegt u het XML-bestand toe aan een aangepast apparaatconfiguratiebeleid in Intune. Wanneer het beleid gereed is, wijst u het beleid toe aan uw apparaten. De volgende keer dat het apparaat incheckt, wordt het beleid toegepast en wordt er een Wi-Fi profiel gemaakt op het apparaat.

Dit artikel laat zien hoe u het beleid maakt in Intune en bevat een XML-voorbeeld van een op EAP gebaseerd Wi-Fi-beleid.

Belangrijk

• Het gebruik van een vooraf gedeelde sleutel met Windows 10/11 veroorzaakt een herstelfout in Intune. Wanneer dit gebeurt, wordt het Wi-Fi-profiel correct toegewezen aan het apparaat en werkt het profiel zoals verwacht.
• Als u een Wi-Fi-profiel exporteert dat een vooraf gedeelde sleutel bevat, moet u ervoor zorgen dat het bestand is beveiligd. De sleutel is in tekst zonder opmaak. Het is uw verantwoordelijkheid om de sleutel te beveiligen.

Vereisten

• Als u het beleid wilt maken, meldt u zich minimaal aan bij het Microsoft Intune-beheercentrum met een account met de ingebouwde rol Beleid en Profielbeheer. Ga naar Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie over de ingebouwde rollen.

Voordat u begint

• Het is mogelijk eenvoudiger om de XML-syntaxis te kopiëren van een computer die verbinding maakt met dat netwerk, zoals beschreven in Het XML-bestand maken op basis van een bestaande Wi-Fi verbinding (in dit artikel).
• U kunt meerdere netwerken en sleutels toevoegen door meer OMA-URI-instellingen toe te voegen.
• Voor iOS/iPadOS gebruikt u Apple Configurator op een Mac-station om het profiel in te stellen.
• PSK vereist een tekenreeks van 64 hexadecimale cijfers of een wachtwoordzin van 8 tot 63 afdrukbare ASCII-tekens. Sommige tekens, zoals sterretje (*), worden niet ondersteund.

Een aangepast profiel maken

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apparaten>Configuratie>maken.

3. Geef de volgende eigenschappen op:

   • Platform: kies uw platform.
   • Profieltype: Selecteer Aangepast. Of selecteer Aangepaste sjablonen>.

4. Selecteer Maken.

5. Voer in Basis de volgende eigenschappen in:

   • Naam: voer een beschrijvende naam in voor het beleid. Geef uw beleid een naam, zodat u ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld Android-Custom Wi-Fi-profiel.
   • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

6. Selecteer Volgende.

7. Selecteer in Configuratie-instellingende optie Toevoegen. Voer een nieuwe OMA-URI-instelling in met de volgende eigenschappen:

   1. Naam: voer een naam in voor de OMA-URI-instelling.

   2. Beschrijving: Voer een beschrijving in voor de OMA-URI-instelling. Deze instelling is optioneel, maar wordt aanbevolen.

   3. OMA-URI: voer een van de volgende opties in:

      • Voor Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Voor Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Opmerking

      • Zorg ervoor dat u het puntteken aan het begin van de OMA-URI-waarde opneemt.
      • Als de SSID een spatie heeft, voegt u een escaperuimte %20toe.

      SSID (Service Set Identifier) is uw Wi-Fi netwerknaam waarvoor u het beleid maakt. Als de Wi-Fi bijvoorbeeld de naam Hotspot-1heeft, voert u in ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Als de Wi-Fi de naam Contoso WiFiheeft, voert u in ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (met de %20 escape-ruimte).

   4. Gegevenstype: selecteer Tekenreeks.

   5. Waarde: plak uw XML-code. Zie de voorbeelden in dit artikel. Werk elke waarde bij zodat deze overeenkomt met uw netwerkinstellingen. De sectie opmerkingen van de code bevat enkele aanwijzingen.

   6. Selecteer Toevoegen om uw wijzigingen op te slaan.

8. Selecteer Volgende.

9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Ga voor meer informatie over bereiktags naar RBAC en bereiktags gebruiken voor gedistribueerde IT.

   Selecteer Volgende.

10. Selecteer in Toewijzingen de gebruikers of gebruikersgroep die uw profiel zullen ontvangen. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Opmerking

    Dit beleid kan alleen worden toegewezen aan gebruikersgroepen.

    Selecteer Volgende.

11. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

De volgende keer dat elk apparaat wordt ingecheckt, wordt het beleid toegepast en wordt er een Wi-Fi profiel op het apparaat gemaakt. Het apparaat kan vervolgens automatisch verbinding maken met het netwerk.

Voorbeeld van android- of Windows-Wi-Fi-profiel

Het volgende voorbeeld bevat de XML-code voor een Android- of Windows-Wi-Fi-profiel. Het voorbeeld wordt gegeven om de juiste indeling weer te geven en meer details op te geven. Dit is slechts een voorbeeld en is niet bedoeld als een aanbevolen configuratie voor uw omgeving.

Wat u moet weten

• <protected>false</protected> moet zijn ingesteld op false. Als dit waar is, kan dit ertoe leiden dat het apparaat een versleuteld wachtwoord verwacht en vervolgens probeert het te ontsleutelen; wat kan leiden tot een mislukte verbinding.

• <hex>53534944</hex> moet worden ingesteld op de hexadecimale waarde van <name><SSID of wifi profile></name>. Windows 10/11-apparaten kunnen een valse x87D1FDE8 Remediation failed fout retourneren, maar het apparaat bevat nog steeds het profiel.

• XML bevat speciale tekens, zoals de & (ampersand). Het gebruik van speciale tekens kan voorkomen dat de XML werkt zoals verwacht.

Voorbeeld

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Voorbeeld van Wi-Fi profiel op basis van EAP

Het volgende voorbeeld bevat de XML-code voor een op EAP gebaseerd Wi-Fi-profiel. In het voorbeeld ziet u de juiste indeling en vindt u meer details. Dit is slechts een voorbeeld en is niet bedoeld als een aanbevolen configuratie voor uw omgeving.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Het XML-bestand maken vanuit een bestaande Wi-Fi-verbinding

U kunt ook een XML-bestand maken op basis van een bestaande Wi-Fi-verbinding. Voer op een Windows-computer de volgende stappen uit:

1. Maak een lokale map voor de geëxporteerde Wi-Fi profielen, zoals c:\WiFi.

2. Open een opdrachtprompt als beheerder (klik met de rechtermuisknop op cmd>Als administrator uitvoeren).

3. Uitvoeren netsh wlan show profiles. De namen van alle profielen worden weergegeven.

4. Uitvoeren netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Met deze opdracht maakt u een bestand met de naam Wi-Fi-YourProfileName.xml in c:\Wifi.

   • Als u een Wi-Fi-profiel exporteert dat een vooraf gedeelde sleutel bevat, voegt u toe key=clear aan de opdracht. De key=clear parameter exporteert de sleutel in tekst zonder opmaak, die vereist is om het profiel te kunnen gebruiken:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Als het geëxporteerde Wi-Fi profielelement <name></name> een spatie bevat, kan er een ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) fout worden geretourneerd wanneer deze wordt toegewezen. Wanneer dit probleem zich voordoet, wordt het profiel weergegeven in \ProgramData\Microsoft\Wlansvc\Profiles\Interfacesen wordt het weergegeven als een bekend netwerk. Maar het wordt niet weergegeven als beheerd beleid in de 'Gebieden beheerd door...' URI.

     U kunt dit probleem oplossen door de spatie te verwijderen.

Nadat u het XML-bestand hebt, kopieert en plakt u de XML-syntaxis in de OMA-URI-instellingen >Gegevenstype. Een aangepast profiel maken (in dit artikel) bevat de stappen.

Tip

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} bevat ook alle profielen in XML-indeling.

Aanbevolen procedures

• Voordat u een Wi-Fi-profiel implementeert met PSK, controleert u of het apparaat rechtstreeks verbinding kan maken met het eindpunt.

• Wanneer u sleutels (wachtwoorden of wachtwoordzinnen) roteert, verwacht u downtime en plant u uw implementaties. U moet het volgende doen:

  • Controleer of de apparaten een alternatieve verbinding met internet hebben.

    De eindgebruiker kan bijvoorbeeld terugschakelen naar Gast-Wi-Fi (of een ander Wi-Fi-netwerk) of een mobiele verbinding hebben om met Intune te communiceren. Met de extra verbinding kan de gebruiker beleidsupdates ontvangen wanneer het zakelijke Wi-Fi-profiel op het apparaat wordt bijgewerkt.

  • Nieuwe Wi-Fi profielen pushen tijdens niet-werkuren.

  • Waarschuw gebruikers dat de connectiviteit kan worden beïnvloed.

Middelen

Zorg ervoor dat u het profiel toewijst en de status ervan bewaakt .