Udostępnij za pośrednictwem

Dodawanie ustawień sieci Wi-Fi dla urządzeń z systemem iOS i iPadOS w usłudze Microsoft Intune

  • Artykuł

Możesz utworzyć profil z określonymi ustawieniami sieci Wi-Fi, a następnie wdrożyć ten profil na urządzeniach z systemem iOS/iPadOS przy użyciu usługi Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby uwierzytelnić sieć, dodać certyfikat PKCS (Public Key Cryptography Standards) lub SCEP (Simple Certificate Enrollment Protocol), skonfigurować serwer proxy i nie tylko.

Ta funkcja ma zastosowanie do:

  • iOS/iPadOS

Te ustawienia Wi-Fi są podzielone na dwie kategorie: ustawienia podstawowe i ustawienia na poziomie przedsiębiorstwa.

W tym artykule opisano ustawienia, które można skonfigurować.

Przed rozpoczęciem

Profile podstawowe

  • Typ sieci Wi-Fi: wybierz pozycję Podstawowa.

  • Nazwa sieci: wprowadź nazwę tego połączenia Wi-Fi. Użytkownicy widzą tę nazwę podczas przeglądania listy dostępnych połączeń na swoim urządzeniu.

  • SSID: Ta właściwość identyfikatora zestawu usług (SSID) jest rzeczywistą nazwą sieci bezprzewodowej, z którą urządzenia łączą się. Jednak użytkownicy widzą nazwę sieci skonfigurowaną tylko wtedy, gdy wybierają połączenie.

  • Połącz automatycznie: opcja Włącz automatycznie nawiązuje połączenie z tą siecią, gdy urządzenie znajduje się w zakresie. Ustawienie Wyłącz uniemożliwia urządzeniom automatyczne nawiązywanie połączenia.

  • Sieć ukryta: ustawienie Włącz pasuje do tego ustawienia urządzenia z ustawieniem na routerze Wi-Fi konfiguracji. Jeśli więc sieć jest ustawiona na ukrytą, sieć jest również ukryta w profilu Wi-Fi. Wybierz pozycję Wyłącz , jeśli identyfikator SSID sieci jest rozgłaszany i widoczny.

  • Typ zabezpieczeń: wybierz protokół zabezpieczeń do uwierzytelniania w sieci Wi-Fi. Dostępne opcje:

    • Otwórz (bez uwierzytelniania): użyj tej opcji tylko wtedy, gdy sieć jest niezabezpieczona.
    • WPA/WPA2 — osobiste: wprowadź hasło w kluczu wstępnym (PSK). Po skonfigurowaniu lub skonfigurowaniu sieci organizacji skonfigurowano również hasło lub klucz sieciowy. Wprowadź to hasło lub klucz sieci dla wartości psk.
    • WEP

  • Ustawienia serwera proxy: Opcje:

    • Brak: nie skonfigurowano żadnych ustawień serwera proxy.

    • Ręczne: wprowadź adres serwera proxy jako adres IP i jego numer portu.

    • Automatyczne: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy zawierający plik konfiguracji. Na przykład wprowadź , http://proxy.contoso.com10.0.0.11lub http://proxy.contoso.com/proxy.pac.

      Aby uzyskać więcej informacji na temat plików PAC, przejdź do pliku automatycznej konfiguracji serwera proxy (PAC) (otwiera witrynę inną niż Microsoft).

  • Wyłącz losowe adresy MAC: począwszy od systemu iOS/iPadOS 14, urządzenia prezentują losowy adres MAC zamiast fizycznego adresu MAC podczas nawiązywania połączenia z siecią. Korzystanie z losowych adresów MAC jest zalecane w celu zachowania prywatności, ponieważ trudniej jest śledzić urządzenie według jego adresu MAC. Jednak losowe adresy MAC przerywają funkcjonalność, która opiera się na statycznym adresie MAC, w tym kontroli dostępu do sieci (NAC).

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie, gdy urządzenia łączą się z nową siecią, urządzenia przedstawiają losowy adres MAC zamiast fizycznego adresu MAC.
    • Tak: wymusza na urządzeniach prezentowanie rzeczywistego adresu MAC Wi-Fi zamiast losowego adresu MAC. Ustawienie Tak umożliwia śledzenie urządzeń za pomocą ich adresu MAC. Wyłącz losowe adresy MAC tylko w razie potrzeby, na przykład w przypadku obsługi kontroli dostępu do sieci (NAC).
    • Nie: umożliwia losowe generowanie adresów MAC na urządzeniach. Użytkownicy nie mogą go wyłączyć. Gdy urządzenia łączą się z nową siecią, urządzenia prezentują losowy adres MAC, a nie fizyczny adres MAC.

    To ustawienie dotyczy:

    • System iOS 14.0 i nowsze
    • System iPadOS 14.0 i nowsze

Profile przedsiębiorstwa

  • Typ sieci Wi-Fi: wybierz pozycję Przedsiębiorstwo.

  • Nazwa sieci: wprowadź nazwę tego połączenia Wi-Fi. Użytkownicy widzą tę nazwę podczas przeglądania listy dostępnych połączeń na swoim urządzeniu.

  • SSID: skrót od identyfikatora zestawu usług. Ta właściwość jest rzeczywistą nazwą sieci bezprzewodowej, z którą łączą się urządzenia. Jednak użytkownicy widzą nazwę sieci skonfigurowaną tylko wtedy, gdy wybierają połączenie.

  • Połącz automatycznie: opcja Włącz automatycznie nawiązuje połączenie z tą siecią, gdy urządzenie znajduje się w zakresie. Ustawienie Wyłącz uniemożliwia urządzeniom automatyczne nawiązywanie połączenia.

  • Sieć ukryta: ustawienie Włącz pasuje do tego ustawienia urządzenia z ustawieniem na routerze Wi-Fi konfiguracji. Jeśli więc sieć jest ustawiona na ukrytą, sieć jest również ukryta w profilu Wi-Fi. Wybierz pozycję Wyłącz , jeśli identyfikator SSID sieci jest rozgłaszany i widoczny.

  • Typ zabezpieczeń: wybierz protokół zabezpieczeń do uwierzytelniania w sieci Wi-Fi. Dostępne opcje:

    • WPA — przedsiębiorstwo
    • WPA/WPA2 — Przedsiębiorstwo

  • Typ protokołu EAP: wybierz typ EAP (Extensible Authentication Protocol) używany do uwierzytelniania zabezpieczonych połączeń bezprzewodowych. Dostępne opcje:

    • EAP-FAST: wprowadź ustawienia poświadczeń dostępu chronionego (PAC). Ta opcja używa chronionych poświadczeń dostępu do utworzenia uwierzytelnionego tunelu między klientem a serwerem uwierzytelniania. Dostępne opcje:

      • Nie używaj (PAC)
      • Użyj (PAC): jeśli istnieje istniejący plik PAC, użyj go.
      • Użyj i aprowizuj pac: utwórz i dodaj plik PAC do urządzeń.
      • Użyj i aprowizuj pac anonimowo: utwórz i dodaj plik PAC do urządzeń bez uwierzytelniania na serwerze.

    • EAP-SIM

    • EAP-TLS: wprowadź również:

      • Nazwy serwerów certyfikatów: dodaj co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji (CA) do serwerów dostępu do sieci bezprzewodowej. Na przykład dodaj mywirelessserver.contoso.com lub mywirelessserver. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkownika podczas nawiązywania połączenia z tą siecią Wi-Fi. Jeśli masz wiele serwerów radius z tym samym sufiksem DNS w ich w pełni kwalifikowanej nazwie domeny, możesz wprowadzić sufiks symbolu wieloznacznego. Możesz na przykład wprowadzić wartość *.contoso.com.

      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego. Ten certyfikat umożliwia klientowi ufanie certyfikatowi serwera dostępu do sieci bezprzewodowej.

      • Metoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, usługa Intune wyświetli monit o dodanie go. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

        • Certyfikaty: wybierz profil certyfikatu klienta SCEP lub PKCS, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia.

        • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

    • EAP-TTLS: wprowadź również:

      • Nazwy serwerów certyfikatów: dodaj co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji (CA) do serwerów dostępu do sieci bezprzewodowej. Na przykład dodaj mywirelessserver.contoso.com lub mywirelessserver. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkownika podczas nawiązywania połączenia z tą siecią Wi-Fi.

      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego. Ten certyfikat umożliwia klientowi ufanie certyfikatowi serwera dostępu do sieci bezprzewodowej.

      • Metoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, usługa Intune wyświetli monit o dodanie go. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia. Wprowadź również:

          • Metoda spoza protokołu EAP (tożsamość wewnętrzna): wybierz sposób uwierzytelniania połączenia. Upewnij się, że wybrano ten sam protokół skonfigurowany w sieci Wi-Fi.

            Dostępne opcje: Niezaszyfrowane hasło (PAP),Protokół uwierzytelniania uzgadniania wyzwań (CHAP),Microsoft CHAP (MS-CHAP) lub Microsoft CHAP w wersji 2 (MS-CHAP w wersji 2)

        • Certyfikaty: wybierz profil certyfikatu klienta SCEP lub PKCS, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia.

        • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

    • SKOK

    • PEAP: Wprowadź również:

      • Nazwy serwerów certyfikatów: dodaj co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji (CA) do serwerów dostępu do sieci bezprzewodowej. Na przykład dodaj mywirelessserver.contoso.com lub mywirelessserver. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkownika podczas nawiązywania połączenia z tą siecią Wi-Fi.

      • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego. Ten certyfikat umożliwia klientowi ufanie certyfikatowi serwera dostępu do sieci bezprzewodowej.

      • Metoda uwierzytelniania: wybierz metodę uwierzytelniania używaną przez klientów urządzeń. Dostępne opcje:

        • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, usługa Intune wyświetli monit o dodanie go. Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Microsoft Intune.

        • Nazwa użytkownika i hasło: monituj użytkownika o podanie nazwy użytkownika i hasła w celu uwierzytelnienia połączenia.

        • Certyfikaty: wybierz profil certyfikatu klienta SCEP lub PKCS, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia.

        • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

  • Ustawienia serwera proxy: wybierz konfigurację serwera proxy. Dostępne opcje:

    • Brak: nie skonfigurowano żadnych ustawień serwera proxy.

    • Ręczne: wprowadź adres serwera proxy jako adres IP i jego numer portu.

    • Automatyczne: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy zawierający plik konfiguracji. Na przykład wprowadź , http://proxy.contoso.com10.0.0.11lub http://proxy.contoso.com/proxy.pac.

      Aby uzyskać więcej informacji na temat plików PAC, przejdź do pliku automatycznej konfiguracji serwera proxy (PAC) (otwiera witrynę inną niż Microsoft).

  • Wyłącz losowe adresy MAC: począwszy od systemu iOS/iPadOS 14, urządzenia prezentują losowy adres MAC zamiast fizycznego adresu MAC podczas nawiązywania połączenia z siecią. Korzystanie z losowych adresów MAC jest zalecane w celu zachowania prywatności, ponieważ trudniej jest śledzić urządzenie według jego adresu MAC. Losowe adresy MAC również łamią funkcje, które opierają się na statycznym adresie MAC, w tym kontroli dostępu do sieci (NAC).

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie podczas nawiązywania połączenia z siecią urządzenia mogą przedstawiać losowy adres MAC zamiast fizycznego adresu MAC.
    • Tak: wymusza na urządzeniach prezentowanie rzeczywistego adresu MAC Wi-Fi zamiast losowego adresu MAC. Ustawienie Tak umożliwia śledzenie urządzeń za pomocą ich adresu MAC. Wyłącz losowe adresy MAC tylko w razie potrzeby, na przykład w przypadku obsługi kontroli dostępu do sieci (NAC).
    • Nie: umożliwia losowe generowanie adresów MAC na urządzeniach. Użytkownicy nie mogą go wyłączyć. Gdy urządzenia łączą się z siecią, urządzenia prezentują losowy adres MAC, a nie fizyczny adres MAC.

    To ustawienie dotyczy:

    • System iOS 14.0 i nowsze
    • System iPadOS 14.0 i nowsze