Partilhar via

Habilitar autenticação com fio 802.1x

  • Artigo
  • Aplica-se a:
    Surface Hub, Surface Hub 2S

A atualização de 14 de novembro de 2017 para o Windows 10 (compilação 15063.726) ativou a configuração da política de autenticação com fios 802.1x em dispositivos Surface Hub. O recurso permite que as organizações forcem a autenticação de rede com fio padronizada usando o protocolo de autenticação IEEE 802.1x. Isto já estava disponível para autenticação sem fios através de perfis WLAN através de MDM ou pacote de aprovisionamento. Este tópico explica como configurar um Surface Hub para utilização com autenticação com fios.

A imposição e a ativação da autenticação com fios 802.1x no Surface Hub podem ser efetuadas através de perfis OMA-URI mdm ou pacote de aprovisionamento.

A configuração principal a ser definida é a política LanProfile. Dependendo do método de autenticação selecionado, outras políticas talvez seja necessárias, ou a política EapUserData ou por meio de políticas de MDM para adicionar certificados de usuário ou de computador (como ClientCertificateInstall para certificados de usuário/dispositivo ou RootCATrustedCertificates para certificados de dispositivo).

Elemento de política LanProfile

Para configurar o Surface Hub para usar um dos métodos de autenticação 802.1 com suporte, utilize o OMA-URI a seguir.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Esse nó OMA-URI aceita uma cadeia de caracteres de texto de XML como um parâmetro. O XML fornecido como um parâmetro deve estar em conformidade com o Esquema de perfil de LAN com fio, incluindo elementos do esquema 802.1X.

Na maioria dos casos, um administrador ou um usuário pode exportar o XML de LanProfile de um computador existente que já esteja configurado na rede para 802.1X usando este comando NETSH a seguir.

netsh lan export profile folder=.

A execução deste comando fornece o seguinte resultado e coloca um ficheiro intitulado Ethernet.xml no diretório atual.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Para desativar completamente o 802.1x no Surface Hub, pode ser utilizado um pacote de aprovisionamento para definir o nó SurfaceHub\Dot3\LanProfile para o seguinte xml:

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

Elemento de política EapUserData

Se seu método de autenticação selecionado exigir um nome de usuário e uma senha em oposição a um certificado, você poderá usar o elemento EapUserData para especificar as credenciais para o dispositivo a ser usado para autenticação na rede.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData

Esse nó OMA-URI aceita uma cadeia de caracteres de texto de XML como um parâmetro. O XML fornecido como um parâmetro deve estar em conformidade com o exemplo de Propriedades de Usuário de MS-CHAPv2 PEAP. No exemplo, tem de substituir todas as instâncias de teste e ias-domain pelas suas informações.

Adição de certificados

Se o método de autenticação selecionado for baseado em certificado, terá de criar um pacote de aprovisionamento, utilizar a MDM ou importar um certificado das definições (Atualização de Definições> eCertificados deSegurança>) para implementar esses certificados no seu dispositivo Surface Hub no Arquivo de Certificados adequado. Ao adicionar certificados, cada PFX tem de conter apenas um certificado (um PFX não pode ter vários certificados).