Compartilhar via

Adicionar definições de Wi-Fi para dispositivos Windows 10/11 no Intune

  • Artigo

Observação

O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.

Pode criar um perfil com definições de Wi-Fi específicas. Em seguida, implemente este perfil nos seus dispositivos cliente Windows. O Microsoft Intune oferece muitas funcionalidades, incluindo a autenticação na sua rede, a utilização de uma chave pré-partilhada e muito mais.

Este artigo descreve algumas destas definições.

Antes de começar

Perfil básico

Os perfis básicos ou pessoais utilizam o WPA/WPA2 para proteger a ligação Wi-Fi em dispositivos. Normalmente, o WPA/WPA2 é utilizado em redes domésticas ou redes pessoais. Também pode adicionar uma chave pré-partilhada para autenticar a ligação.

  • Tipo de Wi-Fi: selecione Básico.

  • Nome wi-fi (SSID): abreviatura do identificador do conjunto de serviços. Este valor é o nome real da rede sem fios à qual os dispositivos se ligam. No entanto, os utilizadores só veem o Nome da ligação que configura quando escolhem a ligação.

  • Nome da ligação: introduza um nome amigável para este Wi-Fi ligação. O texto introduzido é o nome que os utilizadores veem quando navegam nas ligações disponíveis no respetivo dispositivo. Por exemplo, digite ContosoWiFi.

  • Ligar automaticamente quando estiver dentro do intervalo: quando sim, os dispositivos ligam-se automaticamente quando estão dentro do alcance desta rede. Quando Não, os dispositivos não se ligam automaticamente.

    • Ligar a uma rede mais preferencial, se disponível: se os dispositivos estiverem no intervalo de uma rede mais preferencial, selecione Sim para utilizar a rede preferencial. Selecione Não para utilizar a rede Wi-Fi neste perfil de configuração.

      Por exemplo, pode criar uma rede de Wi-Fi da ContosoCorp e utilizar a ContosoCorp neste perfil de configuração. Também tem uma rede contosoGuest Wi-Fi dentro do intervalo. Quando os seus dispositivos empresariais estiverem dentro do alcance, pretende que se liguem automaticamente à ContosoCorp. Neste cenário, defina a propriedade Ligar a uma rede mais preferencial, se disponível , como Não.

    • Ligue-se a esta rede, mesmo quando não estiver a difundir o SSID: selecione Sim para ligar automaticamente à sua rede, mesmo quando a rede estiver oculta. Ou seja, o identificador do conjunto de serviços (SSID) não é difundido publicamente. Selecione Não se não quiser que este perfil de configuração se ligue à sua rede oculta.

  • Limite de Ligação Limitado: um administrador pode escolher a forma como o tráfego da rede é limitado. Em seguida, as aplicações podem ajustar o respetivo comportamento de tráfego de rede com base nesta definição. Suas opções:

    • Sem restrições: predefinição. A ligação não tem tráfego limitado e não existem restrições de tráfego.
    • Corrigido: utilize esta opção se a rede estiver configurada com um limite fixo para o tráfego de rede. Depois de este limite ser atingido, o acesso à rede é proibido.
    • Variável: utilizou esta opção se o tráfego de rede for cobrado por byte (custo por byte).

  • Tipo de Segurança Sem Fios: introduza o protocolo de segurança utilizado para autenticar dispositivos na sua rede. As suas opções são:

    • Abrir (sem autenticação): utilize esta opção apenas se a rede não estiver protegida.

    • WPA/WPA2-Pessoal: uma opção mais segura e é frequentemente utilizada para conectividade Wi-Fi. Para obter mais segurança, também pode introduzir uma palavra-passe de chave pré-partilhada ou uma chave de rede.

      • Chave pré-partilhada (PSK): opcional. Apresentado quando seleciona WPA/WPA2-Personal como o tipo de segurança. Quando a rede da sua organização é definida ou configurada, uma senha ou chave de rede também é configurada. Introduza esta palavra-passe ou chave de rede para o valor PSK. Introduza uma cadeia ASCII com 8 a 63 carateres de comprimento ou utilize 64 carateres hexadecimais.

        Importante

        O PSK é o mesmo para todos os dispositivos para os qual direciona o perfil. Se a chave for comprometida, pode ser utilizada por qualquer dispositivo para ligar à rede Wi-Fi. Mantenha os PSKs seguros para evitar o acesso não autorizado.

  • Definições de proxy da empresa: selecione para utilizar as definições de proxy na sua organização. Suas opções:

    • Nenhuma: não estão configuradas definições de proxy.

    • Configurar manualmente: introduza o endereço IP do servidor Proxy e o respetivo Número de porta.

    • Configurar automaticamente: introduza o URL que aponta para um script de configuração automática de proxy (PAC). Por exemplo, digite http://proxy.contoso.com/proxy.pac.

      Para obter mais informações sobre ficheiros PAC, aceda ao ficheiro Proxy Auto-Configuration (PAC) (abre um site que não é da Microsoft).

Perfil empresarial

Os perfis empresariais utilizam o Protocolo de Autenticação Extensível (EAP) para autenticar Wi-Fi ligações. O EAP é frequentemente utilizado pelas empresas, uma vez que pode utilizar certificados para autenticar e proteger ligações. E configure mais opções de segurança.

  • Tipo de Wi-Fi: selecione Empresa.

  • Nome wi-fi (SSID): abreviatura do identificador do conjunto de serviços. Este valor é o nome real da rede sem fios à qual os dispositivos se ligam. No entanto, os utilizadores só veem o Nome da ligação que configura quando escolhem a ligação.

  • Nome da ligação: introduza um nome amigável para este Wi-Fi ligação. O texto introduzido é o nome que os utilizadores veem quando navegam nas ligações disponíveis no respetivo dispositivo. Por exemplo, digite ContosoWiFi.

  • Ligar automaticamente quando estiver dentro do intervalo: quando sim, os dispositivos ligam-se automaticamente quando estão dentro do alcance desta rede. Quando Não, os dispositivos não se ligam automaticamente.

    • Ligar a uma rede mais preferencial, se disponível: se os dispositivos estiverem no intervalo de uma rede mais preferencial, selecione Sim para utilizar a rede preferencial. Selecione Não para utilizar a rede Wi-Fi neste perfil de configuração.

      Por exemplo, pode criar uma rede de Wi-Fi da ContosoCorp e utilizar a ContosoCorp neste perfil de configuração. Também tem uma rede contosoGuest Wi-Fi dentro do intervalo. Quando os seus dispositivos empresariais estiverem dentro do alcance, pretende que se liguem automaticamente à ContosoCorp. Neste cenário, defina a propriedade Ligar a uma rede mais preferencial, se disponível , como Não.

  • Ligar a esta rede, mesmo quando não está a difundir o SSID: selecione Sim para que o perfil de configuração se ligue automaticamente à sua rede, mesmo quando a rede está oculta (ou seja, o SSID não é difundido publicamente). Selecione Não se não quiser que este perfil de configuração se ligue à sua rede oculta.

  • Limite de Ligação Limitado: um administrador pode escolher a forma como o tráfego da rede é limitado. Em seguida, as aplicações podem ajustar o respetivo comportamento de tráfego de rede com base nesta definição. Suas opções:

    • Sem restrições: predefinição. A ligação não tem tráfego limitado e não existem restrições de tráfego.
    • Corrigido: utilize esta opção se a rede estiver configurada com um limite fixo para o tráfego de rede. Depois de este limite ser atingido, o acesso à rede é proibido.
    • Variável: utilize esta opção se o tráfego de rede for custado por byte.

  • Modo de autenticação: selecione a forma como o perfil Wi-Fi se autentica com o servidor Wi-Fi. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, é utilizada a autenticação de utilizador ou computador .
    • Utilizador: a conta de utilizador com sessão iniciada no dispositivo é autenticada na rede Wi-Fi.
    • Computador: as credenciais do dispositivo são autenticadas na rede Wi-Fi.
    • Utilizador ou computador: quando um utilizador tem sessão iniciada no dispositivo, as credenciais do utilizador são autenticadas na rede Wi-Fi. Quando não existem utilizadores com sessão iniciada, as credenciais do dispositivo são autenticadas.
    • Convidado: não estão associadas credenciais à rede Wi-Fi. A autenticação está aberta ou processada externamente, como através de uma página Web.

  • Memorizar credenciais em cada início de sessão: selecione para colocar em cache as credenciais do utilizador ou se os utilizadores têm de introduzi-las sempre que se ligarem ao Wi-Fi. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar esta funcionalidade e colocar as credenciais em cache.
    • Ativar: coloca em cache as credenciais de utilizador quando introduzidas na primeira vez que os utilizadores se ligam à rede Wi-Fi. As credenciais em cache são utilizadas para ligações futuras e os utilizadores não precisam de as reintroduzir.
    • Desativar: as credenciais do utilizador não são memorizadas ou colocadas em cache. Quando os dispositivos se ligam ao Wi-Fi, os utilizadores têm de introduzir sempre as respetivas credenciais.

  • Período de autenticação: introduza o número de segundos que os dispositivos têm de aguardar depois de tentar autenticar, de 1 a 3600. Se o dispositivo não se ligar no momento em que introduzir, a autenticação falhará. Se deixar este valor vazio ou em branco, 18 serão utilizados segundos.

  • Período de atraso de repetição de autenticação: introduza o número de segundos entre uma tentativa de autenticação falhada e a próxima tentativa de autenticação, de 1 a 3600. Se deixar este valor vazio ou em branco, 1 é utilizado o segundo.

  • Período de início: introduza o número de segundos a aguardar antes de enviar uma mensagem de EAPOL-Start de 1 a 3600. Se deixar este valor vazio ou em branco, 5 serão utilizados segundos.

  • Máximo EAPOL-start: introduza o número de EAPOL-Start mensagens, de 1 e 100. Se deixar este valor vazio ou em branco, é enviado um máximo de 3 mensagens.

  • Máximo de falhas de autenticação: introduza o número máximo de falhas de autenticação para este conjunto de credenciais a autenticar, de 1 a 100. Se deixar este valor vazio ou em branco, 1 será utilizada uma tentativa.

  • Início de sessão único (SSO): permite-lhe configurar o início de sessão único (SSO), onde as credenciais são partilhadas para o computador e Wi-Fi início de sessão na rede. Suas opções:

    • Desativar: desativa o comportamento do SSO. O utilizador tem de se autenticar na rede separadamente.
    • Ativar antes de o utilizador iniciar sessão no dispositivo: utilize o SSO para se autenticar na rede imediatamente antes do processo de início de sessão do utilizador.
    • Ativar após o utilizador iniciar sessão no dispositivo: utilize o SSO para se autenticar na rede imediatamente após a conclusão do processo de início de sessão do utilizador.
    • Tempo máximo para autenticar antes do tempo limite: introduza o número máximo de segundos a aguardar antes de efetuar a autenticação na rede, de 1 a 120 segundos.
    • Permitir que o Windows solicite ao utilizador credenciais de autenticação adicionais: Sim permite que o sistema Windows solicite mais credenciais ao utilizador, se o método de autenticação o exigir. Selecione Não para ocultar estes pedidos.

  • Ativar a colocação em cache da chave mestra (PMK) no sentido contrário: selecione Sim para colocar em cache o PMK utilizado na autenticação. Normalmente, esta colocação em cache permite que a autenticação na rede seja concluída mais rapidamente. Selecione Não para forçar o handshake de autenticação ao ligar sempre à rede Wi-Fi.

    • Tempo máximo em que um PMK é armazenado na cache: introduza o número de minutos em que uma chave mestra (PMK) em modo de par é armazenada na cache, de 5 a 1440 minutos.
    • Número máximo de PMKs armazenados na cache: introduza o número de chaves armazenadas na cache, de 1 a 255.
    • Ativar pré-autenticação: a pré-autenticação permite que o perfil se autentique em todos os pontos de acesso da rede no perfil antes de se ligar. Quando os dispositivos se movem entre pontos de acesso, a pré-autenticação volta a ligar o utilizador ou os dispositivos mais rapidamente. Selecione Sim para que o perfil se autentique em todos os pontos de acesso desta rede que estão dentro do intervalo. Selecione Não para exigir que o utilizador ou dispositivo se autentique em cada ponto de acesso separadamente.
    • Máximo de tentativas de pré-autenticação: introduza o número de tentativas de pré-autenticação, de 1 a 16.

  • Tipo de EAP: para autenticar ligações sem fios protegidas, selecione o tipo de Protocolo de Autenticação Extensível (EAP). Suas opções:

    • EAP-SIM

    • EAP-TLS: introduza também:

      • Nomes de servidores de certificados: introduza um ou mais nomes comuns utilizados nos certificados emitidos pela autoridade de certificação (AC) fidedigna. Se introduzir estas informações, pode ignorar a caixa de diálogo de confiança dinâmica apresentada nos dispositivos de utilizador quando estes se ligam a esta rede Wi-Fi.

      • Certificados de raiz para validação do servidor: selecione um ou mais perfis de certificado de raiz fidedigna existentes. Quando o cliente se liga à rede, estes certificados são utilizados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação utilizar um certificado público, não precisa de incluir um certificado de raiz.

      • Método de autenticação: selecione o método de autenticação utilizado pelos clientes do dispositivo. Suas opções:

        • Certificado SCEP: selecione o perfil de certificado de cliente SCEP que também é implementado no dispositivo. Este certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.
        • Certificado PKCS: selecione o perfil de certificado de cliente PKCS e o certificado de raiz fidedigna que também são implementados no dispositivo. O certificado de cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.
        • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Para obter mais informações, aceda a Utilizar credenciais derivadas no Microsoft Intune.

    • EAP-TTLS: introduza também:

      • Nomes de servidores de certificados: introduza um ou mais nomes comuns utilizados nos certificados emitidos pela autoridade de certificação (AC) fidedigna. Se introduzir estas informações, pode ignorar a caixa de diálogo de confiança dinâmica apresentada nos dispositivos de utilizador quando estes se ligam a esta rede Wi-Fi.

      • Certificados de raiz para validação do servidor: selecione um ou mais perfis de certificado de raiz fidedigna existentes. Quando o cliente se liga à rede, estes certificados são utilizados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação utilizar um certificado público, não precisa de incluir um certificado de raiz.

      • Método de autenticação: selecione o método de autenticação utilizado pelos clientes do dispositivo. Suas opções:

        • Nome de utilizador e Palavra-passe: pedir ao utilizador um nome de utilizador e palavra-passe para autenticar a ligação. Introduza também:

          • Método não EAP (identidade interna): escolha como autenticar a ligação. Certifique-se de que escolhe o mesmo protocolo que a sua rede de Wi-Fi utiliza.

            As suas opções: Palavra-passe não encriptada (PAP), Challenge Handshake (CHAP), Microsoft CHAP (MS-CHAP) e Microsoft CHAP Versão 2 (MS-CHAP v2)

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Certificado SCEP: selecione o perfil de certificado de cliente SCEP que também é implementado no dispositivo. Este certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Certificado PKCS: selecione o perfil de certificado de cliente PKCS e o certificado de raiz fidedigna que também são implementados no dispositivo. O certificado de cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Para obter mais informações, aceda a Utilizar credenciais derivadas no Microsoft Intune.

    • EAP Protegido (PEAP): introduza também:

      • Nomes de servidores de certificados: introduza um ou mais nomes comuns utilizados nos certificados emitidos pela autoridade de certificação (AC) fidedigna. Se introduzir estas informações, pode ignorar a caixa de diálogo de confiança dinâmica apresentada nos dispositivos de utilizador quando estes se ligam a esta rede Wi-Fi.

      • Certificados de raiz para validação do servidor: selecione um ou mais perfis de certificado de raiz fidedigna existentes. Quando o cliente se liga à rede, estes certificados são utilizados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação utilizar um certificado público, não precisa de incluir um certificado de raiz.

      • Efetuar a validação do servidor: quando definido como Sim, na fase de negociação PEAP 1, os dispositivos validam o certificado e verificam o servidor. Selecione Não para bloquear ou impedir esta validação. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.

        Se selecionar Sim, configure também:

        • Desativar pedidos de validação do servidor por parte do utilizador: quando definido como Sim, na fase 1 da negociação PEAP, não são apresentados pedidos de utilizador para autorizar novos servidores PEAP para autoridades de certificação fidedignas. Selecione Não para mostrar as instruções. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.

      • Exigir enlace criptográfico: sim , impede ligações a servidores PEAP que não utilizam criptobinagem durante a negociação PEAP. Não requer criptobinagem. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.

      • Método de autenticação: selecione o método de autenticação utilizado pelos clientes do dispositivo. Suas opções:

        • Nome de utilizador e Palavra-passe: pedir ao utilizador um nome de utilizador e palavra-passe para autenticar a ligação. Introduza também:

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Certificado SCEP: selecione o perfil de certificado de cliente SCEP que também é implementado no dispositivo. Este certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Certificado PKCS: selecione o perfil de certificado de cliente PKCS e o certificado de raiz fidedigna que também são implementados no dispositivo. O certificado de cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a ligação.

          • Privacidade da identidade (identidade externa): introduza o texto enviado em resposta a um pedido de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, esta identidade anónima é inicialmente enviada. Em seguida, a identificação real é enviada num túnel seguro.

        • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Para obter mais informações, aceda a Utilizar credenciais derivadas no Microsoft Intune.

  • Definições do Proxy da Empresa: selecione para utilizar as definições de proxy na sua organização. Suas opções:

    • Nenhuma: não estão configuradas definições de proxy.

    • Configurar manualmente: introduza o endereço IP do servidor Proxy e o respetivo Número de porta.

    • Configurar automaticamente: introduza o URL que aponta para um script de configuração automática de proxy (PAC). Por exemplo, digite http://proxy.contoso.com/proxy.pac.

      Para obter mais informações sobre ficheiros PAC, aceda ao ficheiro Proxy Auto-Configuration (PAC) (abre um site que não é da Microsoft).

  • Forçar Wi-Fi perfil a estar em conformidade com a Norma Federal de Processamento de Informações (FIPS): selecione Sim ao validar em relação à norma FIPS 140-2. Esta norma é necessária para todas as agências governamentais federais dos EUA que utilizam sistemas de segurança baseados em criptografia para proteger informações confidenciais, mas não classificadas, armazenadas digitalmente. Selecione Não para não estar em conformidade com FIPS.

Utilizar um ficheiro de definições importado

Para quaisquer definições não disponíveis no Intune, pode exportar Wi-Fi definições de outro dispositivo Windows. Esta exportação cria um ficheiro XML com todas as definições. Em seguida, importe este ficheiro para o Intune e utilize-o como o perfil de Wi-Fi. Para obter informações sobre como importar o ficheiro XML, aceda a Exportar e importar definições de Wi-Fi para dispositivos Windows.