Use um perfil de dispositivo personalizado para criar um perfil Wi-Fi com uma chave pré-partilhada no Intune
As teclas pré-partilhadas (PSK) são normalmente utilizadas para autenticar utilizadores em redes WiFi ou EM Sem Fios. Com o Intune, pode criar um perfil Wi-Fi através de uma chave pré-partilhada. Para criar o perfil, utilize a funcionalidade Perfis de dispositivos personalizados no Intune. Este artigo inclui alguns exemplos de como criar um perfil Wi-Fi baseado em EAP.
Esta funcionalidade aplica-se a:
- Android device administrator (Administrador de dispositivos Android)
- Android Enterprise possuiu pessoalmente dispositivos com perfil de trabalho
- Windows
- Wi-Fi baseados em EAP
Importante
- A utilização de uma tecla pré-partilhada com Windows 10 causa um erro de reparação a aparecer no Intune. Quando isto acontece, o perfil Wi-Fi é atribuído corretamente ao dispositivo e funciona conforme esperado.
- Se exportar um perfil Wi-Fi que inclua uma chave pré-partilhada, certifique-se de que o ficheiro está protegido. Como a chave se encontra em texto simples, é sua responsabilidade protegê-la.
Antes de começar
- Poderá ser mais fácil copiar o código de um computador com ligação a essa rede, conforme descrito mais à frente neste artigo.
- Pode adicionar várias redes e chaves, adicionando mais definições de OMA-URI.
- Para iOS/iPadOS, utilize o Configurador apple numa estação Mac para configurar o perfil.
- O PSK necessita de uma cadeia de 64 dígitos hexadecimais ou uma frase de acesso de 8 a 63 carateres ASCII imprimíveis. Alguns personagens, como o asterisco (* ), não são suportados.
Criar um perfil personalizado
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione perfis > de configuração de dispositivos > Criar perfil.
Introduza as seguintes propriedades:
- Plataforma: Escolha a sua plataforma.
- Perfil: Selecione Custom. Ou, selecione Modelos > Personalizados.
Selecione Criar.
No Básico, insira as seguintes propriedades:
- Nome: Introduza um nome descritivo para a apólice. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é OMA-URI personalizado Wi-Fi perfil para Android DA.
- Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.
Selecione Seguinte.
Nas definições de configuração, selecione Adicionar. Introduza uma nova definição OMA-URI com as seguintes propriedades:
Nome: Introduza um nome para a definição OMA-URI.
Descrição: Introduza uma descrição para a definição OMA-URI. Esta definição é opcional, mas recomendada.
OMA-URI: Introduza uma das seguintes opções:
- Para Android:
./Vendor/MSFT/WiFi/Profile/SSID/Settings
- Para Windows:
./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
Nota
- Certifique-se de que inclui o caráter de ponto no início.
- Se o SSID tiver um espaço, adicione um espaço de
%20
fuga.
SSID é o SSID para o qual está a criar a apólice. Por exemplo, se o Wi-Fi for
Hotspot-1
nomeado, insira./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings
. Se o Wi-Fi forContoso WiFi
nomeado, entre./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings
(com o%20
espaço de fuga).- Para Android:
Tipo de dados: Selecione String.
Valor: Cole o seu código XML. Veja os exemplos neste artigo. Atualize cada valor para corresponder às suas definições de rede. A secção de comentários do código inclui algumas indicações.
Selecione Adicionar para guardar as suas alterações.
Selecione Seguinte.
Nas etiquetas Scope (opcional), atribua uma etiqueta para filtrar o perfil a grupos de TI específicos, tais como
US-NC IT Team
ouJohnGlenn_ITDepartment
. Para obter mais informações sobre etiquetas de âmbito, consulte Use RBAC e etiquetas de âmbito para TI distribuídos.Selecione Seguinte.
Em Atribuições, selecione os utilizadores ou grupo de utilizadores que receberão o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.
Nota
Esta política só pode ser atribuída a grupos de utilizadores.
Selecione Seguinte.
Em Rever + criar, rever as suas definições. Quando selecionar Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.
Da próxima vez que cada dispositivo for registado, a política será aplicada e será criado um perfil Wi-Fi no dispositivo. Assim, o dispositivo poderá ligar à rede automaticamente.
Exemplo de perfil Android ou Wi-Fi do Windows
O seguinte exemplo inclui o código XML de um perfil Android ou Wi-Fi do Windows. O exemplo é disponibilizado para mostrar o formato correto e indicar mais detalhes. Ele é apenas um exemplo e não foi concebido como uma configuração recomendada para o seu ambiente.
O que tem de saber
<protected>false</protected>
tem de ser definido como falso. Se estiver definido como verdadeiro, poderá fazer com que o dispositivo espere uma palavra-passe encriptada e, em seguida, tente decifrá-la, o que poderá resultar numa falha de ligação.<hex>53534944</hex>
deve estar definido para o valor hexadecimal de<name><SSID of wifi profile></name>
. Windows 10 dispositivos podem devolver umx87D1FDE8 Remediation failed
erro falso, mas o dispositivo ainda contém o perfil.XML tem caracteres especiais, como o
&
(ampersand). A utilização de caracteres especiais pode impedir que o XML funcione como esperado.
Exemplo
<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which may result in a failed connection.
<password> = Plain text of the password to connect to the network
-->
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name><Name of wifi profile></name>
<SSIDConfig>
<SSID>
<hex>53534944</hex>
<name><SSID of wifi profile></name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication><Type of authentication></authentication>
<encryption><Type of encryption></encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>password</keyMaterial>
</sharedKey>
<keyIndex>0</keyIndex>
</security>
</MSM>
</WLANProfile>
Exemplo de perfil Wi-Fi baseado em EAP
O exemplo seguinte inclui o código XML de um perfil de Wi-Fi baseado em EAP: o exemplo é disponibilizado para mostrar o formato correto e indicar mais detalhes. Ele é apenas um exemplo e não foi concebido como uma configuração recomendada para o seu ambiente.
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>testcert</name>
<SSIDConfig>
<SSID>
<hex>7465737463657274</hex>
<name>testcert</name>
</SSID>
<nonBroadcast>true</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>user</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<AllPurposeEnabled>true</AllPurposeEnabled>
<CAHashList Enabled="true">
<IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Client Authentication</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true"/>
<AnyPurposeEKUList Enabled="false">
<EKUMapInList>
<EKUName>Client Authentication</EKUName>
</EKUMapInList>
</AnyPurposeEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>
Criar o ficheiro XML a partir de uma ligação Wi-Fi existente
Também pode criar um ficheiro XML a partir de uma ligação Wi-Fi existente. Num computador Windows, utilize os seguintes passos:
Crie uma pasta local para os perfis W-Fi exportados, tais como c:\WiFi.
Abra um pedido de comando como administrador (clique à direita
cmd
> Executar como administrador).Execute
netsh wlan show profiles
. Os nomes de todos os perfis estão listados.Execute
netsh wlan export profile name="YourProfileName" folder=c:\Wifi
. Este comando cria um ficheiro chamadoWi-Fi-YourProfileName.xml
c:\Wifi.Se estiver a exportar um perfil Wi-Fi que inclua uma chave pré-partilhada, adicione
key=clear
ao comando:netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi
key=clear
exporta a chave em texto simples, que é necessário para utilizar com sucesso o perfil.Se o elemento de perfil de Wi-Fi exportado
<name></name>
incluir um espaço, então poderá retornar umERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500)
erro quando atribuído. Quando este problema acontece, o perfil é listado em\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces
, e mostra como uma rede conhecida. Mas, não apresenta com sucesso como política gerida nas "Áreas geridas por..." O URI.Para resolver este problema, retire o espaço.
Depois de ter o ficheiro XML, copie e cole a sintaxe XML nas definições OMA-URI > Tipo de Dados. Crie um perfil personalizado (neste artigo) lista os passos.
Dica
\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid}
também inclui todos os perfis em formato XML.
Melhores práticas
Antes de implementar um perfil de Wi-Fi com PSK, confirme que o dispositivo consegue ligar diretamente ao ponto final.
Ao rodar as teclas (palavras-passe ou frases-passe), espere tempo de inatividade e planeie as suas implementações. Considere emitir novos perfis de Wi-Fi durante as horas de descanso. Além disso, avise os utilizadores que a conectividade pode ser afetada.
Para uma transição suave, certifique-se de que o dispositivo do utilizador final tem uma ligação alternativa à Internet. Por exemplo, o utilizador final pode voltar a ser o WiFi do Hóspede (ou outra rede WiFi) ou ter conectividade celular para comunicar com o Intune. A ligação adicional permite ao utilizador receber atualizações da política quando o Perfil de Wi-Fi empresarial for atualizado no dispositivo.
Passos seguintes
Certifique-se de atribuir o perfile monitorizar o seu estado.