Habilitar autenticação com fio 802.1x

A atualização de 14 de novembro de 2017 para Windows 10 (build 15063.726) habilitada para a configuração da política de autenticação com fio 802.1x em dispositivos Surface Hub. O recurso permite que as organizações forcem a autenticação de rede com fio padronizada usando o protocolo de autenticação IEEE 802.1x. Isso já estava disponível para autenticação sem fio usando perfis WLAN por meio de MDM ou pacote de provisionamento. Este tópico explica como configurar um Surface Hub para uso com autenticação com fio.

A aplicação e habilitação da autenticação com fio 802.1x no Surface Hub podem ser feitas por meio de perfis OMA-URI do MDM ou pacote de provisionamento.

A configuração principal a ser definida é a política LanProfile. Dependendo do método de autenticação selecionado, outras políticas talvez seja necessárias, ou a política EapUserData ou por meio de políticas de MDM para adicionar certificados de usuário ou de computador (como ClientCertificateInstall para certificados de usuário/dispositivo ou RootCATrustedCertificates para certificados de dispositivo).

Elemento de política LanProfile

Para configurar o Surface Hub para usar um dos métodos de autenticação 802.1 com suporte, utilize o OMA-URI a seguir.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Esse nó OMA-URI aceita uma cadeia de caracteres de texto de XML como um parâmetro. O XML fornecido como um parâmetro deve estar em conformidade com o Esquema de perfil de LAN com fio, incluindo elementos do esquema 802.1X.

Na maioria dos casos, um administrador ou um usuário pode exportar o XML de LanProfile de um computador existente que já esteja configurado na rede para 802.1X usando este comando NETSH a seguir.

netsh lan export profile folder=.

A execução desse comando fornece a saída a seguir e coloca um arquivo intitulado Ethernet.xml no diretório atual.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Para desabilitar 802.1x completamente no Surface Hub, um pacote de provisionamento pode ser usado para definir o nó SurfaceHub\Dot3\LanProfile como o seguinte xml:

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

Elemento de política EapUserData

Se seu método de autenticação selecionado exigir um nome de usuário e uma senha em oposição a um certificado, você poderá usar o elemento EapUserData para especificar as credenciais para o dispositivo a ser usado para autenticação na rede.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

Esse nó OMA-URI aceita uma cadeia de caracteres de texto de XML como um parâmetro. O XML fornecido como um parâmetro deve estar em conformidade com o exemplo de Propriedades de Usuário de MS-CHAPv2 PEAP. No exemplo, você precisa substituir todas as instâncias de teste e ias-domain por suas informações.

Adição de certificados

Se o método de autenticação selecionado for baseado em certificado, você precisará criar um pacote de provisionamento, utilizar o MDM ou importar um certificado de configurações (ConfiguraçõesAtualizar eCertificados de Segurança>) para implantar esses certificados no dispositivo do Surface Hub no Repositório de Certificados> apropriado. Ao adicionar certificados, cada PFX deve conter apenas um certificado (um PFX não pode ter vários certificados).