Добавление параметров Wi-Fi для выделенных и полностью управляемых устройств с Android Enterprise в Microsoft Intune

  • Статья

Вы можете создать профиль с определенными параметрами Wi-Fi, а затем развернуть его на полностью управляемых и выделенных устройствах Android Enterprise. Microsoft Intune предлагает множество функций, включая проверку подлинности в сети, использование предварительно общего ключа и многое другое.

Данная функция применяется к:

  • Личные устройства Android Enterprise с рабочим профилем (BYOD)
  • Android Enterprise — корпоративный рабочий профиль (COPE)
  • Android Enterprise — полностью управляемые корпоративные устройства (COBO)
  • Android Enterprise — выделенные корпоративные устройства (COSU)

В этой статье описаны эти параметры. Использование Wi-Fi на устройствах содержит дополнительные сведения о функции Wi-Fi в Microsoft Intune.

Подготовка к работе

Создайте профиль конфигурации устройства Android Enterprise Wi-Fi:

  • Полностью управляемый, выделенный и корпоративный рабочий профиль
  • личный рабочий профиль.

Полностью управляемый, выделенный и Corporate-Owned рабочий профиль

Выберите этот параметр, если выполняется развертывание на выделенном, корпоративном рабочем профиле Android Enterprise или на полностью управляемом устройстве.

Обычный

  • Тип Wi-Fi: выберите Базовый.

  • Сетевое имя. Введите имя этого Wi-Fi подключения. Конечные пользователи видят это имя при просмотре устройства доступных Wi-Fi подключений. Например, введите Contoso WiFi.

  • SSID. Введите идентификатор набора служб, который представляет собой реальное имя беспроводной сети, к которой подключаются устройства. Однако пользователи видят сетевое имя , настроено только при выборе подключения.

  • Автоматическое подключение. Включить автоматически подключается к Wi-Fi сети, когда устройства находятся в диапазоне действия. Выберите Отключить , чтобы запретить или заблокировать это автоматическое подключение.

    Если устройства подключены к другому предпочтительному Wi-Fi подключению, они не подключаются к этой Wi-Fi сети автоматически. Если при включении этого параметра устройства не удается подключиться автоматически, отключите устройства от существующих Wi-Fi подключений.

  • Скрытая сеть. Выберите Включить , чтобы скрыть эту сеть из списка доступных сетей на устройстве. SSID не транслируется. Выберите Отключить, чтобы отобразить эту сеть в списке доступных сетей на устройстве.

  • Тип Wi-Fi. Выберите протокол безопасности для проверки подлинности в Wi-Fi сети. Доступны следующие параметры:

    • Открыть (без проверки подлинности): используйте этот параметр только в том случае, если сеть не защищена.

    • WEP-предварительный общий ключ. Введите пароль в поле Предварительный общий ключ. Когда сеть вашей организации установлена ​​или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK.

      Предупреждение

      В Android 12 и более поздних версиях Google не рекомендуется поддерживать предварительно общие ключи WEP (PSK) в профилях конфигурации Wi-Fi. Возможно, WEP все еще может работать. Но это не рекомендуется и считается устаревшим. Вместо этого используйте предварительно общие ключи WPA (PSK) в профилях конфигурации Wi-Fi.

      Дополнительные сведения см. в справочнике для разработчиков Android — WifiConfiguration.GroupCipher.

    • Предварительный общий ключ WPA. Введите пароль в поле Предварительный ключ. Когда сеть вашей организации установлена ​​или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK.

  • Параметры прокси-сервера. Выберите конфигурацию прокси-сервера. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Настройте параметры прокси-сервера вручную.

      • Адрес прокси-сервера. Введите IP-адрес прокси-сервера. Например, введите 10.0.0.22.

      • Номер порта. Введите номер порта прокси-сервера. Например, введите 8080.

      • Список исключений. Введите имя узла или IP-адрес, которые не будут использовать прокси-сервер. Можно использовать * подстановочный знак и ввести несколько имен узлов и IP-адресов. Если ввести несколько имен узлов или IP-адресов, они должны находиться в отдельной строке. Например, можно ввести:

        *.contoso.com
test.contoso1.com
mysite.contoso2.com
10.0.0.5
10.0.0.6

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывается сайт, отличный от Майкрософт).

  • Рандомизация MAC-адресов. При необходимости используйте случайные MAC-адреса, например для поддержки управления доступом к сети (NAC). Пользователи могут изменить этот параметр.

    Доступны следующие параметры:

    • Использовать устройство по умолчанию. Intune не изменяет или не обновляет этот параметр. По умолчанию, когда устройства подключаются к сети, устройства представляют случайный MAC-адрес вместо физического MAC-адреса. Все обновления, внесенные пользователем в параметр, сохраняются.

    • Использование случайных mac-адресов. Включает рандомизацию MAC-адресов на устройствах. Когда устройства подключаются к новой сети, они представляют случайный MAC-адрес вместо физического MAC-адреса. Если пользователь изменяет это значение на своем устройстве, он сбрасывает значение Использовать случайный MAC при следующей синхронизации Intune.

    • Использование MAC устройства. Принуждая устройства представить фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. При использовании этого параметра устройства отслеживаются по MAC-адресу. Используйте это значение только при необходимости, например для поддержки управления доступом к сети (NAC). Если пользователь изменяет это значение на своем устройстве, он сбрасывает значение Использовать MAC устройства при следующей синхронизации Intune.

    Данная функция применяется к:

    • Android 13 и более поздних версий

Корпоративная

  • Тип Wi-Fi: выберите Корпоративный.

  • SSID. Введите идентификатор набора служб, который представляет собой реальное имя беспроводной сети, к которой подключаются устройства. Однако пользователи видят сетевое имя , настроено только при выборе подключения.

  • Автоматическое подключение. Включить автоматически подключается к Wi-Fi сети, когда устройства находятся в диапазоне действия. Выберите Отключить , чтобы запретить или заблокировать это автоматическое подключение.

    Если устройства подключены к другому предпочтительному Wi-Fi подключению, они не подключаются к этой Wi-Fi сети автоматически. Если при включении этого параметра устройства не удается подключиться автоматически, отключите устройства от существующих Wi-Fi подключений.

  • Скрытая сеть. Выберите Включить , чтобы скрыть эту сеть из списка доступных сетей на устройстве. SSID не транслируется. Выберите Отключить, чтобы отобразить эту сеть в списке доступных сетей на устройстве.

  • Тип EAP. Выберите тип Протокола расширенной проверки подлинности (EAP), используемый для проверки подлинности защищенных беспроводных подключений. Доступны следующие параметры:

    • EAP-TLS. Для проверки подлинности протокол TLS использует цифровой сертификат на сервере и цифровой сертификат на клиенте. Оба сертификата подписываются центром сертификации (ЦС), которому доверяют сервер и клиент.

      Также введите:

      • Имя сервера Radius. Во время проверки подлинности клиента в точке доступа Wi-Fi сервер Radius представляет сертификат. Введите DNS-имя этого сертификата. Например, введите Contoso.com, uk.contoso.com или jp.contoso.com.

        Если у вас несколько серверов Radius с одинаковым суффиксом DNS в полном доменном имени, вы можете ввести только суффикс. Например, можно ввести contoso.com.

        При вводе этого значения пользовательские устройства могут обходить диалоговое окно динамического доверия, которое может отображаться при подключении к Wi-Fi сети.

        • Android 11 и более поздней версии: этот параметр может потребоваться настроить для новых профилей Wi-Fi. В противном случае устройства могут не подключаться к Wi-Fi сети.

        • Android 14 и более новых версий: Google не позволяет общей длине контента всех серверов Radius быть больше 256 символов или включать специальные символы. Если у вас несколько серверов Radius с одинаковым DNS-суффиксом в полном доменном имени, рекомендуется вводить только суффикс.

      • Корневой сертификат для проверки сервера. Выберите существующий профиль доверенного корневого сертификата. При подключении клиента к сети этот сертификат используется для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

        Примечание.

        В зависимости от версии ОС Android и инфраструктуры проверки подлинности Wi-Fi требования к сертификату могут отличаться. Возможно, потребуется добавить безопасные хэш-алгоритмы (SHA) из сертификата, используемого сервером политики сети (NPS). Или, если сервер Radius или NPS имеет общедоступный подписанный сертификат, то корневой сертификат может не потребоваться для проверки.

        Рекомендуется ввести имя сервера Radius и добавить корневой сертификат для проверки сервера.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

      • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • EAP-TTLS. Для проверки подлинности протокол EAP (EAP) Tunneled Transport Layer Security (TTLS) использует цифровой сертификат на сервере. Когда клиент выполняет запрос на проверку подлинности, сервер использует туннель, который является безопасным соединением, для выполнения запроса проверки подлинности.

      Также введите:

      • Имя сервера Radius. Во время проверки подлинности клиента в точке доступа Wi-Fi сервер Radius представляет сертификат. Введите DNS-имя этого сертификата. Например, введите Contoso.com, uk.contoso.com или jp.contoso.com.

        Если у вас несколько серверов Radius с одинаковым суффиксом DNS в полном доменном имени, вы можете ввести только суффикс. Например, можно ввести contoso.com.

        При вводе этого значения пользовательские устройства могут обходить диалоговое окно динамического доверия, которое может отображаться при подключении к Wi-Fi сети.

        • Android 11 и более поздней версии: этот параметр может потребоваться настроить для новых профилей Wi-Fi. В противном случае устройства могут не подключаться к Wi-Fi сети.

        • Android 14 и более новых версий: Google не позволяет общей длине контента всех серверов Radius быть больше 256 символов или включать специальные символы. Если у вас несколько серверов Radius с одинаковым DNS-суффиксом в полном доменном имени, рекомендуется вводить только суффикс.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в Wi-Fi сети. Доступны следующие параметры:

            • Незашифрованный пароль (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP версии 2 (MS-CHAP версии 2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • PEAP: защищенный расширяемый протокол проверки подлинности (PEAP) шифрует и проверяет подлинность с помощью защищенного туннеля. Также введите:

      • Имя сервера Radius. Во время проверки подлинности клиента в точке доступа Wi-Fi сервер Radius представляет сертификат. Введите DNS-имя этого сертификата. Например, введите Contoso.com, uk.contoso.com или jp.contoso.com.

        Если у вас несколько серверов Radius с одинаковым суффиксом DNS в полном доменном имени, вы можете ввести только суффикс. Например, можно ввести contoso.com.

        При вводе этого значения пользовательские устройства могут обходить диалоговое окно динамического доверия, которое может отображаться при подключении к Wi-Fi сети.

        • Android 11 и более поздней версии: этот параметр может потребоваться настроить для новых профилей Wi-Fi. В противном случае устройства могут не подключаться к Wi-Fi сети.

        • Android 14 и более новых версий: Google не позволяет общей длине контента всех серверов Radius быть больше 256 символов или включать специальные символы. Если у вас несколько серверов Radius с одинаковым DNS-суффиксом в полном доменном имени, рекомендуется вводить только суффикс.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод проверки подлинности (внутреннее удостоверение), отличный от EAP. Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в Wi-Fi сети. Доступны следующие параметры:

            • Нет
            • Microsoft CHAP версии 2 (MS-CHAP версии 2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • Параметры прокси-сервера. Выберите конфигурацию прокси-сервера. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Настройте параметры прокси-сервера вручную.

      • Адрес прокси-сервера. Введите IP-адрес прокси-сервера. Например, введите 10.0.0.22.

      • Номер порта. Введите номер порта прокси-сервера. Например, введите 8080.

      • Список исключений. Введите имя узла или IP-адрес, которые не будут использовать прокси-сервер. Можно использовать * подстановочный знак и ввести несколько имен узлов и IP-адресов. Если ввести несколько имен узлов или IP-адресов, они должны находиться в отдельной строке. Например, можно ввести:

        *.contoso.com
test.contoso1.com
mysite.contoso2.com
10.0.0.5
10.0.0.6

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывается сайт, отличный от Майкрософт).

      Примечание.

      Если устройство помечается как корпоративное во время регистрации (принадлежащей организации), политики управляют функциями и параметрами устройства. Пользователям можно запретить управлять функциями и параметрами в политике. Если Wi-Fi политика назначается устройствам, Wi-Fi включается, и пользователям можно запретить отключить Wi-Fi.

  • Рандомизация MAC-адресов. При необходимости используйте случайные MAC-адреса, например для поддержки управления доступом к сети (NAC). Пользователи могут изменить этот параметр.

    Доступны следующие параметры:

    • Использовать устройство по умолчанию. Intune не изменяет или не обновляет этот параметр. По умолчанию, когда устройства подключаются к сети, устройства представляют случайный MAC-адрес вместо физического MAC-адреса. Все обновления, внесенные пользователем в параметр, сохраняются.

    • Использование случайных mac-адресов. Включает рандомизацию MAC-адресов на устройствах. Когда устройства подключаются к новой сети, они представляют случайный MAC-адрес вместо физического MAC-адреса. Если пользователь изменяет это значение на своем устройстве, он сбрасывает значение Использовать случайный MAC при следующей синхронизации Intune.

    • Использование MAC устройства. Принуждая устройства представить фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. При использовании этого параметра устройства отслеживаются по MAC-адресу. Используйте это значение только при необходимости, например для поддержки управления доступом к сети (NAC). Если пользователь изменяет это значение на своем устройстве, он сбрасывает значение Использовать MAC устройства при следующей синхронизации Intune.

    Данная функция применяется к:

    • Android 13 и более поздних версий

личный рабочий профиль.

Базовый (личный рабочий профиль)

  • Тип Wi-Fi: выберите Базовый.
  • SSID. Введите идентификатор набора служб, который представляет собой реальное имя беспроводной сети, к которой подключаются устройства. Однако пользователи видят сетевое имя , настроено только при выборе подключения.
  • Скрытая сеть. Выберите Включить , чтобы скрыть эту сеть из списка доступных сетей на устройстве. SSID не транслируется. Выберите Отключить, чтобы отобразить эту сеть в списке доступных сетей на устройстве.

Enterprise (личный рабочий профиль)

  • Тип Wi-Fi: выберите Корпоративный.

  • SSID. Введите идентификатор набора служб, который представляет собой реальное имя беспроводной сети, к которой подключаются устройства. Однако пользователи видят сетевое имя , настроено только при выборе подключения.

  • Скрытая сеть. Выберите Включить , чтобы скрыть эту сеть из списка доступных сетей на устройстве. SSID не транслируется. Выберите Отключить, чтобы отобразить эту сеть в списке доступных сетей на устройстве.

  • Тип EAP. Выберите тип Протокола расширенной проверки подлинности (EAP), используемый для проверки подлинности защищенных беспроводных подключений. Доступны следующие параметры:

    • EAP-TLS: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

      • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • EAP-TTLS: также введите:

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в Wi-Fi сети. Доступны следующие параметры:

            • Незашифрованный пароль (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP версии 2 (MS-CHAP версии 2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • PEAP: также введите:

      • Корневой сертификат для проверки сервера. Выберите существующий профиль доверенного корневого сертификата. Когда клиент подключается к сети, этот сертификат отображается на сервере и проверяет подлинность подключения.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод проверки подлинности (внутреннее удостоверение), отличный от EAP. Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в Wi-Fi сети. Доступны следующие параметры:

            • Нет
            • Microsoft CHAP версии 2 (MS-CHAP версии 2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • Параметры прокси-сервера. Выберите конфигурацию прокси-сервера. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывается сайт, отличный от Майкрософт).

Дальнейшие действия

Профиль создан, но может ничего не делать. Обязательно назначьте этот профиль и отслеживайте его состояние..

Вы также можете создавать профили Wi-Fi для Android, iOS/iPadOS, macOS и Windows 10.

Устранение распространенных проблем с профилями Wi-Fi.