Поделиться через

Добавление параметров Wi-Fi для устройств iOS и iPadOS в Microsoft Intune

  • Статья

Вы можете создать профиль с определенными параметрами Wi-Fi, а затем развернуть его на устройствах iOS/iPadOS с помощью Intune. В рамках решения управления мобильными устройствами (MDM) используйте эти параметры для проверки подлинности сети, добавьте сертификат PKCS (стандарты шифрования с открытым ключом) или SCEP (протокол регистрации простых сертификатов), настройте прокси-сервер и многое другое.

Данная функция применяется к:

  • iOS/iPadOS

Эти Wi-Fi параметры разделены на две категории: базовые параметры и параметры уровня предприятия.

В этой статье описаны параметры, которые можно настроить.

Подготовка к работе

Базовые профили

  • Тип Wi-Fi: выберите Базовый.

  • Сетевое имя. Введите имя этого Wi-Fi подключения. Пользователи видят это имя при просмотре списка доступных подключений на своем устройстве.

  • SSID. Это свойство идентификатора набора служб (SSID) — это реальное имя беспроводной сети, к которому подключаются устройства. Однако пользователи видят сетевое имя, настроено только при выборе подключения.

  • Автоматическое подключение. Включить автоматически подключается к этой сети, когда устройство находится в диапазоне действия. Отключить запрещает автоматическое подключение устройств.

  • Скрытая сеть. Включить соответствует этому параметру устройства с параметром на маршрутизаторе Wi-Fi конфигурации. Таким образом, если для сети задано значение скрытое, сеть также скрыта в профиле Wi-Fi. Выберите Отключить, если SSID сети является широковещательным и видимым.

  • Тип безопасности. Выберите протокол безопасности для проверки подлинности в Wi-Fi сети. Доступны следующие параметры:

    • Открыть (без проверки подлинности): используйте этот параметр только в том случае, если сеть не защищена.
    • WPA/WPA2 — персональный: введите пароль в поле Предварительный общий ключ (PSK). Когда сеть вашей организации установлена ​​или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK.
    • WEP

  • Параметры прокси-сервера: ваши параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Введите адрес прокси-сервера в качестве IP-адреса и номер порта.

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).

  • Отключить рандомизацию MAC-адресов. Начиная с iOS/iPadOS 14 устройства представляют случайный MAC-адрес вместо физического MAC-адреса при подключении к сети. Для конфиденциальности рекомендуется использовать случайные MAC-адреса, так как сложнее отслеживать устройство по ЕГО MAC-адресу. Однако случайные MAC-адреса нарушают функциональность, которая зависит от статического MAC-адреса, включая управление доступом к сети (NAC).

    Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию при подключении устройств к новой сети вместо физического MAC-адреса используется случайный MAC-адрес.
    • Да: принуждают устройства представлять фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. Да позволяет отслеживать устройства по MAC-адресу. Отключать рандомизацию MAC-адресов только при необходимости, например для поддержки управления доступом к сети (NAC).
    • Нет. Включает рандомизацию MAC-адресов на устройствах. Пользователи не могут отключить его. Когда устройства подключаются к новой сети, устройства представляют случайный MAC-адрес вместо физического MAC-адреса.

    Этот параметр применяется к:

    • iOS 14.0 и более поздней версии
    • iPadOS 14.0 и более поздней версии

Профили предприятия

  • Тип Wi-Fi: выберите Корпоративный.

  • Сетевое имя. Введите имя этого Wi-Fi подключения. Пользователи видят это имя при просмотре списка доступных подключений на своем устройстве.

  • SSID: сокращение от идентификатора набора служб. Это свойство является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят сетевое имя, настроено только при выборе подключения.

  • Автоматическое подключение. Включить автоматически подключается к этой сети, когда устройство находится в диапазоне действия. Отключить запрещает автоматическое подключение устройств.

  • Скрытая сеть. Включить соответствует этому параметру устройства с параметром на маршрутизаторе Wi-Fi конфигурации. Таким образом, если для сети задано значение скрытое, сеть также скрыта в профиле Wi-Fi. Выберите Отключить, если SSID сети является широковещательным и видимым.

  • Тип безопасности. Выберите протокол безопасности для проверки подлинности в Wi-Fi сети. Доступны следующие параметры:

    • WPA — Enterprise
    • WPA/WPA2 — Enterprise

  • Тип EAP. Выберите тип Протокола расширенной проверки подлинности (EAP), используемый для проверки подлинности защищенных беспроводных подключений. Доступны следующие параметры:

    • EAP-FAST: введите параметры защищенных учетных данных доступа (PAC). Этот параметр использует защищенные учетные данные доступа для создания туннеля с проверкой подлинности между клиентом и сервером проверки подлинности. Доступны следующие параметры:

      • Не использовать (PAC)
      • Использовать (PAC): если существует существующий PAC-файл, используйте его.
      • Использование и подготовка PAC. Создайте и добавьте PAC-файл на устройства.
      • Использовать и подготавливать PAC анонимно. Создайте и добавьте PAC-файл на устройства без проверки подлинности на сервере.

    • EAP-SIM

    • EAP-TLS: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети. При наличии нескольких серверов Radius с одинаковым DNS-суффиксом в полном доменном имени можно ввести суффикс с подстановочными знаками. Например, можно ввести *.contoso.com.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • EAP-TTLS: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в сети Wi-Fi.

            Возможные варианты: незашифрованный пароль (PAP),протокол проверки подлинности подтверждения запроса (CHAP),Microsoft CHAP (MS-CHAP) или Microsoft CHAP версии 2 (MS-CHAP v2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • ПРЫГАТЬ

    • PEAP: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения.

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • Параметры прокси-сервера. Выберите конфигурацию прокси-сервера. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Введите адрес прокси-сервера в качестве IP-адреса и номер порта.

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).

  • Отключить рандомизацию MAC-адресов. Начиная с iOS/iPadOS 14 устройства представляют случайный MAC-адрес вместо физического MAC-адреса при подключении к сети. Для конфиденциальности рекомендуется использовать случайные MAC-адреса, так как сложнее отслеживать устройство по ЕГО MAC-адресу. Случайные MAC-адреса также нарушают функциональность, которая зависит от статического MAC-адреса, включая управление сетевым доступом (NAC).

    Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию при подключении к сети устройства могут представлять случайный MAC-адрес вместо физического MAC-адреса.
    • Да: принуждают устройства представлять фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. Да позволяет отслеживать устройства по MAC-адресу. Отключать рандомизацию MAC-адресов только при необходимости, например для поддержки управления доступом к сети (NAC).
    • Нет. Включает рандомизацию MAC-адресов на устройствах. Пользователи не могут отключить его. Когда устройства подключаются к сети, устройства представляют случайный MAC-адрес, а не физический MAC-адрес.

    Этот параметр применяется к:

    • iOS 14.0 и более поздней версии
    • iPadOS 14.0 и более поздней версии