Использование пользовательского профиля устройства для создания профиля Wi-Fi с предварительным ключом с помощью Intune

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Как правило, общие ключи используются для аутентификации пользователей в сетях Wi-Fi и беспроводных сетях. С помощью Intune можно создать политику конфигурации устройств Wi-Fi с помощью предварительного ключа.

Чтобы создать профиль, используйте функцию пользовательского профиля устройства в Intune.

Данная функция применяется к:

• Администратор устройств Android
• Личные устройства Android Enterprise с рабочим профилем
• Windows
• Wi-Fi на основе EAP

Сведения о Wi-Fi и PSK добавляются в XML-файл. Затем добавьте XML-файл в настраиваемую политику конфигурации устройств в Intune. Когда политика будет готова, вы назначите ее устройствам. При следующем входе устройства применяется политика и на устройстве создается Wi-Fi профиль.

В этой статье показано, как создать политику в Intune, а также приведен xml-пример политики Wi-Fi на основе EAP.

Важно!

• Использование общего ключа с Windows 10/11 приводит к отображению ошибки исправления в Intune. В этом случае Wi-Fi профиль должным образом назначается устройству, и профиль работает должным образом.
• При экспорте профиля Wi-Fi, который содержит общий ключ, убедитесь, что файл защищен. Ключ в виде обычного текста. Вы несете ответственность за защиту ключа.

Предварительные условия

• Чтобы создать политику, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей . Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.

Подготовка к работе

• Возможно, проще скопировать синтаксис XML с компьютера, который подключается к этой сети, как описано в разделе Создание XML-файла из существующего подключения Wi-Fi (в этой статье).
• Чтобы добавить несколько сетей и ключи, можно добавить дополнительные параметры OMA-URI.
• Чтобы настроить профиль для устройств iOS/iPadOS, используйте Apple Configurator на компьютере Mac.
• PSK требуется строка из 64 шестнадцатеричных цифр или парольная фраза из 8–63 печатных символов ASCII. Некоторые символы, например звездочка (*), не поддерживаются.

Создание настраиваемого профиля

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

3. Укажите следующие свойства:

   • Платформа: выберите платформу.
   • Тип профиля: выберите Пользовательский. Либо выберите элементы Шаблоны>Пользовательский.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Android-Custom Wi-Fi profile.
   • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации нажмите Добавить. Введите новый параметр OMA-URI со следующими свойствами:

   1. Имя: введите имя параметра OMA-URI.

   2. Описание: введите описание параметра OMA-URI. Этот параметр является необязательным, но мы рекомендуем его использовать.

   3. OMA-URI: введите один из следующих параметров:

      • Для Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Для Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Примечание.

      • Обязательно включите символ точки в начале значения OMA-URI.
      • Если идентификатор SSID содержит пробел, добавьте escape-пробел %20.

      SSID (идентификатор набора служб) — это имя Wi-Fi сети, для чего создается политика. Например, если Wi-Fi имеет имя Hotspot-1, введите ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Если Wi-Fi имеет имя Contoso WiFi, введите ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (с escape-символом %20).

   4. Тип данных: выберите Строка.

   5. Значение: вставьте XML-код. См. примеры в этой статье. Обновите каждое значение в соответствии с параметрами сети. Некоторые сведения содержатся в разделе комментариев кода.

   6. Нажмите кнопку Добавить, чтобы сохранить изменения.

8. Нажмите кнопку Далее.

9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в статье Использование RBAC и тегов области для распределенной ИТ-службы.

   Нажмите кнопку Далее.

10. В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Примечание.

    Эту политику можно назначить только для групп пользователей.

    Нажмите кнопку Далее.

11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Политика применяется при каждой следующей регистрации устройства, и на нем создается профиль Wi-Fi. Устройство сможет автоматически подключиться к сети.

Пример профиля Wi-Fi для Android или Windows

В следующем примере приведен XML-код профиля Wi-Fi для Android или Windows. В примере показан правильный формат и предоставлены дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.

Что необходимо знать

• Для <protected>false</protected> нужно задать значение false. Если значение равно true, это может привести к тому, что устройство ожидает зашифрованный пароль, а затем попытается расшифровать его. что может привести к сбою подключения.

• <hex>53534944</hex> должно быть присвоено шестнадцатеричное значение <name><SSID of wifi profile></name>. Устройства Windows 10/11 могут возвращать ложную x87D1FDE8 Remediation failed ошибку, но устройство по-прежнему содержит профиль.

• XML содержит специальные символы, такие как & (амперсанд). Использование специальных символов может предотвратить работу XML должным образом.

Пример

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Пример профиля Wi-Fi на основе EAP

В следующем примере приведен XML-код для профиля Wi-Fi на основе EAP. В примере показан правильный формат и приводятся дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Создание XML-файла из существующего подключения Wi-Fi

Можно также создать XML-файл из существующего подключения Wi-Fi. На компьютере с Windows выполните следующие действия:

1. Создайте локальную папку для экспортированных профилей Wi-Fi, например c:\WiFi.

2. Откройте командную строку от имени администратора (щелкните правой кнопкой мыши cmd>Запуск от имени администратора).

3. Запустите netsh wlan show profiles. Названия всех профилей перечислены.

4. Запустите netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Эта команда создает файл с именем Wi-Fi-YourProfileName.xml в c:\Wifi.

   • Если вы экспортируете профиль Wi-Fi, содержащий предварительный ключ, добавьте key=clear в команду . Параметр key=clear экспортирует ключ в виде обычного текста, который необходим для успешного использования профиля:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Если экспортируемый элемент профиля <name></name> Wi-Fi содержит пробел, при назначении он может вернуть ошибку ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) . В таком случае профиль отображается в \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces как известная сеть. Но он не отображается как управляемая политика в URI "Области, управляемые …".

     Чтобы устранить эту проблему, удалите пробел.

После создания XML-файла скопируйте и вставьте синтаксис XML в параметры > OMA-URI Тип данных. Создание пользовательского профиля (в этой статье) перечисляются шаги.

Совет

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} также включает все профили в формате XML.

Рекомендации

• Прежде чем развертывать профиль Wi-Fi с использованием PSK, убедитесь, что устройство может напрямую подключиться к конечной точке.

• При смене ключей (паролей или парольных фраз) возможны простои. Учитывайте это при развертываниях. Вы должны:

  • Убедитесь, что устройства имеют альтернативное подключение к Интернету.

    Например, конечный пользователь может переключиться обратно на гостевой WiFi (или другую сеть WiFi) или подключиться к Intune по сотовой сети. Дополнительное подключение позволяет пользователю получать обновления политики при обновлении корпоративного Wi-Fi профиля на устройстве.

  • Отправка новых профилей Wi-Fi в нерабочее время.

  • Предупреждайте пользователей о том, что подключение может быть затронуто.

Ресурсы

Обязательно изучите статьи Назначение профилей пользователей и устройств в Microsoft Intune и Мониторинг профилей устройств в Microsoft Intune.