Использование пользовательского профиля устройства для создания профиля Wi-Fi с предварительным ключом с помощью Intune
Статья
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Как правило, общие ключи используются для аутентификации пользователей в сетях Wi-Fi и беспроводных сетях. С помощью Intune вы можете создать политику конфигурации устройств Wi-Fi с помощью предварительного ключа.
Чтобы создать профиль, используйте функцию пользовательского профиля устройства в Intune.
Данная функция применяется к:
Администратор устройств Android
Личные устройства Android Enterprise с рабочим профилем
Windows
Wi-Fi на основе EAP
Сведения о Wi-Fi и PSK добавляются в XML-файл. Затем добавьте XML-файл в настраиваемую политику конфигурации устройств в Intune. Когда политика будет готова, вы назначите ее устройствам. При следующем входе устройства применяется политика и на устройстве создается Wi-Fi профиль.
В этой статье показано, как создать политику в Intune, а также приведен xml-пример политики Wi-Fi на основе EAP.
Важно!
Использование общего ключа с Windows 10/11 приводит к отображению ошибки исправления в Intune. В этом случае Wi-Fi профиль должным образом назначается устройству, и профиль работает должным образом.
При экспорте профиля Wi-Fi, который содержит общий ключ, убедитесь, что файл защищен. Ключ в виде обычного текста. Вы несете ответственность за защиту ключа.
Чтобы добавить несколько сетей и ключи, можно добавить дополнительные параметры OMA-URI.
Чтобы настроить профиль для устройств iOS/iPadOS, используйте Apple Configurator на компьютере Mac.
PSK требуется строка из 64 шестнадцатеричных цифр или парольная фраза из 8–63 печатных символов ASCII. Некоторые символы, например звездочка (*), не поддерживаются.
Тип профиля: выберите Пользовательский. Либо выберите элементы Шаблоны>Пользовательский.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Android-Custom Wi-Fi profile.
Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации нажмите Добавить. Введите новый параметр OMA-URI со следующими свойствами:
Имя: введите имя параметра OMA-URI.
Описание: введите описание параметра OMA-URI. Этот параметр является необязательным, но мы рекомендуем его использовать.
OMA-URI: введите один из следующих параметров:
Для Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
Для Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
Примечание
Обязательно включите символ точки в начале значения OMA-URI.
Если идентификатор SSID содержит пробел, добавьте escape-пробел %20.
SSID (идентификатор набора служб) — это имя Wi-Fi сети, для чего создается политика. Например, если Wi-Fi имеет имя Hotspot-1, введите ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Если Wi-Fi имеет имя Contoso WiFi, введите ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (с escape-символом %20).
Тип данных: выберите Строка.
Значение: вставьте XML-код. См. примеры в этой статье. Обновите каждое значение в соответствии с параметрами сети. Некоторые сведения содержатся в разделе комментариев кода.
Нажмите кнопку Добавить, чтобы сохранить изменения.
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.
Нажмите кнопку Далее.
В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Примечание
Эту политику можно назначить только для групп пользователей.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Политика применяется при каждой следующей регистрации устройства, и на нем создается профиль Wi-Fi. Устройство сможет автоматически подключиться к сети.
Пример профиля Wi-Fi для Android или Windows
В следующем примере приведен XML-код профиля Wi-Fi для Android или Windows. В примере показан правильный формат и предоставлены дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.
Что необходимо знать
Для <protected>false</protected> нужно задать значение false. Если значение равно true, это может привести к тому, что устройство ожидает зашифрованный пароль, а затем попытается расшифровать его. что может привести к сбою подключения.
<hex>53534944</hex> должно быть присвоено шестнадцатеричное значение <name><SSID of wifi profile></name>. устройства Windows 10/11 могут возвращать ложную x87D1FDE8 Remediation failed ошибку, но устройство по-прежнему содержит профиль.
XML содержит специальные символы, такие как & (амперсанд). Использование специальных символов может предотвратить работу XML должным образом.
Пример
<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name><Name of wifi profile></name>
<SSIDConfig>
<SSID>
<hex>53534944</hex>
<name><SSID of wifi profile></name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication><Type of authentication></authentication>
<encryption><Type of encryption></encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>password</keyMaterial>
</sharedKey>
<keyIndex>0</keyIndex>
</security>
</MSM>
</WLANProfile>
Пример профиля Wi-Fi на основе EAP
В следующем примере приведен XML-код для профиля Wi-Fi на основе EAP. В примере показан правильный формат и приводятся дополнительные сведения. Этот пример не предназначен для использования в качестве рекомендуемой конфигурации для вашей среды.
Создание XML-файла из существующего подключения Wi-Fi
Можно также создать XML-файл из существующего подключения Wi-Fi. На компьютере с Windows выполните следующие действия:
Создайте локальную папку для экспортированных профилей Wi-Fi, например c:\WiFi.
Откройте командную строку от имени администратора (щелкните правой кнопкой мыши cmd>Запуск от имени администратора).
Запустите netsh wlan show profiles. Названия всех профилей перечислены.
Запустите netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Эта команда создает файл с именем Wi-Fi-YourProfileName.xml в c:\Wifi.
Если вы экспортируете профиль Wi-Fi, содержащий предварительный ключ, добавьте key=clear в команду . Параметр key=clear экспортирует ключ в виде обычного текста, который необходим для успешного использования профиля:
Если экспортируемый элемент профиля <name></name> Wi-Fi содержит пробел, при назначении он может вернуть ошибку ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) . В таком случае профиль отображается в \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces как известная сеть. Но он не отображается как управляемая политика в URI "Области, управляемые …".
Чтобы устранить эту проблему, удалите пробел.
После создания XML-файла скопируйте и вставьте синтаксис XML в параметры > OMA-URI Тип данных.
Создание пользовательского профиля (в этой статье) перечисляются шаги.
Совет
\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} также включает все профили в формате XML.
Рекомендации
Прежде чем развертывать профиль Wi-Fi с использованием PSK, убедитесь, что устройство может напрямую подключиться к конечной точке.
При смене ключей (паролей или парольных фраз) возможны простои. Учитывайте это при развертываниях. Вы должны:
Убедитесь, что устройства имеют альтернативное подключение к Интернету.
Например, конечный пользователь может переключиться обратно на гостевой WiFi (или другую сеть WiFi) или подключиться к Intune по сотовой сети. Дополнительное подключение позволяет пользователю получать обновления политики при обновлении корпоративного Wi-Fi профиля на устройстве.
Отправка новых профилей Wi-Fi в нерабочее время.
Предупреждайте пользователей о том, что подключение может быть затронуто.
Планирование и выполнение стратегии развертывания конечных точек с помощью основных элементов современного управления, совместного управления и интеграции Microsoft Intune.