Добавление параметров Wi-Fi для устройств Windows 10/11 в Intune

  • Статья

Примечание.

Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Дополнительные сведения см. в разделе Каталог параметров.

Вы можете создать профиль с определенными параметрами Wi-Fi. Затем разверните этот профиль на клиентских устройствах Windows. Microsoft Intune предлагает множество функций, включая проверку подлинности в сети, использование предварительно общего ключа и многое другое.

В этой статье описаны некоторые из этих параметров.

Подготовка к работе

Создайте профиль конфигурации устройства Windows 10/11 Wi-Fi.

В этих параметрах используется поставщик служб CSP Wi-Fi.

Базовый профиль

Базовые или личные профили используют WPA/WPA2 для защиты Wi-Fi подключения на устройствах. Как правило, WPA/WPA2 используется в домашних или персональных сетях. Вы также можете добавить предварительно общий ключ для проверки подлинности подключения.

  • Тип Wi-Fi: выберите Базовый.

  • Wi-Fi name (SSID): сокращение от идентификатора набора служб. Это значение является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят имя подключения , настроенного только при выборе подключения.

  • Имя подключения. Введите понятное имя для этого Wi-Fi подключения. Вводимый текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите ContosoWiFi.

  • Автоматическое подключение, когда в диапазоне. Если да, устройства подключаются автоматически, когда они в диапазоне этой сети. Если нет, устройства не подключаются автоматически.

    • Подключение к более предпочтительной сети, если доступно. Если устройства находятся в диапазоне более предпочтительной сети, выберите Да , чтобы использовать предпочтительную сеть. Выберите Нет , чтобы использовать сеть Wi-Fi в этом профиле конфигурации.

      Например, вы создаете ContosoCorp Wi-Fi сети и используете ContosoCorp в этом профиле конфигурации. У вас также есть сеть ContosoGuest Wi-Fi в пределах диапазона. Если корпоративные устройства находятся в пределах диапазона, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом сценарии задайте для свойства Connect to more preferred network if available (Подключиться к более предпочтительной сети, если доступно ) значение Нет.

    • Подключитесь к этой сети, даже если она не транслирует свой SSID. Выберите Да , чтобы автоматически подключиться к сети, даже если сеть скрыта. Это означает, что идентификатор набора служб (SSID) не является общедоступным. Выберите Нет , если вы не хотите, чтобы этот профиль конфигурации подключалось к скрытой сети.

  • Лимитное число подключений. Администратор может выбрать, как измеряется трафик сети. Затем приложения могут настроить поведение сетевого трафика на основе этого параметра. Доступны следующие параметры:

    • Без ограничений: по умолчанию. Подключение не измеряется, и нет ограничений на трафик.
    • Исправлено. Используйте этот параметр, если сеть настроена с фиксированным ограничением сетевого трафика. После достижения этого ограничения доступ к сети будет запрещен.
    • Переменная. Этот параметр используется, если сетевой трафик взимается за байт (стоимость за байт).

  • Тип безопасности беспроводной сети. Введите протокол безопасности, используемый для проверки подлинности устройств в сети. Доступны следующие параметры:

    • Открыть (без проверки подлинности): используйте этот параметр только в том случае, если сеть не защищена.

    • WPA/WPA2-Personal: более безопасный вариант, который обычно используется для Wi-Fi подключения. Для большей безопасности можно также ввести пароль или сетевой ключ с предварительным общим доступом.

      • Предварительный общий ключ (PSK): необязательный. Отображается при выборе wpa/WPA2-Personal в качестве типа безопасности. Когда сеть вашей организации установлена ​​или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK. Введите строку ASCII длиной от 8 до 63 символов или используйте 64 шестнадцатеричных символа.

        Важно!

        PSK одинаков для всех устройств, на которые предназначен профиль. Если ключ скомпрометирован, его может использовать любое устройство для подключения к Wi-Fi сети. Обеспечьте безопасность своих psks, чтобы избежать несанкционированного доступа.

  • Параметры прокси-сервера компании. Выберите, чтобы использовать параметры прокси-сервера в организации. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Настройка вручную: введите IP-адрес прокси-сервера и его номер порта.

    • Автоматическая настройка. Введите URL-адрес, указывающий на скрипт автоматической настройки прокси-сервера (PAC). Например, введите http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывается сайт, отличный от Майкрософт).

Корпоративный профиль

Профили предприятия используют расширяемый протокол проверки подлинности (EAP) для проверки подлинности Wi-Fi подключений. EAP часто используется предприятиями, так как для проверки подлинности и защиты подключений можно использовать сертификаты. И настройте дополнительные параметры безопасности.

  • Тип Wi-Fi: выберите Корпоративный.

  • Wi-Fi name (SSID): сокращение от идентификатора набора служб. Это значение является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят имя подключения , настроенного только при выборе подключения.

  • Имя подключения. Введите понятное имя для этого Wi-Fi подключения. Вводимый текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите ContosoWiFi.

  • Автоматическое подключение, когда в диапазоне. Если да, устройства подключаются автоматически, когда они в диапазоне этой сети. Если нет, устройства не подключаются автоматически.

    • Подключение к более предпочтительной сети, если доступно. Если устройства находятся в диапазоне более предпочтительной сети, выберите Да , чтобы использовать предпочтительную сеть. Выберите Нет , чтобы использовать сеть Wi-Fi в этом профиле конфигурации.

      Например, вы создаете ContosoCorp Wi-Fi сети и используете ContosoCorp в этом профиле конфигурации. У вас также есть сеть ContosoGuest Wi-Fi в пределах диапазона. Если корпоративные устройства находятся в пределах диапазона, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом сценарии задайте для свойства Connect to more preferred network if available (Подключиться к более предпочтительной сети, если доступно ) значение Нет.

  • Подключитесь к этой сети, даже если она не транслирует свой SSID. Выберите Да , чтобы профиль конфигурации автоматически подключается к сети, даже если сеть скрыта (это означает, что ее SSID не транслируется публично). Выберите Нет , если вы не хотите, чтобы этот профиль конфигурации подключалось к скрытой сети.

  • Лимитное число подключений. Администратор может выбрать, как измеряется трафик сети. Затем приложения могут настроить поведение сетевого трафика на основе этого параметра. Доступны следующие параметры:

    • Без ограничений: по умолчанию. Подключение не измеряется, и нет ограничений на трафик.
    • Исправлено. Используйте этот параметр, если сеть настроена с фиксированным ограничением сетевого трафика. После достижения этого ограничения доступ к сети будет запрещен.
    • Переменная. Используйте этот параметр, если стоимость сетевого трафика составляет байт.

  • Режим проверки подлинности. Выберите способ проверки подлинности профиля Wi-Fi на сервере Wi-Fi. Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию используется проверка подлинности пользователя или компьютера .
    • Пользователь. Учетная запись пользователя, вошедшего в устройство, проходит проверку подлинности в Wi-Fi сети.
    • Компьютер: учетные данные устройства проходят проверку подлинности в Wi-Fi сети.
    • Пользователь или компьютер. При входе пользователя в устройство учетные данные пользователя проходят проверку подлинности в Wi-Fi сети. Если пользователи не вошли в систему, учетные данные устройства проходят проверку подлинности.
    • Гость: с сетью Wi-Fi не связаны учетные данные. Проверка подлинности открыта или обрабатывается извне, например через веб-страницу.

  • Запомнить учетные данные при каждом входе. Выберите кэшировать учетные данные пользователя или если пользователи должны вводить их каждый раз при подключении к Wi-Fi. Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может включить эту функцию и кэшировать учетные данные.
    • Включить. Кэширует учетные данные пользователей при вводе при первом подключении пользователей к сети Wi-Fi. Кэшированные учетные данные используются для будущих подключений, и пользователям не нужно повторно входить в них.
    • Отключить. Учетные данные пользователя не запоминаются и не кэшируются. При подключении к Wi-Fi пользователи должны каждый раз вводить свои учетные данные.

  • Период проверки подлинности. Введите число секунд, в течение которых устройства должны ожидать после попытки проверки подлинности( от 1 до 3600). Если устройство не подключается во время ввода, проверка подлинности завершается ошибкой. Если оставить это значение пустым или пустым, 18 будут использоваться секунды.

  • Период задержки повторных попыток проверки подлинности. Введите количество секунд между неудачной попыткой проверки подлинности и следующей попыткой проверки подлинности от 1 до 3600. Если оставить это значение пустым или пустым, 1 используется значение second.

  • Начальный период. Введите число секунд ожидания перед отправкой сообщения EAPOL-Start от 1 до 3600. Если оставить это значение пустым или пустым, 5 будут использоваться секунды.

  • Максимальное число сообщений eapol-start. Введите количество EAPOL-Start сообщений от 1 до 100. Если оставить это значение пустым или пустым, будет отправлено максимум 3 сообщений.

  • Максимальное число ошибок проверки подлинности. Введите максимальное число ошибок проверки подлинности для этого набора учетных данных для проверки подлинности( от 1 до 100). Если оставить это значение пустым или пустым, 1 используется попытка.

  • Единый вход. Позволяет настроить единый вход( SSO), при котором учетные данные используются совместно для компьютера и Wi-Fi сетевого входа. Доступны следующие параметры:

    • Отключить. Отключает поведение единого входа. Пользователь должен пройти проверку подлинности в сети отдельно.
    • Включить перед входом пользователя на устройство. Используйте единый вход для проверки подлинности в сети непосредственно перед входом пользователя.
    • Включить после входа пользователя на устройство. Используйте единый вход для проверки подлинности в сети сразу после завершения процесса входа пользователя.
    • Максимальное время проверки подлинности до истечения времени ожидания. Введите максимальное число секунд ожидания перед проверкой подлинности в сети от 1 до 120 секунд.
    • Разрешить Windows запрашивать у пользователя дополнительные учетные данные проверки подлинности. Да позволяет системе Windows запрашивать у пользователя дополнительные учетные данные, если это требуется методом проверки подлинности. Выберите Нет , чтобы скрыть эти запросы.

  • Включить кэширование попарного ключа master (PMK). Выберите Да, чтобы кэшировать PMK, используемый при проверке подлинности. Это кэширование обычно позволяет быстрее выполнить проверку подлинности в сети. Выберите Нет , чтобы принудить подтверждение проверки подлинности при подключении к сети Wi-Fi каждый раз.

    • Максимальное время хранения PMK в кэше. Введите количество минут, в течение которых в кэше хранится попарный ключ master (PMK), от 5 до 1440 минут.
    • Максимальное число пакетов PMK, хранящихся в кэше: введите количество ключей, хранящихся в кэше, от 1 до 255.
    • Включить предварительную проверку подлинности. Предварительная проверка подлинности позволяет профилю проходить проверку подлинности во всех точках доступа для сети в профиле перед подключением. При перемещении между точками доступа предварительная проверка подлинности быстрее подключает пользователя или устройства. Выберите Да , чтобы профиль прошел проверку подлинности во всех точках доступа для этой сети, находящихся в пределах диапазона. Выберите Нет , чтобы требовать от пользователя или устройства проходить проверку подлинности в каждой точке доступа отдельно.
    • Максимальное число попыток предварительной проверки подлинности. Введите число попыток предварительной проверки подлинности от 1 до 16.

  • Тип EAP. Выберите тип Протокола расширенной проверки подлинности (EAP) для проверки подлинности защищенных беспроводных подключений. Доступны следующие параметры:

    • EAP-SIM

    • EAP-TLS: также введите:

      • Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.

      • Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
        • Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.
        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

    • EAP-TTLS: также введите:

      • Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.

      • Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в Wi-Fi сети.

            Возможные варианты: незашифрованный пароль (PAP),подтверждение вызова (CHAP),Microsoft CHAP (MS-CHAP) и Microsoft CHAP версии 2 (MS-CHAP v2)

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

    • Защищенный EAP (PEAP): также введите:

      • Имена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой Wi-Fi сети.

      • Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Выполнение проверки сервера. Если задано значение Да, на этапе согласования PEAP 1 устройства проверяют сертификат и сервер. Выберите Нет , чтобы заблокировать или запретить эту проверку. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

        Если выбрать да, также настройте следующие параметры:

        • Отключить запросы пользователей на проверку сервера. Если задано значение Да, на этапе согласования PEAP 1 запросы пользователей с просьбой авторизовать новые серверы PEAP для доверенных центров сертификации не отображаются. Выберите Нет , чтобы отобразить запросы. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

      • Требовать криптографическую привязку. Значение Да предотвращает подключения к серверам PEAP, которые не используют шифрование во время согласования PEAP. Нет не требует шифрования. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Этот текст может быть любым значением. Во время проверки подлинности сначала отправляется это анонимное удостоверение, а затем в защищенном туннеле отправляется реальная идентификация.

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

  • Параметры прокси-сервера компании. Выберите, чтобы использовать параметры прокси-сервера в организации. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Настройка вручную: введите IP-адрес прокси-сервера и его номер порта.

    • Автоматическая настройка. Введите URL-адрес, указывающий на скрипт автоматической настройки прокси-сервера (PAC). Например, введите http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывается сайт, отличный от Майкрософт).

  • Принудительное соответствие профиля Wi-Fi требованиям Федерального стандарта обработки информации (FIPS). Выберите Да при проверке по стандарту FIPS 140-2. Этот стандарт необходим для всех федеральных государственных учреждений США, которые используют системы безопасности на основе шифрования для защиты конфиденциальной, но несекретной информации, хранящейся в цифровом виде. Выберите Нет , чтобы не соответствовать FIPS.

Использование импортированного файла параметров

Для любых параметров, недоступных в Intune, можно экспортировать Wi-Fi параметры с другого устройства Windows. При этом создается XML-файл со всеми параметрами. Затем импортируйте этот файл в Intune и используйте его в качестве профиля Wi-Fi. См . раздел Экспорт и импорт параметров Wi-Fi для устройств Windows.

Дальнейшие действия

Профиль создан, но пока он может не выполнять никаких действий. Не забудьте назначить профиль и отслеживать его состояние.

Общие сведения о параметрах Wi-Fi, включая другие платформы

Дополнительные ресурсы

Расширяемый протокол проверки подлинности (EAP) для доступа к сети