Включение проверки подлинности по стандарту безопасности 802.1X в проводной сети
Обновление от 14 ноября 2017 г. до Windows 10 (сборка 15063.726) с поддержкой политики проводной проверки подлинности 802.1x на устройствах Surface Hub. Этот компонент позволяет организациям усилить стандартизированную проверку подлинности по проводной сети с помощью протокола проверки подлинности IEEE 802.1 x. Он уже был доступен для беспроводной проверки подлинности с помощью профилей WLAN через MDM или пакет подготовки. В этом разделе объясняется, как настроить Surface Hub для использования с проводной проверкой подлинности.
Принудительное применение и включение проводной проверки подлинности 802.1x на Surface Hub можно выполнить с помощью профилей MDM OMA-URI или пакета подготовки.
Основной конфигурацией, которую следует задать, является политика LanProfile. В зависимости от выбранного способа проверки подлинности могут потребоваться другие политики: политика EapUserData или политики MDM для добавления сертификатов компьютеров или пользователей (например, ClientCertificateInstall для сертификатов пользователей/устройств или RootCATrustedCertificates для сертификатов устройств).
Элемент политики LanProfile
Чтобы настроить Surface Hub для использования одного из поддерживаемых способов проверки подлинности по стандарту безопасности 802.1x, используйте следующий OMA-URI.
./Vendor/MSFT/SurfaceHub/Dot3/LanProfile
Этот узел OMA-URI принимает текстовую строку XML-файла в качестве параметра. XML-файл, предоставляемый в качестве параметра, должен соответствовать схеме профиля проводной сети LAN, включая элементы из схемы 802.1X.
В большинстве случаев администратор или пользователь может экспортировать XML-файл элемента LanProfile из имеющегося компьютера, который уже настроен в сети для стандарта безопасности 802.1X с помощью следующей команды NETSH.
netsh lan export profile folder=.
Выполнение этой команды дает следующие выходные данные и помещает файл с именемEthernet.xml в текущий каталог.
Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.
Чтобы полностью отключить 802.1x на Surface Hub, можно использовать пакет подготовки , чтобы задать для узла SurfaceHub\Dot3\LanProfile следующий xml-файл:
<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
<MSM>
<security>
<OneXEnforced>false</OneXEnforced>
<OneXEnabled>false</OneXEnabled>
</security>
</MSM>
</LANProfile>
Элемент политики EapUserData
Если для выбранного способа проверки подлинности необходимо использовать имя пользователя и пароль вместо сертификата, можно использовать элемент EapUserData, чтобы задать учетные данные, которые устройство будет применять для выполнения проверки подлинности в сети.
./Vendor/MSFT/SurfaceHub/Dot3/EapUserData
Этот узел OMA-URI принимает текстовую строку XML-файла в качестве параметра. XML-файл, предоставляемый в качестве параметра, должен соответствовать примеру свойств пользователя MS-CHAPv2 PEAP. В этом примере необходимо заменить все экземпляры test и ias-domain своими данными.
Добавление сертификатов
Если выбранный метод проверки подлинности основан на сертификате, необходимо создать пакет подготовки, использовать MDM или импортировать сертификат из параметров (Параметры>обновления и сертификаты безопасности>), чтобы развернуть эти сертификаты на устройстве Surface Hub в соответствующем хранилище сертификатов. При добавлении сертификатов каждый PFX-файл должен содержать только один сертификат (PFX не может иметь несколько сертификатов).