Dela via


Använda en anpassad enhetsprofil för att skapa en WiFi-profil med en i förväg delad nyckel med hjälp av Intune

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

I förväg delade nycklar (PSK) används vanligtvis för att autentisera användare i WiFi-nätverk eller trådlösa nätverk. Med Intune kan du skapa en konfigurationsprincip för WiFi-enheter med hjälp av en i förväg delad nyckel.

Skapa profilen med funktionen för anpassade enhetsprofiler i Intune.

Den här funktionen gäller för:

  • Android-enhetsadministratör
  • Android Enterprise-enheter med en personligt ägd arbetsprofil
  • Windows
  • EAP-baserad Wi-Fi

Du lägger till Wi-Fi- och PSK-information i en XML-fil. Sedan lägger du till XML-filen i en anpassad enhetskonfigurationsprincip i Intune. När principen är klar tilldelar du principen till dina enheter. Nästa gång enheten checkar in tillämpas principen och en Wi-Fi profil skapas på enheten.

Den här artikeln visar hur du skapar principen i Intune och innehåller ett XML-exempel på en EAP-baserad Wi-Fi princip.

Viktigt

  • Om du använder en i förväg delad nyckel med Windows 10/11 visas ett reparationsfel i Intune. När detta inträffar tilldelas Wi-Fi profilen korrekt till enheten och profilen fungerar som förväntat.
  • Om du exporterar en trådlös nätverksprofil som innehåller en i förväg delad nyckel, måste filen vara skyddad. Nyckeln är i oformaterad text. Det är ditt ansvar att skydda nyckeln.

Förhandskrav

Innan du börjar

  • Det kan vara enklare att kopiera XML-syntaxen från en dator som ansluter till nätverket, enligt beskrivningen i Skapa XML-filen från en befintlig Wi-Fi anslutning (i den här artikeln).
  • Du kan lägga till flera nätverk och nycklar genom att lägga till fler OMA-URI-inställningar.
  • För iOS/iPadOS konfigurerar du profilen med Apple Configurator på en Mac-dator.
  • PSK kräver en sträng med 64 hexadecimala siffror eller en lösenfras med 8 till 63 utskrivbara ASCII-tecken. Vissa tecken, till exempel asterisk (*), stöds inte.

Skapa en anpassad profil

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj plattform.
    • Profiltyp: Välj Anpassad. Eller välj Mallar>Anpassad.
  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel Android-Custom Wi-Fi profil.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. Gå till Konfigurationsinställningar och välj Lägg till. Lägg till en ny OMA-URI-inställning med följande egenskaper:

    1. Namn: Ange ett namn för OMA-URI-inställningen.

    2. Beskrivning: Ange en beskrivning för OMA-URI-inställningen. Denna inställning är valfri, men rekommenderas.

    3. OMA-URI:Ange något av följande alternativ:

      • För Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • För Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Obs!

      • Se till att inkludera periodtecknet i början av OMA-URI-värdet.
      • Om SSID har ett blanksteg lägger du till ett esc-blanksteg %20.

      SSID (Service Set Identifier) är ditt Wi-Fi nätverksnamn som du skapar principen för. Om Wi-Fi till exempel heter Hotspot-1 anger du ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Om Wi-Fi namnet anger Contoso WiFi du ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (med %20 esc-blanksteget).

    4. Datatyp:Välj Sträng.

    5. Värde: Klistra in XML-koden. Se exemplen i den här artikeln. Uppdatera varje värde så att det matchar dina nätverksinställningar. I avsnittet med kommentarer om koden finns tips.

    6. Välj Lägg till för att spara dina ändringar.

  8. Välj Nästa.

  9. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT.

    Välj Nästa.

  10. Under Tilldelningar väljer du de användare eller den användargrupp som ska få din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

    Obs!

    Den här principen kan bara tilldelas till användargrupper.

    Välj Nästa.

  11. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Nästa gång varje enhet checkar in tillämpas principen och en Wi-Fi-profil skapas på enheten. Enheten kan därefter ansluta till nätverket automatiskt.

Exempel på Wi-Fi-profil för Android eller Windows

Följande exempel på XML-koden för en Wi-Fi-profil för Android eller Windows. Exemplet tillhandahålls för att visa rätt format och ge mer information. Det är bara ett exempel och är inte avsett som en rekommenderad konfiguration för din miljö.

Vad du behöver veta

  • <protected>false</protected> måste vara inställt på falskt. När det är sant kan det orsaka att enheten förväntar sig ett krypterat lösenord och sedan försöka dekryptera det. vilket kan resultera i en misslyckad anslutning.

  • <hex>53534944</hex> bör vara inställt på det hexadecimala värdet <name><SSID of wifi profile></name>. Windows 10/11-enheter kan returnera ett falskt x87D1FDE8 Remediation failed fel, men enheten innehåller fortfarande profilen.

  • XML innehåller specialtecken, till exempel & (et-tecken). Om du använder specialtecken kan xml-koden inte fungera som förväntat.

Exempel

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Exempel på EAP-baserad Wi-Fi-profil

I följande exempel ingår XML-koden för en EAP-baserad Wi-Fi profil. Exemplet visar rätt format och innehåller mer information. Det är bara ett exempel och är inte avsett som en rekommenderad konfiguration för din miljö.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Skapa XML-filen utifrån en befintlig Wi-Fi-anslutning

Du kan också skapa en XML-fil utifrån en befintlig Wi-Fi-anslutning. Använd följande steg på en Windows-dator:

  1. Skapa en lokal mapp för de exporterade Wi-Fi-profilerna, till exempel c:\WiFi.

  2. Öppna en kommandotolk som administratör (Högerklicka på cmd>Kör som administratör).

  3. Kör netsh wlan show profiles. Namnen på alla profilerna visas i listan.

  4. Kör netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Det här kommandot skapar en fil med namnet Wi-Fi-YourProfileName.xml i c:\Wifi.

    • Om du exporterar en Wi-Fi profil som innehåller en i förväg delad nyckel lägger du till key=clear i kommandot . Parametern key=clear exporterar nyckeln i oformaterad text, vilket krävs för att profilen ska kunna användas:

      netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

    • Om det exporterade Wi-Fi profilelementet <name></name> innehåller ett blanksteg kan det returnera ett ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) fel när det tilldelas. När det här problemet inträffar visas profilen i \ProgramData\Microsoft\Wlansvc\Profiles\Interfacesoch visas som ett känt nätverk. Men det visas inte som hanterad princip i "Områden som hanteras av ..." URI.

      Lös problemet genom att ta bort utrymmet.

När du har XML-filen kopierar och klistrar du in XML-syntaxen i OMA-URI-inställningarna >Datatyp. Skapa en anpassad profil (i den här artikeln) visar stegen.

Tips

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} innehåller även alla profiler i XML-format.

Metodtips

  • Innan du distribuerar en Wi-Fi-profil med PSK måste du kontrollera att enheten kan ansluta till slutpunkten direkt.

  • När du roterar nycklar (lösenord eller lösenfraser) ska du beräkna driftstopp och planera distributioner. Du bör:

    • Bekräfta att enheterna har en alternativ anslutning till Internet.

      Slutanvändaren måste till exempel kunna växla tillbaka till gäst-WiFi (eller något annat WiFi-nätverk) eller ha mobilanslutning för att kommunicera med Intune. Med den extra anslutningen kan användaren ta emot principuppdateringar när företagets Wi-Fi profil uppdateras på enheten.

    • Push-överför nya Wi-Fi profiler under arbetstid.

    • Varna användarna om att anslutningen kan påverkas.

Resurser

Se till att du tilldelar profilen och övervakar dess status.