在 Microsoft Intune 中为 Android 企业版专用且完全托管的设备添加 Wi-Fi 设置

可以创建具有特定 Wi-Fi 设置的配置文件,然后将此配置文件部署到 Android Enterprise 完全托管的专用设备。 Microsoft Intune 提供了许多功能,包括向网络进行身份验证、使用预共享密钥等。

此功能适用于:

  • Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
  • Android Enterprise 公司拥有的工作配置文件 (COPE)
  • Android Enterprise 公司拥有的完全托管 (COBO)
  • Android Enterprise 公司拥有的专用设备 (COSU)

本文介绍这些设置。 在设备上使用 Wi-Fi 包括有关 Microsoft Intune 中的 Wi-Fi 功能的详细信息。

开始之前

创建 Android Enterprise Wi-Fi 设备配置文件

  • 完全托管、专用和公司拥有的工作配置文件
  • 个人拥有的工作配置文件

完全托管、专用和 Corporate-Owned 工作配置文件

如果要部署到 Android Enterprise 专用、公司拥有的工作配置文件或完全托管的设备,请选择此选项。

基本

  • Wi-Fi 类型:选择“ 基本”。

  • 网络名称:输入此 Wi-Fi 连接的名称。 最终用户在浏览其设备以查找可用的 Wi-Fi 连接时,会看到此名称。 例如,输入 Contoso WiFi

  • SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称

    重要

    • 不能将具有相同 SSID 的两个 Wi-Fi 配置文件定向到同一设备。 因此,请确保任何新的 Wi-Fi 配置文件使用不同的 SSID。
    • 如果计划更改 Wi-Fi 配置文件的“受信任的根证书”,请在更改证书之前确保设备连接到另一个 Internet 连接。 备份 Internet 连接允许分配具有更新证书的 Wi-Fi 配置文件。 在将来的更新中, (没有 ETA) ,Intune 将在 Wi-Fi 配置文件中支持多个受信任的根证书。 然后,不需要第二个 Internet 连接。
  • 自动连接启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。

    当设备连接到另一个首选 Wi-Fi 连接时,它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接,请断开设备与任何现有 Wi-Fi 连接的连接。

  • 隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。

  • Wi-Fi 类型:选择要向 Wi-Fi 网络进行身份验证的安全协议。 选项包括:

    • 打开 (无身份验证) :仅当网络不安全时,才使用此选项。

    • WEP 预共享密钥:在 预共享密钥中输入密码。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。

      警告

      在 Android 12 及更高版本上,Google 弃用了对 Wi-Fi 配置文件中 (PSK) WEP 预共享密钥的支持。 WEP 可能仍然有效。 但是,不建议这样做,并且被视为已过时。 相反,请在 Wi-Fi 配置文件中使用 WPA 预共享密钥 (PSK) 。

      有关详细信息,请转到 Android 开发人员参考 - WifiConfiguration.GroupCipher

    • WPA 预共享密钥:在 预共享密钥中输入密码。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。

  • 代理设置:选择代理配置。 选项包括:

    • :未配置代理设置。

    • 手动:手动配置代理设置:

      • 代理服务器地址:输入代理服务器的 IP 地址。 例如,输入 10.0.0.22

      • 端口号:输入代理服务器的端口号。 例如,输入 8080

      • 排除列表:输入不使用代理的主机名或 IP 地址。 可以使用 * 通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址,它们必须位于单独的行中。 例如,可以输入:

        *.contoso.com
        test.contoso1.com
        mysite.contoso2.com
        10.0.0.5
        10.0.0.6
        
    • 自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

  • MAC 地址随机化:根据需要使用随机 MAC 地址,例如用于网络访问控制 (NAC) 支持。 用户可以更改此设置。

    选项包括:

    • 使用设备默认值:Intune 不会更改或更新此设置。 默认情况下,当设备连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。

    • 使用随机 MAC:在设备上启用 MAC 地址随机化。 当设备连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用随机 MAC ”。

    • 使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 使用此设置时,设备的 MAC 地址将跟踪。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用设备 MAC ”。

    此功能适用于:

    • Android 13 及更高版本

企业版

  • Wi-Fi 类型:选择 “企业”。

  • SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称

    重要

    • 不能将具有相同 SSID 的两个 Wi-Fi 配置文件定向到同一设备。 因此,请确保任何新的 Wi-Fi 配置文件使用不同的 SSID。
    • 如果计划更改 Wi-Fi 配置文件的“受信任的根证书”,请在更改证书之前确保设备连接到另一个 Internet 连接。 备份 Internet 连接允许分配具有更新证书的 Wi-Fi 配置文件。 在将来的更新中, (没有 ETA) ,Intune 将在 Wi-Fi 配置文件中支持多个受信任的根证书。 然后,不需要第二个 Internet 连接。
  • 自动连接启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。

    当设备连接到另一个首选 Wi-Fi 连接时,它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接,请断开设备与任何现有 Wi-Fi 连接的连接。

  • 隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。

  • EAP 类型:选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括:

    • EAP-TLS:为了进行身份验证,可扩展身份验证协议 (EAP) 传输层安全性 (TLS) 在服务器上使用数字证书,在客户端上使用数字证书。 这两个证书都由服务器和客户端信任的证书颁发机构 (CA) 签名。

      另输入:

      • Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入 Contoso.comuk.contoso.comjp.contoso.com

        如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入 contoso.com

        输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。

        • Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。

        • Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。

      • 用于服务器验证的根证书:选择现有的受信任的根证书配置文件。 当客户端连接到网络时,此证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

        注意

        根据 Android OS 版本和 Wi-Fi 身份验证基础结构,证书要求可能会有所不同。 可能需要从网络策略服务器 (NPS) 使用的证书中添加安全哈希算法 () (SHA) 。 或者,如果 Radius 或 NPS 服务器具有公开签名的证书,则验证可能不需要根证书。

        一个好的做法是输入 Radius 服务器名称 并添加 根证书进行服务器验证

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据
        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
      • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

    • EAP-TTLS:为了进行身份验证,可扩展身份验证协议 (EAP) 隧道传输层安全性 (TTLS) 在服务器上使用数字证书。 当客户端发出身份验证请求时,服务器使用隧道(安全连接)来完成身份验证请求。

      另输入:

      • Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入 Contoso.comuk.contoso.comjp.contoso.com

        如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入 contoso.com

        输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。

        • Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。

        • Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:

            • 未加密的密码 (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP 版本 2 (MS-CHAP v2)
        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

    • PEAP:受保护的可扩展身份验证协议 (PEAP) 使用受保护的隧道加密和进行身份验证。 另输入:

      • Radius 服务器名称:在对 Wi-Fi 接入点进行客户端身份验证期间,Radius Server 会提供证书。 输入此证书的 DNS 名称。 例如,输入 Contoso.comuk.contoso.comjp.contoso.com

        如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀,则只能输入后缀。 例如,可以输入 contoso.com

        输入此值时,用户设备可以绕过连接到 Wi-Fi 网络时显示的动态信任对话框。

        • Android 11 及更新版本:新的 Wi-Fi 配置文件可能需要配置此设置。 否则,设备可能无法连接到 Wi-Fi 网络。

        • Android 14 及更高版本:Google 不会将所有 Radius 服务器的总内容长度都低于 256 个字符或包含特殊字符。 如果多个 Radius 服务器在其完全限定的域名中具有相同的 DNS 后缀,则建议仅输入后缀。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 用于身份验证的非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:

            • Microsoft CHAP 版本 2 (MS-CHAP v2)
        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

  • 代理设置:选择代理配置。 选项包括:

    • :未配置代理设置。

    • 手动:手动配置代理设置:

      • 代理服务器地址:输入代理服务器的 IP 地址。 例如,输入 10.0.0.22

      • 端口号:输入代理服务器的端口号。 例如,输入 8080

      • 排除列表:输入不使用代理的主机名或 IP 地址。 可以使用 * 通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址,它们必须位于单独的行中。 例如,可以输入:

        *.contoso.com
        test.contoso1.com
        mysite.contoso2.com
        10.0.0.5
        10.0.0.6
        
    • 自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

      注意

      当设备在注册期间标记为公司 (组织拥有的) 时,策略会控制设备功能和设置。 可以阻止用户管理策略中的功能和设置。 将 Wi-Fi 策略分配给设备时,将启用 Wi-Fi,并且可能会阻止用户关闭 Wi-Fi。

  • MAC 地址随机化:根据需要使用随机 MAC 地址,例如用于网络访问控制 (NAC) 支持。 用户可以更改此设置。

    选项包括:

    • 使用设备默认值:Intune 不会更改或更新此设置。 默认情况下,当设备连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。

    • 使用随机 MAC:在设备上启用 MAC 地址随机化。 当设备连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用随机 MAC ”。

    • 使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 使用此设置时,设备的 MAC 地址将跟踪。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用设备 MAC ”。

    此功能适用于:

    • Android 13 及更高版本

个人拥有的工作配置文件

基本 (个人拥有的工作配置文件)

  • Wi-Fi 类型:选择“ 基本”。
  • SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称
  • 隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。

企业 (个人拥有的工作配置文件)

  • Wi-Fi 类型:选择 “企业”。

  • SSID:输入 服务集标识符,即设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置 的网络名称

  • 隐藏网络:选择 “启用” ,从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”,在设备上的可用网络列表中显示此网络。

  • EAP 类型:选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括:

    • EAP-TLS:另输入:

      • 证书服务器名称 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如,添加 mywirelessserver.contoso.commywirelessserver。 输入此信息时,可以绕过用户连接到此 Wi-Fi 网络时在设备上显示的动态信任窗口。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

      • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

    • EAP-TTLS:另输入:

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:

            • 未加密的密码 (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP 版本 2 (MS-CHAP v2)
        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

    • PEAP:另输入:

      • 用于服务器验证的根证书:选择现有的受信任的根证书配置文件。 当客户端连接到网络时,此证书将呈现给服务器,并对该连接进行身份验证。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 用于身份验证的非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。 选项包括:

            • Microsoft CHAP 版本 2 (MS-CHAP v2)
        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

  • 代理设置:选择代理配置。 选项包括:

    • :未配置代理设置。

    • 自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。