启用 802.1x 有线身份验证

• 适用于:

  Surface Hub, Surface Hub 2S

2017 年 11 月 14 日对 Windows 10 (内部版本 15063.726 的更新) 在 Surface Hub 设备上启用了 802.1x 有线身份验证策略配置。 该功能允许组织使用 IEEE 802.1x 身份验证协议 强制执行标准化有线网络身份验证。 此功能已可用于通过 MDM 或预配包使用 WLAN 配置文件 进行无线身份验证。 本主题说明如何配置 Surface Hub 以用于有线身份验证。

可以通过 MDM OMA-URI 配置文件 或预配包在 Surface Hub 上强制实施和启用 802.1x 有线身份验证。

主要配置设置为 LanProfile 策略。 根据所选的身份验证方法，可能需要其他策略，EapUserData 策略，或通过用于添加用户或计算证书的 MDM 策略（例如用户用户/设备证书的 ClientCertificateInstall 或用于设备证书的 RootCATrustedCertificates）。

LanProfile 策略元素

若要将 Surface Hub 配置为使用受支持的 802.1x 身份验证方法之一，请使用以下 OMA URI。

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

此 OMA-URI 节点采用 XML 文本字符串作为参数。 作为参数提供的 XML 应符合包括 802.1X 架构中的元素的有线 LAN 配置文件架构。

在大多数情况下，管理员或用户可以使用以下 NETSH 命令，从已在网络上针对 802.1X 配置的现有电脑中导出 LanProfile XML。

netsh lan export profile folder=.

运行此命令会提供以下输出，并将标题为 Ethernet.xml 的文件放在当前目录中。

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

若要在 Surface Hub 上完全禁用 802.1x，可以使用 预配包 将 SurfaceHub\Dot3\LanProfile 节点设置为以下 xml：

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

EapUserData 策略元素

如果所选的身份验证方法需要用户名和密码而不是证书，则可以使用 EapUserData 元素指定供设备用于身份验证到网络的凭据。

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

此 OMA-URI 节点采用 XML 文本字符串作为参数。 作为参数提供的 XML 应符合 PEAP MS-CHAPv2 用户属性示例。 在此示例中，需要将 test 和 ias-domain 的所有实例替换为你的信息。

添加证书

如果所选身份验证方法基于证书，则需要 创建预配包、 使用 MDM 或从设置 (更新>和安全>证书) 导入证书，以将这些证书部署到相应证书存储中的 Surface Hub 设备。 添加证书时，每个 PFX 必须仅包含一个证书， (PFX 不能) 具有多个证书。