在 Microsoft Intune 中針對 Android Enterprise 專用與完全受控裝置新增 Wi-Fi 設定

  • 文章

您可以建立具有特定 Wi-Fi 設定的配置檔,然後將此配置檔部署到 Android Enterprise 完全受控且專用的裝置。 Microsoft Intune 提供許多功能,包括向您的網路進行驗證、使用預先共用密鑰等等。

本功能適用於:

  • Android Enterprise 個人擁有的裝置,其工作配置檔 (BYOD)
  • Android Enterprise 公司擁有的工作配置檔 (COPE)
  • Android Enterprise 公司擁有完全受控 (COBO)
  • Android Enterprise 公司擁有的專用裝置 (COSU)

本文說明這些設定。 在您的裝置上使用 Wi-Fi 包含有關 Microsoft Intune 中 Wi-Fi 功能的詳細資訊。

開始之前

建立 Android Enterprise Wi-Fi 裝置組態設定檔

  • 完全受控、專用和公司擁有的工作配置檔
  • 個人擁有的工作配置檔

完全受控、專用和 Corporate-Owned 工作配置檔

如果您要部署至 Android Enterprise 專用、公司擁有的工作配置檔或完全受控裝置,請選取此選項。

Basic

  • Wi-Fi 類型:選取 [基本]

  • 網路名稱:輸入此 Wi-Fi 連線的名稱。 用戶在流覽其裝置以取得可用的 Wi-Fi 連線時,會看到此名稱。 例如,輸入 Contoso WiFi

  • SSID:輸入 服務集標識符,這是裝置連線的無線網路實際名稱。 不過,使用者只有在選擇連線時,才會看到您設定的 網路名稱

  • 自動連線啟用 會在裝置範圍內時自動連線到您的 Wi-Fi 網路。 選 取 [停用 ] 以防止或封鎖此自動連線。

    當裝置連線到另一個慣用的 Wi-Fi 連線時,它們不會自動連線到此 Wi-Fi 網路。 如果裝置在啟用此設定時無法自動連線,則會中斷裝置與任何現有 Wi-Fi 連線的連線。

  • 隱藏網路:選 取 [啟用 ] 可從裝置上的可用網路清單中隱藏此網络。 不會廣播 SSID。 選 取 [停用 ] 以在裝置上的可用網路清單中顯示此網路。

  • Wi-Fi 類型:選取要向 Wi-Fi 網路驗證的安全性通訊協定。 選項包括:

    • 開啟 (沒有驗證) :只有在網路不安全時,才使用此選項。

    • WEP 預先共用金鑰:在 預先共用金鑰中輸入密碼。 設定組織的網路時,也會設定密碼或網路金鑰。 輸入此密碼或網路金鑰作為 PSK 值。

      警告

      在 Android 12 和更新版本上,Google 已淘汰在 Wi-Fi 組態配置檔中 (PSK) 的 WEP 預先共用密鑰支援。 WEP 可能仍可運作。 但不建議這麼做,而且會被視為已過時。 相反地,請在 Wi-Fi 組態配置檔中使用 WPA 預先共用密鑰 (PSK) 。

      如需詳細資訊,請移至 Android開發人員參考 - WifiConfiguration.GroupCipher

    • WPA 預先共用金鑰:在 預先共用金鑰中輸入密碼。 設定組織的網路時,也會設定密碼或網路金鑰。 輸入此密碼或網路金鑰作為 PSK 值。

  • Proxy 設定:選取 Proxy 組態。 選項包括:

    • :未設定 Proxy 設定。

    • 手動:手動設定 Proxy 設定:

      • Proxy 伺服器地址:輸入 Proxy 伺服器的 IP 位址。 例如,輸入 10.0.0.22

      • 埠號碼:輸入 Proxy 伺服器的埠號碼。 例如,輸入 8080

      • 排除清單:輸入不會使用 Proxy 的主機名或IP位址。 您可以使用 * 通配符,並輸入多個主機名和IP位址。 如果您輸入多個主機名或IP位址,它們必須位於另一行。 例如,您可以輸入:

        *.contoso.com
test.contoso1.com
mysite.contoso2.com
10.0.0.5
10.0.0.6

    • 自動:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL 。 例如,輸入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      如需 PAC 檔案的詳細資訊,請參閱 PROXY 自動設定 (PAC) 檔案 (開啟非 Microsoft 網站) 。

  • MAC 位址隨機化:視需要使用隨機 MAC 位址,例如針對網路存取控制 (NAC) 支援。 用戶可以變更此設定。

    選項包括:

    • 使用裝置預設值:Intune 不會變更或更新此設定。 根據預設,當裝置連線到網路時,裝置會呈現隨機 MAC 位址,而不是實體 MAC 位址。 用戶對設定所做的任何更新都會持續發生。

    • 使用隨機 MAC:在裝置上啟用 MAC 位址隨機化。 當裝置連線到新的網路時,裝置會呈現隨機 MAC 位址,而不是實體 MAC 位址。 如果使用者在裝置上變更此值,則會重設為在下一次 Intune 同步處理時 使用隨機 MAC

    • 使用裝置 MAC:強制裝置呈現其實際 Wi-Fi MAC 位址,而不是隨機 MAC 位址。 使用此設定時,裝置會依其 MAC 位址進行追蹤。 只有在必要時才使用此值,例如針對網路訪問控制 (NAC) 支援。 如果使用者變更其裝置上的此值,則會重設為在下一次 Intune 同步處理時 使用裝置 MAC

    本功能適用於:

    • Android 13 和更新版本

大型企業

  • Wi-Fi 類型:選取 [企業]

  • SSID:輸入 服務集標識符,這是裝置連線的無線網路實際名稱。 不過,使用者只有在選擇連線時,才會看到您設定的 網路名稱

  • 自動連線啟用 會在裝置範圍內時自動連線到您的 Wi-Fi 網路。 選 取 [停用 ] 以防止或封鎖此自動連線。

    當裝置連線到另一個慣用的 Wi-Fi 連線時,它們不會自動連線到此 Wi-Fi 網路。 如果裝置在啟用此設定時無法自動連線,則會中斷裝置與任何現有 Wi-Fi 連線的連線。

  • 隱藏網路:選 取 [啟用 ] 可從裝置上的可用網路清單中隱藏此網络。 不會廣播 SSID。 選 取 [停用 ] 以在裝置上的可用網路清單中顯示此網路。

  • EAP 類型:選取用來驗證安全無線連線的可延伸驗證通訊協定 (EAP) 類型。 選項包括:

    • EAP-TLS:若要驗證,可延伸驗證通訊協定 (EAP) 傳輸層安全性 (TLS) 使用伺服器上的數位證書,以及用戶端上的數字證書。 這兩個憑證都由證書頒發機構單位簽署, (伺服器和用戶端信任的 CA) 。

      另請輸入:

      • Radius 伺服器名稱:在客戶端驗證 Wi-Fi 存取點期間,Radius Server 會出示憑證。 輸入此憑證的 DNS 名稱。 例如,輸入 Contoso.comuk.contoso.comjp.contoso.com

        如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則只能輸入後綴。 例如,您可以輸入 contoso.com

        當您輸入此值時,用戶裝置可以略過連線到 Wi-Fi 網路時可顯示的動態信任對話方塊。

        • Android 11 和更新版本:新的 Wi-Fi 配置檔可能需要設定此設定。 否則,裝置可能不會連線到您的 Wi-Fi 網路。

        • Android 14 和更新版本:Google 不會全部允許所有Radius伺服器的總內容長度大於256個字元或包含特殊字元。 如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則建議您只輸入後綴。

      • 伺服器驗證的跟證書:選取現有的受信任跟證書配置檔。 當用戶端連線到網路時,會使用此憑證來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。

        注意事項

        根據您的 Android OS 版本和 Wi-Fi 驗證基礎結構,憑證需求可能會有所不同。 您可能需要從網路原則伺服器 (NPS) 所使用的憑證,將安全哈希演算法 () (SHA) 。 或者,如果您的Radius或 NPS 伺服器具有公開簽署的憑證,則驗證可能不需要跟證書。

        最佳做法是輸入 Radius伺服器名稱 ,並新增 跟證書以進行伺服器驗證

      • 驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:

        • 衍生認證:使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。 如需詳細資訊,請參閱在 Microsoft Intune 中使用衍生認證
        • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

      • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

    • EAP-TTLS:若要驗證,可延伸驗證通訊協定 (EAP) 通道傳輸層安全性 (TTLS) 使用伺服器上的數字證書。 當用戶端提出驗證要求時,伺服器會使用安全連線通道來完成驗證要求。

      另請輸入:

      • Radius 伺服器名稱:在客戶端驗證 Wi-Fi 存取點期間,Radius Server 會出示憑證。 輸入此憑證的 DNS 名稱。 例如,輸入 Contoso.comuk.contoso.comjp.contoso.com

        如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則只能輸入後綴。 例如,您可以輸入 contoso.com

        當您輸入此值時,用戶裝置可以略過連線到 Wi-Fi 網路時可顯示的動態信任對話方塊。

        • Android 11 和更新版本:新的 Wi-Fi 配置檔可能需要設定此設定。 否則,裝置可能不會連線到您的 Wi-Fi 網路。

        • Android 14 和更新版本:Google 不會全部允許所有Radius伺服器的總內容長度大於256個字元或包含特殊字元。 如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則建議您只輸入後綴。

      • 伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。

      • 驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:

        • 衍生認證:使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。 如需詳細資訊,請參閱在 Microsoft Intune 中使用衍生認證

        • 使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:

          • 非 EAP 方法 (內部身分識別) :選擇驗證連線的方式。 請務必選取在 Wi-Fi 網路上設定的相同通訊協定。 選項包括:

            • UNencrypted password (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP 第 2 版 (MS-CHAP v2)

        • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

        • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

    • PEAP:受保護的可延伸驗證通訊協定 (PEAP) 使用受保護的通道進行加密和驗證。 另請輸入:

      • Radius 伺服器名稱:在客戶端驗證 Wi-Fi 存取點期間,Radius Server 會出示憑證。 輸入此憑證的 DNS 名稱。 例如,輸入 Contoso.comuk.contoso.comjp.contoso.com

        如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則只能輸入後綴。 例如,您可以輸入 contoso.com

        當您輸入此值時,用戶裝置可以略過連線到 Wi-Fi 網路時可顯示的動態信任對話方塊。

        • Android 11 和更新版本:新的 Wi-Fi 配置檔可能需要設定此設定。 否則,裝置可能不會連線到您的 Wi-Fi 網路。

        • Android 14 和更新版本:Google 不會全部允許所有Radius伺服器的總內容長度大於256個字元或包含特殊字元。 如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則建議您只輸入後綴。

      • 伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。

      • 驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:

        • 衍生認證:使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。 如需詳細資訊,請參閱在 Microsoft Intune 中使用衍生認證

        • 使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:

          • 用於驗證的非 EAP 方法 (內部身分識別) :選擇驗證連線的方式。 請務必選取在 Wi-Fi 網路上設定的相同通訊協定。 選項包括:

            • Microsoft CHAP 第 2 版 (MS-CHAP v2)

        • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

        • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

  • Proxy 設定:選取 Proxy 組態。 選項包括:

    • :未設定 Proxy 設定。

    • 手動:手動設定 Proxy 設定:

      • Proxy 伺服器地址:輸入 Proxy 伺服器的 IP 位址。 例如,輸入 10.0.0.22

      • 埠號碼:輸入 Proxy 伺服器的埠號碼。 例如,輸入 8080

      • 排除清單:輸入不會使用 Proxy 的主機名或IP位址。 您可以使用 * 通配符,並輸入多個主機名和IP位址。 如果您輸入多個主機名或IP位址,它們必須位於另一行。 例如,您可以輸入:

        *.contoso.com
test.contoso1.com
mysite.contoso2.com
10.0.0.5
10.0.0.6

    • 自動:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL 。 例如,輸入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      如需 PAC 檔案的詳細資訊,請參閱 PROXY 自動設定 (PAC) 檔案 (開啟非 Microsoft 網站) 。

      注意事項

      當裝置在註冊期間標示為公司 (組織擁有的) 時,原則會控制裝置功能和設定。 您可以防止使用者管理原則中的功能和設定。 將 Wi-Fi 原則指派給裝置時,會啟用 Wi-Fi,並防止使用者關閉Wi-Fi。

  • MAC 位址隨機化:視需要使用隨機 MAC 位址,例如針對網路存取控制 (NAC) 支援。 用戶可以變更此設定。

    選項包括:

    • 使用裝置預設值:Intune 不會變更或更新此設定。 根據預設,當裝置連線到網路時,裝置會呈現隨機 MAC 位址,而不是實體 MAC 位址。 用戶對設定所做的任何更新都會持續發生。

    • 使用隨機 MAC:在裝置上啟用 MAC 位址隨機化。 當裝置連線到新的網路時,裝置會呈現隨機 MAC 位址,而不是實體 MAC 位址。 如果使用者在裝置上變更此值,則會重設為在下一次 Intune 同步處理時 使用隨機 MAC

    • 使用裝置 MAC:強制裝置呈現其實際 Wi-Fi MAC 位址,而不是隨機 MAC 位址。 使用此設定時,裝置會依其 MAC 位址進行追蹤。 只有在必要時才使用此值,例如針對網路訪問控制 (NAC) 支援。 如果使用者變更其裝置上的此值,則會重設為在下一次 Intune 同步處理時 使用裝置 MAC

    本功能適用於:

    • Android 13 和更新版本

個人擁有的工作配置檔

基本 (個人擁有的工作配置檔)

  • Wi-Fi 類型:選取 [基本]
  • SSID:輸入 服務集標識符,這是裝置連線的無線網路實際名稱。 不過,使用者只有在選擇連線時,才會看到您設定的 網路名稱
  • 隱藏網路:選 取 [啟用 ] 可從裝置上的可用網路清單中隱藏此網络。 不會廣播 SSID。 選 取 [停用 ] 以在裝置上的可用網路清單中顯示此網路。

企業 (個人擁有的工作配置檔)

  • Wi-Fi 類型:選取 [企業]

  • SSID:輸入 服務集標識符,這是裝置連線的無線網路實際名稱。 不過,使用者只有在選擇連線時,才會看到您設定的 網路名稱

  • 隱藏網路:選 取 [啟用 ] 可從裝置上的可用網路清單中隱藏此網络。 不會廣播 SSID。 選 取 [停用 ] 以在裝置上的可用網路清單中顯示此網路。

  • EAP 類型:選取用來驗證安全無線連線的可延伸驗證通訊協定 (EAP) 類型。 選項包括:

    • EAP-TLS:也請輸入:

      • 證書伺服器名稱 受信任證書頒發機構單位 (CA) 所簽發憑證中使用的一或多個常用名稱新增至您的無線網路存取伺服器。 例如,新增 mywirelessserver.contoso.commywirelessserver。 當您輸入此資訊時,您可以略過使用者裝置連線到此 Wi-Fi 網路時所顯示的動態信任視窗。

      • 伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。

      • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

      • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

    • EAP-TTLS:也請輸入:

      • 伺服器驗證的跟證書:選取一或多個現有的受信任跟證書配置檔。 當用戶端連線到網路時,這些憑證會用來建立與伺服器的信任鏈結。 如果您的驗證伺服器使用公開憑證,則不需要包含跟證書。

      • 驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:

        • 使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:

          • 非 EAP 方法 (內部身分識別) :選擇驗證連線的方式。 請務必選取在 Wi-Fi 網路上設定的相同通訊協定。 選項包括:

            • UNencrypted password (PAP)
            • Microsoft CHAP (MS-CHAP)
            • Microsoft CHAP 第 2 版 (MS-CHAP v2)

        • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

        • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

    • PEAP:也請輸入:

      • 伺服器驗證的跟證書:選取現有的受信任跟證書配置檔。 當用戶端連線到網路時,此憑證會呈現給伺服器,並驗證連線。

      • 驗證方法:選取裝置用戶端所使用的驗證方法。 選項包括:

        • 使用者名稱和密碼:提示使用者輸入使用者名稱和密碼以驗證連線。 另請輸入:

          • 用於驗證的非 EAP 方法 (內部身分識別) :選擇驗證連線的方式。 請務必選取在 Wi-Fi 網路上設定的相同通訊協定。 選項包括:

            • Microsoft CHAP 第 2 版 (MS-CHAP v2)

        • 憑證:選取也部署至裝置的SCEP或PKCS用戶端憑證配置檔。 此憑證是裝置向伺服器出示的身分識別,用來驗證連線。

        • 身分識別隱私權 (外部身分識別) :輸入在回應 EAP 身分識別要求時傳送的文字。 這個文字可以是任何值,例如 anonymous。 在驗證期間,此匿名身分識別一開始會傳送。 然後,實際識別會在安全通道中傳送。

  • Proxy 設定:選取 Proxy 組態。 選項包括:

    • :未設定 Proxy 設定。

    • 自動:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL 。 例如,輸入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      如需 PAC 檔案的詳細資訊,請參閱 PROXY 自動設定 (PAC) 檔案 (開啟非 Microsoft 網站) 。

後續步驟

配置檔已建立,但可能不會執行任何動作。 請務必 指派此配置檔監視其狀態

您也可以為 AndroidiOS/iPadOSmacOSWindows 10 建立 Wi-Fi 設定檔。

針對 Wi-Fi 配置檔的常見問題進行疑難解答