在 Microsoft Intune 中添加 Android (AOSP) 设备的 Wi-Fi 设置

可以创建具有特定 Wi-Fi 设置的配置文件，然后将此配置文件部署到 Android 开源项目 (AOSP) 设备。 Microsoft Intune 提供了许多功能，包括向网络进行身份验证、使用预共享密钥等。

此功能适用于：

• Android (AOSP)

本文介绍这些设置。 在设备上使用 Wi-Fi 包括有关 Microsoft Intune 中的 Wi-Fi 功能的详细信息。

有关 AOSP 的详细信息，请转到 Android 开源项目 ， (打开 Android 网站) 。

开始之前

• 创建 Android (AOSP) 设备配置文件。

基本

• Wi-Fi 类型：选择“ 基本”。

• 网络名称：输入此 Wi-Fi 连接的名称。 最终用户在浏览其设备以查找可用的 Wi-Fi 连接时，会看到此名称。 例如，输入 Contoso WiFi。

• SSID：输入 服务集标识符，即设备连接到的无线网络的真实名称。 但是，用户仅在选择连接时看到你配置 的网络名称 。

• 自动连接： 启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。

  当设备连接到另一个首选 Wi-Fi 连接时，它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接，请断开设备与任何现有 Wi-Fi 连接的连接。

• 隐藏网络：选择 “启用” ，从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”，在设备上的可用网络列表中显示此网络。

• Wi-Fi 类型：选择要向 Wi-Fi 网络进行身份验证的安全协议。 选项包括：

  • 打开 (无身份验证) ：仅当网络不安全时，才使用此选项。

  • WEP 预共享密钥：在预 共享密钥 (PSK) 中输入密码。 设置或配置组织的网络时，还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。

    警告

    在 Android 12 及更高版本上，Google 弃用了对 Wi-Fi 配置文件中 (PSK) WEP 预共享密钥的支持。 WEP 可能仍然有效。 但是，不建议这样做，并且被视为已过时。 相反，请在 Wi-Fi 配置文件中使用 WPA 预共享密钥 (PSK) 。

    有关详细信息，请转到 Android 开发人员参考 - WifiConfiguration.GroupCipher。

  • WPA 预共享密钥：在 PSK) (预共享密钥 中输入密码。 设置或配置组织的网络时，还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。

• 代理设置：选择代理配置。 选项包括：

  • 无：未配置代理设置。

  • 手动：手动配置代理设置：

    • 代理服务器地址：输入代理服务器的 IP 地址。 例如，输入 10.0.0.22。

    • 端口号：输入代理服务器的端口号。 例如，输入 8080。

    • 排除列表：输入不使用代理的主机名或 IP 地址。 可以使用 * 通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址，它们必须位于单独的行中。 例如，可以输入：

      *.contoso.com
      test.contoso1.com
      mysite.contoso2.com
      10.0.0.5
      10.0.0.6
      

  • 自动：使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如，输入 http://proxy.contoso.com、10.0.0.11 或 http://proxy.contoso.com/proxy.pac。

    有关 PAC 文件的详细信息，请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

企业版

• Wi-Fi 类型：选择 “企业”。

• SSID：输入 服务集标识符，即设备连接到的无线网络的真实名称。 但是，用户仅在选择连接时看到你配置 的网络名称 。

• 自动连接： 启用 当 设备在范围内时自动连接到 Wi-Fi 网络。 选择“ 禁用 ”可阻止或阻止此自动连接。

  当设备连接到另一个首选 Wi-Fi 连接时，它们不会自动连接到此 Wi-Fi 网络。 如果设备在启用此设置时无法自动连接，请断开设备与任何现有 Wi-Fi 连接的连接。

• 隐藏网络：选择 “启用” ，从设备上的可用网络列表中隐藏此网络。 SSID 不会广播。 选择“ 禁用 ”，在设备上的可用网络列表中显示此网络。

• EAP 类型：选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括：

  • EAP-TLS：为了进行身份验证，可扩展身份验证协议 (EAP) 传输层安全性 (TLS) 在服务器上使用数字证书，在客户端上使用数字证书。 这两个证书都由服务器和客户端信任的证书颁发机构 (CA) 签名。

    另输入：

    • Radius 服务器名称：输入 Radius 服务器在对 Wi-Fi 接入点进行身份验证期间提供的证书中使用的 DNS 名称。 例如，输入 Contoso.com、uk.contoso.com 或 jp.contoso.com。

      如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀，则只能输入后缀。 例如，可以输入 contoso.com。

      输入此值时，用户设备可以绕过连接到 Wi-Fi 网络时有时显示的动态信任对话框。

      在 Android 11 及更新版本上，新的 Wi-Fi 配置文件可能需要配置此设置。 否则，设备可能无法连接到 Wi-Fi 网络。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。

    • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，首先发送此匿名标识，然后是安全隧道中发送的实际标识。

  • EAP-TTLS：为了进行身份验证，可扩展身份验证协议 (EAP) 隧道传输层安全性 (TTLS) 在服务器上使用数字证书。 当客户端发出身份验证请求时，服务器使用隧道（安全连接）来完成身份验证请求。

    另输入：

    • Radius 服务器名称：输入 Radius 服务器在对 Wi-Fi 接入点进行身份验证期间提供的证书中使用的 DNS 名称。 例如，输入 Contoso.com、uk.contoso.com 或 jp.contoso.com。

      如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀，则只能输入后缀。 例如，可以输入 contoso.com。

      输入此值时，用户设备可以绕过连接到 Wi-Fi 网络时有时显示的动态信任对话框。

      在 Android 11 及更新版本上，新的 Wi-Fi 配置文件可能需要配置此设置。 否则，设备可能无法连接到 Wi-Fi 网络。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。

    • 证书：选择同时部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

    • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，首先发送此匿名标识，然后是安全隧道中发送的实际标识。

  • PEAP：受保护的可扩展身份验证协议 (PEAP) 使用受保护的隧道加密和进行身份验证。 另输入：

    • Radius 服务器名称：输入 Radius 服务器在对 Wi-Fi 接入点进行身份验证期间提供的证书中使用的 DNS 名称。 例如，输入 Contoso.com、uk.contoso.com 或 jp.contoso.com。

      如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀，则只能输入后缀。 例如，可以输入 contoso.com。

      输入此值时，用户设备可以绕过连接到 Wi-Fi 网络时有时显示的动态信任对话框。

      在 Android 11 及更新版本上，新的 Wi-Fi 配置文件可能需要配置此设置。 否则，设备可能无法连接到 Wi-Fi 网络。

    • 用于服务器验证的根证书：选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时，这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书，则无需包含根证书。

    • 证书：选择同时部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

    • 标识隐私 (外部标识) ：输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值，例如 anonymous。 在身份验证期间，首先发送此匿名标识，然后是安全隧道中发送的实际标识。

• 代理设置：选择代理配置。 选项包括：

  • 无：未配置代理设置。

  • 手动：手动配置代理设置：

    • 代理服务器地址：输入代理服务器的 IP 地址。 例如，输入 10.0.0.22。

    • 端口号：输入代理服务器的端口号。 例如，输入 8080。

    • 排除列表：输入不使用代理的主机名或 IP 地址。 可以使用 * 通配符并输入多个主机名和 IP 地址。 如果输入多个主机名或 IP 地址，它们必须位于单独的行中。 例如，可以输入：

      *.contoso.com
      test.contoso1.com
      mysite.contoso2.com
      10.0.0.5
      10.0.0.6
      

  • 自动：使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如，输入 http://proxy.contoso.com、10.0.0.11 或 http://proxy.contoso.com/proxy.pac。

    有关 PAC 文件的详细信息，请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

后续步骤

配置文件已创建，但可能未执行任何操作。 请务必 分配此配置文件 并 监视其状态。

还可以为 Android Enterprise、 iOS/iPadOS、 macOS 和 Windows 创建 Wi-Fi 配置文件。

排查 Wi-Fi 配置文件的常见问题。