在 Microsoft Intune 中为 iOS 和 iPadOS 设备添加 Wi-Fi 设置

  • 项目

可以使用特定的 WiFi 设置创建配置文件,然后将此配置文件部署到 iOS/iPadOS 设备。 Microsoft Intune提供了许多功能,包括向网络进行身份验证、添加 PKCS 或 SCEP 证书等。

此功能适用于:

  • iOS/iPadOS

这些Wi-Fi设置分为两类:基本设置和企业级设置。

本文介绍这些设置。

开始之前

创建 iOS/iPadOS Wi-Fi设备配置文件

注意

这些设置适用于所有注册类型。 有关注册类型的详细信息,请参阅 iOS/iPadOS 注册

这些设置使用 Apple Wi-Fi 有效负载 (打开 Apple 网站) 。

基本配置文件

  • Wi-Fi 类型:选择“ 基本”。

  • 网络名称:输入此Wi-Fi连接的名称。 此值是用户在浏览设备上可用连接列表时看到的名称。

  • SSID服务集标识符的缩写。 此属性是设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置的网络名称。

  • 自动连接启用 当设备处于范围内时自动连接到此网络。 禁用 可阻止设备自动连接。

  • 隐藏网络“启用” 会将此设备设置与路由器上的 设置匹配Wi-Fi配置。 因此,如果网络设置为“隐藏”,则它也隐藏在Wi-Fi配置文件中。 如果网络 SSID 已广播且可见,请选择“ 禁用 ”。

  • 安全类型:选择要向Wi-Fi网络进行身份验证的安全协议。 选项包括:

    • 打开 (无身份验证) :仅当网络不安全时,才使用此选项。
    • WPA/WPA2 - 个人:在 预共享密钥中输入密码。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。
    • Wep

  • 代理设置:选项:

    • :未配置代理设置。

    • 手动:输入 代理服务器地址 作为 IP 地址及其 端口号

    • 自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非 Microsoft 站点) 。

  • 禁用 MAC 地址随机化:从 iOS/iPadOS 14 开始,设备在连接到网络时显示随机 MAC 地址而不是物理 MAC 地址。 出于隐私原因,建议使用随机 MAC 地址,因为更难按 MAC 地址跟踪设备。 但是,随机 MAC 解决了依赖于静态 MAC 地址的中断功能,包括网络访问控制 (NAC) 。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,连接到网络时,设备会在连接到新网络时显示随机 MAC 地址,而不是物理 MAC 地址。
    • :强制设备显示其实际Wi-Fi MAC 地址,而不是随机 MAC 地址。 “是 ”允许按其 MAC 地址跟踪设备。 仅在必要时禁用 MAC 地址随机化,例如网络访问控制 (NAC) 支持。
    • :在设备上启用 MAC 地址随机化。 用户无法将其关闭。 连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。

    此设置适用于:

    • iOS 14.0 及更新版
    • iPadOS 14.0 及更新版

企业配置文件

  • Wi-Fi 类型:选择 “企业”。

  • 网络名称:输入此Wi-Fi连接的名称。 此值是用户在浏览设备上可用连接列表时看到的名称。

  • SSID服务集标识符的缩写。 此属性是设备连接到的无线网络的真实名称。 但是,用户仅在选择连接时看到你配置的网络名称。

  • 自动连接启用 当设备处于范围内时自动连接到此网络。 禁用 可阻止设备自动连接。

  • 隐藏网络“启用” 会将此设备设置与路由器上的 设置匹配Wi-Fi配置。 因此,如果网络设置为“隐藏”,则它也隐藏在Wi-Fi配置文件中。 如果网络 SSID 已广播且可见,请选择“ 禁用 ”。

  • 安全类型:选择要向Wi-Fi网络进行身份验证的安全协议。 选项包括:

    • WPA - 企业版
    • WPA/WPA2 - 企业版

  • EAP 类型:选择用于对安全无线连接进行身份验证的可扩展身份验证协议 (EAP) 类型。 选项包括:

    • EAP-FAST:输入 “受保护的访问凭据” (PAC) 设置。 此选项使用受保护的访问凭据在客户端和身份验证服务器之间创建经过身份验证的隧道。 选项包括:

      • 请勿使用 (PAC)
      • 使用 (PAC) :如果存在现有 PAC 文件,请使用该文件。
      • 使用和预配 PAC:创建 PAC 文件并将其添加到设备。
      • 匿名使用和预配 PAC:创建 PAC 文件并将其添加到设备,而无需对服务器进行身份验证。

    • EAP-SIM

    • EAP-TLS:另输入:

      • 证书服务器名称 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如,添加 mywirelessserver.contoso.commywirelessserver。 输入此信息时,可以绕过用户连接到此Wi-Fi网络时在设备上显示的动态信任窗口。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者,Intune会提示你添加一个。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

    • EAP-TTLS:另输入:

      • 证书服务器名称 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如,添加 mywirelessserver.contoso.commywirelessserver。 输入此信息时,可以绕过用户连接到此Wi-Fi网络时在设备上显示的动态信任窗口。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者,Intune会提示你添加一个。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在Wi-Fi网络上配置的相同协议。

            选项: 未加密的密码 (PAP) 质询握手身份验证协议 (CHAP) Microsoft CHAP (MS-CHAP) Microsoft CHAP 版本 2 (MS-CHAP v2)

        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

    • 飞跃

    • PEAP:另输入:

      • 证书服务器名称 受信任的证书颁发机构颁发的证书中使用的一个或多个公用名称 (CA) 添加到无线网络访问服务器。 例如,添加 mywirelessserver.contoso.commywirelessserver。 输入此信息时,可以绕过用户连接到此Wi-Fi网络时在设备上显示的动态信任窗口。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。 此证书允许客户端信任无线网络访问服务器的证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 派生凭据:使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者,Intune会提示你添加一个。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。

        • 证书:选择同样部署到设备的 SCEP 或 PKCS 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • 标识隐私 (外部标识) :输入在响应 EAP 标识请求时发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

  • 代理设置:选择代理配置。 选项包括:

    • :未配置代理设置。

    • 手动:输入 代理服务器地址 作为 IP 地址及其 端口号

    • 自动:使用文件配置代理服务器。 输入包含配置文件的 代理服务器 URL 。 例如,输入 http://proxy.contoso.com10.0.0.11http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非 Microsoft 站点) 。

  • 禁用 MAC 地址随机化:从 iOS/iPadOS 14 开始,设备在连接到网络时显示随机 MAC 地址而不是物理 MAC 地址。 出于隐私原因,建议使用随机 MAC 地址,因为更难按 MAC 地址跟踪设备。 随机 MAC 地址还会破坏依赖于静态 MAC 地址的功能,包括网络访问控制 (NAC) 。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,连接到网络时,设备可能会显示随机 MAC 地址,而不是物理 MAC 地址。
    • :强制设备显示其实际Wi-Fi MAC 地址,而不是随机 MAC 地址。 “是 ”允许按其 MAC 地址跟踪设备。 仅在必要时禁用 MAC 地址随机化,例如网络访问控制 (NAC) 支持。
    • :在设备上启用 MAC 地址随机化。 用户无法将其关闭。 连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。

    此设置适用于:

    • iOS 14.0 及更新版
    • iPadOS 14.0 及更新版

后续步骤

配置文件已创建,但可能不会执行任何操作。 请务必 分配此配置文件监视其状态

AndroidAndroid EnterprisemacOS 和 Windows 10 设备上配置Wi-Fi设置。