在 Intune 中添加 Windows 10/11 设备的 Wi-Fi 设置

  • 项目

注意

Intune 支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到 设置目录

可以使用特定的 WiFi 设置创建配置文件。 然后,将此配置文件部署到 Windows 客户端设备。 Microsoft Intune提供了许多功能,包括向网络进行身份验证、使用预共享密钥等。

本文介绍其中一些设置。

开始之前

创建Windows 10/11 Wi-Fi 设备配置文件

这些设置使用 Wi-Fi CSP

基本配置文件

基本配置文件或个人配置文件使用 WPA/WPA2 来保护设备上的 Wi-Fi 连接。 通常,WPA/WPA2 用于家庭网络或个人网络。 还可以添加预共享密钥来对连接进行身份验证。

  • Wi-Fi 类型:选择“ 基本”。

  • Wi-Fi 名称 (SSID) :服务集标识符的缩写。 此值是设备连接到的无线网络的真实名称。 但是,用户在选择连接时只能看到你配置的连接 名称

  • 连接名称:为此 Wi-Fi 连接输入用户友好名称。 输入的文本是用户在设备上浏览可用连接时看到的名称。 例如,输入 ContosoWiFi

  • 在范围内时自动连接时,设备在此网络范围内时会自动连接。 当 “否”时,设备不会自动连接。

    • 连接到更首选的网络(如果可用):如果设备位于更首选的网络范围内,请选择“ ”以使用首选网络。 选择“ ”以使用此配置文件中的 Wi-Fi 网络。

      例如,创建 ContosoCorp Wi-Fi 网络,并在此配置文件中使用 ContosoCorp 。 你还有一个 ContosoGuest Wi-Fi 网络在范围内。 当公司设备在范围内时,你希望它们自动连接到 ContosoCorp。 在此方案中,将 “连接到更首选网络(如果可用) ”属性设置为 “否”。

    • 连接到此网络,即使它未广播其 SSID:选择“ ”以自动连接到你的网络,即使网络处于隐藏状态也是如此。 这意味着,其服务集标识符 (SSID) 不会公开广播。 如果不希望此配置文件连接到隐藏的网络,请选择“ ”。

  • 按流量计费的连接限制:管理员可以选择网络流量的计量方式。 然后,应用程序可以根据此设置调整其网络流量行为。 选项包括:

    • 无限制:默认值。 连接不会按流量计费,并且对流量没有限制。
    • 已修复:如果网络配置了网络流量的固定限制,请使用此选项。 达到此限制后,将禁止网络访问。
    • 变量:如果网络流量按字节收费 (每字节) 成本,则使用此选项。

  • 无线安全类型:输入用于对网络上的设备进行身份验证的安全协议。 可用的选项包括:

    • 打开 (无身份验证) :仅当网络不安全时,才使用此选项。

    • WPA/WPA2-个人:更安全的选项,通常用于 Wi-Fi 连接。 为了更安全,还可以输入预共享密钥密码或网络密钥。

      • 预共享密钥 (PSK) :可选。 选择 WPA/WPA2-Personal 作为安全类型时显示。 设置或配置组织的网络时,还会配置密码或网络密钥。 输入 PSK 值的此密码或网络密钥。 输入长度为 8-63 个字符的 ASCII 字符串或使用 64 个十六进制字符。

        重要

        PSK 对于以配置文件为目标的所有设备相同。 如果密钥泄露,任何设备都可以使用它连接到 Wi-Fi 网络。 确保 PSK 的安全,以避免未经授权的访问。

  • 公司代理设置:选择以在组织中使用代理设置。 选项包括:

    • :未配置代理设置。

    • 手动配置:输入 代理服务器 IP 地址 及其 端口号

    • 自动配置:输入指向代理自动配置 (PAC) 脚本的 URL。 例如,输入 http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非 Microsoft 站点) 。

企业配置文件

企业配置文件使用可扩展身份验证协议 (EAP) 对 Wi-Fi 连接进行身份验证。 企业通常使用 EAP,因为可以使用证书对连接进行身份验证和保护。 配置更多安全选项。

  • Wi-Fi 类型:选择 “企业”。

  • Wi-Fi 名称 (SSID) :服务集标识符的缩写。 此值是设备连接到的无线网络的真实名称。 但是,用户在选择连接时只能看到你配置的连接 名称

  • 连接名称:为此 Wi-Fi 连接输入用户友好名称。 输入的文本是用户在设备上浏览可用连接时看到的名称。 例如,输入 ContosoWiFi

  • 在范围内时自动连接时,设备在此网络范围内时会自动连接。 当 “否”时,设备不会自动连接。

    • 连接到更首选的网络(如果可用):如果设备位于更首选的网络范围内,请选择“ ”以使用首选网络。 选择“ ”以使用此配置文件中的 Wi-Fi 网络。

      例如,创建 ContosoCorp Wi-Fi 网络,并在此配置文件中使用 ContosoCorp 。 你还有一个 ContosoGuest Wi-Fi 网络在范围内。 当公司设备在范围内时,你希望它们自动连接到 ContosoCorp。 在此方案中,将 “连接到更首选网络(如果可用) ”属性设置为 “否”。

  • 连接到此网络,即使它不广播其 SSID:选择 “是 ”,使配置文件自动连接到你的网络,即使网络隐藏 (含义,其 SSID 也不会) 公开广播。 如果不希望此配置文件连接到隐藏的网络,请选择“ ”。

  • 按流量计费的连接限制:管理员可以选择网络流量的计量方式。 然后,应用程序可以根据此设置调整其网络流量行为。 选项包括:

    • 无限制:默认值。 连接不会按流量计费,并且对流量没有限制。
    • 已修复:如果网络配置了网络流量的固定限制,请使用此选项。 达到此限制后,将禁止网络访问。
    • 变量:如果网络流量按字节计费,请使用此选项。

  • 身份验证模式:选择 Wi-Fi 配置文件向 Wi-Fi 服务器进行身份验证的方式。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,使用 用户或计算机 身份验证。
    • 用户:登录到设备的用户帐户向 Wi-Fi 网络进行身份验证。
    • 计算机:设备凭据向 Wi-Fi 网络进行身份验证。
    • 用户或计算机:当用户登录到设备时,用户凭据会向 Wi-Fi 网络进行身份验证。 如果没有用户登录,则设备凭据会进行身份验证。
    • 来宾:没有与 Wi-Fi 网络关联的凭据。 身份验证要么打开,要么在外部处理,例如通过网页。

  • 每次登录时记住凭据:选择以缓存用户凭据,或者如果用户在每次连接到 WI-Fi 时都必须输入凭据。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此功能并缓存凭据。
    • 启用:在用户首次连接到 Wi-Fi 网络时,缓存用户凭据。 缓存凭据用于将来的连接,用户无需重新输入它们。
    • 禁用:不会记住或缓存用户凭据。 连接到 Wi-Fi 时,用户每次都必须输入其凭据。

  • 身份验证周期:输入设备在尝试进行身份验证后必须等待的秒数,从 1 到 3600。 如果设备在输入时未连接,身份验证将失败。 如果将此值留空或留空,则 18 使用秒。

  • 身份验证重试延迟期:输入身份验证尝试失败与下一次身份验证尝试之间的秒数(从 1 到 3600)。 如果将此值留空或留空,则 1 使用 second。

  • 开始周期:输入发送 EAPOL-Start 消息前等待的秒数,从 1 到 3600。 如果将此值留空或留空,则 5 使用秒。

  • 最大 EAPOL 启动数:输入 EAPOL-Start 消息数(从 1 到 100)。 如果将此值留空或留空,则发送的消息数 3 最多。

  • 最大身份验证失败次数:输入要进行身份验证的这组凭据的最大身份验证失败次数,从 1 到 100。 如果将此值留空或留空,则 1 使用尝试。

  • 单一登录 (SSO) :允许配置单一登录 (SSO) ,其中凭据共享用于计算机和 Wi-Fi 网络登录。 选项包括:

    • 禁用:禁用 SSO 行为。 用户需要单独向网络进行身份验证。
    • 在用户登录设备之前启用:使用 SSO 在用户登录过程之前对网络进行身份验证。
    • 在用户登录到设备后启用:在用户登录过程完成后立即使用 SSO 对网络进行身份验证。
    • 超时前进行身份验证的最长时间:输入在向网络进行身份验证之前要等待的最大秒数,从 1 到 120 秒。
    • 允许 Windows 提示用户输入其他身份验证凭据 允许 Windows 系统在身份验证方法需要时提示用户输入更多凭据。 选择“ ”可隐藏这些提示。

  • (PMK) 缓存启用成对主密钥:选择“ ”以缓存身份验证中使用的 PMK。 这种缓存通常允许更快地完成对网络的身份验证。 选择“ ”,在每次连接到 Wi-Fi 网络时强制身份验证握手。

    • 在缓存中存储 PMK 的最长时间:输入在缓存中存储 PMK (成对主密钥) 的分钟数,从 5 到 1440 分钟。
    • 缓存中存储的最大 PMK 数:输入缓存中存储的密钥数(从 1 到 255)。
    • 启用预身份验证:预身份验证允许配置文件在连接之前对配置文件中网络的所有接入点进行身份验证。 在接入点之间移动时,预身份验证会更快地重新连接用户或设备。 对于配置文件,选择“ ”,以便对范围内此网络的所有接入点进行身份验证。 选择“ ”,要求用户或设备分别对每个接入点进行身份验证。
    • 最大预身份验证尝试次数:输入预身份验证尝试次数(从 1 到 16)。

  • EAP 类型:选择可扩展身份验证协议 (EAP) 类型,对安全无线连接进行身份验证。 选项包括:

    • EAP-SIM

    • EAP-TLS:另输入:

      • 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此 Wi-Fi 网络时绕过用户设备上显示的动态信任对话框。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • SCEP 证书:选择同时部署到设备的 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。
        • PKCS 证书:选择也部署到设备的 PKCS 客户端证书 配置文件和受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对连接进行身份验证。
        • 派生凭据:使用从用户的智能卡派生的证书。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

    • EAP-TTLS:另输入:

      • 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此 Wi-Fi 网络时绕过用户设备上显示的动态信任对话框。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 非 EAP 方法 (内部标识) :选择对连接进行身份验证的方式。 请确保选择在 Wi-Fi 网络上配置的相同协议。

            选项: 未加密的密码 (PAP) 质询握手 (CHAP) Microsoft CHAP (MS-CHAP) Microsoft CHAP 版本 2 (MS-CHAP v2)

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • SCEP 证书:选择同时部署到设备的 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • PKCS 证书:选择也部署到设备的 PKCS 客户端证书 配置文件和受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对连接进行身份验证。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • 派生凭据:使用从用户的智能卡派生的证书。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

    • 受保护的 EAP (PEAP) :另输入:

      • 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此 Wi-Fi 网络时绕过用户设备上显示的动态信任对话框。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 执行服务器验证:设置为 “是”时,在 PEAP 协商阶段 1 中,设备会验证证书并验证服务器。 选择“ ”可阻止或阻止此验证。 设置为 “未配置”时,Intune 不会更改或更新此设置。

        如果选择“ ”,请同时配置:

        • 禁用服务器验证的用户提示:当设置为 “是”时,在 PEAP 协商阶段 1 中,不会显示用户提示请求为受信任的证书颁发机构授权新的 PEAP 服务器。 选择“ ”以显示提示。 设置为 “未配置”时,Intune 不会更改或更新此设置。

      • 需要加密绑定“是 ”会阻止连接到在 PEAP 协商期间不使用加密绑定的 PEAP 服务器。 不需要加密绑定。 设置为 “未配置”时,Intune 不会更改或更新此设置。

      • 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对连接进行身份验证。 另输入:

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • SCEP 证书:选择同时部署到设备的 SCEP 客户端证书 配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • PKCS 证书:选择也部署到设备的 PKCS 客户端证书 配置文件和受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对连接进行身份验证。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值。 在身份验证期间,首先发送此匿名标识,然后是安全隧道中发送的实际标识。

        • 派生凭据:使用从用户的智能卡派生的证书。 有关详细信息,请参阅在 Microsoft Intune 中使用派生凭据

  • 公司代理设置:选择以在组织中使用代理设置。 选项包括:

    • :未配置代理设置。

    • 手动配置:输入 代理服务器 IP 地址 及其 端口号

    • 自动配置:输入指向代理自动配置 (PAC) 脚本的 URL。 例如,输入 http://proxy.contoso.com/proxy.pac

      有关 PAC 文件的详细信息,请参阅 代理自动配置 (PAC) 文件 (打开非 Microsoft 站点) 。

  • 强制 Wi-Fi 配置文件符合联邦信息处理标准 (FIPS) :根据 FIPS 140-2 标准进行验证时,请选择“ ”。 所有使用基于加密的安全系统来保护以数字方式存储的敏感但未分类信息的美国联邦政府机构都需要此标准。 选择“ ”,不符合 FIPS。

使用导入的设置文件

对于 Intune 中不可用的任何设置,可以从其他 Windows 设备导出 Wi-Fi 设置。 此导出将创建包含所有设置的 XML 文件。 然后,将此文件导入 Intune,并将其用作 Wi-Fi 配置文件。 请参阅 Windows 设备的导出和导入 Wi-Fi 设置

后续步骤

配置文件已创建,但可能不会执行任何操作。 请务必分配配置文件,并监视配置文件状态

Wi-Fi 设置概述,包括其他平台

其他资源

用于网络访问的可扩展身份验证协议 (EAP)