啟用 802.1x 有線驗證

• 適用於:

  Surface Hub, Surface Hub 2S

2017 年 11 月 14 日更新為 Windows 10 (組建 15063.726) 在 Surface Hub 裝置上啟用 802.1x 有線驗證原則設定。 此功能可讓組織使用 IEEE 802.1x 驗證通訊協定強制執行標準化有線網路驗證。 這已可透過 MDM 或布建套件使用 WLAN 配置檔 進行無線驗證。 本主題說明如何設定 Surface Hub 以搭配有線驗證使用。

您可以透過 MDM OMA-URI 配置檔 或布建套件，在 Surface Hub 上強制執行和啟用 802.1x 有線驗證。

主要要進行得設定是 LanProfile 原則。 取決於所選取的驗證方法，可能需要其他原則，可能是 EapUserData 原則或透過 MDM 原則新增使用者或電腦憑證 (例如 ClientCertificateInstall 用於使用者/裝置憑證，或 RootCATrustedCertificates 用於裝置憑證)。

LanProfile 原則項目

若要設定 Surface Hub 來使用其中一個支援的 802.1x 驗證方法，請使用下列 OMA-URI。

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

這個 OMA-URI 節點採用 XML 文字字串做為參數。 提供做為參數的 XML 必須遵守有線區域網路設定檔架構，包含 802.1X 架構中的項目。

在大部分案例中，系統管理員或使用者可以使用下列 NETSH 命令，從已在 802.1X 網路上設定的現有電腦匯出 LanProfile XML。

netsh lan export profile folder=.

執行此命令會提供下列輸出，並將標題 為Ethernet.xml 的檔案放在當前目錄中。

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

若要在 Surface Hub 上完全停用 802.1x，您可以使用 布建套件 將 SurfaceHub\Dot3\LanProfile 節點設定為下列 xml：

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

EapUserData 原則項目

如果您選取的驗證方法需要使用者名稱和密碼，而不是憑證，您可以使用 EapUserData 項目來指定裝置認證以用來向網路進行驗證。

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

這個 OMA-URI 節點採用 XML 文字字串做為參數。 提供做為參數的 XML 必須遵守 PEAP MS-CHAPv2 使用者屬性範例。 在此範例中，您需要以您的資訊取代 所有測試 和 ias-domain 實例。

新增憑證

如果您選取的驗證方法是以憑證為基礎，您必須建立布建套件、利用 MDM，或從設定匯入憑證 (> 設定更新和安全>性憑證) ，以將這些憑證部署至適當證書存儲中的 Surface Hub 裝置。 新增憑證時，每個 PFX 必須只包含一個憑證 (PFX 不能有多個憑證) 。