啟用 802.1x 有線驗證
2017 年 11 月 14 日更新為 Windows 10 (組建 15063.726) 在 Surface Hub 裝置上啟用 802.1x 有線驗證原則設定。 此功能可讓組織使用 IEEE 802.1x 驗證通訊協定強制執行標準化有線網路驗證。 這已可透過 MDM 或布建套件使用 WLAN 配置檔 進行無線驗證。 本主題說明如何設定 Surface Hub 以搭配有線驗證使用。
您可以透過 MDM OMA-URI 配置檔 或布建套件,在 Surface Hub 上強制執行和啟用 802.1x 有線驗證。
主要要進行得設定是 LanProfile 原則。 取決於所選取的驗證方法,可能需要其他原則,可能是 EapUserData 原則或透過 MDM 原則新增使用者或電腦憑證 (例如 ClientCertificateInstall 用於使用者/裝置憑證,或 RootCATrustedCertificates 用於裝置憑證)。
LanProfile 原則項目
若要設定 Surface Hub 來使用其中一個支援的 802.1x 驗證方法,請使用下列 OMA-URI。
./Vendor/MSFT/SurfaceHub/Dot3/LanProfile
這個 OMA-URI 節點採用 XML 文字字串做為參數。 提供做為參數的 XML 必須遵守有線區域網路設定檔架構,包含 802.1X 架構中的項目。
在大部分案例中,系統管理員或使用者可以使用下列 NETSH 命令,從已在 802.1X 網路上設定的現有電腦匯出 LanProfile XML。
netsh lan export profile folder=.
執行此命令會提供下列輸出,並將標題 為Ethernet.xml 的檔案放在當前目錄中。
Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.
若要在 Surface Hub 上完全停用 802.1x,您可以使用 布建套件 將 SurfaceHub\Dot3\LanProfile 節點設定為下列 xml:
<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
<MSM>
<security>
<OneXEnforced>false</OneXEnforced>
<OneXEnabled>false</OneXEnabled>
</security>
</MSM>
</LANProfile>
EapUserData 原則項目
如果您選取的驗證方法需要使用者名稱和密碼,而不是憑證,您可以使用 EapUserData 項目來指定裝置認證以用來向網路進行驗證。
./Vendor/MSFT/SurfaceHub/Dot3/EapUserData
這個 OMA-URI 節點採用 XML 文字字串做為參數。 提供做為參數的 XML 必須遵守 PEAP MS-CHAPv2 使用者屬性範例。 在此範例中,您需要以您的資訊取代 所有測試 和 ias-domain 實例。
新增憑證
如果您選取的驗證方法是以憑證為基礎,您必須建立布建套件、利用 MDM,或從設定匯入憑證 (> 設定更新和安全>性憑證) ,以將這些憑證部署至適當證書存儲中的 Surface Hub 裝置。 新增憑證時,每個 PFX 必須只包含一個憑證 (PFX 不能有多個憑證) 。