Použití vlastního profilu zařízení k vytvoření profilu Wi-Fi s předsdíleným klíčem pomocí Intune

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Předsdílené klíče (PSK) se obvykle používají k ověřování uživatelů ve Wi-Fi sítích nebo bezdrátových sítích LAN. S Intune můžete vytvořit zásadu konfigurace zařízení Wi-Fi pomocí předsdíleného klíče.

K vytvoření profilu použijte funkci Vlastní profily zařízení v Intune.

Tato funkce platí pro:

  • Správce zařízení s Androidem
  • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
  • Windows
  • Wi-Fi založené na protokolu EAP

Do souboru XML přidáte informace o Wi-Fi a PSK. Potom přidáte soubor XML do vlastních zásad konfigurace zařízení v Intune. Jakmile bude zásada připravená, přiřadíte ji svým zařízením. Při příštím přihlášení zařízení se zásada použije a na zařízení se vytvoří profil Wi-Fi.

Tento článek popisuje, jak vytvořit zásadu v Intune, a obsahuje příklad xml zásad Wi-Fi založených na protokolu EAP.

Důležité

  • Použití předsdíleného klíče s Windows 10/11 způsobí, že se v Intune zobrazí chyba nápravy. Když k tomu dojde, profil Wi-Fi je správně přiřazen k zařízení a profil funguje podle očekávání.
  • Pokud exportujete profil Wi-Fi, který obsahuje předsdílený klíč, ujistěte se, že je soubor chráněný. Klíč je ve formátu prostého textu. Ochrana klíče je na vás.

Požadavky

Než začnete

  • Může být jednodušší zkopírovat syntaxi XML z počítače, který se připojuje k této síti, jak je popsáno v tématu Vytvoření souboru XML z existujícího Wi-Fi připojení (v tomto článku).
  • Přidáním dalších nastavení OMA-URI můžete přidat více sítí a klíčů.
  • Pro iOS/iPadOS použijte k nastavení profilu Apple Configurator na stanici Mac.
  • PSK vyžaduje řetězec 64 šestnáctkových číslic nebo přístupové heslo 8 až 63 tisknutelných znaků ASCII. Některé znaky, například hvězdička (*), se nepodporují.

Vytvoření vlastního profilu

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte svou platformu.
    • Typ profilu: Vyberte Vlastní. Nebo vyberte Šablony>Vlastní.
  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například vlastní profil Wi-Fi androidu.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  6. Vyberte Další.

  7. V nastavení konfigurace vyberte Přidat. Zadejte nové nastavení OMA-URI s následujícími vlastnostmi:

    1. Název: Zadejte název nastavení OMA-URI.

    2. Popis: Zadejte popis nastavení OMA-URI. Toto nastavení není povinné, ale doporučujeme ho zadat.

    3. OMA-URI: Zadejte jednu z následujících možností:

      • Pro Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Pro Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Poznámka

      • Nezapomeňte na začátek hodnoty OMA-URI zahrnout znak tečky.
      • Pokud má identifikátor SSID mezeru, přidejte řídicí mezeru %20.

      SSID (Service Set Identifier) je název vaší Wi-Fi sítě, pro kterou vytváříte zásadu. Pokud má například Wi-Fi název Hotspot-1, zadejte ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Pokud má Wi-Fi název Contoso WiFi, zadejte ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (s řídicí mezerou %20 ).

    4. Datový typ: Vyberte Řetězec.

    5. Hodnota: Vložte kód XML. Podívejte se na příklady v tomto článku. Aktualizujte každou hodnotu tak, aby odpovídaly vašemu síťovému nastavení. Část komentáře v kódu obsahuje některé ukazatele.

    6. Vyberte Přidat a uložte změny.

  8. Vyberte Další.

  9. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití značek RBAC a oborů pro distribuované IT.

    Vyberte Další.

  10. V Zadání vyberte uživatele nebo skupinu uživatelů, kterým se zobrazí váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Poznámka

    Tuto zásadu je možné přiřadit jenom skupinám uživatelů.

    Vyberte Další.

  11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Při příštím přihlášení každého zařízení se zásada použije a na zařízení se vytvoří profil Wi-Fi. Zařízení se pak může automaticky připojit k síti.

Příklad profilu androidu nebo Windows Wi-Fi

Následující příklad obsahuje kód XML pro profil Wi-Fi androidu nebo Windows. Příklad ukazuje správný formát a poskytuje další podrobnosti. Jedná se pouze o příklad a není určen jako doporučená konfigurace pro vaše prostředí.

Co potřebujete vědět

  • <protected>false</protected> musí být nastavena na hodnotu false. Pokud je true, může to způsobit, že zařízení očekává šifrované heslo a pak se ho pokusí dešifrovat. což může vést k selhání připojení.

  • <hex>53534944</hex>by měla být nastavena na šestnáctkovou hodnotu .<name><SSID of wifi profile></name> Windows 10/11 zařízení můžou vrátit chybu falsex87D1FDE8 Remediation failed, ale zařízení stále obsahuje profil.

  • XML obsahuje speciální znaky, například & (ampersand). Použití speciálních znaků může zabránit tomu, aby XML fungoval podle očekávání.

Příklad

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Příklad profilu Wi-Fi založeného na protokolu EAP

Následující příklad obsahuje kód XML pro profil Wi-Fi založený na protokolu EAP. Příklad ukazuje správný formát a poskytuje další podrobnosti. Jedná se pouze o příklad a není určen jako doporučená konfigurace pro vaše prostředí.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Vytvoření souboru XML z existujícího připojení Wi-Fi

Můžete také vytvořit soubor XML z existujícího Wi-Fi připojení. Na počítači s Windows postupujte následovně:

  1. Vytvořte místní složku pro exportované profily Wi-Fi, například c:\WiFi.

  2. Otevřete příkazový řádek jako správce (klikněte pravým tlačítkem na cmd>Spustit jako správce).

  3. Spustit netsh wlan show profiles. Zobrazí se názvy všech profilů.

  4. Spustit netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Tento příkaz vytvoří soubor s názvem Wi-Fi-YourProfileName.xml c:\Wifi.

    • Pokud exportujete profil Wi-Fi, který obsahuje předsdílený klíč, přidejte key=clear do příkazu . Parametr key=clear exportuje klíč ve formátu prostého textu, který je nutný k úspěšnému použití profilu:

      netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

    • Pokud exportovaný prvek profilu <name></name> Wi-Fi obsahuje mezeru, může při přiřazení vrátit ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) chybu. Když k tomuto problému dojde, profil je uvedený v \ProgramData\Microsoft\Wlansvc\Profiles\Interfacesa zobrazí se jako známá síť. V části Oblasti spravované pomocí se ale úspěšně nezobrazuje jako spravované zásady. URI.

      Pokud chcete tento problém vyřešit, odeberte mezeru.

Jakmile budete mít soubor XML, zkopírujte a vložte syntaxi XML do nastavení > OMA-URI Datový typ. Seznam kroků pro vytvoření vlastního profilu (v tomto článku).

Tip

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} obsahuje také všechny profily ve formátu XML.

Osvědčené postupy

  • Před nasazením profilu Wi-Fi pomocí psk ověřte, že se zařízení může připojit přímo ke koncovému bodu.

  • Při obměně klíčů (hesel nebo přístupových hesel) očekávejte výpadek a naplánujte nasazení. Měli byste:

    • Ověřte, že zařízení mají alternativní připojení k internetu.

      Koncový uživatel může například přepnout zpět na Wi-Fi typu host (nebo jinou Wi-Fi síť) nebo mít mobilní připojení ke komunikaci s Intune. Dodatečné připojení umožňuje uživateli přijímat aktualizace zásad při aktualizaci firemního Wi-Fi profilu na zařízení.

    • Nasdílení nových profilů Wi-Fi během mimopracovní doby

    • Upozorňovat uživatele, že to může mít vliv na připojení.

Zdroje

Nezapomeňte profil přiřadit a sledovat jeho stav.