Přidání nastavení Wi-Fi pro zařízení Windows 10/11 v Intune

  • Článek

Poznámka

Intune může podporovat více nastavení, než jsou nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Můžete vytvořit profil s konkrétním nastavením Wi-Fi. Potom tento profil nasaďte do klientských zařízení s Windows. Microsoft Intune nabízí mnoho funkcí, včetně ověřování v síti, použití předsdílený klíč a dalších.

Tento článek popisuje některá z těchto nastavení.

Než začnete

Vytvořte konfigurační profil zařízení Windows 10/11 Wi-Fi.

Tato nastavení používají Poskytovatele CSP Wi-Fi.

Základní profil

Základní nebo osobní profily používají WPA/WPA2 k zabezpečení Wi-Fi připojení na zařízeních. Wpa/WPA2 se obvykle používá v domácích nebo osobních sítích. Můžete také přidat předsdílený klíč pro ověření připojení.

  • Typ Wi-Fi: Vyberte Základní.

  • Název Wi-Fi (SSID): Zkratka pro identifikátor sady služeb. Tato hodnota je skutečný název bezdrátové sítě, ke které se zařízení připojují. Název připojení, který nakonfigurujete, se ale uživatelům zobrazí jenom při výběru připojení.

  • Název připojení: Zadejte popisný název tohoto Wi-Fi připojení. Text, který zadáte, je jméno, které se uživatelům zobrazí při procházení dostupných připojení na svém zařízení. Zadejte ContosoWiFinapříklad .

  • Připojovat se automaticky, když je v rozsahu: Pokud ano, zařízení se připojí automaticky, když jsou v dosahu této sítě. Pokud ne, zařízení se automaticky nepřipojují.

    • Připojte se k preferované síti, pokud je k dispozici: Pokud jsou zařízení v dosahu upřednostňovanější sítě, vyberte Ano a použijte upřednostňovanou síť. Pokud chcete použít Wi-Fi síť v tomto konfiguračním profilu, vyberte Ne .

      Například vytvoříte síť ContosoCorp Wi-Fi a v tomto konfiguračním profilu použijete ContosoCorp . Máte také síť ContosoGuest Wi-Fi v dosahu. Když jsou vaše podniková zařízení v dosahu, chcete, aby se automaticky připojovala ke službě ContosoCorp. V tomto scénáři nastavte vlastnost Připojit k preferované síti, pokud je k dispozici , na hodnotu Ne.

    • Připojte se k této síti, i když nevysílá svůj identifikátor SSID: Pokud chcete automaticky připojit k síti, i když je síť skrytá, vyberte Ano . To znamená, že její identifikátor sady služeb (SSID) se nevysílá veřejně. Pokud nechcete, aby se tento konfigurační profil připojil ke skryté síti, vyberte Ne .

  • Limit připojení účtovaného podle objemu dat: Správce může zvolit způsob měření provozu sítě. Aplikace pak můžou na základě tohoto nastavení upravit chování síťového provozu. Možnosti:

    • Bez omezení: Výchozí. Připojení se neměří podle objemu dat a provoz se nijak neomezuje.
    • Opraveno: Tuto možnost použijte, pokud je v síti nakonfigurovaný pevný limit pro síťový provoz. Po dosažení tohoto limitu je zakázán přístup k síti.
    • Proměnná: Tuto možnost použijte, pokud se síťový provoz účtuje za bajt (náklady na bajt).

  • Typ zabezpečení bezdrátové sítě: Zadejte protokol zabezpečení, který se používá k ověřování zařízení v síti. Máte k dispozici:

    • Otevřít (bez ověřování): Tuto možnost použijte jenom v případě, že je síť nezabezpečená.

    • WPA/WPA2-Personal: Bezpečnější možnost, která se běžně používá pro Wi-Fi připojení. Pro větší zabezpečení můžete také zadat předsdílený klíč heslo nebo síťový klíč.

      • Předsdílený klíč (PSK): Volitelné. Zobrazí se, když jako typ zabezpečení zvolíte WPA/WPA2-Personal . Když je síť vaší organizace nastavená nebo nakonfigurovaná, nakonfiguruje se také heslo nebo síťový klíč. Jako hodnotu PSK zadejte toto heslo nebo síťový klíč. Zadejte řetězec ASCII o délce 8 až 63 znaků nebo použijte 64 šestnáctkových znaků.

        Důležité

        PsK je stejný pro všechna zařízení, na která profil cílíte. Pokud dojde k ohrožení zabezpečení klíče, může ho použít jakékoli zařízení pro připojení k Wi-Fi síti. Chraňte své sady PSK, abyste se vyhnuli neoprávněnému přístupu.

  • Nastavení proxy serveru společnosti: Tuto možnost vyberte, pokud chcete použít nastavení proxy serveru ve vaší organizaci. Možnosti:

    • Žádné: Není nakonfigurováno žádné nastavení proxy serveru.

    • Ruční konfigurace: Zadejte IP adresu proxy serveru a číslo jeho portu.

    • Automaticky konfigurovat: Zadejte adresu URL odkazující na skript automatické konfigurace proxy serveru (PAC). Zadejte http://proxy.contoso.com/proxy.pacnapříklad .

      Další informace o souborech PAC najdete v tématu Soubor PAC (Proxy Auto-Configuration) (otevře web, který není od Microsoftu).

Profil organizace

Podnikové profily používají k ověřování Wi-Fi připojení protokol EAP (Extensible Authentication Protocol). Protokol EAP často používají podniky, protože certifikáty můžete použít k ověřování a zabezpečení připojení. A nakonfigurujte další možnosti zabezpečení.

  • Typ Wi-Fi: Vyberte Enterprise.

  • Název Wi-Fi (SSID): Zkratka pro identifikátor sady služeb. Tato hodnota je skutečný název bezdrátové sítě, ke které se zařízení připojují. Název připojení, který nakonfigurujete, se ale uživatelům zobrazí jenom při výběru připojení.

  • Název připojení: Zadejte popisný název tohoto Wi-Fi připojení. Text, který zadáte, je jméno, které se uživatelům zobrazí při procházení dostupných připojení na svém zařízení. Zadejte ContosoWiFinapříklad .

  • Připojovat se automaticky, když je v rozsahu: Pokud ano, zařízení se připojí automaticky, když jsou v dosahu této sítě. Pokud ne, zařízení se automaticky nepřipojují.

    • Připojte se k preferované síti, pokud je k dispozici: Pokud jsou zařízení v dosahu upřednostňovanější sítě, vyberte Ano a použijte upřednostňovanou síť. Pokud chcete použít Wi-Fi síť v tomto konfiguračním profilu, vyberte Ne .

      Například vytvoříte síť ContosoCorp Wi-Fi a v tomto konfiguračním profilu použijete ContosoCorp . Máte také síť ContosoGuest Wi-Fi v dosahu. Když jsou vaše podniková zařízení v dosahu, chcete, aby se automaticky připojovala ke službě ContosoCorp. V tomto scénáři nastavte vlastnost Připojit k preferované síti, pokud je k dispozici , na hodnotu Ne.

  • Připojte se k této síti, i když nevysílá svůj identifikátor SSID: Pokud chcete, aby se konfigurační profil automaticky připojil k síti, vyberte Ano , i když je síť skrytá (to znamená, že její identifikátor SSID se nevysílá veřejně). Pokud nechcete, aby se tento konfigurační profil připojil ke skryté síti, vyberte Ne .

  • Limit připojení účtovaného podle objemu dat: Správce může zvolit způsob měření provozu sítě. Aplikace pak můžou na základě tohoto nastavení upravit chování síťového provozu. Možnosti:

    • Bez omezení: Výchozí. Připojení se neměří podle objemu dat a provoz se nijak neomezuje.
    • Opraveno: Tuto možnost použijte, pokud je v síti nakonfigurovaný pevný limit pro síťový provoz. Po dosažení tohoto limitu je zakázán přístup k síti.
    • Proměnná: Tuto možnost použijte, pokud je síťový provoz nákladný na bajt.

  • Režim ověřování: Vyberte, jak se má profil Wi-Fi ověřovat u Wi-Fi serveru. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení se používá ověřování uživatele nebo počítače .
    • Uživatel: Uživatelský účet přihlášený k zařízení se ověřuje v síti Wi-Fi.
    • Počítač: Přihlašovací údaje zařízení se ověřují v síti Wi-Fi.
    • Uživatel nebo počítač: Když je uživatel přihlášený k zařízení, přihlašovací údaje uživatele se ověřují v Wi-Fi síti. Pokud nejsou přihlášení žádní uživatelé, ověřte přihlašovací údaje zařízení.
    • Host: K síti Wi-Fi nejsou přidružené žádné přihlašovací údaje. Ověřování je buď otevřené, nebo se zpracovává externě, například prostřednictvím webové stránky.

  • Zapamatujte si přihlašovací údaje při každém přihlášení: Tuto možnost vyberte, pokud chcete přihlašovací údaje uživatele uložit do mezipaměti, nebo jestli je uživatelé musí zadat pokaždé při připojování k Wi-Fi. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém tuto funkci povolit a přihlašovací údaje ukládat do mezipaměti.
    • Povolit: Ukládá přihlašovací údaje uživatele do mezipaměti při prvním připojení uživatelů k Wi-Fi síti. Přihlašovací údaje uložené v mezipaměti se používají pro budoucí připojení a uživatelé je nemusí znovu zadávat.
    • Zakázat: Přihlašovací údaje uživatele se nezapamatová a neukážou se do mezipaměti. Při připojování k Wi-Fi musí uživatelé pokaždé zadat svoje přihlašovací údaje.

  • Doba ověřování: Zadejte počet sekund, po které musí zařízení čekat po pokusu o ověření, od 1 do 3600. Pokud se zařízení v době, kdy zadáte, nepřipojí, ověřování se nezdaří. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se 18 sekundy.

  • Doba zpoždění opakování ověřování: Zadejte počet sekund mezi neúspěšným pokusem o ověření a dalším pokusem o ověření od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použije se 1 sekunda.

  • Počáteční období: Zadejte počet sekund čekání před odesláním EAPOL-Start zprávy od 1 do 3600. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, použijí se 5 sekundy.

  • Maximální hodnota EAPOL-start: Zadejte počet EAPOL-Start zpráv od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou, odešle se maximálně zpráv 3 .

  • Maximální počet selhání ověřování: Zadejte maximální počet selhání ověřování pro tuto sadu přihlašovacích údajů k ověření, od 1 do 100. Pokud necháte tuto hodnotu prázdnou nebo prázdnou 1 , použije se pokus.

  • Jednotné přihlašování (SSO): Umožňuje nakonfigurovat jednotné přihlašování (SSO), kde se přihlašovací údaje sdílí pro přihlášení k počítači a Wi-Fi síti. Možnosti:

    • Zakázat: Zakáže chování jednotného přihlašování. Uživatel se musí ověřit v síti samostatně.
    • Povolit před přihlášením uživatele k zařízení: Použijte jednotné přihlašování k síti těsně před procesem přihlášení uživatele.
    • Povolit po přihlášení uživatele k zařízení: Použijte jednotné přihlašování k ověření v síti okamžitě po dokončení procesu přihlášení uživatele.
    • Maximální doba ověřování před vypršením časového limitu: Zadejte maximální počet sekund čekání před ověřením v síti, od 1 do 120 sekund.
    • Povolit systému Windows, aby uživatele vyzve k zadání dalších přihlašovacích údajů pro ověřování: Ano umožňuje systému Windows vyzvat uživatele k zadání dalších přihlašovacích údajů, pokud to metoda ověřování vyžaduje. Pokud chcete tyto výzvy skrýt, vyberte Ne .

  • Povolit ukládání do mezipaměti párového hlavního klíče (PMK): Vyberte Ano , pokud chcete uložit pmk použitý při ověřování do mezipaměti. Toto ukládání do mezipaměti obvykle umožňuje rychlejší dokončení ověřování v síti. Pokud chcete při každém připojování k síti Wi-Fi vynutit ověřování metodou handshake, vyberte Ne .

    • Maximální doba uložení klíče PMK v mezipaměti: Zadejte počet minut, po které je v mezipaměti uložen párový hlavní klíč PMK (5 až 1440 minut).
    • Maximální počet souborů PMK uložených v mezipaměti: Zadejte počet klíčů uložených v mezipaměti od 1 do 255.
    • Povolit předběžné ověřování: Předběžné ověření umožňuje profilu ověřit se ve všech přístupových bodech sítě v profilu před připojením. Při přecházení mezi přístupovými body se předběžné ověření znovu připojí uživatele nebo zařízení rychleji. Vyberte Ano , pokud chcete profil ověřit u všech přístupových bodů pro tuto síť, které jsou v dosahu. Pokud chcete, aby se uživatel nebo zařízení ověřili u každého přístupového bodu samostatně, vyberte Ne .
    • Maximální počet pokusů o předběžné ověření: Zadejte počet pokusů o předběžné ověření od 1 do 16.

  • Typ protokolu EAP: Vyberte typ protokolu EAP (Extensible Authentication Protocol) pro ověření zabezpečených bezdrátových připojení. Možnosti:

    • EAP-SIM

    • EAP-TLS: Zadejte také:

      • Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.

      • Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.

      • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

        • Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.
        • Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.
        • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

    • EAP-TTLS: Zadejte také:

      • Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.

      • Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.

      • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

        • Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení. Zadejte také:

          • Metoda bez protokolu EAP (vnitřní identita): Zvolte způsob ověřování připojení. Nezapomeňte zvolit stejný protokol, který je nakonfigurovaný ve vaší Wi-Fi síti.

            Vaše možnosti: Nešifrované heslo (PAP),PROTOKOL CHAP (Challenge Handshake),Microsoft CHAP (MS-CHAP) a Microsoft CHAP verze 2 (MS-CHAP v2)

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

    • Protected EAP (PEAP): Zadejte také:

      • Názvy certifikačních serverů: Zadejte jeden nebo více běžných názvů používaných v certifikátech vystavených důvěryhodnou certifikační autoritou (CA). Pokud zadáte tyto informace, můžete obejít dialogové okno dynamické důvěryhodnosti zobrazené na uživatelských zařízeních, když se připojují k této Wi-Fi síti.

      • Kořenové certifikáty pro ověření serveru: Vyberte jeden nebo více existujících profilů důvěryhodných kořenových certifikátů. Když se klient připojí k síti, použijí se tyto certifikáty k vytvoření řetězu důvěryhodnosti se serverem. Pokud váš ověřovací server používá veřejný certifikát, nemusíte kořenový certifikát obsahovat.

      • Provést ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 ověří zařízení certifikát a ověří server. Pokud chcete toto ověření zablokovat nebo zabránit, vyberte Ne . Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.

        Pokud vyberete Ano, nakonfigurujte také:

        • Zakázat uživatelské výzvy k ověření serveru: Pokud je nastavená možnost Ano, ve fázi vyjednávání protokolu PEAP 1 se nezobrazují výzvy uživatelů s žádostí o autorizaci nových serverů PEAP pro důvěryhodné certifikační autority. Výběrem možnosti Ne zobrazte výzvy. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.

      • Vyžadovat kryptografickou vazbu: Ano zabraňuje připojení k serverům PEAP, které během vyjednávání protokolu PEAP nepoužívají kryptografickou vazbu. Ne nevyžaduje kryptografické vazby. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.

      • Metoda ověřování: Vyberte metodu ověřování používanou klienty zařízení. Možnosti:

        • Uživatelské jméno a heslo: Vyzve uživatele k zadání uživatelského jména a hesla k ověření připojení. Zadejte také:

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Certifikát SCEP: Vyberte profil klientského certifikátu SCEP, který se také nasadí do zařízení. Tento certifikát je identita, kterou zařízení předloží serveru k ověření připojení.

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Certifikát PKCS: Vyberte profil klientského certifikátu PKCS a důvěryhodný kořenový certifikát , které jsou také nasazené do zařízení. Klientský certifikát je identita, kterou zařízení předloží serveru za účelem ověření připojení.

          • Ochrana osobních údajů identity (vnější identita): Zadejte text odeslaný jako odpověď na žádost o identitu protokolu EAP. Tento text může mít libovolnou hodnotu. Během ověřování se nejprve odešle tato anonymní identita a po ní následuje skutečná identifikace poslaná zabezpečeným tunelem.

        • Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.

  • Nastavení proxy serveru společnosti: Tuto možnost vyberte, pokud chcete použít nastavení proxy serveru ve vaší organizaci. Možnosti:

    • Žádné: Není nakonfigurováno žádné nastavení proxy serveru.

    • Ruční konfigurace: Zadejte IP adresu proxy serveru a číslo jeho portu.

    • Automaticky konfigurovat: Zadejte adresu URL odkazující na skript PAC (Automatická konfigurace proxy serveru). Zadejte http://proxy.contoso.com/proxy.pacnapříklad .

      Další informace o souborech PAC najdete v tématu Soubor PAC (Proxy Auto-Configuration) (otevře web, který není od Microsoftu).

  • Vynutit, aby byl profil Wi-Fi kompatibilní se standardem FIPS (Federal Information Processing Standard): Při ověřování proti standardu FIPS 140-2 vyberte Ano . Tento standard je vyžadován pro všechny federální vládní agentury USA, které používají kryptografické bezpečnostní systémy k ochraně citlivých, ale neklasifikovaných informací uložených digitálně. Vyberte Ne , pokud nechcete být kompatibilní se standardem FIPS.

Použití importovaného souboru nastavení

Pro všechna nastavení, která nejsou v Intune dostupná, můžete exportovat nastavení Wi-Fi z jiného zařízení s Windows. Tento export vytvoří soubor XML se všemi nastaveními. Potom tento soubor naimportujte do Intune a použijte ho jako profil Wi-Fi. Viz Export a import nastavení Wi-Fi pro zařízení s Windows.

Další kroky

Profil se vytvoří, ale nemusí nic dělat. Nezapomeňte profil přiřadit a sledovat jeho stav.

Přehled nastavení Wi-Fi, včetně dalších platforem

Další zdroje informací

Protokol EAP (Extensible Authentication Protocol) pro přístup k síti