Verwenden eines benutzerdefinierten Geräteprofils zum Erstellen eines WLAN-Profils mit einem vorinstallierten Schlüssel – IntuneUse a custom device profile to create a WiFi profile with a pre-shared key - Intune

Vorinstallierte Schlüssel (Pre-shared keys, PSK) werden üblicherweise verwendet, um Benutzer in WLANs (drahtlosen Netzwerken) zu authentifizieren.Pre-shared keys (PSK) are typically used to authenticates users in WiFi networks, or wireless LANs. In Intune können Sie mit einem vorinstallierten Schlüssel ein WLAN-Profil erstellen.With Intune, you can create a WiFi profile using a pre-shared key. Verwenden Sie zum Erstellen des Profils das Intune-Feature Benutzerdefinierte Geräteprofile.To create the profile, use the Custom device profiles feature within Intune. Dieser Artikel enthält auch einige Beispiele für die Erstellung eines EAP-basierten WLAN-Profils.This article also includes some examples of how to create an EAP-based Wi-Fi profile.

Wichtig

  • Die Verwendung eines vorinstallierten Schlüssels mit Windows 10 verursacht einen Wartungsfehler in Intune.Using a pre-shared key with Windows 10 causes a remediation error to appear in Intune. In diesem Fall wird das WLAN-Profil ordnungsgemäß dem Gerät zugewiesen, und das Profil funktioniert wie erwartet.When this happens, the Wi-Fi profile is properly assigned to the device, and the profile works as expected.
  • Vergewissern Sie sich, dass die Datei geschützt ist, wenn Sie ein WLAN-Profil exportieren, das einen vorinstallierten Schlüssel enthält.If you export a Wi-Fi profile that includes a pre-shared key, be sure the file is protected. Der Schlüssel wird in Nur-Text angegeben. Daher sind Sie für die Sicherheit des Schlüssels verantwortlich.The key is in plain text, so it's your responsibility to protect the key.

VorbereitungBefore you begin

  • Möglicherweise ist es einfacher, den Code von einem Computer zu kopieren, der eine Verbindung mit dem jeweiligen Netzwerk herstellt, wie weiter unten in diesem Artikel beschrieben.It may be easier to copy the code from a computer that connects to that network, as described later in this article.
  • Für Android können Sie auch den Android PSK Generator verwenden.For Android, you can also use the Android PSK Generator.
  • Sie können mehrere Netzwerke und Schlüssel hinzufügen, indem Sie weitere OMA-URI-Einstellungen hinzufügen.You can add multiple networks and keys by adding more OMA-URI settings.
  • Verwenden Sie für iOS den Apple Configurator auf einer Mac-Station, um das Profil einzurichten.For iOS, use Apple Configurator on a Mac station to set up the profile. Alternativ dazu können Sie den iOS PSK Mobile Config Generator verwenden.Or, use iOS PSK Mobile Config Generator.
  • PSK erfordert eine Zeichenfolge von 64 Hexadezimalziffern oder eine Passphrase von 8 bis 63 druckbaren ASCII-Zeichen.PSK requires a string of 64 hexadecimal digits, or a passphrase of 8 to 63 printable ASCII characters. Einige Zeichen wie Sternchen (*) werden nicht unterstützt.Some characters, such as asterisk ( * ), are not supported.

Erstellen eines benutzerdefinierten ProfilsCreate a custom profile

Sie können ein benutzerdefiniertes Profil mit einem vorinstallierten Schlüssel für ein Android- oder Windows-WLAN-Profil oder ein EAP-basiertes WLAN-Profil erstellen.You can create a custom profile with a pre-shared key for Android, Windows, or an EAP-based Wi-Fi profile. Informationen zum Erstellen des Profils im Azure-Portal finden Sie unter Erstellen von benutzerdefinierten Geräteeinstellungen.To create the profile using the Azure portal, see Create custom device settings. Wenn Sie das Geräteprofil erstellen, wählen Sie Benutzerdefiniert als Geräteplattform aus.When you create the device profile, choose Custom for your device platform. Wählen Sie nicht das WLAN-Profil aus.Don't select the Wi-Fi profile. Führen Sie folgende Schritte aus, wenn Sie eine benutzerdefinierte Plattform verwenden:When you choose custom, be sure to:

  1. Geben Sie einen Namen und eine Beschreibung für das Profil ein.Enter a name and description of the profile.

  2. Fügen Sie eine neue OMA-URI-Einstellung mit folgenden Eigenschaften hinzu:Add a new OMA-URI setting with the following properties:

    ein.a. Geben Sie einen Namen für diese WLAN-Netzwerkeinstellung ein.Enter a name for this Wi-Fi network setting.

    b.b. (Optional) Geben Sie eine Beschreibung für die OMA-URI-Einstellung ein, oder lassen Sie das Feld leer.(Optional) Enter a description of the OMA-URI setting, or leave it blank.

    c.c. Legen Sie den Datentyp auf Zeichenfolge fest.Set the Data Type to String.

    d.d. OMA-URI:OMA-URI:

    • Für Android: ./Vendor/MSFT/WiFi/Profile/SSID/SettingsFor Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings

    • Für Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXmlFor Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Hinweis

      Stellen Sie sicher, dass Sie den Punkt am Anfang eingeben.Be sure to include the dot character at the beginning.

      SSID steht für die SSID, für die Sie die Richtlinie erstellen.SSID is the SSID for which you’re creating the policy. Geben Sie beispielsweise ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings ein.For example, enter ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings.

    e.e. Wertfeld Hier fügen Sie Ihren XML-Code ein.Value Field is where you paste your XML code. Sehen Sie sich die Beispiele in diesem Artikel an.See the examples within this article. Aktualisieren Sie jeden Wert mit dem entsprechenden Wert für Ihre Netzwerkeinstellungen.Update each value to match your network settings. Der Kommentarabschnitt des Codes enthält einige Hinweise.The comments section of the code includes some pointers.

  3. Klicken Sie auf OK, speichern Sie, und weisen Sie die Richtlinie anschließend zu.Select OK, save, and then assign the policy.

    Hinweis

    Diese Richtlinie kann nur Benutzergruppen zugewiesen werden.This policy can only be assigned to user groups.

Wenn sich die einzelnen Geräte das nächste Mal anmelden, wird die Richtlinie angewendet, und auf dem Gerät wird ein WLAN-Profil erstellt.The next time each device checks in, the policy is applied, and a Wi-Fi profile is created on the device. Das Gerät kann dann automatisch eine Verbindung mit dem Netzwerk herstellen.The device can then connect to the network automatically.

Android- oder Windows-WLAN-Profil – BeispielAndroid or Windows Wi-Fi profile example

Das folgende Beispiel enthält den XML-Code für ein Android- oder Windows-WLAN-Profil.The following example includes the XML code for an Android or Windows Wi-Fi profile.

Wichtig

<protected>false</protected> muss auf false festgelegt werden.<protected>false</protected> must be set to false. Eine Festlegung auf true könnte dazu führen, dass das Gerät ein verschlüsseltes Kennwort erwartet, das es dann zu entschlüsseln versucht. Dies würde einen Verbindungsfehler bewirken.When true, it could cause the device to expect an encrypted password, and then try to decrypt it; which may result in a failed connection.

<hex>53534944</hex> sollte auf den hexadezimalen Wert von <name><SSID of wifi profile></name> festgelegt werden.<hex>53534944</hex> should be set to the hexadecimal value of <name><SSID of wifi profile></name>. Windows 10-Geräte können fälschlicherweise den Fehler 0x87D1FDE8: Fehler bei Wiederherstellung zurückgeben, aber das Gerät enthält das Profil weiterhin.Windows 10 devices may return a false 0x87D1FDE8 Remediation failed error, but the device still contains the profile.

<!--
<Name of wifi profile> = Name of profile
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped, could be <name>Your Company's Network</name>
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which may result in a failed connection.
<password> = Password to connect to the network
x>53534944</hex> should be set to the hexadecimal value of <name><SSID of wifi profile></name>
-->
<WLANProfile
xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>networkKey</keyType>
        <protected>false</protected>
        <keyMaterial>MyPassword</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP-basiertes WLAN-Profil – BeispielEAP-based Wi-Fi profile example

Das folgende Beispiel enthält den XML-Code für ein EAP-basiertes WLAN-Profil:The following example includes the XML code for an EAP-based Wi-Fi profile:

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Erstellen der XML-Datei aus einer vorhandenen WLAN-VerbindungCreate the XML file from an existing Wi-Fi connection

Sie können die XML-Datei auch mit folgenden Schritten aus einer vorhandenen WLAN-Verbindung erstellen:You can also create an XML file from an existing Wi-Fi connection using the following steps:

  1. Öffnen Sie den Ordner \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} auf einem Computer, der mit dem WLAN verbunden ist oder kürzlich verbunden war.On a computer that is connected to, or has recently connected to the wireless network, open the \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} folder.

    Am besten eignet sich ein Computer, der noch nicht mit vielen WLANs verbunden war.It’s best to use a computer that hasn't connected to many wireless networks. Andernfalls müssen Sie möglicherweise jedes Profil durchsuchen, um das richtige zu finden.Otherwise, you may have to search through each profile to find the correct one.

  2. Durchsuchen Sie die XML-Dateien, um die Datei mit dem richtigen Namen zu finden.Search through the XML files to locate the file with the correct name.

  3. Nachdem Sie die richtige XML-Datei gefunden haben, kopieren Sie den XML-Code in das Feld Daten auf der Seite mit den OMA-URI-Einstellungen.After you have the correct XML file, copy and paste the XML code into the Data field of the OMA-URI settings page.

Bewährte MethodenBest practices

  • Bevor Sie ein WLAN-Profil mit PSK bereitstellen, vergewissern Sie sich, dass das Gerät eine direkte Verbindung mit dem Endpunkt herstellen kann.Before you deploy a Wi-Fi profile with PSK, confirm that the device can connect to the endpoint directly.

  • Rechnen Sie beim Rotieren von Schlüsseln (Kennwörtern oder Passphrasen) mit Ausfallzeiten, und planen Sie Ihre Bereitstellungen entsprechend.When rotating keys (passwords or passphrases), expect downtime and plan your deployments accordingly. Erwägen Sie die Push-Übertragung von neuen WLAN-Profilen in der arbeitsfreien Zeit.Consider pushing new Wi-Fi profiles during non-working hours. Außerdem sollten Sie die Benutzer warnen, dass die Konnektivität beeinträchtigt sein kann.Also, warn users that connectivity may be impacted.

  • Stellen Sie sicher, dass das Gerät des Endbenutzers über eine alternative Verbindung mit dem Internet verfügt, damit ein reibungsloser Übergang gewährleistet ist.To ensure a smooth transition, make sure the end user’s device has an alternate connection to the Internet. Der Endbenutzer muss z.B. dazu in der Lage sein, auf das Gast-WLAN (oder ein anderes WLAN-Netzwerk) oder eine Mobilfunkverbindung zuzugreifen, um mit Intune zu kommunizieren.For example, the end user must be able to switch back to Guest WiFi (or some other WiFi network) or have cellular connectivity to communicate with Intune. Durch die zusätzliche Verbindung kann der Benutzer weiterhin Richtlinienaktualisierungen erhalten, wenn das WLAN-Profil des Unternehmens auf dem Gerät aktualisiert wird.The extra connection allows the user to receive policy updates when the corporate WiFi Profile is updated on the device.