Uso de un perfil de dispositivo personalizado para crear un perfil Wi-Fi con una clave precompartida en IntuneUse a custom device profile to create a WiFi profile with a pre-shared key in Intune

Las claves precompartidas se suelen usar para autenticar a los usuarios en redes Wi-Fi o en redes LAN inalámbricas.Pre-shared keys (PSK) are typically used to authenticate users in WiFi networks, or wireless LANs. Con Intune, puede crear un perfil de Wi-Fi con una clave precompartida.With Intune, you can create a WiFi profile using a pre-shared key. Para crear el perfil, utilice la característica Personalizar perfiles de dispositivo en Intune.To create the profile, use the Custom device profiles feature within Intune. En este artículo también se incluyen algunos ejemplos de cómo crear un perfil de Wi-Fi basado en EAP.This article also includes some examples of how to create an EAP-based Wi-Fi profile.

Esta característica es compatible con:This feature supports:

  • AndroidAndroid
  • WindowsWindows
  • Wi-Fi basado en EAPEAP-based Wi-Fi

Importante

  • Si se usa una clave precompartida con Windows 10, se produce un error de corrección en Intune.Using a pre-shared key with Windows 10 causes a remediation error to show in Intune. Cuando esto sucede, el perfil de Wi-Fi se asigna correctamente al dispositivo y el perfil funciona según lo previsto.When this happens, the Wi-Fi profile is properly assigned to the device, and the profile works as expected.
  • Si exporta un perfil de Wi-Fi que incluye una clave previamente compartida, asegúrese de que el archivo esté protegido.If you export a Wi-Fi profile that includes a pre-shared key, be sure the file is protected. La clave tiene texto sin formato, por lo que es su responsabilidad protegerla.The key is in plain text, so it's your responsibility to protect the key.

Antes de comenzarBefore you begin

  • Le resultará más fácil copiar el código de un equipo conectado a esa red, tal como se describe a continuación.It may be easier to copy the code from a computer that connects to that network, as described later in this article.
  • Puede agregar varias redes y claves si agrega más configuraciones de OMA-URI.You can add multiple networks and keys by adding more OMA-URI settings.
  • En iOS, use Apple Configurator en una estación Mac para configurar el perfil.For iOS, use Apple Configurator on a Mac station to set up the profile.
  • La opción de PSK requiere una cadena de 64 dígitos hexadecimales o una frase de contraseña de entre 8 y 63 caracteres ASCII imprimibles.PSK requires a string of 64 hexadecimal digits, or a passphrase of 8 to 63 printable ASCII characters. No se admiten algunos caracteres, como el asterisco (*).Some characters, such as asterisk ( * ), aren't supported.

Creación de un perfil personalizadoCreate a custom profile

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.Select Devices > Configuration profiles > Create profile.

  3. Escriba las propiedades siguientes:Enter the following properties:

    • Nombre: escriba un nombre descriptivo para la directiva.Name: Enter a descriptive name for the policy. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante.Name your policies so you can easily identify them later. Por ejemplo, un nombre de directiva válido es Configuración del perfil Wi-Fi de OMA-URI personalizado para dispositivos Android.For example, a good policy name is Custom OMA-URI Wi-Fi profile settings for Android devices.
    • Descripción: escriba una descripción para el perfil.Description: Enter a description for the profile. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.
    • Plataforma: elija la plataforma.Platform: Choose your platform.
    • Tipo de perfil: seleccione Personalizado.Profile type: Select Custom.
  4. En Configuración, seleccione Agregar.In Settings, select Add. Escriba una nueva configuración de OMA-URI con las siguientes propiedades:Enter a new OMA-URI setting with the following properties:

    1. Nombre: escriba un nombre para la configuración de OMA-URI.Name: Enter a name for the OMA-URI setting.

    2. Descripción: especifique una descripción para la configuración de OMA-URI.Description: Enter a description for the OMA-URI setting. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.

    3. OMA-URI: especifique una de las siguientes opciones:OMA-URI: Enter one of the following options:

      • En Android: ./Vendor/MSFT/WiFi/Profile/SSID/SettingsFor Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • En Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXmlFor Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Nota

      Asegúrese de incluir el carácter de punto al principio.Be sure to include the dot character at the beginning.

      SSID es el SSID para el que va a crear la directiva.SSID is the SSID for which you’re creating the policy. Por ejemplo, si el nombre de la red Wi-Fi es Hotspot-1, escriba ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings.For example, if the Wi-Fi is named Hotspot-1, enter ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings.

    4. Tipo de datos: Seleccione Cadena.Data Type: Select String.

    5. Valor: pegue el código XML.Value: Paste your XML code. Vea los ejemplos de este artículo.See the examples in this article. Actualice cada valor para que coincida con la configuración de red.Update each value to match your network settings. En la sección de comentarios del código se incluye información útil.The comments section of the code includes some pointers.

  5. Cuando haya terminado, seleccione Aceptar > Crear para guardar los cambios.When you're done, select OK > Create to save your changes.

El perfil se muestra en la lista de perfiles.Your profile is shown in the profiles list. A continuación, asigne este perfil a los grupos de usuarios.Next, assign this profile to your user groups. Esta directiva solo se puede asignar a grupos de usuarios.This policy can only be assigned to user groups.

La siguiente vez que se registre cada dispositivo, se aplicará la directiva y se creará un perfil de Wi-Fi en el dispositivo.The next time each device checks in, the policy is applied, and a Wi-Fi profile is created on the device. A partir de entonces el dispositivo podrá conectarse automáticamente a la red.The device can then connect to the network automatically.

Ejemplo de perfil de Wi-Fi de Windows o AndroidAndroid or Windows Wi-Fi profile example

Este es un ejemplo del código XML de un perfil de Wi-Fi de Android o Windows.The following example includes the XML code for an Android or Windows Wi-Fi profile. El ejemplo se proporciona para mostrar un formato correcto y proporcionar más detalles.The example is provided to show proper format and provide more details. Es solo un ejemplo y no está pensado como una configuración recomendada para su entorno.It's only an example, and isn't intended as a recommended configuration for your environment.

Aspectos que debe saberWhat you need to know

  • <protected>false</protected> debe establecerse en false.<protected>false</protected> must be set to false. Si se establece en true, podría causar que el dispositivo esperara una contraseña cifrada y luego intentara descifrarla, lo que podría dar lugar a un error de conexión.When true, it could cause the device to expect an encrypted password, and then try to decrypt it; which may result in a failed connection.

  • <hex>53534944</hex> se debe establecer en el valor hexadecimal de <name><SSID of wifi profile></name>.<hex>53534944</hex> should be set to the hexadecimal value of <name><SSID of wifi profile></name>. Los dispositivos Windows 10 pueden devolver un falso error x87D1FDE8 Remediation failed, pero el dispositivo sigue conteniendo el perfil.Windows 10 devices may return a false x87D1FDE8 Remediation failed error, but the device still contains the profile.

  • El archivo XML tiene caracteres especiales, como & (Y comercial).XML has special characters, such as the & (ampersand). Usar caracteres especiales puede impedir que el archivo XML funcione según lo previsto.Using special characters may prevent the XML from working as expected.

EjemploExample

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. It could be <name>Your Company's Network</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which may result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile
xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Ejemplo de perfil de Wi-Fi basado en EAPEAP-based Wi-Fi profile example

En el ejemplo siguiente se incluye el código XML de un perfil de Wi-Fi basado en EAP: El ejemplo se proporciona para mostrar un formato correcto y proporcionar más detalles.The following example includes the XML code for an EAP-based Wi-Fi profile: The example is provided to show proper format and provide more details. Es solo un ejemplo y no está pensado como una configuración recomendada para su entorno.It's only an example, and isn't intended as a recommended configuration for your environment.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Crear el archivo XML desde una conexión Wi-Fi existenteCreate the XML file from an existing Wi-Fi connection

También puede crear un archivo XML desde una conexión Wi-Fi existente.You can also create an XML file from an existing Wi-Fi connection. En un equipo Windows, siga estos pasos:On a Windows computer, use the following steps:

  1. Cree una carpeta local para los perfiles Wi-Fi exportados, como c:\WiFi.Create a local folder for the exported W-Fi- profiles, such as c:\WiFi.

  2. Abra un símbolo del sistema como administrador (haga clic con el botón secundario en cmd > Ejecutar como administrador).Open up a command prompt as an administrator (right-click cmd > Run as administrator).

  3. Ejecute netsh wlan show profiles.Run netsh wlan show profiles. Se muestran los nombres de todos los perfiles.The names of all the profiles are listed.

  4. Ejecute netsh wlan export profile name="YourProfileName" folder=c:\Wifi.Run netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Este comando crea un archivo denominado Wi-Fi-YourProfileName.xml en c:\Wifi.This command creates a file named Wi-Fi-YourProfileName.xml in c:\Wifi.

    • Si va a exportar un perfil Wi-Fi que incluye una clave precompartida, agregue key=clear al comando:If you're exporting a Wi-Fi profile that includes a pre-shared key, add key=clear to the command:

      netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

      key=clear exporta la clave en texto sin formato, lo que es necesario para usar correctamente el perfil.key=clear exports the key in plain text, which is required to successfully use the profile.

Cuando tenga el archivo XML, copie y pegue la sintaxis XML en la configuración de OMA-URI > Tipo de datos.After you have the XML file, copy and paste the XML syntax into OMA-URI settings > Data type. En Creación de un perfil personalizado (en este artículo) se indican los pasos.Create a custom profile (in this article) lists the steps.

Sugerencia

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} incluye también todos los perfiles en formato XML.\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} also includes all the profiles in XML format.

Procedimientos recomendadosBest practices

  • Antes de implementar un perfil de Wi-Fi con PSK, confirme que el dispositivo puede conectarse directamente al punto de conexión.Before you deploy a Wi-Fi profile with PSK, confirm that the device can connect to the endpoint directly.

  • Al rotar claves (contraseñas o frases de contraseña), tenga previsto que va a producirse un tiempo de inactividad y, por tanto, planee las implementaciones.When rotating keys (passwords or passphrases), expect downtime and plan your deployments. Considere la posibilidad de insertar nuevos perfiles de Wi-Fi durante las horas no laborables.Consider pushing new Wi-Fi profiles during non-working hours. Avise igualmente a los usuarios de que la conectividad puede verse afectada.Also, warn users that connectivity may be affected.

  • Para tener una transición sin problemas, asegúrese de que el dispositivo del usuario final tenga una conexión a Internet alternativa.For a smooth transition, be sure the end user’s device has an alternate connection to the Internet. Por ejemplo, el usuario final puede volver a la red Wi-Fi de invitado (o a alguna otra red Wi-Fi) o disponer de una conexión de telefonía móvil para comunicarse con Intune.For example, the end user can switch back to Guest WiFi (or some other WiFi network) or have cellular connectivity to communicate with Intune. Esta conexión adicional permite que el usuario reciba actualizaciones de las directivas cuando se actualice el perfil de red Wi-Fi corporativo en el dispositivo.The extra connection allows the user to receive policy updates when the corporate WiFi Profile is updated on the device.

Pasos siguientesNext steps

Asegúrese de asignar el perfil y supervise su estado.Be sure to assign the profile, and monitor its status.