Uso de un perfil de dispositivo personalizado para crear un perfil wi-fi con una clave previamente compartida mediante Intune

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Las claves precompartidas se suelen usar para autenticar a los usuarios en redes Wi-Fi o en redes LAN inalámbricas. Con Intune, puede crear una directiva de configuración de dispositivos WiFi mediante una clave previamente compartida.

Para crear el perfil, utilice la característica Personalizar perfiles de dispositivo en Intune.

Esta característica se aplica a:

• Administrador de dispositivos Android
• Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
• Windows
• Wi-Fi basado en EAP

Agregue información de Wi-Fi y PSK en un archivo XML. A continuación, agregue el archivo XML a una directiva de configuración de dispositivo personalizada en Intune. Cuando la directiva esté lista, asigne la directiva a los dispositivos. La próxima vez que el dispositivo se registra, se aplica la directiva y se crea un perfil de Wi-Fi en el dispositivo.

En este artículo se muestra cómo crear la directiva en Intune e incluye un ejemplo XML de una directiva de Wi-Fi basada en EAP.

Importante

• El uso de una clave previamente compartida con Windows 10/11 provoca que se muestre un error de corrección en Intune. Cuando esto sucede, el perfil de Wi-Fi se asigna correctamente al dispositivo y el perfil funciona según lo esperado.
• Si exporta un perfil de Wi-Fi que incluye una clave previamente compartida, asegúrese de que el archivo esté protegido. La clave está en texto sin formato. Es su responsabilidad proteger la clave.

Requisitos previos

• Para crear la directiva, como mínimo, inicie sesión en el centro de administración de Microsoft Intune con una cuenta que tenga el rol integrado Administrador de perfiles y directivas. Para obtener más información sobre los roles integrados, vaya a Control de acceso basado en rol para Microsoft Intune.

Antes de empezar

• Puede ser más fácil copiar la sintaxis XML de un equipo que se conecta a esa red, como se describe en Creación del archivo XML a partir de una conexión Wi-Fi existente (en este artículo).
• Puede agregar varias redes y claves si agrega más configuraciones de OMA-URI.
• En iOS/iPadOS, use Apple Configurator en una estación Mac para configurar el perfil.
• La opción de PSK requiere una cadena de 64 dígitos hexadecimales o una frase de contraseña de entre 8 y 63 caracteres ASCII imprimibles. No se admiten algunos caracteres, como asterisco (*).

Cree un perfil personalizado

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Creaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: elija su plataforma.
   • Tipo de perfil: seleccione Personalizado. O bien, seleccione Plantillas>Personalizado.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es Android-Custom Wi-Fi perfil.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, seleccione Agregar. Escriba una nueva configuración de OMA-URI con las siguientes propiedades:

   1. Nombre: escriba un nombre para la configuración OMA-URI.

   2. Descripción: escriba una descripción para la configuración OMA-URI. Esta configuración es opcional pero recomendada.

   3. OMA-URI: escriba una de las siguientes opciones:

      • En Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • En Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Nota:

      • Asegúrese de incluir el carácter de punto al principio del valor de OMA-URI.
      • Si el SSID tiene un espacio, entonces añada un espacio de barra espaciadora %20.

      SSID (Identificador de conjunto de servicios) es el nombre de red Wi-Fi para el que va a crear la directiva. Por ejemplo, si el nombre de la red Wi-Fi es Hotspot-1, escriba ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Si el Wi-Fi se llama Contoso WiFi, introduzca ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (con el espacio de barra espaciadora%20).

   4. Tipo de datos: seleccione Cadena.

   5. Valor: pegue el código XML. Vea los ejemplos de este artículo. Actualice cada valor para que coincida con la configuración de red. En la sección de comentarios del código se incluye información útil.

   6. Haga clic en Agregar para guardar los cambios.

8. Seleccione Siguiente.

9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de RBAC y etiquetas de ámbito para TI distribuida.

   Seleccione Siguiente.

10. En Asignaciones, seleccione los usuarios o el grupo de usuarios que van a recibir el perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Nota:

    Esta directiva solo se puede asignar a grupos de usuarios.

    Seleccione Siguiente.

11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La siguiente vez que se registre cada dispositivo, se aplicará la directiva y se creará un perfil de Wi-Fi en el dispositivo. A partir de entonces el dispositivo podrá conectarse automáticamente a la red.

Ejemplo de perfil de Wi-Fi de Windows o Android

Este es un ejemplo del código XML de un perfil de Wi-Fi de Android o Windows. El ejemplo se proporciona para mostrar un formato correcto y proporcionar más detalles. Es solo un ejemplo y no está pensado como una configuración recomendada para su entorno.

Aspectos que debe saber

• <protected>false</protected> debe establecerse en falso. Cuando es true, podría hacer que el dispositivo esperara una contraseña cifrada y, a continuación, intentar descifrarla; que puede dar lugar a una conexión con errores.

• <hex>53534944</hex> se debería establecer en el valor hexadecimal de <name><SSID of wifi profile></name>. los dispositivos Windows 10/11 pueden devolver un error falsox87D1FDE8 Remediation failed, pero el dispositivo todavía contiene el perfil.

• El archivo XML tiene caracteres especiales, como & (y comercial). El uso de caracteres especiales puede impedir que el XML funcione según lo esperado.

Ejemplo

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Ejemplo de perfil de Wi-Fi basado en EAP

En el ejemplo siguiente se incluye el código XML para un perfil de Wi-Fi basado en EAP. En el ejemplo se muestra el formato adecuado y se proporcionan más detalles. Es solo un ejemplo y no está pensado como una configuración recomendada para su entorno.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Crear el archivo XML desde una conexión Wi-Fi existente

También puede crear un archivo XML desde una conexión Wi-Fi existente. En un equipo Windows, siga estos pasos:

1. Cree una carpeta local para los perfiles de Wi-Fi exportados, como c:\WiFi.

2. Abra un símbolo del sistema como administrador (haga clic con el botón secundario en cmd>Ejecutar como administrador).

3. Ejecute netsh wlan show profiles. Se muestran los nombres de todos los perfiles.

4. Ejecute netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Este comando crea un archivo denominado Wi-Fi-YourProfileName.xml en c:\Wifi.

   • Si va a exportar un perfil de Wi-Fi que incluye una clave previamente compartida, agregue key=clear al comando . El key=clear parámetro exporta la clave en texto sin formato, que es necesario para usar correctamente el perfil:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Si el elemento de perfil <name></name> Wi-Fi exportado incluye un espacio, podría devolver un ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) error cuando se le asigne. Cuando se produce este problema, el perfil aparece en \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces y se muestra como una red conocida. Pero no se muestra correctamente como una directiva administrada en la el URI "Areas administradas por..." URI.

     Para resolver este problema, quite el espacio.

Después de tener el archivo XML, copie y pegue la sintaxis XML en la configuración > de OMA-URI Tipo de datos. En Creación de un perfil personalizado (en este artículo) se indican los pasos.

Sugerencia

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} incluye también todos los perfiles en formato XML.

Procedimientos recomendados

• Antes de implementar un perfil de Wi-Fi con PSK, confirme que el dispositivo pueda conectarse directamente al punto de conexión.

• Al rotar claves (contraseñas o frases de contraseña), tenga previsto que va a producirse un tiempo de inactividad y, por tanto, planee las implementaciones. Debe hacer lo siguiente:

  • Confirme que los dispositivos tienen una conexión alternativa a Internet.

    Por ejemplo, el usuario final puede volver a la red Wi-Fi de invitado (o a alguna otra red Wi-Fi) o disponer de una conexión de telefonía móvil para comunicarse con Intune. La conexión adicional permite al usuario recibir actualizaciones de directiva cuando el perfil de Wi-Fi corporativo se actualiza en el dispositivo.

  • Insertar nuevos perfiles de Wi-Fi durante horas no laborables.

  • Advertir a los usuarios de que la conectividad podría verse afectada.

Recursos

Asegúrese de asignar el perfil y supervise su estado.