Utiliser un profil d’appareil personnalisé pour créer un profil Wi-Fi avec une clé prépartagée à l’aide d’Intune

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Les clés prépartagées (PSK) servent généralement à authentifier les utilisateurs sur les réseaux Wi-Fi ou réseaux locaux sans fil. Avec Intune, vous pouvez créer une stratégie de configuration d’appareil Wi-Fi à l’aide d’une clé prépartagée.

Pour créer le profil, utilisez la fonctionnalité Profils d’appareil personnalisés dans Intune.

Cette fonctionnalité s’applique à :

• Administrateur d’appareils Android
• Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
• Windows
• Wi-Fi basé sur EAP

Vous ajoutez des informations Wi-Fi et PSK dans un fichier XML. Ensuite, vous ajoutez le fichier XML à une stratégie de configuration d’appareil personnalisée dans Intune. Lorsque la stratégie est prête, vous affectez la stratégie à vos appareils. La prochaine fois que l’appareil s’archive, la stratégie est appliquée et un profil Wi-Fi est créé sur l’appareil.

Cet article explique comment créer la stratégie dans Intune et inclut un exemple XML d’une stratégie de Wi-Fi basée sur EAP.

Importante

• L’utilisation d’une clé prépartagée avec Windows 10/11 entraîne l’affichage d’une erreur de correction dans Intune. Dans ce cas, le profil Wi-Fi est correctement attribué à l’appareil et le profil fonctionne comme prévu.
• Si vous exportez un profil Wi-Fi incluant une clé prépartagée, vérifiez que le fichier est protégé. La clé est en texte brut. Il est de votre responsabilité de protéger la clé.

Configuration requise

• Pour créer la stratégie, connectez-vous au minimum au centre d’administration Microsoft Intune avec un compte disposant du rôle intégré Gestionnaire de stratégies et de profils. Pour plus d’informations sur les rôles intégrés, accédez à Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Avant de commencer

• Il peut être plus facile de copier la syntaxe XML à partir d’un ordinateur qui se connecte à ce réseau, comme décrit dans Créer le fichier XML à partir d’une connexion Wi-Fi existante (dans cet article).
• Vous pouvez ajouter plusieurs réseaux et plusieurs clés en ajoutant davantage de paramètres OMA-URI.
• Pour iOS/iPadOS, utilisez l’outil Apple Configurator sur une station Mac pour configurer le profil.
• PSK nécessite une chaîne de 64 chiffres hexadécimaux ou une phrase secrète de 8 à 63 caractères ASCII imprimables. Certains caractères, tels que l’astérisque (*), ne sont pas pris en charge.

Créer un profil personnalisé

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezConfiguration>des appareils>Créer.

3. Entrez les propriétés suivantes :

   • Plateforme : choisissez votre plateforme.
   • Type de profil : sélectionnez Personnalisé. Vous pouvez également sélectionner Modèles>Personnalisé.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est profil Wi-Fi personnalisé Android.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans Paramètres de configuration, sélectionnez Ajouter. Ajoutez un nouveau paramètre OMA-URI avec les propriétés suivantes :

   1. Nom : donnez un nom au paramètre OMA-URI.

   2. Description : entrez une description du paramètre OMA-URI. Ce paramètre est facultatif, mais recommandé.

   3. OMA-URI : entrez l’une des options suivantes :

      • Pour Android : ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Pour Windows : ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml.

      Remarque

      • Veillez à inclure le caractère point au début de la valeur OMA-URI.
      • Si le SSID comporte un espace, ajoutez un espace d’échappement %20.

      SSID (Service Set Identifier) est votre nom réseau Wi-Fi pour lequel vous créez la stratégie. Par exemple, si le réseau Wi-Fi s’appelle Hotspot-1, entrez ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Si le réseau Wi-Fi s’appelle Contoso WiFi, entrez ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (avec l’espace d’échappement %20).

   4. Type de données : sélectionner Chaîne.

   5. Valeur : collez votre code XML. Consultez les exemples de cet article. Mettez à jour chaque valeur pour correspondre à vos paramètres réseau. La section Commentaires du code inclut certains pointeurs.

   6. Sélectionnez Ajouter pour enregistrer vos changements.

8. Sélectionnez Suivant.

9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée.

   Sélectionnez Suivant.

10. Dans Affectations, sélectionnez les utilisateurs ou le groupe d’utilisateurs qui recevront votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.

    Remarque

    Cette stratégie peut être attribuée uniquement à des groupes d’utilisateurs.

    Sélectionnez Suivant.

11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Lors du prochain enregistrement de chaque appareil, la stratégie est appliquée et un profil Wi-Fi est créé sur l’appareil. L’appareil peut alors se connecter automatiquement au réseau.

Exemple de profil Wi-Fi Android ou Windows

L’exemple suivant inclut le code XML pour un profil Wi-Fi Android ou Windows. L’exemple est fourni pour afficher le format approprié et fournir des détails supplémentaires. Ce n’est qu’un exemple et non une configuration recommandée pour votre environnement.

Ce que vous devez savoir

• <protected>false</protected> doit être défini sur false. Si la valeur est true, l’appareil peut attendre un mot de passe chiffré, puis essayer de le déchiffrer. ce qui peut entraîner un échec de connexion.

• <hex>53534944</hex> doit être défini sur la valeur hexadécimale de <name><SSID of wifi profile></name>. les appareils Windows 10/11 peuvent retourner une erreur faussex87D1FDE8 Remediation failed, mais l’appareil contient toujours le profil.

• Le code XML comporte des caractères spéciaux, comme le & (esperluette). L’utilisation de caractères spéciaux peut empêcher le code XML de fonctionner comme prévu.

Exemple

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Exemple de profil Wi-Fi basé sur EAP

L’exemple suivant inclut le code XML d’un profil de Wi-Fi basé sur EAP. L’exemple montre le format approprié et fournit plus de détails. Ce n’est qu’un exemple et non une configuration recommandée pour votre environnement.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Création du fichier XML à partir d’une connexion Wi-Fi existante

Vous pouvez également créer un du fichier XML à partir d’une connexion Wi-Fi existante. Sur un ordinateur Windows, utilisez les étapes suivantes :

1. Créez un dossier local pour les profils Wi-Fi exportés, par exemple c :\WiFi.

2. Ouvrez une invite de commande en tant qu’administrateur (cliquez avec le bouton droit et sélectionnez cmd>Exécuter en tant qu’administrateur).

3. Exécutez netsh wlan show profiles. Les noms de tous les profils s’affichent.

4. Exécutez netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Cette commande crée un fichier nommé Wi-Fi-YourProfileName.xml dans c:\Wifi.

   • Si vous exportez un profil Wi-Fi qui inclut une clé prépartagée, ajoutez key=clear à la commande . Le key=clear paramètre exporte la clé en texte brut, ce qui est nécessaire pour utiliser correctement le profil :

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Si l’élément de profil <name></name> Wi-Fi exporté inclut un espace, il peut retourner une ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) erreur lorsqu’il est affecté. Lorsque ce problème se produit, le profil est répertorié dans \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces et s’affiche en tant que réseau connu. Toutefois, il ne s’affiche pas correctement en tant que stratégie managée dans l’URI « Zones gérées par... ».

     Pour résoudre ce problème, supprimez l’espace.

Une fois que vous avez le fichier XML, copiez et collez la syntaxe XML dans les paramètres > OMA-URI Type de données. La section Créer un profil personnalisé (dans cet article) répertorie les étapes.

Conseil

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} inclut également tous les profils au format XML.

Meilleures pratiques

• Avant de déployer un profil Wi-Fi avec une clé prépartagée, vérifiez que l’appareil peut se connecter directement au point de terminaison.

• Lors de la rotation des clés (mots de passe ou phrases secrètes), prévoyez un temps d’arrêt et planifiez vos déploiements. Tu devrais:

  • Vérifiez que les appareils disposent d’une autre connexion à Internet.

    Par exemple, l’utilisateur final peut revenir au Wi-Fi invité (ou un autre réseau Wi-Fi), ou disposer d’une connectivité cellulaire pour communiquer avec Intune. La connexion supplémentaire permet à l’utilisateur de recevoir des mises à jour de stratégie lorsque le profil de Wi-Fi d’entreprise est mis à jour sur l’appareil.

  • Pousser de nouveaux profils Wi-Fi pendant les heures creuses.

  • Avertir les utilisateurs que la connectivité peut être affectée.

Ressources

Affectez le profil et effectuez un monitorage de son état.