Activer l'authentification filaire802.1x

La mise à jour vers Windows10 du 14 novembre2017 (build15063.726) permet d'activer des stratégies GPM d'authentification filaire802.1x sur les appareils Surface Hub. Cette fonctionnalité permet aux organisations de mettre en œuvre une authentification réseau filaire normalisée à l'aide du protocole d’authentificationIEEE802.1x. Cette option est déjà disponible pour l’authentification sans fil à l’aide de profils WLAN via GPM. Cette rubrique explique comment configurer un Surface Hub pour l'utiliser avec l’authentification filaire.

La mise en œuvre et l’activation de l’authentification filaire802.1x sur Surface Hub peut s'effectuer via la définition de paramètres OMA-URI de GPM.

La principale configuration à définir est la stratégie LanProfile. En fonction de la méthode d’authentification sélectionnée, d'autres stratégies peuvent être nécessaires: la stratégie EapUserData ou l'utilisation de stratégies GPM pour l'ajout de certificats d’utilisateur ou d’ordinateur (comme ClientCertificateInstall pour les certificats d'utilisateur/appareil ou RootCATrustedCertificates pour les certificats d'appareil).

Élément de stratégie LanProfile

Pour configurer le Surface Hub en vue d'utiliser l'une des méthodes d’authentification802.1x prises en charge, utilisez l’OMA-URI suivant.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Ce nœud OMA-URI prend une chaîne de texte XML comme paramètre. Le code XML fourni comme paramètre doit être conforme au schéma de profil du réseau local câblé, notamment les éléments du schéma802.1X.

Dans la plupart des cas, un administrateur ou un utilisateur peut exporter le code XML LanProfile à partir d’un PC existant, déjà configuré sur le réseau pour802.1X, à l’aide de la commande NETSH suivante.

netsh lan export profile folder=.

L'exécution de cette commande donnera la sortie suivante et placera un fichier intitulé Ethernet.xml dans le répertoire actif.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Élément de stratégie EapUserData

Si votre méthode d’authentification requiert un nom d’utilisateur et un mot de passe par opposition à un certificat, vous pouvez utiliser l'élément EapUserData pour spécifier des informations d’identification pour l'appareil à utiliser pour s’authentifier sur le réseau.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

Ce nœud OMA-URI prend une chaîne de texte XML comme paramètre. Le code XML fourni comme paramètre doit être conforme à l'exemple de Propriétés de l'utilisateur PEAP MS-CHAPv2. Dans l’exemple, vous devez remplacer toutes les instances de test et ias-domain par vos informations.

Ajout de certificats

Si votre méthode d’authentification sélectionnée est basée sur des certificats, vous devez créer un packagede mise en service, utiliser la gestion des périphériques mobiles ( GPM) ou importer un certificat à partir des paramètres (Settings > mise à jour des paramètres et > certificatsde sécurité) pour déployer ces certificats sur votre appareil surface Hub dans le magasin de certificats approprié. Lorsque vous ajoutez des certificats, chaque PFX doit contenir un seul certificat (un PFX ne doit pas avoir plusieurs certificats).