Usare un profilo di dispositivo personalizzato per la creazione di un profilo Wi-Fi con una chiave precondivisa - IntuneUse a custom device profile to create a WiFi profile with a pre-shared key - Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Vedere l'introduzione a Intune.Read the introduction to Intune.

Le chiavi precondivise (PSK) vengono in genere usate per autenticare gli utenti in reti Wi-Fi o in reti LAN wireless.Pre-shared keys (PSK) are typically used to authenticates users in WiFi networks, or wireless LANs. Con Intune è possibile creare un profilo Wi-Fi con una chiave precondivisa.With Intune, you can create a WiFi profile using a pre-shared key. Per creare il profilo, usare la funzionalità per i profili di dispositivo personalizzati all'interno di Intune.To create the profile, use the Custom device profiles feature within Intune. Questo articolo include anche alcuni esempi di come creare un profilo Wi-Fi basato su EAP.This article also includes some examples of how to create an EAP-based Wi-Fi profile.

Importante

  • L'uso di una chiave precondivisa con Windows 10 determina la visualizzazione di un errore di correzione in Intune.Using a pre-shared key with Windows 10 causes a remediation error to appear in Intune. Quando ciò accade, il profilo Wi-Fi viene assegnato correttamente al dispositivo e il profilo funziona come previsto.When this happens, the Wi-Fi profile is properly assigned to the device, and the profile works as expected.
  • Se si esporta un profilo Wi-Fi che include una chiave precondivisa, verificare che il file sia protetto.If you export a Wi-Fi profile that includes a pre-shared key, be sure the file is protected. La chiave è in testo normale ed è quindi necessario proteggerla.The key is in plain text, so it's your responsibility to protect the key.

Prima di iniziareBefore you begin

  • Può risultare più semplice copiare il codice da un computer che si connette alla rete, come descritto di seguito in questo articolo.It may be easier to copy the code from a computer that connects to that network, as described later in this article.
  • Per Android, è anche possibile usare Android PSK Generator.For Android, you can also use the Android PSK Generator.
  • È possibile aggiungere più reti e chiavi aggiungendo altre impostazioni URI OMA.You can add multiple networks and keys by adding more OMA-URI settings.
  • Per iOS, usare Apple Configurator in una stazione Mac per impostare il profilo.For iOS, use Apple Configurator on a Mac station to set up the profile. In alternativa, usare iOS PSK Mobile Config Generator.Or, use iOS PSK Mobile Config Generator.

Creare un profilo personalizzatoCreate a custom profile

È possibile creare un profilo personalizzato con una chiave precondivisa per Android, Windows o un profilo Wi-Fi basato su EAP.You can create a custom profile with a pre-shared key for Android, Windows, or an EAP-based Wi-Fi profile. Per creare il profilo mediante il portale di Azure, vedere Come configurare le impostazioni dispositivo personalizzate in Microsoft Intune.To create the profile using the Azure portal, see Create custom device settings. Quando si crea il profilo di dispositivo, scegliere Personalizzato per la piattaforma del dispositivo.When you create the device profile, choose Custom for your device platform. Non selezionare il profilo Wi-Fi.Don't select the Wi-Fi profile. Quando si sceglie Personalizzato, assicurarsi di:When you choose custom, be sure to:

  1. Immettere un nome e una descrizione del profilo.Enter a name and description of the profile.

  2. Aggiungere una nuova impostazione URI OMA con le proprietà seguenti:Add a new OMA-URI setting with the following properties:

    a.a. Immettere un nome per questa impostazione di rete Wi-FiEnter a name for this Wi-Fi network setting

    b.b. (Facoltativo) Immettere una descrizione dell'impostazione URI OMA o lasciare il campo vuoto(Optional) Enter a description of the OMA-URI setting, or leave it blank

    c.c. Impostare Tipo di dati su StringSet the Data Type to String

    d.d. OMA-URI:OMA-URI:

    • Per Android: ./Vendor/MSFT/WiFi/Profile//SettingsFor Android: ./Vendor/MSFT/WiFi/Profile//Settings

    • err Windows: ./Vendor/MSFT/WiFi/Profile/MyNetwork/WlanXmlFor Windows: ./Vendor/MSFT/WiFi/Profile/MyNetwork/WlanXml

      Nota

      Assicurarsi di includere il carattere punto (.) all'inizio.Be sure to include the dot character at the beginning.

      SSID è l'identificatore del set di servizi per cui si stanno creando i criteri.SSID is the SSID for which you’re creating the policy. Immettere ad esempio ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings.For example, enter ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings.

    e.e. Campo valore è la posizione in cui si incolla il codice XML.Value Field is where you paste your XML code. Vedere gli esempi in questo articolo.See the examples within this article. Aggiornare ogni valore in modo corrispondente alle impostazioni di rete.Update each value to match your network settings. La sezione relativa ai commenti del codice include alcuni puntatori.The comments section of the code includes some pointers.

  3. Selezionare OK, salvare e assegnare i criteri.Select OK, save, and then assign the policy.

    Nota

    Questi criteri possono essere assegnati solo a gruppi di utenti.This policy can only be assigned to user groups.

Alla successiva verifica da parte del dispositivo, vengono applicati i criteri e viene creato un profilo Wi-Fi nel dispositivo.The next time each device checks in, the policy is applied, and a Wi-Fi profile is created on the device. Il dispositivo può quindi connettersi automaticamente alla rete.The device can then connect to the network automatically.

Esempio di profilo Wi-Fi Android o WindowsAndroid or Windows Wi-Fi profile example

L'esempio seguente include il codice XML per un profilo Wi-Fi Android o Windows.The following example includes the XML code for an Android or Windows Wi-Fi profile.

Importante

<protected>false</protected> deve essere impostato su false.<protected>false</protected> must be set to false. Se true, il dispositivo potrebbe aspettarsi una password crittografata e quindi tentare di decrittografarla, con potenziale esito negativo della connessione.When true, it could cause the device to expect an encrypted password, and then try to decrypt it; which may result in a failed connection.

<hex>53534944</hex> deve essere impostato sul valore esadecimale di <name><SSID of wifi profile></name>.<hex>53534944</hex> should be set to the hexadecimal value of <name><SSID of wifi profile></name>. I dispositivi Windows 10 possono restituire un errore 0x87D1FDE8 Correzione non riuscita falso, ma il dispositivo contiene comunque il profilo.Windows 10 devices may return a false 0x87D1FDE8 Remediation failed error, but the device still contains the profile.

<!--
<Name of wifi profile> = Name of profile
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped, could be <name>Your Company's Network</name>
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which may result in a failed connection.
<password> = Password to connect to the network
x>53534944</hex> should be set to the hexadecimal value of <name><SSID of wifi profile></name>
-->
<WLANProfile
xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>networkKey</keyType>
        <protected>false</protected>
        <keyMaterial>MyPassword</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Esempio di profilo Wi-Fi basato su EAPEAP-based Wi-Fi profile example

L'esempio seguente include il codice XML per un profilo Wi-Fi basato su EAP:The following example includes the XML code for an EAP-based Wi-Fi profile:

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Creare il file XML da una connessione Wi-Fi esistenteCreate the XML file from an existing Wi-Fi connection

È possibile creare un file XML da una connessione Wi-Fi esistente seguendo questa procedura:You can also create an XML file from an existing Wi-Fi connection using the following steps:

  1. In un computer connesso alla rete wireless, o connesso di recente alla rete, aprire la cartella \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid}.On a computer that is connected to, or has recently connected to the wireless network, open the \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} folder.

    È consigliabile usare un computer che non si è connesso a molte reti wireless.It’s best to use a computer that hasn't connected to many wireless networks. In caso contrario, può essere necessario esaminare ogni profilo per trovare quello corretto.Otherwise, you may have to search through each profile to find the correct one.

  2. Eseguire una ricerca nei file XML per individuare quello con il nome corretto.Search through the XML files to locate the file with the correct name.

  3. Dopo aver individuato il file XML corretto, copiare e incollare il codice XML nel campo Dati della pagina delle impostazioni URI OMA.After you have the correct XML file, copy and paste the XML code into the Data field of the OMA-URI settings page.

Procedure consigliateBest practices

  • Prima di distribuire un profilo Wi-Fi con una chiave precondivisa, verificare che il dispositivo possa connettersi direttamente all'endpoint.Before you deploy a Wi-Fi profile with PSK, confirm that the device can connect to the endpoint directly.

  • Durante la rotazione delle chiavi (password o passphrase), prevedere un tempo di inattività e pianificare di conseguenza le distribuzioni.When rotating keys (passwords or passphrases), expect downtime and plan your deployments accordingly. Considerare di effettuare il push dei nuovi profili Wi-Fi durante ore non lavorative.Consider pushing new Wi-Fi profiles during non-working hours. Avvisare anche gli utenti che la connettività potrebbe essere compromessa.Also, warn users that connectivity may be impacted.

  • Per garantire una transizione senza problemi, verificare che il dispositivo dell'utente disponga di una connessione a Internet alternativa.To ensure a smooth transition, make sure the end user’s device has an alternate connection to the Internet. Ad esempio, l'utente deve essere in grado di tornare al Wi-Fi guest (o a un'altra rete Wi-Fi) o avere connettività cellulare per la comunicazione con Intune.For example, the end user must be able to switch back to Guest WiFi (or some other WiFi network) or have cellular connectivity to communicate with Intune. Questa connessione alternativa consente all'utente di ricevere gli aggiornamenti dei criteri quando viene aggiornato il profilo Wi-Fi aziendale nel dispositivo.The extra connection allows the user to receive policy updates when the corporate WiFi Profile is updated on the device.