Usare un profilo di dispositivo personalizzato per creare un profilo WiFi con una chiave precondivisa usando Intune

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Le chiavi precondivise (PSK) vengono in genere usate per autenticare gli utenti in reti Wi-Fi o in reti LAN wireless. Con Intune è possibile creare criteri di configurazione del dispositivo WiFi usando una chiave precondivisa.

Per creare il profilo, usare la funzionalità per i profili di dispositivo personalizzati all'interno di Intune.

Questa funzionalità si applica a:

• Amministratore del dispositivo Android
• Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
• Windows
• Wi-Fi basato su EAP

È possibile aggiungere informazioni Wi-Fi e PSK in un file XML. Aggiungere quindi il file XML a un criterio di configurazione del dispositivo personalizzato in Intune. Quando il criterio è pronto, si assegnano i criteri ai dispositivi. Al successivo check-in del dispositivo, vengono applicati i criteri e viene creato un profilo di Wi-Fi nel dispositivo.

Questo articolo illustra come creare i criteri in Intune e include un esempio XML di un criterio di Wi-Fi basato su EAP.

Importante

• L'uso di una chiave precon condivisa con Windows 10/11 causa un errore di correzione da visualizzare in Intune. In questo caso, il profilo Wi-Fi viene assegnato correttamente al dispositivo e il profilo funziona come previsto.
• Se si esporta un profilo Wi-Fi che include una chiave precondivisa, verificare che il file sia protetto. La chiave è in testo normale. È tua responsabilità proteggere la chiave.

Prerequisiti

• Per creare i criteri, accedere almeno all'interfaccia di amministrazione Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager. Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.

Prima di iniziare

• Potrebbe essere più semplice copiare la sintassi XML da un computer che si connette a tale rete, come descritto in Creare il file XML da una connessione Wi-Fi esistente (in questo articolo).
• È possibile aggiungere più reti e chiavi aggiungendo altre impostazioni URI OMA.
• Per iOS/iPadOS, usare Apple Configurator in una stazione Mac per impostare il profilo.
• PSK richiede una stringa di 64 cifre esadecimali o una passphrase tra gli 8 e i 63 caratteri ASCII stampabili. Alcuni caratteri, ad esempio asterisco (*), non sono supportati.

Creare un profilo personalizzato

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

3. Immettere le seguenti proprietà:

   • Piattaforma:scegli la piattaforma.
   • Tipo di profilo: selezionare Personalizzato. In caso contrario, selezionare Modelli>personalizzati.

4. Selezionare Crea.

5. In Informazioni di base immettere le seguenti proprietà:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è Profilo di Wi-Fi Android-Custom.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione selezionare Aggiungi. Aggiungere una nuova impostazione OMA-URI con le proprietà seguenti:

   1. Nome: immettere un nome per l'impostazione URI OMA.

   2. Descrizione:immettere una descrizione per l'impostazione URI OMA. Questa impostazione è facoltativa ma consigliata.

   3. URI OMA: immettere una delle opzioni seguenti:

      • Per Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Per Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Nota

      • Assicurarsi di includere il carattere punto all'inizio del valore URI OMA.
      • Se l'SSID dispone di uno spazio, aggiungere uno spazio di escape %20.

      SSID (Service Set Identifier) è il nome di rete Wi-Fi per cui si stanno creando i criteri. Ad esempio, se il Wi-Fi è denominato Hotspot-1, immettere ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Se il Wi-Fi è denominato Contoso WiFi, immettere ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (con lo %20spazio di escape).

   4. Tipo di dati: Selezionare Stringa.

   5. Valore: incollare il codice XML. Vedere gli esempi in questo articolo. Aggiornare ogni valore in modo corrispondente alle impostazioni di rete. La sezione relativa ai commenti del codice include alcuni puntatori.

   6. Selezionare Aggiungi per salvare le modifiche.

8. Seleziona Avanti.

9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

   Seleziona Avanti.

10. In Assegnazioni selezionare gli utenti o il gruppo utenti che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

    Nota

    Questi criteri possono essere assegnati solo a gruppi di utenti.

    Seleziona Avanti.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Alla successiva verifica da parte del dispositivo, vengono applicati i criteri e viene creato un profilo Wi-Fi nel dispositivo. Il dispositivo può quindi connettersi automaticamente alla rete.

Esempio di profilo Wi-Fi Android o Windows

L'esempio seguente include il codice XML per un profilo Wi-Fi Android o Windows. L'esempio è fornito per mostrare il formato corretto e fornire altri dettagli. È solo un esempio e non è da intendersi come configurazione consigliata per l'ambiente.

Informazioni importanti

• <protected>false</protected> deve essere impostato su false. Se true, il dispositivo potrebbe aspettarsi una password crittografata e quindi provare a decrittografarlo; che può causare una connessione non riuscita.

• <hex>53534944</hex> deve essere impostato sul valore esadecimale di <name><SSID of wifi profile></name>. Windows 10/11 i dispositivi possono restituire un errore falsox87D1FDE8 Remediation failed, ma il dispositivo contiene ancora il profilo.

• Il codice XML contiene caratteri speciali, come la e commerciale (&). L'uso di caratteri speciali può impedire al codice XML di funzionare come previsto.

Esempio

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Esempio di profilo Wi-Fi basato su EAP

L'esempio seguente include il codice XML per un profilo di Wi-Fi basato su EAP. L'esempio mostra il formato corretto e fornisce altri dettagli. È solo un esempio e non è da intendersi come configurazione consigliata per l'ambiente.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Creare il file XML da una connessione Wi-Fi esistente

È possibile creare il file XML da una connessione Wi-Fi esistente. In un computer Windows, eseguire i passaggi seguenti:

1. Creare una cartella locale per i profili di Wi-Fi esportati, ad esempio c:\WiFi.

2. Aprire un prompt dei comandi come amministratore (fare clic con il pulsante destro del mouse su cmd>Esegui come amministratore).

3. Eseguire netsh wlan show profiles. Vengono elencati i nomi di tutti i profili.

4. Eseguire netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Questo comando crea un file denominato Wi-Fi-YourProfileName.xml in c:\Wifi.

   • Se si esporta un profilo Wi-Fi che include una chiave precondivisa, aggiungere key=clear al comando . Il key=clear parametro esporta la chiave in testo normale, necessaria per usare correttamente il profilo:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Se l'elemento del profilo <name></name> Wi-Fi esportato include uno spazio, potrebbe restituire un ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) errore quando viene assegnato. Quando si verifica questo problema, il profilo è elencato in \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces e viene visualizzato come una rete nota. Ma non viene visualizzato correttamente come criterio gestito in "Aree gestite da..." URI.

     Per risolvere questo problema, rimuovere lo spazio.

Dopo aver creato il file XML, copiare e incollare la sintassi XML in Impostazioni > URI OMA Tipo di dati. Creare un profilo personalizzato (in questo articolo) illustra la procedura.

Consiglio

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} include anche tutti i profili in formato XML.

Procedure consigliate

• Prima di distribuire un profilo Wi-Fi con una chiave precondivisa, verificare che il dispositivo possa connettersi direttamente all'endpoint.

• Durante la rotazione delle chiavi (password o passphrase), prevedere un tempo di inattività e pianificare le distribuzioni. Dovresti:

  • Verificare che i dispositivi dispongano di una connessione alternativa a Internet.

    Ad esempio, l'utente può tornare al Wi-Fi guest (o a un'altra rete Wi-Fi) o avere connettività cellulare per la comunicazione con Intune. La connessione aggiuntiva consente all'utente di ricevere gli aggiornamenti dei criteri quando il profilo di Wi-Fi aziendale viene aggiornato nel dispositivo.

  • Eseguire il push di nuovi profili Wi-Fi durante l'orario non lavorativo.

  • Avvisare gli utenti che la connettività potrebbe essere influenzata.

Risorse

Assicurarsi di assegnare il profilo e di monitorarne lo stato.