Aggiungere Wi-Fi impostazioni per i dispositivi Windows 10/11 in Intune

  • Articolo

Nota

Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

È possibile creare un profilo con impostazioni Wi-Fi specifiche. Distribuire quindi questo profilo nei dispositivi client Windows. Microsoft Intune offre molte funzionalità, tra cui l'autenticazione alla rete, l'uso di una chiave precondivisa e altro ancora.

Questo articolo descrive alcune di queste impostazioni.

Prima di iniziare

Creare un profilo di configurazione del dispositivo Windows 10/11 Wi-Fi.

Queste impostazioni usano il provider di servizi di configurazione Wi-Fi.

Profilo di base

I profili di base o personali usano WPA/WPA2 per proteggere la connessione Wi-Fi nei dispositivi. In genere, WPA/WPA2 viene usato in reti home o reti personali. È anche possibile aggiungere una chiave precon condivisa per autenticare la connessione.

  • Tipo Wi-Fi: selezionare Basic.

  • Nome Wi-Fi (SSID): abbreviazione dell'identificatore del set di servizi. Questo valore è il nome reale della rete wireless a cui si connettono i dispositivi. Tuttavia, gli utenti visualizzano solo il nome di connessione configurato quando scelgono la connessione.

  • Nome connessione: immettere un nome descrittivo per questa connessione Wi-Fi. Il testo immesso è il nome visualizzato dagli utenti quando esplorano le connessioni disponibili nel dispositivo. Immettere ad esempio ContosoWiFi.

  • Connettersi automaticamente quando sono nell'intervallo: quando , i dispositivi si connettono automaticamente quando si trovano nell'intervallo di questa rete. Quando No, i dispositivi non si connettono automaticamente.

    • Connettersi a una rete più preferita, se disponibile: se i dispositivi si trovano nell'intervallo di una rete più preferita, selezionare per usare la rete preferita. Selezionare No per usare la rete Wi-Fi in questo profilo di configurazione.

      Ad esempio, si crea una rete Wi-Fi ContosoCorp e si usa ContosoCorp all'interno di questo profilo di configurazione. È anche disponibile una rete ContosoGuest Wi-Fi compresa nell'intervallo. Quando i dispositivi aziendali sono compresi nell'intervallo, si vuole che si connettono automaticamente a ContosoCorp. In questo scenario impostare la proprietà Connect to more preferred network if available (Connetti a una rete più preferita se disponibile ) su No.

    • Connettersi a questa rete, anche quando non trasmette il proprio SSID: selezionare per connettersi automaticamente alla rete, anche quando la rete è nascosta. Ciò significa che l'identificatore del set di servizi (SSID) non viene trasmesso pubblicamente. Selezionare No se non si vuole che questo profilo di configurazione si connetta alla rete nascosta.

  • Limite connessione a consumo: un amministratore può scegliere come viene a consumo il traffico della rete. Le applicazioni possono quindi modificare il comportamento del traffico di rete in base a questa impostazione. Le opzioni disponibili sono:

    • Senza restrizioni: impostazione predefinita. La connessione non è a consumo e non esistono restrizioni sul traffico.
    • Correzione: usare questa opzione se la rete è configurata con un limite fisso per il traffico di rete. Dopo aver raggiunto questo limite, l'accesso alla rete non è consentito.
    • Variabile: usata questa opzione se il traffico di rete viene addebitato per byte (costo per byte).

  • Tipo di sicurezza wireless: immettere il protocollo di sicurezza usato per autenticare i dispositivi nella rete. Le opzioni disponibili sono:

    • Apri (nessuna autenticazione): usare questa opzione solo se la rete non è protetta.

    • WPA/WPA2-Personal: un'opzione più sicura ed è comunemente usata per la connettività Wi-Fi. Per maggiore sicurezza, è anche possibile immettere una password di chiave precon condivisa o una chiave di rete.

      • Chiave precon condivisa (PSK): facoltativa. Visualizzato quando si sceglie WPA/WPA2-Personal come tipo di sicurezza. Quando la rete dell'organizzazione è impostata o configurata, viene configurata anche una password o una chiave di rete. Immettere questa password o chiave di rete per il valore PSK. Immettere una stringa ASCII lunga 8-63 caratteri o con 64 caratteri esadecimali.

        Importante

        Il PSK è lo stesso per tutti i dispositivi a cui si fa riferimento il profilo. Se la chiave è compromessa, può essere usata da qualsiasi dispositivo per connettersi alla rete Wi-Fi. Mantenere al sicuro i psk per evitare l'accesso non autorizzato.

  • Impostazioni proxy aziendali: selezionare per usare le impostazioni proxy all'interno dell'organizzazione. Le opzioni disponibili sono:

    • Nessuno: non sono configurate impostazioni proxy.

    • Configura manualmente: immettere l'indirizzo IP del server proxy e il relativo numero di porta.

    • Configura automaticamente: immettere l'URL che punta a uno script di configurazione automatica del proxy. Immettere ad esempio http://proxy.contoso.com/proxy.pac.

      Per altre informazioni sui file PAC, vedere File di configurazione automatica del proxy (PAC) (apre un sito non Microsoft).

Profilo aziendale

I profili aziendali usano Extensible Authentication Protocol (EAP) per autenticare le connessioni Wi-Fi. EAP viene spesso usato dalle aziende, in quanto è possibile usare i certificati per autenticare e proteggere le connessioni. Configurare anche altre opzioni di sicurezza.

  • Tipo Wi-Fi: selezionare Enterprise.

  • Nome Wi-Fi (SSID): abbreviazione dell'identificatore del set di servizi. Questo valore è il nome reale della rete wireless a cui si connettono i dispositivi. Tuttavia, gli utenti visualizzano solo il nome di connessione configurato quando scelgono la connessione.

  • Nome connessione: immettere un nome descrittivo per questa connessione Wi-Fi. Il testo immesso è il nome visualizzato dagli utenti quando esplorano le connessioni disponibili nel dispositivo. Immettere ad esempio ContosoWiFi.

  • Connettersi automaticamente quando sono nell'intervallo: quando , i dispositivi si connettono automaticamente quando si trovano nell'intervallo di questa rete. Quando No, i dispositivi non si connettono automaticamente.

    • Connettersi a una rete più preferita, se disponibile: se i dispositivi si trovano nell'intervallo di una rete più preferita, selezionare per usare la rete preferita. Selezionare No per usare la rete Wi-Fi in questo profilo di configurazione.

      Ad esempio, si crea una rete Wi-Fi ContosoCorp e si usa ContosoCorp all'interno di questo profilo di configurazione. È anche disponibile una rete ContosoGuest Wi-Fi compresa nell'intervallo. Quando i dispositivi aziendali sono compresi nell'intervallo, si vuole che si connettono automaticamente a ContosoCorp. In questo scenario impostare la proprietà Connect to more preferred network if available (Connetti a una rete più preferita se disponibile ) su No.

  • Connettersi a questa rete, anche quando non trasmette il proprio SSID: selezionare per il profilo di configurazione per connettersi automaticamente alla rete, anche quando la rete è nascosta (ovvero il relativo SSID non viene trasmesso pubblicamente). Selezionare No se non si vuole che questo profilo di configurazione si connetta alla rete nascosta.

  • Limite connessione a consumo: un amministratore può scegliere come viene a consumo il traffico della rete. Le applicazioni possono quindi modificare il comportamento del traffico di rete in base a questa impostazione. Le opzioni disponibili sono:

    • Senza restrizioni: impostazione predefinita. La connessione non è a consumo e non esistono restrizioni sul traffico.
    • Correzione: usare questa opzione se la rete è configurata con un limite fisso per il traffico di rete. Dopo aver raggiunto questo limite, l'accesso alla rete non è consentito.
    • Variabile: usare questa opzione se il traffico di rete è costato per byte.

  • Modalità di autenticazione: selezionare la modalità di autenticazione del profilo Wi-Fi con il server Wi-Fi. Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, viene usata l'autenticazione utente o computer .
    • Utente: l'account utente che ha eseguito l'accesso al dispositivo esegue l'autenticazione alla rete Wi-Fi.
    • Computer: le credenziali del dispositivo eseguono l'autenticazione nella rete Wi-Fi.
    • Utente o computer: quando un utente ha eseguito l'accesso al dispositivo, le credenziali utente eseguono l'autenticazione nella rete Wi-Fi. Quando nessun utente ha eseguito l'accesso, le credenziali del dispositivo vengono autenticate.
    • Guest: nessuna credenziale associata alla rete Wi-Fi. L'autenticazione è aperta o gestita esternamente, ad esempio tramite una pagina Web.

  • Memorizzare le credenziali a ogni accesso: selezionare per memorizzare nella cache le credenziali utente o se gli utenti devono immetterle ogni volta durante la connessione al Wi-Fi. Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare questa funzionalità e memorizzare nella cache le credenziali.
    • Abilita: memorizza nella cache le credenziali utente quando vengono immesse la prima volta che gli utenti si connettono alla rete Wi-Fi. Le credenziali memorizzate nella cache vengono usate per le connessioni future e gli utenti non devono immetterle nuovamente.
    • Disabilita: le credenziali utente non vengono memorizzate o memorizzate nella cache. Quando ci si connette al Wi-Fi, gli utenti devono immettere le proprie credenziali ogni volta.

  • Periodo di autenticazione: immettere il numero di secondi di attesa dei dispositivi dopo il tentativo di autenticazione, da 1 a 3600. Se il dispositivo non si connette nel momento in cui si immette, l'autenticazione non riesce. Se si lascia vuoto questo valore o vuoto, 18 vengono usati i secondi.

  • Periodo di ritardo dei tentativi di autenticazione: immettere il numero di secondi tra un tentativo di autenticazione non riuscito e il successivo tentativo di autenticazione, compreso tra 1 e 3600. Se si lascia vuoto questo valore o vuoto, 1 viene usato il secondo.

  • Periodo di inizio: immettere il numero di secondi di attesa prima di inviare un messaggio di EAPOL-Start, da 1 a 3600. Se si lascia vuoto questo valore o vuoto, 5 vengono usati i secondi.

  • Numero massimo di EAPOL-start: immettere il numero di messaggi di EAPOL-Start, da 1 a 100. Se si lascia questo valore vuoto o vuoto, viene inviato un massimo di 3 messaggi.

  • Numero massimo di errori di autenticazione: immettere il numero massimo di errori di autenticazione per questo set di credenziali da autenticare, da 1 a 100. Se si lascia questo valore vuoto o vuoto, 1 viene usato il tentativo.

  • Single Sign-On (SSO): consente di configurare l'accesso Single Sign-On (SSO), in cui le credenziali vengono condivise per il computer e Wi-Fi l'accesso alla rete. Le opzioni disponibili sono:

    • Disabilita: disabilita il comportamento SSO. L'utente deve eseguire l'autenticazione alla rete separatamente.
    • Abilita prima dell'accesso dell'utente al dispositivo: usare l'accesso SSO per eseguire l'autenticazione in rete poco prima del processo di accesso dell'utente.
    • Abilita dopo l'accesso dell'utente al dispositivo: usare l'accesso SSO per eseguire l'autenticazione alla rete immediatamente dopo il completamento del processo di accesso dell'utente.
    • Tempo massimo di autenticazione prima del timeout: immettere il numero massimo di secondi di attesa prima dell'autenticazione alla rete, da 1 a 120 secondi.
    • Consenti a Windows di richiedere all'utente credenziali di autenticazione aggiuntive: consente al sistema Windows di richiedere all'utente altre credenziali, se il metodo di autenticazione lo richiede. Selezionare No per nascondere questi prompt.

  • Abilitare la memorizzazione nella cache della chiave master pairwise (PMK): selezionare per memorizzare nella cache la chiave PMK usata nell'autenticazione. Questa memorizzazione nella cache consente in genere di completare più rapidamente l'autenticazione alla rete. Selezionare No per forzare l'handshake di autenticazione quando ci si connette alla rete Wi-Fi ogni volta.

    • Tempo massimo di memorizzazione di un PMK nella cache: immettere il numero di minuti in cui viene archiviata una chiave master pairwise (PMK) nella cache, da 5 a 1440 minuti.
    • Numero massimo di PMK archiviati nella cache: immettere il numero di chiavi archiviate nella cache, da 1 a 255.
    • Abilita preautenticazione: la preautenticazione consente al profilo di eseguire l'autenticazione in tutti i punti di accesso per la rete nel profilo prima della connessione. Quando si passa da un punto di accesso all'altro, la pre-autenticazione riconnette l'utente o i dispositivi più rapidamente. Selezionare per il profilo per l'autenticazione a tutti i punti di accesso per la rete compresi nell'intervallo. Selezionare No per richiedere all'utente o al dispositivo di eseguire l'autenticazione a ogni punto di accesso separatamente.
    • Numero massimo di tentativi di preautenticazione: immettere il numero di tentativi di preautenticazione, da 1 a 16.

  • Tipo EAP: selezionare il tipo EAP (Extensible Authentication Protocol) per autenticare le connessioni wireless protette. Le opzioni disponibili sono:

    • EAP-SIM

    • EAP-TLS: immettere anche:

      • Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono alla rete Wi-Fi.

      • Certificati radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.

      • Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Certificato SCEP: selezionare il profilo del certificato client SCEP distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione.
        • Certificato PKCS: selezionare il profilo certificato client PKCS e il certificato radice attendibile distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione.
        • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    • EAP-TTLS: immettere anche:

      • Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono alla rete Wi-Fi.

      • Certificati radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.

      • Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione. Immettere anche:

          • Metodo non EAP (identità interna): scegliere la modalità di autenticazione della connessione. Assicurarsi di scegliere lo stesso protocollo configurato nella rete Wi-Fi.

            Opzioni: password non crittografata (PAP),Challenge Handshake (CHAP), Microsoft CHAP (MS-CHAP) e Microsoft CHAP versione 2 (MS-CHAP v2)

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato SCEP: selezionare il profilo del certificato client SCEP distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato PKCS: selezionare il profilo certificato client PKCS e il certificato radice attendibile distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    • Protected EAP (PEAP):Immettere anche:

      • Nomi del server di certificati: immettere uno o più nomi comuni usati nei certificati rilasciati dall'autorità di certificazione attendibile. Se si immettono queste informazioni, è possibile ignorare la finestra di dialogo di attendibilità dinamica visualizzata nei dispositivi utente quando si connettono alla rete Wi-Fi.

      • Certificati radice per la convalida del server: selezionare uno o più profili certificato radice attendibili esistenti. Quando il client si connette alla rete, questi certificati vengono usati per stabilire una catena di attendibilità con il server. Se il server di autenticazione usa un certificato pubblico, non è necessario includere un certificato radice.

      • Eseguire la convalida del server: se impostato su , nella fase 1 della negoziazione PEAP i dispositivi convalidano il certificato e verificano il server. Selezionare No per bloccare o impedire questa convalida. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione.

        Se si seleziona , configurare anche:

        • Disabilita richieste utente per la convalida del server: se impostato su , nella fase di negoziazione PEAP 1 non vengono visualizzate richieste utente che richiedono di autorizzare nuovi server PEAP per autorità di certificazione attendibili. Selezionare No per visualizzare i prompt. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione.

      • Richiedi associazione crittografica: impedisce le connessioni ai server PEAP che non usano la crittografia durante la negoziazione PEAP. No non richiede cryptobinding. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione.

      • Metodo di autenticazione: selezionare il metodo di autenticazione usato dai client del dispositivo. Le opzioni disponibili sono:

        • Nome utente e password: richiedere all'utente un nome utente e una password per autenticare la connessione. Immettere anche:

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato SCEP: selezionare il profilo del certificato client SCEP distribuito anche nel dispositivo. Questo certificato è l'identità presentata dal dispositivo al server per autenticare la connessione.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Certificato PKCS: selezionare il profilo certificato client PKCS e il certificato radice attendibile distribuiti anche nel dispositivo. Il certificato client è l'identità presentata dal dispositivo al server per autenticare la connessione.

          • Privacy dell'identità (identità esterna): immettere il testo inviato in risposta a una richiesta di identità EAP. Questo testo può essere qualsiasi valore. Durante l'autenticazione, questa identità anonima viene inizialmente inviata e quindi seguita dall'identificazione reale inviata in un tunnel sicuro.

        • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

  • Impostazioni del proxy aziendale: selezionare per usare le impostazioni proxy all'interno dell'organizzazione. Le opzioni disponibili sono:

    • Nessuno: non sono configurate impostazioni proxy.

    • Configura manualmente: immettere l'indirizzo IP del server proxy e il relativo numero di porta.

    • Configura automaticamente: immettere l'URL che punta a uno script di configurazione automatica del proxy. Immettere ad esempio http://proxy.contoso.com/proxy.pac.

      Per altre informazioni sui file PAC, vedere File di configurazione automatica del proxy (PAC) (apre un sito non Microsoft).

  • Forzare la conformità del profilo Wi-Fi con lo standard FIPS (Federal Information Processing Standard): selezionare quando si esegue la convalida in base allo standard FIPS 140-2. Questo standard è necessario per tutte le agenzie governative federali degli Stati Uniti che usano sistemi di sicurezza basati sulla crittografia per proteggere le informazioni sensibili ma non classificate archiviate digitalmente. Selezionare No per non essere conforme a FIPS.

Usare un file di impostazioni importato

Per tutte le impostazioni non disponibili in Intune, è possibile esportare Wi-Fi impostazioni da un altro dispositivo Windows. Questa esportazione crea un file XML con tutte le impostazioni. Importare quindi questo file in in Intune e usarlo come profilo Wi-Fi. Vedi Esportare e importare le impostazioni di Wi-Fi per i dispositivi Windows.

Passaggi successivi

Il profilo viene creato, ma potrebbe non eseguire alcuna operazione. Assicurarsi di assegnare il profilo e monitorarne lo stato.

Panoramica delle impostazioni Wi-Fi, incluse altre piattaforme

Risorse aggiuntive

Extensible Authentication Protocol (EAP) per l'accesso alla rete