Configurare profili e impostazioni EAP in Windows

Articolo
03/24/2024

Si applica a: Windows Server 2022, Windows 11, Windows 10

Questo articolo presenta informazioni sui diversi modi comunemente usati per configurare le impostazioni EAP (Extensible Authentication Protocol). In particolare, descrive la configurazione dei profili EAP usando gli strumenti da riga di comando e XML. Illustra anche come configurare le impostazioni e i profili EAP usando varie interfacce utente in Windows.

Profili di rete XML

Come descritto in Profili XML per EAP, i profili di connessione per Wi-Fi, Ethernet e VPN sono file XML che contengono le opzioni di configurazione per tale connessione. Questi profili possono essere importati/esportati e modificati manualmente. Quando i profili vengono creati o modificati nell'interfaccia utente (come descritto nelle sezioni seguenti), Windows imposta internamente le opzioni di configurazione XML corrispondenti. Di conseguenza, è possibile usare l'interfaccia utente per creare un profilo e quindi esportarlo per visualizzare le opzioni di configurazione XML impostate.

Nota

Non tutte le opzioni di configurazione vengono esposte nell'interfaccia utente. Potrebbe essere necessario, a seconda dello scenario, modificare manualmente il profilo XML per impostare le opzioni di configurazione desiderate, quindi importare il profilo aggiornato per la distribuzione.

Ad esempio, quando si usano criteri MDM (Mobile Gestione dispositivi), ad esempio CSP Wi-Fi, è necessario effettuare il provisioning del profilo XML completo.

Un esempio di profilo Wi-Fi è disponibile in questo esempio.

Importare ed esportare profili con strumenti da riga di comando

L'importazione e l'esportazione di profili tramite uno strumento da riga di comando possono essere utili in molti scenari. Ad esempio, quando si configura MDM o Criteri di gruppo non è possibile, l'opzione più rapida può essere l'opzione manualmente o di scripting di questi comandi. Può anche essere usato per esportare i profili dopo averli configurati tramite altre interfacce utente.

netsh

netsh è uno strumento da riga di comando che può essere usato per visualizzare e configurare varie impostazioni correlate alla rete. Per maggiori informazioni, consultare la sezione Shell di rete (netsh). netsh può essere chiamato sia da cmd che da powershell. Nella tabella seguente sono elencati alcuni comandi netsh comuni ed esempi per l'importazione e l'esportazione di profili. /? può essere usato con qualsiasi comando netsh per ottenere altre informazioni sul comando, inclusa la sintassi.

Wi-Fi
Cablato

Comando	Descrizione
`netsh wlan show profiles`	Mostra tutti i profili Wi-Fi, incluso il nome del profilo.
`netsh wlan show profiles name="ProfileName"`	Mostra informazioni dettagliate su un profilo Wi-Fi specifico
`netsh wlan export profile name="ProfileName" folder="C:\Profiles"`	Esporta un profilo Wi-Fi nella cartella specificata. La cartella deve esistere.
`netsh wlan add profile filename="C:\Profiles\ProfileName.xml"`	Aggiunge un profilo Wi-Fi dal file specificato.
`netsh wlan delete profile name="ProfileName"`	Elimina un profilo Wi-Fi.

Comando	Descrizione
`netsh lan show profiles`	Mostra tutti i profili cablati, inclusi il nome del profilo e altri dettagli.
`netsh lan show profiles interface="Ethernet"`	Mostra informazioni dettagliate sul profilo cablato in un'interfaccia specifica.
`netsh lan export profile interface="Ethernet" folder="C:\Profiles"`	Esporta un profilo cablato nella cartella specificata. La cartella deve esistere. Se non viene specificata alcuna interfaccia, il profilo del computer viene esportato.
`netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"`	Aggiunge un profilo cablato dal file specificato all'interfaccia specificata. Se non viene specificata alcuna interfaccia, il profilo viene aggiunto come profilo computer.
`netsh lan delete profile interface="ProfileName"`	Elimina un profilo cablato. Se non viene specificata alcuna interfaccia, il profilo del computer viene eliminato.

PowerShell

PowerShell è una shell della riga di comando e un linguaggio di scripting che può essere usato per visualizzare e configurare varie impostazioni. Include vari comandi (cmdlet) che possono essere usati per importare ed esportare i profili di connessione. Il cmdlet Get-Help può essere usato con qualsiasi cmdlet per ottenere altre informazioni su tale cmdlet, inclusa la sintassi.

Per informazioni dettagliate su questi cmdlet, vedere Get-Vpn Connection, Set-Vpn Connection e Add-Vpn Connection.

Comando	Descrizione
`Get-VpnConnection`	Mostra tutti i profili VPN, inclusi il nome del profilo e altri dettagli.
`Get-VpnConnection -Name "ProfileName"`	Mostra informazioni di riepilogo su un profilo VPN specifico.
`(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \\| Out-File -FilePath "C:\Profiles\vpn_eap.xml"`	Esporta la configurazione EAP per un profilo VPN specifico in un file.
`Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")`	Importa la configurazione EAP da un file e ne aggiorna il profilo VPN specificato.

app Impostazioni (Windows desktop)

Nel client desktop di Windows è possibile configurare molte impostazioni Wi-Fi, Ethernet e VPN comuni tramite l'app Impostazioni. Gli screenshot seguenti mostrano l'app Impostazioni Windows 11, ma l'interfaccia utente è simile in Windows 10. Tuttavia, alcune funzionalità e opzioni possono essere disponibili solo in Windows 11.

Windows 10 e 11 supportano l'aggiunta di profili Wi-Fi con una configurazione specifica (inclusa la versione 802.1X) nell'app Impostazioni. Questa impostazione si trova nell'app Impostazioni in Rete & Internet>Wi-Fi>Gestisci reti note>Aggiungi rete: Screenshot of Network & internet page on Windows 11 settings app. Screenshot of Wi-Fi page on Windows 11 settings app. Screenshot of Manage known networks page on Windows 11 settings app. Screenshot of Add a new network dialog in Windows 11 settings app.

Questa finestra di dialogo consente di configurare SSID, tipo di sicurezza e altre impostazioni per il profilo Wi-Fi. Quando viene selezionato un tipo di sicurezza che supporta EAP, ad esempio WPA3-Enterprise AES, la finestra di dialogo mostra un'opzione per configurare le impostazioni EAP: Screenshot of Add a new network dialog, showing WPA3-Enterprise and EAP-TLS, on Windows 11 settings app.

Suggerimento

Dopo aver aggiunto la rete, non è possibile modificare le impostazioni EAP tramite l'app Impostazioni. Per modificare le impostazioni EAP, eseguire le operazioni seguenti:

eliminare il profilo e aggiungerlo nuovamente con le impostazioni corrette oppure
usare i netsh comandi descritti in netsh per modificare manualmente il profilo.

Editor Criteri di gruppo (desktop e server)

Criteri di gruppo è un'infrastruttura che consente di gestire le configurazioni per utenti e computer. Usando Criteri di gruppo, è possibile configurare le impostazioni Wi-Fi, Ethernet e VPN in base alle regole definite. Gli screenshot seguenti mostrano l'Editor Gestione Criteri di gruppo di Windows Server 2022, ma l'interfaccia utente è simile per l'Pannello di controllo desktop di Windows e l'Editor Criteri di gruppo locali. Per maggiori informazioni sulle opzioni illustrate negli screenshot seguenti, consultare la sezione Extensible Authentication Protocol (EAP) per l'accesso alla rete.

Wi-Fi
Cablato

Le opzioni di Criteri di gruppo per Wi-Fi si trovano in Configurazione computer>Criteri>Impostazioni Windows>Impostazioni di sicurezza>Criteri rete wireless (IEEE 802.11): Screenshot showing Wireless Network (IEEE 802.11) Policies option in Group Policy Management Editor.

Fare clic con il tasto destro del mouse su Criteri rete wireless (IEEE 802.11) e selezionare Crea nuovo criterio rete wireless per Windows Vista e versioni successive consente di aprire la finestra di dialogo Proprietà nuovo criterio rete wireless: Screenshot showing Create A New Wireless Network Policy for Windows Vista and Later Releases option in Group Policy Management Editor. Screenshot showing the New Wireless Network Policy Properties dialog.

Questa finestra di dialogo consente di impostare il nome del criterio, una descrizione e Aggiungi/Modifica/Rimuovi profili, oltre a Importa e ExportProfili XML.

Fare clic su Aggiungi e selezionare Infrastruttura consente di aprire la finestra di dialogo Nuove proprietà profilo:

Questa finestra di dialogo consente di impostare il Nome profilo e aggiungere gli SSID a cui si applica questo profilo.

Selezionare Sicurezza consente di configurare le impostazioni EAP per il profilo:

Questa finestra di dialogo consente di configurare il tipo di sicurezza e altre impostazioni per il profilo Wi-Fi. Quando viene selezionato un tipo di autenticazione che supporta l'autenticazione 802.1X (ad esempio WPA2-Enterprise), sono visibili le opzioni di sicurezza 802.1X. Per informazioni dettagliate su ogni metodo di autenticazione di rete, consultare la sezione Metodi EAP.

Quando viene selezionato il pulsante Avanzate..., si apre la finestra di dialogo Impostazioni di sicurezza avanzate: Screenshot showing the Advanced security settings dialog for Wi-Fi.

Questa finestra di dialogo consente di impostare alcune impostazioni avanzate 802.1X e opzioni di Single Sign-On.

Suggerimento

Non tutte le impostazioni sono disponibili per la configurazione nell'Editor Criteri di gruppo. Tuttavia, questa operazione può essere eseguita importando un profilo XML con le impostazioni desiderate. Per maggiori informazioni, consultare la sezione Profili XML.

Le opzioni Criteri di gruppo per Cablato si trovano in Configurazione computer>Criteri>Impostazioni Windows>Impostazioni di sicurezza>Criteri rete cablata (IEEE 802.3): Screenshot showing Wired Network (IEEE 802.3) Policies option in Group Policy Management Editor.

Fare clic con il pulsante destro del mouse su Criteri rete cablata (IEEE 802.3) e selezionare Crea un nuovo criterio di rete cablata per Windows Vista e versioni successive consente di aprire la finestra di dialogo Proprietà nuovo criterio rete cablata: Screenshot showing Create A New Wired Network Policy for Windows Vista and Later Releases option in Group Policy Management Editor. Screenshot showing the New Wired Network Policy Properties dialog.

Questa finestra di dialogo consente di impostare il nome del criterio, una descrizione e le opzioni seguenti:

Impostazione	Elemento XML	Descrizione
Usare servizi Wired Auto Config per i client	enableAutoConfig	Se selezionata, la configurazione automatica cablata di Windows (dot3svc) può essere usata per connettersi alle reti cablate senza configurazione esplicita. Se non selezionata, la rete specificata in questo criterio è l'unica rete disponibile per la connessione.
Non consentire la condivisione delle credenziali dell'utente per l'autenticazione di rete	enableExplicitCreds	Se selezionato, non consente la condivisione delle credenziali utente per l'autenticazione di rete. Le credenziali devono essere esplicite.
Attiva periodo di blocco (minuti)	blockPeriod	Con impostazione predefinita a 20 minuti, specifica il periodo di tempo trascorso il quale i tentativi di autenticazione automatica verranno bloccati dopo un tentativo di autenticazione non riuscito.

Selezionare Sicurezza consente di configurare le impostazioni EAP per il profilo: Screenshot showing the Security tab of the New Wired Network Properties dialog.

Questa finestra di dialogo consente di configurare il tipo di sicurezza e altre impostazioni per la rete cablata. Per maggiori informazioni, consultare la sezione Opzioni di sicurezza 802.1X. Per informazioni dettagliate su ogni metodo di autenticazione di rete, consultare la sezione Metodi EAP.

Quando viene selezionato il pulsante Avanzate..., si apre la finestra di dialogo Impostazioni di sicurezza avanzate: Screenshot showing the Advanced security settings dialog for Wired.

Questa finestra di dialogo consente di impostare alcune impostazioni avanzate 802.1X e opzioni di Single Sign-On.

Suggerimento

Non tutte le impostazioni sono disponibili per la configurazione nell'Editor Criteri di gruppo. Tuttavia, è possibile risolvere questo problema eseguendo il backup dell'Oggetto Criteri di gruppo, modificando il file Backup.xml con le impostazioni desiderate e reimportandolo. Per maggiori informazioni, consultare la sezione Profili XML.

Metodi EAP

Per una panoramica sui diversi metodi EAP, consultare la sezione Metodi di autenticazione.

Microsoft: Smart card o altro certificato

Per maggiori informazioni sui prezzi, consultare EAP-TLS. Screenshot showing the Smart Card or other certificate Properties dialog.

Selezionando Avanzate, si apre la finestra di dialogo Configura selezione certificato: Screenshot showing the Configure Certificate Selection dialog.

Microsoft: Protected EAP (PEAP)

Per maggiori informazioni sui prezzi, consultare PEAP. Screenshot showing the Protected EAP Properties dialog.

Selezionando Configura... quando è selezionato Password sicura (EAP-MSCHAP v2), si apre la finestra di dialogo EAP MSCHAPv2: Screenshot showing the EAP MSCHAPv2 Properties dialog.