Adicionar configurações de Wi-Fi para dispositivos Windows 10/11 no Intune

  • Artigo

Observação

O Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Você pode criar um perfil com configurações de WiFi específicas. Em seguida, implante esse perfil em seus dispositivos cliente Windows. Microsoft Intune oferece muitos recursos, incluindo autenticação em sua rede, uso de uma chave pré-compartilhada e muito mais.

Este artigo descreve algumas dessas configurações.

Antes de começar

Crie um perfil de configuração do dispositivo Windows 10/11 Wi-Fi.

Essas configurações usam o CSP do Wi-Fi.

Perfil básico

Perfis básicos ou pessoais usam WPA/WPA2 para proteger a conexão Wi-Fi em dispositivos. Normalmente, o WPA/WPA2 é usado em redes domésticas ou redes pessoais. Você também pode adicionar uma chave pré-compartilhada para autenticar a conexão.

  • Tipo Wi-Fi: selecione Básico.

  • Nome do Wi-Fi (SSID): abreviação de identificador de conjunto de serviços. Esse valor é o nome real da rede sem fio à qual os dispositivos se conectam. No entanto, os usuários só veem o nome de conexão que você configura quando escolhem a conexão.

  • Nome da conexão: insira um nome amigável para este Wi-Fi conexão. O texto inserido é o nome que os usuários veem quando navegam pelas conexões disponíveis em seu dispositivo. Por exemplo, digite ContosoWiFi.

  • Conecte-se automaticamente quando estiver no intervalo: quando sim, os dispositivos se conectam automaticamente quando estão no intervalo dessa rede. Quando Não, os dispositivos não se conectam automaticamente.

    • Conecte-se a uma rede mais preferencial se estiver disponível: se os dispositivos estiverem no intervalo de uma rede mais preferencial, selecione Sim para usar a rede preferencial. Selecione Não para usar a rede Wi-Fi neste perfil de configuração.

      Por exemplo, você cria uma rede Wi-Fi ContosoCorp e usa a ContosoCorp nesse perfil de configuração. Você também tem uma rede Wi-Fi ContosoGuest dentro do intervalo. Quando seus dispositivos corporativos estiverem dentro do intervalo, você deseja que eles se conectem automaticamente à ContosoCorp. Nesse cenário, defina a rede Connect como mais preferencial se a propriedade disponível for No.

    • Conecte-se a essa rede, mesmo quando ela não estiver transmitindo seu SSID: selecione Sim para se conectar automaticamente à sua rede, mesmo quando a rede estiver oculta. Ou seja, seu identificador de conjunto de serviços (SSID) não é transmitido publicamente. Selecione Não se você não quiser que esse perfil de configuração se conecte à sua rede oculta.

  • Limite de conexão medido: um administrador pode escolher como o tráfego da rede é medido. Em seguida, os aplicativos podem ajustar seu comportamento de tráfego de rede com base nessa configuração. Suas opções:

    • Irrestrito: padrão. A conexão não é limitada e não há restrições no tráfego.
    • Corrigido: use essa opção se a rede estiver configurada com limite fixo para tráfego de rede. Depois que esse limite for atingido, o acesso à rede será proibido.
    • Variável: usou essa opção se o tráfego de rede for cobrado por byte (custo por byte).

  • Tipo de segurança sem fio: insira o protocolo de segurança usado para autenticar dispositivos em sua rede. Suas opções são:

    • Abra (sem autenticação): use essa opção somente se a rede não estiver com segurança.

    • WPA/WPA2-Personal: uma opção mais segura e geralmente é usada para Wi-Fi conectividade. Para obter mais segurança, você também pode inserir uma senha de chave ou chave de rede pré-compartilhada.

      • PSK (chave pré-compartilhada ): opcional. Mostrado quando você escolhe WPA/WPA2-Personal como o tipo de segurança. Quando a rede da sua organização é definida ou configurada, uma senha ou chave de rede também é configurada. Insira essa senha ou chave de rede para o valor PSK. Insira uma cadeia de caracteres ASCII com 8 a 63 caracteres ou use 64 caracteres hexadecimal.

        Importante

        O PSK é o mesmo para todos os dispositivos aos quais você direciona o perfil. Se a chave estiver comprometida, ela poderá ser usada por qualquer dispositivo para se conectar à rede Wi-Fi. Mantenha seus PSKs seguros para evitar acesso não autorizado.

  • Configurações de proxy da empresa: selecione para usar as configurações de proxy em sua organização. Suas opções:

    • Nenhuma: nenhuma configuração de proxy está configurada.

    • Configurar manualmente: insira o endereço IP do servidor proxy e seu número de porta.

    • Configurar automaticamente: insira a URL apontando para um script PAC (configuração automática de proxy). Por exemplo, digite http://proxy.contoso.com/proxy.pac.

      Para obter mais informações sobre arquivos PAC, consulte Arquivo PAC (Configuração Automática de Proxy) (abre um site que não é da Microsoft).

Perfil da empresa

Os perfis empresariais usam o Protocolo de Autenticação Extensível (EAP) para autenticar conexões Wi-Fi. O EAP geralmente é usado por empresas, pois você pode usar certificados para autenticar e proteger conexões. E configure mais opções de segurança.

  • Tipo de Wi-Fi: selecione Enterprise.

  • Nome do Wi-Fi (SSID): abreviação de identificador de conjunto de serviços. Esse valor é o nome real da rede sem fio à qual os dispositivos se conectam. No entanto, os usuários só veem o nome de conexão que você configura quando escolhem a conexão.

  • Nome da conexão: insira um nome amigável para este Wi-Fi conexão. O texto inserido é o nome que os usuários veem quando navegam pelas conexões disponíveis em seu dispositivo. Por exemplo, digite ContosoWiFi.

  • Conecte-se automaticamente quando estiver no intervalo: quando sim, os dispositivos se conectam automaticamente quando estão no intervalo dessa rede. Quando Não, os dispositivos não se conectam automaticamente.

    • Conecte-se a uma rede mais preferencial se estiver disponível: se os dispositivos estiverem no intervalo de uma rede mais preferencial, selecione Sim para usar a rede preferencial. Selecione Não para usar a rede Wi-Fi neste perfil de configuração.

      Por exemplo, você cria uma rede Wi-Fi ContosoCorp e usa a ContosoCorp nesse perfil de configuração. Você também tem uma rede Wi-Fi ContosoGuest dentro do intervalo. Quando seus dispositivos corporativos estiverem dentro do intervalo, você deseja que eles se conectem automaticamente à ContosoCorp. Nesse cenário, defina a rede Connect como mais preferencial se a propriedade disponível for No.

  • Conecte-se a essa rede, mesmo quando ela não estiver transmitindo seu SSID: selecione Sim para que o perfil de configuração se conecte automaticamente à sua rede, mesmo quando a rede estiver oculta (ou seja, seu SSID não é transmitido publicamente). Selecione Não se você não quiser que esse perfil de configuração se conecte à sua rede oculta.

  • Limite de conexão medido: um administrador pode escolher como o tráfego da rede é medido. Em seguida, os aplicativos podem ajustar seu comportamento de tráfego de rede com base nessa configuração. Suas opções:

    • Irrestrito: padrão. A conexão não é limitada e não há restrições no tráfego.
    • Corrigido: use essa opção se a rede estiver configurada com limite fixo para tráfego de rede. Depois que esse limite for atingido, o acesso à rede será proibido.
    • Variável: use essa opção se o tráfego de rede for custeado por byte.

  • Modo de autenticação: selecione como o perfil Wi-Fi se autentica com o servidor Wi-Fi. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, a autenticação do usuário ou do computador é usada.
    • Usuário: a conta de usuário inserida no dispositivo é autenticada na rede Wi-Fi.
    • Computador: as credenciais do dispositivo se autenticam na rede Wi-Fi.
    • Usuário ou computador: quando um usuário é conectado ao dispositivo, as credenciais do usuário se autenticam na rede Wi-Fi. Quando nenhum usuário é conectado, as credenciais do dispositivo se autenticam.
    • Convidado: nenhuma credenciais está associada à rede Wi-Fi. A autenticação é aberta ou tratada externamente, como por meio de uma página da Web.

  • Lembre-se de credenciais em cada logon: selecione para armazenar em cache as credenciais do usuário ou se os usuários devem inseri-las sempre que se conectarem ao Wi-Fi. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar esse recurso e armazenar em cache as credenciais.
    • Habilitar: armazena em cache as credenciais do usuário quando inseridos na primeira vez que os usuários se conectam à rede Wi-Fi. As credenciais armazenadas em cache são usadas para conexões futuras e os usuários não precisam reentrá-las.
    • Desabilitar: as credenciais do usuário não são lembradas ou armazenadas em cache. Ao se conectar ao Wi-Fi, os usuários devem inserir suas credenciais todas as vezes.

  • Período de autenticação: insira o número de segundos que os dispositivos devem aguardar depois de tentar autenticar, de 1 a 3600. Se o dispositivo não se conectar no momento da inserção, a autenticação falhará. Se você deixar esse valor vazio ou em branco, segundos 18 serão usados.

  • Período de atraso de repetição de autenticação: insira o número de segundos entre uma tentativa de autenticação com falha e a próxima tentativa de autenticação, de 1 a 3600. Se você deixar esse valor vazio ou em branco, o 1 segundo será usado.

  • Período de início: insira o número de segundos para aguardar antes de enviar uma mensagem de EAPOL-Start, de 1 a 3600. Se você deixar esse valor vazio ou em branco, segundos 5 serão usados.

  • Início máximo do EAPOL: insira o número de mensagens de EAPOL-Start, de 1 e 100. Se você deixar esse valor vazio ou em branco, um máximo de 3 mensagens serão enviadas.

  • Falhas máximas de autenticação: insira o número máximo de falhas de autenticação para esse conjunto de credenciais para autenticação, de 1 a 100. Se você deixar esse valor vazio ou em branco, a 1 tentativa será usada.

  • SSO (logon único): permite configurar o SSO (logon único), em que as credenciais são compartilhadas para computador e Wi-Fi entrada de rede. Suas opções:

    • Desabilitar: desabilita o comportamento do SSO. O usuário precisa se autenticar na rede separadamente.
    • Habilitar antes de o usuário entrar no dispositivo: use o SSO para autenticar na rede pouco antes do processo de entrada do usuário.
    • Habilitar depois que o usuário entrar no dispositivo: use o SSO para autenticar na rede imediatamente após a conclusão do processo de entrada do usuário.
    • Tempo máximo para autenticar antes do tempo limite: insira o número máximo de segundos para aguardar antes de autenticar na rede, de 1 a 120 segundos.
    • Permitir que o Windows solicite ao usuário credenciais adicionais de autenticação: Sim , permite que o sistema Windows solicite ao usuário mais credenciais, se o método de autenticação exigir isso. Selecione Não para ocultar esses prompts.

  • Habilitar o cache PMK (chave de master par): selecione Sim para armazenar em cache o PMK usado na autenticação. Esse cache normalmente permite que a autenticação na rede seja concluída mais rapidamente. Selecione Não para forçar o aperto de mão de autenticação ao se conectar à rede Wi-Fi sempre.

    • Tempo máximo em que um PMK é armazenado em cache: insira o número de minutos em que um PMK (chave de master par) é armazenado no cache, de 5 a 1440 minutos.
    • Número máximo de PMKs armazenados em cache: insira o número de chaves armazenadas em cache, de 1 a 255.
    • Habilitar a pré-autenticação: a pré-autenticação permite que o perfil se autentique em todos os pontos de acesso da rede no perfil antes de se conectar. Ao mover entre pontos de acesso, a pré-autenticação reconecta o usuário ou os dispositivos mais rapidamente. Selecione Sim para que o perfil se autentique em todos os pontos de acesso para essa rede que estão dentro do intervalo. Selecione Não para exigir que o usuário ou o dispositivo se autentique em cada ponto de acesso separadamente.
    • Tentativas máximas de pré-autenticação: insira o número de tentativas para pré-autenticação, de 1 a 16.

  • Tipo EAP: selecione o tipo EAP (Protocolo de Autenticação Extensível) para autenticar conexões sem fio protegidas. Suas opções:

    • EAP-SIM

    • EAP-TLS: insira também:

      • Nomes de servidor de certificado: insira um ou mais nomes comuns usados nos certificados emitidos pela autoridade de certificado confiável (AC). Se você inserir essas informações, poderá ignorar a caixa de diálogo de confiança dinâmica mostrada em dispositivos de usuário quando eles se conectam a esse Wi-Fi rede.

      • Certificados raiz para validação de servidor: selecione um ou mais perfis de certificado raiz confiáveis existentes. Quando o cliente se conecta à rede, esses certificados são usados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação usar um certificado público, você não precisará incluir um certificado raiz.

      • Método de autenticação: selecione o método de autenticação usado pelos clientes do dispositivo. Suas opções:

        • Certificado SCEP: selecione o perfil de certificado do cliente SCEP que também é implantado no dispositivo. Esse certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.
        • Certificado PKCS: selecione o perfil de certificado do cliente PKCS e o certificado raiz confiável que também são implantados no dispositivo. O certificado do cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.
        • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Para obter mais informações, consulte Usar credenciais derivadas em Microsoft Intune.

    • EAP-TTLS: insira também:

      • Nomes de servidor de certificado: insira um ou mais nomes comuns usados nos certificados emitidos pela autoridade de certificado confiável (AC). Se você inserir essas informações, poderá ignorar a caixa de diálogo de confiança dinâmica mostrada em dispositivos de usuário quando eles se conectam a esse Wi-Fi rede.

      • Certificados raiz para validação de servidor: selecione um ou mais perfis de certificado raiz confiáveis existentes. Quando o cliente se conecta à rede, esses certificados são usados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação usar um certificado público, você não precisará incluir um certificado raiz.

      • Método de autenticação: selecione o método de autenticação usado pelos clientes do dispositivo. Suas opções:

        • Nome de usuário e senha: solicite ao usuário um nome de usuário e uma senha para autenticar a conexão. Insira também:

          • Método não EAP (identidade interna): escolha como autenticar a conexão. Certifique-se de escolher o mesmo protocolo configurado em sua rede Wi-Fi.

            Suas opções: PAP (senha não criptografada),CHAP (Challenge Handshake),Microsoft CHAP (MS-CHAP)e Microsoft CHAP Versão 2 (MS-CHAP v2)

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Certificado SCEP: selecione o perfil de certificado do cliente SCEP que também é implantado no dispositivo. Esse certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Certificado PKCS: selecione o perfil de certificado do cliente PKCS e o certificado raiz confiável que também são implantados no dispositivo. O certificado do cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Para obter mais informações, consulte Usar credenciais derivadas em Microsoft Intune.

    • EAP protegido (PEAP): insira também:

      • Nomes de servidor de certificado: insira um ou mais nomes comuns usados nos certificados emitidos pela autoridade de certificado confiável (AC). Se você inserir essas informações, poderá ignorar a caixa de diálogo de confiança dinâmica mostrada em dispositivos de usuário quando eles se conectam a esse Wi-Fi rede.

      • Certificados raiz para validação de servidor: selecione um ou mais perfis de certificado raiz confiáveis existentes. Quando o cliente se conecta à rede, esses certificados são usados para estabelecer uma cadeia de confiança com o servidor. Se o servidor de autenticação usar um certificado público, você não precisará incluir um certificado raiz.

      • Executar a validação do servidor: quando definido como Sim, na fase 1 de negociação do PEAP, os dispositivos validam o certificado e verificam o servidor. Selecione Não para bloquear ou impedir essa validação. Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

        Se você selecionar Sim, também configure:

        • Desabilitar solicitações de usuário para validação do servidor: quando definido como Sim, na fase 1 de negociação do PEAP, solicitações do usuário pedindo para autorizar novos servidores PEAP para autoridades de certificação confiáveis não são mostrados. Selecione Não para mostrar os prompts. Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

      • Exigir associação criptográfica: sim impede conexões com servidores PEAP que não usam criptografia durante a negociação do PEAP. Não requer criptografia. Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

      • Método de autenticação: selecione o método de autenticação usado pelos clientes do dispositivo. Suas opções:

        • Nome de usuário e senha: solicite ao usuário um nome de usuário e uma senha para autenticar a conexão. Insira também:

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Certificado SCEP: selecione o perfil de certificado do cliente SCEP que também é implantado no dispositivo. Esse certificado é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Certificado PKCS: selecione o perfil de certificado do cliente PKCS e o certificado raiz confiável que também são implantados no dispositivo. O certificado do cliente é a identidade apresentada pelo dispositivo ao servidor para autenticar a conexão.

          • Privacidade de identidade (identidade externa): insira o texto enviado em resposta a uma solicitação de identidade EAP. Este texto pode ser qualquer valor. Durante a autenticação, essa identidade anônima é inicialmente enviada e seguida pela identificação real enviada em um túnel seguro.

        • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Para obter mais informações, consulte Usar credenciais derivadas em Microsoft Intune.

  • Configurações do Proxy da Empresa: selecione para usar as configurações de proxy em sua organização. Suas opções:

    • Nenhuma: nenhuma configuração de proxy está configurada.

    • Configurar manualmente: insira o endereço IP do servidor proxy e seu número de porta.

    • Configurar automaticamente: insira a URL apontando para um script pac (configuração automática de proxy). Por exemplo, digite http://proxy.contoso.com/proxy.pac.

      Para obter mais informações sobre arquivos PAC, consulte Arquivo PAC (Configuração Automática de Proxy) (abre um site que não é da Microsoft).

  • Force Wi-Fi perfil a estar em conformidade com o Padrão Federal de Processamento de Informações (FIPS): selecione Sim ao validar no padrão FIPS 140-2. Esse padrão é necessário para todas as agências do governo federal dos EUA que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais, mas não classificadas armazenadas digitalmente. Selecione Não para não ser compatível com FIPS.

Usar um arquivo de configurações importado

Para quaisquer configurações não disponíveis no Intune, você pode exportar Wi-Fi configurações de outro dispositivo Windows. Essa exportação cria um arquivo XML com todas as configurações. Em seguida, importe esse arquivo para o Intune e use-o como o perfil Wi-Fi. Consulte Exportar e importar Wi-Fi configurações para dispositivos Windows.

Próximas etapas

O perfil foi criado, mas talvez não esteja fazendo nada. Atribua o perfil e monitore seu status.

Visão geral das configurações de Wi-Fi, incluindo outras plataformas

Recursos adicionais

Protocolo de Autenticação Extensível (EAP) para acesso à rede