Usar um perfil de dispositivo personalizado para criar um perfil WiFi com uma chave pré-compartilhada usando o Intune

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

As PSK (chaves pré-compartilhadas), normalmente, são usadas para autenticar usuários em redes Wi-Fi ou em LANs sem fio. Com o Intune, você pode criar uma política de configuração de dispositivo WiFi usando uma chave pré-compartilhada.

Para criar o perfil, use o recurso Perfis de dispositivo personalizados no Intune.

Esse recurso aplica-se a:

• Administrador de dispositivo Android
• Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
• Windows
• Wi-Fi baseado em EAP

Você adiciona informações de Wi-Fi e PSK em um arquivo XML. Em seguida, você adiciona o arquivo XML a uma política de configuração de dispositivo personalizada no Intune. Quando a política estiver pronta, você atribuirá a política aos seus dispositivos. Na próxima vez que o dispositivo fizer a verificação, a política será aplicada e um perfil Wi-Fi for criado no dispositivo.

Este artigo mostra como criar a política no Intune e inclui um exemplo XML de uma política de Wi-Fi baseada em EAP.

Importante

• Usar uma chave pré-compartilhada com Windows 10/11 faz com que um erro de correção seja mostrado no Intune. Quando isso acontece, o perfil Wi-Fi é atribuído corretamente ao dispositivo e o perfil funciona conforme o esperado.
• Se você exportar um perfil de Wi-Fi que inclua uma chave pré-compartilhada, o arquivo deverá estar protegido. A chave está em texto simples. É sua responsabilidade proteger a chave.

Pré-requisitos

• Para criar a política, no mínimo, entre no centro de administração Microsoft Intune com uma conta que tenha a função interna Policy and Profile Manager. Para obter mais informações sobre as funções internas, acesse Controle de acesso baseado em função para Microsoft Intune.

Antes de começar

• Pode ser mais fácil copiar a sintaxe XML de um computador que se conecta a essa rede, conforme descrito em Criar o arquivo XML de uma conexão de Wi-Fi existente (neste artigo).
• Você pode adicionar várias redes e chaves acrescentando mais configurações OMA-URI.
• Para iOS/iPadOS, use o Apple Configurator em uma estação Mac para configurar o perfil.
• PSK requer uma cadeia de caracteres de 64 dígitos hexadecimais ou uma senha de 8 a 63 caracteres ASCII imprimíveis. Alguns caracteres, como asterisco (*), não têm suporte.

Criar um perfil personalizado

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Criarconfiguração>de dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: escolha sua plataforma.
   • Tipo de perfil: selecione Personalizado. Ou selecioneModelos>Personalizado.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é o perfil Wi-Fi Android-Custom.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, selecione Adicionar. Insira uma nova configuração de OMA-URI com as seguintes propriedades:

   1. Nome: insira um nome para a configuração de OMA-URI.

   2. Descrição: insira uma descrição para a configuração de OMA-URI. Essa configuração é opcional, mas recomendada.

   3. OMA-URI: insira uma das seguintes opções:

      • Para Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Para Windows: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Observação

      • Certifique-se de incluir o caractere de período no início do valor OMA-URI.
      • Caso haja espaço no SSID, adicione um espaço de escape de %20.

      SSID (Identificador de Conjunto de Serviços) é seu Wi-Fi nome de rede para o qual você está criando a política. Por exemplo, se o Wi-Fi chama-se Hotspot-1, insira ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings. Caso o Wi-Fi seja nomeado como Contoso WiFi, insira ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings (com o espaço de escape %20).

   4. Tipo de dados: selecione Cadeia de Caracteres.

   5. Valor: cole seu código XML. Veja os exemplos neste artigo. Atualize cada valor de acordo com as suas configurações de rede. A seção de comentários do código inclui alguns ponteiros.

   6. Selecione Adicionar para salvar as alterações.

8. Selecione Avançar.

9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre marcas de escopo, acesse Usar RBAC e marcas de escopo para TI distribuída.

   Selecione Avançar.

10. Em Atribuições, selecione os usuários ou o grupo de usuários que receberão seu perfil. Para obter mais informações sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.

    Observação

    Esta política só pode ser atribuída a grupos de usuários.

    Selecione Avançar.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Na próxima vez em que cada dispositivo fizer check-in, a política será aplicada e será criado um perfil de Wi-Fi no dispositivo. Assim, o dispositivo poderá se conectar à rede automaticamente.

Exemplo de perfil de Wi-Fi do Windows ou do Android

O exemplo a seguir inclui o código XML para um perfil de Wi-Fi do Windows ou do Android. O exemplo é fornecido para mostrar o formato adequado e fornecer mais detalhes. Ele é apenas um exemplo e não se destina como uma configuração recomendada para o seu ambiente.

O que você precisa saber

• <protected>false</protected> deve ser definido como false. Quando verdadeiro, ele pode fazer com que o dispositivo espere uma senha criptografada e tente descriptografá-la; o que pode resultar em uma conexão com falha.

• <hex>53534944</hex> deve ser definido como o valor hexadecimal de <name><SSID of wifi profile></name>. Windows 10/11 dispositivos podem retornar um erro falsox87D1FDE8 Remediation failed, mas o dispositivo ainda contém o perfil.

• XML tem caracteres especiais, como o & (E comercial). O uso de caracteres especiais pode impedir que o XML funcione conforme o esperado.

Exemplo

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

Exemplo de perfil de Wi-Fi baseado em EAP

O exemplo a seguir inclui o código XML para um perfil de Wi-Fi baseado em EAP. O exemplo mostra o formato adequado e fornece mais detalhes. Ele é apenas um exemplo e não se destina como uma configuração recomendada para o seu ambiente.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

Criar o arquivo XML de uma conexão Wi-Fi existente

Você também pode criar o arquivo XML de uma conexão Wi-Fi existente. Em um computador com Windows, use as seguintes etapas:

1. Crie uma pasta local para os perfis de Wi-Fi exportados, como c:\WiFi.

2. Abra um prompt de comando como administrador (clique com o botão direito do mouse em cmd>Executar como administrador).

3. Execute netsh wlan show profiles. Os nomes de todos os perfis são listados.

4. Execute netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Este comando cria um arquivo chamado Wi-Fi-YourProfileName.xml em c:\Wifi.

   • Se você estiver exportando um perfil Wi-Fi que inclua uma chave pré-compartilhada, adicione key=clear ao comando. O key=clear parâmetro exporta a chave em texto simples, que é necessário para usar com êxito o perfil:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Se o elemento de perfil <name></name> Wi-Fi exportado incluir um espaço, ele poderá retornar um ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) erro quando atribuído. Quando esse problema acontece, o perfil é listado em \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces e mostrado como uma rede conhecida. No entanto, não é exibido com êxito como política gerenciada no URI "Áreas gerenciadas por...".

     Para resolver esse problema, remova o espaço.

Depois de ter o arquivo XML, copie e cole a sintaxe XML nas configurações > OMA-URI Tipo de dados. Criar um perfil personalizado (neste artigo) lista as etapas.

Dica

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} também inclui todos os perfis no formato XML.

Práticas recomendadas

• Antes de implantar um perfil de Wi-Fi com a PSK, confirme se o dispositivo pode se conectar ao ponto de extremidade diretamente.

• Ao trocar chaves (senhas ou frases secretas), espere o tempo de inatividade e planeje as implantações. Você deve:

  • Confirme se os dispositivos têm uma conexão alternativa com a Internet.

    Por exemplo, o usuário final deve poder voltar para o Wi-Fi de convidado (ou alguma outra rede Wi-Fi) ou ter conectividade de celular para se comunicar com o Intune. A conexão extra permite que o usuário receba atualizações de política quando o perfil de Wi-Fi corporativo é atualizado no dispositivo.

  • Pressione novos perfis de Wi-Fi durante o horário de trabalho.

  • Avise os usuários de que a conectividade pode ser afetada.

Recursos

Lembre-se de atribuir o perfil e de monitorar o status dele.