Добавление параметров Wi-Fi на устройства Apple в Microsoft Intune

Вы можете создать профиль с определенными параметрами Wi-Fi, а затем развернуть его на устройствах iOS/iPadOS и macOS с помощью Intune. В рамках решения управления мобильными устройствами (MDM) используйте эти параметры для проверки подлинности сети, добавьте сертификат PKCS (стандарты шифрования с открытым ключом) или SCEP (протокол регистрации простых сертификатов), настройте прокси-сервер и многое другое.

Эти Wi-Fi параметры разделены на две категории: базовые параметры и параметры предприятия.

В этой статье описаны параметры, которые можно настроить.

Предварительные условия

Требования к платформе устройства

Эта функция поддерживает следующие платформы:

  • iOS/iPadOS
  • macOS

Требования к ролям

Требования к конфигурации устройства

Базовые профили

Базовые или личные профили используют WPA/WPA2 для защиты Wi-Fi подключения на устройствах. Как правило, WPA/WPA2 используется в домашних или персональных сетях. Вы также можете добавить общий ключ для проверки подлинности подключения.

  • Тип Wi-Fi: выберите Базовый.
  • Сетевое имя. Введите имя этого Wi-Fi подключения. Пользователи видят это имя при просмотре списка доступных подключений на своем устройстве.

  • SSID. Это свойство идентификатора набора служб (SSID) — это реальное имя беспроводной сети, к которому подключаются устройства. Однако пользователи видят сетевое имя, настроено только при выборе подключения.

  • Автоматическое подключение. Включить автоматически подключается к этой сети, когда устройство находится в диапазоне действия. Отключить запрещает автоматическое подключение устройств.

  • Скрытая сеть. Включить соответствует этому параметру устройства с параметром на маршрутизаторе Wi-Fi конфигурации. Таким образом, если для сети задано значение скрытое, сеть также скрыта в профиле Wi-Fi. Выберите Отключить, если SSID сети является широковещательным и видимым.

  • Тип безопасности. Выберите протокол безопасности для проверки подлинности в Wi-Fi сети. Доступны следующие параметры:

    • Открыть (без проверки подлинности): используйте этот параметр только в том случае, если сеть не защищена.
    • WPA/WPA2 — персональный: введите пароль в поле Предварительный общий ключ (PSK). Когда сеть вашей организации установлена ​​или настроена, настраивается пароль или сетевой ключ. Введите этот пароль или сетевой ключ для значения PSK.
    • WEP

  • Параметры прокси-сервера: ваши параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Введите адрес прокси-сервера в качестве IP-адреса и номер порта.

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).

  • Отключить рандомизацию MAC-адресов. Начиная с iOS/iPadOS 14 устройства представляют случайный MAC-адрес вместо физического MAC-адреса при подключении к сети. Для конфиденциальности рекомендуется использовать случайные MAC-адреса, так как сложнее отслеживать устройство по ЕГО MAC-адресу. Однако случайные MAC-адреса нарушают функциональность, которая зависит от статического MAC-адреса, включая управление доступом к сети (NAC).

    Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию при подключении устройств к новой сети вместо физического MAC-адреса используется случайный MAC-адрес.
    • Да: принуждают устройства представлять фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. Да позволяет отслеживать устройства по MAC-адресу. Отключать рандомизацию MAC-адресов только при необходимости, например для поддержки управления доступом к сети (NAC).
    • Нет. Включает рандомизацию MAC-адресов на устройствах. Пользователи не могут отключить его. Когда устройства подключаются к новой сети, устройства представляют случайный MAC-адрес вместо физического MAC-адреса.

    Этот параметр применяется к:

    • iOS 14.0 и более поздней версии
    • iPadOS 14.0 и более поздней версии

Профили предприятия

Профили предприятия используют расширяемый протокол проверки подлинности (EAP) для проверки подлинности Wi-Fi подключений. EAP часто используется предприятиями, так как вы можете использовать сертификаты для проверки подлинности и защиты подключений, а также настройки дополнительных параметров безопасности.

  • Канал развертывания. Выберите способ развертывания профиля. Этот параметр также определяет цепочку ключей, в которой хранятся сертификаты проверки подлинности, поэтому важно выбрать правильный канал. Изменить канал развертывания после развертывания профиля невозможно. Для этого необходимо создать новый профиль.

    Примечание.

    Мы рекомендуем повторно проверить параметр канала развертывания в существующих профилях, когда связанные сертификаты проверки подлинности будут продлены, чтобы убедиться, что выбранный канал выбран. Если это не так, создайте новый профиль с правильным каналом развертывания.

    У вас есть два варианта:

    • Канал пользователя. Всегда выбирайте канал развертывания пользователя в профилях с сертификатами пользователей. Этот параметр сохраняет сертификаты в цепочке ключей пользователя.
    • Канал устройства. Всегда выбирайте канал развертывания устройств в профилях с сертификатами устройств. Этот параметр сохраняет сертификаты в системной цепочке ключей.
  • Тип Wi-Fi: выберите Корпоративный.
  • Сетевое имя. Введите имя этого Wi-Fi подключения. Пользователи видят это имя при просмотре списка доступных подключений на своем устройстве.
  • SSID: сокращение от идентификатора набора служб. Это свойство является реальным именем беспроводной сети, к которому подключаются устройства. Однако пользователи видят сетевое имя, настроено только при выборе подключения.
  • Автоматическое подключение. Включить автоматически подключается к этой сети, когда устройство находится в диапазоне действия. Отключить запрещает автоматическое подключение устройств.
  • Скрытая сеть. Включить соответствует этому параметру устройства с параметром на маршрутизаторе Wi-Fi конфигурации. Таким образом, если для сети задано значение скрытое, сеть также скрыта в профиле Wi-Fi. Выберите Отключить, если SSID сети является широковещательным и видимым.
  • Тип безопасности. Выберите протокол безопасности для проверки подлинности в Wi-Fi сети. Доступны следующие параметры:
    • WPA — Enterprise
    • WPA/WPA2 — Enterprise

  • Тип EAP. Выберите тип Протокола расширенной проверки подлинности (EAP), используемый для проверки подлинности защищенных беспроводных подключений. Доступны следующие параметры:

    • EAP-FAST: введите параметры защищенных учетных данных доступа (PAC). Этот параметр использует защищенные учетные данные доступа для создания туннеля с проверкой подлинности между клиентом и сервером проверки подлинности. Доступны следующие параметры:

      • Не использовать (PAC)
      • Использовать (PAC): если существует существующий PAC-файл, используйте его.
      • Использование и подготовка PAC. Создайте и добавьте PAC-файл на устройства.
      • Использовать и подготавливать PAC анонимно. Создайте и добавьте PAC-файл на устройства без проверки подлинности на сервере.

    • EAP-SIM

    • EAP-TLS: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети. При наличии нескольких серверов Radius с одинаковым DNS-суффиксом в полном доменном имени можно ввести суффикс с подстановочными знаками. Например, можно ввести *.contoso.com.
      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

      • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения. Выберите сертификаты, которые соответствуют выбранному каналу развертывания. Если выбран канал пользователя, параметры сертификата ограничены профилями сертификатов пользователей. Если вы выбрали канал устройства, у вас есть профили сертификатов пользователей и устройств. Однако рекомендуется всегда выбирать тип сертификата, который соответствует выбранному каналу. Хранение сертификатов пользователей в системной цепочке ключей повышает риски безопасности.

      • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • EAP-TTLS: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности подключения. Убедитесь, что выбран тот же протокол, который настроен в сети Wi-Fi.

            Возможные варианты: незашифрованный пароль (PAP),протокол проверки подлинности подтверждения запроса (CHAP),Майкрософт CHAP (MS-CHAP) или Майкрософт CHAP версии 2 (MS-CHAP v2)

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

    • СКАЧОК

    • PEAP: также введите:

      • Имена серверов сертификатов. Добавьте одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС), к серверам беспроводного доступа к сети. Например, добавьте mywirelessserver.contoso.com или mywirelessserver. При вводе этих сведений можно обойти окно динамического доверия, отображаемое на устройствах пользователя при подключении к этой Wi-Fi сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно. Этот сертификат позволяет клиенту доверять сертификату сервера доступа к беспроводной сети.

      • Метод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Производные учетные данные. Используйте сертификат, производный от интеллектуальной карта пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

        • Имя пользователя и пароль. Запросите у пользователя имя пользователя и пароль для проверки подлинности подключения.

        • Сертификаты. Выберите профиль сертификата клиента SCEP или PKCS, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

  • Параметры прокси-сервера. Выберите конфигурацию прокси-сервера. Доступны следующие параметры:

    • Нет: параметры прокси-сервера не настроены.

    • Вручную. Введите адрес прокси-сервера в качестве IP-адреса и номер порта.

    • Автоматически: используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера , содержащий файл конфигурации. Например, введите http://proxy.contoso.com, 10.0.0.11 или http://proxy.contoso.com/proxy.pac.

      Дополнительные сведения о файлах PAC см. в статье Файл автоматической настройки прокси-сервера (PAC) (открывается сайт сторонних пользователей).

  • Отключить рандомизацию MAC-адресов. Начиная с iOS/iPadOS 14 устройства представляют случайный MAC-адрес вместо физического MAC-адреса при подключении к сети. Для конфиденциальности рекомендуется использовать случайные MAC-адреса, так как сложнее отслеживать устройство по ЕГО MAC-адресу. Случайные MAC-адреса также нарушают функциональность, которая зависит от статического MAC-адреса, включая управление сетевым доступом (NAC).

    Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию при подключении к сети устройства могут представлять случайный MAC-адрес вместо физического MAC-адреса.
    • Да: принуждают устройства представлять фактический MAC-адрес Wi-Fi вместо случайного MAC-адреса. Да позволяет отслеживать устройства по MAC-адресу. Отключать рандомизацию MAC-адресов только при необходимости, например для поддержки управления доступом к сети (NAC).
    • Нет. Включает рандомизацию MAC-адресов на устройствах. Пользователи не могут отключить его. Когда устройства подключаются к сети, устройства представляют случайный MAC-адрес, а не физический MAC-адрес.

    Этот параметр применяется к:

    • iOS 14.0 и более поздней версии
    • iPadOS 14.0 и более поздней версии
  • Last updated on