Поделиться через


Добавление параметров проводной сети для устройств Windows в Microsoft Intune

Вы можете создать профиль с определенными параметрами проводной сети, а затем развернуть его на устройствах Windows. Например, можно выполнить проверку подлинности в сети, добавить сертификат SCEP и многое другое.

В этой статье описаны параметры, которые можно настроить.

Данная функция применяется к:

  • Windows 11
  • Windows 10

Подготовка к работе

Проводная сеть

  • Режим проверки подлинности. Выберите способ проверки подлинности профиля в сети. Если вы используете проверку подлинности на основе сертификата, убедитесь, что тип сертификата соответствует типу проверки подлинности.

    Доступны следующие параметры:

    • Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может использовать проверку подлинности пользователя или компьютера .
    • Пользователь: учетная запись пользователя, вошедшего в устройство, проходит проверку подлинности в сети.
    • Компьютер: учетные данные устройства проходят проверку подлинности в сети.
    • Пользователь или компьютер. При входе пользователя в устройство учетные данные пользователя проходят проверку подлинности в сети. Если пользователи не вошли в систему, учетные данные устройства проходят проверку подлинности.
    • Гость: с сетью не связаны учетные данные. Проверка подлинности открыта или обрабатывается извне, например через веб-страницу.
  • Запоминать учетные данные при каждом входе. Выберите кэшировать учетные данные пользователя или если пользователи должны вводить их каждый раз при подключении к сети. Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может включить эту функцию и кэшировать учетные данные.
    • Включить. Кэширует учетные данные пользователя при вводе при первом подключении пользователей к сети. Кэшированные учетные данные используются для будущих подключений, и пользователям не нужно повторно входить в них.
    • Отключить. Учетные данные пользователя не запоминаются и не кэшируются. Когда пользователи подключаются к сети, пользователи должны каждый раз вводить свои учетные данные.
  • Период проверки подлинности. Введите число секунд, в течение которых устройства должны ожидать после попытки проверки подлинности( от 1 до 3600). Если устройство не подключается во время ввода, проверка подлинности завершается ошибкой. Если оставить это значение пустым или пустым, 18 будут использоваться секунды.

  • Период задержки повторных попыток проверки подлинности. Введите количество секунд между неудачной попыткой проверки подлинности и следующей попыткой проверки подлинности от 1 до 3600. Если оставить это значение пустым или пустым, 1 используется значение second.

  • Начальный период. Введите число секунд ожидания перед отправкой сообщения EAPOL-Start от 1 до 3600. Если оставить это значение пустым или пустым, 5 будут использоваться секунды.

  • Максимальное число сообщений eapol-start. Введите количество EAPOL-Start сообщений от 1 до 100. Если оставить это значение пустым или пустым, будет отправлено максимум 3 сообщений.

  • Максимальное число ошибок проверки подлинности. Введите максимальное число ошибок проверки подлинности для этого набора учетных данных для проверки подлинности( от 1 до 100). Если оставить это значение пустым или пустым, 1 используется попытка.

  • 802.1x. Если задано значение Принудительно, служба автоматической конфигурации для проводных сетей (проводная автонастройка) требует использования 802.1X для проверки подлинности порта. Если задано значение Не применять (по умолчанию), для службы проводной автонастройки не требуется использовать 802.1X для проверки подлинности порта.

    Предупреждение

    Если задано значение Принудительно, убедитесь, что параметры конфигурации в политике верны и соответствуют параметрам сети. Если параметры политики не соответствуют параметрам сети, доступ к Интернету на устройстве блокируется. Устройство не может подключиться к Интернету, чтобы получить обновленную версию политики. Чтобы снова получить доступ к Интернету, необходимо вручную удалить политику с устройства.

  • Период блокировки (в минутах): после неудачной попытки проверки подлинности ОС автоматически пытается выполнить проверку подлинности еще раз. Введите количество минут для блокировки этих попыток автоматической проверки подлинности от 0 до 1440. Если оставить это значение пустым или пустым, ОС может автоматически повторить попытку проверки подлинности.

  • Тип EAP. Для проверки подлинности защищенных проводных подключений выберите тип Расширяемый протокол проверки подлинности (EAP). Доступны следующие параметры:

    • EAP-SIM

    • EAP-TLS: также введите:

      • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). При вводе этих сведений можно обойти окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.
      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.
      • Проверка подлинности - клиентаМетод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:
        • Сертификат SCEP. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Сертификат PKCS. Выберите существующий профиль сертификата клиента стандартов шифрования открытого ключа (PKCS) и существующий доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности подключения.

        • Импорт сертификата PFX. Выберите существующий профиль импортированного сертификата PFX. Сертификат клиента — это удостоверение, представленное устройством для проверки подлинности подключения.

          Дополнительные сведения об импортированных PFX-сертификатах см. в статье Настройка и использование импортированных сертификатов PKCS в Intune.

        • Производные учетные данные. Выберите существующий профиль сертификата, производный от смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

    • EAP-TTLS: также введите:

      • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.

      • Корневые сертификаты для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Проверка подлинности - клиентаМетод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запрос имени пользователя и пароля для проверки подлинности сетевого подключения. Также введите:

          • Метод, отличный от EAP (внутреннее удостоверение). Выберите способ проверки подлинности сетевого подключения. Убедитесь, что выбран тот же протокол, который настроен в сети.

            Возможные варианты: незашифрованный пароль (PAP),подтверждение вызова (CHAP),Microsoft CHAP (MS-CHAP) или Microsoft CHAP версии 2 (MS-CHAP версии 2)

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.

        • Сертификат SCEP. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, представленное устройством для проверки подлинности сетевого подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Сертификат PKCS. Выберите существующий профиль сертификата клиента PKCS и существующий доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, представленное устройством для проверки подлинности сетевого подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Импорт сертификата PFX. Выберите существующий профиль импортированного сертификата PFX. Сертификат клиента — это удостоверение, представленное устройством для проверки подлинности сетевого подключения.

          Дополнительные сведения об импортированных PFX-сертификатах см. в статье Настройка и использование импортированных сертификатов PKCS в Intune.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Производные учетные данные. Выберите существующий профиль сертификата, производный от смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

    • Защищенный EAP (PEAP): также введите:

      • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.

      • Корневой сертификат для проверки сервера. Выберите один или несколько существующих профилей доверенных корневых сертификатов. Когда клиент подключается к сети, эти сертификаты используются для установления цепочки доверия с сервером. Если сервер проверки подлинности использует общедоступный сертификат, включать корневой сертификат не нужно.

      • Выполнение проверки сервера. Если задано значение Да, на этапе согласования PEAP 1 устройства проверяют сертификат и сервер. Выберите Нет , чтобы заблокировать или запретить эту проверку. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

        Если выбрать да, также настройте следующие параметры:

        • Отключить запросы пользователей на проверку сервера. Если задано значение Да, на этапе согласования PEAP 1 запросы пользователей с просьбой авторизовать новые серверы PEAP для доверенных центров сертификации не отображаются. Выберите Нет , чтобы отобразить запросы. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
      • Требовать криптографическую привязку. Значение Да предотвращает подключения к серверам PEAP, которые не используют шифрование во время согласования PEAP. Нет не требует шифрования. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

      • Проверка подлинности - клиентаМетод проверки подлинности. Выберите метод проверки подлинности, используемый клиентами устройств. Доступны следующие параметры:

        • Имя пользователя и пароль. Запрос имени пользователя и пароля для проверки подлинности сетевого подключения. Также введите:

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Сертификат SCEP. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Сертификат PKCS. Выберите существующий профиль сертификата клиента PKCS и существующий доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Импорт сертификата PFX. Выберите существующий профиль импортированного сертификата PFX. Сертификат клиента — это удостоверение, представленное устройством для проверки подлинности сетевого подключения.

          Дополнительные сведения об импортированных PFX-сертификатах см. в статье Настройка и использование импортированных сертификатов PKCS в Intune.

          • Конфиденциальность удостоверений (внешнее удостоверение). Введите текст, отправленный в ответ на запрос на идентификацию EAP. Это может быть любое значение, например anonymous. Во время проверки подлинности это анонимное удостоверение изначально отправляется. Затем реальная идентификация отправляется в безопасном туннеле.
        • Производные учетные данные. Выберите существующий профиль сертификата, производный от смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

    • Tunnel EAP (TEAP): также введите:

      • Доверие - сервераИмена серверов сертификатов. Введите одно или несколько распространенных имен, используемых в сертификатах, выданных доверенным центром сертификации (ЦС). Если ввести эти сведения, можно обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах при подключении к этой сети.

      • Проверка подлинности - клиентаОсновной метод проверки подлинности. Выберите основной метод проверки подлинности, используемый клиентами устройств для проверки подлинности пользователей. Этот метод проверки подлинности является сертификатом удостоверения, который устройство предоставляет серверу.

        Доступны следующие параметры:

        • Имя пользователя и пароль. Запрос имени пользователя и пароля для проверки подлинности сетевого подключения.

        • Сертификат SCEP. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

        • Сертификат PKCS. Выберите существующий профиль сертификата клиента PKCS и существующий доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

        • Производные учетные данные. Выберите существующий профиль сертификата, производный от смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.

      • Проверка подлинности - клиентаВторичный метод проверки подлинности. Выберите дополнительный метод проверки подлинности, используемый клиентами устройств для проверки подлинности компьютера. Этот метод проверки подлинности является сертификатом удостоверения, который устройство предоставляет серверу.

        Если основной метод проверки подлинности завершается ошибкой, используется метод вторичной проверки подлинности . Если дополнительный метод проверки подлинности недоступен, то метод вторичной проверки подлинности не используется, даже если основной метод проверки подлинности завершается ошибкой . В этом сценарии проверка подлинности завершается сбоем.

        Доступны следующие параметры:

        • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию дополнительный метод проверки подлинности не используется. Если основной метод проверки подлинности завершается ошибкой , проверка подлинности завершается ошибкой.

        • Имя пользователя и пароль. Запрос имени пользователя и пароля для проверки подлинности сетевого подключения.

        • Сертификат SCEP. Выберите существующий профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

        • Сертификат PKCS. Выберите существующий профиль сертификата клиента PKCS и существующий доверенный корневой сертификат , которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство представляет серверу для проверки подлинности сетевого подключения.

        • Производные учетные данные. Выберите существующий профиль сертификата, производный от смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.