使用自訂裝置配置檔,使用 Intune 建立具有預先共用金鑰的WiFi設定檔
重要事項
Android 裝置系統管理員管理已被取代,無法再供可存取 Google 行動服務 (GMS) 的裝置使用。 如果您目前使用裝置系統管理員管理,建議您切換至另一個 Android 管理選項。 支援與說明檔仍然適用於某些沒有 GMS 且執行 Android 15 和更早版本的裝置。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
PSK) (預先共用密鑰通常用來驗證 WiFi 網路或無線 LAN 中的使用者。 透過 Intune,您可以使用預先共用的金鑰來建立 WiFi 裝置設定原則。
若要建立配置檔,請使用 Intune 內的自定義裝置配置檔功能。
本功能適用於:
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Windows
- EAP 型 Wi-Fi
您可以在 XML 檔案中新增 Wi-Fi 和 PSK 資訊。 然後,您會將 XML 檔案新增至 Intune 中的自定義裝置設定原則。 當原則準備就緒時,您會將原則指派給您的裝置。 下次裝置簽入時,會套用原則,並在裝置上建立 Wi-Fi 配置檔。
本文說明如何在 Intune 中建立原則,並包含以 EAP 為基礎的 Wi-Fi 原則的 XML 範例。
重要事項
- 使用預先共用金鑰搭配 Windows 10/11 會導致補救錯誤顯示在 Intune 中。 發生這種情況時,Wi-Fi 配置檔會正確指派給裝置,且配置檔會如預期般運作。
- 如果您匯出包含預先共用金鑰的 Wi-Fi 設定檔,請確定檔案受到保護。 索引鍵是純文字。 您必須負責保護金鑰。
必要條件
- 若要建立原則,請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊,請移至 Microsoft Intune 的角色型訪問控制。
開始之前
- 從連線到該網路的計算機複製 XML 語法可能比較容易,如本文) 中從現有的 Wi-Fi 連線建立 XML 檔案 中所述 (。
- 您可以新增更多 OMA-URI 設定來新增多個網路和金鑰。
- 針對 iOS/iPadOS,請在 Mac 站臺上使用 Apple Configurator 來設定設定檔。
- PSK 需要 64 個十六進位數位的字串,或 8 到 63 個可列印 ASCII 字元的複雜密碼。 不支援某些字元,例如星號 (
*) 。
建立自訂配置檔
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
- 平台:選擇您的平臺。
- 配置檔類型:選取 [自定義]。 或者,選取 [自定義範本>]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 Android-Custom Wi-Fi 配置檔。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 組態設定] 中,選取 [ 新增]。 輸入具有下列屬性的新 OMA-URI 設定:
名稱:輸入 OMA-URI 設定的名稱。
描述:輸入 OMA-URI 設定的描述。 這是選擇性設定,但建議進行。
OMA-URI:輸入下列其中一個選項:
-
針對Android:
./Vendor/MSFT/WiFi/Profile/SSID/Settings -
針對 Windows:
./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
注意事項
- 請務必在 OMA-URI 值的開頭包含句號字元。
- 如果 SSID 有空白,請新增逸出空間
%20。
SSID (服務集標識碼) 是您要建立原則的 Wi-Fi 網路名稱。 例如,如果 Wi-Fi 名為
Hotspot-1,請輸入./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings。 如果 Wi-Fi 名為Contoso WiFi,請輸入./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings具有%20逸出空間) (。-
針對Android:
數據類型:選取 [字串]。
值:貼上您的 XML 程式代碼。 請參閱本文中的 範例 。 更新每個值以符合您的網路設定。 程序代碼的 comments 區段包含一些指標。
選取 [新增] 以儲存您的變更。
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 和範圍標籤。選取[下一步]。
在 [指派] 中,選取將接收您設定檔的使用者或使用者群組。 如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔。
注意事項
此原則只能指派給使用者群組。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
下次每次裝置簽入時,都會套用原則,並在裝置上建立 Wi-Fi 配置檔。 裝置接著可以自動連線到網路。
Android 或 Windows Wi-Fi 設定檔範例
下列範例包含 Android 或 Windows Wi-Fi 設定檔的 XML 程式代碼。 提供此範例以顯示適當的格式,並提供更多詳細數據。 這隻是一個範例,不適合作為您環境的建議組態。
您需要知道的事項
<protected>false</protected>必須設定為 false。 如果 為 true,則可能導致裝置預期有加密的密碼,然後嘗試將它解密;這可能會導致連線失敗。<hex>53534944</hex>應該設定為的<name><SSID of wifi profile></name>十六進位值。 Windows 10/11 裝置可能會傳回錯誤x87D1FDE8 Remediation failed,但裝置仍然包含配置檔。XML 具有特殊字元,例如
&(連字串) 。 使用特殊字元可防止 XML 如預期般運作。
範例
<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name><Name of wifi profile></name>
<SSIDConfig>
<SSID>
<hex>53534944</hex>
<name><SSID of wifi profile></name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication><Type of authentication></authentication>
<encryption><Type of encryption></encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>password</keyMaterial>
</sharedKey>
<keyIndex>0</keyIndex>
</security>
</MSM>
</WLANProfile>
EAP 型 Wi-Fi 設定檔範例
下列範例包含EAP型 Wi-Fi 配置檔的 XML 程序代碼。 此範例顯示適當的格式,並提供更多詳細數據。 這隻是一個範例,不適合作為您環境的建議組態。
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>testcert</name>
<SSIDConfig>
<SSID>
<hex>7465737463657274</hex>
<name>testcert</name>
</SSID>
<nonBroadcast>true</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>user</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<AllPurposeEnabled>true</AllPurposeEnabled>
<CAHashList Enabled="true">
<IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Client Authentication</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true"/>
<AnyPurposeEKUList Enabled="false">
<EKUMapInList>
<EKUName>Client Authentication</EKUName>
</EKUMapInList>
</AnyPurposeEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>
從現有的 Wi-Fi 連線建立 XML 檔案
您也可以從現有的 Wi-Fi 連線建立 XML 檔案。 在 Windows 計算機上,使用下列步驟:
為導出的 Wi-Fi 配置檔建立本機資料夾,例如 c:\WiFi。
以系統管理員身分開啟命令提示字元 (以滑鼠右鍵按兩下
cmd> [以系統管理員身分執行]) 。執行
netsh wlan show profiles。 列出所有配置檔的名稱。執行
netsh wlan export profile name="YourProfileName" folder=c:\Wifi。 此命令會在 c:\Wifi 中建立名為Wi-Fi-YourProfileName.xml的檔案。如果您要匯出包含預先共用金鑰的 Wi-Fi 設定檔,請將 新
key=clear增至 命令。 參數key=clear會以純文字匯出金鑰,這是成功使用設定檔的必要專案:netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi如果匯出的 Wi-Fi 配置檔
<name></name>專案包含空格,則在指派時可能會傳ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500)回錯誤。 發生此問題時,配置檔會列在\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces中,並顯示為已知的網路。 但是,它不會在「受管理的區域...」中成功顯示為受控原則URI。若要解決此問題,請移除空間。
擁有 XML 檔案之後,請將 XML 語法複製並貼到 OMA-URI 設定 >[資料類型]。 在本文中建立自定義配置檔 () 列出步驟。
提示
\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} 也包含 XML 格式的所有設定檔。
最佳做法
使用 PSK 部署 Wi-Fi 設定檔之前,請確認裝置可以直接連線到端點。
當輪替金鑰 (密碼或複雜密碼) 時,預期會停機並規劃您的部署。 您應該:
確認裝置具有因特網的替代連線。
例如,終端使用者可以切換回來賓WiFi (或其他WiFi網路) ,或具有與Intune通訊的行動電話連線能力。 額外的連線可讓使用者在裝置上更新公司 Wi-Fi 配置檔時接收原則更新。
在非工作時間推送新的 Wi-Fi 配置檔。
警告用戶連線可能會受到影響。