Ajouter des paramètres Wi-Fi pour les appareils Windows 10/11 dans Intune

Remarque

Intune peut prendre en charge davantage de paramètres que les paramètres répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue des paramètres.

Vous pouvez créer un profil avec des paramètres Wi-Fi spécifiques. Ensuite, déployez ce profil sur vos appareils clients Windows. Microsoft Intune offre de nombreuses fonctionnalités, notamment l’authentification auprès de votre réseau, l’utilisation d’une clé pré-partagée, etc.

Cet article décrit certains de ces paramètres.

Avant de commencer

Profil de base

Les profils de base ou personnels utilisent WPA/WPA2 pour sécuriser la connexion Wi-Fi sur les appareils. En règle générale, WPA/WPA2 est utilisé sur les réseaux domestiques ou les réseaux personnels. Vous pouvez également ajouter une clé pré-partagée pour authentifier la connexion.

  • Type de Wi-Fi : sélectionnez De base.

  • Nom Wi-Fi (SSID) : abréviation de l’identificateur du jeu de services. Cette valeur est le nom réel du réseau sans fil auquel les appareils se connectent. Toutefois, les utilisateurs voient uniquement le nom de connexion que vous configurez lorsqu’ils choisissent la connexion.

  • Nom de la connexion : entrez un nom convivial pour cette connexion Wi-Fi. Le texte que vous entrez est le nom que les utilisateurs voient lorsqu’ils parcourent les connexions disponibles sur leur appareil. Par exemple, entrez ContosoWiFi.

  • Se connecter automatiquement quand il est dans la plage : Quand oui, les appareils se connectent automatiquement lorsqu’ils sont à portée de ce réseau. Lorsque la valeur est Non, les appareils ne se connectent pas automatiquement.

    • Se connecter à un réseau plus préféré si disponible : si les appareils sont à portée d’un réseau plus préféré, sélectionnez Oui pour utiliser le réseau préféré. Sélectionnez Non pour utiliser le réseau Wi-Fi dans ce profil de configuration.

      Par exemple, vous créez un réseau Wi-Fi ContosoCorp et utilisez ContosoCorp dans ce profil de configuration. Vous disposez également d’un réseau ContosoGuest Wi-Fi dans la plage. Lorsque vos appareils d’entreprise sont à portée de portée, vous souhaitez qu’ils se connectent automatiquement à ContosoCorp. Dans ce scénario, définissez la propriété Se connecter à un réseau plus préféré si disponible sur Non.

    • Se connecter à ce réseau, même s’il ne diffuse pas son SSID : sélectionnez Oui pour vous connecter automatiquement à votre réseau, même lorsque le réseau est masqué. Cela signifie que son identificateur de jeu de services (SSID) n’est pas diffusé publiquement. Sélectionnez Non si vous ne souhaitez pas que ce profil de configuration se connecte à votre réseau masqué.

  • Limite de connexion limitée : un administrateur peut choisir la façon dont le trafic du réseau est mesuré. Les applications peuvent ensuite ajuster leur comportement de trafic réseau en fonction de ce paramètre. Les options disponibles sont les suivantes :

    • Non restreint : valeur par défaut. La connexion n’est pas limitée et il n’existe aucune restriction sur le trafic.
    • Résolu : utilisez cette option si le réseau est configuré avec une limite fixe pour le trafic réseau. Une fois cette limite atteinte, l’accès réseau est interdit.
    • Variable : cette option a été utilisée si le trafic réseau est facturé par octet (coût par octet).
  • Type de sécurité sans fil : entrez le protocole de sécurité utilisé pour authentifier les appareils sur votre réseau. Voici les différents choix possibles :

    • Ouvrir (aucune authentification) : utilisez cette option uniquement si le réseau n’est pas sécurisé.

    • WPA/WPA2-Personal : option plus sécurisée, couramment utilisée pour la connectivité Wi-Fi. Pour plus de sécurité, vous pouvez également entrer un mot de passe de clé prétagée ou une clé réseau.

      • Clé pré-partagée (PSK) : facultatif. Affiché lorsque vous choisissez WPA/WPA2-Personal comme type de sécurité. Lorsque le réseau de votre organisation est installé ou configuré, un mot de passe ou une clé réseau est également configuré. Entrez ce mot de passe ou cette clé réseau pour la valeur PSK. Entrez une chaîne ASCII de 8 à 63 caractères ou utilisez 64 caractères hexadécimaux.

        Importante

        La clé PSK est la même pour tous les appareils sur lesquels vous ciblez le profil. Si la clé est compromise, elle peut être utilisée par n’importe quel appareil pour se connecter au réseau Wi-Fi. Sécurisez vos clés PSK pour éviter tout accès non autorisé.

  • Paramètres du proxy d’entreprise : sélectionnez cette option pour utiliser les paramètres de proxy au sein de votre organisation. Les options disponibles sont les suivantes :

    • Aucun : aucun paramètre de proxy n’est configuré.

    • Configurer manuellement : entrez l’adresse IP du serveur proxy et son numéro de port.

    • Configurer automatiquement : entrez l’URL pointant vers un script pac (proxy autoconfiguration). Par exemple, entrez http://proxy.contoso.com/proxy.pac.

      Pour plus d’informations sur les fichiers PAC, accédez à Fichier de configuration automatique du proxy (PAC) (ouvre un site non-Microsoft).

Profil d’entreprise

Les profils d’entreprise utilisent le protocole EAP (Extensible Authentication Protocol) pour authentifier les connexions Wi-Fi. EAP est souvent utilisé par les entreprises, car vous pouvez utiliser des certificats pour authentifier et sécuriser les connexions. Et configurez d’autres options de sécurité.

  • Type de Wi-Fi : sélectionnez Entreprise.

  • Nom Wi-Fi (SSID) : abréviation de l’identificateur du jeu de services. Cette valeur est le nom réel du réseau sans fil auquel les appareils se connectent. Toutefois, les utilisateurs voient uniquement le nom de connexion que vous configurez lorsqu’ils choisissent la connexion.

  • Nom de la connexion : entrez un nom convivial pour cette connexion Wi-Fi. Le texte que vous entrez est le nom que les utilisateurs voient lorsqu’ils parcourent les connexions disponibles sur leur appareil. Par exemple, entrez ContosoWiFi.

  • Se connecter automatiquement quand il est dans la plage : Quand oui, les appareils se connectent automatiquement lorsqu’ils sont à portée de ce réseau. Lorsque la valeur est Non, les appareils ne se connectent pas automatiquement.

    • Se connecter à un réseau plus préféré si disponible : si les appareils sont à portée d’un réseau plus préféré, sélectionnez Oui pour utiliser le réseau préféré. Sélectionnez Non pour utiliser le réseau Wi-Fi dans ce profil de configuration.

      Par exemple, vous créez un réseau Wi-Fi ContosoCorp et utilisez ContosoCorp dans ce profil de configuration. Vous disposez également d’un réseau ContosoGuest Wi-Fi dans la plage. Lorsque vos appareils d’entreprise sont à portée de portée, vous souhaitez qu’ils se connectent automatiquement à ContosoCorp. Dans ce scénario, définissez la propriété Se connecter à un réseau plus préféré si disponible sur Non.

  • Connectez-vous à ce réseau, même s’il ne diffuse pas son SSID : sélectionnez Oui pour que le profil de configuration se connecte automatiquement à votre réseau, même lorsque le réseau est masqué (ce qui signifie que son SSID n’est pas diffusé publiquement). Sélectionnez Non si vous ne souhaitez pas que ce profil de configuration se connecte à votre réseau masqué.

  • Limite de connexion limitée : un administrateur peut choisir la façon dont le trafic du réseau est mesuré. Les applications peuvent ensuite ajuster leur comportement de trafic réseau en fonction de ce paramètre. Les options disponibles sont les suivantes :

    • Non restreint : valeur par défaut. La connexion n’est pas limitée et il n’existe aucune restriction sur le trafic.
    • Résolu : utilisez cette option si le réseau est configuré avec une limite fixe pour le trafic réseau. Une fois cette limite atteinte, l’accès réseau est interdit.
    • Variable : utilisez cette option si le trafic réseau est facturé par octet.
  • Mode d’authentification : sélectionnez la façon dont le profil Wi-Fi s’authentifie auprès du serveur Wi-Fi. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, l’authentification utilisateur ou machine est utilisée.
    • Utilisateur : le compte d’utilisateur connecté à l’appareil s’authentifie auprès du réseau Wi-Fi.
    • Machine : les informations d’identification de l’appareil s’authentifient auprès du réseau Wi-Fi.
    • Utilisateur ou machine : lorsqu’un utilisateur est connecté à l’appareil, les informations d’identification de l’utilisateur s’authentifient auprès du réseau Wi-Fi. Lorsqu’aucun utilisateur n’est connecté, les informations d’identification de l’appareil s’authentifient.
    • Invité : aucune information d’identification n’est associée au réseau Wi-Fi. L’authentification est ouverte ou gérée en externe, par exemple via une page web.
  • Mémoriser les informations d’identification à chaque ouverture de session : sélectionnez cette option pour mettre en cache les informations d’identification de l’utilisateur, ou si les utilisateurs doivent les entrer à chaque fois qu’ils se connectent au Wi-Fi. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer cette fonctionnalité et mettre en cache les informations d’identification.
    • Activer : met en cache les informations d’identification de l’utilisateur lorsqu’ils sont entrés la première fois que les utilisateurs se connectent au réseau Wi-Fi. Les informations d’identification mises en cache sont utilisées pour les connexions futures, et les utilisateurs n’ont pas besoin de les réentrérer.
    • Désactiver : les informations d’identification de l’utilisateur ne sont pas mémorisées ou mises en cache. Lorsque les appareils se connectent au Wi-Fi, les utilisateurs doivent entrer leurs informations d’identification à chaque fois.
  • Période d’authentification : entrez le nombre de secondes pendant lesquelles les appareils doivent attendre après avoir essayé de s’authentifier, entre 1 et 3600. Si l’appareil ne se connecte pas au moment où vous entrez, l’authentification échoue. Si vous laissez cette valeur vide ou vide, les 18 secondes sont utilisées.

  • Délai de nouvelle tentative d’authentification : entrez le nombre de secondes entre une tentative d’authentification ayant échoué et la tentative d’authentification suivante, comprise entre 1 et 3600. Si vous laissez cette valeur vide ou vide, 1 second est utilisé.

  • Période de début : entrez le nombre de secondes d’attente avant l’envoi d’un message EAPOL-Start, entre 1 et 3600. Si vous laissez cette valeur vide ou vide, les 5 secondes sont utilisées.

  • Démarrage EAPOL maximal : entrez le nombre de messages EAPOL-Start, compris entre 1 et 100. Si vous laissez cette valeur vide ou vide, un maximum de 3 messages sont envoyés.

  • Nombre maximal d’échecs d’authentification : entrez le nombre maximal d’échecs d’authentification pour cet ensemble d’informations d’identification à authentifier, de 1 à 100. Si vous laissez cette valeur vide ou vide, la 1 tentative est utilisée.

  • Authentification unique (SSO) : vous permet de configurer l’authentification unique (SSO), où les informations d’identification sont partagées pour l’ordinateur et Wi-Fi la connexion réseau. Les options disponibles sont les suivantes :

    • Désactiver : désactive le comportement de l’authentification unique. L’utilisateur doit s’authentifier sur le réseau séparément.
    • Activer avant que l’utilisateur ne se connecte à l’appareil : utilisez l’authentification unique pour vous authentifier auprès du réseau juste avant le processus de connexion de l’utilisateur.
    • Activer après la connexion de l’utilisateur à l’appareil : utilisez l’authentification unique pour vous authentifier auprès du réseau immédiatement après la fin du processus de connexion de l’utilisateur.
    • Durée maximale de l’authentification avant le délai d’expiration : entrez le nombre maximal de secondes à attendre avant l’authentification sur le réseau, entre 1 et 120 secondes.
    • Autoriser Windows à inviter l’utilisateur à fournir des informations d’identification d’authentification supplémentaires : Oui permet au système Windows d’inviter l’utilisateur à fournir d’autres informations d’identification, si la méthode d’authentification l’exige. Sélectionnez Non pour masquer ces invites.
  • Activer la mise en cache de la clé principale par paire (PMK) : sélectionnez Oui pour mettre en cache la clé PMK utilisée dans l’authentification. Cette mise en cache permet généralement d’effectuer l’authentification sur le réseau plus rapidement. Sélectionnez Non pour forcer l’établissement d’une liaison d’authentification lors de la connexion au réseau Wi-Fi à chaque fois.

    • Durée maximale de stockage d’une clé PMK dans le cache : entrez le nombre de minutes pendant lesquelles une clé principale par paire (PMK) est stockée dans le cache, entre 5 et 1 440 minutes.
    • Nombre maximal de clés PMK stockées dans le cache : entrez le nombre de clés stockées dans le cache, compris entre 1 et 255.
    • Activer la pré-authentification : la pré-authentification permet au profil de s’authentifier auprès de tous les points d’accès du réseau dans le profil avant la connexion. Lorsque les appareils se déplacent d’un point d’accès à l’autre, la pré-authentification reconnecte l’utilisateur ou les appareils plus rapidement. Sélectionnez Oui pour que le profil s’authentifie auprès de tous les points d’accès de ce réseau qui se trouvent dans la plage. Sélectionnez Non pour exiger que l’utilisateur ou l’appareil s’authentifie auprès de chaque point d’accès séparément.
    • Nombre maximal de tentatives de pré-authentification : entrez le nombre de tentatives de pré-authentification, de 1 à 16.
  • Type EAP : pour authentifier les connexions sans fil sécurisées, sélectionnez le type EAP (Extensible Authentication Protocol). Les options disponibles sont les suivantes :

    • EAP-SIM

    • EAP-TLS : entrez également :

      • Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils utilisateur lorsqu’ils se connectent à ce réseau Wi-Fi.

      • Certificats racines pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.

      • Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Certificat SCEP : sélectionnez le profil de certificat client SCEP qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion.
        • Certificat PKCS : sélectionnez le profil de certificat client PKCS et le certificat racine approuvé qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion.
        • Informations d’identification dérivées : utilisez un certificat dérivé de la carte à puce d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.
    • EAP-TTLS : entrez également :

      • Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils utilisateur lorsqu’ils se connectent à ce réseau Wi-Fi.

      • Certificats racines pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.

      • Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion. Entrez également :

          • Méthode non EAP (identité interne) : choisissez la façon dont vous authentifiez la connexion. Veillez à choisir le même protocole que celui utilisé par votre réseau Wi-Fi.

            Vos options : Mot de passe non chiffré (PAP),Challenge Handshake (CHAP),Microsoft CHAP (MS-CHAP) et Microsoft CHAP Version 2 (MS-CHAP v2)

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.

        • Certificat SCEP : sélectionnez le profil de certificat client SCEP qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.
        • Certificat PKCS : sélectionnez le profil de certificat client PKCS et le certificat racine approuvé qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.
        • Informations d’identification dérivées : utilisez un certificat dérivé de la carte à puce d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

    • EAP protégé (PEAP) : entrez également :

      • Noms des serveurs de certificats : entrez un ou plusieurs noms courants utilisés dans les certificats émis par votre autorité de certification approuvée. Si vous entrez ces informations, vous pouvez contourner la boîte de dialogue d’approbation dynamique affichée sur les appareils utilisateur lorsqu’ils se connectent à ce réseau Wi-Fi.

      • Certificats racines pour la validation du serveur : sélectionnez un ou plusieurs profils de certificat racine approuvés existants. Lorsque le client se connecte au réseau, ces certificats sont utilisés pour établir une chaîne d’approbation avec le serveur. Si votre serveur d’authentification utilise un certificat public, vous n’avez pas besoin d’inclure de certificat racine.

      • Effectuer la validation du serveur : quand la valeur est Oui, dans la phase de négociation PEAP 1, les appareils valident le certificat et vérifient le serveur. Sélectionnez Non pour bloquer ou empêcher cette validation. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.

        Si vous sélectionnez Oui, configurez également :

        • Désactiver les invites utilisateur pour la validation du serveur : lorsque la valeur est Définie sur Oui, dans la phase de négociation PEAP 1, les invites utilisateur demandant à autoriser de nouveaux serveurs PEAP pour les autorités de certification approuvées ne sont pas affichées. Sélectionnez Non pour afficher les invites. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
      • Exiger une liaison de chiffrement : Oui empêche les connexions aux serveurs PEAP qui n’utilisent pas la liaison de chiffrement pendant la négociation PEAP. Non ne nécessite pas de cryptobinding. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.

      • Méthode d’authentification : sélectionnez la méthode d’authentification utilisée par vos clients d’appareil. Les options disponibles sont les suivantes :

        • Nom d’utilisateur et mot de passe : invitez l’utilisateur à entrer un nom d’utilisateur et un mot de passe pour authentifier la connexion. Entrez également :

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.
        • Certificat SCEP : sélectionnez le profil de certificat client SCEP qui est également déployé sur l’appareil. Ce certificat est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.
        • Certificat PKCS : sélectionnez le profil de certificat client PKCS et le certificat racine approuvé qui sont également déployés sur l’appareil. Le certificat client est l’identité présentée par l’appareil au serveur pour authentifier la connexion.

          • Confidentialité de l’identité (identité externe) : entrez le texte envoyé en réponse à une demande d’identité EAP. Ce texte peut être n’importe quelle valeur. Lors de l’authentification, cette identité anonyme est initialement envoyée. Ensuite, l’identification réelle est envoyée dans un tunnel sécurisé.
        • Informations d’identification dérivées : utilisez un certificat dérivé de la carte à puce d’un utilisateur. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

  • Paramètres du proxy d’entreprise : sélectionnez cette option pour utiliser les paramètres de proxy au sein de votre organisation. Les options disponibles sont les suivantes :

    • Aucun : aucun paramètre de proxy n’est configuré.

    • Configurer manuellement : entrez l’adresse IP du serveur proxy et son numéro de port.

    • Configurer automatiquement : entrez l’URL pointant vers un script de configuration automatique (PAC) de proxy. Par exemple, entrez http://proxy.contoso.com/proxy.pac.

      Pour plus d’informations sur les fichiers PAC, accédez à Fichier de configuration automatique du proxy (PAC) (ouvre un site non-Microsoft).

  • Forcer Wi-Fi profil à être conforme à la norme FIPS (Federal Information Processing Standard) : sélectionnez Oui lors de la validation par rapport à la norme FIPS 140-2. Cette norme est requise pour toutes les agences gouvernementales fédérales des États-Unis qui utilisent des systèmes de sécurité basés sur le chiffrement pour protéger les informations sensibles mais non classifiées stockées numériquement. Sélectionnez Non pour ne pas être conforme FIPS.

Utiliser un fichier de paramètres importé

Pour tous les paramètres non disponibles dans Intune, vous pouvez exporter Wi-Fi paramètres à partir d’un autre appareil Windows. Cette exportation crée un fichier XML avec tous les paramètres. Ensuite, importez ce fichier dans Intune et utilisez-le comme profil Wi-Fi. Pour plus d’informations sur l’importation du fichier XML, accédez à Exporter et importer Wi-Fi paramètres pour les appareils Windows.