Activer l'authentification filaire 802.1x

La mise à jour du 14 novembre 2017 vers Windows 10 (build 15063.726) a activé la configuration de la stratégie d’authentification câblée 802.1x sur les appareils Surface Hub. Cette fonctionnalité permet aux organisations de mettre en œuvre une authentification réseau filaire normalisée à l'aide du protocole d’authentification IEEE 802.1x. Cela était déjà disponible pour l’authentification sans fil à l’aide de profils WLAN via GPM ou un package d’approvisionnement. Cette rubrique explique comment configurer un Surface Hub pour une utilisation avec l’authentification câblée.

L’application et l’activation de l’authentification câblée 802.1x sur Surface Hub peuvent être effectuées via des profils OMA-URI MDM ou un package d’approvisionnement.

La principale configuration à définir est la stratégie LanProfile. En fonction de la méthode d’authentification sélectionnée, d'autres stratégies peuvent être nécessaires : la stratégie EapUserData ou l'utilisation de stratégies GPM pour l'ajout de certificats d’utilisateur ou d’ordinateur (comme ClientCertificateInstall pour les certificats d'utilisateur/appareil ou RootCATrustedCertificates pour les certificats d'appareil).

Élément de stratégie LanProfile

Pour configurer le Surface Hub en vue d'utiliser l'une des méthodes d’authentification 802.1x prises en charge, utilisez l’OMA-URI suivant.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Ce nœud OMA-URI prend une chaîne de texte XML comme paramètre. Le code XML fourni comme paramètre doit être conforme au schéma de profil du réseau local câblé, notamment les éléments du schéma 802.1X.

Dans la plupart des cas, un administrateur ou un utilisateur peut exporter le code XML LanProfile à partir d’un PC existant, déjà configuré sur le réseau pour 802.1X, à l’aide de la commande NETSH suivante.

netsh lan export profile folder=.

L’exécution de cette commande donne la sortie suivante et place un fichier intitulé Ethernet.xml dans le répertoire actif.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Pour désactiver complètement 802.1x sur le Surface Hub, un package d’approvisionnement peut être utilisé pour définir le nœud SurfaceHub\Dot3\LanProfile sur le code xml suivant :

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

Élément de stratégie EapUserData

Si votre méthode d’authentification requiert un nom d’utilisateur et un mot de passe par opposition à un certificat, vous pouvez utiliser l'élément EapUserData pour spécifier des informations d’identification pour l'appareil à utiliser pour s’authentifier sur le réseau.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

Ce nœud OMA-URI prend une chaîne de texte XML comme paramètre. Le code XML fourni comme paramètre doit être conforme à l'exemple de Propriétés de l'utilisateur PEAP MS-CHAPv2. Dans l’exemple, vous devez remplacer toutes les instances de test et ias-domain par vos informations.

Ajout de certificats

Si votre méthode d’authentification sélectionnée est basée sur un certificat, vous devez créer un package d’approvisionnement, utiliser GPM ou importer un certificat à partir des paramètres (Mise à jourdes paramètres> etCertificats de sécurité>) pour déployer ces certificats sur votre appareil Surface Hub dans le magasin de certificats approprié. Lors de l’ajout de certificats, chaque PFX doit contenir un seul certificat (un PFX ne peut pas avoir plusieurs certificats).