Abilita autenticazione cablata 802.1x

L'aggiornamento del 14 novembre 2017 a Windows 10 (build 15063.726) ha abilitato la configurazione dei criteri di autenticazione cablata 802.1x nei dispositivi Surface Hub. La funzionalità consente alle organizzazioni di applicare l'autenticazione di rete cablata standardizzata tramite il protocollo di autenticazione IEEE 802.1x. Era già disponibile per l'autenticazione wireless tramite profili WLAN tramite MDM o pacchetto di provisioning. Questo argomento illustra come configurare un Surface Hub per l'uso con l'autenticazione cablata.

L'imposizione e l'abilitazione dell'autenticazione cablata 802.1x in Surface Hub possono essere eseguite tramite profili URI OMA MDM o pacchetto di provisioning.

La configurazione primaria da impostare è il criterio LanProfile. A seconda del metodo di autenticazione selezionato, altri criteri potrebbero essere necessari, il criterio EapUserData o i criteri MDM per l'aggiunta di certificati utente o del computer (ad esempio ClientCertificateInstall per certificati utente/dispositivo o RootCATrustedCertificates per certificati dispositivo).

Elemento dei criteri LanProfile

Per configurare Surface Hub per l'utilizzo di uno dei metodi di autenticazione 802.1x supportati, utilizza il seguente OMA-URI.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

Questo nodo OMA-URI accetta una stringa di testo XML come parametro. L'XML fornito come parametro deve essere conforme allo schema del profilo rete LAN cablata inclusi gli elementi dello schema 802.1X.

Nella maggior parte dei casi, un amministratore o un utente può esportare l'XML LanProfile da un PC esistente che è già configurato nella rete per 802.1X con il comando NETSH seguente.

netsh lan export profile folder=.

L'esecuzione di questo comando fornisce l'output seguente e inserisce un file denominato Ethernet.xml nella directory corrente.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Per disabilitare completamente 802.1x in Surface Hub, è possibile usare un pacchetto di provisioning per impostare il nodo SurfaceHub\Dot3\LanProfile sul codice xml seguente:

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

Elemento dei criteri EapUserData

Se il metodo di autenticazione selezionato richiede un nome utente e una password anziché un certificato, puoi utilizzare l'elemento EapUserData per specificare le credenziali per il dispositivo da utilizzare per eseguire l'autenticazione in rete.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

Questo nodo OMA-URI accetta una stringa di testo XML come parametro. L'XML fornito come parametro deve essere conforme all'esempio Proprietà dell'utente MS-CHAPv2 PEAP. Nell'esempio è necessario sostituire tutte le istanze di test e ias-domain con le informazioni.

Aggiunta di certificati

Se il metodo di autenticazione selezionato è basato su certificati, è necessario creare un pacchetto di provisioning, usare MDM o importare un certificato dalle impostazioni (aggiornamento delle impostazioni> ecertificatidi sicurezza>) per distribuire tali certificati nel dispositivo Surface Hub nell'archivio certificati appropriato. Quando si aggiungono certificati, ogni PFX deve contenere un solo certificato (un PFX non può avere più certificati).