カスタム デバイス プロファイルを使用して、Intune を使用して事前共有キーを使用して WiFi プロファイルを作成する

重要

Microsoft Intune は、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

通常、事前共有キー (PSK) は、WiFi ネットワーク、またはワイヤレス LAN のユーザーを認証するために使用されます。 Intune では、事前共有キーを使用して WiFi デバイス構成ポリシーを作成できます。

プロファイルを作成するには、Intune 内でカスタム デバイス プロファイル機能を使用します。

この機能は、以下に適用されます。

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Windows
  • EAP ベースの Wi-Fi

Wi-Fi と PSK の情報を XML ファイルに追加します。 次に、Intune のカスタム デバイス構成ポリシーに XML ファイルを追加します。 ポリシーの準備ができたら、デバイスにポリシーを割り当てます。 次回デバイスがチェックインすると、ポリシーが適用され、デバイスに Wi-Fi プロファイルが作成されます。

この記事では、Intune でポリシーを作成する方法について説明し、EAP ベースの Wi-Fi ポリシーの XML の例を示します。

重要

  • Windows 10/11 で事前共有キーを使用すると、修復エラーが Intune に表示されます。 この場合、Wi-Fi プロファイルがデバイスに適切に割り当てられ、プロファイルは期待どおりに機能します。
  • 事前共有キーが含まれている Wi-Fi プロファイルをエクスポートする場合は、ファイルが保護されていることを確認します。 キーはプレーン テキストです。 キーを保護するのはユーザーの責任です。

前提条件

開始する前に

  • 「既存の Wi-Fi 接続から XML ファイルを作成する (この記事で)」の説明に従って、そのネットワークに接続するコンピューター から XML 構文を コピーする方が簡単な場合があります。
  • OMA-URI 設定をさらに追加することにより、複数のネットワークとキーを追加できます。
  • iOS/iPadOS でプロファイルを設定するには、Mac ステーションで Apple Configurator を使用します。
  • PSK には、64 桁の 16 進数文字列、または 8 文字から 63 文字までの印刷可能な ASCII 文字のパスフレーズが必要です。 アスタリスク (*) などの一部の文字はサポートされていません。

カスタム プロファイルの作成

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

  3. 次のプロパティを入力します。

    • プラットフォーム: プラットフォームを選択します。
    • プロファイルの種類: [カスタム] を選択 します。 または、[テンプレート]>[カスタム] を選択します。
  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は Android-Custom Wi-Fi プロファイルです
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
  6. [次へ] を選択します。

  7. [構成設定] で、[追加] を選択します。 次のプロパティで新しい OMA-URI 設定を入力します。

    1. 名前: OMA-URI 設定の名前を入力します。

    2. 説明: OMA-URI 設定の説明を入力します。 この設定は省略可能ですが、推奨されています。

    3. OMA-URI: 次のいずれかのオプションを入力します。

      • Android の場合: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Windows の場合: ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      注:

      • OMA-URI 値の先頭にピリオド文字を必ず含めます。
      • SSID にスペースがある場合、エスケープ スペース %20 を追加します。

      SSID (サービス セット識別子) は、ポリシーを作成する Wi-Fi ネットワーク名です。 たとえば、Wi-Fi に Hotspot-1 という名前が付けられている場合は、「./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings」と入力します。 Wi-Fi の名前が Contoso WiFi の場合、「./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings」と入力します (%20 エスケープ スペースを使用します)。

    4. データ型: [文字列] を選択します。

    5. : XML コードを貼り付けます。 この記事内にあるを参照してください。 ご利用のネットワーク設定に一致する値にそれぞれ更新します。 コードのコメント セクションには、一部のポインターが含まれます。

    6. [追加] を選択して変更を保存します。

  8. [次へ] を選択します。

  9. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

    [次へ] を選択します。

  10. [割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    注:

    このポリシーは、ユーザー グループにのみ割り当てることができます。

    [次へ] を選択します。

  11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次回各デバイスがチェックインするときに、ポリシーが適用され、そのデバイスに Wi-Fi プロファイルが作成されます。 これで、デバイスは自動的にネットワークに接続できるようになります。

Android または Windows の Wi-Fi プロファイルの例

Android または Windows の Wi-Fi プロファイルの XML コードの例は、次のとおりです。 この例は、適切な形式を示し、詳細情報を提供するために用意されています。 これは単なる例であり、ご利用の環境に推奨される構成として意図されたものではありません。

知っておく必要がある情報

  • <protected>false</protected>false に設定する必要があります。 true の場合、デバイスは暗号化されたパスワードを予期し、暗号化解除を試みる可能性があります。接続が失敗する可能性があります。

  • <hex>53534944</hex> は、<name><SSID of wifi profile></name> の 16 進値に設定する必要があります。 Windows 10/11 デバイスは false x87D1FDE8 Remediation failed エラーを返すことができますが、デバイスにはプロファイルがまだ含まれています。

  • XML には & (アンパサンド) などの特殊文字が含まれています。 特殊文字を使用すると、XML が期待どおりに動作しなくなる可能性があります。

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP ベースの Wi-Fi プロファイルの例

次の例には、EAP ベースの Wi-Fi プロファイルの XML コードが含まれています。 この例では、適切な形式を示し、詳細を提供します。 これは単なる例であり、ご利用の環境に推奨される構成として意図されたものではありません。

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

既存の Wi-Fi 接続からの XML ファイルの作成

既存の Wi-Fi 接続から XML ファイルを作成することもできます。 Windows コンピューターで、次の手順を実行します。

  1. エクスポートした Wi-Fi プロファイルのローカル フォルダー (c:\WiFi など) を作成します。

  2. 管理者としてコマンド プロンプトを開きます ([cmd] を右クリックし、>[管理者として実行] を選択します)。

  3. netsh wlan show profiles を実行します。 すべてのプロファイルの名前が一覧表示されます。

  4. netsh wlan export profile name="YourProfileName" folder=c:\Wifi を実行します。 このコマンドでは、c:\Wifi 内に Wi-Fi-YourProfileName.xml という名前のファイルが作成されます。

    • 事前共有キーを含む Wi-Fi プロファイルをエクスポートする場合は、コマンドに key=clear を追加します。 key=clear パラメーターは、プロファイルを正常に使用するために必要なプレーン テキストでキーをエクスポートします。

      netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

    • エクスポートされた Wi-Fi プロファイル <name></name> 要素にスペースが含まれている場合は、割り当てられたときに ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) エラーが返される可能性があります。 この問題が発生すると、プロファイルは \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces に一覧表示され、既知のネットワークとして表示されます。 ただし、[Areas managed by...] (...によって管理されている領域) URI に管理対象ポリシーとしては表示されません。

      この問題を解決するには、スペースを削除します。

XML ファイルを作成したら、XML 構文をコピーして OMA-URI 設定 >Data 型に貼り付けます。 「カスタム プロファイルの作成」(この記事) に、手順が示されています。

ヒント

\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{guid} にも、すべてのプロファイルが XML 形式で含まれています。

ベスト プラクティス

  • PSK で Wi-Fi プロファイルを展開する前に、デバイスがエンドポイントに直接接続できることを確認します。

  • キー (パスワードまたはパスフレーズ) をローテーションで使用するときは、ダウンタイムを予想し、展開を適切に計画します。 次の手順を実行する必要があります。

    • デバイスがインターネットに別の接続を持っていることを確認します。

      たとえば、エンド ユーザーをゲスト WiFi (または他の何らかの WiFi ネットワーク) に戻したり、携帯ネットワーク接続で Intune と通信したりする必要があります。 追加の接続により、ユーザーは、デバイスで会社の Wi-Fi プロファイルが更新されたときにポリシーの更新プログラムを受け取ることができます。

    • 勤務時間外に新しい Wi-Fi プロファイルをプッシュします。

    • 接続が影響を受ける可能性があることをユーザーに警告します。

リソース

必ずプロファイルを割り当て、その状態を監視してください。