Intune kullanarak önceden paylaşılan anahtarla WiFi profili oluşturmak için özel bir cihaz profili kullanma

Önceden paylaşılan anahtarlar (PSK), genellikle WiFi ağlarında ya da kablosuz LAN’larda kullanıcıların kimliklerini doğrulamak için kullanılır. Intune ile, önceden paylaşılan bir anahtar kullanarak bir WiFi cihaz yapılandırma ilkesi oluşturabilirsiniz.

Profili oluşturmak için Intune’daki Özel cihaz profilleri özelliğini kullanın.

Bu özellik şu platformlarda geçerlidir:

• Android cihaz yöneticisi
• İş profiline sahip kişisel olarak sahip olunan Android Enterprise cihazları
• Windows
• EAP tabanlı Wi-Fi

XML dosyasına Wi-Fi ve PSK bilgileri eklersiniz. Ardından XML dosyasını Intune'da özel bir cihaz yapılandırma ilkesine eklersiniz. İlke hazır olduğunda, ilkeyi cihazlarınıza atarsınız. Cihaz bir sonraki iadede ilke uygulanır ve cihazda bir Wi-Fi profili oluşturulur.

Bu makalede, intune'da ilkenin nasıl oluşturulacağı gösterilmektedir ve EAP tabanlı Wi-Fi ilkesinin XML örneğini içerir.

Önkoşullar

• İlkeyi oluşturmak için, microsoft Intune yönetim merkezindeen azından İlke ve Profil Yöneticisi yerleşik rolüne sahip bir hesapla oturum açın. Yerleşik roller hakkında daha fazla bilgi için Microsoft Intune için rol tabanlı erişim denetimi'ne gidin.

Başlamadan önce

• Xml söz dizimini, var olan bir Wi-Fi bağlantısından XML dosyasını oluşturma (bu makalede) bölümünde açıklandığı gibi, söz konusu ağa bağlanan bir bilgisayardan kopyalamak daha kolay olabilir.
• Daha fazla OMA-URI ayarı ekleyerek, birden çok ağ ve anahtar ekleyebilirsiniz.
• iOS/iPadOS için, bir Mac istasyonunda profili kurmak üzere Apple Configurator’ı kullanın.
• PSK 64 onaltılık rakamdan oluşan bir dize veya 8 ile 63 arası yazdırılabilir ASCII karakterden oluşan bir parola gerektirir. Yıldız işareti (* gibi) bazı karakterler desteklenmez.

Özel profil oluşturma

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.

3. Aşağıdaki özellikleri girin:

   • Platform: Platformunuzu seçin.
   • Profil türü: Özel'i seçin. Veya Şablonlar>Özel'i.

4. Oluştur’u seçin.

5. Temel Bilgiler’de aşağıdaki özellikleri girin:

   • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, android-özel Wi-Fi profili iyi bir ilke adıdır.
   • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

6. İleri'yi seçin.

7. Yapılandırma ayarlarındaEkle'yi seçin. Aşağıdaki özelliklere sahip yeni bir OMA-URI ayarı girin:

   1. Adı: OMA-URI ayarı için bir ad girin.

   2. Açıklaması: OMA-URI ayarı için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

   3. OMA-URI: Aşağıdaki seçeneklerden birini girin:

      • Android: ./Vendor/MSFT/WiFi/Profile/SSID/Settings
      • Windowsiçin : ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml

      Not

      • Nokta karakterini OMA-URI değerinin başına eklediğinizden emin olun.
      • SSID'de boşluk varsa, bir escape alanı %20 ekleyin.

      SSID (Hizmet Kümesi Tanımlayıcısı), ilkeyi oluşturduğunuz Wi-Fi ağ adınızdır. Örneğin, Wi-Fi adı Hotspot-1 olduğunda, ./Vendor/MSFT/WiFi/Profile/Hotspot-1/Settings girin. Wi-Fi adı Contoso WiFi olduğunda, ./Vendor/MSFT/WiFi/Profile/Contoso%20WiFi/Settings girin (%20 escape alanıyla).

   4. Veri Türü: Dize’yi seçin.

   5. Değer: XML kodunuzu yapıştırın. Bu makalede örneklere bakın. Her bir değeri ağ ayarlarınıza uyacak şekilde güncelleştirin. Kodun açıklamalar bölümü bazı işaretçiler içerir.

   6. Değişikliklerinizi kaydetmek için Tamam’ı seçin.

8. İleri'yi seçin.

9. Kapsam etiketleri’nde (isteğe bağlı), profili US-NC IT Team veya JohnGlenn_ITDepartment gibi belirli BT gruplarına göre filtrelemek için bir etiket atayın. Kapsam etiketleri hakkında daha fazla bilgi için Bkz. Dağıtılmış BT için RBAC ve kapsam etiketlerini kullanma.

   İleri'yi seçin.

10. Atamalar'da profilinizi alacak kullanıcıları veya kullanıcı grubunu seçin. Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama bölümüne gidin.

    Not

    Bu ilke yalnızca kullanıcı gruplarına atabilir.

    İleri'yi seçin.

11. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Cihazların bir sonraki iadesinde, ilke uygulanır ve cihazda bir Wi-Fi profili oluşturulur. Cihaz daha sonra ağa otomatik olarak bağlanabilir.

Android veya Windows Wi-Fi profili örneği

Aşağıdaki örnek bir Android veya Windows Wi-Fi profili için XML kodu örneği içerir. Doğru biçimi göstermek ve ayrıntı sağlamak için örnek gösterilmiştir. Bu yalnızca bir örnektir ve ortamınız için önerilen yapılandırma olarak verilmemiştir.

Bilmeniz gerekenler

• <protected>false</protected>, false olarak ayarlanmalıdır. Doğru olduğunda, cihazın şifreli bir parola beklemesine neden olabilir ve ardından şifreyi çözmeyi deneyebilir; bağlantının başarısız olmasına neden olabilir.

• <hex>53534944</hex>, <name><SSID of wifi profile></name> onaltılı değerine ayarlanmalıdır. Windows 10/11 cihazları hatalı x87D1FDE8 Remediation failed bir hata döndürebilir, ancak cihaz yine de profili içerir.

• XML'de özel karakterler vardır, örneğin & (ve işareti). Özel karakterlerin kullanılması XML'in beklendiği gibi çalışmasını engelleyebilir.

Örnek

<!--
<hex>53534944</hex> = The hexadecimal value of <name><SSID of wifi profile></name>
<Name of wifi profile> = Name of profile shown to users. For example, enter <name>ContosoWiFi</name>.
<SSID of wifi profile> = Plain text of SSID. Does not need to be escaped. It could be <name>Your Company's Network</name>.
<nonBroadcast><true/false></nonBroadcast>
<Type of authentication> = Type of authentication used by the network, such as WPA2PSK.
<Type of encryption> = Type of encryption used by the network, such as AES.
<protected>false</protected> do not change this value, as true could cause device to expect an encrypted password and then try to decrypt it, which can result in a failed connection.
<password> = Plain text of the password to connect to the network
-->

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name><Name of wifi profile></name>
  <SSIDConfig>
    <SSID>
      <hex>53534944</hex>
 <name><SSID of wifi profile></name>
    </SSID>
    <nonBroadcast>false</nonBroadcast>
  </SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <autoSwitch>false</autoSwitch>
  <MSM>
    <security>
      <authEncryption>
        <authentication><Type of authentication></authentication>
        <encryption><Type of encryption></encryption>
        <useOneX>false</useOneX>
      </authEncryption>
      <sharedKey>
        <keyType>passPhrase</keyType>
        <protected>false</protected>
        <keyMaterial>password</keyMaterial>
      </sharedKey>
      <keyIndex>0</keyIndex>
    </security>
  </MSM>
</WLANProfile>

EAP tabanlı Wi-Fi profili örneği

Aşağıdaki örnek, EAP tabanlı bir Wi-Fi profili için XML kodunu içerir. Örnek, uygun biçimi gösterir ve daha fazla ayrıntı sağlar. Bu yalnızca bir örnektir ve ortamınız için önerilen yapılandırma olarak verilmemiştir.

    <WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
      <name>testcert</name>
      <SSIDConfig>
        <SSID>
          <hex>7465737463657274</hex>
          <name>testcert</name>
        </SSID>
        <nonBroadcast>true</nonBroadcast>
      </SSIDConfig>
      <connectionType>ESS</connectionType>
      <connectionMode>auto</connectionMode>
      <autoSwitch>false</autoSwitch>
      <MSM>
        <security>
          <authEncryption>
            <authentication>WPA2</authentication>
            <encryption>AES</encryption>
            <useOneX>true</useOneX>
            <FIPSMode     xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
          </authEncryption>
          <PMKCacheMode>disabled</PMKCacheMode>
          <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
            <cacheUserData>false</cacheUserData>
            <authMode>user</authMode>
            <EAPConfig>
              <EapHostConfig     xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                <EapMethod>
                  <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                  <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                  <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                  <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                </EapMethod>
                <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                  <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                    <Type>13</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                      <CredentialsSource>
                        <CertificateStore>
                          <SimpleCertSelection>true</SimpleCertSelection>
                        </CertificateStore>
                      </CredentialsSource>
                      <ServerValidation>
                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                        <ServerNames></ServerNames>
                      </ServerValidation>
                      <DifferentUsername>false</DifferentUsername>
                      <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                      <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                      <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                          <AllPurposeEnabled>true</AllPurposeEnabled>
                          <CAHashList Enabled="true">
                            <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
                          </CAHashList>
                          <EKUMapping>
                            <EKUMap>
                              <EKUName>Client Authentication</EKUName>
                              <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
                            </EKUMap>
                          </EKUMapping>
                          <ClientAuthEKUList Enabled="true"/>
                          <AnyPurposeEKUList Enabled="false">
                            <EKUMapInList>
                              <EKUName>Client Authentication</EKUName>
                            </EKUMapInList>
                          </AnyPurposeEKUList>
                        </FilteringInfo>
                      </TLSExtensions>
                    </EapType>
                  </Eap>
                </Config>
              </EapHostConfig>
            </EAPConfig>
          </OneX>
        </security>
      </MSM>
    </WLANProfile>

XML dosyasını mevcut bir Wi-Fi bağlantısından oluşturun

Varolan bir Wi-Fi bağlantısından bir XML dosyası da oluşturabilirsiniz. Bir Windows bilgisayarda aşağıdaki adımları kullanın:

1. Dışarı aktarılan Wi-Fi profilleri için c:\WiFi gibi bir yerel klasör oluşturun.

2. Yönetici olarak bir komut istemi açın (cmd>Yönetici olarak çalıştır'a sağ tıklayın).

3. Çalıştır netsh wlan show profiles. Tüm profillerin adları listelenir.

4. Çalıştır netsh wlan export profile name="YourProfileName" folder=c:\Wifi. Bu komut c:\Wifi’da Wi-Fi-YourProfileName.xml adlı bir dosya oluşturur.

   • Önceden paylaşılmış anahtar içeren bir Wi-Fi profilini dışarı aktarıyorsanız komutuna ekleyin key=clear . key=clear parametresi, anahtarı düz metin olarak dışarı aktarır ve bu, profili başarıyla kullanmak için gereklidir:

     netsh wlan export profile name="YourProfileName" key=clear folder=c:\Wifi

   • Dışarı aktarılan Wi-Fi profil <name></name> öğesi bir boşluk içeriyorsa, atandığında hata ERROR CODE 0x87d101f4 ERROR DETAILS Syncml(500) döndürebilir. Bu sorun oluştuğunda, profil \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces içinde listelenir ve bilinen bir ağ olarak gösterilir. Ancak, "Tarafından yönetilen alanlar..." URI'sinde yönetilen ilke olarak başarıyla görüntülenmiyor.

     Bu sorunu çözmek için alanı kaldırın.

XML dosyasını aldıktan sonra, XML söz dizimini kopyalayıp OMA-URI ayarları >Veri türü'ne yapıştırın. Özel profil oluşturma (bu makalede) adımları listeler.

En iyi uygulamalar

• PSK ile bir Wi-Fi profili dağıtmadan önce cihazın uç noktaya doğrudan bağlanabildiğini doğrulayın.

• Anahtarları (parola veya şifreler) döndürürken kesintiler olabilir, dağıtımlarınızı planlayın. Şunu yapmalısınız:

  • Cihazların İnternet'e alternatif bir bağlantısı olduğunu onaylayın.

    Intune ile iletişim kurmak için son kullanıcının örneğin Konuk WiFi ağına (veya diğer bir WiFi ağına) geri dönebilmesi veya hücresel bağlantısı olması gerekir. Ek bağlantı, cihazda şirket Wi-Fi profili güncelleştirildiğinde kullanıcının ilke güncelleştirmelerini almasını sağlar.

  • Çalışma dışı saatlerde yeni Wi-Fi profilleri gönderme.

  • Bağlantıyı etkileyebileceği konusunda kullanıcıları uyarın.

Kaynaklar

Profili atadığınızdan ve durumunu izlediğinizden emin olun.