在 Microsoft Intune 中添加 Windows 设备的有线网络设置

可以使用特定的有线网络设置创建配置文件,然后将此配置文件部署到 Windows 设备。 例如,可以向网络进行身份验证,添加简单证书注册协议 (SCEP) 证书等。

本文介绍可以配置的设置。

此功能适用于:

  • Windows 11
  • Windows 10

开始之前

有线网络

  • 身份验证模式:选择配置文件向网络进行身份验证的方式。 如果使用证书身份验证,请确保证书类型与身份验证类型匹配。

    选项包括:

    • 配置 (默认) :Intune 不会更改或更新此设置。 默认情况下,OS 可能会使用 用户或计算机 身份验证。
    • 用户:登录到设备的用户帐户向网络进行身份验证。
    • 计算机:设备凭据向网络进行身份验证。
    • 用户或计算机:当用户登录到设备时,用户凭据会向网络进行身份验证。 如果没有用户登录,则设备凭据会进行身份验证。
    • 来宾:没有与网络关联的凭据。 身份验证要么打开,要么在外部处理,例如通过网页。
  • 每次登录时记住凭据:选择以缓存用户凭据,或者如果用户在每次连接到网络时都必须输入凭据。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此功能并缓存凭据。
    • 启用:在用户首次连接到网络时,缓存用户凭据。 缓存凭据用于将来的连接,用户无需重新输入它们。
    • 禁用:不会记住或缓存用户凭据。 当用户连接到网络时,用户每次都必须输入其凭据。
  • 身份验证周期:输入设备在尝试进行身份验证后必须等待的秒数,从 1 到 3600。 如果设备在输入时未连接,身份验证将失败。 如果将此值留空或留空,则 18 使用秒。

  • 身份验证重试延迟期:输入身份验证尝试失败与下一次身份验证尝试之间的秒数(从 1 到 3600)。 如果将此值留空或留空,则 1 使用 second。

  • 开始周期:输入发送 EAPOL-Start 消息前等待的秒数,从 1 到 3600。 如果将此值留空或留空,则 5 使用秒。

  • 最大 EAPOL 启动数:输入 EAPOL-Start 消息数(从 1 到 100)。 如果将此值留空或留空,则发送的消息数 3 最多。

  • 最大身份验证失败次数:输入要进行身份验证的这组凭据的最大身份验证失败次数,从 1 到 100。 如果将此值留空或留空,则 1 使用尝试。

  • 802.1x:设置为 “强制”时,有线网络的自动配置服务 (有线自动配置) 需要使用 802.1X 进行端口身份验证。 设置为 “不强制 (默认) 时,有线自动配置服务不需要使用 802.1X 进行端口身份验证。

    警告

    设置为 “强制”时,请确保策略中的配置设置正确且与网络设置匹配。 如果策略设置与网络设置不匹配,则设备上将阻止 Internet 访问。 设备无法连接到 Internet 以获取更新的策略版本。 若要再次获取 Internet 访问权限,必须手动从设备中删除策略。

  • 阻止时间段 (分钟) :身份验证尝试失败后,OS 会自动再次尝试进行身份验证。 输入阻止这些自动身份验证尝试的分钟数(从 0 到 1440)。 如果将此值留空或留空,则 OS 可能会自动尝试再次进行身份验证。

  • EAP 类型:若要对安全有线连接进行身份验证,请选择“可扩展身份验证协议” (EAP) 类型。 选项包括:

    • EAP-SIM

    • EAP-TLS:另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 输入此信息时,可以绕过用户设备连接到此网络时显示的动态信任窗口。
      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。
      • 客户端身份验证 - 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:
        • SCEP 证书:选择同时部署到设备的现有 SCEP 客户端证书配置文件。 此证书是设备向服务器提供的用于对连接进行身份验证的标识。

        • PKCS 证书:选择现有公钥加密标准 (PKCS) 客户端证书 配置文件,以及同时部署到设备的现有受信任 根证书 。 客户端证书是由设备提供给服务器的标识,用于对连接进行身份验证。

        • PFX 导入证书:选择现有的导入 PFX 证书配置文件。 客户端证书是设备提供的用于对连接进行身份验证的标识。

          有关导入的 PFX 证书的详细信息,请转到 在 Intune 中配置和使用导入的 PKCS 证书

        • 派生凭据:选择派生自用户智能卡的现有证书配置文件。 有关详细信息,请转到 在 Microsoft Intune 中使用派生凭据

    • EAP-TTLS:另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此网络时绕过用户设备上显示的动态信任对话框。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 客户端身份验证 - 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对网络连接进行身份验证。 另输入:

          • 非 EAP 方法 (内部标识) :选择如何对网络连接进行身份验证。 请确保选择网络上配置的相同协议。

            选项: 未加密的密码 (PAP) 质询握手 (CHAP) Microsoft CHAP (MS-CHAP) ,或 Microsoft CHAP 版本 2 (MS-CHAP v2)

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。

        • SCEP 证书:选择同时部署到设备的现有 SCEP 客户端证书配置文件。 此证书是设备提供的用于对网络连接进行身份验证的标识。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • PKCS 证书:选择现有 PKCS 客户端证书 配置文件,以及同时部署到设备的现有受信任的 根证书 。 客户端证书是设备提供的用于对网络连接进行身份验证的标识。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • PFX 导入证书:选择现有的导入 PFX 证书配置文件。 客户端证书是设备提供的用于对网络连接进行身份验证的标识。

          有关导入的 PFX 证书的详细信息,请转到 在 Intune 中配置和使用导入的 PKCS 证书

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • 派生凭据:选择派生自用户智能卡的现有证书配置文件。 有关详细信息,请转到 在 Microsoft Intune 中使用派生凭据

    • 受保护的 EAP (PEAP) :另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此网络时绕过用户设备上显示的动态信任对话框。

      • 用于服务器验证的根证书:选择一个或多个现有的受信任的根证书配置文件。 当客户端连接到网络时,这些证书用于与服务器建立信任链。 如果身份验证服务器使用公共证书,则无需包含根证书。

      • 执行服务器验证:设置为 “是”时,在 PEAP 协商阶段 1 中,设备会验证证书并验证服务器。 选择“ ”可阻止或阻止此验证。 设置为 “未配置”时,Intune 不会更改或更新此设置。

        如果选择“ ”,请同时配置:

        • 禁用服务器验证的用户提示:当设置为 “是”时,在 PEAP 协商阶段 1 中,不会显示用户提示请求为受信任的证书颁发机构授权新的 PEAP 服务器。 选择“ ”以显示提示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
      • 需要加密绑定“是 ”会阻止连接到在 PEAP 协商期间不使用加密绑定的 PEAP 服务器。 不需要加密绑定。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

      • 客户端身份验证 - 身份验证方法:选择设备客户端使用的身份验证方法。 选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对网络连接进行身份验证。 另输入:

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • SCEP 证书:选择同时部署到设备的现有 SCEP 客户端证书 配置文件。 此证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • PKCS 证书:选择现有 PKCS 客户端证书 配置文件,以及同时部署到设备的现有受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • PFX 导入证书:选择现有的导入 PFX 证书配置文件。 客户端证书是设备提供的用于对网络连接进行身份验证的标识。

          有关导入的 PFX 证书的详细信息,请转到 在 Intune 中配置和使用导入的 PKCS 证书

          • 标识隐私 (外部标识) :输入为响应 EAP 标识请求而发送的文本。 此文本可以是任何值,例如 anonymous。 在身份验证期间,最初会发送此匿名标识。 然后,在安全隧道中发送真正的标识。
        • 派生凭据:选择派生自用户智能卡的现有证书配置文件。 有关详细信息,请转到 在 Microsoft Intune 中使用派生凭据

    • 隧道 EAP (TEAP) :另输入:

      • 服务器信任 - 证书服务器名称:输入受信任的证书颁发机构 (CA) 颁发的证书中使用的一个或多个公用名称。 如果输入此信息,则可以在用户连接到此网络时绕过用户设备上显示的动态信任对话框。

      • 客户端身份验证 - 主要身份验证方法:选择设备客户端用于用户身份验证的主要身份验证方法。 此身份验证方法是设备呈现给服务器的标识证书。

        选项包括:

        • 用户名和密码:提示用户输入用户名和密码,以便对网络连接进行身份验证。

        • SCEP 证书:选择同时部署到设备的现有 SCEP 客户端证书 配置文件。 此证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

        • PKCS 证书:选择现有 PKCS 客户端证书 配置文件,以及同时部署到设备的现有受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

        • 派生凭据:选择派生自用户智能卡的现有证书配置文件。 有关详细信息,请转到 在 Microsoft Intune 中使用派生凭据

      • 客户端身份验证 - 辅助身份验证方法:选择设备客户端用于计算机身份验证的辅助身份验证方法。 此身份验证方法是设备呈现给服务器的标识证书。

        如果 主要身份验证方法 失败,则使用 辅助身份验证方法 。 如果 辅助身份验证方法 不可用,则不使用 辅助身份验证方法 ,即使 主身份验证方法 失败也是如此。 在这种情况下,身份验证失败。

        选项包括:

        • 未配置:Intune 不会更改或更新此设置。 默认情况下,不使用辅助身份验证方法。 如果 主要身份验证方法 失败,则身份验证失败。

        • 用户名和密码:提示用户输入用户名和密码,以便对网络连接进行身份验证。

        • SCEP 证书:选择同时部署到设备的现有 SCEP 客户端证书 配置文件。 此证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

        • PKCS 证书:选择现有 PKCS 客户端证书 配置文件,以及同时部署到设备的现有受信任的 根证书 。 客户端证书是由设备提供给服务器的标识,用于对网络连接进行身份验证。

        • 派生凭据:选择派生自用户智能卡的现有证书配置文件。 有关详细信息,请转到 在 Microsoft Intune 中使用派生凭据