Dodawanie ustawień sieci przewodowej dla urządzeń z systemem macOS w usłudze Microsoft Intune

Możesz utworzyć profil z określonymi ustawieniami sieci przewodowej, a następnie wdrożyć ten profil na urządzeniach z systemem macOS. Usługa Microsoft Intune oferuje wiele funkcji, w tym uwierzytelnianie w sieci, dodawanie certyfikatu protokołu SCEP (Simple Certificate Enrollment Protocol) i nie tylko.

Ta funkcja ma zastosowanie do:

• macOS

W tym artykule opisano ustawienia, które można skonfigurować.

Przed rozpoczęciem

• Utwórz profil konfiguracji przewodowego urządzenia sieciowego z systemem macOS.

• Te ustawienia są dostępne dla wszystkich typów rejestracji. Aby uzyskać więcej informacji na temat typów rejestracji, przejdź do pozycji rejestracja w systemie macOS.

Sieć przewodowa

• Interfejs sieciowy: wybierz interfejsy sieciowe na urządzeniu, do których ma zastosowanie profil, na podstawie priorytetu zamówienia usługi. Dostępne opcje:

  • Pierwsza aktywna sieć Ethernet (domyślna)
  • Druga aktywna sieć Ethernet
  • Trzecia aktywna sieć Ethernet
  • Pierwsza sieć Ethernet
  • Druga sieć Ethernet
  • Trzeci ethernet
  • Dowolna sieć Ethernet

  Opcje z "aktywnym" w tytule używają interfejsów, które aktywnie pracują na urządzeniu. Jeśli nie ma aktywnych interfejsów, zostanie skonfigurowany następny interfejs w priorytecie zamówienia usługi. Domyślnie wybierana jest pierwsza aktywna sieć Ethernet , która jest również ustawieniem domyślnym skonfigurowanym przez system macOS.

• Kanał wdrażania: wybierz sposób wdrażania profilu. To ustawienie określa również pęku kluczy, w którym są przechowywane certyfikaty uwierzytelniania, dlatego ważne jest, aby wybrać odpowiedni kanał. Nie można edytować kanału wdrażania po wdrożeniu profilu. W tym celu należy utworzyć nowy profil.

  Uwaga

  Zalecamy ponowne sprawdzenie ustawienia kanału wdrażania w istniejących profilach, gdy połączone certyfikaty uwierzytelniania są gotowe do odnowienia, aby upewnić się, że wybrany jest zamierzony kanał. Jeśli tak nie jest, utwórz nowy profil z prawidłowym kanałem wdrażania.

  Dostępne są dwie opcje:

  • Kanał użytkownika: zawsze wybieraj kanał wdrażania użytkownika w profilach z certyfikatami użytkownika. Ta opcja przechowuje certyfikaty w pęku kluczy użytkownika.
  • Kanał urządzenia: zawsze wybieraj kanał wdrażania urządzenia w profilach z certyfikatami urządzeń. Ta opcja przechowuje certyfikaty w pęku kluczy systemu.

• Typ protokołu EAP: aby uwierzytelnić zabezpieczone połączenia przewodowe, wybierz typ EAP (Extensible Authentication Protocol). Dostępne opcje:

  • EAP-FAST: wprowadź ustawienia poświadczeń dostępu chronionego (PAC). Ta opcja używa chronionych poświadczeń dostępu do utworzenia uwierzytelnionego tunelu między klientem a serwerem uwierzytelniania. Dostępne opcje:

    • Nie używaj (PAC)
    • Użyj (PAC): jeśli istnieje istniejący plik PAC, użyj go.
    • Użyj i aprowizuj pac: utwórz i dodaj plik PAC do urządzeń.
    • Użyj i aprowizuj pac anonimowo: utwórz i dodaj plik PAC do urządzeń bez uwierzytelniania na serwerze.

  • EAP-TLS: wprowadź również:

    • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
    • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
    • Uwierzytelnianie - klientaCertyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty standardów kryptografii klucza publicznego (PKCS) nie są obsługiwane.
    • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

  • EAP-TTLS: wprowadź również:

    • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
    • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
    • Uwierzytelnianie klienta: wybierz metodę uwierzytelniania. Dostępne opcje:
      • Nazwa użytkownika i hasło: Polecenia użytkownikowi nazwę użytkownika i hasło w celu uwierzytelnienia połączenia. Wprowadź również:
        • Metoda spoza protokołu EAP (tożsamość wewnętrzna): wybierz sposób uwierzytelniania połączenia. Upewnij się, że wybrano ten sam protokół skonfigurowany w sieci. Dostępne opcje:
          • Hasło nieszyfrowane (PAP)
          • Protokół uwierzytelniania uzgadniania wyzwań (CHAP)
          • Microsoft CHAP (MS-CHAP)
          • Microsoft CHAP w wersji 2 (MS-CHAP v2)
      • Certyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty PKCS nie są obsługiwane. Wybierz certyfikat, który jest zgodny z wyborem kanału wdrażania. W przypadku wybrania kanału użytkownika opcje certyfikatu są ograniczone do profilów certyfikatów użytkownika. W przypadku wybrania kanału urządzenia do wyboru są zarówno profile certyfikatów użytkowników, jak i urządzeń. Zalecamy jednak zawsze wybieranie typu certyfikatu, który jest zgodny z wybranym kanałem. Przechowywanie certyfikatów użytkowników w pęku kluczy systemowych zwiększa ryzyko bezpieczeństwa.
      • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

  • SKOK

  • PEAP: Wprowadź również:

    • Zaufanie - serweraNazwy serwerów certyfikatów: wprowadź co najmniej jedną nazwę pospolitą używaną w certyfikatach wystawionych przez zaufany urząd certyfikacji. Po wprowadzeniu tych informacji można pominąć dynamiczne okno zaufania wyświetlane na urządzeniach użytkowników podczas nawiązywania połączenia z tą siecią.
    • Certyfikat główny na potrzeby weryfikacji serwera: wybierz co najmniej jeden istniejący profil zaufanego certyfikatu głównego. Gdy klient nawiązuje połączenie z siecią, te certyfikaty są używane do ustanawiania łańcucha zaufania z serwerem. Jeśli serwer uwierzytelniania używa certyfikatu publicznego, nie musisz dołączać certyfikatu głównego.
    • Uwierzytelnianie klienta: wybierz metodę uwierzytelniania. Dostępne opcje:
      • Nazwa użytkownika i hasło: Polecenia użytkownikowi nazwę użytkownika i hasło w celu uwierzytelnienia połączenia.
      • Certyfikaty: wybierz istniejący profil certyfikatu klienta protokołu SCEP, który jest również wdrożony na urządzeniu. Ten certyfikat jest tożsamością prezentowaną przez urządzenie na serwerze w celu uwierzytelnienia połączenia. Certyfikaty PKCS nie są obsługiwane.
      • Prywatność tożsamości (tożsamość zewnętrzna): wprowadź tekst wysłany w odpowiedzi na żądanie tożsamości protokołu EAP. Ten tekst może być dowolną wartością, taką jak anonymous. Podczas uwierzytelniania ta tożsamość anonimowa jest początkowo wysyłana. Następnie rzeczywista identyfikacja jest wysyłana w bezpiecznym tunelu.

Artykuły pokrewne

• Pamiętaj, aby przypisać ten profil i monitorować jego stan.
• Dowiedz się więcej o ustawieniach sieci przewodowej dla urządzeń z systemem Windows.