Настройка Wi-Fi на Android через Intune. Отсутствует выдача сертификата Wi-Fi

У меня проблема, когда телефоны Android не могут получить правильную политику конфигурации WiFi от Intune. Intune находится в "облачном режиме" (не гибрид)

У меня в Intune настроены следующие политики:

  • Развернуть корневой сертификат CA (работает нормально)
  • Развернуть сертификат SCEP (работает нормально)
  • Разверните конфигурацию WiFi (вот где проблема)

Что следует отметить:

  1. Точно такая же конфигурация для устройств iOS работает отлично. Таким образом, конфигурация Intune и WiFi в порядке, и кажется, что проблема заключается в настройке политики WiFi устройства Android.
  2. Я попытался использовать сертификат PFX вместо SCEP, надеясь, что это поможет в решении проблемы. Это не
  3. Android может получить сертификат SCEP от Intune, но он находится в системном хранилище, а не в хранилище WiFi. Следовательно, Android не может использовать сертификат для аутентификации WiFi.

1 ответ

Решение

Следующий пост в блоге предоставляет решение для гибридной установки Intune. К сожалению, его нельзя реализовать для облачного развертывания Intune. В итоге я создал конфигурацию OMA-URI для устройств Android на основе информации из блога (спасибо Скотту Брину за его пост в блоге).

Важно: замените следующие значения в конфигурации OMA-URI

  • Corporate WiFi: должно быть имя вашего WiFi SSID
  • 1234567890ABCDEF: должно быть шестнадцатеричным из вашего имени SSID WiFi (точный шестнадцатеричный регистр имени SSID)
  • 00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22: Хэш SHA-1 сертификата корневого центра сертификации

Конфигурация OMA-URI

Название настройки: Corporate WiFi (замените это своим SSID)

Тип даты: String

OMA-URI (с учетом регистра): ./Vendor/MSFT/WiFi/Profile/Corporate WiFi/Settings(заменить Corporate WiFi с вашим SSID)

Значение: (заменить значения, упомянутые ранее)

<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
    <name>Corporate WiFi</name>
    <SSIDConfig>
        <SSID>
            <hex>1234567890ABCDEF</hex>
            <name>Corporate WiFi</name>
        </SSID>
    </SSIDConfig>
    <connectionType>ESS</connectionType>
    <connectionMode>auto</connectionMode>
    <MSM>
        <security>
            <authEncryption>
                <authentication>WPA2</authentication>
                <encryption>AES</encryption>
                <useOneX>true</useOneX>
                <FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
            </authEncryption>
            <PMKCacheMode>disabled</PMKCacheMode>
            <preAuthMode>disabled</preAuthMode>
            <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
                <cacheUserData>false</cacheUserData>
                <authMode>User</authMode>
                <EAPConfig>
                    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                        <EapMethod>
                            <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                            <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                            <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                            <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                        </EapMethod>
                        <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                            <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                                <Type>13</Type>
                                <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                                    <CredentialsSource>
                                        <CertificateStore>
                                            <SimpleCertSelection>true</SimpleCertSelection>
                                        </CertificateStore>
                                    </CredentialsSource>
                                    <ServerValidation>
                                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                                        <ServerNames></ServerNames>
                                        <TrustedRootCA>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </TrustedRootCA>
                                    </ServerValidation>
                                    <DifferentUsername>false</DifferentUsername>
                                    <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                                    <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                                    <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                                            <CAHashList Enabled="true">
                                                <IssuerHash>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </IssuerHash>
                                            </CAHashList>
                                            <EKUMapping>
                                                <EKUMap>
                                                    <EKUName>Encrypting File System</EKUName>
                                                    <EKUOID>1.3.6.1.4.1.311.10.3.4</EKUOID>
                                                </EKUMap>
                                                <EKUMap>
                                                    <EKUName>Secure Email</EKUName>
                                                    <EKUOID>1.3.6.1.5.5.7.3.4</EKUOID>
                                                </EKUMap>
                                            </EKUMapping>
                                            <ClientAuthEKUList Enabled="true">
                                                <EKUMapInList>
                                                    <EKUName>Encrypting File System</EKUName>
                                                </EKUMapInList>
                                                <EKUMapInList>
                                                    <EKUName>Secure Email</EKUName>
                                                </EKUMapInList>
                                            </ClientAuthEKUList>
                                        </FilteringInfo>
                                    </TLSExtensions>
                                </EapType>
                            </Eap>
                        </Config>
                        </EapHostConfig>
                </EAPConfig>
            </OneX>
        </security>
    </MSM>
</WLANProfile>
Другие вопросы по тегам