当 Android 手机无法从 Intune 获取正确的 WiFi 配置策略时,我遇到了问题。Intune 处于“云模式”(非混合)
我在 Intune 中配置了以下策略:
- 部署根 CA 证书(工作正常)
- 部署 SCEP 证书(工作正常)
- 部署 WiFi 配置(这就是问题所在)
注意事项:
- 完全相同的配置对 iOS 设备来说运行良好。因此,Intune 和 WiFi 的配置没有问题,但配置 Android 设备 WiFi 策略似乎存在问题。
- 我尝试使用 PFX 证书代替 SCEP,希望它能帮助解决问题。但没用
- Android 能够从 Intune 接收 SCEP 证书,但该证书位于系统存储中,而不是 WiFi 存储中。因此,Android 无法使用该证书进行 WiFi 身份验证
答案1
下列博客文章为 Intune 混合设置提供了解决方案。遗憾的是,它无法用于基于云的 Intune 部署。因此,我最终根据博客中的信息为 Android 设备创建了 OMA-URI 配置(感谢斯科特·布林他的博客文章)。
重要提示:请在 OMA-URI 配置中替换以下值
Corporate WiFi
:应该是你的 WiFi SSID 名称1234567890ABCDEF
:应该是您的 WiFi SSID 名称的十六进制数(十六进制SSID 名称的精确大小写)00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22
:根 CA 证书的 SHA-1 哈希值
OMA-URI 配置
设置名称:(Corporate WiFi
将其替换为您的 SSID)
日期类型:String
OMA-URI(区分大小写):(./Vendor/MSFT/WiFi/Profile/Corporate WiFi/Settings
替换Corporate WiFi
为您的 SSID)
值:(替换前面提到的值)
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>Corporate WiFi</name>
<SSIDConfig>
<SSID>
<hex>1234567890ABCDEF</hex>
<name>Corporate WiFi</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<preAuthMode>disabled</preAuthMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>User</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </TrustedRootCA>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Encrypting File System</EKUName>
<EKUOID>1.3.6.1.4.1.311.10.3.4</EKUOID>
</EKUMap>
<EKUMap>
<EKUName>Secure Email</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.4</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<EKUMapInList>
<EKUName>Encrypting File System</EKUName>
</EKUMapInList>
<EKUMapInList>
<EKUName>Secure Email</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>