通过 Intune 在 Android 上配置 Wi-Fi。缺少 Wi-Fi 证书问题

通过 Intune 在 Android 上配置 Wi-Fi。缺少 Wi-Fi 证书问题

当 Android 手机无法从 Intune 获取正确的 WiFi 配置策略时,我遇到了问题。Intune 处于“云模式”(非混合)

我在 Intune 中配置了以下策略:

  • 部署根 CA 证书(工作正常)
  • 部署 SCEP 证书(工作正常)
  • 部署 WiFi 配置(这就是问题所在)

注意事项:

  1. 完全相同的配置对 iOS 设备来说运行良好。因此,Intune 和 WiFi 的配置没有问题,但配置 Android 设备 WiFi 策略似乎存在问题。
  2. 我尝试使用 PFX 证书代替 SCEP,希望它能帮助解决问题。但没用
  3. Android 能够从 Intune 接收 SCEP 证书,但该证书位于系统存储中,而不是 WiFi 存储中。因此,Android 无法使用该证书进行 WiFi 身份验证

答案1

下列博客文章为 Intune 混合设置提供了解决方案。遗憾的是,它无法用于基于云的 Intune 部署。因此,我最终根据博客中的信息为 Android 设备创建了 OMA-URI 配置(感谢斯科特·布林他的博客文章)。

重要提示:请在 OMA-URI 配置中替换以下值

  • Corporate WiFi:应该是你的 WiFi SSID 名称
  • 1234567890ABCDEF:应该是您的 WiFi SSID 名称的十六进制数(十六进制SSID 名称的精确大小写)
  • 00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22:根 CA 证书的 SHA-1 哈希值

OMA-URI 配置

设置名称:(Corporate WiFi将其替换为您的 SSID)

日期类型:String

OMA-URI(区分大小写):(./Vendor/MSFT/WiFi/Profile/Corporate WiFi/Settings替换Corporate WiFi为您的 SSID)

值:(替换前面提到的值)

<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
    <name>Corporate WiFi</name>
    <SSIDConfig>
        <SSID>
            <hex>1234567890ABCDEF</hex>
            <name>Corporate WiFi</name>
        </SSID>
    </SSIDConfig>
    <connectionType>ESS</connectionType>
    <connectionMode>auto</connectionMode>
    <MSM>
        <security>
            <authEncryption>
                <authentication>WPA2</authentication>
                <encryption>AES</encryption>
                <useOneX>true</useOneX>
                <FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
            </authEncryption>
            <PMKCacheMode>disabled</PMKCacheMode>
            <preAuthMode>disabled</preAuthMode>
            <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
                <cacheUserData>false</cacheUserData>
                <authMode>User</authMode>
                <EAPConfig>
                    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                        <EapMethod>
                            <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                            <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                            <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                            <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                        </EapMethod>
                        <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                            <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                                <Type>13</Type>
                                <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                                    <CredentialsSource>
                                        <CertificateStore>
                                            <SimpleCertSelection>true</SimpleCertSelection>
                                        </CertificateStore>
                                    </CredentialsSource>
                                    <ServerValidation>
                                        <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                                        <ServerNames></ServerNames>
                                        <TrustedRootCA>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </TrustedRootCA>
                                    </ServerValidation>
                                    <DifferentUsername>false</DifferentUsername>
                                    <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                                    <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                                    <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                                        <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                                            <CAHashList Enabled="true">
                                                <IssuerHash>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </IssuerHash>
                                            </CAHashList>
                                            <EKUMapping>
                                                <EKUMap>
                                                    <EKUName>Encrypting File System</EKUName>
                                                    <EKUOID>1.3.6.1.4.1.311.10.3.4</EKUOID>
                                                </EKUMap>
                                                <EKUMap>
                                                    <EKUName>Secure Email</EKUName>
                                                    <EKUOID>1.3.6.1.5.5.7.3.4</EKUOID>
                                                </EKUMap>
                                            </EKUMapping>
                                            <ClientAuthEKUList Enabled="true">
                                                <EKUMapInList>
                                                    <EKUName>Encrypting File System</EKUName>
                                                </EKUMapInList>
                                                <EKUMapInList>
                                                    <EKUName>Secure Email</EKUName>
                                                </EKUMapInList>
                                            </ClientAuthEKUList>
                                        </FilteringInfo>
                                    </TLSExtensions>
                                </EapType>
                            </Eap>
                        </Config>
                        </EapHostConfig>
                </EAPConfig>
            </OneX>
        </security>
    </MSM>
</WLANProfile>

相关内容