Wifi

通過 Intune 在 Android 上配置 Wi-Fi。缺少 Wi-Fi 證書問題

  • July 16, 2019

當 Android 手機無法從 Intune 獲取正確的 WiFi 配置策略時,我遇到了問題。Intune 處於“雲模式”(非混合)

我在 Intune 中配置了以下策略:

  • 部署根 CA 證書(工作正常)
  • 部署 SCEP 證書(工作正常)
  • 部署 WiFi 配置(這就是問題所在)

注意事項:

  1. 對於 iOS 設備,完全相同的配置可以完美執行。所以 Intune 和 WiFi 的配置沒問題,配置 Android 設備 WiFi 策略似乎是個問題。
  2. 我嘗試使用 PFX 證書而不是 SCEP,希望它有助於解決問題。它沒有
  3. Android 能夠從 Intune 接收 SCEP 證書,但它被放置在系統儲存中,而不是在 WiFi 儲存中。因此 Android 無法使用證書進行 WiFi 身份驗證

以下部落格文章提供了 Intune 混合設置的解決方案。不幸的是,它無法用於基於雲的 Intune 部署。因此,我最終根據部落格中的資訊為 Android 設備創建了 OMA-URI 配置(感謝Scott Breen的部落格文章)。

重要提示:替換 OMA-URI 配置中的以下值

  • Corporate WiFi: 應該是您的 WiFi SSID 名稱
  • 1234567890ABCDEF:應該是您的 WiFi SSID 名稱的十六進制(SSID 名稱的十六進制精確大小寫)
  • 00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22: 根 CA 證書的 SHA-1 雜湊

OMA-URI 配置

設置名稱:(Corporate WiFi將其替換為您的 SSID)

日期類型:String

OMA-URI(區分大小寫):(./Vendor/MSFT/WiFi/Profile/Corporate WiFi/Settings替換Corporate WiFi為您的 SSID)

值:(替換前面提到的值)

<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
   <name>Corporate WiFi</name>
   <SSIDConfig>
       <SSID>
           <hex>1234567890ABCDEF</hex>
           <name>Corporate WiFi</name>
       </SSID>
   </SSIDConfig>
   <connectionType>ESS</connectionType>
   <connectionMode>auto</connectionMode>
   <MSM>
       <security>
           <authEncryption>
               <authentication>WPA2</authentication>
               <encryption>AES</encryption>
               <useOneX>true</useOneX>
               <FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
           </authEncryption>
           <PMKCacheMode>disabled</PMKCacheMode>
           <preAuthMode>disabled</preAuthMode>
           <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
               <cacheUserData>false</cacheUserData>
               <authMode>User</authMode>
               <EAPConfig>
                   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                       <EapMethod>
                           <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
                           <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
                           <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
                           <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
                       </EapMethod>
                       <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
                           <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                               <Type>13</Type>
                               <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                                   <CredentialsSource>
                                       <CertificateStore>
                                           <SimpleCertSelection>true</SimpleCertSelection>
                                       </CertificateStore>
                                   </CredentialsSource>
                                   <ServerValidation>
                                       <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                                       <ServerNames></ServerNames>
                                       <TrustedRootCA>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </TrustedRootCA>
                                   </ServerValidation>
                                   <DifferentUsername>false</DifferentUsername>
                                   <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                                   <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                                   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                                       <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                                           <CAHashList Enabled="true">
                                               <IssuerHash>00 11 22 33 44 55 66 77 88 99 00 AA BB CC DD EE FF 00 11 22 </IssuerHash>
                                           </CAHashList>
                                           <EKUMapping>
                                               <EKUMap>
                                                   <EKUName>Encrypting File System</EKUName>
                                                   <EKUOID>1.3.6.1.4.1.311.10.3.4</EKUOID>
                                               </EKUMap>
                                               <EKUMap>
                                                   <EKUName>Secure Email</EKUName>
                                                   <EKUOID>1.3.6.1.5.5.7.3.4</EKUOID>
                                               </EKUMap>
                                           </EKUMapping>
                                           <ClientAuthEKUList Enabled="true">
                                               <EKUMapInList>
                                                   <EKUName>Encrypting File System</EKUName>
                                               </EKUMapInList>
                                               <EKUMapInList>
                                                   <EKUName>Secure Email</EKUName>
                                               </EKUMapInList>
                                           </ClientAuthEKUList>
                                       </FilteringInfo>
                                   </TLSExtensions>
                               </EapType>
                           </Eap>
                       </Config>
                       </EapHostConfig>
               </EAPConfig>
           </OneX>
       </security>
   </MSM>
</WLANProfile>

引用自:https://serverfault.com/questions/845780