网络设备的政策
网络设备策略允许您通过定义以下项目来管理用户如何将其设备连接到Wi-Fi网络:
- 网络名称和类型
- 认证和安全策略
- 代理服务器的使用
- 其他Wi-Fi相关资料
如果需要添加或配置该策略,请执行配置>设备策略.有关更多信息,请参见设备的政策.
先决条件
在创建策略之前,请完成以下操作:
- 创建您计划使用的任何交付组。
- 了解网络名称和类型。
- 了解您计划使用的任何身份验证或安全类型。
- 了解您可能需要的任何代理服务器信息。
- 安装任何必要的CA证书。
- 拥有任何必要的共享密钥。
- 创建用于证书认证的PKI实体。
- 配置凭据提供程序。
有关更多信息,请参见认证及其子粒子。
iOS和tvOS设置
- 网络类型:在列表中,选择标准,遗留热点,或热点2.0设置计划使用的网络类型。
- 网络名称:键入设备可用网络列表中显示的SSID。不适用于热点2.0.
- 隐藏网络:选择是否隐藏网络。
- 自动加入此无线网络:选择设备是否自动加入网络。如果一个设备连接到另一个网络,它不会加入这个网络。在设备自动连接之前,用户必须断开之前的网络。默认值是在.
- 关闭网络检测:专属网络助手帮助用户接入订阅或Wi-Fi热点网络。你通常会在咖啡店、酒店和其他公共场所找到这些网络。如果在,设备仍然可以连接到专属网络,但用户必须打开浏览器并手动登录。默认值是关.
- 使用静态MAC地址:MAC地址是设备在网络中传输的唯一标识符。为了增加隐私,iOS和iPadOS设备可以在每次连接到网络时使用不同的MAC地址。如果在,设备在连接到此网络时始终使用相同的MAC地址。如果关,设备每次连接到此网络时使用不同的MAC地址。默认值是关.
- 安全类型:在列表中,选择您计划使用的安全性类型。不适用于热点2.0.
- 无-不需要进一步配置。
- WEP
- 水渍险/ WPA2 / WPA3个人
- 任何(个人)
- WEP的企业
- WPA/WPA2/WPA3 Enterprise:对于最新版本的Windows 10,请配置简单证书注册协议(SCEP)以使用WPA-2 Enterprise。然后,端点管理可以将证书发送到设备,以向Wi-Fi服务器进行身份验证。要配置SCEP,请转到的分发页设置>凭据提供程序.有关更多信息,请参见凭证提供者.
- 任何(企业)
以下部分列出为上述每种连接类型配置的选项。
- 代理服务器设置
- 代理配置:在列表中,选择没有一个,手册,或自动的设置VPN连接如何通过代理服务器路由,然后配置任何其他选项。默认值是没有一个,不需要进一步配置。
- 如果你愿意手册,配置以下设置:
- 主机名或IP地址:输入代理服务器的主机名或IP地址。
- 端口:键入代理服务器端口号。
- 用户名:键入可选用户名以向代理服务器进行身份验证。
- 密码:键入一个可选的密码以向代理服务器进行身份验证。
- 如果你愿意自动的,配置以下设置:
- 服务器地址:键入定义代理配置的PAC文件的URL。
- 如果无法访问PAC,则允许直接连接:如果PAC文件不可达,选择是否允许用户直接连接到目标。默认值是在.
- 快车道服务质素标记:如果你不限制支持Cisco Fast Lane QoS的Wi-Fi网络的QoS标记,所有应用程序都可以使用L2和L3标记。如果限制QoS标记,请指定可以使用L2和L3标记的应用程序。
- 使QoS标记:如果您限制QoS标记,请使用此设置完全禁用或只标记某些应用程序。如果关,则完全禁用QoS标记。如果在,配置可使用QoS标记的应用程序列表。默认值是在.
- 允许苹果音频/视频通话:选择音频和视频通话应用是否可以使用QoS标记。如果关在美国,视频和音频通话的质量会受到影响。
- 允许特定应用程序:在此列表中添加应用程序包ID,允许应用程序使用QoS标记。
- 2.0热点设置
- 显示运营商名称:热点设备广播的友好名称。用户可以在可用的Wi-Fi网络列表中看到此名称。
- 域名:用于Hotspot 2.0协商的域名。
- 允许连接到漫游伙伴网络:如果在在美国,通过家庭网络漫游的设备可以连接到合作伙伴网络。
- 漫游联盟组织标识符(OI):添加设备可以访问的组织标识的列表。漫游联盟OI属于具有共享认证方法的组织。如果您配置的热点不可用,设备连接到这里列出的漫游联盟OI。
- 网络访问标识符(NAI)领域名称:配置用于识别漫游网络用户的领域名称列表。NAI在表单中传输
user@realm. - 移动国家代码(mcs)和移动网络配置(MNCs):移动国家代码由三个数字组成,用来标识网络的国家。移动网络代码由2或3个唯一的数字组成。当一起使用时,MCC/MNC唯一标识一个移动网络运营商或运营商。
- 策略设置
- 删除政策:选择计划策略删除的方法。可用选项包括选择日期和持续时间(以小时计)
- 选择日期:点击日历以选择具体的删除日期。
- 拆卸前的持续时间(以小时计):输入一个数字(以小时为单位),直到策略删除发生。
- 允许用户删除策略:您可以选择用户从设备上移除策略的时间。选择总是,密码需要,或从来没有从菜单中。如果您选择密码需要,输入密码删除密码字段。不适用于iOS系统。
- 删除政策:选择计划策略删除的方法。可用选项包括选择日期和持续时间(以小时计)
WPA、WPA个人、iOS的任何(个人)设置
密码:输入一个可选的密码。如果将此字段留空,用户登录时可能会提示输入密码。
WEP Enterprise、WPA Enterprise、WPA2 Enterprise、WPA3 Enterprise、iOS的任何(企业)设置
当您选择任何这些安全类型时,EAP设置会出现在后面QoS设置.
重要的是:
如果您选择WPA2企业安全类型,必须允许至少一种EAP协议。
- 允许的EAP协议:启用要支持的EAP类型,然后配置关联的设置。默认值是关对于每个可用的EAP类型。
- 内部身份验证(TTLS):仅当启用TTLS时才需要. 在列表中,选择要使用的内部身份验证方法。选项包括:人民行动党,小伙子,MSCHAP,或MSCHAPv2. 默认值是MSCHAPv2.
- EAP-FAST与PAC:选择是否使用受保护的访问凭据(PAC)。
- 如果你愿意使用PAC,选择是否使用资源调配PAC。
- 如果你愿意供应PAC,选择是否允许终端用户客户端和端点管理之间的匿名TLS握手。
- 供应PAC匿名
- 如果你愿意供应PAC,选择是否允许终端用户客户端和端点管理之间的匿名TLS握手。
- 如果你愿意使用PAC,选择是否使用资源调配PAC。
- 身份验证:
- 用户名:输入用户名。
- 在每个连接密码:选择用户每次登录时是否要求输入密码。
- 密码:输入一个可选的密码。如果将此字段留空,用户登录时可能会提示输入密码。
- 身份凭据(密钥库或PKI凭据):在列表中,选择身份凭证的类型。默认值是没有一个.
- 外标识:仅当启用时才需要峰值,ttl,或EAP-FAST. 键入外部可见的用户名。您可以通过键入诸如“匿名”之类的通用术语来提高安全性,以便用户名不可见。
- 要求TLS证书:选择是否需要TLS证书。
- 信任
- 受信任的证书:单击,添加受信任证书添加并且,对于您想要添加的每个证书,执行以下操作:
- 应用程序:在列表中,选择要添加的应用程序。
- 点击保存要保存证书,请单击取消.
- 受信任的服务器证书名称:单击,添加受信任服务器证书通用名添加并且,对于您想要添加的每个名称,执行以下操作:
- 证书:输入服务器证书的名称。您可以使用通配符来指定名称,例如wpa.*.example.com。
- 点击保存要保存证书名称,请单击取消.
- 受信任的证书:单击,添加受信任证书添加并且,对于您想要添加的每个证书,执行以下操作:
- 允许信任例外:选择证书不受信任时用户设备上是否出现证书信任对话框。默认值是在.
macOS设置
- 网络:在列表中,选择计划使用的网络选项。默认值是无线局域网.
- 无线局域网
- 全球以太网
- 第一次主动以太网
- 第二有源以太网
- 第三主动以太网
- 第一以太网
- 第二个以太网
- 第三个以太网
- 网络类型:在列表中,选择标准,遗留热点,或热点2.0设置计划使用的网络类型。
- 网络名称:键入设备可用网络列表中显示的SSID。不适用于热点2.0.
- 隐藏网络:选择是否隐藏网络。
- 自动加入此无线网络:选择是否自动加入网络。如果一个设备已经连接到另一个网络,它就不会加入这个网络。在设备自动连接之前,用户必须断开之前的网络。默认值是在.
- 安全类型:在列表中,选择您计划使用的安全性类型。不适用于热点2.0.
- 无-不需要进一步配置。
- WEP
- 水渍险/ WPA2个人
- 任何(个人)
- WEP的企业
- WPA/WPA2企业
- 任何(企业)
以下部分列出为上述每种连接类型配置的选项。
- 优先:对于多个网络,键入一个数字以定义网络连接的优先级。设备首先以最低优先级号码连接到网络。负数是可以接受的。默认值是0.
- 代理服务器设置
- 代理配置:在列表中,选择没有一个,手册,或自动的设置VPN连接如何通过代理服务器路由,然后配置任何其他选项。默认值是没有一个,不需要进一步配置。
- 如果你愿意手册,配置以下设置:
- 主机名或IP地址:输入代理服务器的主机名或IP地址。
- 端口:键入代理服务器端口号。
- 用户名:键入可选用户名以向代理服务器进行身份验证。
- 密码:键入一个可选的密码以向代理服务器进行身份验证。
- 如果你愿意自动的,配置以下设置:
- 服务器地址:键入定义代理配置的PAC文件的URL。
- 如果无法访问PAC,则允许直接连接:如果PAC文件不可达,选择是否允许用户直接连接到目标。默认值是在.
- 2.0热点设置
- 显示运营商名称:热点设备广播的友好名称。用户可以在可用的Wi-Fi网络列表中看到此名称。
- 域名:用于Hotspot 2.0协商的域名。
- 允许连接到漫游伙伴网络:如果在在美国,通过家庭网络漫游的设备可以连接到合作伙伴网络。
- 漫游联盟组织标识符(OI):添加设备可以访问的组织标识的列表。漫游联盟OI属于具有共享认证方法的组织。如果您配置的热点不可用,设备连接到这里列出的漫游联盟OI。
- 网络访问标识符(NAI)领域名称:配置用于识别漫游网络用户的领域名称列表。NAI在表单中传输
user@realm. - 移动国家代码(mcs)和移动网络配置(MNCs):移动国家代码由三个数字组成,用来标识网络的国家。移动网络代码由2或3个唯一的数字组成。当一起使用时,MCC/MNC唯一标识一个移动网络运营商或运营商。
- 策略设置
- 删除政策:选择计划策略删除的方法。可用选项包括选择日期和持续时间(以小时计)
- 选择日期:点击日历以选择具体的删除日期。
- 拆卸前的持续时间(以小时计):输入一个数字(以小时为单位),直到策略删除发生。
- 允许用户删除策略:您可以选择用户从设备上移除策略的时间。选择总是,密码需要,或从来没有从菜单中。如果您选择密码需要,输入密码删除密码字段。
- 概要范围:选择此策略是否应用于使用者或整个系统. 默认值是使用者. 此选项仅在macOS 10.7及更高版本上可用。
- 删除政策:选择计划策略删除的方法。可用选项包括选择日期和持续时间(以小时计)
WPA, WPA Personal, WPA 2 Personal, Any (Personal) settings for macOS
- 密码:输入一个可选的密码。如果将此字段留空,用户登录时可能会提示输入密码。
WEP Enterprise、WPA Enterprise、WPA2 Enterprise、macOS的任何(企业)设置
- 连接方式:如果在,选择用户加入网络时使用的连接模式。默认值是关.
- 系统:如果标记了,设备将使用系统凭据来验证用户。默认值清除。
- 登录窗口:如果已标记,设备将使用在登录窗口中输入的相同凭据对用户进行身份验证。默认值已清除。
当您选择任何这些安全类型时,EAP设置会出现在后面QoS设置.
重要的是:
如果您选择WPA2企业安全类型,必须允许至少一种EAP协议。
- 允许的EAP协议:启用要支持的EAP类型,然后配置关联的设置。默认值是关对于每个可用的EAP类型。
- 内部身份验证(TTLS):仅当启用TTLS时才需要. 在列表中,选择要使用的内部身份验证方法。选项包括:人民行动党,小伙子,MSCHAP,或MSCHAPv2. 默认值是MSCHAPv2.
- EAP-FAST与PAC:选择是否使用受保护的访问凭据(PAC)。
- 如果您选择使用PAC,选择是否使用资源调配PAC。
- 如果你愿意供应PAC,选择是否允许终端用户客户端和端点管理之间的匿名TLS握手。
- 供应PAC匿名
- 如果你愿意供应PAC,选择是否允许终端用户客户端和端点管理之间的匿名TLS握手。
- 如果您选择使用PAC,选择是否使用资源调配PAC。
- 身份验证:
- 使用Active Directory身份验证:选择是否启用Active Directory身份验证。适用于macOS 10.7及更高版本。要使此选项可用,请完成以下操作:
- 集峰值作为EAP协议。
- 将配置文件范围设置为系统.只有在将策略应用到整个系统时,才能使用此设置选项。
- 用户名:输入用户名。
- 在每个连接密码:选择用户每次登录时是否需要密码。
- 密码:输入一个可选的密码。如果将此字段留空,用户登录时可能会提示输入密码。
- 身份凭据(密钥库或PKI凭据):在列表中,选择身份凭证的类型。默认值是没有一个.
- 外标识:仅当启用时才需要峰值,ttl,或EAP-FAST.输入外部可见的用户名。您可以通过键入“匿名”这样的通用术语来提高安全性,这样用户名就不可见了。
- 要求TLS证书:选择是否需要TLS证书。
- 使用Active Directory身份验证:选择是否启用Active Directory身份验证。适用于macOS 10.7及更高版本。要使此选项可用,请完成以下操作:
- 信任
- 受信任的证书:单击,添加受信任证书添加并且,对于您想要添加的每个证书,执行以下操作:
- 应用程序:在列表中,选择要添加的应用程序。
- 点击保存要保存证书,请单击取消.
- 受信任的服务器证书名称:单击,添加受信任服务器证书通用名添加并且,对于您想要添加的每个名称,执行以下操作:
- 证书:输入要添加的服务器证书的名称。可以使用通配符指定名称,例如wpa.*.example.com。
- 点击保存要保存证书名称,请单击取消.
- 受信任的证书:单击,添加受信任证书添加并且,对于您想要添加的每个证书,执行以下操作:
- 允许信任例外:选择当证书不受信任时,是否在用户设备上显示证书信任对话框。默认值是在.
Android Enterprise和Android for Workspace(预览)设置
- 网络名称:键入用户设备上可用网络列表中的SSID。
- 身份验证:在列表中,选择Wi-Fi连接使用的安全类型。
- 开放
- 共享
- 水渍险
- WPA-PSK
- WPA2
- WPA2-PSK
- 802.1 x EAP
以下部分列出了为上述每种连接类型配置的选项。默认值是开放.
Android Enterprise的开放共享设置
- 加密:在列表中,任选其一禁用或WEP. 默认值是WEP.
- 密码:输入一个可选的密码。
- 隐藏网络:选择是否隐藏网络。
WPA, WPA- psk, WPA2, WPA2- psk Android设置
- 加密:在列表中,任选其一TKIP或AES. 默认值是TKIP.
- 密码:输入一个可选的密码。
- 隐藏网络:选择是否隐藏网络。
Android的802.1x设置
- EAP型:在列表中,选择峰值,TLS,或ttl. 默认值是峰值.
- 密码:输入一个可选的密码。
- 身份验证阶段2:在列表中,选择没有一个,人民行动党,MSCHAP,MSCHAPPv2,或GTC. 默认值是人民行动党.
- 身份:输入可选的用户名和域。
- 匿名:输入可选的、外部可见的用户名。您可以通过键入“匿名”这样的通用术语来提高安全性,这样用户名就不可见了。
- CA证书:在列表中,选择要使用的证书。
- 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个.
- 隐藏网络:选择是否隐藏网络。
Android(传统DA)设置
- 网络名称:键入用户设备上可用网络列表中的SSID。
- 身份验证:在列表中,选择Wi-Fi连接使用的安全类型。
- 开放
- 共享(仅限Android企业版)
- WPA(仅适用于Android企业版)
- WPA-PSK(仅适用于Android企业版)
- WPA2
- WPA2-PSK
- 802.1 x EAP
以下部分列出为上述每种连接类型配置的选项。
Android的开放共享设置
- 加密:在列表中,任选其一禁用或WEP. 默认值是WEP.
- 密码:输入一个可选的密码。
- 隐藏网络:选择是否隐藏网络。
WPA, WPA- psk, WPA2, WPA2- psk Android设置
- 加密:在列表中,任选其一TKIP或AES. 默认值是TKIP.
- 密码:输入一个可选的密码。
- 隐藏网络:选择是否隐藏网络。
Android的802.1x设置
- EAP类型:在列表中,选择峰值,TLS,或ttl. 默认值是峰值.
- 密码:输入一个可选的密码。
- 身份验证阶段2:在列表中,选择没有一个,人民行动党,MSCHAP,MSCHAPPv2,或GTC. 默认值是人民行动党.
- 身份:输入可选的用户名和域。
- 匿名:输入可选的、外部可见的用户名。您可以通过键入“匿名”这样的通用术语来提高安全性,这样用户名就不可见了。
- CA证书:在列表中,选择要使用的证书。
- 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个.
- 隐藏网络:选择是否隐藏网络。
Windows Phone设置
- 网络名称:键入用户设备上可用网络列表中的SSID。
- 身份验证:在列表中,选择Wi-Fi连接使用的安全类型。
- 开放
- 水渍险个人
- WPA-2个人
- WPA-2 Enterprise:对于Windows 10的最新版本,将SCEP配置为使用WPA-2 Enterprise。通过配置SCEP,终端管理可以将证书发送给设备进行Wi-Fi服务器的认证。配置SCEP命令,执行分配第页,共页设置>凭据提供程序.有关更多信息,请参见凭证提供者.
以下部分列出为上述每种连接类型配置的选项。
打开Windows Phone的设置
- 如果隐藏连接:选择是否在网络隐藏时连接。
- 自动连接:选择是否自动连接网络。
适用于Windows Phone的WPA个人、WPA-2个人设置
- 加密:在列表中,任选其一AES或TKIP设置加密类型。默认值是AES.
- 共享密钥:为所选方法提供加密密钥。
- 如果隐藏连接:选择是否在网络隐藏时连接。
- 自动连接:选择是否自动连接网络。
Windows Phone的WPA-2企业设置
- 加密:在列表中,任选其一AES或TKIP设置加密类型。默认值是AES.
- EAP型:在列表中,选择PEAP-MSCHAPv2或TLS设置EAP类型。默认值是PEAP-MSCHAPv2.
- 如果隐藏连接:选择是否在网络隐藏时连接。
- 自动连接:选择是否自动连接网络。
- 通过SCEP推送证书:选择是否通过SCEP向用户设备推送证书。
- SCEP证书提供者:在列表中,选择SCEP凭据提供程序。默认值是没有一个.
Windows Phone的代理服务器设置
- 主机名或IP地址:输入代理服务器的名称或IP地址。
- 端口:输入代理服务器的端口号。
Windows桌面/平板电脑设置
- 网络名称:可用网络列表中显示的SSID。
- 身份验证:在列表中,单击Wi-Fi连接使用的安全类型。
- 开放
- 水渍险个人
- WPA-2个人
- WPA企业
- WPA-2 Enterprise:对于Windows 10的最新版本,将SCEP配置为使用WPA-2 Enterprise。通过配置SCEP,终端管理可以将证书发送给设备进行Wi-Fi服务器的认证。配置SCEP命令,执行分配第页,共页设置>凭据提供程序.有关更多信息,请参见凭证提供者.
以下部分列出为上述每种连接类型配置的选项。
打开Windows 10和Windows 11的设置
- 隐藏网络:选择是否隐藏网络。
- 自动连接:选择是否自动连接网络。
WPA个人,WPA-2个人设置为Windows 10和Windows 11
- 加密:在列表中,任选其一AES或TKIP设置加密类型。默认值是AES.
- 共享密钥:为所选方法提供加密密钥。
- 隐藏网络:选择是否隐藏网络。
- 自动连接:选择是否自动连接网络。
Windows 10和Windows 11的WPA-2企业版设置
- 加密:在列表中,任选其一AES或TKIP设置加密类型。默认值是AES.
- EAP型:在列表中,选择PEAP-MSCHAPv2或TLS设置EAP类型。默认值是PEAP-MSCHAPv2.
- 隐藏网络:选择是否隐藏网络。
- 自动连接:选择是否自动连接网络。
- 使连?:选择是否通过SCEP将证书推送到用户设备。
- SCEP证书提供者:在列表中,选择SCEP凭据提供程序。默认值是没有一个.
Chrome操作系统设置
- 名称:键入此连接的用户友好描述。此设置是必需的。
- 优先:对于多个网络,键入一个数字以定义网络连接的优先级。设备首先以最低优先级号码连接到网络。负数是可以接受的。默认值是0.
- 允许网关ARP轮询:如果在,该设置允许ARP消息发送到默认网关,以监控当前连接的状态。默认是在.
- 自动连接:如果在,设备在范围内自动连接到网络。默认是关.
- 隐藏的SSID:当设置为在,网络的SSID是不广播的。默认是关.
- 名称:设备上可用网络列表中显示的SSID。
- 漫游阈值:键入此网络的漫游阈值。这个数字表示信号噪声值(以dB为单位),低于这个值的设备尝试漫游到一个新的网络。
- 选择安全类型:选择与此Wi-Fi连接使用的安全类型。选项是没有一个和WPA-PSK. 默认为没有一个.
- 密码短语:如果您选择WPA-PSK作为安全性,键入网络的密码短语。
Citrix准备工作区中心设置
如果您的Citrix Ready工作区hub设备是在Raspberry Pi 3 Model B+平台或更高版本上构建的,您可以连接到5 GHz Wi-Fi网络。配置您的设备连接网络:
- 名称:键入此连接的用户友好描述。此设置是必需的。
- 身份验证:如果开放,不需要身份验证。如果WPA-2企业,配置设备的身份验证设置。默认为开放.
- EAP型:选择身份验证协议类型。如果自动的,工作区中心设备将自动确定身份验证协议。您还可以选择PEAP-MSCHAPv2. 默认为自动的.
- 身份:键入用于身份验证的用户名。
- 密码:键入用于身份验证的密码。
- 匿名:输入一个可选的、外部可见的用户名。您可以通过键入“匿名”这样的通用术语来提高安全性,这样用户名就不可见了。
- CA证书:在列表中,选择要使用的证书。
如果要将网络策略推送到设备,设备之间必须使用以太网连接。设备重启后,会自动连接到网络。
复制!
失败!