Pac URL подключения к Wi-Fi
Обновлено: 21.11.2024
Для организаций, которые используют прямые прокси-серверы в качестве шлюза в Интернет, вы можете использовать защиту сети для расследования событий подключения, которые происходят за прямыми прокси-серверами.
Протокол автоматического обнаружения веб-прокси (WPAD)
Если вы используете Прозрачный прокси или WPAD в своей топологии сети, вам не нужны специальные настройки конфигурации. Дополнительные сведения об исключениях URL-адресов Defender для конечных точек в прокси-сервере см. в статье Включение доступа к URL-адресам службы Defender для конечных точек на прокси-сервере
Ручная настройка статического прокси:
Антивирус Defender и прокси-серверы EDR можно устанавливать независимо. В следующих разделах помните об этих различиях.
Настройте прокси-сервер вручную, используя статический прокси-сервер на основе реестра
Настройте статический прокси-сервер на основе реестра для датчика обнаружения и ответа Defender for Endpoint (EDR), чтобы сообщать диагностические данные и обмениваться данными со службами Defender for Endpoint, если компьютеру не разрешено подключение к Интернету.
При использовании этого параметра в Windows 10, Windows 11, Windows Server 2019 или Windows Server 2022 рекомендуется иметь следующую (или более позднюю) сборку и накопительный пакет обновления:
Эти обновления улучшают подключение и надежность канала CnC (Command and Control).
Статический прокси-сервер можно настроить с помощью групповой политики (GP). Оба параметра в разделе значений групповой политики должны быть настроены на прокси-сервер для использования EDR. Групповая политика доступна в административных шаблонах.
Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для службы Connected User Experience and Telemetry.
Установите для него значение «Включено» и выберите «Отключить использование прокси-сервера с проверкой подлинности».
Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Настройка подключенных пользователей и телеметрии:
Настройте прокси.
Настройка статического прокси-сервера для антивирусной программы Microsoft Defender
Облачная защита Microsoft Defender Antivirus обеспечивает почти мгновенную автоматическую защиту от новых и возникающих угроз. Обратите внимание, что подключение требуется для пользовательских индикаторов, когда Defender Antivirus является вашим активным решением для защиты от вредоносных программ. Для EDR в блочном режиме есть основное решение по защите от вредоносных программ при использовании решения, отличного от Microsoft.
Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:
Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Определить прокси-сервер для подключения к сети.
В разделе реестра HKLM\Software\Policies\Microsoft\Windows Defender политика устанавливает значение реестра ProxyServer как REG_SZ.
Значение реестра ProxyServer принимает следующий строковый формат:
В целях обеспечения отказоустойчивости и обеспечения защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что ваше прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.
Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого будет использоваться общесистемный прокси-сервер, если настроено использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.
При необходимости вы можете использовать Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Определить автоматическую настройку прокси-сервера (.pac) для подключения к сети. Если вам нужно настроить расширенные конфигурации с несколькими прокси-серверами, используйте Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Определить адреса, чтобы обойти прокси-сервер и запретить антивирусной программе Microsoft Defender использовать прокси-сервер для этих назначений.
Вы можете использовать PowerShell с командлетом Set-MpPreference для настройки следующих параметров:
- Обход прокси-сервера
- ProxyPacUrl
- Прокси-сервер
Чтобы правильно использовать прокси-сервер, настройте следующие три разных параметра прокси-сервера:
- Защитник Microsoft для конечной точки (MDE)
- AV (антивирус)
- Обнаружение конечных точек и реагирование (EDR)
Настройте прокси-сервер вручную с помощью команды netsh
Используйте netsh для настройки общесистемного статического прокси-сервера.
Откройте командную строку с повышенными привилегиями:
- Перейдите в меню "Пуск" и введите cmd.
- Нажмите правой кнопкой мыши командную строку и выберите "Запуск от имени администратора".
Введите следующую команду и нажмите Enter:
Включить доступ к Microsoft Defender для URL-адресов службы конечной точки на прокси-сервере
По умолчанию, если прокси-сервер или брандмауэр по умолчанию блокирует весь трафик и разрешает только определенные домены, добавьте домены, перечисленные в загружаемом листе, в список разрешенных доменов.
В следующей загружаемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым ваша сеть должна иметь возможность подключаться. Убедитесь, что нет правил брандмауэра или сетевой фильтрации, запрещающих доступ для этих URL-адресов. Необязательно, вам может потребоваться создать правило разрешить специально для них.
Если прокси-сервер или брандмауэр блокирует анонимный трафик в качестве датчика Defender for Endpoint и подключается из системного контекста, чтобы убедиться, что анонимный трафик разрешен в ранее перечисленных URL-адресах.
Microsoft не предоставляет прокси-сервер. Эти URL-адреса доступны через настроенный вами прокси-сервер.
Агент мониторинга Microsoft (MMA) — требования к прокси-серверу и брандмауэру для более старых версий клиента Windows или Windows Server
Информация в списке сведений о конфигурации прокси-сервера и брандмауэра необходима для связи с агентом Log Analytics (часто называемым агентом мониторинга Microsoft) для предыдущих версий Windows, таких как Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и Windows Server 2008. R2*.
*Эти требования к подключению относятся к предыдущей версии Microsoft Defender для конечной точки Windows Server 2016 и Windows Server 2012 R2, для которой требуется MMA. Инструкции по интеграции этих операционных систем с новым унифицированным решением находятся на встроенных серверах Windows или по переходу на новое унифицированное решение в сценариях миграции серверов в Microsoft Defender for Endpoint.
В случае облачного решения диапазон IP-адресов может меняться. Рекомендуется перейти к настройке разрешения DNS.
Подтвердите требования к URL-адресу службы Microsoft Monitoring Agent (MMA)
См. следующее руководство, чтобы устранить необходимость использования подстановочного знака (*) для вашей конкретной среды при использовании Microsoft Monitoring Agent (MMA) для предыдущих версий Windows.
Встроенная предыдущая операционная система с агентом Microsoft Monitoring Agent (MMA) в Defender for Endpoint (дополнительную информацию см. в разделе Установка предыдущих версий Windows на Defender for Endpoint и встроенные серверы Windows).
Убедитесь, что компьютер успешно передает данные на портал Microsoft 365 Defender.
Запустите средство TestCloudConnection.exe из "C:\Program Files\Microsoft Monitoring Agent\Agent", чтобы проверить подключение и получить необходимые URL-адреса для конкретной рабочей области.
Полный список требований для вашего региона см. в списке URL-адресов конечных точек Microsoft Defender (см. Таблицу URL-адресов служб).
Конечную точку URL *.blob.core.windows.net можно заменить URL-адресами, показанными в разделе "Правило брандмауэра: *.blob.core.windows.net" результатов теста.
Проверьте подключение клиента к Microsoft Defender для URL-адресов службы конечной точки
Загрузите средство Microsoft Defender for Endpoint Client Analyzer на компьютер, на котором работает датчик Defender for Endpoint. Для серверов нижнего уровня используйте последнюю предварительную версию, доступную для загрузки Бета-версии инструмента Microsoft Defender for Endpoint Client Analyzer.
Извлеките содержимое MDEClientAnalyzer.zip на устройство.
Откройте командную строку с повышенными привилегиями:
- Перейдите в меню "Пуск" и введите cmd.
- Нажмите правой кнопкой мыши командную строку и выберите "Запуск от имени администратора".
Введите следующую команду и нажмите Enter:
Замените HardDrivePath на путь, по которому был загружен инструмент MDEClientAnalyzer. Например:
Инструмент создает и извлекает файл MDEClientAnalyzerResult.zip в папку для использования в HardDrivePath.
Откройте файл MDEClientAnalyzerResult.txt и убедитесь, что вы выполнили действия по настройке прокси-сервера, чтобы включить обнаружение серверов и доступ к URL-адресам служб.
Этот инструмент проверяет возможность подключения Defender для URL-адресов службы конечной точки. Убедитесь, что клиент Defender for Endpoint настроен для взаимодействия. Инструмент распечатает результаты в файле MDEClientAnalyzerResult.txt для каждого URL-адреса, который потенциально может использоваться для связи со службами Defender for Endpoint. Например:
Если какой-либо из вариантов подключения возвращает статус (200), клиент Defender for Endpoint может правильно взаимодействовать с проверенным URL-адресом, используя этот метод подключения.
Проверки подключения к облаку с помощью инструмента Connectivity Analyzer несовместимы с правилом уменьшения направлений атак Блокировать создание процессов, происходящих из команд PSExec и WMI. Вам нужно будет временно отключить это правило, чтобы запустить инструмент подключения. Кроме того, вы можете временно добавить исключения ASR при запуске анализатора.
Когда TelemetryProxyServer установлен в реестре или с помощью групповой политики, Defender for Endpoint будет отступать, он не сможет получить доступ к определенному прокси-серверу.
Синтаксис
Параметры
Имя хоста, извлеченное из URL. Это только для удобства; это та же строка, что и между :// и первым : или / после него. Номер порта не включен в этот параметр. При необходимости его можно извлечь из URL.
Описание
Возвращает строку, описывающую конфигурацию. Формат этой строки определяется в формате возвращаемого значения ниже.
Формат возвращаемого значения
- Функция JavaScript возвращает одну строку
- Если строка пуста, прокси использовать нельзя
- Строка может содержать любое количество следующих стандартных блоков, разделенных точкой с запятой:
Подключения должны осуществляться напрямую, без каких-либо прокси-серверов
Необходимо использовать указанный прокси
Должен использоваться указанный сервер SOCKS
Последние версии Firefox также поддерживают:
Необходимо использовать указанный прокси
Хост SOCKS4:порт , Хост SOCKS5:порт
Должен использоваться указанный сервер SOCKS (с указанной версией SOCK)
Если есть несколько настроек, разделенных точкой с запятой, будет использоваться крайняя левая настройка, пока Firefox не сможет установить соединение с прокси-сервером. В этом случае будет использовано следующее значение и т. д.
Браузер автоматически повторит попытку ранее не отвечающего прокси-сервера через 30 минут. Дополнительные попытки будут продолжаться, начиная с одного часа, всегда добавляя 30 минут к прошедшему времени между попытками.
Если все прокси-серверы не работают, а параметр ПРЯМОЙ не указан, браузер спросит, следует ли временно игнорировать прокси-серверы, и предпримет попытку прямого подключения. Через 20 минут браузер спросит, следует ли повторить прокси-серверы, и повторит запрос через дополнительные 40 минут. Запросы будут продолжаться, всегда добавляя 20 минут к прошедшему времени между запросами.
Примеры
Первичный прокси-сервер — w3proxy:8080; если он выйдет из строя, начните использовать mozilla:8081, пока основной прокси-сервер снова не появится.
То же, что и выше, но если оба прокси выходят из строя, автоматически начинаются прямые подключения. (В первом приведенном выше примере Netscape запросит у пользователя подтверждение установления прямого соединения; в этом случае вмешательство пользователя не требуется.)
Используйте SOCKS, если основной прокси-сервер выходит из строя.
Файл автоконфигурации следует сохранить в файл с расширением .pac:
И тип MIME должен быть установлен на:
Затем вам нужно настроить сервер для сопоставления расширения имени файла .pac с типом MIME.
Примечание:
- Функция JavaScript всегда должна быть сохранена в отдельном файле, но не встроена в файл HTML или любой другой файл.
- Примеры в конце этого документа завершены. Нет необходимости в дополнительном синтаксисе, чтобы сохранить его в файл и использовать. (Конечно, коды JavaScript необходимо отредактировать, чтобы они отражали доменное имя и/или подсети вашего сайта.)
Предопределенные функции и среда
Эти функции можно использовать при создании PAC-файла:
- Условия на основе имени хоста
- ProxyConfig.bindings
Примечание: pactester (часть пакета pacparser) использовался для тестирования следующих примеров синтаксиса.
isPlainHostName()
Синтаксис
Параметры
Имя хоста из URL (исключая номер порта).
Описание
Истинно тогда и только тогда, когда в имени хоста нет доменного имени (без точек).
Примеры
dnsDomainIs()
Синтаксис
Параметры
Имя хоста из URL.
Доменное имя для проверки имени хоста.
Описание
Возвращает true тогда и только тогда, когда совпадает домен имени хоста.
Примеры
localHostOrDomainIs()
Синтаксис
Параметры
Имя хоста из URL.
Полное имя хоста для сопоставления.
Описание
Истинно, если имя хоста точно соответствует указанному имени хоста или если в имени хоста нет части доменного имени, но совпадает неполное имя хоста.
Примеры
разрешимый()
Синтаксис
Параметры
имя хоста из URL.
Попытка разрешить имя хоста. Возвращает true в случае успеха.
Примеры
isInNet()
Синтаксис
Параметры
имя хоста DNS или IP-адрес. Если передано имя хоста, эта функция преобразует его в IP-адрес.
шаблон IP-адреса в формате, разделенном точками.
маска шаблона IP-адреса, указывающая, с какими частями IP-адреса следует сопоставляться. 0 означает игнорировать, 255 означает совпадение.
Истина тогда и только тогда, когда IP-адрес хоста соответствует указанному шаблону IP-адреса.
Указание шаблона и маски выполняется так же, как и для конфигурации SOCKS.
Примеры
dnsResolve()
Параметры
имя хоста для разрешения.
Преобразует заданное DNS-имя хоста в IP-адрес и возвращает его в формате, разделенном точками, в виде строки.
Пример
convert_addr()
Синтаксис
Параметры
Любой адрес с точками, например IP-адрес или маска.
Объединяет четыре байта, разделенных точками, в одно 4-байтовое слово и преобразует его в десятичное число.
Крис Хоффман
Крис Хоффман
Главный редактор
Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.
Android позволяет настраивать параметры прокси для каждой сети Wi-Fi. Иногда это требуется для доступа в Интернет, например, в деловой или школьной сети. Трафик вашего браузера будет отправляться через настроенный вами прокси-сервер.
Настроенный вами прокси-сервер будет использоваться Chrome и другими веб-браузерами, но не может использоваться другими приложениями. Каждый разработчик приложения может выбрать, будет ли он использовать прокси-сервер Android или нет. Это еще одна веская причина, по которой вам следует использовать VPN вместо прокси. С помощью VPN вы можете направить весь сетевой трафик приложения через VPN-соединение. Это лучший способ скрыть свой IP-адрес или получить доступ к заблокированным веб-сайтам, недоступным в вашей стране.
Этот процесс одинаков для всех современных версий Android, начиная с Android 4.0 и заканчивая Android 7.1. Некоторые производители устройств меняют внешний вид и функции экрана настроек Android, поэтому вы можете найти настройки Wi-Fi или прокси-сервера немного в другом месте.
Откройте приложение "Настройки" Android и нажмите "Wi-Fi", чтобы просмотреть список сетей Wi-Fi.
Нажмите и удерживайте имя сети Wi-Fi, для которой вы хотите изменить настройки прокси-сервера. Нажмите «Изменить сеть», когда появится меню.
Если вы еще не подключились к сети Wi-Fi, вам потребуется подключиться к сети Wi-Fi и ввести ее кодовую фразу, прежде чем вы сможете получить доступ к параметрам «Изменить сеть».
Разверните раздел «Дополнительные параметры» на этом экране. Коснитесь параметра «Прокси» и выберите «Нет» для отсутствия прокси-сервера, «Вручную» для ручного ввода настроек прокси-сервера или «Автоматическая настройка прокси-сервера» для автоматического определения подходящих настроек для вашей сети.
Функция «Автонастройка прокси-сервера» может быть недоступна в более ранних версиях Android.
Если вы выберете «Автонастройка прокси-сервера», Android предложит вам ввести адрес сценария автоматической настройки прокси-сервера, также известного как файл .PAC. Если вашей организации или поставщику прокси-услуг требуется файл .PAC, ваш сетевой администратор или поставщик услуг предоставит вам адрес файла .PAC, который необходимо ввести здесь.
В отличие от других операционных систем — Windows, macOS, iOS и даже собственной Chrome OS от Google — Android не поддерживает протокол автоматического обнаружения веб-прокси или WPAD. Это иногда используется в бизнес- или школьных сетях для автоматического распространения настроек прокси-сервера на устройства в сети. Если вы включите «Автонастройку прокси-сервера», ничего не произойдет, если вы также не предоставите адрес файла .PAC, в котором Android может получить настройки прокси-сервера.
В сети, использующей WPAD, вам придется либо указать Android на соответствующий сценарий автоматической настройки прокси-сервера, либо вручную ввести настройки прокси-сервера.
Нажмите «Сохранить», чтобы сохранить настройки по завершении.
Каждая сеть Wi-Fi имеет собственные настройки прокси-сервера. Даже после того, как вы включите прокси-сервер для одной сети Wi-Fi, другие сети Wi-Fi по-прежнему не будут использовать прокси-сервер по умолчанию. Повторите этот процесс, если вам нужно изменить настройки прокси-сервера для другой сети Wi-Fi.
- › Discord не работает? Вот как это проверить (и исправить)
- › Что означает XD и как вы его используете?
- ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)
- › Почему прозрачные чехлы для телефонов желтеют?
- › Как восстановить метки панели задач в Windows 11
- › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.
- › Как установить Google Play Маркет в Windows 11
Intune может поддерживать больше параметров, чем указано в этой статье. Не все настройки задокументированы и не будут задокументированы. Чтобы просмотреть параметры, которые вы можете настроить, создайте профиль конфигурации устройства и выберите Каталог параметров. Дополнительные сведения см. в Каталоге настроек.
Вы можете создать профиль с определенными настройками WiFi. Затем разверните этот профиль на клиентских устройствах Windows. Microsoft Intune предлагает множество функций, включая аутентификацию в вашей сети, использование общего ключа и многое другое.
В этой статье описаны некоторые из этих настроек.
Прежде чем начать
Эти настройки используют поставщика служб шифрования Wi-Fi.
Базовый профиль
Базовый или личный профили используют WPA/WPA2 для защиты подключения Wi-Fi на устройствах. Обычно WPA/WPA2 используется в домашних или личных сетях. Вы также можете добавить общий ключ для проверки подлинности соединения.
Тип Wi-Fi: выберите «Основной».
Имя Wi-Fi (SSID): сокращение от идентификатора набора услуг. Это значение является реальным именем беспроводной сети, к которой подключаются устройства. Однако при выборе подключения пользователи видят только настроенное вами имя подключения.
Имя подключения: введите понятное имя для этого подключения Wi-Fi. Вводимый вами текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите ContosoWiFi .
Подключаться автоматически, когда находятся в пределах досягаемости. Если выбрано значение Да, устройства подключаются автоматически, когда они находятся в пределах досягаемости этой сети. Если нет, устройства не подключаются автоматически.
Подключиться к более предпочтительной сети, если она доступна. Если устройства находятся в зоне действия более предпочтительной сети, выберите Да, чтобы использовать предпочтительную сеть. Выберите Нет, чтобы использовать сеть Wi-Fi в этом профиле конфигурации.
Например, вы создаете сеть Wi-Fi ContosoCorp и используете ContosoCorp в рамках этого профиля конфигурации. У вас также есть сеть Wi-Fi ContosoGuest в пределах досягаемости. Когда ваши корпоративные устройства находятся в пределах досягаемости, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом случае установите для свойства Подключаться к более предпочтительной сети, если доступно, значение Нет.
Подключаться к этой сети, даже если она не передает свой SSID. Выберите «Да», чтобы автоматически подключаться к вашей сети, даже если сеть скрыта. Это означает, что его идентификатор набора услуг (SSID) не транслируется публично. Выберите Нет, если вы не хотите, чтобы этот профиль конфигурации подключался к вашей скрытой сети.
Ограничение лимита подключений. Администратор может выбрать способ измерения сетевого трафика. Затем приложения могут настроить поведение своего сетевого трафика на основе этого параметра. Ваши варианты:
- Неограниченно: по умолчанию. Соединение не лимитируется, и нет ограничений на трафик.
- Фиксированный. Используйте этот параметр, если в сети настроен фиксированный лимит сетевого трафика. По достижении этого предела доступ к сети запрещается.
- Переменная: этот вариант используется, если сетевой трафик оплачивается побайтно (стоимость за байт).
Открыть (без аутентификации): используйте этот параметр, только если сеть не защищена.
WPA/WPA2-Personal: более безопасный вариант, который обычно используется для подключения к сети Wi-Fi. Для большей безопасности вы также можете ввести пароль общего ключа или сетевой ключ.
PSK одинаков для всех устройств, на которые настроен таргетинг профиля. Если ключ скомпрометирован, его может использовать любое устройство для подключения к сети Wi-Fi. Защитите свои PSK, чтобы избежать несанкционированного доступа.
Настройки прокси-сервера компании: выберите, чтобы использовать настройки прокси-сервера в вашей организации. Ваши варианты:
Нет: параметры прокси-сервера не настроены.
Дополнительную информацию о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывает сайт, не принадлежащий Microsoft).
Профиль предприятия
Корпоративные профили используют расширяемый протокол аутентификации (EAP) для аутентификации подключений Wi-Fi. EAP часто используется предприятиями, так как вы можете использовать сертификаты для проверки подлинности и защиты соединений. И настройте дополнительные параметры безопасности.
Тип Wi-Fi: выберите Enterprise.
Имя Wi-Fi (SSID): сокращение от идентификатора набора услуг. Это значение является реальным именем беспроводной сети, к которой подключаются устройства. Однако при выборе подключения пользователи видят только настроенное вами имя подключения.
Имя подключения: введите понятное имя для этого подключения Wi-Fi. Вводимый вами текст — это имя, которое пользователи видят при просмотре доступных подключений на своем устройстве. Например, введите ContosoWiFi .
Подключаться автоматически, когда находятся в пределах досягаемости. Если выбрано значение Да, устройства подключаются автоматически, когда они находятся в пределах досягаемости этой сети. Если нет, устройства не подключаются автоматически.
Подключиться к более предпочтительной сети, если она доступна. Если устройства находятся в зоне действия более предпочтительной сети, выберите Да, чтобы использовать предпочтительную сеть. Выберите Нет, чтобы использовать сеть Wi-Fi в этом профиле конфигурации.
Например, вы создаете сеть Wi-Fi ContosoCorp и используете ContosoCorp в рамках этого профиля конфигурации. У вас также есть сеть Wi-Fi ContosoGuest в пределах досягаемости. Когда ваши корпоративные устройства находятся в пределах досягаемости, вы хотите, чтобы они автоматически подключались к ContosoCorp. В этом случае установите для свойства Подключаться к более предпочтительной сети, если доступно, значение Нет.
Подключаться к этой сети, даже если она не транслирует свой SSID: выберите Да, чтобы профиль конфигурации автоматически подключался к вашей сети, даже если сеть скрыта (это означает, что ее SSID не транслируется публично). Выберите Нет, если вы не хотите, чтобы этот профиль конфигурации подключался к вашей скрытой сети.
Ограничение лимита подключений. Администратор может выбрать способ измерения сетевого трафика. Затем приложения могут настроить поведение своего сетевого трафика на основе этого параметра. Ваши варианты:
- Неограниченно: по умолчанию. Соединение не лимитируется, и нет ограничений на трафик.
- Фиксированный. Используйте этот параметр, если в сети настроен фиксированный лимит сетевого трафика. По достижении этого предела доступ к сети запрещается.
- Переменная. Используйте этот вариант, если сетевой трафик оплачивается за байт.
Режим аутентификации: выберите способ аутентификации профиля Wi-Fi на сервере Wi-Fi. Ваши варианты:
- Не настроено: Intune не изменяет и не обновляет этот параметр. По умолчанию используется аутентификация пользователя или компьютера.
- Пользователь: учетная запись пользователя, выполнившая вход на устройство, проходит аутентификацию в сети Wi-Fi.
- Компьютер: учетные данные устройства аутентифицируются в сети Wi-Fi.
- Пользователь или машина. Когда пользователь входит в систему на устройстве, учетные данные пользователя аутентифицируются в сети Wi-Fi. Если пользователи не вошли в систему, выполняется проверка подлинности учетных данных устройства.
- Гость: никакие учетные данные не связаны с сетью Wi-Fi. Аутентификация либо открыта, либо обрабатывается извне, например через веб-страницу.
Запоминать учетные данные при каждом входе в систему. Выберите, чтобы кэшировать учетные данные пользователя или если пользователи должны вводить их каждый раз при подключении к сети Wi-Fi. Ваши варианты:
- Не настроено: Intune не изменяет и не обновляет этот параметр. По умолчанию ОС может включить эту функцию и кэшировать учетные данные.
- Включить: учетные данные пользователя кэшируются при первом подключении пользователя к сети Wi-Fi. Кэшированные учетные данные используются для будущих подключений, и пользователям не нужно вводить их повторно.
- Отключить: учетные данные пользователя не запоминаются и не кэшируются. При подключении к Wi-Fi пользователи должны каждый раз вводить свои учетные данные.
Период аутентификации: введите количество секунд, которое устройства должны ждать после попытки аутентификации, от 1 до 3600. Если устройство не подключается за указанное время, аутентификация завершается ошибкой. Если оставить это значение пустым или пустым, используется 18 секунд.
Период задержки повторной попытки аутентификации: введите количество секунд между неудачной попыткой аутентификации и следующей попыткой аутентификации в диапазоне от 1 до 3600. Если оставить это значение пустым или пустым, используется 1 секунда.
Период начала: введите количество секунд ожидания перед отправкой сообщения EAPOL-Start от 1 до 3600. Если оставить это значение пустым или незаполненным, используется 5 секунд.
Максимум EAPOL-start: введите количество сообщений EAPOL-Start от 1 до 100. Если оставить это значение пустым или пустым, будет отправлено максимум 3 сообщения.
Максимум ошибок аутентификации. Введите максимальное количество ошибок аутентификации для этого набора учетных данных для аутентификации, от 1 до 100. Если оставить это значение пустым или пустым, используется 1 попытка.
Единый вход (SSO): позволяет настроить единый вход (SSO), при котором учетные данные используются совместно для входа на компьютер и в сеть Wi-Fi. Ваши варианты:
- Отключить: отключает режим единого входа. Пользователю необходимо пройти аутентификацию в сети отдельно.
- Включить до того, как пользователь войдет в систему. Используйте систему единого входа для аутентификации в сети непосредственно перед входом пользователя в систему.
- Включить после входа пользователя на устройство. Используйте систему единого входа для аутентификации в сети сразу после завершения процесса входа пользователя.
- Максимальное время для аутентификации до истечения времени ожидания. Введите максимальное количество секунд ожидания перед аутентификацией в сети в диапазоне от 1 до 120 секунд.
- Разрешить Windows запрашивать у пользователя дополнительные учетные данные для проверки подлинности. Значение «Да» позволяет системе Windows запрашивать у пользователя дополнительные учетные данные, если этого требует метод проверки подлинности. Выберите Нет, чтобы скрыть эти подсказки.
Включить кэширование парного главного ключа (PMK): выберите «Да», чтобы кэшировать PMK, используемый при аутентификации. Это кэширование обычно позволяет быстрее выполнять аутентификацию в сети. Выберите Нет, чтобы каждый раз при подключении к сети Wi-Fi принудительно подтверждать аутентификацию.
- Максимальное время хранения PMK в кеше. Введите количество минут, в течение которых парный главный ключ (PMK) хранится в кеше, от 5 до 1440 минут.
- Максимальное количество PMK, хранящихся в кеше: введите количество ключей, хранящихся в кеше, от 1 до 255.
- Включить предварительную аутентификацию. Предварительная аутентификация позволяет профилю пройти аутентификацию во всех точках доступа к сети в профиле перед подключением. При перемещении между точками доступа предварительная аутентификация позволяет быстрее повторно подключить пользователя или устройства. Выберите Да, чтобы профиль аутентифицировался во всех точках доступа этой сети, которые находятся в пределах досягаемости. Выберите Нет, чтобы требовать аутентификации пользователя или устройства для каждой точки доступа отдельно.
- Максимальное количество попыток предварительной аутентификации. Введите количество попыток предварительной аутентификации от 1 до 16.
Тип EAP: выберите тип расширяемого протокола аутентификации (EAP) для аутентификации защищенных беспроводных подключений. Ваши варианты:
EAP-SIM
EAP-TLS: также введите:
Имена серверов сертификатов: введите одно или несколько распространенных имен, используемых в сертификатах, выданных вашим доверенным центром сертификации (ЦС). Если вы введете эту информацию, вы сможете обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах, когда они подключаются к этой сети Wi-Fi.
Корневые сертификаты для проверки сервера: выберите профиль доверенного корневого сертификата, используемый для аутентификации подключения.
Метод аутентификации: выберите метод аутентификации, используемый клиентами вашего устройства. Ваши варианты:
- Сертификат SCEP. Выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, предоставляемое устройством серверу для проверки подлинности подключения.
- Сертификат PKCS. Выберите профиль сертификата клиента PKCS и доверенный корневой сертификат, которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство предоставляет серверу для проверки подлинности подключения.
- Производные учетные данные. Используйте сертификат, созданный на основе смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
EAP-TTLS: также введите:
Имена серверов сертификатов: введите одно или несколько распространенных имен, используемых в сертификатах, выданных вашим доверенным центром сертификации (ЦС). Если вы введете эту информацию, вы сможете обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах, когда они подключаются к этой сети Wi-Fi.
Корневые сертификаты для проверки сервера: выберите профиль доверенного корневого сертификата, используемый для аутентификации подключения.
Метод аутентификации: выберите метод аутентификации, используемый клиентами вашего устройства. Ваши варианты:
Имя пользователя и пароль: запрашивать у пользователя имя пользователя и пароль для аутентификации соединения. Также введите:
Метод без EAP (внутренняя идентификация): выберите способ проверки подлинности подключения. Убедитесь, что вы выбрали тот же протокол, который настроен в вашей сети Wi-Fi.
Ваши варианты: незашифрованный пароль (PAP), вызов рукопожатия (CHAP), Microsoft CHAP (MS-CHAP) и Microsoft CHAP версии 2 (MS-CHAP v2)
Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Сертификат SCEP: выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, предоставляемое устройством серверу для аутентификации соединения.
- Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Сертификат PKCS: выберите профиль сертификата клиента PKCS и доверенный корневой сертификат, которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство предоставляет серверу для проверки подлинности соединения.
- Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Производные учетные данные. Используйте сертификат, созданный на основе смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
Защищенный EAP (PEAP): также введите:
Имена серверов сертификатов: введите одно или несколько распространенных имен, используемых в сертификатах, выданных вашим доверенным центром сертификации (ЦС). Если вы введете эту информацию, вы сможете обойти диалоговое окно динамического доверия, отображаемое на пользовательских устройствах, когда они подключаются к этой сети Wi-Fi.
Корневой сертификат для проверки сервера: выберите профиль доверенного корневого сертификата, используемый для аутентификации подключения.
Выполнить проверку сервера: если установлено значение Да, на этапе 1 согласования PEAP устройства проверяют сертификат и сервер. Выберите Нет, чтобы заблокировать или предотвратить эту проверку. Если установлено значение Не настроено, Intune не изменяет и не обновляет этот параметр.
- Отключить пользовательские подсказки для проверки сервера: если установлено значение «Да», на этапе 1 согласования PEAP пользовательские подсказки с запросами на авторизацию новых серверов PEAP для доверенных центров сертификации не отображаются. Выберите Нет, чтобы отобразить подсказки. Если установлено значение Не настроено, Intune не изменяет и не обновляет этот параметр.
Требовать криптографическую привязку. Значение Да запрещает подключения к серверам PEAP, которые не используют криптопривязку во время согласования PEAP. Нет, не требует криптопривязки. Если установлено значение Не настроено, Intune не изменяет и не обновляет этот параметр.
Метод аутентификации: выберите метод аутентификации, используемый клиентами вашего устройства. Ваши варианты:
Имя пользователя и пароль: запрашивать у пользователя имя пользователя и пароль для аутентификации соединения. Также введите:
- Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Сертификат SCEP: выберите профиль сертификата клиента SCEP, который также развернут на устройстве. Этот сертификат представляет собой удостоверение, предоставляемое устройством серверу для аутентификации соединения.
- Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Сертификат PKCS: выберите профиль сертификата клиента PKCS и доверенный корневой сертификат, которые также развернуты на устройстве. Сертификат клиента — это удостоверение, которое устройство предоставляет серверу для проверки подлинности соединения.
- Конфиденциальность удостоверения (внешнее удостоверение): введите текст, отправляемый в ответ на запрос удостоверения EAP. Этот текст может быть любым значением. Во время аутентификации сначала отправляется это анонимное удостоверение, а затем по защищенному туннелю отправляется настоящее удостоверение.
Производные учетные данные. Используйте сертификат, созданный на основе смарт-карты пользователя. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
Настройки прокси-сервера компании: выберите, чтобы использовать настройки прокси-сервера в вашей организации. Ваши варианты:
Нет: параметры прокси-сервера не настроены.
Дополнительную информацию о файлах PAC см. в разделе Файл автоматической настройки прокси-сервера (PAC) (открывает сайт, не принадлежащий Microsoft).
Принудительное соответствие профиля Wi-Fi Федеральному стандарту обработки информации (FIPS). Выберите «Да» при проверке на соответствие стандарту FIPS 140-2. Этот стандарт требуется для всех федеральных правительственных учреждений США, которые используют системы безопасности на основе криптографии для защиты конфиденциальной, но несекретной информации, хранящейся в цифровом виде. Выберите Нет, чтобы не соответствовать требованиям FIPS.
Использовать импортированный файл настроек
Для любых параметров, недоступных в Intune, вы можете экспортировать параметры Wi-Fi с другого устройства Windows. Этот экспорт создает файл XML со всеми настройками. Затем импортируйте этот файл в Intune и используйте его в качестве профиля Wi-Fi. См. статью Экспорт и импорт настроек Wi-Fi для устройств Windows.
Дальнейшие шаги
Профиль создан, но может ничего не делать. Обязательно назначьте профиль и следите за его статусом.
Читайте также: