WiFi 设备策略

借助 WiFi 设备策略,您可以通过定义以下项目来管理用户将其设备连接到 WiFi 网络的方式:

  • 网络名称和类型
  • 身份验证和安全策略
  • 代理服务器使用
  • 其他 WiFi 相关详细信息

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

必备条件

在创建策略之前,请完成以下步骤:

  • 创建计划使用的任何交付组。
  • 了解网络名称和类型。
  • 了解计划使用的任何身份验证或安全类型。
  • 了解可能需要的任何代理服务器信息。
  • 安装所有必需的 CA 证书。
  • 具有所有必需共享密钥。
  • 为基于证书的身份验证创建 PKI 实体。
  • 配置凭据提供程序。

有关详细信息,请参阅身份验证及文中各小节。

iOS 和 tvOS 设置

“设备策略”配置屏幕图

  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动加入(自动加入此无线网络): 选择是否自动加入网络。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2 Enterprise:对于最新版本的 Windows 10,需要配置 SCEP 才能使用 WPA-2 Enterprise。Endpoint Management 之后可以将证书发送到设备以对 WiFi 服务器进行身份验证。要配置 SCEP, 请转至> 凭据提供程序的 “设置” 的 “分发” 页面。有关详细信息,请参阅凭据提供程序
    • 任何(Enterprise)

以下各节列出了要为上述各个连接类型配置的选项。

适用于 iOS 的“WPA”、“WPA Personal”、“任何(Personal)”设置

密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 iOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“任何(Enterprise)”设置

选择其中的任何设置时,其设置将在代理服务器设置后面列出。

  • 协议,接受 EAP 类型: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 协议,EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否要使用预配 PAC。
      • 如果选择预配 PAC,请选择是否允许在最终用户客户端与 Endpoint Management 之间建立匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为 ““。
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为
  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名/IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为

macOS 设置

“设备策略”配置屏幕图

  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动加入(自动加入此无线网络): 选择是否自动加入网络。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2 Enterprise
    • 任何(Enterprise)

以下各节列出了要为上述各个连接类型配置的选项。

适用于 macOS 的“WPA”、“WPA Personal”、“WPA 2 Personal”、“任何(Personal)”设置

  • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 macOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“任何(Enterprise)”设置

选择其中的任何设置时,其设置将在代理服务器设置后面列出。

  • 协议,接受 EAP 类型: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 协议,EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否使用预配 PAC。
      • 如果选择预配 PAC, 请选择是否允许在最终用户客户端与 Endpoint Management 之间建立匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为 ““。
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入要添加的服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为
  • 用作登录窗口配置: 选择是否使用在登录窗口中输入的同一凭据对用户进行身份验证。
  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名/IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为

Android 设置

“设备策略”配置屏幕图

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 WiFi 连接的安全类型。
    • 开放
    • 共享虚拟机
    • WPA
    • WPA-PSK
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Android 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。

适用于 Android 的“WPA”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择 TKIPAES。默认值为 TKIP
  • 密码: 键入可选密码。

适用于 Android 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为 ““。
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。

Android Enterprise 设置

“设备策略”配置屏幕图

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 WiFi 连接的安全类型。
    • 开放
    • 共享虚拟机
    • WPA
    • WPA-PSK
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。默认值为打开

适用于 Android Enterprise 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。

适用于 Android 的“WPA”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择 TKIPAES。默认值为 TKIP
  • 密码: 键入可选密码。

适用于 Android 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为 ““。
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。

Windows Phone 设置

“设备策略”配置屏幕图

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 WiFi 连接的安全类型。
    • 开放
    • WPA Personal
    • WPA-2 Personal
    • WPA-2 Enterprise:对于最新版本的 Windows 10,需要配置 SCEP 才能使用 WPA-2 Enterprise。通过 SCEP 配置,Endpoint Management 可以将证书发送到设备以对 WiFi 服务器进行身份验证。要配置 SCEP, 请转至> 凭据提供程序的 “设置” 的 “分发” 页面。有关详细信息,请参阅凭据提供程序

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Windows Phone 的“开放”设置

  • 即使隐藏,也进行连接: 选择在网络隐藏时是否进行连接。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows Phone 的“WPA Personal”、“WPA-2 Personal”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • 即使隐藏,也进行连接: 选择在网络隐藏时是否进行连接。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows Phone 的“WPA-2 Enterprise”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • EAP 类型: 在列表中,选择 PEAP-MSCHAPv2TLS 以设置 EAP 类型。默认值为 PEAP-MSCHAPv2
  • 即使隐藏,也进行连接: 选择在网络隐藏时是否进行连接。
  • 自动连接: 选择是否自动连接到网络。
  • 通过 SCEP 推送证书: 选择是否通过简单证书注册协议 (SCEP) 将证书推送到用户设备。
  • SCEP 的凭据提供程序: 在列表中,选择 SCEP 凭据提供程序。默认值为 ““。
  • 代理服务器设置
    • 主机名或 IP 地址: 键入代理服务器的名称或 IP 地址。
    • 端口: 键入代理服务器的端口号。

Windows 10 设置

“设备策略”配置屏幕图

  • 身份验证: 在列表中,单击用于 WiFi 连接的安全类型。
    • 开放
    • WPA Personal
    • WPA-2 Personal
    • WPA Enterprise
    • WPA-2 Enterprise:对于最新版本的 Windows 10,需要配置 SCEP 才能使用 WPA-2 Enterprise。通过 SCEP 配置,Endpoint Management 可以将证书发送到设备以对 WiFi 服务器进行身份验证。要配置 SCEP, 请转至> 凭据提供程序的 “设置” 的 “分发” 页面。有关详细信息,请参阅凭据提供程序

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Windows 10 的“开放”设置

  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 的“WPA Personal”、“WPA-2 Personal”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 的“WPA-2 Enterprise”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • EAP 类型: 在列表中,选择 PEAP-MSCHAPv2TLS 以设置 EAP 类型。默认值为 PEAP-MSCHAPv2
  • 即使隐藏,也进行连接: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。
  • 通过 SCEP 推送证书: 选择是否使用简单证书注册协议 (SCEP) 将证书推送到用户设备。
  • SCEP 的凭据提供程序: 在列表中,选择 SCEP 凭据提供程序。默认值为 ““。

Chrome OS 设置

“设备策略”配置屏幕图

  • 名称: 键入此连接的用户友好说明。此设置为必填项。
  • 优先级: 键入此网络的建议优先级值。此值可以确定所配置的多个网络可用时要连接到的网络。
  • 允许网关 ARP 轮询: 如果设置为,此设置将允许向默认网关发送 ARP 消息以监视当前连接的状态。默认值为
  • 自动连接: 如果设置为,在范围内时设备将自动连接到网络。默认值为
  • 隐藏的 SSID:设置为时,将不广播网络的 SSID。默认值为
  • 漫游阈值: 键入此网络的漫游阈值。漫游阈值是指信号噪声值(单位为 dB),低于此值时,设备将尝试漫游到新网络。
  • 选择安全类型: 选择对此 WiFi 连接使用的安全类型。选项为WPA-PSK。默认值为

Citrix Ready Workspace Hub 设置

将设备配置为连接到 2.4 GHz WiFi 网络:

注意:

如果您的 Citrix Ready workspace hub 设备是在 Raspberry Pi 3 模型 B + 平台或更高版本上构建的, 则可以连接到 5 GHz 的 WiFi 网络。

  • 名称: 键入此连接的用户友好说明。此设置为必填项。
  • 身份验证:如果打开, 则不需要进行身份验证。如果为 WPA-2 Enterprise,请为设备配置身份验证设置。默认值为打开
  • EAP 类型:选择身份验证协议类型。如果为自动, workspace hub 设备将自动确定身份验证协议。您还可以选择PEAP-MSCHAPv2。默认值为自动
  • 身份: 键入用于身份验证的用户名。
  • 密码: 键入用于身份验证的密码。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。

必须首先使用以太网连接 WiFi 策略, 才能将其推送到设备上。设备重新启动后, 将自动连接到 WiFi。