XenMobile Server

Wi-Fi 设备策略

可通过使用配置 > 设备策略页面,在 XenMobile 中创建新的 Wi-Fi 设备策略或编辑现有 Wi-Fi 设备策略。借助 Wi-Fi 策略,您可以通过定义以下项目来管理用户将其设备连接到 Wi-Fi 网络的方式:

  • 网络名称和类型
  • 身份验证和安全策略
  • 代理服务器使用
  • 与 WiFi 有关的其他详细信息

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

必备条件

在创建策略之前,请务必完成以下步骤:

  • 创建计划使用的任何交付组。
  • 了解网络名称和类型。
  • 了解计划使用的任何身份验证或安全类型。
  • 了解可能需要的任何代理服务器信息。
  • 安装所有必需的 CA 证书。
  • 具有所有必需共享密钥。
  • 为基于证书的身份验证创建 PKI 实体。
  • 配置凭据提供程序。

有关详细信息,请参阅身份验证及文中各节。

iOS 设置

“设备策略”配置屏幕图

  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动加入(自动加入此无线网络): 选择是否自动加入网络。如果 iOS 设备已连接到另一个网络,则不会加入此网络。在设备自动连接之前,用户必须断开与以前的网络的连接。默认值为
  • 使用静态 MAC 地址: MAC 地址是设备在网络中传输的唯一标识符。为了提高隐私性,iOS 和 iPadOS 设备每次连接到网络时都可以使用不同的 MAC 地址。如果设置为,设备在连接到此网络时将始终使用相同的 MAC 地址。如果设置为,设备每次连接到此网络时都将使用不同的 MAC 地址。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2 Enterprise:需要配置简单证书注册协议 (Simple Certificate Enrollment Protocol , SCEP) 才能使用 WPA-2 Enterprise。XenMobile 之后可以将证书发送到设备以对 Wi-Fi 服务器进行身份验证。要配置 SCEP,请转到设置 > 凭据提供程序的“分发”页面。有关详细信息,请参阅凭据提供程序
    • 任何(Enterprise)

以下各节列出了要为上述各个连接类型配置的选项。

适用于 iOS 的“WPA”、“WPA Personal”、“任何(Personal)”设置

密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 iOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“任何(Enterprise)”设置

选择其中的任何设置时,其设置将在代理服务器设置后面列出。

  • 协议,接受 EAP 类型: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 协议,EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否要使用预配 PAC。
      • 如果选择预配 PAC,请选择是否允许在最终用户客户端与 XenMobile 之间建立匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为
  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名/IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为。此选项仅适用于 iOS 7.0 及更高版本。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。

macOS 设置

“设备策略”配置屏幕图

  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏网络: 选择是否要隐藏网络。
  • 自动加入此无线网络: 选择是否自动加入网络。如果设备已连接到另一个网络,则不会加入此网络。在设备自动连接之前,用户必须断开与以前的网络的连接。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2 Enterprise
    • 任何(Enterprise)
  • 优先级:如果您有多个网络,请在优先级字段中键入一个数字以设置网络连接的优先级。设备选择编号最低的网络。

以下各节列出了要为上述各个连接类型配置的选项。

适用于 macOS 的“WPA”、“WPA Personal”、“WPA 2 Personal”、“任何(Personal)”设置

  • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 macOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“任何(Enterprise)”设置

选择其中的任何设置时,其设置将在代理服务器设置后面列出。

  • 协议,接受 EAP 类型: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 协议,EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否使用预配 PAC。
      • 如果选择预配 PAC,请选择是否允许在最终用户客户端与 XenMobile 之间建立匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入要添加的服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为
  • 用作登录窗口配置: 选择是否使用在登录窗口中输入的同一凭据对用户进行身份验证。
  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名/IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为。此选项仅适用于 iOS 7.0 及更高版本。

Android 设置

“设备策略”配置屏幕图

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 Wi-Fi 连接的安全类型。
    • 开放
    • 共享虚拟机
    • WPA
    • WPA-PSK
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Android 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。

适用于 Android 的“WPA”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择 TKIPAES。默认值为 TKIP
  • 密码: 键入可选密码。

适用于 Android 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。

Android Enterprise 设置

Wi-Fi 策略 Android Enterprise 的示意图

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 Wi-Fi 连接的安全类型。
    • 开放
    • 共享虚拟机
    • WPA
    • WPA-PSK
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Android Enterprise 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。

适用于 Android Enterprise 的“WPA”、“WPA-PSK”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择“TKIP”或“AES”。默认值为 TKIP。
  • 密码: 键入可选密码。

适用于 Android Enterprise 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 域: 键入所需的域名。有关详细信息,请参阅域名

    注意:

    在运行 Android 13 或更高版本的设备上配置 Wi-Fi 策略时,必须强制更新 CA 证书字段。如果未对其进行更新,配置将失败。

  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。

Windows 10 和 Windows 11 设置

“设备策略”配置屏幕图

  • 身份验证: 在下拉列表中,单击用于 Wi-Fi 连接的安全类型。
    • 开放
    • WPA Personal
    • WPA-2 Personal
    • WPA Enterprise
    • WPA-2 Enterprise:需要配置 SCEP 才能使用 WPA-2 Enterprise。通过 SCEP 配置,XenMobile 可以将证书发送到设备以对 Wi-Fi 服务器进行身份验证。要配置 SCEP,请转到设置 > 凭据提供程序分发页面。有关详细信息,请参阅凭据提供程序

以下各节列出了要为上述各个连接类型配置的选项。

打开 Windows 10 和 Windows 11 的设置

  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 和 Windows 11 的“WPA Personal”、“WPA-2 Personal”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 和 Windows 11 的“WPA-2 Enterprise”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • EAP 类型: 在列表中,选择 PEAP-MSCHAPv2TLS 以设置 EAP 类型。默认值为 PEAP-MSCHAPv2
  • 即使隐藏,也进行连接: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。
  • 通过 SCEP 推送证书: 选择是否使用简单证书注册协议 (SCEP) 将证书推送到用户设备。
  • SCEP 的凭据提供程序: 在列表中,选择 SCEP 凭据提供程序。默认值为
Wi-Fi 设备策略