Stratégie Wi-Fi
Vous pouvez créer ou modifier des stratégies Wi-Fi dans XenMobile sur la page Configurer > Stratégies d’appareil. Les stratégies Wi-Fi vous permettent de gérer la manière dont les utilisateurs connectent leurs appareils à des réseaux Wi-Fi en définissant les éléments suivants :
- Noms et types de réseau
- Stratégies d’authentification et de sécurité
- Utilisation de serveur proxy
- Autres détails liés au Wi-Fi
Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.
Logiciels requis
Avant de créer une stratégie, vous devez effectuer les étapes suivantes :
- Créer les groupes de mise à disposition que vous voulez utiliser.
- Notez le nom et type de réseau.
- Déterminez les types d’authentification ou de sécurité que vous voulez utiliser.
- Déterminez les informations de serveur proxy dont vous avez besoin.
- Installer les certificats d’autorité de certification nécessaires.
- Vérifiez que vous disposez des clés partagées nécessaires.
- Créez l’entité PKI pour l’authentification par certificat.
- Configurez les fournisseurs d’informations d’identification.
Pour de plus amples informations, consultez la section Authentification et ses sous-articles.
Paramètres iOS
- Type de réseau : dans la liste, cliquez sur Standard, Point d’accès d’ancienne génération ou Hotspot 2.0 pour définir le type de réseau que vous voulez utiliser.
- Nom du réseau : entrez le SSID qui est affiché dans la liste des réseaux disponibles pour l’appareil. Ne s’applique pas à Hotspot 2.0.
- Réseau masqué (activer si le réseau est ouvert ou désactivé) : sélectionnez cette option pour spécifier si le réseau est masqué.
- Rejoindre automatiquement (Rejoindre automatiquement ce réseau sans fil) : sélectionnez cette option pour spécifier si le réseau est rejoint automatiquement. Si un appareil iOS est déjà connecté à un autre réseau, il ne rejoint pas ce réseau. L’utilisateur doit se déconnecter du réseau précédent avant que l’appareil ne se connecte automatiquement. La valeur par défaut est Activé.
- Utiliser adresse MAC statique : les adresses MAC sont des identifiants uniques qu’un appareil transmet au sein d’un réseau. Pour améliorer la confidentialité, les appareils iOS et iPadOS peuvent utiliser une adresse MAC différente chaque fois qu’ils se connectent à un réseau. Si cette option est activée, l’appareil utilise toujours la même adresse MAC lors de la connexion à ce réseau. Si cette option est désactivée, l’appareil utilise une adresse MAC différente chaque fois qu’il se connecte à ce réseau. La valeur par défaut est Désactivé.
-
Type de sécurité : dans la liste, choisissez le type de sécurité que vous voulez utiliser. Ne s’applique pas à Hotspot 2.0.
- Aucun : ne requiert aucune configuration supplémentaire.
- WEP
- WPA/WPA2 Personnel
- Tous (Personnel)
- WEP Enterprise
- WPA/WPA2 Enterprise : l’utilisation de WPA-2 Entreprise nécessite que vous configuriez le protocole SCEP (Protocole d’inscription de certificats simple). XenMobile peut ensuite envoyer le certificat aux appareils pour l’authentification auprès du serveur Wi-Fi. Pour configurer SCEP, accédez à la page Distribution dans Paramètres > Fournisseurs d’informations d’identification. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
- Tous (Entreprise)
Les sections suivantes répertorient les options à configurer pour chaque type de connexion suivante.
Paramètres WPA, WPA Personnel, Tous (Personnel) pour iOS
Mot de passe : entrez un mot de passe (facultatif). Si vous laissez ce champ vide, les utilisateurs peuvent être invités à entrer leurs mots de passe lorsqu’ils ouvrent une session.
Paramètres WEP Entreprise, WPA Entreprise, WPA2 Entreprise, Tous (Entreprise) pour iOS
Lorsque vous sélectionnez l’un de ces paramètres, leurs paramètres sont répertoriés après Paramètres du serveur proxy.
- Protocoles, types EAP acceptés : activez les types EAP que vous souhaitez prendre en charge, puis configurez les paramètres associés. La valeur par défaut est Désactivé pour chaque type EAP disponible.
- Authentification interne (TTLS) : requis uniquement lorsque vous activez TTLS. Dans la liste, choisissez la méthode d’authentification interne à utiliser. Les options possibles sont : PAP, CHAP, MSCHAP ou MSCHAPv2. La valeur par défaut est MSCHAPv2.
-
Protocoles, EAP-FAST : indiquez si vous souhaitez utiliser les informations d’identification d’accès protégé (PAC).
- Si vous sélectionnez Utiliser PAC, indiquez si vous voulez utiliser un provisioning de PAC.
- Si vous sélectionnez Provisioning de PAC, indiquez si vous souhaitez autoriser une négociation TLS anonyme entre le client et XenMobile.
- Provisioning du PAC de manière anonyme
- Si vous sélectionnez Provisioning de PAC, indiquez si vous souhaitez autoriser une négociation TLS anonyme entre le client et XenMobile.
- Si vous sélectionnez Utiliser PAC, indiquez si vous voulez utiliser un provisioning de PAC.
-
Authentification :
- Nom d’utilisateur : entrez un nom d’utilisateur.
- Mot de passe par connexion : indiquez si un mot de passe sera exigé chaque fois que les utilisateurs ouvriront une session.
- Mot de passe : entrez un mot de passe (facultatif). Si vous laissez ce champ vide, les utilisateurs peuvent être invités à entrer leurs mots de passe lorsqu’ils ouvrent une session.
- Infos d’identification de l’identité (infos d’identification magasin de clés ou PKI) : dans la liste, cliquez sur le type d’informations d’identification de l’identité. La valeur par défaut est Aucun.
- Identité externe : requis uniquement lorsque vous activez PEAP, TTLS ou EAP-FAST. Entrez le nom d’utilisateur visible en externe. Vous pouvez augmenter la sécurité en tapant un terme générique comme « anonyme » de façon à ce que le nom d’utilisateur ne soit pas être visible.
- Requiert un certificat TLS : sélectionnez cette option pour exiger un certificat TLS.
-
Confiance
-
Certificats approuvés : pour ajouter un certificat approuvé, cliquez sur Ajouter et, pour chaque certificat que vous souhaitez ajouter, procédez comme suit :
- Application : dans la liste, choisissez l’application que vous souhaitez ajouter.
- Cliquez sur Enregistrer pour enregistrer le certificat ou sur Annuler.
-
Noms de certificats serveur de confiance : pour ajouter des noms communs de certificat de serveur approuvés, cliquez sur Ajouter et, pour chaque nom que vous souhaitez ajouter, procédez comme suit :
- Certificat : entrez le nom du certificat de serveur. Vous pouvez utiliser des caractères génériques pour spécifier le nom, comme wpa.*.example.com.
- Cliquez sur Enregistrer pour enregistrer le nom du certificat ou sur Annuler.
-
Certificats approuvés : pour ajouter un certificat approuvé, cliquez sur Ajouter et, pour chaque certificat que vous souhaitez ajouter, procédez comme suit :
- Autoriser les exceptions de fiabilité : indiquez si vous souhaitez que la boîte de dialogue d’approbation de certificat s’affiche lorsqu’un certificat n’est pas approuvé. La valeur par défaut est Activé.
-
Paramètres du serveur proxy
- Configuration du proxy : dans la liste, cliquez sur Aucun, Manuel ou Automatique pour définir la façon dont la connexion VPN transite via un serveur proxy et configurez des options supplémentaires. La valeur par défaut est Aucun, ce qui n’exige aucune configuration supplémentaire.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
- Nom d’hôte/adresse IP : entrez le nom d’hôte ou l’adresse IP du serveur proxy.
- Port : entrez le numéro de port du serveur proxy.
- Nom d’utilisateur : entrez un nom d’utilisateur pour l’authentification auprès du serveur proxy (facultatif).
- Mot de passe : entrez un mot de passe pour l’authentification auprès du serveur proxy (facultatif).
- Si vous avez sélectionné Automatique, configurez les paramètres suivants :
- URL du serveur : entrez l’adresse URL du fichier PAC qui définit la configuration proxy.
- Autoriser la connexion directe si le PAC est injoignable : indiquez si les utilisateurs sont autorisés à se connecter directement à la destination si le fichier PAC est inaccessible. La valeur par défaut est Activé. Cette option est disponible uniquement sur iOS 7.0 et versions ultérieures.
-
Paramètres de stratégie
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
- Sélectionner une date : cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
- Délai avant suppression (en heures) : saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu. Disponible uniquement pour iOS 6.0 et versions ultérieures.
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
Paramètres macOS
- Type de réseau : dans la liste, cliquez sur Standard, Point d’accès d’ancienne génération ou Hotspot 2.0 pour définir le type de réseau que vous voulez utiliser.
- Nom du réseau : entrez le SSID qui est affiché dans la liste des réseaux disponibles pour l’appareil. Ne s’applique pas à Hotspot 2.0.
- Masquer le réseau : choisissez si vous souhaitez masquer le réseau.
- Rejoindre automatiquement ce réseau sans fil : sélectionnez cette option pour spécifier si le réseau est rejoint automatiquement. Si un appareil est déjà connecté à un autre réseau, il ne rejoint pas ce réseau. L’utilisateur doit se déconnecter du réseau précédent avant que l’appareil ne se connecte automatiquement. La valeur par défaut est Activé.
-
Type de sécurité : dans la liste, choisissez le type de sécurité que vous voulez utiliser. Ne s’applique pas à Hotspot 2.0.
- Aucun : ne requiert aucune configuration supplémentaire.
- WEP
- WPA/WPA2 Personnel
- Tous (Personnel)
- WEP Enterprise
- WPA/WPA2 Enterprise
- Tous (Entreprise)
- Priorité : si vous disposez de plusieurs réseaux, tapez un numéro dans le champ Priorité pour définir la priorité de la connexion réseau. L’appareil choisit le réseau avec le numéro le plus bas.
Les sections suivantes répertorient les options à configurer pour chaque type de connexion suivante.
Paramètres WPA, WPA Personnel, WPA 2 Personnel, Tous (Personnel) pour macOS
- Mot de passe : entrez un mot de passe (facultatif). Si vous laissez ce champ vide, les utilisateurs peuvent être invités à entrer leurs mots de passe lorsqu’ils ouvrent une session.
Paramètres WEP Entreprise, WPA Entreprise, WPA2 Entreprise, Tous (Entreprise) pour macOS
Lorsque vous sélectionnez l’un de ces paramètres, leurs paramètres sont répertoriés après Paramètres du serveur proxy.
- Protocoles, types EAP acceptés : activez les types EAP que vous souhaitez prendre en charge, puis configurez les paramètres associés. La valeur par défaut est Désactivé pour chaque type EAP disponible.
- Authentification interne (TTLS) : requis uniquement lorsque vous activez TTLS. Dans la liste, choisissez la méthode d’authentification interne à utiliser. Les options possibles sont : PAP, CHAP, MSCHAP ou MSCHAPv2. La valeur par défaut est MSCHAPv2.
-
Protocoles, EAP-FAST : indiquez si vous souhaitez utiliser les informations d’identification d’accès protégé (PAC).
- Si vous sélectionnez Utiliser PAC, indiquez si vous voulez utiliser un provisioning de PAC.
- Si vous sélectionnez Provisioning de PAC, indiquez si vous souhaitez autoriser une négociation TLS anonyme entre le client et XenMobile.
- Provisioning du PAC de manière anonyme
- Si vous sélectionnez Provisioning de PAC, indiquez si vous souhaitez autoriser une négociation TLS anonyme entre le client et XenMobile.
- Si vous sélectionnez Utiliser PAC, indiquez si vous voulez utiliser un provisioning de PAC.
-
Authentification :
- Nom d’utilisateur : entrez un nom d’utilisateur.
- Mot de passe par connexion : indiquez si un mot de passe sera exigé chaque fois que les utilisateurs ouvriront une session.
- Mot de passe : entrez un mot de passe (facultatif). Si vous laissez ce champ vide, les utilisateurs peuvent être invités à entrer leurs mots de passe lorsqu’ils ouvrent une session.
- Infos d’identification de l’identité (infos d’identification magasin de clés ou PKI) : dans la liste, cliquez sur le type d’informations d’identification de l’identité. La valeur par défaut est Aucun.
- Identité externe : requis uniquement lorsque vous activez PEAP, TTLS ou EAP-FAST. Entrez le nom d’utilisateur visible en externe. Vous pouvez augmenter la sécurité en tapant un terme générique comme « anonyme » de façon à ce que le nom d’utilisateur ne soit pas être visible.
- Requiert un certificat TLS : sélectionnez cette option pour exiger un certificat TLS.
-
Confiance
-
Certificats approuvés : pour ajouter un certificat approuvé, cliquez sur Ajouter et, pour chaque certificat que vous souhaitez ajouter, procédez comme suit :
- Application : dans la liste, choisissez l’application que vous souhaitez ajouter.
- Cliquez sur Enregistrer pour enregistrer le certificat ou sur Annuler.
-
Noms de certificats serveur de confiance : pour ajouter des noms communs de certificat de serveur approuvés, cliquez sur Ajouter et, pour chaque nom que vous souhaitez ajouter, procédez comme suit :
- Certificat : entrez le nom du certificat de serveur que vous souhaitez ajouter. Vous pouvez utiliser des caractères génériques pour spécifier le nom, comme wpa.*.example.com.
- Cliquez sur Enregistrer pour enregistrer le nom du certificat ou sur Annuler.
-
Certificats approuvés : pour ajouter un certificat approuvé, cliquez sur Ajouter et, pour chaque certificat que vous souhaitez ajouter, procédez comme suit :
- Autoriser les exceptions de fiabilité : indiquez si vous souhaitez que la boîte de dialogue d’approbation de certificat s’affiche lorsqu’un certificat n’est pas approuvé. La valeur par défaut est Activé.
- Utiliser comme configuration de fenêtre de connexion : indiquez si vous souhaitez utiliser les informations d’identification saisies dans la fenêtre d’ouverture de session pour l’authentification de l’utilisateur.
-
Paramètres du serveur proxy
- Configuration du proxy : dans la liste, cliquez sur Aucun, Manuel ou Automatique pour définir la façon dont la connexion VPN transite via un serveur proxy et configurez des options supplémentaires. La valeur par défaut est Aucun, ce qui n’exige aucune configuration supplémentaire.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
- Nom d’hôte/adresse IP : entrez le nom d’hôte ou l’adresse IP du serveur proxy.
- Port : entrez le numéro de port du serveur proxy.
- Nom d’utilisateur : entrez un nom d’utilisateur pour l’authentification auprès du serveur proxy (facultatif).
- Mot de passe : entrez un mot de passe pour l’authentification auprès du serveur proxy (facultatif).
- Si vous avez sélectionné Automatique, configurez les paramètres suivants :
- URL du serveur : entrez l’adresse URL du fichier PAC qui définit la configuration proxy.
- Autoriser la connexion directe si le PAC est injoignable : indiquez si les utilisateurs sont autorisés à se connecter directement à la destination si le fichier PAC est inaccessible. La valeur par défaut est Activé. Cette option est disponible uniquement sur iOS 7.0 et versions ultérieures.
Paramètres Android
- Nom du réseau : entrez le SSID qui figure dans la liste des réseaux disponibles sur l’appareil de l’utilisateur.
-
Authentification : dans la liste, choisissez le type de sécurité à utiliser avec la connexion Wi-Fi.
- Open
- Partagé
- WPA
- WPA-PSK
- WPA2
- WPA2-PSK
- 802.1x EAP
Les sections suivantes répertorient les options à configurer pour chaque type de connexion suivante.
Paramètres ouverts partagés pour Android
- Cryptage : dans la liste, choisissez Désactivé ou WEP. La valeur par défaut est WEP.
- Mot de passe : entrez un mot de passe (facultatif).
Paramètres WPA, WPA-PSK, WPA2, WPA2-PSK pour Android
- Cryptage : dans la liste, sélectionnez TKIP ou AES. La valeur par défaut est TKIP.
- Mot de passe : entrez un mot de passe (facultatif).
Paramètres 802.1x pour Android
- Type EAP : dans la liste, choisissez PEAP, TLS ou TTLS. La valeur par défaut est PEAP.
- Mot de passe : entrez un mot de passe (facultatif).
- Authentification phase 2 : dans la liste, choisissez Aucun, PAP, MSCHAP, MSCHAPPv2 ou GTC. La valeur par défaut est PAP.
- Identité : entrez le nom d’utilisateur et le domaine (facultatif).
- Anonyme : entrez le nom d’utilisateur visible en externe (facultatif). Vous pouvez augmenter la sécurité en tapant un terme générique comme « anonyme » de façon à ce que le nom d’utilisateur ne soit pas être visible.
- Certificat CA : dans la liste, choisissez le certificat à utiliser.
- Infos d’identification de l’identité : dans la liste, choisissez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Réseau masqué (activer si le réseau est ouvert ou désactivé) : sélectionnez cette option pour spécifier si le réseau est masqué.
Paramètres Android Enterprise
- Nom du réseau : entrez le SSID qui figure dans la liste des réseaux disponibles sur l’appareil de l’utilisateur.
-
Authentification : dans la liste, choisissez le type de sécurité à utiliser avec la connexion Wi-Fi.
- Open
- Partagé
- WPA
- WPA-PSK
- WPA2
- WPA2-PSK
- 802.1x EAP
Les sections suivantes répertorient les options à configurer pour chaque type de connexion suivante.
Paramètres ouverts partagés pour Android Enterprise
- Cryptage : dans la liste, choisissez Désactivé ou WEP. La valeur par défaut est WEP.
- Mot de passe : entrez un mot de passe (facultatif).
Paramètres WPA, WPA-PSK, WPA2, WPA2-PSK pour Android Enterprise
- Cryptage : dans la liste, choisissez TKIP ou AES. La valeur par défaut est TKIP.
- Mot de passe : entrez un mot de passe (facultatif).
Paramètres 802.1x pour Android Enterprise
- Type EAP : dans la liste, choisissez PEAP, TLS ou TTLS. La valeur par défaut est PEAP.
- Mot de passe : entrez un mot de passe (facultatif).
- Authentification phase 2 : dans la liste, choisissez Aucun, PAP, MSCHAP, MSCHAPPv2 ou GTC. La valeur par défaut est PAP.
- Identité : entrez le nom d’utilisateur et le domaine (facultatif).
- Anonyme : entrez le nom d’utilisateur visible en externe (facultatif). Vous pouvez augmenter la sécurité en tapant un terme générique comme « anonyme » de façon à ce que le nom d’utilisateur ne soit pas visible.
- Certificat CA : dans la liste, choisissez le certificat à utiliser.
-
Domaine : saisissez le nom de domaine requis. Pour plus d’informations, voir [Domaine](https://developer.android.com/reference/android/net/wifi/WifiEnterpriseConfig#setDomainSuffixMatch(java.lang.String).
Remarque :
Lorsque vous configurez la stratégie Wi-Fi sur les appareils fonctionnant sous Android 13 ou une version ultérieure, les champs Certificat CA et Domaine doivent être obligatoirement mis à jour. S’ils ne sont pas mis à jour, la configuration échouera.
- Infos d’identification de l’identité : dans la liste, choisissez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Réseau masqué (activer si le réseau est ouvert ou désactivé) : sélectionnez cette option pour spécifier si le réseau est masqué.
Paramètres de Windows 10 et Windows 11
-
Authentification : dans la liste déroulante, cliquez sur le type de sécurité à utiliser avec la connexion Wi-Fi.
- Open
- WPA Personnel
- WPA-2 Personnel
- WPA Entreprise
- WPA-2 Enterprise : l’utilisation de WPA-2 Enterprise nécessite que vous configuriez SCEP. La configuration SCEP permet à XenMobile d’envoyer le certificat aux appareils pour l’authentification auprès du serveur Wi-Fi. Pour configurer SCEP, accédez à la page Distribution dans Paramètres > Fournisseurs d’identités. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
Les sections suivantes répertorient les options à configurer pour chaque type de connexion suivante.
Paramètres ouverts pour Windows 10 et Windows 11
- Réseau masqué (activer si le réseau est ouvert ou désactivé) : sélectionnez cette option pour spécifier si le réseau est masqué.
- Se connecter automatiquement : sélectionnez cette option si vous souhaitez vous connecter au réseau automatiquement.
Paramètres WPA Personnel, WPA-2 Personnel pour Windows 10 et Windows 11
- Cryptage : dans la liste, choisissez AES ou TKIP pour définir le type de cryptage. La valeur par défaut est AES.
- Réseau masqué (activer si le réseau est ouvert ou désactivé) : sélectionnez cette option pour spécifier si le réseau est masqué.
- Se connecter automatiquement : sélectionnez cette option si vous souhaitez vous connecter au réseau automatiquement.
Paramètres WPA-2 Enterprise pour Windows 10 et Windows 11
- Cryptage : dans la liste, choisissez AES ou TKIP pour définir le type de cryptage. La valeur par défaut est AES.
- Type EAP : dans la liste, choisissez PEAP-MSCHAPv2 ou TLS pour définir le type EAP. La valeur par défaut est PEAP-MSCHAPv2.
- Se connecter si le réseau Wi-Fi est masqué : sélectionnez cette option pour spécifier si le réseau est masqué.
- Se connecter automatiquement : sélectionnez cette option si vous souhaitez vous connecter au réseau automatiquement.
- Envoyer certificat par push via SCEP : indiquez si vous souhaitez distribuer le certificat aux appareils des utilisateurs via le protocole d’inscription du certificat simple (SCEP).
- Fournisseur d’identités pour SCEP : dans la liste, choisissez le fournisseur d’identités SCEP. La valeur par défaut est Aucun.