Depuis le mois d’Aout Samsung déploie un patch de sécurité qui modifie le processus de connexion des appareils Android 11 aux réseaux Wi-Fi d’entreprise par certificat (EAP-TLS).
Le symptôme est le suivant :
Depuis que le patch de sécurité Samsung est déployé sur les smartphones, l’appareil ne parvient plus à se connecter au réseau Wi-Fi et il affiche le message d’erreur suivant : « Mot de passe incorrect ».
Je vais vous expliquer comment résoudre simplement ce problème, tout ca en déployant ou en modifiant le profil de configuration Wi-Fi via Microsoft Intune (Microsoft Endpoint Manager).
Explications :
Comme je vous le disais juste avant Samsung (peut-être aussi plus généralement Google) modifie la méthode d’authentification de ses appareils aux Wi-Fi d’entreprise et plus particulièrement sur le protocole EAP-TLS.
Dorénavant vous devez renseigner dans le profil de configuration du Wi-Fi le nom du serveur d’authentification, Généralement un serveur NPS (Network Policy Server) ou un serveur Radius.
Si le téléphone ne détient pas cette information, il ne parviendra pas à se connecter au Wi-Fi d’entreprise.
Résolution :
Dans Microsoft Intune vous avez deux possibilite pour dépoloyer un profil Wi-Fi :
– Avec un profil de configuration Wi-Fi
– Avec un profil personnalisé (OMA-URI)
Dans les deux cas vous pouvez facilement ajouter le nom du serveur d’authentification Radius ou NPS.
Avec un profil de configuration Wi-Fi
Depuis cette mise à jour Microsoft permet aux administrateurs d’ajouter cette information simplement et sous forme de liste, dans le cas ou vous auriez plusieurs serveurs d’authentification.
![Profil Wi-Fi Android Enterprise Profil Wi-Fi Android Enterprise](https://benjamintestart.fr/wp-content/uploads/2021/10/Profil-Wi-Fi-Android-Enterprise.png)
Apres avoir renseigné les serveurs d’authentification dans le profil de configuration, vous pouvez l’enregistrer et vous connecter avec votre smartphone Android 11 au réseau Wi-Fi de l’entreprise.
Avec un profil personnalisé (OMA-URI)
Partons du principe qu’un profil personnalisé existe deja dans votre configuration actuelle et qu’il fonctionne sur les appareils inférieurs à Android 11.
Dans ce cas modifier le XML de votre profile existant en completant avec le nom du serveur d’authentification de l’entreprise entre les balises <ServerNames></ServerNames>.
Voici un exemple de XML de configuration du Wi-Fi en EAP :
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1"> <name>testcert</name> <SSIDConfig> <SSID> <hex>7465737463657274</hex> <name>testcert</name> </SSID> <nonBroadcast>true</nonBroadcast> </SSIDConfig> <connectionType>ESS</connectionType> <connectionMode>auto</connectionMode> <autoSwitch>false</autoSwitch> <MSM> <security> <authEncryption> <authentication>WPA2</authentication> <encryption>AES</encryption> <useOneX>true</useOneX> <FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode> </authEncryption> <PMKCacheMode>disabled</PMKCacheMode> <OneX xmlns="http://www.microsoft.com/networking/OneX/v1"> <cacheUserData>false</cacheUserData> <authMode>user</authMode> <EAPConfig> <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <EapMethod> <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type> <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId> <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType> <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId> </EapMethod> <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"> <Type>13</Type> <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"> <CredentialsSource> <CertificateStore> <SimpleCertSelection>true</SimpleCertSelection> </CertificateStore> </CredentialsSource> <ServerValidation> <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation> <ServerNames>Radius1.benjamintestart.lan</ServerNames> </ServerValidation> <DifferentUsername>false</DifferentUsername> <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation> <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName> <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"> <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"> <AllPurposeEnabled>true</AllPurposeEnabled> <CAHashList Enabled="true"> <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash> </CAHashList> <EKUMapping> <EKUMap> <EKUName>Client Authentication</EKUName> <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID> </EKUMap> </EKUMapping> <ClientAuthEKUList Enabled="true"/> <AnyPurposeEKUList Enabled="false"> <EKUMapInList> <EKUName>Client Authentication</EKUName> </EKUMapInList> </AnyPurposeEKUList> </FilteringInfo> </TLSExtensions> </EapType> </Eap> </Config> </EapHostConfig> </EAPConfig> </OneX> </security> </MSM> </WLANProfile>
Une fois que vous avez modifié cela, alors enregistrez votre profil de configuration et connextez vous au Wi-Fi depuis un smarthpone Android 11.