Depuis le mois d’Aout Samsung déploie un patch de sécurité qui modifie le processus de connexion des appareils Android 11 aux réseaux Wi-Fi d’entreprise par certificat (EAP-TLS).

Le symptôme est le suivant :
Depuis que le patch de sécurité Samsung est déployé sur les smartphones, l’appareil ne parvient plus à se connecter au réseau Wi-Fi et il affiche le message d’erreur suivant : “Mot de passe incorrect”.

Je vais vous expliquer comment résoudre simplement ce problème, tout ca en déployant ou en modifiant le profil de configuration Wi-Fi via Microsoft Intune (Microsoft Endpoint Manager).

Explications :
Comme je vous le disais juste avant Samsung (peut-être aussi plus généralement Google) modifie la méthode d’authentification de ses appareils aux Wi-Fi d’entreprise et plus particulièrement sur le protocole EAP-TLS.

Dorénavant vous devez renseigner dans le profil de configuration du Wi-Fi le nom du serveur d’authentification, Généralement un serveur NPS (Network Policy Server) ou un serveur Radius.

Si le téléphone ne détient pas cette information, il ne parviendra pas à se connecter au Wi-Fi d’entreprise.

Résolution :
Dans Microsoft Intune vous avez deux possibilite pour dépoloyer un profil Wi-Fi :
– Avec un profil de configuration Wi-Fi
– Avec un profil personnalisé (OMA-URI)

Dans les deux cas vous pouvez facilement ajouter le nom du serveur d’authentification Radius ou NPS.

Avec un profil de configuration Wi-Fi
Depuis cette mise à jour Microsoft permet aux administrateurs d’ajouter cette information simplement et sous forme de liste, dans le cas ou vous auriez plusieurs serveurs d’authentification. 

Profil Wi-Fi Android Enterprise

Apres avoir renseigné les serveurs d’authentification dans le profil de configuration, vous pouvez l’enregistrer et vous connecter avec votre smartphone Android 11 au réseau Wi-Fi de l’entreprise.

Avec un profil personnalisé (OMA-URI)
Partons du principe qu’un profil personnalisé existe deja dans votre configuration actuelle et qu’il fonctionne sur les appareils inférieurs à Android 11.

Dans ce cas modifier le XML de votre profile existant en completant avec le nom du serveur d’authentification de l’entreprise entre les balises <ServerNames></ServerNames>.

Voici un exemple de XML de configuration du Wi-Fi en EAP :

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>testcert</name>
<SSIDConfig>
<SSID>
<hex>7465737463657274</hex>
<name>testcert</name>
</SSID>
<nonBroadcast>true</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
<FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode>
</authEncryption>
<PMKCacheMode>disabled</PMKCacheMode>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<cacheUserData>false</cacheUserData>
<authMode>user</authMode>
<EAPConfig>
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames>Radius1.benjamintestart.lan</ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<AllPurposeEnabled>true</AllPurposeEnabled>
<CAHashList Enabled="true">
<IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash>
</CAHashList>
<EKUMapping>
<EKUMap>
<EKUName>Client Authentication</EKUName>
<EKUOID>1.3.6.1.5.5.7.3.2</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true"/>
<AnyPurposeEKUList Enabled="false">
<EKUMapInList>
<EKUName>Client Authentication</EKUName>
</EKUMapInList>
</AnyPurposeEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>

Une fois que vous avez modifié cela, alors enregistrez votre profil de configuration et connextez vous au Wi-Fi depuis un smarthpone Android 11.

Cet article a-t-il été utile ?

Cliquez sur une étoile pour l'évaluer !

Note moyenne 4.8 / 5. Comptage des votes : 6

Aucun vote jusqu'à présent ! Soyez le premier à évaluer cet article.

How to whitelist website on AdBlocker?

How to whitelist website on AdBlocker?

  1. 1 Click on the AdBlock Plus icon on the top right corner of your browser
  2. 2 Click on "Enabled on this site" from the AdBlock Plus option
  3. 3 Refresh the page and start browsing the site