Depuis le mois d’Aout Samsung déploie un patch de sécurité qui modifie le processus de connexion des appareils Android 11 aux réseaux Wi-Fi d’entreprise par certificat (EAP-TLS).
Le symptôme est le suivant :
Depuis que le patch de sécurité Samsung est déployé sur les smartphones, l’appareil ne parvient plus à se connecter au réseau Wi-Fi et il affiche le message d’erreur suivant : « Mot de passe incorrect ».
Je vais vous expliquer comment résoudre simplement ce problème, tout ca en déployant ou en modifiant le profil de configuration Wi-Fi via Microsoft Intune (Microsoft Endpoint Manager).
Explications :
Comme je vous le disais juste avant Samsung (peut-être aussi plus généralement Google) modifie la méthode d’authentification de ses appareils aux Wi-Fi d’entreprise et plus particulièrement sur le protocole EAP-TLS.
Dorénavant vous devez renseigner dans le profil de configuration du Wi-Fi le nom du serveur d’authentification, Généralement un serveur NPS (Network Policy Server) ou un serveur Radius.
Si le téléphone ne détient pas cette information, il ne parviendra pas à se connecter au Wi-Fi d’entreprise.
Résolution :
Dans Microsoft Intune vous avez deux possibilite pour dépoloyer un profil Wi-Fi :
– Avec un profil de configuration Wi-Fi
– Avec un profil personnalisé (OMA-URI)
Dans les deux cas vous pouvez facilement ajouter le nom du serveur d’authentification Radius ou NPS.
Avec un profil de configuration Wi-Fi
Depuis cette mise à jour Microsoft permet aux administrateurs d’ajouter cette information simplement et sous forme de liste, dans le cas ou vous auriez plusieurs serveurs d’authentification.
Apres avoir renseigné les serveurs d’authentification dans le profil de configuration, vous pouvez l’enregistrer et vous connecter avec votre smartphone Android 11 au réseau Wi-Fi de l’entreprise.
Avec un profil personnalisé (OMA-URI)
Partons du principe qu’un profil personnalisé existe deja dans votre configuration actuelle et qu’il fonctionne sur les appareils inférieurs à Android 11.
Dans ce cas modifier le XML de votre profile existant en completant avec le nom du serveur d’authentification de l’entreprise entre les balises <ServerNames></ServerNames>.
Voici un exemple de XML de configuration du Wi-Fi en EAP :
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1"> <name>testcert</name> <SSIDConfig> <SSID> <hex>7465737463657274</hex> <name>testcert</name> </SSID> <nonBroadcast>true</nonBroadcast> </SSIDConfig> <connectionType>ESS</connectionType> <connectionMode>auto</connectionMode> <autoSwitch>false</autoSwitch> <MSM> <security> <authEncryption> <authentication>WPA2</authentication> <encryption>AES</encryption> <useOneX>true</useOneX> <FIPSMode xmlns="http://www.microsoft.com/networking/WLAN/profile/v2">false</FIPSMode> </authEncryption> <PMKCacheMode>disabled</PMKCacheMode> <OneX xmlns="http://www.microsoft.com/networking/OneX/v1"> <cacheUserData>false</cacheUserData> <authMode>user</authMode> <EAPConfig> <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <EapMethod> <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type> <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId> <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType> <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId> </EapMethod> <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"> <Type>13</Type> <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"> <CredentialsSource> <CertificateStore> <SimpleCertSelection>true</SimpleCertSelection> </CertificateStore> </CredentialsSource> <ServerValidation> <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation> <ServerNames>Radius1.benjamintestart.lan</ServerNames> </ServerValidation> <DifferentUsername>false</DifferentUsername> <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation> <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName> <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"> <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"> <AllPurposeEnabled>true</AllPurposeEnabled> <CAHashList Enabled="true"> <IssuerHash>75 f5 06 9c a4 12 0e 9b db bc a1 d9 9d d0 f0 75 fa 3b b8 78 </IssuerHash> </CAHashList> <EKUMapping> <EKUMap> <EKUName>Client Authentication</EKUName> <EKUOID>1.3.6.1.5.5.7.3.2</EKUOID> </EKUMap> </EKUMapping> <ClientAuthEKUList Enabled="true"/> <AnyPurposeEKUList Enabled="false"> <EKUMapInList> <EKUName>Client Authentication</EKUName> </EKUMapInList> </AnyPurposeEKUList> </FilteringInfo> </TLSExtensions> </EapType> </Eap> </Config> </EapHostConfig> </EAPConfig> </OneX> </security> </MSM> </WLANProfile>
Une fois que vous avez modifié cela, alors enregistrez votre profil de configuration et connextez vous au Wi-Fi depuis un smarthpone Android 11.