18/12/2024

Stratégie de groupe

Comment déployer un réseau WiFi (SSID et clé de sécurité) par GPO ?

I. Présentation

Dans ce tutoriel, nous allons voir comment déployer un réseau WiFi par GPO de manière à ce qu'il soit connu automatiquement par les machines de votre parc informatique et intégré à l'Active Directory.

En environnements professionnels, on est amené à rencontrer des réseaux WiFi protégés de différentes façons, notamment par une clé de sécurité (WPA2 / WPA3), ce qui est la méthode traditionnelle, mais aussi par une authentification plus forte basée sur un serveur NPS (Radius). Lorsque l'on souhaite déployer un réseau WiFi protégé par une clé de sécurité, en passant par une GPO, on va être confronté à une problématique : comment diffuser la clé de sécurité ? Éléments de réponses dans cet article.

II. Créer un profil WiFi par GPO

Pour déployer un réseau WiFi par GPO en intégrant le SSID du réseau et la clé de sécurité, il faudra exporter la configuration au format XML. Cela implique de prendre une machine et de la connecter au réseau WiFi une première fois, afin de pouvoir exporter la configuration.

L'export s'effectue à partir de netsh, en invite de commande. L'exemple ci-dessous va générer un fichier de profil pour le réseau "MON-WIFI" et stocker le fichier de sortie à la racine du disque "C". Si l'on veut exporter tous les réseaux WiFi connus par la machine locale, on retirera la précision sur le nom du profil ciblé.

netsh wlan export profile "MON-WIFI" key=clear folder=c:\

J'obtiens un fichier XML qui contient le SSID du réseau, ainsi que la clé de sécurité en clair (keyMaterial) car la commande exécutée contient "key=clear". Si l'on ne précise pas cette option, la clé de sécurité est chiffrée, mais le profil ne fonctionnera pas sur une autre machine. Précision importante.

Ensuite, si l'on crée une stratégie de groupe et que l'on crée une nouvelle stratégie à l'emplacement suivant : Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de réseau sans-fil. On remarque que l'on peut importer un profil en cliquant sur le bouton "Importer". À partir de là, on peut charger le fichier XML généré par la commande netsh.

GPO - Stratégies de réseau sans-fil

L'assistant m'informe qu'il a importé le profil, mais qu'il a supprimé la clé de sécurité du réseau : "La clé réseau a été supprimée de ce profil". Ce qui implique que le profil WiFi sera diffusé sur les machines, mais sans la clé de sécurité, ce qui n'apporte pas grand-chose...

Clé réseau supprimée WiFi par GPO

Comment faire pour déployer le réseau WiFi avec la clé de sécurité ? La question reste entière...!

La solution consiste à utiliser une GPO, mais sans passer par la création d'une nouvelle stratégie de réseau sans-fil. Nous allons utiliser une méthode plus classique : l'exécution d'un script Batch (ou éventuellement PowerShell) au démarrage du PC qui va exécuter une commande netsh pour charger le fichier XML.

Effectivement, la commande ci-dessous me permettra de charger le fichier "\\mon-serveur\informatique$\Wi-Fi.xml", accessible via le réseau (important !) sur la machine locale. Cette commande va importer le réseau WiFi avec sa clé de sécurité.

netsh wlan add profile filename=\\mon-serveur\informatique$\Wi-Fi.xml

Cette commande doit être intégrée dans un fichier que l'on peut appeler "Import-WiFi.bat". 

Ce même fichier devra être appelé dans la GPO pour être exécuté au démarrage de la machine : Configuration ordinateur, Stratégies, Paramètres Windows, Scripts (démarrage/arrêt), Démarrage. Ici, on ajoute un nouveau fichier et on spécifie le chemin réseau vers le script Batch.

GPO - Script Batch au démarrage PC

À partir de ce moment-là, la stratégie de groupe est prête ! Il ne reste plus qu'à lier cette GPO à une ou plusieurs unités d'organisation. Lorsqu'une machine Windows va démarrer, elle va exécuter le script Batch "Import-WiFi.bat" et importer le réseau WiFi. Ainsi, dans la liste des réseaux connus, il y aura votre réseau et Windows pourra s'y connecter automatiquement !

III. Conclusion

Même si la méthode détaillée dans cet article implique de stocker la clé de sécurité réseau en clair dans le fichier XML, cela vous permettra de diffuser votre réseau WiFi sur les machines de votre parc informatique. C'est un gain de temps pour le service informatique et pour l'utilisateur. N'oubliez pas que la première fois, la machine devra être connectée en filaire pour récupérer la GPO, et donc les informations du réseau WiFi.

En complément de l'exécution de ce script, vous pouvez toujours configurer une stratégie de réseau sans-fil pour autoriser l'utilisateur à se connecter uniquement à certains réseaux WiFi, ou à l'inverse lui refuser l'accès sur certains réseaux.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

14 commentaires sur “Comment déployer un réseau WiFi (SSID et clé de sécurité) par GPO ?

  • Bonjour,

    J’utilise ce système également et il n’est pas idéal pour des raisons de sécurité. L’utilisateur peux accéder au XML et récupérer la clé wifi ce qui n’est pas toujours souhaitable.

    Une amélioration que je peux conseiller serait de modifier la sécurité du partage pour n’autoriser que le groupe « ordinateur du domaine » en lecture. Ainsi le script s’exécutera correctement au démarrage mais un utilisateur qui va tenter d’ouvrir le partage via l’explorateur de fichier n’y parviendra pas.
    Cela reste contournable mais ça ne coute rien 😉

    Répondre
    • Bonjour Alexandre,

      Bonne remarque, et on peut aussi utiliser un partage masqué en dehors du SYSVOL, en complément. C’est toujours mieux que rien.

      Répondre
  • Bonjour et Merci pour ces différents tuto 🙂

    J’ai exécuté toutes les étapes citées, cependant à l’étape « Import du fichier XML » dans la stratégie de groupe « Réseau sans fil » , j’obtiens un message d’erreur.

    « Windows a détecté que ce profil a été crée par une version de windows plus récente »

    – exporté via Windows 10 : V. 22H2 : Build 19085.2728
    – importé via Windows Server Standard 2019 : V.1809 : Build 17763.4131

    Suite du message :
    « Vous ne pourrez pas importer le profil sur cette version de Windows

    Sauriez-vous comment l’adapter par hasard ?
    Merci par avance

    Répondre
    • Hello DragonFly!
      Il faut supprimer le bloc « MacRandomization » dans le fichier XML. Ca fait 4 lignes à supprimer normalement.

      Répondre
  • Top Merci beaucoup !! cela fonctionne.

    Merci pour la réponse « Ultra » Rapide !!

    Répondre
  • Bonjour Florian,

    Merci pour ce tuto, très bien expliqué !
    Je souhaiterais effectuer la manip indiqué dans ton tuto mais avec un SSID masqué.
    Est-ce qu’il existe une option ou un modification de script pour la prise en compte avec un SSID masqué?

    J’ai constaté qu’un poste configuré avec un SSID en clair ne fonctionnait plus une fois le SSID masqué. C’est donc prit comment étant un SSID différent. Par conséquent, il faut modifier quelque chose dans le paramétrage de la GPO.

    Merci

    Répondre
    • Bonjour Florian,
      Je suis dans le même cas que Marc. J’aimerai aussi appliquer cette stratégie sur un Wifi masqué. Est-il possible de le faire ? car pour l’instant cette procédure ne fonctionne pas chez nous.
      Merci

      Répondre
  • Bonjour Florian,

    J’ai suivi à l’identique votre procédure ce dernier diffuse bien le SSID mais, le mot de passe n’est pas pris en compte pourtant j’ai bien pris le soin de créer un script et le déposer dans le NetLogon sans succès

    Avez-vous une piste svp ?

    Je vous remercie d’avance.

    Bien à vous,

    Répondre
  • Bonjour

    Le fichier .bat et le fichier .xml doivent-ils être dans un dossier partagé avec un chemin UPN?

    merci par avance pour votre retour

    Répondre
    • Bonjour,
      Oui c’est le plus simple car les deux fichiers doivent être accessibles par la machine qui doit charger le profil WiFi.
      Bon courage!
      Florian

      Répondre
  • Bonjour,
    Merci pour ce tuto très clair! Je l’ai suivi à la lettre et mon réseau wifi est bien « Ajouté par la politique de l’entreprise », cependant la clé ne se renseigne pas automatiquement malgré mon .bat bien renseigné et le fichier xml accessible :/ J’ai absolument tout essayé et ne trouve pas de solutions, si jamais vous avez une idée je suis preneur 😉
    Merci!
    Jérémie

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.