Konfigurace serveru pro stahování eSIM pomocí katalogu nastavení v Microsoft Intune
Identita mobilního zařízení, jako je počítač s připojením s Windows, je obvykle zapouzdřená v zařízení s názvem SIM (Subscriber Identity Module) a zabalená jako samostatná SIM karta. Správa SIM karet pro mnoho zařízení může být nákladná a časově náročná. Proto Windows 10 a Windows 11 podporují technologii eSIM (embedded Subscriber Identity Module) jako digitální alternativu k diskrétním SIM kartám.
Windows 11 nabízí více možností pro nasazení a správu obsahu eSIM pomocí služeb správy mobilních zařízení (MDM), jako je Microsoft Intune.
Tato funkce platí pro:
- Windows 11
V Intune můžete kódy eSIM aktivovat hromadně pomocí následujících možností:
| Možnost | Podpora platformy | Popis |
|---|---|---|
|
Server pro stahování eSIM (tento článek) |
✅ Windows 11 (doporučeno) ❌ Windows 10 – použijte aktivační kódy importu pomocí souboru CSV. |
Do zásad katalogu nastavení přidejte plně kvalifikovaný název domény serveru pro stahování mobilního operátora. Zařízení kontaktuje server pro stahování, ověřuje a přijímá informace o připojení eSIM. Nejsou potřeba žádné jednotlivé aktivační kódy. |
| Import aktivačních kódů pomocí souboru CSV |
✅ Windows 11 (podporováno, ale nedoporučuje se) – Použijte místo toho server pro stahování eSIM. ✅ Windows 10 |
V zásadách eSIM naimportujte aktivační kódy pro jednorázové použití. Hardware eSIM používá aktivační kódy ke kontaktování mobilního operátora, stažení zásad eSIM a konfiguraci mobilní aktivace. Vyžaduje jednotlivé aktivační kódy. |
Pomocí zásad katalogu nastavení Intune můžete přidat eSIM kartu do podporovaných zařízení pomocí serveru pro stahování eSIM. Tento článek obsahuje další informace o eSIM kartě, popisuje proces, uvádí požadavky a kroky ke konfiguraci eSIM karty pomocí katalogu nastavení.
Informace o technologii eSIM
Technologie eSIM vytvořila celosvětový ekosystém mobilních zařízení a mobilních operátorů. Je založená na společné specifikaci od organizace Global System for Mobile Communications Association (GSMA). Přechod na technologii eSIM stále roste, protože se začleňuje do oblíbených chytrých telefonů. Systém Windows podporuje eSIM kartu pro počítače a od roku 2017 podporuje eSIM kartu.
eSIM odděluje zabezpečené spouštěcí prostředí plastové SIM karty od přihlašovacích údajů SIM karty, které obsahuje. Zabezpečený kontejner se nazývá eUICC (embedded Universal Integrated Circuit Card). Stejně jako každá fyzická SIM karta má jedinečnou identitu, má každá eUICC jedinečnou identitu s názvem eUICC Identifier (EID).
Přihlašovací údaje a související další konfigurace, které jednoznačně identifikují mobilní předplatné, jsou obsaženy v digitálním (softwarovém) balíčku označovaném jako profil eSIM. Do eUICC je možné nainstalovat několik profilů eSIM. Jeden z nainstalovaných profilů eSIM je povolený (a ostatní profily jsou zakázané). Kombinace povoleného profilu eSIM a jeho kontejneru eUICC se chová stejně jako tradiční SIM karta.
At-Scale konfigurace eSIM počítačů
eSIM digitalizuje doručování SIM do zařízení, jako jsou počítače, a eliminuje tak potřebu získat a nasadit fyzické SIM karty. Aplikace Mobilní tarify ve Windows dále snižuje třecí plochy tím, že poskytuje uživatelsky přívětivé rozhraní pro interakci s vybraným mobilním operátorem a koordinaci stahování a instalace odpovídajícího profilu eSIM.
Aplikace Mobilní tarify je vhodná pro potřeby spotřebitelů a firem s několika počítači. Vyžaduje ale interakci uživatele na každém zřízeném zařízení, což je úsilí a náklady, které můžou být ve velkém měřítku významné. Systém Windows poskytuje zřizování eSIM prostřednictvím správy mobilních zařízení (MDM), jako je Microsoft Intune, a podporuje tak rozsáhlejší spravovaná prostředí (například podniková nebo vzdělávací organizace).
Když zřídíte eSIM kartu prostřednictvím MDM, jako je Microsoft Intune, nakonfiguruje nasazení eSIM s jinými nastaveními a zásadami, které vytvoříte. Když je server MDM zaregistrovaný v pracovním nebo školním účtu koncového uživatele, odešle konfiguraci do počítače během svého životního cyklu. Jakmile je počítač nakonfigurovaný s informacemi o eSIM kartě, stáhne profil eSIM ze serveru pro stahování mobilního operátora (SM-DP+).
V systému Windows zpracovává konfiguraci eSIM zprostředkovatel konfiguračních služeb eUICCs (CSP). Některé zásady eSIM můžete také nakonfigurovat prostřednictvím poskytovatele CSP a každý počítač získá od poskytovatele CSP svůj profil eSIM.
Požadavky
Pokud chcete nasadit eSIM kartu do zařízení pomocí Intune, potřebujete následující požadavky:
Zařízení s Windows 11 verze 22H2 (build 22621) nebo novější, která jsou zaregistrovaná a spravovaná službou MDM v Intune
Zařízení s podporou eSIM, jako je Surface Pro 9 s 5G
Pokud si nejste jistí, jestli vaše zařízení podporují eSIM kartu, obraťte se na výrobce zařízení. Na zařízeních s Windows můžete ověřit možnosti podpory eSIM. Další informace najdete v tématu Použití eSIM karty k získání mobilního datového připojení na klientském zařízení s Windows.
Mobilní operátor, který může poskytnout profily eSIM sadě známých zařízení na základě jejich identifikátoru eUICC (EID) Vaše organizace musí také poskytnout eID vašich počítačů mobilnímu operátorovi v rámci smlouvy s mobilním operátorem.
Pokud chcete předat eID vašich počítačů mobilnímu operátorovi, máte několik možností:
Možnost 1 – Vaše organizace získá eID počítačů z balení zařízení a pošle je přímo operátorovi.
Možnost 1 – U hromadných nákupů zařízení můžou eID počítačů obsahovat soubor manifestu vytvořený výrobcem OEM zařízení nebo prodejcem nebo distributorem. Pak vám soubor manifestu můžete poslat nebo poslat přímo mobilnímu operátorovi.
Jakmile mobilní operátor zná EID počítačů, nastaví mobilní operátor profily eSIM pro každý počítač na jeho serveru pro stahování (SM-DP+).
eSIM Download Server (SM-DP+ nebo SM-DS) – plně kvalifikovaný název domény (FQDN) od vašeho mobilního operátora
Potřebujete plně kvalifikovaný název domény (FQDN) serveru pro stahování mobilního operátora (SM-DP+), například
smdp.example.com. Tento plně kvalifikovaný název domény zadáte v zásadách Intune. Když každý počítač kontaktuje server pro stahování (SM-DP+), server pro stahování (SM-DP+) ověří EID počítače a poskytne mu profil eSIM, který je specifický pro dané zařízení.Jednotlivé aktivační kódy nepotřebujete.
Tok procesu
Celkový tok procesu je následující:
Pokud chcete nastavit nasazení spravované eSIM karty, musíte mít smlouvu s mobilním operátorem a získat od operátora informace o jeho serveru pro stahování eSIM (SM-DP+). Pak nakonfigurujete zásady a nastavení tak, aby se použily na všechny připojené počítače s podporou eSIM, včetně plně kvalifikovaného názvu domény operátora SM-DP+.
Poznámka
Správce MDM vytvoří konfigurační profil eSIM odkazující na server pro stahování (SM-DP+) poskytovaný mobilním operátorem a přiřadí ho požadovaným skupinám.
Jak je popsáno výše, vy nebo váš dodavatel (výrobce nebo distributor osobních počítačů) poskytnete eID připojených počítačů operátorovi. Pro každé EID vytvoří operátor profil eSIM na svém serveru pro stahování (SM-DP+) pro dané zařízení. Po dokončení počáteční konfigurace se pro každý počítač provede následující proces:
Koncový uživatel počítač odepíná, zapne ho a projde počátečním prostředím systému Windows. V rámci tohoto procesu připojí koncový uživatel počítač k Wi-Fi síti a přihlásí se ke svému pracovnímu nebo školnímu účtu.
Jakmile se uživatel ověří pomocí svého Microsoft Entra ID, nastaví se na zařízení pracovní nebo školní účet. V rámci tohoto procesu se počítač zaregistruje do MDM, který ho pak zřídí tak, jak jste ho nakonfigurovali (v kroku 1). Tato konfigurace zahrnuje plně kvalifikovaný název domény serveru pro stahování operátora (SM-DP+).
Po dokončení konfigurace se počítač připojí ke stahovacímu serveru (SM-DP+) podle standardního protokolu stahování eSIM. V rámci tohoto procesu server pro stahování (SM-DP+) přijme a ověří EID počítače. Server pro stahování (SM-DP+) vyhledá profil eSIM pro dané EID (vytvořené v kroku 2) a stáhne tento profil eSIM do počítače.
Počítač nainstaluje a povolí profil eSIM karty. Systém Windows rozpozná mobilního operátora a nakonfiguruje nastavení mobilní sítě, jako je název přístupového bodu (APNs), a počítač je teď připojený přes mobilní síť.
Poznámka
Popsaný tok procesu se zaměřuje na počáteční nastavení zařízení. Zřizování eSIM karty je ale také možné kdykoli provést v průběhu životního cyklu zařízení pro spravovaná zařízení.
Krok 1 – vytvoření skupiny zařízení
Vytvořte skupinu zařízení, která zahrnuje zařízení s podporou eSIM karty. Přidání skupin obsahuje seznam kroků.
Poznámka
Doporučujeme vytvořit statickou skupinu zařízení Microsoft Entra, která bude obsahovat vaše zařízení eSIM. Použitím skupiny potvrdíte, že cílíte jenom na zařízení s eSIM kartou.
Krok 2 – Vytvoření profilu v Intune
Tento profil používá plně kvalifikovaný název domény serveru pro stahování vašeho mobilního operátora (SM-DP+) a povolí na zařízeních eSIM kartu.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.
Zadejte tyto vlastnosti:
- Platforma: Zvolte Windows 10 a novější.
- Typ profilu: Vyberte Katalog Nastavení.
Vyberte Vytvořit.
V Základy zadejte následující vlastnosti:
- Název: Zadejte popisný název nové zásady.
- Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.
Vyberte Další.
Na kartě Nastavení konfigurace vyberte + Přidat nastavení a vyhledejte eSIM v okně Výběr nastavení. Po výběru eSIM karty můžete vybrat nastavení, která chcete v zásadách zpřístupnit.
V oblasti Servery pro stahování :
1 – Automatické povolení: Označuje, jestli musí být zjištěný profil po instalaci automaticky povolen. Výchozí hodnota rozevíracího seznamu je Povolit. Pokud se má profil eSIM automaticky povolit (nezávisle na jakýchkoli jiných profilech eSIM uložených v eUICC), vyberte Automaticky povolit .
2 – Název serveru: Jedná se o plně kvalifikovaný název domény serveru SM-DP+, který se používá ke zjišťování profilu. Zadejte
smdp.example.comnapříklad (nezahrnujtehttps://).3 – Zobrazení místního uživatelského rozhraní: Určuje, jestli je možné nastavení eSIM zobrazit a změnit v aplikaci Nastavení na zařízeních s podporou eSIM, která se zřizují. True, pokud je k dispozici, jinak false. Pokud je možnost Zobrazit místní uživatelské rozhraní nastavená na Zakázáno, musí být zaškrtnuté políčko Automatické povolení .
Zadejte Název serveru, vyberte požadovaná nastavení a pak vyberte Další.
Na kartě Značky oboru přidejte požadované značky a vyberte Další.
Na kartě Přiřazení vyberte skupinu zařízení, kterou jste vytvořili v kroku 1 – Vytvoření skupiny zařízení. Další informace o přiřazení profilu najdete v tématu Přiřazení profilů zařízení v Microsoft Intune.
Na kartě Zkontrolovat a vytvořit zkontrolujte všechny podrobnosti a vyberte Vytvořit.
Osvědčené postupy & řešení potíží
Vytvořte skupinu zařízení Microsoft Entra, která zahrnuje pouze cílová zařízení eSIM. Pokud je zásada nasazená na zařízení, které neschopí eSIM, zobrazí se ve stavu přiřazení chyba.
Aktuální implementace podporuje pouze jeden název serveru. I když se přidá více názvů serverů, použije se jenom první.
Pokud místní uživatelské rozhraní není v rámci konfiguračního profilu zakázané, můžete změnit aktivní profil, přestat používat nebo odebrat některý z profilů eSIM uložených v zařízení.
Stejně jako u jiných nastavení v Intune platí, že když se stav nasazení zobrazí jako úspěšný, znamená to, že se nastavení použilo. Nemusí to nutně znamenat, že se profil eSIM stáhne a aktivuje.
V současné době neexistuje žádný způsob, jak odebrat profil eSIM pomocí Intune. Profil se musí ze zařízení odebrat ručně.
Intune nedokáže rozlišovat mezi eSIM a zařízením, které není eSIM.