Share via

Konfigurace serveru pro stahování eSIM pomocí Microsoft Intune

  • Článek

Identita zařízení s podporou mobilní sítě, například připojeného počítače s Windows, byla tradičně zapouzdřena do zařízení s názvem SIM (Subscriber Identity Module) a zabalena jako samostatná SIM karta. Správa SIM karet pro řadu zařízení může být nákladná a časově náročná. Proto Windows 10 a Windows 11 podporují technologii eSIM (Embedded Subscriber Identity Module) jako digitální alternativu k diskrétním SIM kartám. Windows 11 poskytuje více možností pro nasazení a správu obsahu eSIM pomocí mobilních Správa zařízení (MDM), jako je Microsoft Intune.

Informace o technologii eSIM

Technologie eSIM vytvořila celosvětový ekosystém mobilních zařízení a mobilních operátorů na základě společné specifikace gsm asociace (GSMA). Zavádění technologie eSIM roste díky jejímu začlenění do oblíbených chytrých telefonů. Systém Windows podporuje eSIM kartu pro počítače od roku 2017.

eSIM odděluje zabezpečené spouštěcí prostředí plastové SIM karty od přihlašovacích údajů SIM karty, které obsahuje. Zabezpečený kontejner se nazývá eUICC (embedded Universal Integrated Circuit Card). Stejně jako každá fyzická SIM karta má jedinečnou identitu, má každá eUICC jedinečnou identitu s názvem eUICC Identifier (EID).

technologie eUICC a eSIM.

Přihlašovací údaje a související další konfigurace, které jednoznačně identifikují mobilní předplatné, jsou obsaženy v digitálním (softwarovém) balíčku označovaném jako profil eSIM. Do eUICC může být nainstalováno více profilů eSIM. Jeden z nainstalovaných profilů eSIM je povolený (a ostatní profily jsou zakázané). Kombinace povoleného profilu eSIM a jeho kontejneru eUICC se chová stejně jako tradiční SIM karta.

At-Scale konfigurace eSIM počítačů

eSIM digitalizuje doručování SIM do zařízení, jako jsou počítače, a eliminuje tak potřebu získat a nasadit fyzické SIM karty. Aplikace Mobilní tarify ve Windows dále snižuje třecí plochy tím, že poskytuje uživatelsky přívětivé rozhraní pro interakci s vybraným mobilním operátorem a koordinaci stahování a instalace odpovídajícího profilu eSIM.

Aplikace Mobilní tarify je vhodná pro potřeby spotřebitelů a firem s několika počítači. Vyžaduje ale interakci uživatele na každém zřízeném zařízení, což je úsilí a náklady, které můžou být ve velkém měřítku významné. Systém Windows poskytuje zřizování eSIM prostřednictvím správy mobilních zařízení (MDM), jako je například Microsoft Intune, a podporuje tak spravovaná prostředí ve větším měřítku (například pro podniky nebo vzdělávací organizace).

Když podnik zřídí eSIM prostřednictvím MDM, jako je Microsoft Intune, nakonfiguruje nasazení eSIM karty společně s dalšími podnikovými nastaveními a zásadami. Když je server MDM zaregistrovaný v pracovním nebo školním účtu koncového uživatele, odešle konfiguraci do počítače během svého životního cyklu. Jakmile je počítač nakonfigurovaný s informacemi o eSIM kartě, stáhne profil eSIM ze serveru pro stahování mobilního operátora (SM-DP+).

V systému Windows zpracovává konfiguraci eSIM zprostředkovatel konfiguračních služeb eUICCs (CSP). Kromě toho může podnik nakonfigurovat některé zásady eSIM prostřednictvím poskytovatele CSP a každý počítač získá od poskytovatele CSP svůj profil eSIM.

Požadavky

Kromě Windows 11 připojeného počítače (s podporou eSIM) spravovaného prostřednictvím Microsoft Intune potřebujete následující informace:

Mobilní operátor, který může poskytovat profily eSIM na sadu známých zařízení na základě jejich EID. To zase vyžaduje určitý způsob, jakým by podnik (nebo škola) měl být schopen poskytnout eID svých počítačů operátorovi v rámci své smlouvy s mobilním operátorem.

  • Jednou z možností je, že podnik získá eID svých počítačů z balení počítačů a pošle je přímo operátorovi.

  • Případně v případě hromadného nákupu zařízení můžou eID jejich počítačů pocházet v souboru manifestu vytvořeném výrobcem OEM zařízení nebo prodejcem nebo distributorem a doručené do podniku se zařízeními nebo přímo mobilnímu operátorovi.

Jakmile mobilní operátor zná EID počítačů zákazníka, nastaví mobilní operátor profily eSIM pro každý počítač na jeho serveru pro stahování (SM-DP+). Podnik musí znát plně kvalifikovaný název domény (FQDN) serveru pro stahování (SM-DP+). Například smdp.example.com. Nepotřebuje ale jednotlivé aktivační kódy. Když každý počítač kontaktuje server pro stahování (SM-DP+), server pro stahování (SM-DP+) ověří EID počítače a poskytne mu profil eSIM, který je specifický pro dané zařízení.

Tok procesu

Tok procesu pro hromadnou aktivaci eSIM prostřednictvím serveru pro stahování.

Celkový tok procesu je následující:

  1. Aby mohl podnikový zákazník nastavit spravované nasazení eSIM, musí mít smlouvu s mobilním operátorem a získat od operátora informace o serveru pro stahování eSIM (SM-DP+). Podnik pak nakonfiguruje zásady a nastavení tak, aby se použily na všechny připojené počítače s podporou eSIM, včetně plně kvalifikovaného názvu domény operátora SM-DP+.

    Poznámka

    Správce MDM vytvoří konfigurační profil eSIM odkazující na server pro stahování (SM-DP+) poskytovaný mobilním operátorem a přiřadí ho požadovaným skupinám.

  2. Jak je popsáno výše, společnost nebo její dodavatel (výrobce nebo distributor osobních počítačů) poskytne operátorovi EID připojených počítačů. Pro každé EID vytvoří operátor profil eSIM na svém serveru pro stahování (SM-DP+) pro dané zařízení. Po dokončení počáteční konfigurace se pro každý počítač provede následující proces:

  3. Koncový uživatel počítač odepíná, zapne ho a projde počátečním prostředím systému Windows. V rámci tohoto procesu připojí koncový uživatel počítač k Wi-Fi síti a přihlásí se ke svému pracovnímu nebo školnímu účtu.

  4. Jakmile se uživatel ověří v podnikovém (nebo školním) Microsoft Entra ID, nastaví se na zařízení pracovní nebo školní účet. V rámci tohoto procesu se počítač zaregistruje do MDM, který ho pak zřídí tak, jak ho nakonfiguroval podnik (v kroku 1). Tato konfigurace zahrnuje plně kvalifikovaný název domény serveru pro stahování operátora (SM-DP+).

  5. Po dokončení konfigurace se počítač připojí ke stahovacímu serveru (SM-DP+) podle standardního protokolu stahování eSIM. V rámci tohoto procesu server pro stahování (SM-DP+) přijme a ověří EID počítače. Server pro stahování (SM-DP+) vyhledá profil eSIM pro dané EID (vytvořené v kroku 2) a stáhne tento profil eSIM do počítače.

  6. Počítač nainstaluje a povolí profil eSIM karty. Systém Windows rozpozná mobilního operátora a nakonfiguruje nastavení mobilní sítě, jako je název přístupového bodu (APNs), a počítač je teď připojený přes mobilní síť.

Poznámka

Popsaný tok procesu se zaměřuje na počáteční nastavení zařízení. Zřizování eSIM karty je ale také možné kdykoli provést v průběhu životního cyklu zařízení pro spravovaná zařízení.

Konfigurace serveru pro stahování eSIM v Intune

Konfigurace Intune serveru pro stahování eSIM karty mobilního operátora se provádí prostřednictvím konfiguračního profilu přiřazeného skupině.

Tato funkce platí pro:

  • Windows 11

Pokud chcete nasadit eSIM kartu do zařízení pomocí Intune, potřebujete následující:

  • Zařízení s podporou eSIM, například Surface Pro 9 s 5G: Zjistěte, jestli vaše zařízení podporuje eSIM kartu.
  • Windows 11 (verze 22H2 (build 22621) nebo novější), která je zaregistrovaná a spravovaná službou MDM v Intune
  • eSIM Download Server (SM-DP+ nebo SM-DS) plně kvalifikovaný název domény (FQDN) poskytovaný vaším mobilním operátorem. Podrobnosti získáte od svého mobilního operátora.

Zařízení s podporou eSIM

Pokud si nejste jistí, že vaše zařízení podporují eSIM kartu, obraťte se na výrobce zařízení. Na zařízeních s Windows můžete ověřit možnosti podpory eSIM. Další informace najdete v tématu Použití eSIM karty k získání mobilního datového připojení na klientském zařízení s Windows.

Jakmile váš mobilní operátor potvrdí, že potřebujete vytvořit profily eSIM na serveru pro stahování (SM-DP+), přejděte na Microsoft Intune a vytvořte profil pro eID svázané se zařízeními s Windows s podporou eSIM, která chcete povolit pomocí eSIM karty eSIM.

Vytvoření skupiny zařízení Microsoft Entra

Vytvořte skupinu zařízení, která zahrnuje zařízení s podporou eSIM karty. Přidání skupin obsahuje seznam kroků.

Poznámka

Doporučujeme vytvořit statickou Microsoft Entra skupinu zařízení, která zahrnuje vaše zařízení eSIM. Použití skupiny potvrzuje, že cílíte jenom na zařízení eSIM.

Vytvoření profilu

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Jako pole Platforma vyberte Windows 10 a novější.

  4. V poli Typ profilu vyberte Katalog Nastavení.

  5. Vyberte Vytvořit a postupujte podle pokynů průvodce.

  6. Na kartě Základní zadejte Název a Popis profilu a vyberte Další.

  7. Na kartě Nastavení konfigurace vyberte + Přidat nastavení a vyhledejte eSIM v okně Výběr nastavení. Po výběru eSIM karty můžete vybrat nastavení, která chcete v zásadách zpřístupnit.

    Karta Nastavení konfigurace v procesu Vytvoření profilu

    • V oblasti Servery pro stahování :

      • 1 – Automatické povolení: Označuje, jestli musí být zjištěný profil po instalaci automaticky povolen. Výchozí hodnota rozevíracího seznamu je Povolit. Pokud se má profil eSIM automaticky povolit (nezávisle na jakýchkoli jiných profilech eSIM uložených v eUICC), vyberte Automaticky povolit .

      • 2 – Název serveru: Jedná se o plně kvalifikovaný název domény serveru SM-DP+, který se používá ke zjišťování profilu. Například smdp.example.com (nezahrnujte https://)

      • 3 – Zobrazení místního uživatelského rozhraní: Určuje, jestli je možné nastavení eSIM zobrazit a změnit v aplikaci Nastavení na zařízeních s podporou eSIM, která se zřizují. True, pokud je k dispozici, jinak false. Pokud je možnost Zobrazit místní uživatelské rozhraní nastavená na Zakázáno, musí být zaškrtnuté políčko Automatické povolení .

    • Zadejte Název serveru, vyberte požadovaná nastavení a pak vyberte Další.

  8. Na kartě Značky oboru přidejte požadované značky a vyberte Další.

  9. Na kartě Přiřazení vyberte uživatele nebo skupiny zařízení, které chcete přiřadit k vašemu profilu. Další informace o přiřazení profilu k uživateli nebo skupině zařízení najdete v článku Přiřazení profilů zařízení v Microsoft Intune. Před vytvořením profilu také musíte mít nastavené skupiny. Další informace najdete v článku Přidání skupin pro uspořádání uživatelů a zařízení.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte všechny podrobnosti a vyberte Vytvořit.

Osvědčené postupy & řešení potíží

  • Vytvořte skupinu zařízení Microsoft Entra, která obsahuje jenom cílová zařízení eSIM. (Poznámka: Pokud je zásada nasazená na zařízení, které neschopí eSIM, zobrazí se ve stavu přiřazení chyba.)

  • Aktuální implementace podporuje pouze jeden název serveru. I když se přidá více názvů serverů, použije se jenom první.

  • Pokud místní uživatelské rozhraní není v rámci konfiguračního profilu zakázané, můžete změnit aktivní profil, přestat používat nebo odebrat některý z profilů eSIM uložených v zařízení.

  • Stejně jako u jiných nastavení v Intune to znamená, že když se stav nasazení zobrazí jako úspěšné , znamená to, že se nastavení teď používá, a nemusí to nutně znamenat, že se stáhl a aktivoval i profil eSIM.

  • V současné době neexistuje žádný způsob, jak odebrat profil eSIM pomocí Intune. Profil se musí ze zařízení odebrat ručně.

  • Intune nedokáže rozlišovat mezi eSIM a zařízením, které není eSIM.

Další kroky

Konfigurace profilů zařízení