Konfigurieren des eSIM-Downloadservers mithilfe des Einstellungskatalogs in Microsoft Intune
Die Identität eines Mobilfunkgeräts, z. B. eines verbundenen Windows-PCs, wird in der Regel in einem Gerät namens SIM (Subscriber Identity Module) gekapselt und als diskrete SIM-Karte verpackt. Die Verwaltung von SIM-Karten für viele Geräte kann teuer und zeitaufwändig sein. Daher unterstützen Windows 10 und Windows 11 die eSIM-Technologie (Embedded Subscriber Identity Module) als digitale Alternative zu diskreten SIM-Karten.
Windows 11 bietet weitere Funktionen für die Bereitstellung und Verwaltung von eSIM-Inhalten mithilfe von MDM-Diensten (Mobile Device Management) wie Microsoft Intune.
Diese Funktion gilt für:
- Windows 11
In Intune können Sie eSIM-Codes mithilfe der folgenden Optionen per Massenaktivierung aktivieren:
Option | Plattformunterstützung | Beschreibung |
---|---|---|
eSIM-Downloadserver (dieser Artikel) |
✅ Windows 11 (empfohlen) ❌ Windows 10: Verwenden Sie Importaktivierungscodes mithilfe einer CSV-Datei. |
Fügen Sie in einer Einstellungskatalogrichtlinie den FQDN des Downloadservers Ihres Mobilfunkanbieters hinzu. Das Gerät kontaktiert den Downloadserver, authentifiziert sich und empfängt eSIM-Verbindungsinformationen. Es sind keine einzelnen Aktivierungscodes erforderlich. |
Importieren von Aktivierungscodes mithilfe einer CSV-Datei |
✅ Windows 11 (unterstützt, aber nicht empfohlen): Verwenden Sie stattdessen einen eSIM-Downloadserver. ✅ Windows 10 |
Importieren Sie in einer eSIM-Richtlinie Einmalaktivierungscodes. Die eSIM-Hardware verwendet die Aktivierungscodes, um den Mobilfunkanbieter zu kontaktieren, die eSIM-Richtlinie herunterzuladen und die Mobilfunkaktivierung zu konfigurieren. Erfordert individuelle Aktivierungscodes. |
Mithilfe einer Intune-Einstellungskatalogrichtlinie können Sie eSIM ihren unterstützten Geräten mithilfe eines eSIM-Downloadservers hinzufügen. Dieser Artikel enthält weitere Informationen zur eSIM, beschreibt den Prozess, listet die Voraussetzungen auf und listet die Schritte zum Konfigurieren der eSIM mithilfe des Einstellungskatalogs auf.
Über eSIM-Technologie
Die eSIM-Technologie schuf ein weltweites Ökosystem von Mobilfunkgeräten und Mobilfunkanbietern. Sie basiert auf einer gemeinsamen Spezifikation der Global System for Mobile Communications Association (GSMA). Die Einführung der eSIM-Technologie nimmt aufgrund ihrer Integration in beliebte Smartphones weiter zu. Windows unterstützt eSIM für PCs und unterstützt eSIM seit 2017.
eSIM entkoppelt die sichere Ausführungsumgebung der Plastik-SIM-Karte von den darin enthaltenen SIM-Anmeldeinformationen. Der sichere Container wird als eUICC (Embedded Universal Integrated Circuit Card) bezeichnet. Ebenso wie jede physische SIM-Karte über eine eindeutige Identität verfügt, verfügt jede eUICC über eine eindeutige Identität namens eUICC Identifier (EID).
Die Anmeldeinformationen und die zugehörige andere Konfiguration, die ein Mobilfunkabonnement eindeutig identifizieren, sind in einem digitalen (Software-)Paket enthalten, das als eSIM-Profil bezeichnet wird. Mehrere eSIM-Profile können in einem eUICC installiert werden. Eines der installierten eSIM-Profile ist aktiviert (und der Rest ist deaktiviert). Die Kombination aus dem aktivierten eSIM-Profil und seinem eUICC-Container verhält sich genau wie eine herkömmliche SIM-Karte.
At-Scale Konfiguration von eSIM-PCs
eSIM digitalisiert die Lieferung von SIMs an Geräte wie PCs, sodass keine physischen SIM-Karten mehr benötigt werden müssen. Die Mobile Plans-Anwendung in Windows reduziert die Reibung weiter, indem sie eine benutzerfreundliche Oberfläche bereitstellt, über die ein Benutzer mit einem ausgewählten Mobilfunkanbieter interagieren und den Download und die Installation des entsprechenden eSIM-Profils koordinieren kann.
Die Mobile Plans-Anwendung eignet sich gut für die Bedürfnisse von Verbrauchern und Unternehmen mit wenigen PCs. Dies erfordert jedoch eine Benutzerinteraktion auf jedem bereitgestellten Gerät, ein Aufwand und Kosten, der in großem Umfang erheblich werden kann. Um umfangreichere verwaltete Umgebungen (z. B. ein Unternehmen oder eine Bildungseinrichtung) zu unterstützen, bietet Windows die eSIM-Bereitstellung über die Verwaltung mobiler Geräte (MDM), z. B. Microsoft Intune.
Wenn Sie eine eSIM über ein MDM wie Microsoft Intune bereitstellen, wird die eSIM-Bereitstellung mit anderen Einstellungen und Richtlinien konfiguriert, die Sie erstellen. Wenn der MDM-Server für das Geschäfts-, Schul- oder Unikonto des Endbenutzers registriert ist, pusht er die Konfiguration während seines gesamten Lebenszyklus auf den PC. Nachdem der PC mit den eSIM-Informationen konfiguriert wurde, lädt er das eSIM-Profil vom Downloadserver des Mobilfunkanbieters (SM-DP+) herunter.
In Windows übernimmt der eUICCs-Konfigurationsdienstanbieter (CSP) die eSIM-Konfiguration. Sie können auch einige eSIM-Richtlinien über den CSP konfigurieren, und jeder PC erhält sein eSIM-Profil vom CSP.
Voraussetzungen
Um eSIM mit Intune auf Ihren Geräten bereitzustellen, benötigen Sie die folgenden Voraussetzungen:
Geräte mit Windows 11 Version 22H2 (Build 22621) oder höher, die von Intune registriert und mdm verwaltet werden
eSIM-fähige Geräte, wie das Surface Pro 9 mit 5G
Wenn Sie nicht sicher sind, ob Ihre Geräte eSIM unterstützen, wenden Sie sich an den Gerätehersteller. Auf Windows-Geräten können Sie die Unterstützbarkeit von eSIM bestätigen. Weitere Informationen finden Sie unter Verwenden einer eSIM zum Erhalt einer Datenverbindung auf Ihrem Windows-Clientgerät.
Ein Mobilfunkanbieter, der eSIM-Profile für eine Reihe bekannter Geräte basierend auf ihrem eUICC-Bezeichner (EID) bereitstellen kann. Ihre Organisation muss dem Mobilfunkanbieter im Rahmen Ihres Vertrags mit dem Mobilfunkanbieter auch die EIDs Ihrer PCs zur Verfügung stellen.
Um die EIDs Ihrer PCs an den Mobilfunkanbieter zu übergeben, haben Sie einige Möglichkeiten:
Option 1 : Ihre Organisation ruft die EIDs der PCs aus der Geräteverpackung ab und sendet die EIDs direkt an den Bediener.
Option 1 : Bei Massenkäufen von Geräten können die EIDs der PCs in einer Manifestdatei enthalten sein, die vom Geräte-OEM oder einem Wiederverkäufer/Händler erstellt wurde. Anschließend kann die Manifestdatei an Sie oder direkt an den Mobilfunkanbieter gesendet werden.
Nachdem der Mobilfunkanbieter die EIDs der PCs kennt, richtet der Mobilfunkanbieter für jeden PC auf seinem Downloadserver (SM-DP+) eSIM-Profile ein.
Vollqualifizierter Domänenname (FQDN) von Ihrem Mobilfunkanbieter bereitgestellter eSIM Download Server (SM-DP+ oder SM-DS)
Sie benötigen den vollqualifizierten Domänennamen (FQDN) des Downloadservers des Mobilfunkanbieters (SM-DP+), z. B
smdp.example.com
. . Sie geben diesen FQDN in die Intune-Richtlinie ein. Wenn jeder PC eine Verbindung mit dem Downloadserver (SM-DP+) herstellt, authentifiziert der Downloadserver (SM-DP+) die EID des PCs und stellt das gerätespezifische eSIM-Profil bereit.Sie benötigen die einzelnen Aktivierungscodes nicht.
Prozessablauf
Der gesamte Prozessablauf sieht wie folgt aus:
Um eine verwaltete eSIM-Bereitstellung einzurichten, müssen Sie über einen Vertrag mit einem Mobilfunkanbieter verfügen und vom Betreiber Informationen über seinen eSIM-Downloadserver (SM-DP+) erhalten. Anschließend konfigurieren Sie die Richtlinien und Einstellungen, die auf alle eSIM-fähigen verbundenen PCs angewendet werden sollen, einschließlich des vollqualifizierten Domänennamens des SM-DP+ des Betreibers.
Hinweis
Der MDM-Administrator erstellt das eSIM-Konfigurationsprofil, das auf den vom Mobilfunkanbieter bereitgestellten Downloadserver (SM-DP+) verweist, und weist das Profil den erforderlichen Gruppen zu.
Wie weiter oben beschrieben, stellen Sie oder Ihr Lieferant (PC-Hersteller oder -Händler) dem Bediener die EIDs der verbundenen PCs zur Verfügung. Für jede EID erstellt der Betreiber ein eSIM-Profil auf seinem Downloadserver (SM-DP+) für dieses Gerät. Nach Abschluss der Erstkonfiguration wird für jeden PC der folgende Prozess ausgeführt:
Der Endbenutzer entpackt den PC, schaltet ihn ein und durchläuft die erste Windows-Out-of-Box-Erfahrung. Im Rahmen dieses Prozesses verbindet der Endbenutzer den PC mit einem Wi-Fi Netzwerk und meldet sich bei ihrem Geschäfts-, Schul- oder Unikonto an.
Nachdem sich der Benutzer mit seiner Microsoft Entra-ID authentifiziert hat, wird das Geschäfts-, Schul- oder Unikonto auf dem Gerät eingerichtet. Im Rahmen dieses Prozesses wird der PC bei MDM registriert und dann wie von Ihnen konfiguriert (in Schritt 1) bereitgestellt. Diese Konfiguration enthält den FQDN des Downloadservers des Betreibers (SM-DP+).
Nach Abschluss der Konfiguration stellt der PC eine Verbindung mit dem Downloadserver (SM-DP+) gemäß dem standardmäßigen eSIM-Downloadprotokoll her. Im Rahmen dieses Prozesses empfängt und authentifiziert der Downloadserver (SM-DP+) die EID des PCs. Der Downloadserver (SM-DP+) sucht das eSIM-Profil für diese EID (erstellt in Schritt 2) und lädt dieses eSIM-Profil auf den PC herunter.
Der PC installiert und aktiviert das eSIM-Profil. Windows erkennt den Mobilfunkanbieter und konfiguriert die Mobilfunkeinstellungen wie Den Namen des Zugriffspunkts (Access Point Name, APNs), und der PC ist jetzt über eine Mobilfunkverbindung verbunden.
Hinweis
Der beschriebene Prozessablauf konzentriert sich auf die anfängliche Geräteeinrichtung. Die eSIM-Bereitstellung kann jedoch auch während des gesamten Lebenszyklus des Geräts für verwaltete Geräte jederzeit erfolgen.
Schritt 1: Erstellen einer Gerätegruppe
Erstellen Sie eine Gerätegruppe, die die eSIM-fähigen Geräte enthält. Unter Hinzufügen von Gruppen werden die einzelnen Schritte aufgeführt.
Hinweis
Es wird empfohlen, eine statische Microsoft Entra-Gerätegruppe zu erstellen, die Ihre eSIM-Geräte enthält. Die Verwendung einer Gruppe bestätigt, dass Sie nur eSIM-Geräte als Ziel verwenden.
Schritt 2: Erstellen eines Profils in Intune
Dieses Profil verwendet den FQDN des Downloadservers Ihres Mobilfunkanbieters (SM-DP+) und aktiviert eSIM auf den Geräten.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Windows 10 und höher aus.
- Profiltyp: Wählen Sie Einstellungskatalog aus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen beschreibenden Namen für die neue Richtlinie ein.
- Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Wählen Sie auf der Registerkarte Konfigurationseinstellungendie Option + Einstellungen hinzufügen aus, und suchen Sie in der Einstellungsauswahl nach eSIM . Nachdem Sie eSIM ausgewählt haben, können Sie die Einstellungen auswählen, die Sie für Ihre Richtlinie verfügbar machen möchten.
Im Bereich Server herunterladen :
1 – Automatische Aktivierung: Gibt an, ob das ermittelte Profil nach der Installation automatisch aktiviert werden muss. Der Standardwert der Dropdownliste ist Aktivieren. Wählen Sie Automatisch aktivieren aus, wenn das eSIM-Profil automatisch aktiviert werden soll (unabhängig von anderen eSIM-Profilen, die in eUICC gespeichert sind).
2 – Servername: Dies ist der vollqualifizierte Domänenname des SM-DP+-Servers, der für die Profilermittlung verwendet wird. Geben Sie z. B. ein
smdp.example.com
(nicht einschließenhttps://
).3 – Lokale Benutzeroberfläche anzeigen: Bestimmt, ob eSIM-Einstellungen in der Einstellungs-App auf den bereitgestellten eSIM-fähigen Geräten angezeigt und geändert werden können. True, falls verfügbar, andernfalls false. Wenn Lokale Benutzeroberfläche anzeigen auf Deaktiviert festgelegt ist, muss Die Automatische Aktivierung aktiviert sein.
Geben Sie den Servernamen ein, wählen Sie die gewünschten Einstellungen aus, und wählen Sie dann Weiter aus.
Fügen Sie auf der Registerkarte Bereichstags die erforderlichen Tags hinzu, und wählen Sie Weiter aus.
Wählen Sie auf der Registerkarte Zuweisungen die Gerätegruppe aus, die Sie in Schritt 1 – Erstellen einer Gerätegruppe erstellt haben. Weitere Informationen zum Zuweisen des Profils findest du unter Zuweisen von Geräteprofilen in Microsoft Intune.
Überprüfen Sie auf der Registerkarte Überprüfen + erstellen alle Details, und wählen Sie Erstellen aus.
Bewährte Methoden und Problembehandlung
Erstellen Sie eine Microsoft Entra-Gerätegruppe, die nur die eSIM-Zielgeräte enthält. Wenn die Richtlinie auf einem Nicht-eSIM-fähigen Gerät bereitgestellt wird, zeigt der Zuweisungsstatus einen Fehler an.
Die aktuelle Implementierung unterstützt nur einen einzelnen Servernamen. Auch wenn weitere Servernamen hinzugefügt werden, wird nur der erste Servernamen verwendet.
Wenn die lokale Benutzeroberfläche nicht als Teil des Konfigurationsprofils deaktiviert ist, können Sie das aktive Profil ändern, die Verwendung beenden oder eines der auf dem Gerät gespeicherten eSIM-Profile entfernen.
Wie bei anderen Einstellungen in Intune bedeutet dies, dass die Einstellungen angewendet werden, wenn der Bereitstellungsstatus als erfolgreich angezeigt wird. Dies bedeutet nicht unbedingt, dass das eSIM-Profil heruntergeladen und aktiviert wird.
Es gibt derzeit keine Methode zum Entfernen eines eSIM-Profils mithilfe von Intune. Das Profil muss manuell vom Gerät entfernt werden.
Intune kann nicht zwischen einer eSIM und einem Nicht-eSIM-Gerät unterscheiden.