Configurer le serveur de téléchargement eSIM à l’aide de Microsoft Intune

  • Article

L’identité d’un appareil mobile, tel qu’un PC connecté à Windows, est traditionnellement encapsulée dans un appareil appelé SIM (Module d’identité de l’abonné) et empaquetée en tant que carte SIM discrète. La gestion des cartes SIM pour une flotte d’appareils peut être coûteuse et fastidieuse. Par conséquent, Windows 10 et Windows 11 prennent en charge la technologie eSIM (embedded Subscriber Identity Module) comme alternative numérique aux cartes SIM discrètes. Windows 11 offre davantage de fonctionnalités pour le déploiement et la gestion du contenu eSIM à l’aide de mobile Gestion des appareils (GPM), comme Microsoft Intune.

À propos de la technologie eSIM

La technologie eSIM a créé un écosystème mondial d’appareils cellulaires et d’opérateurs mobiles basé sur une spécification commune de l’Association GSMA (GSMA). L’adoption de la technologie eSIM a augmenté en raison de son incorporation dans les téléphones intelligents populaires. Windows prend en charge eSIM pour LES PC depuis 2017.

eSIM dissocie l’environnement d’exécution sécurisé de l’carte SIM en plastique des informations d’identification SIM qu’elle contient. Le conteneur sécurisé est appelé eUICC (carte de circuit intégré universel incorporé). De la même façon que chaque carte SIM physique a une identité unique, chaque eUICC a une identité unique appelée identificateur eUICC (EID).

Technologie eUICC et eSIM.

Les informations d’identification et les autres configurations associées qui identifient de manière unique un abonnement cellulaire sont contenues dans un package numérique (logiciel) appelé profil eSIM. Plusieurs profils eSIM peuvent être installés dans un eUICC. L’un des profils eSIM installés est activé (et les autres sont désactivés). La combinaison du profil eSIM activé et de son conteneur eUICC se comporte exactement comme une carte SIM traditionnelle.

configuration At-Scale des PC eSIM

eSIM numérise la livraison de cartes SIM à des appareils tels que des PC, ce qui élimine la nécessité d’obtenir et de déployer des cartes SIM physiques. L’application Forfaits mobiles dans Windows réduit davantage les frictions en fournissant une interface conviviale permettant à un utilisateur d’interagir avec un opérateur mobile choisi et de coordonner le téléchargement et l’installation du profil eSIM correspondant.

L’application Forfaits mobiles est bien adaptée aux besoins des consommateurs et des entreprises disposant de quelques PC. Toutefois, cela nécessite une interaction utilisateur sur chaque appareil approvisionné, un effort et un coût qui peuvent devenir importants à grande échelle. Pour prendre en charge les environnements managés à plus grande échelle (tels qu’une entreprise ou un organization scolaire), Windows fournit l’approvisionnement eSIM via la gestion des appareils mobiles (GPM), comme Microsoft Intune.

Lorsqu’une entreprise provisionne une eSIM par le biais d’une GPM telle que Microsoft Intune, elle configure également le déploiement eSIM avec d’autres paramètres et stratégies d’entreprise. Lorsque le serveur MDM est inscrit au compte professionnel ou scolaire de l’utilisateur final, il envoie la configuration au PC tout au long de son cycle de vie. Une fois le PC configuré avec les informations eSIM, il télécharge le profil eSIM à partir du serveur de téléchargement de l’opérateur mobile (SM-DP+).

Dans Windows, le fournisseur de services de configuration eUICCs gère la configuration eSIM. En outre, l’entreprise peut également configurer certaines stratégies eSIM via le fournisseur de solutions Cloud et chaque PC obtient son profil eSIM auprès du csp.

Configuration requise

En plus d’un PC connecté Windows 11 (PC compatible eSIM) géré via Microsoft Intune, vous avez besoin des informations suivantes :

Un opérateur mobile qui peut fournir des profils eSIM à un ensemble d’appareils connus en fonction de leurs EID. Cela, à son tour, nécessite qu’une entreprise (ou une école) puisse fournir les EID de ses PC à l’opérateur dans le cadre de son contrat avec l’opérateur mobile.

  • L’une des options consiste pour l’entreprise à obtenir les EID de ses PC à partir de l’emballage de PC et de les envoyer directement à l’opérateur.

  • Sinon, pour les achats d’appareils en bloc, les EID de leurs PC peuvent être fournis dans un fichier manifeste créé par l’OEM de l’appareil ou un revendeur/distributeur et remis à l’entreprise avec les appareils ou directement à l’opérateur mobile.

Une fois que l’opérateur mobile connaît les EID des PC du client, l’opérateur mobile configure des profils eSIM pour chaque PC sur son serveur de téléchargement (SM-DP+). L’entreprise doit connaître le nom de domaine complet (FQDN) du serveur de téléchargement (SM-DP+). Par exemple, smdp.example.com. Toutefois, il n’a pas besoin de codes d’activation individuels. Lorsque chaque PC contacte le serveur de téléchargement (SM-DP+), le serveur de téléchargement (SM-DP+) authentifie l’EID du PC et lui fournit le profil eSIM propre à cet appareil.

Flux de processus

Flux de processus pour l’activation en bloc eSIM via le serveur de téléchargement.

Le flux de processus global est le suivant :

  1. Pour configurer un déploiement eSIM managé, le client d’entreprise doit avoir un contrat avec un opérateur mobile et obtenir des informations de l’opérateur sur son serveur de téléchargement eSIM (SM-DP+). L’entreprise configure ensuite les stratégies et les paramètres à appliquer à tous ses PC connectés compatibles eSIM, y compris le nom de domaine complet du SM-DP+de l’opérateur.

    Remarque

    L’administrateur GPM crée le profil de configuration eSIM pointant vers le serveur de téléchargement (SM-DP+) fourni par l’opérateur mobile et attribue le profil aux groupes requis.

  2. Comme décrit précédemment, l’entreprise ou son fournisseur (fabricant de PC ou distributeur) fournit les EID des PC connectés à l’opérateur. Pour chaque EID, l’opérateur crée un profil eSIM sur son serveur de téléchargement (SM-DP+) pour cet appareil. Une fois la configuration initiale terminée, le processus suivant se déroule pour chaque PC :

  3. L’utilisateur final unboxe le PC, l’allume et passe par l’expérience windows prête à l’emploi initiale. Dans le cadre de ce processus, l’utilisateur final connecte le PC à un réseau Wi-Fi et se connecte à son compte professionnel ou scolaire .

  4. Une fois que l’utilisateur s’est authentifié auprès des Microsoft Entra ID de l’entreprise (ou de l’établissement scolaire), le compte professionnel ou scolaire est configuré sur l’appareil. Dans le cadre de ce processus, le PC est inscrit à GPM, qui le provisionne ensuite comme configuré par l’entreprise (à l’étape 1). Cette configuration inclut le nom de domaine complet du serveur de téléchargement de l’opérateur (SM-DP+).

  5. Une fois la configuration terminée, le PC se connecte au serveur de téléchargement (SM-DP+) conformément au protocole de téléchargement eSIM standard. Dans le cadre de ce processus, le serveur de téléchargement (SM-DP+) reçoit et authentifie l’EID du PC. Le serveur de téléchargement (SM-DP+) recherche le profil eSIM pour ce EID (créé à l’étape 2) et télécharge ce profil eSIM sur le PC.

  6. Le PC installe et active le profil eSIM. Windows reconnaît l’opérateur mobile et configure les paramètres cellulaires, tels que le nom du point d’accès (APN), et le PC est désormais connecté sur un réseau cellulaire.

Remarque

Le flux de processus décrit se concentre sur l’expérience de configuration initiale de l’appareil. Toutefois, l’approvisionnement eSIM peut également être effectué à tout moment tout au long du cycle de vie de l’appareil pour les appareils gérés.

Configuration Intune d’un serveur de téléchargement eSIM

La configuration Intune du serveur de téléchargement eSIM d’un opérateur mobile s’effectue via un profil de configuration affecté à un groupe.

Cette fonctionnalité s’applique à :

  • Windows 11

Pour déployer eSIM sur vos appareils à l’aide d’Intune, les éléments suivants sont nécessaires :

  • Appareils compatibles eSIM, tels que le Surface Pro 9 avec 5G : vérifiez si votre appareil prend en charge eSIM.
  • Windows 11 (version 22H2 (build 22621) ou ultérieure) qui est inscrit et géré par Intune
  • Nom de domaine complet (FQDN) du serveur de téléchargement eSIM (SM-DP+ ou SM-DS) fourni par votre opérateur mobile. Pour plus d’informations, contactez votre opérateur mobile.

Appareils compatibles avec eSIM

Si vous n’êtes pas sûr que vos appareils prennent en charge eSIM, contactez le fabricant de votre appareil. Sur les appareils Windows, vous pouvez vérifier la prise en charge d’eSIM. Pour plus d’informations, consultez Utilisez une eSIM pour obtenir une connexion de données cellulaires sur votre appareil client Windows.

Une fois que votre opérateur mobile a confirmé que vous devez créer des profils eSIM sur le serveur de téléchargement (SM-DP+), accédez à Microsoft Intune et créez un profil pour les EID liés aux appareils Windows compatibles eSIM que vous souhaitez activer avec eSIM.

Créer un groupe d’appareils Microsoft Entra

Créez un groupe d’appareils qui comprend les appareils compatibles avec eSIM. Ajouter des groupes répertorie les étapes.

Remarque

Nous vous recommandons de créer un groupe d’appareils Microsoft Entra statique qui inclut vos appareils eSIM. L’utilisation d’un groupe permet de confirmer que vous ciblez uniquement des appareils eSIM.

Créer un profil

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. SélectionnezConfiguration>des appareils>Créer.

  3. Pour le champ Plateforme, sélectionnez Windows 10 et versions ultérieures.

  4. Pour le champ Type de profil, sélectionnez Catalogue de paramètres.

  5. Sélectionnez Créer et suivez l’Assistant pour effectuer les étapes.

  6. Sous l’onglet De base , entrez le Nom et la Description du profil, puis sélectionnez Suivant.

  7. Sous l’onglet Paramètres de configuration , sélectionnez + Ajouter des paramètres et recherchez eSIM dans le Sélecteur de paramètres. Après avoir sélectionné eSIM, vous pouvez sélectionner les paramètres que vous souhaitez rendre disponibles dans votre stratégie.

    Onglet Paramètres de configuration dans le processus Créer un profil.

    • Dans la zone Télécharger les serveurs :

      • 1 - Activer automatiquement : indique si le profil découvert doit être automatiquement activé après l’installation. La valeur par défaut de la liste déroulante est Activer. Sélectionnez Activer automatiquement si le profil eSIM doit être activé automatiquement (indépendamment des autres profils eSIM stockés dans eUICC).

      • 2 - Nom du serveur : il s’agit du nom de domaine complet du serveur SM-DP+ utilisé pour la découverte de profil. Par exemple, smdp.example.com (n’incluez pas https://)

      • 3 - Afficher l’interface utilisateur locale : détermine si les paramètres eSIM peuvent être affichés et modifiés dans l’application Paramètres sur les appareils compatibles eSIM en cours d’approvisionnement. True si disponible, false dans le cas contraire. Si Afficher l’interface utilisateur locale est défini sur Désactivé, l’option Activer automatique doit être cochée.

    • Entrez le Nom du serveur, sélectionnez les paramètres souhaités, puis sélectionnez Suivant.

  8. Sous l’onglet Balises d’étendue , ajoutez les balises requises, puis sélectionnez Suivant.

  9. Sous l’onglet Affectations , sélectionnez le ou les groupes d’utilisateurs ou d’appareils à attribuer à votre profil. Pour plus d’informations sur l’attribution du profil à un utilisateur ou un groupe d’appareils, consultez Attribuer des profils d’appareil dans Microsoft Intune. En outre, avant de créer le profil, vous devez configurer vos groupes. Pour plus d’informations, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.

  10. Sous l’onglet Vérifier + créer , passez en revue tous les détails, puis sélectionnez Créer.

Bonnes pratiques et dépannage

  • Créez un groupe de Microsoft Entra d’appareils qui inclut uniquement les appareils eSIM ciblés. (Remarque : si la stratégie est déployée sur un appareil qui ne prend pas en charge eSIM, l’état de l’affectation affiche une erreur.)

  • L’implémentation actuelle ne prend en charge qu’un seul nom de serveur. Même si d’autres noms de serveurs sont ajoutés, seul le premier est utilisé.

  • Si l’interface utilisateur locale n’est pas désactivée dans le cadre du profil de configuration, vous pouvez modifier le profil actif, arrêter d’utiliser ou supprimer l’un des profils eSIM stockés dans l’appareil.

  • Comme avec d’autres paramètres dans Intune, lorsque le déploiement status s’affiche comme réussi, cela signifie simplement que les paramètres sont maintenant appliqués, pas nécessairement que le profil eSIM a également été téléchargé et activé.

  • Il n’existe actuellement aucune méthode pour supprimer un profil eSIM à l’aide d’Intune. Le profil doit être supprimé manuellement de l’appareil.

  • Intune ne peut pas faire la distinction entre un appareil eSIM et un appareil non eSIM.

Prochaines étapes

Configurer des profils d’appareil