Microsoft Intune の設定カタログを使用して eSIM ダウンロード サーバーを構成する
Windows 接続 PC などの携帯ネットワーク対応デバイスの ID は、通常、SIM (サブスクライバー ID モジュール) と呼ばれるデバイスにカプセル化され、個別の SIM カードとしてパッケージ化されます。 多くのデバイスの SIM カードの管理には、コストと時間がかかる場合があります。 そのため、Windows 10 と Windows 11 では、個別の SIM カードのデジタル代替手段として eSIM (埋め込みサブスクライバー ID モジュール) テクノロジがサポートされています。
Windows 11 には、Microsoft Intune などのモバイル デバイス管理 (MDM) サービスを使用した eSIM コンテンツの展開と管理に関するより多くの機能が用意されています。
この機能は、以下に適用されます。
- Windows 11
Intune では、次のオプションを使用して eSIM コードを一括アクティブ化できます。
オプション | プラットフォーム サポート | 説明 |
---|---|---|
eSIM ダウンロード サーバー (この記事) |
✅ Windows 11 (推奨) ❌ Windows 10 - CSV ファイルを使用してアクティブ化コードをインポートします。 |
設定カタログ ポリシーで、携帯電話会社のダウンロード サーバー FQDN を追加します。 デバイスがダウンロード サーバーに接続し、認証を行い、eSIM 接続情報を受信します。 個々のアクティブ化コードは必要ありません。 |
CSV ファイルを使用してアクティブ化コードをインポートする |
✅ Windows 11 (サポートされていますが推奨されていません) - 代わりに eSIM ダウンロード サーバーを使用します ✅ Windows 10 |
eSIM ポリシーで、ワンタイムユースアクティブ化コードをインポートします。 eSIM ハードウェアは、ライセンス認証コードを使用して携帯電話会社に連絡し、eSIM ポリシーをダウンロードし、携帯ネットワークライセンス認証を構成します。 個々のアクティブ化コードが必要です。 |
Intune 設定カタログ ポリシーを使用すると、eSIM ダウンロード サーバーを使用して、サポートされているデバイスに eSIM を追加できます。 この記事では、eSIM の詳細、プロセスの説明、前提条件の一覧、および設定カタログを使用して eSIM を構成する手順の一覧を示します。
eSIM テクノロジについて
eSIM テクノロジは、携帯電話会社と携帯電話会社の世界的なエコシステムを生み出しました。 これは、モバイル通信協会 (GSMA) の共通仕様に基づいています。 普及しているスマートフォンへの組み込みにより、eSIM技術の導入は拡大を続けています。 Windows では PC 用の eSIM がサポートされ、2017 年から eSIM がサポートされています。
eSIM は、プラスチック SIM カードの安全な実行環境を、含まれている SIM 資格情報から切り離します。 セキュリティで保護されたコンテナーは、eUICC (埋め込みユニバーサル集積回路カード) と呼ばれます。 各物理 SIM カードが一意の ID を持つのと同じ方法で、各 eUICC には eUICC 識別子 (EID) と呼ばれる一意の ID があります。
携帯ネットワーク サブスクリプションを一意に識別する資格情報とその他の構成は、eSIM プロファイルと呼ばれるデジタル (ソフトウェア) パッケージに含まれています。 eUICC には、複数の eSIM プロファイルをインストールできます。 インストールされている eSIM プロファイルの 1 つが有効になっています (残りのプロファイルは無効になっています)。 有効な eSIM プロファイルとその eUICC コンテナーの組み合わせは、従来の SIM カードとまったく同じように動作します。
At-Scale eSIM PC の構成
eSIM は、PC などのデバイスへの SIM の配信をデジタル化するため、物理 SIM カードを取得して展開する必要がなくなります。 Windows の Mobile Plans アプリケーションは、ユーザーが選択した携帯電話会社と対話し、対応する eSIM プロファイルのダウンロードとインストールを調整するための使いやすいインターフェイスを提供することで、摩擦をさらに軽減します。
Mobile Plans アプリケーションは、いくつかの PC を使用する消費者や企業のニーズに適しています。 ただし、プロビジョニングされた各デバイスでのユーザー操作、大規模な作業とコストが必要です。 大規模なマネージド環境 (企業や教育機関など) をサポートするために、Windows では、Microsoft Intune などのモバイル デバイス管理 (MDM) を使用した eSIM プロビジョニングが提供されます。
Microsoft Intune などの MDM を使用して eSIM をプロビジョニングすると、作成した他の設定とポリシーを使用して eSIM 展開が構成されます。 MDM サーバーは、エンド ユーザーの職場または学校アカウントに登録されると、そのライフサイクル全体を通じて PC に構成をプッシュします。 PC が eSIM 情報で構成されると、携帯電話会社のダウンロード サーバー (SM-DP+) から eSIM プロファイルがダウンロードされます。
Windows 内では、 eUICC 構成サービス プロバイダー (CSP) が eSIM 構成を処理します。 また、CSP を使用して一部の eSIM ポリシーを構成し、各 PC が CSP から eSIM プロファイルを取得することもできます。
前提条件
Intune を使用してデバイスに eSIM を展開するには、次の前提条件が必要です。
Intune によって管理される Windows 11 バージョン 22H2 (ビルド 22621) 以上のデバイス
5G を搭載した Surface Pro 9 などの eSIM 対応デバイス
デバイスが eSIM をサポートしているかどうかわからない場合は、デバイスの製造元にお問い合わせください。 Windows デバイスに関しては、eSIM がサポートされているかどうかを確認できます。 詳細については、「eSIM を使用して Windows クライアント デバイスで携帯データネットワーク接続を取得する」を参照してください。
eUICC 識別子 (EID) に基づいて一連の既知のデバイスに eSIM プロファイルを提供できる携帯電話会社。 また、組織は、携帯電話会社との契約の一環として、PC の EID を携帯電話会社に提供する必要もあります。
PC の EID を携帯電話会社に提供するには、いくつかのオプションがあります。
オプション 1 - 組織は、デバイス パッケージから PC の EID を取得し、EID をオペレーターに直接送信します。
オプション 1 - 一括デバイス購入の場合、PC の EID は、デバイス OEM またはリセラー/ディストリビューターによって作成されたマニフェスト ファイルに含めることができます。 その後、マニフェスト ファイルを自分に送信するか、携帯電話会社に直接送信できます。
携帯電話会社が PC の EID を認識した後、携帯電話会社はダウンロード サーバー (SM-DP+) 上の各 PC の eSIM プロファイルを設定します。
携帯電話会社が提供する eSIM ダウンロード サーバー (SM-DP+ または SM-DS) 完全修飾ドメイン名 (FQDN)
smdp.example.com
など、携帯電話会社のダウンロード サーバー (SM-DP+) の完全修飾ドメイン名 (FQDN) が必要です。 Intune ポリシーでこの FQDN を入力します。 各 PC がダウンロード サーバー (SM-DP+) に接続すると、ダウンロード サーバー (SM-DP+) によって PC の EID が認証され、そのデバイスに固有の eSIM プロファイルが提供されます。個々のライセンス認証コードは必要ありません。
プロセス フロー
全体のプロセス フローは次のとおりです。
マネージド eSIM 展開を設定するには、携帯電話会社と契約し、eSIM ダウンロード サーバー (SM-DP+) に関する情報をオペレーターから取得する必要があります。 次に、オペレーターの SM-DP+ の完全修飾ドメイン名を含め、すべての eSIM 対応接続 PC に適用するポリシーと設定を構成します。
注:
MDM 管理者は、携帯電話会社によって提供されるダウンロード サーバー (SM-DP+) を指す eSIM 構成プロファイルを作成し、プロファイルを必要なグループに割り当てます。
前述のように、お客様またはお客様のサプライヤー (PC 製造元またはディストリビューター) は、接続済み PC の EID をオペレーターに提供します。 EID ごとに、オペレーターは、そのデバイスのダウンロード サーバー (SM-DP+) に eSIM プロファイルを作成します。 初期構成が完了すると、PC ごとに次のプロセスが展開されます。
エンド ユーザーは PC のボックス化を解除し、電源を入れ、Windows の初期機能を使用します。 このプロセスの一環として、エンド ユーザーは PC を Wi-Fi ネットワークに接続し、 職場または学校 アカウントにサインインします。
ユーザーが Microsoft Entra ID で認証されると、職場または学校アカウントがデバイスに設定されます。 このプロセスの一環として、PC は MDM に登録され、ユーザーが構成したとおりにプロビジョニングされます (手順 1)。 この構成には、オペレーターのダウンロード サーバー (SM-DP+) の FQDN が含まれます。
構成が完了すると、PC は標準の eSIM ダウンロード プロトコルに従ってダウンロード サーバー (SM-DP+) に接続します。 このプロセスの一環として、ダウンロード サーバー (SM-DP+) は PC の EID を受信して認証します。 ダウンロード サーバー (SM-DP+) は、その EID (手順 2 で作成) の eSIM プロファイルを検索し、その eSIM プロファイルを PC にダウンロードします。
PC は eSIM プロファイルをインストールして有効にします。 Windows は携帯電話会社を認識し、アクセス ポイント名 (APN) などの携帯ネットワーク設定を構成し、PC が携帯ネットワーク経由で接続されるようになりました。
注:
説明されているプロセス フローでは、デバイスの初期セットアップ エクスペリエンスに焦点を当てます。 ただし、eSIM プロビジョニングは、マネージド デバイスのデバイスのライフサイクル全体を通じていつでも実行することもできます。
手順 1 - デバイス グループを作成する
eSIM 対応デバイスを含むデバイス グループを作成します。 手順については、「グループの追加」を参照してください。
注:
eSIM デバイスを含む静的な Microsoft Entra デバイス グループを作成することをお勧めします。 グループを使用すると、eSIM デバイスのみを対象としていることを確認します。
手順 2 - Intune でプロファイルを作成する
このプロファイルでは、携帯電話会社のダウンロード サーバー (SM-DP+) の FQDN を使用し、デバイスで eSIM を有効にします。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- プロファイルの種類: [設定カタログ] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- [名前]: 新しいポリシーのわかりやすい名前を入力します。
- [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[ 構成設定] タブで、[+ 設定の 追加] を選択し、設定ピッカーで eSIM を検索します。 eSIM を選択した後、ポリシーで使用できるようにする設定を選択できます。
[サーバーのダウンロード] 領域で、次 の手順を実行します 。
1 - 自動有効化: インストール後に検出されたプロファイルを自動的に有効にする必要があるかどうかを示します。 ドロップダウン リストの既定値は [有効] です。 eSIM プロファイルを自動的に有効にする (eUICC に格納されている他の eSIM プロファイルとは無関係) 場合は、[ 自動有効] を選択します。
2 - サーバー名: プロファイル検出に使用される SM-DP+ サーバーの完全修飾ドメイン名です。 たとえば、「
smdp.example.com
」と入力します (https://
は含まれません)。3 - ローカル UI の表示: プロビジョニングされている eSIM 対応デバイスの設定アプリで eSIM 設定を表示および変更できるかどうかを指定します。 使用可能な場合は True、それ以外の場合は false。 [ローカル UI の表示] が [無効] に設定されている場合は、[自動有効化] をオンにする必要があります。
[サーバー名] を入力し、目的の設定を選択し、[ 次へ] を選択します。
[ スコープ タグ ] タブで、必要なタグを追加し、[ 次へ] を選択します。
[ 割り当て ] タブで、「 手順 1 - デバイス グループを作成する」で作成したデバイス グループを選択します。 プロファイルの割り当ての詳細については、「Microsoft Intune で デバイス プロファイルを割り当てる 」を参照してください。
[ 確認と作成 ] タブで、すべての詳細を確認し、[ 作成] を選択します。
ベスト プラクティスとトラブルシューティング
対象となる eSIM デバイスのみを含むデバイス Microsoft Entra グループを作成します。 ポリシーが eSIM 対応以外のデバイスに展開されている場合、 割り当て状態 にエラーが表示されます。
現在の実装では、1 つのサーバー名のみがサポートされています。 サーバー名を追加した場合でも、最初のサーバー名のみが使用されます。
ローカル UI が構成プロファイルの一部として無効になっていない場合は、アクティブなプロファイルを変更したり、使用を停止したり、デバイスに格納されている任意の eSIM プロファイルを削除したりできます。
Intune の他の設定と同様に、展開の状態が 正常と表示されると、設定が適用されることを意味します。 必ずしも、eSIM プロファイルがダウンロードされてアクティブ化されるとは限りません。
現在、Intune を使用して eSIM プロファイルを削除する方法はありません。 プロファイルは、デバイスから手動で削除する必要があります。
Intune では、eSIM デバイスと eSIM 以外のデバイスを区別できません。