Microsoft Intuneを使用して eSIM ダウンロード サーバーを構成する

Windows 接続済み PC などの携帯ネットワーク対応デバイスの ID は、従来、SIM (サブスクライバー ID モジュール) と呼ばれるデバイスにカプセル化され、個別の SIM カードとしてパッケージ化されていました。 デバイスの群の SIM カードの管理には、コストと時間がかかる場合があります。 そのため、Windows 10とWindows 11は、個別の SIM カードのデジタル代替手段として eSIM (埋め込みサブスクライバー ID モジュール) テクノロジをサポートします。 Windows 11では、Microsoft Intuneなどのモバイル デバイス管理 (MDM) を使用した eSIM コンテンツの展開と管理に関するより多くの機能が提供されます。

eSIM テクノロジについて

eSIMテクノロジは、GSM協会(GSMA)の共通仕様に基づいて、携帯電話会社と携帯電話会社の世界的なエコシステムを作成しました。 普及しているスマートフォンへの組み込みにより、eSIM技術の導入が拡大しています。 Windows では、2017 年から PC 用の eSIM がサポートされています。

eSIM は、プラスチック SIM カードの安全な実行環境を、含まれている SIM 資格情報から切り離します。 セキュリティで保護されたコンテナーは、eUICC (埋め込みユニバーサル集積回路カード) と呼ばれます。 各物理 SIM カードが一意の ID を持つのと同じ方法で、各 eUICC には eUICC 識別子 (EID) と呼ばれる一意の ID があります。

携帯ネットワーク サブスクリプションを一意に識別する資格情報とその他の構成は、eSIM プロファイルと呼ばれるデジタル (ソフトウェア) パッケージに含まれています。 eUICC に複数の eSIM プロファイルをインストールできます。 インストールされている eSIM プロファイルの 1 つが有効になっています (残りのプロファイルは無効になっています)。 有効な eSIM プロファイルとその eUICC コンテナーの組み合わせは、従来の SIM カードとまったく同じように動作します。

At-Scale eSIM PC の構成

eSIM は、PC などのデバイスへの SIM の配信をデジタル化するため、物理 SIM カードを取得して展開する必要がなくなります。 Windows の Mobile Plans アプリケーションは、ユーザーが選択した携帯電話会社と対話し、対応する eSIM プロファイルのダウンロードとインストールを調整するための使いやすいインターフェイスを提供することで、摩擦をさらに軽減します。

Mobile Plans アプリケーションは、いくつかの PC を使用する消費者や企業のニーズに適しています。 ただし、プロビジョニングされた各デバイスでのユーザー操作、大規模な作業とコストが必要です。 大規模なマネージド環境 (エンタープライズや教育用organizationなど) をサポートするために、Windows では、Microsoft Intuneなどのモバイル デバイス管理 (MDM) を使用した eSIM プロビジョニングが提供されます。

企業は、Microsoft Intuneなどの MDM を介して eSIM をプロビジョニングすると、他のエンタープライズ設定やポリシーと共に eSIM の展開も構成されます。 MDM サーバーは、エンド ユーザーの職場または学校アカウントに登録されると、そのライフサイクル全体を通じて PC に構成をプッシュします。 PC が eSIM 情報で構成されると、携帯電話会社のダウンロード サーバー (SM-DP+) から eSIM プロファイルがダウンロードされます。

Windows 内では、 eUICC 構成サービス プロバイダー (CSP) が eSIM 構成を処理します。 さらに、企業は CSP を介して一部の eSIM ポリシーを構成することもできます。また、各 PC は CSP から eSIM プロファイルを取得します。

前提条件

Microsoft Intuneで管理されるWindows 11接続済み PC (eSIM 対応 PC) に加えて、次の情報が必要です。

EID に基づいて一連の既知のデバイスに eSIM プロファイルを提供できる携帯電話会社。 そのためには、企業 (または学校) が携帯電話会社との契約の一環として PC の EID をオペレーターに提供できる何らかの方法が必要です。

• 1 つのオプションは、企業が PC パッケージから PC の EID を取得し、オペレーターに直接送信することです。

• または、デバイスの一括購入の場合、PC の EID は、デバイス OEM またはリセラー/ディストリビューターによって作成され、デバイスを使用して企業に配信されるか、携帯電話会社に直接配信されるマニフェスト ファイルに含まれる可能性があります。

携帯電話会社が顧客の PC の EID を認識した後、携帯電話会社はダウンロード サーバー (SM-DP+) 上の各 PC の eSIM プロファイルを設定します。 企業は、ダウンロード サーバー (SM-DP+) の完全修飾ドメイン名 (FQDN) を認識する必要があります。 たとえば、smdp.example.com。 ただし、個々のアクティブ化コードは必要ありません。 各 PC がダウンロード サーバー (SM-DP+) に接続すると、ダウンロード サーバー (SM-DP+) によって PC の EID が認証され、そのデバイスに固有の eSIM プロファイルが提供されます。

プロセス フロー

全体のプロセス フローは次のとおりです。

1. マネージド eSIM 展開を設定するには、企業のお客様が携帯電話会社と契約し、eSIM ダウンロード サーバー (SM-DP+) に関する情報をオペレーターから取得する必要があります。 次に、企業は、オペレーターの SM-DP+ の完全修飾ドメイン名を含む、すべての eSIM 対応接続 PC に適用されるポリシーと設定を構成します。

   注:

   MDM 管理者は、携帯電話会社によって提供されるダウンロード サーバー (SM-DP+) を指す eSIM 構成プロファイルを作成し、プロファイルを必要なグループに割り当てます。

2. 前述のように、企業またはそのサプライヤー (PC の製造元またはディストリビューター) は、接続された PC の EID をオペレーターに提供します。 EID ごとに、オペレーターは、そのデバイスのダウンロード サーバー (SM-DP+) に eSIM プロファイルを作成します。 初期構成が完了すると、PC ごとに次のプロセスが展開されます。

3. エンド ユーザーは PC のボックス化を解除し、電源を入れ、Windows の初期機能を使用します。 このプロセスの一環として、エンド ユーザーは PC を Wi-Fi ネットワークに接続し、 職場または学校 アカウントにサインインします。

4. ユーザーが企業 (または学校) のMicrosoft Entra IDに対して認証されると、職場または学校アカウントがデバイスに設定されます。 このプロセスの一環として、PC は MDM に登録され、エンタープライズによって構成されたとおりにプロビジョニングされます (手順 1)。 この構成には、オペレーターのダウンロード サーバー (SM-DP+) の FQDN が含まれます。

5. 構成が完了すると、PC は標準の eSIM ダウンロード プロトコルに従ってダウンロード サーバー (SM-DP+) に接続します。 このプロセスの一環として、ダウンロード サーバー (SM-DP+) は PC の EID を受信して認証します。 ダウンロード サーバー (SM-DP+) は、その EID (手順 2 で作成) の eSIM プロファイルを検索し、その eSIM プロファイルを PC にダウンロードします。

6. PC は eSIM プロファイルをインストールして有効にします。 Windows は携帯電話会社を認識し、アクセス ポイント名 (APN) などの携帯ネットワーク設定を構成し、PC が携帯ネットワーク経由で接続されるようになりました。

注:

説明されているプロセス フローでは、デバイスの初期セットアップ エクスペリエンスに焦点を当てます。 ただし、eSIM プロビジョニングは、マネージド デバイスのデバイスのライフサイクル全体を通じていつでも実行することもできます。

eSIM ダウンロード サーバーの Intune 構成

携帯電話会社の eSIM ダウンロード サーバーの Intune 構成は、グループに割り当てられた構成プロファイルを使用して行われます。

この機能は、以下に適用されます。

• Windows 11

Intune を使ってご利用のデバイスに eSIM を展開するには、次のものが必要です。

• 5G を使用した Surface Pro 9 などの eSIM 対応デバイス: デバイスが eSIM をサポートしているかどうかを確認します。
• Intune によって登録され MDM で管理されているWindows 11 (バージョン 22H2 (ビルド 22621) 以降)
• 携帯電話会社によって提供される eSIM ダウンロード サーバー (SM-DP+ または SM-DS) 完全修飾ドメイン名 (FQDN)。 詳細については、携帯電話会社にお問い合わせください。

eSIM 対応デバイス

デバイスが eSIM をサポートしているかどうかわからない場合は、デバイスの製造元にお問い合わせください。 Windows デバイスに関しては、eSIM がサポートされているかどうかを確認できます。 詳細については、「eSIM を使用して Windows クライアント デバイスで携帯データネットワーク接続を取得する」を参照してください。

携帯電話会社がダウンロード サーバー (SM-DP+) で eSIM プロファイルを作成する必要があることを確認したら、Microsoft Intuneに移動し、eSIM で有効にする eSIM 対応 Windows デバイスに関連付けられている EID のプロファイルを作成します。

Microsoft Entra デバイス グループを作成する

eSIM 対応デバイスを含むデバイス グループを作成します。 手順については、「グループの追加」を参照してください。

注:

eSIM デバイスを含む静的Microsoft Entra デバイス グループを作成することをお勧めします。 グループを使用すれば、確実に eSIM デバイスのみがターゲットとなります。

プロファイルの作成

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス構成の作成] を>選択します>。

3. [プラットフォーム] フィールドで、[Windows 10 以降] を選択します。

4. [ プロファイルの種類 ] フィールドで、[ 設定カタログ] を選択します。

5. [ 作成 ] を選択し、ウィザードに従って手順を完了します。

6. [ 基本 ] タブで、プロファイルの [名前] と [説明] を入力し、[ 次へ] を選択します。

7. [ 構成設定] タブで、[+ 設定の 追加] を選択し、設定ピッカーで eSIM を検索します。 eSIM を選択した後、ポリシーで使用できるようにする設定を選択できます。

   

   • [サーバーのダウンロード] 領域で、次 の手順を実行します 。

     • 1 - 自動有効化: インストール後に検出されたプロファイルを自動的に有効にする必要があるかどうかを示します。 ドロップダウン リストの既定値は [有効] です。 eSIM プロファイルを自動的に有効にする (eUICC に格納されている他の eSIM プロファイルとは無関係) 場合は、[ 自動有効] を選択します。

     • 2 - サーバー名: プロファイル検出に使用される SM-DP+ サーバーの完全修飾ドメイン名です。 たとえば、 smdp.example.com ( https:// は含まれません)

     • 3 - ローカル UI の表示: プロビジョニングされている eSIM 対応デバイスの設定アプリで eSIM 設定を表示および変更できるかどうかを指定します。 使用可能な場合は True、それ以外の場合は false。 [ローカル UI の表示] が [無効] に設定されている場合は、[自動有効化] をオンにする必要があります。

   • [サーバー名] を入力し、目的の設定を選択し、[ 次へ] を選択します。

8. [ スコープ タグ ] タブで、必要なタグを追加し、[ 次へ] を選択します。

9. [ 割り当て ] タブで、プロファイルを割り当てるユーザーまたはデバイス グループを選択します。 プロファイルをユーザーまたはデバイス グループに割り当てる方法の詳細については、「Microsoft Intuneでデバイス プロファイルを割り当てる」を参照してください。 また、プロファイルを作成する前に、グループを設定する必要があります。 詳細については、「グループを追加してユーザーとデバイスを整理する」を参照してください。

10. [ 確認と作成 ] タブで、すべての詳細を確認し、[ 作成] を選択します。

ベスト プラクティスとトラブルシューティング

• ターゲットの eSIM デバイスのみを含むデバイス Microsoft Entra グループを作成します。 (注: ポリシーが eSIM 対応ではないデバイスに展開されている場合、 割り当て状態 にエラーが表示されます)。

• 現在の実装では、1 つのサーバー名のみがサポートされています。 サーバー名を追加した場合でも、最初のサーバー名のみが使用されます。

• ローカル UI が構成プロファイルの一部として無効になっていない場合は、アクティブなプロファイルを変更したり、使用を停止したり、デバイスに格納されている任意の eSIM プロファイルを削除したりできます。

• Intune の他の設定と同様に、展開の状態が 正常 と表示される場合は、設定が適用されたことを意味します。必ずしも eSIM プロファイルもダウンロードしてアクティブ化されているとは限りません。

• 現在、Intune を使用して eSIM プロファイルを削除する方法はありません。 プロファイルは、デバイスから手動で削除する必要があります。

• Intune では、eSIM デバイスと eSIM 以外のデバイスを区別できません。

次の手順

デバイス ポリシーを構成する