Microsoft Intune 사용하여 eSIM 다운로드 서버 구성

Windows 연결된 PC와 같은 셀룰러 사용 디바이스의 ID는 전통적으로 SIM(구독자 ID 모듈)이라는 디바이스에 캡슐화되어 개별 SIM 카드 패키지되었습니다. 디바이스에 대한 SIM 카드 관리는 비용이 많이 들고 시간이 많이 걸릴 수 있습니다. 따라서 Windows 10 및 Windows 11 개별 SIM 카드에 대한 디지털 대안으로 eSIM(임베디드 구독자 ID 모듈) 기술을 지원합니다. Windows 11 Microsoft Intune 같은 MDM(모바일 장치 관리)을 사용하여 eSIM 콘텐츠를 배포하고 관리하는 데 더 많은 기능을 제공합니다.

eSIM 기술 정보

eSIM 기술은 GSMA(GSM Association)의 일반적인 사양에 따라 셀룰러 디바이스 및 통신사의 전 세계 에코시스템을 만들었습니다. eSIM 기술의 채택은 인기 있는 스마트폰에 통합되어 증가하고 있습니다. Windows는 2017년부터 PC용 eSIM을 지원해 왔다.

eSIM은 포함된 SIM 자격 증명에서 플라스틱 SIM 카드 보안 실행 환경을 분리합니다. 보안 컨테이너를 eUICC(포함된 유니버설 통합 회로 카드)라고 합니다. 각 물리적 SIM 카드 고유한 ID를 갖는 것과 동일한 방식으로 각 eUICC에는 eUICC 식별자(EID)라는 고유한 ID가 있습니다.

셀룰러 구독을 고유하게 식별하는 자격 증명 및 연결된 기타 구성은 eSIM 프로필이라는 디지털(소프트웨어) 패키지에 포함되어 있습니다. eUICC에 여러 eSIM 프로필을 설치할 수 있습니다. 설치된 eSIM 프로필 중 하나가 사용하도록 설정되고 나머지는 사용하지 않도록 설정됩니다. 활성화된 eSIM 프로필과 eUICC 컨테이너의 조합은 기존 SIM 카드 동일하게 작동합니다.

At-Scale eSIM PC 구성

eSIM은 PC와 같은 디바이스에 대한 SIM 배달을 디지털화하여 실제 SIM 카드를 가져오고 배포할 필요가 없습니다. Windows의 Mobile Plans 애플리케이션은 사용자가 선택한 통신사와 상호 작용하고 해당 eSIM 프로필의 다운로드 및 설치를 조정할 수 있는 사용자 친화적인 인터페이스를 제공하여 마찰을 더욱 줄입니다.

Mobile Plans 애플리케이션은 몇 개의 PC가 있는 소비자 및 기업의 요구에 적합합니다. 그러나 프로비전되는 각 디바이스에서 사용자 상호 작용이 필요하며, 대규모로 상당한 노력이 필요할 수 있습니다. 대규모 관리 환경(예: 엔터프라이즈 또는 교육 organization)을 지원하기 위해 Windows는 Microsoft Intune 같은 MDM(모바일 디바이스 관리)을 통해 eSIM 프로비저닝을 제공합니다.

엔터프라이즈가 Microsoft Intune 같은 MDM을 통해 eSIM을 프로비전하는 경우 다른 엔터프라이즈 설정 및 정책과 함께 eSIM 배포도 구성합니다. MDM 서버가 최종 사용자의 회사 또는 학교 계정에 등록되면 수명 주기 내내 구성을 PC에 푸시합니다. PC가 eSIM 정보로 구성된 후 통신사의 다운로드 서버(SM-DP+)에서 eSIM 프로필을 다운로드합니다.

Windows 내에서 eUICCs CSP(구성 서비스 공급자)는 eSIM 구성을 처리합니다. 또한 엔터프라이즈는 CSP를 통해 일부 eSIM 정책을 구성할 수 있으며 각 PC는 CSP에서 해당 eSIM 프로필을 가져옵니다.

필수 구성 요소

Microsoft Intune 통해 관리되는 Windows 11 연결된 PC(eSIM 지원 PC) 외에도 다음 정보가 필요합니다.

EID를 기반으로 알려진 디바이스 집합에 eSIM 프로필을 제공할 수 있는 통신사입니다. 이를 위해서는 기업(또는 학교)이 통신사와의 계약의 일환으로 PC의 EID를 운영자에게 제공할 수 있는 방법이 필요합니다.

• 한 가지 옵션은 기업이 PC 패키징에서 PC의 EID를 가져와 운영자에게 직접 보내는 것입니다.

• 또는 대량 디바이스 구매의 경우 PC의 EID는 디바이스 OEM 또는 재판매인/배포자가 만든 매니페스트 파일로 제공되어 디바이스 또는 통신사에 직접 엔터프라이즈에 배달될 수 있습니다.

통신사가 고객 PC의 EID를 알고 나면 통신사는 다운로드 서버(SM-DP+)의 각 PC에 대해 eSIM 프로필을 설정합니다. 엔터프라이즈는 다운로드 서버(SM-DP+)의 FQDN(정규화된 도메인 이름)을 알고 있어야 합니다. 예를 들어 smdp.example.com. 그러나 개별 활성화 코드는 필요하지 않습니다. 각 PC가 다운로드 서버(SM-DP+)에 연결되면 다운로드 서버(SM-DP+)는 PC의 EID를 인증하고 해당 디바이스와 관련된 eSIM 프로필을 제공합니다.

프로세스 흐름

전체 프로세스 흐름은 다음과 같습니다.

1. 관리형 eSIM 배포를 설정하려면 엔터프라이즈 고객이 통신사와 계약을 맺고 해당 eSIM 다운로드 서버(SM-DP+)에 대한 정보를 운영자로부터 가져와야 합니다. 그런 다음, 엔터프라이즈는 운영자의 SM-DP+의 정규화된 도메인 이름을 포함하여 모든 eSIM 지원 연결된 PC에 적용되도록 정책 및 설정을 구성합니다.

   참고

   MDM 관리자는 통신사에서 제공하는 다운로드 서버(SM-DP+)를 가리키는 eSIM 구성 프로필을 만들고 필요한 그룹에 프로필을 할당합니다.

2. 앞에서 설명한 대로 엔터프라이즈 또는 해당 공급업체(PC 제조업체 또는 배포자)는 연결된 PC의 EID를 운영자에게 제공합니다. 각 EID에 대해 운영자는 해당 디바이스의 다운로드 서버(SM-DP+)에 eSIM 프로필을 만듭니다. 초기 구성이 완료되면 각 PC에 대해 다음 프로세스가 진행됩니다.

3. 최종 사용자는 PC의 받은 편지함을 해제하고 전원을 켜고 초기 Windows 기본 제공 환경을 진행합니다. 이 프로세스의 일부로 최종 사용자는 PC를 Wi-Fi 네트워크에 연결하고 회사 또는 학교 계정에 로그인합니다.

4. 사용자가 엔터프라이즈(또는 학교) Microsoft Entra ID 인증한 후 회사 또는 학교 계정이 디바이스에 설정됩니다. 이 프로세스의 일부로 PC는 MDM에 등록되어 엔터프라이즈에서 구성한 대로 프로비전합니다(1단계). 이 구성에는 운영자 다운로드 서버의 FQDN(SM-DP+)이 포함됩니다.

5. 구성이 완료되면 PC는 표준 eSIM 다운로드 프로토콜에 따라 다운로드 서버(SM-DP+)에 연결됩니다. 이 프로세스의 일부로 다운로드 서버(SM-DP+)는 PC의 EID를 수신하고 인증합니다. 다운로드 서버(SM-DP+)는 해당 EID(2단계에서 만든)에 대한 eSIM 프로필을 조회하고 해당 eSIM 프로필을 PC에 다운로드합니다.

6. PC는 eSIM 프로필을 설치하고 사용하도록 설정합니다. Windows는 통신사를 인식하고 APN(액세스 지점 이름)과 같은 셀룰러 설정을 구성하며, 이제 PC가 셀룰러를 통해 연결됩니다.

참고

설명된 프로세스 흐름은 초기 디바이스 설정 환경에 중점을 둡니다. 그러나 eSIM 프로비저닝은 관리되는 디바이스에 대한 디바이스의 수명 주기 내내 언제든지 수행할 수 있습니다.

eSIM 다운로드 서버의 Intune 구성

통신사의 eSIM 다운로드 서버의 Intune 구성은 그룹에 할당된 구성 프로필을 통해 수행됩니다.

이 기능은 다음에 적용됩니다.

• Windows 11

Intune을 사용하여 eSIM을 디바이스에 배포하려면 다음이 필요합니다.

• 5G가 있는 Surface Pro 9와 같은 eSIM 지원 디바이스: 디바이스가 eSIM을 지원하는지 확인합니다.
• 등록되고 Intune에서 관리하는 MDM인 Windows 11(버전 22H2(빌드 22621) 이상)
• eSIM 다운로드 서버(SM-DP+ 또는 SM-DS) 통신사에서 제공하는 FQDN(정규화된 도메인 이름) 입니다. 자세한 내용은 통신사에 문의하세요.

eSIM 지원 디바이스

디바이스가 eSIM을 지원하는지 확실하지 않은 경우 디바이스 제조업체에 문의하세요. Windows 디바이스에서 eSIM 지원 가능성을 확인할 수 있습니다. 자세한 내용은 eSIM을 사용하여 Windows 클라이언트 장치에서 셀룰러 데이터 연결을 참조하세요.

통신사가 다운로드 서버(SM-DP+)에서 eSIM 프로필을 만들어야 한다는 것을 확인한 후 Microsoft Intune 이동하여 eSIM으로 사용하도록 설정하려는 eSIM 지원 Windows 디바이스에 연결된 EID에 대한 프로필을 만듭니다.

Microsoft Entra 디바이스 그룹 만들기

eSIM 지원 디바이스를 포함하는 디바이스 그룹을 만듭니다. 그룹 추가는 단계를 나열합니다.

참고

eSIM 디바이스를 포함하는 정적 Microsoft Entra 디바이스 그룹을 만드는 것이 좋습니다. 그룹을 사용하여 eSIM 디바이스만 대상으로 하는 것을 확인합니다.

프로필 만들기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>구성>만들기를 선택합니다.

3. 플랫폼 필드에 Windows 10 이상을 선택합니다.

4. 프로필 유형 필드에 대해 설정 카탈로그를 선택합니다.

5. 만들기를 선택하고 마법사에 따라 단계를 완료합니다.

6. 기본 탭에서 프로필의 이름 및 설명을 입력하고 다음을 선택합니다.

7. 구성 설정 탭에서 + 설정 추가를 선택하고 설정 선택기에서 eSIM을 검색합니다. eSIM을 선택한 후 정책에서 사용할 수 있도록 설정할 설정을 선택할 수 있습니다.

   

   • 서버 다운로드 영역에서 다음을 수행합니다.

     • 1 - 자동 사용: 설치 후 검색된 프로필을 자동으로 사용하도록 설정해야 하는지 여부를 나타냅니다. 드롭다운 목록의 기본값은 사용입니다. eSIM 프로필을 자동으로 사용하도록 설정해야 하는 경우 자동 사용을 선택합니다(eUICC에 저장된 다른 eSIM 프로필과 독립적으로).

     • 2 - 서버 이름: 프로필 검색에 사용되는 SM-DP+ 서버의 정규화된 도메인 이름입니다. 예를 들어 smdp.example.com ( https:// 포함하지 않음)

     • 3 - 로컬 UI 표시: 프로비전 중인 eSIM 지원 디바이스의 설정 앱에서 eSIM 설정을 보고 변경할 수 있는지 여부를 결정합니다. True이면 사용할 수 있으며, 그렇지 않으면 false입니다. 로컬 UI 표시가 사용 안 함으로 설정된 경우 자동 사용을 선택해야 합니다.

   • 서버 이름을 입력하고 원하는 설정을 선택한 다음 , 다음을 선택합니다.

8. 범위 태그 탭에서 필요한 태그를 추가하고 다음을 선택합니다.

9. 할당 탭에서 사용자 또는 디바이스 그룹을 선택하여 프로필을 할당합니다. 사용자 또는 디바이스 그룹에 프로필을 할당하는 방법에 대한 자세한 내용은 Microsoft Intune 디바이스 프로필 할당을 참조하세요. 또한 프로필을 만들기 전에 그룹을 설정해야 합니다. 자세한 내용은 그룹 추가를 참조하여 사용자 및 디바이스를 구성합니다.

10. 검토 + 만들기 탭에서 모든 세부 정보를 검토하고 만들기를 선택합니다.

모범 사례 및 문제 해결

• 대상 eSIM 디바이스만 포함하는 디바이스 Microsoft Entra 그룹을 만듭니다. (참고: 정책이 eSIM 지원이 아닌 디바이스에 배포된 경우 할당 상태에 오류가 표시됩니다.)

• 현재 구현은 단일 서버 이름만 지원합니다. 서버 이름이 더 추가되더라도 첫 번째 이름만 사용됩니다.

• 로컬 UI가 구성 프로필의 일부로 사용하지 않도록 설정되지 않은 경우 활성 프로필을 변경하거나, 사용을 중지하거나, 디바이스에 저장된 eSIM 프로필을 제거할 수 있습니다.

• Intune의 다른 설정과 마찬가지로 배포 상태 성공적으로 표시되면 eSIM 프로필도 다운로드 및 활성화되지 않고 설정이 이제 적용되었음을 의미합니다.

• 현재 Intune을 사용하여 eSIM 프로필을 제거하는 방법은 없습니다. 디바이스에서 프로필을 수동으로 제거해야 합니다.

• Intune은 eSIM과 eSIM이 아닌 디바이스를 구분할 수 없습니다.

다음 단계

장치 프로필 구성