ESIM-downloadserver configureren met behulp van de instellingencatalogus in Microsoft Intune
De identiteit van een mobiel apparaat, zoals een windows-pc, wordt doorgaans ingekapseld in een apparaat met de naam SIM (Subscriber Identity Module) en verpakt als een discrete simkaart. Het beheer van simkaarten voor veel apparaten kan kostbaar en tijdrovend zijn. Daarom ondersteunen Windows 10 en Windows 11 eSIM-technologie (embedded Subscriber Identity Module) als digitaal alternatief voor discrete simkaarten.
Windows 11 biedt meer mogelijkheden voor de implementatie en het beheer van eSIM-inhoud met mdm-services (Mobile Device Management), zoals Microsoft Intune.
Deze functie is van toepassing op:
- Windows 11
In Intune kunt u eSIM-codes bulksgewijs activeren met behulp van de volgende opties:
Optie | Platformondersteuning | Beschrijving |
---|---|---|
eSIM-downloadserver (dit artikel) |
✅ Windows 11 (aanbevolen) ❌ Windows 10: gebruik activeringscodes voor importeren met behulp van een CSV-bestand. |
Voeg in een catalogusbeleid voor instellingen de FQDN van de downloadserver van uw mobiele provider toe. Het apparaat neemt contact op met de downloadserver, verifieert en ontvangt eSIM-verbindingsgegevens. Er zijn geen afzonderlijke activeringscodes nodig. |
Activeringscodes importeren met behulp van een CSV-bestand |
✅ Windows 11 (ondersteund, maar niet aanbevolen): gebruik in plaats daarvan een eSIM-downloadserver ✅ Windows 10 |
Importeer in een eSIM-beleid activeringscodes voor eenmalig gebruik. De eSIM-hardware gebruikt de activeringscodes om contact op te maken met de mobiele provider, het eSIM-beleid te downloaden en mobiele activering te configureren. Vereist afzonderlijke activeringscodes. |
Met behulp van een catalogusbeleid voor Intune-instellingen kunt u eSIM toevoegen aan uw ondersteunde apparaten met behulp van een eSIM-downloadserver. Dit artikel bevat meer informatie over eSIM, een beschrijving van het proces, de vereisten en de stappen voor het configureren van eSIM met behulp van de instellingencatalogus.
Over eSIM-technologie
eSIM-technologie heeft een wereldwijd ecosysteem van mobiele apparaten en mobiele providers gecreëerd. Het is gebaseerd op een algemene specificatie van de Global System for Mobile Communications Association (GSMA). De acceptatie van eSIM-technologie blijft groeien vanwege de integratie ervan in populaire smartphones. Windows ondersteunt eSIM voor pc's en eSIM sinds 2017.
eSIM koppelt de beveiligde uitvoeringsomgeving van de plastic simkaart los van de simkaartreferenties die deze bevat. De beveiligde container wordt een eUICC (ingesloten Universal Integrated Circuit Card) genoemd. Op dezelfde manier dat elke fysieke simkaart een unieke identiteit heeft, heeft elke eUICC een unieke identiteit met de naam eUICC Identifier (EID).
De referenties en de bijbehorende andere configuratie waarmee een mobiel abonnement uniek wordt geïdentificeerd, zijn opgenomen in een digitaal (software)pakket dat een eSIM-profiel wordt genoemd. Meerdere eSIM-profielen kunnen worden geïnstalleerd in een eUICC. Een van de geïnstalleerde eSIM-profielen is ingeschakeld (en de rest is uitgeschakeld). De combinatie van het ingeschakelde eSIM-profiel en de bijbehorende eUICC-container gedraagt zich precies zoals een traditionele simkaart.
At-Scale Configuratie van eSIM-pc's
eSIM digitaliseert de levering van SIMKAARTen aan apparaten zoals pc's, waardoor het niet meer nodig is om fysieke simkaarten te verkrijgen en te implementeren. De toepassing Mobile Plans in Windows vermindert nog meer wrijving door een gebruikersvriendelijke interface te bieden voor een gebruiker om te communiceren met een gekozen mobiele provider en het downloaden en installeren van het bijbehorende eSIM-profiel te coördineren.
De toepassing Mobile Plans is goed afgestemd op de behoeften van consumenten en bedrijven met een paar pc's. Het vereist echter gebruikersinteractie op elk apparaat dat wordt ingericht, een inspanning en kosten die op grote schaal aanzienlijk kunnen worden. Ter ondersteuning van grootschalige beheerde omgevingen (zoals een onderneming of een onderwijsorganisatie), biedt Windows eSIM-inrichting via MDM (Mobile Device Management), zoals Microsoft Intune.
Wanneer u een eSIM inricht via een MDM zoals Microsoft Intune, wordt de eSIM-implementatie geconfigureerd met andere instellingen en beleidsregels die u maakt. Wanneer de MDM-server is ingeschreven bij het werk- of schoolaccount van de eindgebruiker, wordt de configuratie gedurende de hele levenscyclus naar de pc gepusht. Nadat de pc is geconfigureerd met de eSIM-gegevens, downloadt deze het eSIM-profiel van de downloadserver van de mobiele provider (SM-DP+).
In Windows verwerkt de eUICCs Configuration Service Provider (CSP) de eSIM-configuratie. U kunt ook een aantal eSIM-beleidsregels configureren via de CSP en elke pc verkrijgt het eSIM-profiel van de CSP.
Vereisten
Als u eSIM wilt implementeren op uw apparaten met intune, hebt u de volgende vereisten nodig:
Apparaten met Windows 11 versie 22H2 (build 22621) of hoger die zijn ingeschreven en die door MDM worden beheerd door Intune
Apparaten die geschikt zijn voor eSIM, zoals de Surface Pro 9 met 5G
Als u niet zeker weet of uw apparaten eSIM ondersteunen, neemt u contact op met de fabrikant van uw apparaat. Op Windows-apparaten kunt u de ondersteuning van eSIM bevestigen. Zie Een eSIM gebruiken om een mobiele dataverbinding op uw Windows-clientapparaat te krijgen voor meer informatie.
Een mobiele provider die eSIM-profielen kan verstrekken aan een set bekende apparaten op basis van hun eUICC-id (EID). Uw organisatie moet ook de EID's van uw pc's aan de mobiele provider verstrekken als onderdeel van uw contract met de mobiele provider.
Als u de EID's van uw pc's aan de mobiele provider wilt geven, hebt u een aantal opties:
Optie 1 : uw organisatie haalt de EID's van de pc's op uit de apparaatverpakking en stuurt de EID's rechtstreeks naar de operator.
Optie 1 : voor bulkaankopen van apparaten kunnen de EID's van de pc's worden geleverd in een manifestbestand dat is gemaakt door de OEM van het apparaat of een reseller/distributeur. Vervolgens kan het manifestbestand naar u worden verzonden of rechtstreeks naar de mobiele provider worden verzonden.
Nadat de mobiele provider de EID's van de pc's kent, stelt de mobiele provider eSIM-profielen in voor elke pc op de downloadserver (SM-DP+).
ESIM Download Server (SM-DP+ of SM-DS) FQDN (Fully Qualified Domain Name) van uw mobiele provider
U hebt de FQDN (Fully Qualified Domain Name) van de downloadserver (SM-DP+) van de mobiele provider nodig, zoals
smdp.example.com
. U voert deze FQDN in het Intune-beleid in. Wanneer elke pc contact opneemt met de downloadserver (SM-DP+), verifieert de downloadserver (SM-DP+) de EID van de pc en geeft deze het eSIM-profiel dat specifiek is voor dat apparaat.U hebt de afzonderlijke activeringscodes niet nodig.
Processtroom
De totale processtroom is als volgt:
Als u een beheerde eSIM-implementatie wilt instellen, moet u een contract hebben met een mobiele provider en informatie verkrijgen van de provider over de eSIM-downloadserver (SM-DP+). Vervolgens configureert u de beleidsregels en instellingen die moeten worden toegepast op alle aangesloten pc's die geschikt zijn voor eSIM, inclusief de volledig gekwalificeerde domeinnaam van de SM-DP+ van de operator.
Opmerking
De MDM-beheerder maakt het eSIM-configuratieprofiel dat verwijst naar de downloadserver (SM-DP+) van de mobiele provider en wijst het profiel toe aan de vereiste groep(en).
Zoals eerder beschreven, verstrekt u of uw leverancier (pc-fabrikant of distributeur) de EID's van de aangesloten pc's aan de operator. Voor elke EID maakt de operator een eSIM-profiel op de downloadserver (SM-DP+) voor dat apparaat. Nadat de eerste configuratie is voltooid, wordt het volgende proces voor elke pc uitgevoerd:
De eindgebruiker schakelt de pc uit, schakelt deze in en doorloopt de eerste out-of-box-ervaring van Windows. Als onderdeel van dit proces verbindt de eindgebruiker de pc met een Wi-Fi netwerk en meldt zich aan bij het werk- of schoolaccount .
Nadat de gebruiker zich heeft geverifieerd met de Microsoft Entra-id, wordt het werk- of schoolaccount ingesteld op het apparaat. Als onderdeel van dit proces wordt de pc geregistreerd bij MDM, die deze vervolgens in richt zoals door u is geconfigureerd (in stap 1). Deze configuratie bevat de FQDN van de downloadserver van de operator (SM-DP+).
Nadat de configuratie is voltooid, maakt de pc verbinding met de downloadserver (SM-DP+) volgens het standaard eSIM-downloadprotocol. Als onderdeel van dit proces ontvangt de downloadserver (SM-DP+) het EID van de pc en verifieert deze. De downloadserver (SM-DP+) zoekt het eSIM-profiel op voor dat EID (gemaakt in stap 2) en downloadt dat eSIM-profiel naar de pc.
De pc installeert en schakelt het eSIM-profiel in. Windows herkent de mobiele provider en configureert de mobiele instellingen, zoals toegangspuntnaam (APNs), en de pc is nu verbonden via mobiel netwerk.
Opmerking
De beschreven processtroom is gericht op de eerste installatie-ervaring van het apparaat. ESIM-inrichting kan echter ook op elk gewenst moment tijdens de levenscyclus van het apparaat worden uitgevoerd voor beheerde apparaten.
Stap 1: een apparatengroep maken
Maak een apparaatgroep met de apparaten die geschikt zijn voor eSIM. Groepen toevoegen bevat de stappen.
Opmerking
We raden u aan een statische Microsoft Entra-apparaatgroep te maken die uw eSIM-apparaten bevat. Als u een groep gebruikt, bevestigt u dat u zich alleen op eSIM-apparaten richt.
Stap 2: een profiel maken in Intune
Dit profiel maakt gebruik van de FQDN van de downloadserver van uw mobiele provider (SM-DP+) en schakelt eSIM in op de apparaten.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.
Geef de volgende eigenschappen op:
- Platform: selecteer Windows 10 en hoger.
- Profieltype: selecteer Instellingencatalogus.
Selecteer Maken.
Voer in Basisinformatie de volgende eigenschappen in:
- Naam: voer een beschrijvende naam in voor het nieuwe beleid.
- Beschrijving: voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.
Selecteer Volgende.
Selecteer op het tabblad Configuratie-instellingende optie + Instellingen toevoegen en zoek naar eSIM in de instellingenkiezer. Nadat u eSIM hebt geselecteerd, kunt u de instellingen selecteren die u beschikbaar wilt maken voor uw beleid.
In het gebied Servers downloaden :
1 - Automatisch inschakelen: hiermee wordt aangegeven of het gedetecteerde profiel automatisch moet worden ingeschakeld na de installatie. De standaardwaarde van de vervolgkeuzelijst is Inschakelen. Selecteer Automatisch inschakelen als het eSIM-profiel automatisch moet worden ingeschakeld (onafhankelijk van andere eSIM-profielen die zijn opgeslagen in eUICC).
2 - Servernaam: dit is de volledig gekwalificeerde domeinnaam van de SM-DP+-server die wordt gebruikt voor profieldetectie. Voer bijvoorbeeld in
smdp.example.com
(niet opnemenhttps://
).3 - Lokale gebruikersinterface weergeven: bepaalt of eSIM-instellingen kunnen worden weergegeven en gewijzigd in de app Instellingen op de eSIM-compatibele apparaten die worden ingericht. Waar indien beschikbaar, onwaar anders. Als Lokale gebruikersinterface weergeven is ingesteld op Uitgeschakeld, moet Automatisch inschakelen worden ingeschakeld.
Voer de servernaam in, selecteer de gewenste instellingen en selecteer vervolgens Volgende.
Voeg op het tabblad Bereiktags de vereiste tags toe en selecteer Volgende.
Selecteer op het tabblad Toewijzingen de apparaatgroep die u hebt gemaakt in Stap 1: een apparaatgroep maken. Ga naar Apparaatprofielen toewijzen in Microsoft Intune voor meer informatie over het toewijzen van het profiel.
Controleer op het tabblad Controleren en maken alle details en selecteer Maken.
Best practices & probleemoplossing
Maak een Microsoft Entra-apparaatgroep die alleen de doel-eSIM-apparaten bevat. Als het beleid is geïmplementeerd op een apparaat dat niet geschikt is voor eSIM, wordt in de toewijzingsstatus een fout weergegeven.
De huidige implementatie ondersteunt slechts één servernaam. Zelfs als er meer servernamen worden toegevoegd, wordt alleen de eerste gebruikt.
Als de lokale gebruikersinterface niet is uitgeschakeld als onderdeel van het configuratieprofiel, kunt u het actieve profiel wijzigen, stoppen met het gebruik of verwijderen van een van de eSIM-profielen die zijn opgeslagen op het apparaat.
Net als bij andere instellingen in Intune betekent dit dat wanneer de implementatiestatus als geslaagd wordt weergegeven, de instellingen zijn toegepast. Dit betekent niet noodzakelijkerwijs dat het eSIM-profiel wordt gedownload en geactiveerd.
Er is momenteel geen methode om een eSIM-profiel te verwijderen met behulp van Intune. Het profiel moet handmatig van het apparaat worden verwijderd.
Intune kan geen onderscheid maken tussen een eSIM- en een niet-eSIM-apparaat.