Configurar o servidor de download do eSIM usando Microsoft Intune

  • Artigo

A identidade de um dispositivo habilitado para celular, como um COMPUTADOR Conectado ao Windows, tem sido tradicionalmente encapsulada em um dispositivo chamado SIM (Módulo de Identidade do Assinante) e empacotada como um SIM discreto cartão. O gerenciamento de cartões SIM para uma frota de dispositivos pode ser caro e demorado. Portanto, Windows 10 e Windows 11 dão suporte à tecnologia eSIM (Módulo de Identidade do Assinante inserido) como uma alternativa digital para cartões SIM discretos. Windows 11 fornece mais recursos para a implantação e o gerenciamento de conteúdo eSIM usando o MDM (Mobile Gerenciamento de Dispositivos), como Microsoft Intune.

Sobre a tecnologia eSIM

A tecnologia eSIM criou um ecossistema mundial de dispositivos celulares e operadores móveis com base em uma especificação comum da GSMA (GSMA). A adoção da tecnologia eSIM vem crescendo devido à sua incorporação em telefones inteligentes populares. O Windows tem suporte para eSIM para PCs desde 2017.

O eSIM desacopliza o ambiente de execução seguro do sim plástico cartão das credenciais SIM que ele contém. O contêiner seguro é chamado de eUICC (Cartão de Circuito Integrado Universal inserido). Da mesma forma que cada SIM físico cartão tem uma identidade exclusiva, cada eUICC tem uma identidade exclusiva chamada EID (identificador eUICC).

Tecnologia eUICC e eSIM.

As credenciais e outras configurações associadas que identificam exclusivamente uma assinatura celular estão contidas em um pacote digital (software) chamado perfil eSIM. Vários perfis eSIM podem ser instalados em um eUICC. Um dos perfis eSIM instalados está habilitado (e o restante está desabilitado). A combinação do perfil eSIM habilitado e seu contêiner eUICC se comporta exatamente como um SIM cartão tradicional.

At-Scale Configuração de PCs eSIM

O eSIM digitaliza a entrega de SIMs em dispositivos como computadores, eliminando a necessidade de obter e implantar cartões SIM físicos. O aplicativo Planos Móveis no Windows reduz ainda mais o atrito, fornecendo uma interface amigável para um usuário interagir com uma operadora móvel escolhida e coordenar o download e a instalação do perfil eSIM correspondente.

O aplicativo Planos Móveis é adequado às necessidades de consumidores e empresas com alguns PCs. No entanto, requer interação do usuário em cada dispositivo provisionado, um esforço e um custo que podem se tornar significativos em grande escala. Para dar suporte a ambientes gerenciados de maior escala (como uma empresa ou uma organização educacional), o Windows fornece provisionamento eSIM por meio do MDM (gerenciamento de dispositivo móvel), como Microsoft Intune.

Quando uma empresa provisiona um eSIM por meio de um MDM, como Microsoft Intune, ele também configura a implantação do eSIM junto com outras configurações e políticas empresariais. Quando o servidor MDM é registrado na conta de trabalho ou de estudante do usuário final, ele envia a configuração para o computador durante todo o ciclo de vida. Depois que o computador é configurado com as informações do eSIM, ele baixa o perfil eSIM do servidor de download da operadora móvel (SM-DP+).

No Windows, o CSP (Provedor de Serviços de Configuração de EUICCs) manipula a configuração do eSIM. Além disso, a empresa também pode configurar algumas políticas eSIM por meio do CSP e cada computador obtém seu perfil eSIM do CSP.

Pré-requisitos

Além de um computador conectado Windows 11 (computador compatível com eSIM) gerenciado por meio de Microsoft Intune, você precisa das seguintes informações:

Uma operadora móvel que pode fornecer perfis eSIM para um conjunto de dispositivos conhecidos com base em seus EIDs. Isso, por sua vez, requer alguma maneira pela qual uma empresa (ou escola) deve ser capaz de fornecer os EIDs de seus PCs ao operador como parte de seu contrato com a operadora móvel.

  • Uma opção é que a empresa obtenha os EIDs de seus PCs na embalagem do computador e envie-os diretamente para o operador.

  • Como alternativa, para compras de dispositivos em massa, os EIDs de seus PCs podem vir em um arquivo de manifesto criado pelo dispositivo OEM ou um revendedor/distribuidor e entregues à empresa com os dispositivos ou diretamente para a operadora móvel.

Depois que a operadora móvel conhecer os EIDs dos PCs do cliente, a operadora móvel configurará perfis eSIM para cada computador em seu servidor de download (SM-DP+). A empresa precisa saber o FQDN (nome de domínio totalmente qualificado) do servidor de download (SM-DP+). Por exemplo, smdp.example.com. No entanto, ele não precisa de códigos de ativação individuais. Quando cada computador entra em contato com o servidor de download (SM-DP+), o servidor de download (SM-DP+) autentica o EID do computador e fornece o perfil eSIM específico para esse dispositivo.

Fluxo de processo

Fluxo de processo para ativação em massa do eSIM por meio do servidor de download.

O fluxo geral do processo é o seguinte:

  1. Para configurar uma implantação gerenciada do eSIM, o cliente corporativo deve ter um contrato com uma operadora móvel e obter informações do operador sobre seu servidor de download eSIM (SM-DP+). Em seguida, a empresa configura as políticas e as configurações a serem aplicadas a todos os PCs conectados com capacidade para eSIM, incluindo o nome de domínio totalmente qualificado do SM-DP+do operador.

    Observação

    O administrador do MDM cria o perfil de configuração do eSIM apontando para o servidor de download (SM-DP+) fornecido pela operadora móvel e atribui o perfil aos grupos necessários.

  2. Conforme descrito anteriormente, a empresa ou seu fornecedor (fabricante ou distribuidor de computadores) fornece os EIDs dos PCs conectados ao operador. Para cada EID, o operador cria um perfil eSIM em seu servidor de download (SM-DP+) para esse dispositivo. Após a conclusão da configuração inicial, o seguinte processo se desdobra para cada computador:

  3. O usuário final unboxes o computador, alimenta-o e passa pela experiência inicial do Windows fora de caixa. Como parte desse processo, o usuário final conecta o computador a uma rede de Wi-Fi e entra em sua conta corporativa ou escolar .

  4. Depois que o usuário tiver autenticado no Microsoft Entra ID da empresa (ou da escola), a conta de trabalho ou de estudante será configurada no dispositivo. Como parte desse processo, o computador é registrado no MDM, que o provisiona conforme configurado pela empresa (na etapa 1). Essa configuração inclui o FQDN do servidor de download do operador (SM-DP+).

  5. Após a conclusão da configuração, o computador se conecta ao servidor de download (SM-DP+) de acordo com o protocolo de download eSIM padrão. Como parte desse processo, o servidor de download (SM-DP+) recebe e autentica o EID do computador. O servidor de download (SM-DP+) pesquisa o perfil eSIM para esse EID (criado na etapa 2) e baixa esse perfil eSIM para o computador.

  6. O computador instala e habilita o perfil eSIM. O Windows reconhece a operadora móvel e configura as configurações celulares, como APNs (nome do ponto de acesso), e o computador agora está conectado pelo celular.

Observação

O fluxo de processo descrito se concentra na experiência inicial de instalação do dispositivo. No entanto, o provisionamento eSIM também pode ser feito a qualquer momento durante todo o ciclo de vida do dispositivo para dispositivos gerenciados.

Configuração do Intune de um servidor de download do eSIM

A configuração do Intune do servidor de download eSIM de uma operadora móvel é feita por meio de um Perfil de Configuração atribuído a um Grupo.

Esse recurso aplica-se a:

  • Windows 11

Para implantar o eSIM em dispositivos usando o Intune, os seguintes itens são necessários:

  • Dispositivos capazes de eSIM, como o Surface Pro 9 com 5G: veja se o dispositivo dá suporte ao eSIM.
  • Windows 11 (versão 22H2 (Build 22621) ou superior) que é registrada e MDM gerenciada pelo Intune
  • ESIM Download Server (SM-DP+ ou SM-DS) FQDN (nome de domínio totalmente qualificado) fornecido pela sua operadora móvel. Entre em contato com sua operadora móvel para obter detalhes.

Dispositivos compatíveis com eSIM

Se você não tiver certeza de que seus dispositivos dão suporte ao eSIM, entre em contato com o fabricante do dispositivo. Em dispositivos Windows, você pode confirmar o suporte ao eSIM. Para obter mais informações, consulte Usar um eSIM para obter uma conexão de dados da rede celular no seu dispositivo cliente Windows.

Depois que sua operadora móvel confirmar que você precisa criar perfis eSIM no servidor de download (SM-DP+), vá para Microsoft Intune e crie um perfil para os EIDs vinculados aos dispositivos Windows compatíveis com eSIM que você deseja habilitar com o eSIM.

Criar um grupo de dispositivos Microsoft Entra

Crie um grupo de dispositivos que inclui os dispositivos compatíveis com eSIM. Adicionar grupos lista as etapas.

Observação

Recomendamos criar um grupo de dispositivos estático Microsoft Entra que inclua seus dispositivos eSIM. O uso de um grupo de confirma que você está direcionando somente dispositivos eSIM.

Criar um perfil

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Criarconfiguração>de dispositivos>.

  3. Para o campo Plataforma, selecione Windows 10 e posterior.

  4. Para o campo Tipo de perfil , selecione Catálogo de configurações.

  5. Selecione Criar e siga o assistente para concluir as etapas.

  6. Na guia Básico , insira o Nome e a Descrição do perfil e selecione Avançar.

  7. Na guia Configurações , selecione + Adicionar configurações e pesquise eSIM no Seletor de Configurações. Depois de selecionar o eSIM, você pode selecionar as configurações que deseja disponibilizar em sua política.

    Guia Configurações no processo Criar Perfil.

    • Na área Baixar Servidores :

      • 1 – Habilitar automaticamente: ele indica se o perfil descoberto deve ser habilitado automaticamente após a instalação. O valor padrão da lista suspensa é Habilitar. Selecione Habilitar Automaticamente se o perfil eSIM deve ser habilitado automaticamente (independentemente de quaisquer outros perfis eSIM armazenados no eUICC).

      • 2 – Nome do servidor: é o nome de domínio totalmente qualificado do servidor SM-DP+ que é usado para descoberta de perfil. Por exemplo, smdp.example.com (não inclua https://)

      • 3 – Exibir interface do usuário local: determina se as configurações do eSIM podem ser exibidas e alteradas no aplicativo Configurações nos dispositivos capazes do eSIM que estão sendo provisionados. True se disponível, false caso contrário. Se a interface do usuário local de exibição estiver definida como Desabilitada, a Habilitação Automática deverá ser verificada.

    • Insira o Nome do Servidor, selecione as configurações desejadas e selecione Avançar.

  8. Na guia Marcas de escopo , adicione as marcas necessárias e selecione Avançar.

  9. Na guia Atribuições , selecione os grupos de usuários ou dispositivos para atribuir seu perfil. Para obter mais informações sobre como atribuir o perfil a um usuário ou grupo de dispositivos, acesse Atribuir perfis de dispositivo em Microsoft Intune. Além disso, antes de criar o perfil, você precisa ter seus grupos configurados. Para obter mais informações, acesse Adicionar grupos para organizar usuários e dispositivos.

  10. Na guia Examinar + criar , examine todos os detalhes e selecione Criar.

Melhores práticas e solução de problemas

  • Crie um grupo de Microsoft Entra de dispositivos que inclua apenas os dispositivos eSIM direcionados. (Observação: se a política for implantada em um dispositivo não compatível com eSIM, o Status da Atribuição exibirá um Erro.)

  • A implementação atual dá suporte apenas a um único Nome do Servidor. Mesmo que mais nomes de servidor sejam adicionados, apenas o primeiro será usado.

  • Se a interface do usuário local não estiver desabilitada como parte do Perfil de Configuração, você poderá alterar o perfil ativo, parar de usar ou remover qualquer um dos perfis eSIM armazenados no dispositivo.

  • Como acontece com outras configurações no Intune, quando a implantação status mostra como bem-sucedida, isso simplesmente significa que as configurações agora são aplicadas, não necessariamente que o Perfil eSIM também tenha sido baixado e ativado.

  • No momento, não há nenhum método para remover um perfil eSIM usando o Intune. O perfil deve ser removido manualmente do dispositivo.

  • O Intune não pode distinguir entre um eSIM e um dispositivo não eSIM.

Próximas etapas

Configurar canais do dispositivo