Configurare il server di download eSIM usando Microsoft Intune

  • Articolo

L'identità di un dispositivo abilitato per la rete cellulare, ad esempio un PC connesso a Windows, è stata tradizionalmente incapsulata in un dispositivo denominato SIM (Subscriber Identity Module) e racchiusa in una scheda SIM discreta. La gestione delle schede SIM per una flotta di dispositivi può essere costosa e dispendiosa in termini di tempo. Pertanto, Windows 10 e Windows 11 supportano la tecnologia eSIM (embedded Subscriber Identity Module) come alternativa digitale alle schede SIM discrete. Windows 11 offre più funzionalità per la distribuzione e la gestione di contenuti eSIM tramite Mobile Gestione dispositivi (MDM), ad esempio Microsoft Intune.

Informazioni sulla tecnologia eSIM

La tecnologia eSIM ha creato un ecosistema mondiale di dispositivi cellulari e operatori mobili basato su una specifica comune dell'Associazione GSM (GSMA). L'adozione della tecnologia eSIM è in crescita grazie alla sua incorporazione negli smartphone più diffusi. Windows supporta eSIM per PC dal 2017.

eSIM separa l'ambiente di esecuzione sicuro della scheda SIM in plastica dalle credenziali sim in esso contenute. Il contenitore sicuro è denominato eUICC (scheda circuito integrato universale incorporata). Allo stesso modo in cui ogni scheda SIM fisica ha un'identità univoca, ogni eUICC ha un'identità univoca denominata identificatore eUICC (EID).

tecnologia eUICC ed eSIM.

Le credenziali e altre configurazioni associate che identificano in modo univoco una sottoscrizione cellulare sono contenute in un pacchetto digitale (software) denominato profilo eSIM. È possibile installare più profili eSIM in un eUICC. Uno dei profili eSIM installati è abilitato e il resto è disabilitato. La combinazione del profilo eSIM abilitato e del contenitore eUICC si comporta esattamente come una scheda SIM tradizionale.

configurazione At-Scale dei PC eSIM

eSIM digitalizza il recapito di SIMs a dispositivi come PC, eliminando la necessità di ottenere e distribuire schede SIM fisiche. L'applicazione Piani mobili in Windows riduce ulteriormente l'attrito fornendo un'interfaccia intuitiva per consentire a un utente di interagire con un operatore di telefonia mobile scelto e coordinare il download e l'installazione del profilo eSIM corrispondente.

L'applicazione Piani mobili è adatta alle esigenze dei consumatori e delle aziende con pochi PC. Tuttavia, richiede l'interazione dell'utente su ogni dispositivo di cui viene effettuato il provisioning, un impegno e un costo che possono diventare significativi su larga scala. Per supportare ambienti gestiti su larga scala(ad esempio un'organizzazione aziendale o un'organizzazione educativa), Windows offre il provisioning eSIM tramite la gestione dei dispositivi mobili (MDM), ad esempio Microsoft Intune.

Quando un'organizzazione effettua il provisioning di un eSIM tramite un MDM, ad esempio Microsoft Intune, configura anche la distribuzione eSIM insieme ad altre impostazioni e criteri aziendali. Quando il server MDM viene registrato nell'account aziendale o dell'istituto di istruzione dell'utente finale, esegue il push della configurazione nel PC per tutto il ciclo di vita. Dopo aver configurato il PC con le informazioni eSIM, scarica il profilo eSIM dal server di download dell'operatore di telefonia mobile (SM-DP+).

All'interno di Windows, il provider di servizi di configurazione (CSP) eUICCs gestisce la configurazione eSIM. Inoltre, l'azienda può anche configurare alcuni criteri eSIM tramite CSP e ogni PC ottiene il proprio profilo eSIM dal CSP.

Prerequisiti

Oltre a un PC connesso Windows 11 gestito tramite Microsoft Intune, sono necessarie le informazioni seguenti:

Operatore di telefonia mobile in grado di fornire profili eSIM a un set di dispositivi noti in base ai relativi EID. Ciò, a sua volta, richiede un modo per consentire a un'azienda (o a una scuola) di fornire gli ID EID dei propri PC all'operatore come parte del contratto con l'operatore di telefonia mobile.

  • Un'opzione consiste nell'ottenere gli ID EID dei PC dalla creazione di pacchetti di PC e inviarli direttamente all'operatore.

  • In alternativa, per gli acquisti in blocco di dispositivi, gli ID EID dei pc possono essere inclusi in un file manifesto creato dall'OEM del dispositivo o da un rivenditore/distributore e recapitato all'azienda con i dispositivi o direttamente all'operatore di telefonia mobile.

Dopo che l'operatore di telefonia mobile conosce gli EID dei PC del cliente, l'operatore di telefonia mobile configurerà i profili eSIM per ogni PC nel server di download (SM-DP+). L'organizzazione deve conoscere il nome di dominio completo (FQDN) del server di download (SM-DP+). Ad esempio, smdp.example.com. Tuttavia, non sono necessari codici di attivazione singoli. Quando ogni PC contatta il server di download (SM-DP+), il server di download (SM-DP+) autentica l'EID del PC e lo fornisce con il profilo eSIM specifico del dispositivo.

Flusso di processo

Flusso di processo per l'attivazione bulk eSIM tramite il server di download.

Il flusso complessivo del processo è il seguente:

  1. Per configurare una distribuzione eSIM gestita, il cliente aziendale deve avere un contratto con un operatore di telefonia mobile e ottenere informazioni dall'operatore sul server di download eSIM (SM-DP+). L'organizzazione configura quindi i criteri e le impostazioni da applicare a tutti i PC connessi con supporto per eSIM, incluso il nome di dominio completo dell'SM-DP+ dell'operatore.

    Nota

    L'amministratore MDM crea il profilo di configurazione eSIM che punta al server di download (SM-DP+) fornito dall'operatore di telefonia mobile e assegna il profilo ai gruppi necessari.

  2. Come descritto in precedenza, l'azienda o il suo fornitore (produttore o distributore di PC) fornisce gli ID EID dei PC connessi all'operatore. Per ogni EID, l'operatore crea un profilo eSIM nel relativo server di download (SM-DP+) per il dispositivo. Al termine della configurazione iniziale, viene eseguito il processo seguente per ogni PC:

  3. L'utente finale unboxing del PC, lo accende e passa attraverso l'esperienza predefinita iniziale di Windows. Come parte di questo processo, l'utente finale connette il PC a una rete Wi-Fi e accede all'account aziendale o dell'istituto di istruzione .

  4. Dopo che l'utente ha eseguito l'autenticazione alla Microsoft Entra ID dell'organizzazione (o dell'istituto di istruzione), l'account aziendale o dell'istituto di istruzione viene configurato nel dispositivo. Come parte di questo processo, il PC viene registrato in MDM, che quindi esegue il provisioning come configurato dall'organizzazione (nel passaggio 1). Questa configurazione include il nome di dominio completo del server di download dell'operatore (SM-DP+).

  5. Al termine della configurazione, il PC si connette al server di download (SM-DP+) in base al protocollo di download eSIM standard. Come parte di questo processo, il server di download (SM-DP+) riceve e autentica l'EID del PC. Il server di download (SM-DP+) cerca il profilo eSIM per l'EID (creato nel passaggio 2) e scarica tale profilo eSIM nel PC.

  6. Il PC installa e abilita il profilo eSIM. Windows riconosce l'operatore di telefonia mobile e configura le impostazioni della rete cellulare, ad esempio il nome del punto di accesso (APN) e il PC è ora connesso tramite rete cellulare.

Nota

Il flusso di processo descritto è incentrato sull'esperienza di configurazione iniziale del dispositivo. Tuttavia, il provisioning eSIM può essere eseguito anche in qualsiasi momento durante il ciclo di vita del dispositivo per i dispositivi gestiti.

Configurazione di Intune di un server di download eSIM

La configurazione di Intune del server di download eSIM di un operatore di telefonia mobile viene eseguita tramite un profilo di configurazione assegnato a un gruppo.

Questa funzionalità si applica a:

  • Windows 11

Per distribuire eSIM nei dispositivi usando Intune, sono necessari gli elementi seguenti:

  • Dispositivi con supporto per eSIM, ad esempio il Surface Pro 9 con 5G: verificare se il dispositivo supporta eSIM.
  • Windows 11 (versione 22H2 (Build 22621) o successiva) registrata e MDM gestita da Intune
  • Nome di dominio completo (FQDN) del server di download eSIM (SM-DP+ o SM-DS) fornito dall'operatore di telefonia mobile. Per informazioni dettagliate, contattare l'operatore di telefonia mobile.

Dispositivi con supporto per eSIM

Se non si è certi che i dispositivi supportano eSIM, contattare il produttore del dispositivo. Nei dispositivi Windows è possibile confermare la supportabilità di eSIM. Per altre informazioni, vedere Usare un'eSIM per ottenere una connessione dati cellulare nel dispositivo client Windows.

Dopo che l'operatore di telefonia mobile conferma che è necessario creare profili eSIM nel server di download (SM-DP+), passare a Microsoft Intune e creare un profilo per gli EID associati ai dispositivi Windows con supporto per eSIM che si desidera abilitare con eSIM.

Creare un gruppo di dispositivi Microsoft Entra

Creare un gruppo di dispositivi che include i dispositivi con supporto per eSIM. Aggiungere gruppi elenca i passaggi.

Nota

È consigliabile creare un gruppo di dispositivi Microsoft Entra statico che includa i dispositivi eSIM. L'uso di un gruppo conferma che l'utente ha come destinazione solo i dispositivi eSIM.

Creare un profilo

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

  3. Per il campo Piattaforma selezionare Windows 10 e versioni successive.

  4. Per il campo Tipo di profilo selezionare Catalogo impostazioni.

  5. Selezionare Crea e seguire la procedura guidata per completare i passaggi.

  6. Nella scheda Base immettere il nome e la descrizione del profilo e selezionare Avanti.

  7. Nella scheda Impostazioni di configurazione selezionare + Aggiungi impostazioni e cercare eSIM in Selezione impostazioni. Dopo aver selezionato eSIM, è possibile selezionare le impostazioni che si desidera rendere disponibili nei criteri.

    Scheda Impostazioni di configurazione nel processo Crea profilo.

    • Nell'area Server di download :

      • 1 - Abilita automaticamente: indica se il profilo individuato deve essere abilitato automaticamente dopo l'installazione. Il valore predefinito dell'elenco a discesa è Abilita. Selezionare Abilita automaticamente se il profilo eSIM deve essere abilitato automaticamente (indipendentemente da qualsiasi altro profilo eSIM archiviato in eUICC).

      • 2 - Nome server: è il nome di dominio completo del server SM-DP+ usato per l'individuazione del profilo. Ad esempio, smdp.example.com (non includere https://)

      • 3 - Visualizzazione dell'interfaccia utente locale: determina se le impostazioni di eSIM possono essere visualizzate e modificate nell'app Impostazioni nei dispositivi con supporto per eSIM di cui viene effettuato il provisioning. True se disponibile, false in caso contrario. Se l'opzione Visualizza interfaccia utente locale è impostata su Disabilitato, è necessario selezionare Abilita automaticamente .

    • Immettere il nome del server, selezionare le impostazioni desiderate e quindi selezionare Avanti.

  8. Nella scheda Tag ambito aggiungere i tag necessari e selezionare Avanti.

  9. Nella scheda Assegnazioni selezionare l'utente o i gruppi di dispositivi per assegnare il profilo. Per altre informazioni sull'assegnazione del profilo a un utente o a un gruppo di dispositivi, vedere Assegnare profili di dispositivo in Microsoft Intune. Inoltre, prima di creare il profilo, è necessario configurare i gruppi. Per altre informazioni, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

  10. Nella scheda Rivedi e crea esaminare tutti i dettagli e selezionare Crea.

Procedure consigliate & risoluzione dei problemi

  • Creare un gruppo Microsoft Entra dispositivo che include solo i dispositivi eSIM di destinazione. Nota: se il criterio viene distribuito in un dispositivo non con supporto per eSIM, lo stato dell'assegnazione visualizzerà un errore.

  • L'implementazione corrente supporta solo un singolo nome server. Anche se vengono aggiunti più nomi di server, viene usato solo il primo.

  • Se l'interfaccia utente locale non è disabilitata come parte del profilo di configurazione, è possibile modificare il profilo attivo, interrompere l'uso o rimuovere uno dei profili eSIM archiviati nel dispositivo.

  • Come per altre impostazioni in Intune, quando lo stato della distribuzione ha esito positivo significa semplicemente che le impostazioni vengono applicate, non necessariamente che anche il profilo eSIM sia stato scaricato e attivato.

  • Attualmente non è disponibile alcun metodo per rimuovere un profilo eSIM usando Intune. Il profilo deve essere rimosso manualmente dal dispositivo.

  • Intune non può distinguere tra un dispositivo eSIM e un dispositivo non eSIM.

Passaggi successivi

Configurare i profili per dispositivi