ESIM-downloadserver configureren met behulp van Microsoft Intune

  • Artikel

De identiteit van een mobiel apparaat, zoals een met Windows verbonden pc, is traditioneel ingekapseld in een apparaat met de naam SIM (Subscriber Identity Module) en verpakt als een discrete simkaart. Het beheer van simkaarten voor een vloot apparaten kan kostbaar en tijdrovend zijn. Daarom ondersteunen Windows 10 en Windows 11 eSIM-technologie (embedded Subscriber Identity Module) als digitaal alternatief voor discrete simkaarten. Windows 11 biedt meer mogelijkheden voor de implementatie en het beheer van eSIM-inhoud met mobile Apparaatbeheer (MDM), zoals Microsoft Intune.

Over eSIM-technologie

eSIM-technologie heeft een wereldwijd ecosysteem van mobiele apparaten en mobiele providers gecreëerd op basis van een gemeenschappelijke specificatie van de GSM Association (GSMA). De acceptatie van eSIM-technologie is toegenomen vanwege de integratie ervan in populaire smartphones. Windows ondersteunt eSIM voor pc's sinds 2017.

eSIM koppelt de beveiligde uitvoeringsomgeving van de plastic simkaart los van de simkaartreferenties die deze bevat. De beveiligde container wordt een eUICC (ingesloten Universal Integrated Circuit Card) genoemd. Op dezelfde manier dat elke fysieke simkaart een unieke identiteit heeft, heeft elke eUICC een unieke identiteit met de naam eUICC Identifier (EID).

eUICC- en eSIM-technologie.

De referenties en de bijbehorende andere configuratie waarmee een mobiel abonnement uniek wordt geïdentificeerd, zijn opgenomen in een digitaal (software)pakket dat een eSIM-profiel wordt genoemd. Meerdere eSIM-profielen kunnen worden geïnstalleerd in een eUICC. Een van de geïnstalleerde eSIM-profielen is ingeschakeld (en de rest is uitgeschakeld). De combinatie van het ingeschakelde eSIM-profiel en de bijbehorende eUICC-container gedraagt zich precies zoals een traditionele simkaart.

At-Scale Configuratie van eSIM-pc's

eSIM digitaliseert de levering van SIMKAARTen aan apparaten zoals pc's, waardoor het niet meer nodig is om fysieke simkaarten te verkrijgen en te implementeren. De toepassing Mobile Plans in Windows vermindert nog meer wrijving door een gebruikersvriendelijke interface te bieden voor een gebruiker om te communiceren met een gekozen mobiele provider en het downloaden en installeren van het bijbehorende eSIM-profiel te coördineren.

De toepassing Mobile Plans is goed afgestemd op de behoeften van consumenten en bedrijven met een paar pc's. Het vereist echter gebruikersinteractie op elk apparaat dat is ingericht, een inspanning en kosten die op grote schaal aanzienlijk kunnen worden. Ter ondersteuning van grootschalige beheerde omgevingen (zoals een onderneming of een onderwijsorganisatie), biedt Windows eSIM-inrichting via MDM (Mobile Device Management), zoals Microsoft Intune.

Wanneer een onderneming een eSIM in richt via een MDM zoals Microsoft Intune, wordt ook de eSIM-implementatie geconfigureerd, samen met andere ondernemingsinstellingen en -beleidsregels. Wanneer de MDM-server is ingeschreven bij het werk- of schoolaccount van de eindgebruiker, wordt de configuratie gedurende de hele levenscyclus naar de pc gepusht. Nadat de pc is geconfigureerd met de eSIM-gegevens, downloadt deze het eSIM-profiel van de downloadserver van de mobiele provider (SM-DP+).

In Windows verwerkt de eUICCs Configuration Service Provider (CSP) de eSIM-configuratie. Daarnaast kan de onderneming ook bepaalde eSIM-beleidsregels configureren via de CSP en verkrijgt elke pc het eSIM-profiel van de CSP.

Vereisten

Naast een Windows 11 connected pc (eSIM-compatibele pc) die wordt beheerd via Microsoft Intune, hebt u de volgende informatie nodig:

Een mobiele provider die eSIM-profielen kan leveren aan een set bekende apparaten op basis van hun EID's. Dit vereist op zijn beurt een manier waarop een onderneming (of school) de EID's van hun pc's aan de provider moet kunnen verstrekken als onderdeel van hun contract met de mobiele provider.

  • Eén optie is dat de onderneming de EID's van hun pc's van pc-verpakkingen haalt en deze rechtstreeks naar de operator stuurt.

  • Voor bulkaankopen van apparaten kunnen de EID's van hun pc's ook worden geleverd in een manifestbestand dat is gemaakt door de OEM van het apparaat of een wederverkoper/distributeur en aan de onderneming wordt geleverd met de apparaten of rechtstreeks aan de mobiele provider.

Nadat de mobiele provider de EID's van de pc's van de klant kent, stelt de mobiele provider eSIM-profielen in voor elke pc op de downloadserver (SM-DP+). De onderneming moet de FQDN (Fully Qualified Domain Name) van de downloadserver (SM-DP+) kennen. Bijvoorbeeld smdp.example.com. Er zijn echter geen afzonderlijke activeringscodes nodig. Wanneer elke pc contact opneemt met de downloadserver (SM-DP+), verifieert de downloadserver (SM-DP+) de EID van de pc en geeft deze het eSIM-profiel dat specifiek is voor dat apparaat.

Processtroom

Processtroom voor eSIM-bulkactivering via downloadserver.

De totale processtroom is als volgt:

  1. Als u een beheerde eSIM-implementatie wilt instellen, moet de zakelijke klant een contract hebben met een mobiele provider en informatie verkrijgen van de provider over de eSIM-downloadserver (SM-DP+). De onderneming configureert vervolgens de beleidsregels en instellingen die moeten worden toegepast op al hun verbonden pc's die geschikt zijn voor eSIM, inclusief de volledig gekwalificeerde domeinnaam van de SM-DP+ van de operator.

    Opmerking

    De MDM-beheerder maakt het eSIM-configuratieprofiel dat verwijst naar de downloadserver (SM-DP+) van de mobiele provider en wijst het profiel toe aan de vereiste groep(en).

  2. Zoals eerder beschreven, verstrekt de onderneming of haar leverancier (pc-fabrikant of distributeur) de EID's van de aangesloten pc's aan de operator. Voor elke EID maakt de operator een eSIM-profiel op de downloadserver (SM-DP+) voor dat apparaat. Nadat de eerste configuratie is voltooid, wordt het volgende proces voor elke pc uitgevoerd:

  3. De eindgebruiker schakelt de pc uit, schakelt deze in en doorloopt de eerste out-of-box-ervaring van Windows. Als onderdeel van dit proces verbindt de eindgebruiker de pc met een Wi-Fi netwerk en meldt zich aan bij het werk- of schoolaccount .

  4. Nadat de gebruiker zich heeft geverifieerd bij de Microsoft Entra ID van de onderneming (of school), wordt het werk- of schoolaccount ingesteld op het apparaat. Als onderdeel van dit proces wordt de pc ingeschreven bij MDM, die deze vervolgens in richt zoals geconfigureerd door de onderneming (in stap 1). Deze configuratie bevat de FQDN van de downloadserver van de operator (SM-DP+).

  5. Nadat de configuratie is voltooid, maakt de pc verbinding met de downloadserver (SM-DP+) volgens het standaard eSIM-downloadprotocol. Als onderdeel van dit proces ontvangt de downloadserver (SM-DP+) het EID van de pc en verifieert deze. De downloadserver (SM-DP+) zoekt het eSIM-profiel op voor dat EID (gemaakt in stap 2) en downloadt dat eSIM-profiel naar de pc.

  6. De pc installeert en schakelt het eSIM-profiel in. Windows herkent de mobiele provider en configureert de mobiele instellingen, zoals toegangspuntnaam (APNs), en de pc is nu verbonden via mobiel netwerk.

Opmerking

De beschreven processtroom is gericht op de eerste installatie-ervaring van het apparaat. ESIM-inrichting kan echter ook op elk gewenst moment tijdens de levenscyclus van het apparaat worden uitgevoerd voor beheerde apparaten.

Intune-configuratie van een eSIM-downloadserver

De Intune-configuratie van de eSIM-downloadserver van een mobiele provider wordt uitgevoerd via een configuratieprofiel dat is toegewezen aan een groep.

Deze functie is van toepassing op:

  • Windows 11

Als u eSIM wilt implementeren op uw apparaten met intune, hebt u het volgende nodig:

  • eSIM-compatibele apparaten, zoals de Surface Pro 9 met 5G: controleer of uw apparaat eSIM ondersteunt.
  • Windows 11 (versie 22H2 (build 22621) of hoger) die is ingeschreven en mdm wordt beheerd door Intune
  • ESIM Download Server (SM-DP+ of SM-DS) FQDN (Fully Qualified Domain Name) die wordt verstrekt door uw mobiele provider. Neem contact op met uw mobiele provider voor meer informatie.

Apparaten die geschikt zijn voor eSIM

Als u niet zeker weet of uw apparaten eSIM ondersteunen, neemt u contact op met de fabrikant van uw apparaat. Op Windows-apparaten kunt u de ondersteuning van eSIM bevestigen. Zie Een eSIM gebruiken om een mobiele dataverbinding op uw Windows-clientapparaat te krijgen voor meer informatie.

Nadat uw mobiele provider heeft bevestigd dat u eSIM-profielen moet maken op de downloadserver (SM-DP+), gaat u naar Microsoft Intune en maakt u een profiel voor de EID's die zijn gekoppeld aan de eSIM-compatibele Windows-apparaten die u met eSIM wilt inschakelen.

Een Microsoft Entra apparaatgroep maken

Maak een apparaatgroep met de apparaten die geschikt zijn voor eSIM. Groepen toevoegen bevat de stappen.

Opmerking

We raden u aan een statische Microsoft Entra apparaatgroep te maken die uw eSIM-apparaten bevat. Als u een groep gebruikt, bevestigt u dat u zich alleen op eSIM-apparaten richt.

Een profiel maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Configuratie>maken.

  3. Selecteer Windows 10 en hoger voor het veld Platform.

  4. Selecteer instellingencatalogus voor het veld Profieltype.

  5. Selecteer Maken en volg de wizard om de stappen te voltooien.

  6. Voer op het tabblad Basis de naam en beschrijving van het profiel in en selecteer Volgende.

  7. Selecteer op het tabblad Configuratie-instellingende optie + Instellingen toevoegen en zoek naar eSIM in de instellingenkiezer. Nadat u eSIM hebt geselecteerd, kunt u de instellingen selecteren die u beschikbaar wilt maken voor uw beleid.

    Tabblad Configuratie-instellingen in het proces Profiel maken.

    • In het gebied Servers downloaden :

      • 1 - Automatisch inschakelen: hiermee wordt aangegeven of het gedetecteerde profiel automatisch moet worden ingeschakeld na de installatie. De standaardwaarde van de vervolgkeuzelijst is Inschakelen. Selecteer Automatisch inschakelen als het eSIM-profiel automatisch moet worden ingeschakeld (onafhankelijk van andere eSIM-profielen die zijn opgeslagen in eUICC).

      • 2 - Servernaam: dit is de volledig gekwalificeerde domeinnaam van de SM-DP+-server die wordt gebruikt voor profieldetectie. Bijvoorbeeld smdp.example.com (https:// niet opnemen)

      • 3 - Lokale gebruikersinterface weergeven: bepaalt of eSIM-instellingen kunnen worden weergegeven en gewijzigd in de app Instellingen op de eSIM-compatibele apparaten die worden ingericht. Waar indien beschikbaar, onwaar anders. Als Lokale gebruikersinterface weergeven is ingesteld op Uitgeschakeld, moet Automatisch inschakelen worden ingeschakeld.

    • Voer de servernaam in, selecteer de gewenste instellingen en selecteer vervolgens Volgende.

  8. Voeg op het tabblad Bereiktags de vereiste tags toe en selecteer Volgende.

  9. Selecteer op het tabblad Toewijzingen de gebruiker of apparaatgroep(en) om uw profiel toe te wijzen. Ga naar Apparaatprofielen toewijzen in Microsoft Intune voor meer informatie over het toewijzen van het profiel aan een gebruiker of apparaatgroep. Voordat u het profiel maakt, moet u ook uw groep(en) hebben ingesteld. Ga voor meer informatie naar Groepen toevoegen om gebruikers en apparaten te organiseren.

  10. Controleer op het tabblad Beoordelen en maken alle details en selecteer Maken.

Best practices & probleemoplossing

  • Maak een apparaat Microsoft Entra groep die alleen de doel-eSIM-apparaten bevat. (Opmerking: als het beleid wordt geïmplementeerd op een apparaat dat niet geschikt is voor eSIM, wordt in de toewijzingsstatus een fout weergegeven.)

  • De huidige implementatie ondersteunt slechts één servernaam. Zelfs als er meer servernamen worden toegevoegd, wordt alleen de eerste gebruikt.

  • Als de lokale gebruikersinterface niet is uitgeschakeld als onderdeel van het configuratieprofiel, kunt u het actieve profiel wijzigen, stoppen met het gebruik of verwijderen van een van de eSIM-profielen die zijn opgeslagen op het apparaat.

  • Net als bij andere instellingen in Intune betekent de implementatiestatus dat de instellingen nu worden toegepast, niet noodzakelijkerwijs dat het eSIM-profiel ook is gedownload en geactiveerd.

  • Er is momenteel geen methode om een eSIM-profiel te verwijderen met behulp van Intune. Het profiel moet handmatig van het apparaat worden verwijderd.

  • Intune kan geen onderscheid maken tussen een eSIM- en een niet-eSIM-apparaat.

Volgende stappen

Apparaatprofielen configureren