分享方式:

使用 Microsoft Intune 設定 eSIM 下載伺服器

  • 文章

啟用行動數據的裝置身分識別,例如 Windows 連線電腦,傳統上會封裝在名為 SIM (訂閱者身分識別模組) 的裝置中,並封裝為離散 SIM 卡。 管理一組裝置的 SIM 卡可能既昂貴又耗時。 因此,Windows 10 和 Windows 11 支援 eSIM (內嵌訂閱者身分識別模組) 技術作為獨立 SIM 卡的數位替代方案。 Windows 11 使用行動裝置 裝置管理 (MDM) 例如 Microsoft Intune,提供更多功能來部署和管理 eSIM 內容。

關於 eSIM 技術

eSIM 技術已根據 GSM 關聯 (GSMA) 的一般規格,建立全球行動裝置和電信業者生態系統。 eSIM 技術的採用因其併入熱門的智慧型手機而持續成長。 Windows 自 2017 年起支援電腦的 eSIM。

eSIM 會從其所包含的 SIM 認證中分離出牌牌的安全執行環境。 安全容器稱為 eUICC (內嵌通用積體電路卡) 。 就像每個實體 SIM 卡都有唯一的身分識別一樣,每個 eUICC 都有一個稱為 eUICC 標識符的唯一身分識別, (EID) 。

eUICC 和 eSIM 技術。

唯一識別行動數據訂閱的認證和其他相關聯的組態,都包含在稱為 eSIM 配置檔的數位 (軟體) 套件中。 多個 eSIM 設定檔可能會安裝到 eUICC 中。 其中一個已安裝的 eSIM 配置檔已啟用 (,其餘的會) 停用。 已啟用 eSIM 配置檔及其 eUICC 容器的組合運作方式與傳統 SIM 卡完全相同。

At-Scale eSIM 計算機的設定

eSIM 會將 SIM 傳遞至計算機等裝置的數位化,而不需要取得和部署實體 SIM 卡。 Windows 中的 Mobile Plans 應用程式可提供方便使用的介面,讓使用者與所選的電信業者互動,並協調對應 eSIM 配置檔的下載和安裝,進一步減少摩擦。

Mobile Plans 應用程式非常適合具有幾部計算機的取用者和企業需求。 不過,它需要在布建的每個裝置上進行用戶互動,這項工作和成本可能會大規模地變得顯著。 為了支持企業或教育組織) 等更大規模的受控環境 (,Windows 透過行動裝置管理 (MDM) 例如 Microsoft Intune 提供 eSIM 佈建。

當企業透過像是 Microsoft Intune 等 MDM 佈建 eSIM 時,也會設定 eSIM 部署以及其他企業設定和原則。 當 MDM 伺服器註冊到使用者的公司或學校帳戶時,它會在整個生命週期中將設定推送至計算機。 使用 eSIM 資訊設定計算機之後,它會從電信業者的下載伺服器下載 eSIM 配置檔, (SM-DP+) 。

在 Windows 中, eUICCs 設定服務提供者 (CSP) 處理 eSIM 設定。 此外,企業也可以透過 CSP 設定一些 eSIM 原則,而每部計算機都會從 CSP 取得其 eSIM 配置檔。

必要條件

除了透過 Microsoft Intune 管理的 Windows 11 連線電腦 (支援 eSIM 的電腦) ,您還需要下列資訊:

行動電信業者,可根據其 EID 為一組已知裝置提供 eSIM 配置檔。 這接著需要某種方式,企業 (或學校) 應該能夠在與電信業者簽訂合約時,將計算機的 EID 提供給操作員。

  • 其中一個選項是讓企業從計算機封裝取得其計算機的 EID,並直接將它傳送給操作員。

  • 或者,針對大量裝置購買,其計算機的標識符可能會出現在裝置 OEM 或轉銷商/散發者所建立的指令清單檔案中,並使用裝置或直接傳遞給電信業者傳遞給企業。

在電信業者知道客戶計算機的 EID 之後,電信業者會在其下載伺服器上設定每部計算機的 eSIM 配置檔, (SM-DP+) 。 企業必須知道下載伺服器的完整功能變數名稱 (FQDN) , (SM-DP+) 。 例如,smdp.example.com。 不過,它不需要個別的啟用程序代碼。 當每部電腦連絡下載伺服器 (SM-DP+) 時,下載伺服器 (SM-DP+) 驗證計算機的 EID,並提供該裝置專屬的 eSIM 配置檔。

進程流程

透過下載伺服器進行 eSIM 大量啟用的程式流程。

整體程式流程如下所示:

  1. 若要設定受控 eSIM 部署,企業客戶必須與電信業者簽訂合約,並從操作員取得其 eSIM 下載伺服器的相關信息, (SM-DP+) 。 企業接著會設定要套用至其所有支援 eSIM 連線電腦的原則和設定,包括操作員 SM-DP+ 的完整功能變數名稱。

    注意事項

    MDM 系統管理員會建立 eSIM 組態配置檔,指向電信業者所提供的下載伺服器 (SM-DP+) ,並將配置檔指派給必要的群組 () 。

  2. 如先前所述,企業或其供應商 (計算機製造商或散發者) 提供連接計算機的 EID 給操作員。 針對每個 EID,操作員會在其下載伺服器上建立 eSIM 配置檔, (該裝置的 SM-DP+) 。 初始設定完成之後,每個計算機都會展開下列程式:

  3. 終端使用者會將電腦取消收件匣、開啟電源,並經歷初始的 Windows 現用體驗。 在此程式中,終端使用者會將計算機連線到 Wi-Fi 網路,並登入其 公司或學校 帳戶。

  4. 使用者向企業 (或學校的) Microsoft Entra ID 驗證之後,就會在裝置上設定公司或學校帳戶。 在此程式中,計算機會註冊至 MDM,然後依照步驟 1) 中企業 (所設定來布建它。 此設定包含操作員下載伺服器的 FQDN (SM-DP+) 。

  5. 設定完成之後,計算機會根據標準 eSIM 下載通訊協定連線到下載伺服器 (SM-DP+) 。 在此程式中,下載伺服器 (SM-DP+) 接收並驗證電腦的 EID。 下載伺服器 (SM-DP+) 會查閱步驟 2 中所建立之 EID (的 eSIM 設定檔) 並將該 eSIM 配置檔下載到計算機。

  6. 計算機會安裝並啟用 eSIM 配置檔。 Windows 會辨識電信業者並設定行動資料設定,例如存取點名稱 (APN) ,而電腦現在已透過行動電話連線。

注意事項

所述的程式流程著重於初始裝置設定體驗。 不過,eSIM 布建也可以在受管理裝置的裝置生命周期內隨時完成。

eSIM 下載伺服器的 Intune 設定

行動操作員 eSIM 下載伺服器的 Intune 設定是透過指派給群組的組態配置檔來完成。

本功能適用於:

  • Windows 11

若要使用 Intune 將 eSIM 部署到您的裝置,需要下列專案:

  • 支援 eSIM 的裝置,例如 Surface Pro 9 搭配 5G:查看您的裝置是否支援 eSIM
  • Windows 11 (22H2 版 (已註冊的組建 22621) 或更新版本) ,以及由 Intune 管理的 MDM
  • eSIM 下載伺服器 (SM-DP+ 或 SM-DS) 完整功能變數名稱 (電信業者提供的 FQDN) 。 如需詳細資訊,請連絡您的電信業者。

支援 eSIM 的裝置

如果您不確定裝置是否支援 eSIM,請連絡您的裝置製造商。 在 Windows 裝置上,您可以確認 eSIM 支援性。 如需詳細資訊,請 參閱使用 eSIM 在 Windows 用戶端裝置上取得行動數據連線

在您的電信業者確認您需要在下載伺服器上建立 eSIM 配置檔 (SM-DP+) 之後,請移至 Microsoft Intune,併為系結至您想要使用 eSIM 啟用之支援 eSIM 之 Windows 裝置的 EID 建立配置檔。

建立 Microsoft Entra 裝置群組

建立裝置群組,其中包含支援 eSIM 的裝置。 新增群組 會列出步驟。

注意事項

建議您建立靜態 Microsoft Entra 裝置群組,其中包含您的 eSIM 裝置。 使用群組可確認您僅以 eSIM 裝置為目標。

建立設定檔

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>建立]

  3. 針對 [平臺] 欄位,選取 [Windows 10 及更新版本]

  4. 針對 [ 配置檔類型] 欄位,選 取 [設定目錄]

  5. 取 [建立 ],並遵循精靈來完成步驟。

  6. 在 [ 基本] 索引 標籤中,輸入配置檔的 [名稱 ] 和 [ 描述 ],然後選取 [ 下一步]

  7. 在 [ 組態設定] 索引標籤中 ,選取 [ + 新增 設定],然後在 [設定選擇器] 中搜尋 eSIM 。 選取 eSIM 之後,您可以選取您想要在原則上提供的設定。

    [建立設定檔] 行程中的 [組態設定] 索引標籤。

    • 在 [ 下載伺服器] 區域中

      • 1 - 自動啟用:指出是否必須在安裝之後自動啟用探索到的配置檔。 下拉式清單的預設值是 [啟用]。 如果 eSIM 設定檔應該自動啟用,請選取 [ 自動啟 用], (獨立於儲存在 eUICC) 中的任何其他 eSIM 配置檔。

      • 2 - 伺服器名稱:它是用於配置檔探索之 SM-DP+ 伺服器的完整功能變數名稱。 例如, smdp.example.com (不包含 https://)

      • 3 - 顯示本機 UI:決定是否可以在已布建的 eSIM 裝置上,於 [設定] 應用程式中檢視和變更 eSIM 設定。 如果可用,則為 True,否則為 false。 如果 [顯示本機 UI ] 設定為 [已停用],則必須核取 [自動啟用 ]。

    • 輸入 [伺服器名稱],選取所需的設定,然後選取 [ 下一步]

  8. 在 [ 範圍卷標] 索引標籤中 ,新增必要的標籤,然後選取 [ 下一步]

  9. 在 [ 指派] 索引 標籤中,選取要指派配置檔的使用者或裝置群組 () 。 如需將配置檔指派給使用者或裝置群組的詳細資訊,請移至在 Microsoft Intune 中指派裝置配置檔。 此外,在建立配置檔之前,您必須先設定群組 () 。 如需詳細資訊,請移至 [新增群組] 來組織用戶和裝置。

  10. 在 [ 檢閱 + 建立] 索引 標籤中,檢閱所有詳細數據,然後選取 [ 建立]

疑難解答 & 最佳做法

  • 建立只包含目標 eSIM 裝置的裝置 Microsoft Entra 群組。 (注意:如果原則部署至不支援 eSIM 的裝置,[ 指派狀態 ] 會顯示 Error.)

  • 目前的實作僅支援單一伺服器名稱。 即使新增更多伺服器名稱,也只會使用第一個名稱。

  • 如果 本機 UI 未停用為組態設定檔的一部分,您可以變更使用中的設定檔、停止使用或移除任何儲存在裝置中的 eSIM 配置檔。

  • 如同 Intune 中的其他設定,當部署狀態顯示為 成功 時,只是表示現在已套用設定,不一定也已下載並啟動 eSIM 配置檔。

  • 目前沒有任何方法可以使用 Intune 移除 eSIM 配置檔。 配置檔必須手動從裝置中移除。

  • Intune 無法區分 eSIM 和非 eSIM 裝置。

後續步驟

設定裝置設定檔