Поделиться через

Настройка сервера загрузки eSIM с помощью каталога параметров в Microsoft Intune

  • Статья

Удостоверение устройства с поддержкой сотовой связи, например компьютера с Windows Connected, обычно инкапсулируется в устройство с именем SIM-карта (модуль идентификации подписчика) и упаковано в виде дискретной SIM-карта. Управление SIM-картами для многих устройств может быть дорогостоящим и трудоемким. Таким образом, Windows 10 и Windows 11 поддерживают технологию eSIM (внедренный модуль идентификации подписчика) в качестве цифровой альтернативы дискретным SIM-картам.

Windows 11 предоставляет дополнительные возможности для развертывания содержимого eSIM и управления ими с помощью служб mobile Управление устройствами (MDM), таких как Microsoft Intune.

Данная функция применяется к:

  • Windows 11

В Intune можно выполнить массовую активацию кодов eSIM с помощью следующих параметров:

Вариант Поддержка платформы Описание
Сервер загрузки eSIM
(эта статья)		 ✅Windows 11 (рекомендуется)

❌Windows 10 . Используйте коды активации импорта с помощью CSV-файла.		 В политике каталога параметров добавьте полное доменное имя сервера загрузки мобильного оператора. Устройство связывается с сервером загрузки, выполняет проверку подлинности и получает сведения о подключении eSIM.

Не требуется отдельных кодов активации.
Импорт кодов активации с помощью CSV-файла ✅Windows 11 (поддерживается, но не рекомендуется) — вместо этого используйте сервер загрузки eSIM.

✅Windows 10
 В политике eSIM импортируйте коды одноразовой активации. Оборудование eSIM использует коды активации для связи с оператором мобильной связи, скачивания политики eSIM и настройки активации сотовой связи.

Требуются отдельные коды активации.

Используя политику каталога параметров Intune, вы можете добавить eSIM на поддерживаемые устройства с помощью сервера загрузки eSIM. В этой статье содержатся дополнительные сведения о eSIM, описан процесс, перечислены предварительные требования и шаги по настройке eSIM с помощью каталога параметров.

Сведения о технологии eSIM

Технология eSIM создала глобальную экосистему сотовых устройств и мобильных операторов. Он основан на общей спецификации Глобальной системы для ассоциации мобильной связи (GSMA). Внедрение технологии eSIM продолжает расти благодаря ее внедрению в популярные смартфоны. Windows поддерживает eSIM для компьютеров и поддерживает eSIM с 2017 года.

eSIM отделяет безопасную среду выполнения пластиковой sim-карты карта от учетных данных SIM-карты, содержащихся в ней. Безопасный контейнер называется eUICC (встроенная универсальная карточка интегральной цепи). Так же, как каждый физический карта SIM-карты имеет уникальное удостоверение, каждый eUICC имеет уникальное удостоверение, называемое eUICC Identifier (EID).

Изображение технологии eUICC и eSIM с примером канала карта с несколькими профилями eSIM

Учетные данные и связанная с ними другая конфигурация, которые однозначно идентифицируют сотовую подписку, содержатся в цифровом (программном) пакете, называемом профилем eSIM. В eUICC можно установить несколько профилей eSIM. Один из установленных профилей eSIM включен (остальные отключены). Сочетание включенного профиля eSIM и контейнера eUICC ведет себя точно так же, как традиционная SIM-карта.

At-Scale конфигурация компьютеров eSIM

eSIM оцифровывает доставку SIM-карт на такие устройства, как компьютеры, что устраняет необходимость в получении и развертывании физических SIM-карт. Приложение Mobile Plans в Windows еще больше снижает трудности, предоставляя удобный интерфейс для взаимодействия с выбранным оператором мобильной связи и координации загрузки и установки соответствующего профиля eSIM.

Приложение Mobile Plans хорошо подходит для потребностей потребителей и предприятий с несколькими компьютерами. Однако это требует взаимодействия с пользователем на каждом подготовленном устройстве, усилий и затрат, которые могут стать значительными в большом масштабе. Для поддержки крупномасштабных управляемых сред (например, предприятия или образовательной организации) Windows обеспечивает подготовку eSIM с помощью управления мобильными устройствами (MDM), например Microsoft Intune.

При подготовке eSIM с помощью MDM, например Microsoft Intune, она настраивает развертывание eSIM с другими параметрами и политиками, которые вы создаете. Когда сервер MDM регистрируется в рабочей или учебной учетной записи конечного пользователя, он отправляет конфигурацию на компьютер на протяжении всего жизненного цикла. После настройки компьютера с данными eSIM он скачивает профиль eSIM с сервера загрузки оператора мобильной связи (SM-DP+).

В Windows поставщик службы конфигурации eUICCs (CSP) обрабатывает конфигурацию eSIM. Вы также можете настроить некоторые политики eSIM с помощью CSP, и каждый компьютер получает свой профиль eSIM из CSP.

Предварительные условия

Чтобы развернуть eSIM на устройствах с помощью Intune, необходимо выполнить следующие предварительные требования:

  • Windows 11 версии 22H2 (сборка 22621) или более поздних версий, зарегистрированных и управляемых Intune

  • Устройства с поддержкой eSIM, такие как Surface Pro 9 с 5G

    Если вы не уверены, поддерживают ли ваши устройства eSIM, обратитесь к производителю устройства. На устройствах с Windows можно самостоятельно проверить возможность поддержки eSIM. Дополнительные сведения см. в статье: Использование eSIM для передачи данных по сотовой сети на клиентском устройстве с Windows.

  • Оператор мобильной связи, который может предоставлять профили eSIM набору известных устройств на основе их идентификатора eUICC (EID). Ваша организация также должна предоставить EID ваших компьютеров мобильному оператору в рамках вашего контракта с оператором мобильной связи.

    Чтобы передать EID ваших компьютеров мобильному оператору, у вас есть несколько вариантов:

    • Вариант 1 . Ваша организация получает EID компьютеров из упаковки устройства и отправляет их оператору напрямую.

    • Вариант 1 . Для массовых покупок устройств EID компьютеров могут поступать в файле манифеста, созданном изготовителем оборудования устройства или торговым посредником или распространителем. Затем файл манифеста можно отправить вам или напрямую оператору мобильной связи.

    После того как оператор мобильной связи узнает об идентификаторах EID компьютеров, оператор мобильной связи настраивает профили eSIM для каждого компьютера на сервере загрузки (SM-DP+).

  • Сервер загрузки eSIM (SM-DP+ или SM-DS), полное доменное имя (FQDN), предоставленное вашим оператором мобильной связи

    Вам потребуется полное доменное имя (FQDN) сервера загрузки оператора мобильной связи (SM-DP+), например smdp.example.com. Это полное доменное имя введите в политике Intune. Когда каждый компьютер обращается к серверу загрузки (SM-DP+), сервер загрузки (SM-DP+) проверяет подлинность EID компьютера и предоставляет ему профиль eSIM, относящееся к конкретному устройству.

    Вам не нужны отдельные коды активации.

Поток процесса

Поток обработки для массовой активации eSIM через сервер загрузки.

Общий поток процесса выглядит следующим образом:

  1. Чтобы настроить управляемое развертывание eSIM, необходимо заключить контракт с оператором мобильной связи и получить от оператора сведения о сервере загрузки eSIM (SM-DP+). Затем вы настраиваете политики и параметры для применения ко всем подключенным компьютерам с поддержкой eSIM, включая полное доменное имя ОПЕРАТОРА SM-DP+.

    Примечание.

    Администратор MDM создает профиль конфигурации eSIM, указывающий на сервер загрузки (SM-DP+), предоставленный оператором мобильной связи, и назначает профиль требуемым группам.

  2. Как упоминалось ранее, вы или ваш поставщик (изготовитель или распространитель) предоставляете оператору идентификаторы EID подключенных компьютеров. Для каждого EID оператор создает профиль eSIM на сервере загрузки (SM-DP+) для этого устройства. После завершения начальной настройки для каждого компьютера выполняется следующий процесс:

  3. Конечный пользователь распаковывает компьютер, включает его и проходит через начальный интерфейс Windows без коробки. В рамках этого процесса пользователь подключает компьютер к Wi-Fi сети и входит в рабочую или учебную учетную запись.

  4. После проверки подлинности пользователя с помощью Microsoft Entra ID на устройстве настраивается рабочая или учебная учетная запись. В рамках этого процесса компьютер регистрируется в MDM, который затем подготавливает его в соответствии с настройками (на шаге 1). Эта конфигурация включает полное доменное имя сервера загрузки оператора (SM-DP+).

  5. После завершения настройки компьютер подключается к серверу загрузки (SM-DP+) в соответствии со стандартным протоколом загрузки eSIM. В рамках этого процесса сервер загрузки (SM-DP+) получает ИД компьютера и проверяет его подлинность. Сервер загрузки (SM-DP+) ищет профиль eSIM для этого EID (созданного на шаге 2) и загружает этот профиль eSIM на компьютер.

  6. Компьютер устанавливает и включает профиль eSIM. Windows распознает оператора мобильной связи и настраивает параметры сотовой сети, такие как имя точки доступа (APNs), и компьютер теперь подключен по сотовой сети.

Примечание.

Описанный процесс посвящен начальной настройке устройства. Однако подготовка eSIM также может выполняться в любое время на протяжении всего жизненного цикла устройства для управляемых устройств.

Шаг 1. Создание группы устройств

Создайте группу устройств, включающую устройства с поддержкой eSIM. Процедура приведена в разделе Добавление групп.

Примечание.

Рекомендуется создать статическую Microsoft Entra группу устройств, включающую устройства eSIM. Использование группы подтверждает, что вы нацелены только на устройства eSIM.

Шаг 2. Создание профиля в Intune

Этот профиль использует полное доменное имя сервера загрузки оператора мобильной связи (SM-DP+) и включает eSIM на устройствах.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Каталог параметров.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя. Введите описательное имя для новой политики.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

  6. Нажмите кнопку Далее.

  7. На вкладке Параметры конфигурации выберите + Добавить параметры и найдите eSIM в выборе параметров. Выбрав eSIM, можно выбрать параметры, которые нужно сделать доступными в политике.

    Снимок экрана: параметры конфигурации при добавлении сервера загрузки eSIM в Microsoft Intune.

    • В области Серверы загрузки выполните следующие действия.

      • 1 — автоматическое включение: указывает, должен ли обнаруженный профиль автоматически включаться после установки. Значение по умолчанию раскрывающегося списка — Enable. Выберите Автоматически включить , если профиль eSIM должен быть включен автоматически (независимо от любых других профилей eSIM, хранящихся в eUICC).

      • 2 . Имя сервера. Это полное доменное имя сервера SM-DP+, которое используется для обнаружения профилей. Например, введите smdp.example.com (не включайте https://).

      • 3. Отображение локального пользовательского интерфейса. Определяет, можно ли просматривать и изменять параметры eSIM в приложении "Параметры" на подготавливаемых устройствах с поддержкой eSIM. Значение True, если доступно, в противном случае — false. Если параметр Отображать локальный пользовательский интерфейс имеет значение Отключено, необходимо установить флажок Автоматическое включение .

    • Введите имя сервера, выберите нужные параметры и нажмите кнопку Далее.

  8. На вкладке Теги области добавьте необходимые теги и нажмите кнопку Далее.

  9. На вкладке Назначения выберите группу устройств, созданную на шаге 1. Создание группы устройств. Дополнительные сведения о назначении профиля см. в статье Назначение профилей устройств в Microsoft Intune.

  10. На вкладке Просмотр и создание просмотрите все сведения и нажмите кнопку Создать.

Рекомендации и устранение неполадок

  • Создайте группу Microsoft Entra устройств, включающую только целевые устройства eSIM. Если политика развернута на устройстве, не поддерживающем eSIM, в разделе Состояние назначения отображается сообщение Об ошибке.

  • Текущая реализация поддерживает только одно имя сервера. Даже при добавлении дополнительных имен серверов используется только первое.

  • Если локальный пользовательский интерфейс не отключен в составе профиля конфигурации, вы можете изменить активный профиль, прекратить использование или удалить любой из профилей eSIM, хранящихся на устройстве.

  • Как и в случае с другими параметрами в Intune, когда состояние развертывания отображается как успешное, это означает, что параметры применены. Это не обязательно означает, что профиль eSIM скачан и активирован.

  • В настоящее время нет метода удаления профиля eSIM с помощью Intune. Профиль должен быть удален с устройства вручную.

  • Intune не может различать устройство eSIM и устройство, отличное от eSIM.

Настройка профилей устройств