通过

使用 Microsoft Intune 中的设置目录配置 eSIM 下载服务器

  • 项目

支持手机网络的设备(如 Windows 连接的电脑)的标识通常封装在称为 SIM (订阅者标识模块) 的设备中,并打包为离散 SIM 卡。 管理许多设备的 SIM 卡可能既昂贵又耗时。 因此,Windows 10和Windows 11支持 eSIM (嵌入式订阅者标识模块,) 技术作为离散 SIM 卡的数字替代方案。

Windows 11为使用移动设备管理 (MDM) 服务(如Microsoft Intune)部署和管理 eSIM 内容提供了更多功能。

此功能适用于:

  • Windows 11

在 Intune 中,可以使用以下选项批量激活 eSIM 代码:

选项 平台支持 说明
eSIM 下载服务器
(本文) 		✅Windows 11 (建议)

❌Windows 10 - 使用 CSV 文件导入激活码		 在设置目录策略中,添加移动运营商的下载服务器 FQDN。 设备联系下载服务器、进行身份验证并接收 eSIM 连接信息。

无需单独的激活代码。
使用 CSV 文件导入激活码 ✅Windows 11 (受支持,但不建议) - 改用 eSIM 下载服务器

✅Windows 10
 在 eSIM 策略中,导入一次性激活代码。 eSIM 硬件使用激活码联系移动运营商、下载 eSIM 策略和配置手机网络激活。

需要单独的激活代码。

使用Intune设置目录策略,可以使用 eSIM 下载服务器将 eSIM 添加到受支持的设备。 本文提供了有关 eSIM 的详细信息,介绍了该过程,列出了先决条件,并列出了使用设置目录配置 eSIM 的步骤。

关于 eSIM 技术

eSIM 技术创建了全球手机设备和移动运营商生态系统。 它基于全球移动通信系统协会的通用规范, (GSMA) 。 eSIM 技术的采用持续增长,因为它纳入流行的智能手机。 Windows 支持适用于电脑的 eSIM,并且自 2017 年以来一直支持 eSIM。

eSIM 将塑料 SIM 卡的安全执行环境与它包含的 SIM 凭据分离。 安全容器称为 eUICC (嵌入式通用集成电路卡) 。 与每个物理 SIM 卡具有唯一标识一样,每个 eUICC 都有一个名为 eUICC 标识符的唯一标识 (EID) 。

eUICC 和 eSIM 技术图像,其中显示了具有多个 eSIM 配置文件的示例线路卡

唯一标识手机网络订阅的凭据和关联的其他配置包含在名为 eSIM 配置文件的数字 (软件) 包中。 可以将多个 eSIM 配置文件安装到 eUICC 中。 已安装的一个 eSIM 配置文件 (启用,其余) 禁用。 已启用的 eSIM 配置文件及其 eUICC 容器的组合行为与传统 SIM 卡完全相同。

At-Scale 配置 eSIM 电脑

eSIM 将 SIM 传送到电脑等设备数字化,无需获取和部署物理 SIM 卡。 Windows 中的 移动套餐 应用程序为用户提供用户友好的界面,以便与所选移动运营商交互,并协调相应 eSIM 配置文件的下载和安装,从而进一步减少摩擦。

Mobile Plans 应用程序非常适合具有几台电脑的消费者和企业的需求。 但是,它要求在预配的每个设备上进行用户交互,这一工作量和成本在大规模上可能会变得很大。 为了支持更大规模的托管环境 ((例如企业或教育组织) ),Windows 通过移动设备管理 (MDM) (如Microsoft Intune)提供 eSIM 预配。

通过 Microsoft Intune 等 MDM 预配 eSIM 时,它会使用你创建的其他设置和策略配置 eSIM 部署。 当 MDM 服务器注册到最终用户的工作或学校帐户时,它会在其整个生命周期内将配置推送到电脑。 电脑配置 eSIM 信息后,会从移动运营商的下载服务器下载 eSIM 配置文件, (SM-DP+) 。

在 Windows 中, eUICCs 配置服务提供程序 (CSP) 处理 eSIM 配置。 还可以通过 CSP 配置一些 eSIM 策略,并且每台电脑从 CSP 获取其 eSIM 配置文件。

先决条件

若要使用 Intune 将 eSIM 部署到设备,需要满足以下先决条件:

  • Windows 11版本 22H2 (内部版本 22621) 或更高版本的设备,这些设备由 Intune 管理

  • 支持 eSIM 的设备,例如 5G Surface Pro 9

    如果不确定设备是否支持 eSIM,请联系设备制造商。 在 Windows 设备上,可以确认是否支持 eSIM。 有关详细信息,请参阅使用 eSIM 在 Windows 客户端设备上获取手机网络数据连接

  • 移动运营商可以根据 eUICC 标识符 (EID) 向一组已知设备提供 eSIM 配置文件 。 作为与移动运营商签订合同的一部分,组织还必须向移动运营商提供电脑的 EID。

    若要向移动运营商提供电脑的 EID,有以下几个选项:

    • 选项 1 - 组织从设备打包中获取电脑的 EID,并将 EID 直接发送给操作员。

    • 选项 1 - 对于批量设备购买,电脑的 EID 可以位于设备 OEM 或经销商/分销商创建的清单文件中。 然后,可以将清单文件发送给你或直接发送给移动运营商。

    移动运营商知道电脑的 EID 后,移动运营商在其下载服务器上为每个电脑设置 eSIM 配置文件, (SM-DP+) 。

  • eSIM 下载服务器 (SM-DP+ 或 SM-DS) 移动运营商提供的完全限定域名 (FQDN)

    需要移动运营商的下载服务器 (SM-DP+) 的完全限定域名 (FQDN) ,例如 smdp.example.com。 在Intune策略中输入此 FQDN。 当每台电脑 (SM-DP+) 联系下载服务器时,下载服务器 (SM-DP+) 对电脑的 EID 进行身份验证,并为其提供特定于该设备的 eSIM 配置文件。

    不需要单独的激活代码。

流程流

通过下载服务器进行 eSIM 批量激活的进程流。

整个流程流程如下所示:

  1. 若要设置托管 eSIM 部署,必须与移动运营商签订合同,并从运营商获取有关其 eSIM 下载服务器的信息, (SM-DP+) 。 然后,将策略和设置配置为应用于其所有支持 eSIM 的连接电脑,包括运营商的 SM-DP+ 的完全限定域名。

    注意

    MDM 管理员创建指向移动运营商提供的下载服务器的 eSIM 配置文件 (SM-DP+) ,并将配置文件分配给所需的组 () 。

  2. 如前所述,你或你的供应商 (电脑制造商或分销商) 向操作员提供连接的电脑的 EID。 对于每个 EID,操作员在其下载服务器上创建一个 eSIM 配置文件, (该设备的 SM-DP+) 。 完成初始配置后,将针对每台电脑展开以下过程:

  3. 最终用户打开电脑的装箱、打开电脑,并体验初始 Windows 现装体验。 在此过程中,最终用户将电脑连接到 Wi-Fi 网络,并登录到其 工作或学校 帐户。

  4. 用户使用其Microsoft Entra ID进行身份验证后,工作或学校帐户即在设备上设置。 在此过程中,电脑将注册到 MDM,然后按照步骤 1) 中的配置 (进行预配。 此配置包括操作员的下载服务器的 FQDN (SM-DP+) 。

  5. 配置完成后,电脑会根据标准 eSIM 下载协议 (SM-DP+) 连接到下载服务器。 在此过程中,SM-DP+) 下载服务器 (接收并验证电脑的 EID。 下载服务器 (SM-DP+) 查找在步骤 2) 中创建的 EID (eSIM 配置文件,并将该 eSIM 配置文件下载到电脑。

  6. 电脑安装并启用 eSIM 配置文件。 Windows 可识别移动运营商并配置手机网络设置,例如接入点名称 (APN) ,并且电脑现在通过手机网络连接。

注意

所述的流程流侧重于初始设备设置体验。 但是,eSIM 预配也可以在托管设备的整个设备生命周期内随时进行。

步骤 1 - 创建设备组

创建包含支持 eSIM 的设备的设备组。 添加组列出了相关步骤。

注意

建议创建包含 eSIM 设备的静态Microsoft Entra设备组。 使用组可确认仅面向 eSIM 设备。

步骤 2 - 在 Intune 中创建配置文件

此配置文件使用移动运营商的下载服务器的 FQDN (SM-DP+) ,并在设备上启用 eSIM。

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:选择 “设置目录”。

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入新策略的描述性名称。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  6. 选择 下一步

  7. “配置设置” 选项卡中,选择“ + 添加 设置”,并在“设置选取器”中搜索 eSIM 。 选择 eSIM 后,可以选择要在策略上提供的设置。

    屏幕截图显示了在 Microsoft Intune 中添加 eSIM 下载服务器时的配置设置。

    • “下载服务器” 区域中:

      • 1 - 自动启用:指示是否必须在安装后自动启用发现的配置文件。 下拉列表的默认值为 “启用”。 如果应自动启用 eSIM 配置文件, (独立于 eUICC) 中存储的任何其他 eSIM 配置文件,请选择“ 自动启用 ”。

      • 2 - 服务器名称:它是用于配置文件发现的 SM-DP+ 服务器的完全限定域名。 例如,输入 smdp.example.com (不包括 https://) 。

      • 3 - 显示本地 UI:确定是否可以在正在预配的支持 eSIM 的设备上的“设置”应用中查看和更改 eSIM 设置。 如果可用,则为 True,否则为 false。 如果 “显示本地 UI” 设置为“已禁用”,则必须选中 “自动启用 ”。

    • 输入“服务器名称”,选择所需的设置,然后选择“ 下一步”。

  8. 在“ 作用域标记 ”选项卡中,添加所需的标记,然后选择“ 下一步”。

  9. “分配 ”选项卡中,选择在 “步骤 1 - 创建设备组”中创建的设备组。 有关分配配置文件的详细信息,请转到在 Microsoft Intune 中分配设备配置文件

  10. 在“ 审阅 + 创建 ”选项卡中,查看所有详细信息,然后选择“ 创建”。

最佳做法和疑难解答

  • 创建仅包含目标 eSIM 设备的设备Microsoft Entra组。 如果策略部署到不支持 eSIM 的设备,则 “分配状态 ”将显示“错误”。

  • 当前实现仅支持单个服务器名称。 即使添加了更多服务器名称,也仅使用第一个服务器名称。

  • 如果未禁用 本地 UI 作为配置文件的一部分,则可以更改活动配置文件、停止使用或删除设备中存储的任何 eSIM 配置文件。

  • 与 Intune 中的其他设置一样,当部署状态显示为成功时,这意味着应用了设置。 这并不一定意味着下载并激活 eSIM 配置文件。

  • 目前没有使用 Intune 删除 eSIM 配置文件的方法。 必须手动从设备中删除配置文件。

  • Intune无法区分 eSIM 和非 eSIM 设备。

配置设备配置文件