使用 Microsoft Intune 中的設定目錄來設定 eSIM 下載伺服器
啟用行動數據的裝置身分識別,例如 Windows 連線電腦,通常封裝在名為 SIM (訂閱者身分識別模組) 的裝置中,並封裝為離散 SIM 卡。 管理許多裝置的 SIM 卡可能既昂貴又耗時。 因此,Windows 10 和 Windows 11 支援 eSIM (內嵌訂閱者身分識別模組) 技術作為離散 SIM 卡的數位替代方案。
Windows 11 使用行動裝置 裝置管理 (MDM) 服務來部署和管理 eSIM 內容的更多功能,例如 Microsoft Intune。
本功能適用於:
- Windows 11
在 Intune 中,您可以使用下列選項大量啟用 eSIM 程式代碼:
選項 | 平台支援 | 描述 |
---|---|---|
eSIM 下載伺服器 (本文) |
✅建議 Windows 11 () ❌Windows 10 - 使用 CSV 檔案匯入啟用代碼。 |
在設定目錄原則中,新增電信業者的下載伺服器 FQDN。 裝置會連絡下載伺服器、進行驗證,並接收 eSIM 連線資訊。 不需要個別的啟用程序代碼。 |
使用 CSV 檔案匯入啟用代碼 |
✅Windows 11 (支援,但不建議) - 請改用 eSIM 下載伺服器 ✅Windows 10 |
在 eSIM 原則中,匯入一次性使用啟用代碼。 eSIM 硬體會使用啟用代碼連絡電信業者、下載 eSIM 原則,以及設定行動數據啟用。 需要個別的啟用代碼。 |
使用 Intune 設定目錄原則,您可以使用 eSIM 下載伺服器將 eSIM 新增至支援的裝置。 本文提供 eSIM 的詳細資訊、說明程式、列出必要條件,以及列出使用設定目錄設定 eSIM 的步驟。
關於 eSIM 技術
eSIM 技術建立了行動裝置和電信業者的全球生態系統。 它是以全球行動通訊系統關聯 (GSMA) 的一般規格為基礎。 eSIM 技術的採用持續成長,因為其已併入熱門的智慧型手機中。 Windows 支援適用於電腦的 eSIM,且自 2017 年起已支援 eSIM。
eSIM 會從其所包含的 SIM 認證中分離出牌牌的安全執行環境。 安全容器稱為 eUICC (內嵌通用積體電路卡) 。 就像每個實體 SIM 卡都有唯一的身分識別一樣,每個 eUICC 都有一個稱為 eUICC 標識符的唯一身分識別, (EID) 。
唯一識別行動數據訂閱的認證和其他相關聯的組態,都包含在稱為 eSIM 配置檔的數位 (軟體) 套件中。 多個 eSIM 設定檔可以安裝到 eUICC 中。 其中一個已安裝的 eSIM 配置檔已啟用 (,其餘的會) 停用。 已啟用 eSIM 配置檔及其 eUICC 容器的組合運作方式與傳統 SIM 卡完全相同。
At-Scale eSIM 計算機的設定
eSIM 會將 SIM 傳遞至計算機等裝置的數位化,而不需要取得和部署實體 SIM 卡。 Windows 中的 Mobile Plans 應用程式可提供方便使用的介面,讓使用者與所選的電信業者互動,並協調對應 eSIM 配置檔的下載和安裝,進一步減少摩擦。
Mobile Plans 應用程式非常適合具有幾部計算機的取用者和企業需求。 不過,它需要在布建的每個裝置上進行用戶互動,而這種努力和成本可能會大規模地變得顯著。 為了支持企業或教育組織) 等更大規模的受控環境 (,Windows 透過行動裝置管理 (MDM) 例如 Microsoft Intune 提供 eSIM 佈建。
當您透過像是 Microsoft Intune 的 MDM 佈建 eSIM 時,它會使用您建立的其他設定和原則來設定 eSIM 部署。 當 MDM 伺服器註冊到使用者的公司或學校帳戶時,它會在整個生命週期中將設定推送至計算機。 使用 eSIM 資訊設定計算機之後,它會從電信業者的下載伺服器下載 eSIM 配置檔, (SM-DP+) 。
在 Windows 中, eUICCs 設定服務提供者 (CSP) 處理 eSIM 設定。 您也可以透過 CSP 設定一些 eSIM 原則,而每部計算機都會從 CSP 取得其 eSIM 配置檔。
必要條件
若要使用 Intune 將 eSIM 部署到您的裝置,您需要下列必要條件:
Windows 11 版本 22H2 (組建 22621) 或更新版本的裝置,這些裝置已註冊且由 Intune
支援 eSIM 的裝置,例如具有 5G 的 Surface Pro 9
如果您不確定裝置是否支援 eSIM,請連絡您的裝置製造商。 在 Windows 裝置上,您可以確認 eSIM 支援性。 如需詳細資訊,請 參閱使用 eSIM 在 Windows 用戶端裝置上取得行動數據連線。
可根據 eUICC 識別元提供 eSIM 設定檔給一組已知裝置的行動電信業者, (EID) 。 貴組織也必須將電腦的 EID 提供給電信業者,作為您與電信業者合約的一部分。
若要將計算機的 EID 提供給電信業者,您有一些選項:
選項 1 - 您的組織會從裝置封裝取得計算機的識別碼,並直接將 EID 傳送給操作員。
選項 1 - 針對大量裝置購買,計算機的標識碼可以位於裝置 OEM 或轉銷商/散發者所建立的指令清單檔案中。 然後,指令清單檔案可以傳送給您,或直接傳送給電信業者。
在電信業者知道計算機的 EID 之後,電信業者會在其下載伺服器上設定每部計算機的 eSIM 配置檔, (SM-DP+) 。
eSIM 下載伺服器 (SM-DP+ 或 SM-DS) 完整功能變數名稱 (電信業者提供的 FQDN)
您需要完整網域名稱 (電信業者下載伺服器的 FQDN) (SM-DP+) ,例如
smdp.example.com
。 您會在 Intune 原則中輸入此 FQDN。 當每部電腦連絡下載伺服器 (SM-DP+) 時,下載伺服器 (SM-DP+) 驗證計算機的 EID,並提供該裝置專屬的 eSIM 配置檔。您不需要個別的啟用代碼。
進程流程
整體程式流程如下所示:
若要設定受控 eSIM 部署,您必須與電信業者簽訂合約,並從操作員取得其 eSIM 下載伺服器的相關信息, (SM-DP+) 。 然後,您會設定要套用至其所有支援 eSIM 連線電腦的原則和設定,包括操作員 SM-DP+ 的完整功能變數名稱。
注意事項
MDM 系統管理員會建立 eSIM 組態配置檔,指向電信業者所提供的下載伺服器 (SM-DP+) ,並將配置檔指派給必要的群組 () 。
如先前所述,您或供貨商 (計算機製造商或散發者) 提供連接計算機的 EID 給操作員。 針對每個 EID,操作員會在其下載伺服器上建立 eSIM 配置檔, (該裝置的 SM-DP+) 。 初始設定完成之後,每個計算機都會展開下列程式:
終端使用者會將電腦取消收件匣、開啟電源,並經歷初始的 Windows 現用體驗。 在此程式中,終端使用者會將計算機連線到 Wi-Fi 網路,並登入其 公司或學校 帳戶。
使用者使用其 Microsoft Entra ID 進行驗證之後,就會在裝置上設定公司或學校帳戶。 在此程式中,計算機會註冊至 MDM,然後依照您在步驟 1) 中 (設定來布建它。 此設定包含操作員下載伺服器的 FQDN (SM-DP+) 。
設定完成之後,計算機會根據標準 eSIM 下載通訊協定連線到下載伺服器 (SM-DP+) 。 在此程式中,下載伺服器 (SM-DP+) 接收並驗證電腦的 EID。 下載伺服器 (SM-DP+) 會查閱步驟 2 中所建立之 EID (的 eSIM 設定檔) 並將該 eSIM 配置檔下載到計算機。
計算機會安裝並啟用 eSIM 配置檔。 Windows 會辨識電信業者並設定行動資料設定,例如存取點名稱 (APN) ,而電腦現在已透過行動電話連線。
注意事項
所述的程式流程著重於初始裝置設定體驗。 不過,eSIM 布建也可以在受管理裝置的裝置生命周期內隨時完成。
步驟 1 - 建立裝置群組
建立包含支援 eSIM 之裝置的裝置群組。 新增群組 會列出步驟。
注意事項
建議您建立靜態 Microsoft Entra 裝置群組,其中包含您的 eSIM 裝置。 使用群組可確認您只以 eSIM 裝置為目標。
步驟 2 - 在 Intune 中建立配置檔
此配置檔會使用電信業者下載伺服器的 FQDN (SM-DP+) ,並在裝置上啟用 eSIM。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
- 平台:選取 [Windows 10 及更新版本]。
- 設定檔類型:選 取 [設定目錄]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:輸入新原則的描述性名稱。
- 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 組態設定] 索引標籤中 ,選取 [ + 新增 設定],然後在 [設定選擇器] 中搜尋 eSIM 。 選取 eSIM 之後,您可以選取您想要在原則上提供的設定。
在 [ 下載伺服器] 區域中 :
1 - 自動啟用:指出是否必須在安裝之後自動啟用探索到的配置檔。 下拉式清單的預設值是 [啟用]。 如果 eSIM 設定檔應該自動啟用,請選取 [ 自動啟 用], (獨立於儲存在 eUICC) 中的任何其他 eSIM 配置檔。
2 - 伺服器名稱:它是用於配置檔探索之 SM-DP+ 伺服器的完整功能變數名稱。 例如,輸入
smdp.example.com
(不包含https://
) 。3 - 顯示本機 UI:決定是否可以在已布建的 eSIM 裝置上,於 [設定] 應用程式中檢視和變更 eSIM 設定。 如果可用,則為 True,否則為 false。 如果 [顯示本機 UI ] 設定為 [已停用],則必須核取 [自動啟用 ]。
輸入 [伺服器名稱],選取所需的設定,然後選取 [ 下一步]。
在 [ 範圍卷標] 索引標籤中 ,新增必要的標籤,然後選取 [ 下一步]。
在 [ 指派] 索引標籤 中,選取您在 步驟 1 - 建立裝置群組中建立的裝置群組。 如需指派配置檔的詳細資訊,請移至在 Microsoft Intune 中指派裝置配置檔。
在 [ 檢閱 + 建立] 索引 標籤中,檢閱所有詳細數據,然後選取 [ 建立]。
疑難解答 & 最佳做法
建立只包含目標 eSIM 裝置的裝置 Microsoft Entra 群組。 如果原則部署至不支援 eSIM 的裝置,[ 指派狀態 ] 會顯示 [錯誤]。
目前的實作僅支援單一伺服器名稱。 即使新增更多伺服器名稱,也只會使用第一個名稱。
如果 本機 UI 未停用為組態設定檔的一部分,您可以變更使用中的設定檔、停止使用或移除任何儲存在裝置中的 eSIM 配置檔。
如同 Intune 中的其他設定,當部署狀態顯示為成功時,表示已套用設定。 這不一定表示 eSIM 配置檔已下載並啟用。
目前沒有任何方法可以使用 Intune 來移除 eSIM 配置檔。 配置檔必須手動從裝置中移除。
Intune 無法區分 eSIM 和非 eSIM 裝置。