Condividi tramite

Configurare il server di download eSIM usando il catalogo delle impostazioni in Microsoft Intune

  • Articolo

L'identità di un dispositivo abilitato per la rete cellulare, ad esempio un PC connesso a Windows, viene in genere incapsulata in un dispositivo denominato SIM (Subscriber Identity Module) e compressa come scheda SIM discreta. La gestione delle schede SIM per molti dispositivi può essere costosa e dispendiosa in termini di tempo. Pertanto, Windows 10 e Windows 11 supportano la tecnologia eSIM (embedded Subscriber Identity Module) come alternativa digitale alle schede SIM discrete.

Windows 11 offre più funzionalità per la distribuzione e la gestione di contenuti eSIM tramite servizi MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune.

Questa funzionalità si applica a:

  • Windows 11

In Intune è possibile attivare in blocco i codici eSIM usando le opzioni seguenti:

Opzione Supporto della piattaforma Descrizione
Server di download eSIM
(questo articolo)		 ✅Windows 11 (scelta consigliata)

❌Windows 10: usare i codici di attivazione di importazione usando un file CSV.		 In un criterio del catalogo delle impostazioni aggiungere il nome di dominio completo del server di download dell'operatore di telefonia mobile. Il dispositivo contatta il server di download, esegue l'autenticazione e riceve le informazioni di connessione eSIM.

Non sono necessari codici di attivazione singoli.
Importare codici di attivazione usando un file CSV ✅Windows 11 (supportato ma non consigliato) - Usare invece un server di download eSIM

✅Windows 10
 In un criterio eSIM importare codici di attivazione monouso. L'hardware eSIM usa i codici di attivazione per contattare l'operatore di telefonia mobile, scaricare i criteri eSIM e configurare l'attivazione cellulare.

Richiede codici di attivazione singoli.

Usando un criterio di catalogo delle impostazioni di Intune, è possibile aggiungere eSIM ai dispositivi supportati usando un server di download eSIM. Questo articolo fornisce altre informazioni su eSIM, descrive il processo, elenca i prerequisiti ed elenca i passaggi per configurare eSIM usando il catalogo delle impostazioni.

Informazioni sulla tecnologia eSIM

La tecnologia eSIM ha creato un ecosistema mondiale di dispositivi cellulari e operatori mobili. Si basa su una specifica comune della Global System for Mobile Communications Association (GSMA). L'adozione della tecnologia eSIM continua a crescere grazie alla sua incorporazione negli smartphone più diffusi. Windows supporta eSIM per PC e supporta eSIM dal 2017.

eSIM separa l'ambiente di esecuzione sicuro della scheda SIM in plastica dalle credenziali sim in esso contenute. Il contenitore sicuro è denominato eUICC (scheda circuito integrato universale incorporata). Allo stesso modo in cui ogni scheda SIM fisica ha un'identità univoca, ogni eUICC ha un'identità univoca denominata identificatore eUICC (EID).

Immagine della tecnologia eUICC ed eSIM che mostra una scheda circuito di esempio con più profili eSIM

Le credenziali e altre configurazioni associate che identificano in modo univoco una sottoscrizione cellulare sono contenute in un pacchetto digitale (software) denominato profilo eSIM. È possibile installare più profili eSIM in un eUICC. Uno dei profili eSIM installati è abilitato e il resto è disabilitato. La combinazione del profilo eSIM abilitato e del contenitore eUICC si comporta esattamente come una scheda SIM tradizionale.

configurazione At-Scale dei PC eSIM

eSIM digitalizza il recapito di SIMs a dispositivi come PC, eliminando la necessità di ottenere e distribuire schede SIM fisiche. L'applicazione Piani mobili in Windows riduce ulteriormente l'attrito fornendo un'interfaccia intuitiva per consentire a un utente di interagire con un operatore di telefonia mobile scelto e coordinare il download e l'installazione del profilo eSIM corrispondente.

L'applicazione Piani mobili è adatta alle esigenze dei consumatori e delle aziende con pochi PC. Tuttavia, richiede l'interazione dell'utente su ogni dispositivo di cui viene effettuato il provisioning, un impegno e un costo che possono diventare significativi su larga scala. Per supportare ambienti gestiti su larga scala(ad esempio un'organizzazione aziendale o un'organizzazione educativa), Windows offre il provisioning eSIM tramite la gestione dei dispositivi mobili (MDM), ad esempio Microsoft Intune.

Quando si effettua il provisioning di un eSIM tramite un MDM come Microsoft Intune, la distribuzione eSIM viene configurata con altre impostazioni e criteri creati. Quando il server MDM viene registrato nell'account aziendale o dell'istituto di istruzione dell'utente finale, esegue il push della configurazione nel PC per tutto il ciclo di vita. Dopo aver configurato il PC con le informazioni eSIM, scarica il profilo eSIM dal server di download dell'operatore di telefonia mobile (SM-DP+).

All'interno di Windows, il provider di servizi di configurazione (CSP) eUICCs gestisce la configurazione eSIM. È anche possibile configurare alcuni criteri eSIM tramite CSP e ogni PC ottiene il profilo eSIM dal CSP.

Prerequisiti

Per distribuire eSIM nei dispositivi usando Intune, sono necessari i prerequisiti seguenti:

  • Windows 11 versione 22H2 (Build 22621) o versioni successive registrati e gestiti da Intune

  • Dispositivi con supporto per eSIM, come il Surface Pro 9 con 5G

    Se non si è certi che i dispositivi supportano eSIM, contattare il produttore del dispositivo. Nei dispositivi Windows è possibile confermare la supportabilità di eSIM. Per altre informazioni, vedere Usare un'eSIM per ottenere una connessione dati cellulare nel dispositivo client Windows.

  • Operatore di telefonia mobile in grado di fornire profili eSIM a un set di dispositivi noti in base all'identificatore EID (eUICC). L'organizzazione deve anche fornire gli ID EID dei PC all'operatore di telefonia mobile come parte del contratto con l'operatore di telefonia mobile.

    Per assegnare gli EID dei PC all'operatore di telefonia mobile, sono disponibili alcune opzioni:

    • Opzione 1 : l'organizzazione ottiene gli EID dei PC dal pacchetto del dispositivo e invia direttamente gli ID EID all'operatore.

    • Opzione 1 : per gli acquisti in blocco di dispositivi, gli EID dei PC possono essere inclusi in un file manifesto creato dall'OEM del dispositivo o da un rivenditore/distributore. Il file manifesto può quindi essere inviato all'utente o inviato direttamente all'operatore di telefonia mobile.

    Dopo che l'operatore di telefonia mobile conosce gli EID dei PC, l'operatore di telefonia mobile configura i profili eSIM per ogni PC nel server di download (SM-DP+).

  • Nome di dominio completo (FQDN) del server di download eSIM (SM-DP+ o SM-DS) fornito dall'operatore di telefonia mobile

    È necessario il nome di dominio completo (FQDN) del server di download dell'operatore di telefonia mobile (SM-DP+), ad esempio smdp.example.com. Immettere questo nome di dominio completo nei criteri di Intune. Quando ogni PC contatta il server di download (SM-DP+), il server di download (SM-DP+) autentica l'EID del PC e lo fornisce con il profilo eSIM specifico del dispositivo.

    Non sono necessari i singoli codici di attivazione.

Flusso di processo

Flusso di processo per l'attivazione bulk eSIM tramite il server di download.

Il flusso complessivo del processo è il seguente:

  1. Per configurare una distribuzione eSIM gestita, è necessario avere un contratto con un operatore di telefonia mobile e ottenere informazioni dall'operatore sul server di download eSIM (SM-DP+). Configurare quindi i criteri e le impostazioni da applicare a tutti i PC connessi con supporto per eSIM, incluso il nome di dominio completo dell'SM-DP+ dell'operatore.

    Nota

    L'amministratore MDM crea il profilo di configurazione eSIM che punta al server di download (SM-DP+) fornito dall'operatore di telefonia mobile e assegna il profilo ai gruppi necessari.

  2. Come descritto in precedenza, l'utente o il fornitore (produttore o distributore di PC) fornisce gli ID EID dei PC connessi all'operatore. Per ogni EID, l'operatore crea un profilo eSIM nel relativo server di download (SM-DP+) per il dispositivo. Al termine della configurazione iniziale, viene eseguito il processo seguente per ogni PC:

  3. L'utente finale unboxing del PC, lo accende e passa attraverso l'esperienza predefinita iniziale di Windows. Come parte di questo processo, l'utente finale connette il PC a una rete Wi-Fi e accede all'account aziendale o dell'istituto di istruzione .

  4. Dopo l'autenticazione dell'utente con il Microsoft Entra ID, l'account aziendale o dell'istituto di istruzione viene configurato nel dispositivo. Come parte di questo processo, il PC viene registrato in MDM, che quindi esegue il provisioning come configurato dall'utente (nel passaggio 1). Questa configurazione include il nome di dominio completo del server di download dell'operatore (SM-DP+).

  5. Al termine della configurazione, il PC si connette al server di download (SM-DP+) in base al protocollo di download eSIM standard. Come parte di questo processo, il server di download (SM-DP+) riceve e autentica l'EID del PC. Il server di download (SM-DP+) cerca il profilo eSIM per l'EID (creato nel passaggio 2) e scarica tale profilo eSIM nel PC.

  6. Il PC installa e abilita il profilo eSIM. Windows riconosce l'operatore di telefonia mobile e configura le impostazioni della rete cellulare, ad esempio il nome del punto di accesso (APN) e il PC è ora connesso tramite rete cellulare.

Nota

Il flusso di processo descritto è incentrato sull'esperienza di configurazione iniziale del dispositivo. Tuttavia, il provisioning eSIM può essere eseguito anche in qualsiasi momento durante il ciclo di vita del dispositivo per i dispositivi gestiti.

Passaggio 1: Creare un gruppo di dispositivi

Creare un gruppo di dispositivi che include i dispositivi con supporto per eSIM. Aggiungere gruppi elenca i passaggi.

Nota

È consigliabile creare un gruppo di dispositivi Microsoft Entra statico che includa i dispositivi eSIM. L'uso di un gruppo conferma che l'utente ha come destinazione solo i dispositivi eSIM.

Passaggio 2: Creare un profilo in Intune

Questo profilo usa il nome di dominio completo del server di download dell'operatore di telefonia mobile (SM-DP+) e abilita eSIM nei dispositivi.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.

  3. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Catalogo impostazioni.

  4. Selezionare Crea.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il nuovo criterio.
    • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

  6. Seleziona Avanti.

  7. Nella scheda Impostazioni di configurazione selezionare + Aggiungi impostazioni e cercare eSIM in Selezione impostazioni. Dopo aver selezionato eSIM, è possibile selezionare le impostazioni che si desidera rendere disponibili nei criteri.

    Screenshot che mostra le impostazioni di configurazione quando si aggiunge un server di download eSIM in Microsoft Intune.

    • Nell'area Server di download :

      • 1 - Abilita automaticamente: indica se il profilo individuato deve essere abilitato automaticamente dopo l'installazione. Il valore predefinito dell'elenco a discesa è Abilita. Selezionare Abilita automaticamente se il profilo eSIM deve essere abilitato automaticamente (indipendentemente da qualsiasi altro profilo eSIM archiviato in eUICC).

      • 2 - Nome server: è il nome di dominio completo del server SM-DP+ usato per l'individuazione del profilo. Ad esempio, immettere smdp.example.com (non includere https://).

      • 3 - Visualizzazione dell'interfaccia utente locale: determina se le impostazioni di eSIM possono essere visualizzate e modificate nell'app Impostazioni nei dispositivi con supporto per eSIM di cui viene effettuato il provisioning. True se disponibile, false in caso contrario. Se l'opzione Visualizza interfaccia utente locale è impostata su Disabilitato, è necessario selezionare Abilita automaticamente .

    • Immettere il nome del server, selezionare le impostazioni desiderate e quindi selezionare Avanti.

  8. Nella scheda Tag ambito aggiungere i tag necessari e selezionare Avanti.

  9. Nella scheda Assegnazioni selezionare il gruppo di dispositivi creato in Passaggio 1 - Creare un gruppo di dispositivi. Per altre informazioni sull'assegnazione del profilo, vedere Assegnare profili di dispositivo in Microsoft Intune.

  10. Nella scheda Rivedi e crea esaminare tutti i dettagli e selezionare Crea.

Procedure consigliate & risoluzione dei problemi

  • Creare un gruppo Microsoft Entra dispositivo che include solo i dispositivi eSIM di destinazione. Se il criterio viene distribuito in un dispositivo non con supporto per eSIM, lo stato dell'assegnazione visualizza un errore.

  • L'implementazione corrente supporta solo un singolo nome server. Anche se vengono aggiunti più nomi di server, viene usato solo il primo.

  • Se l'interfaccia utente locale non è disabilitata come parte del profilo di configurazione, è possibile modificare il profilo attivo, interrompere l'uso o rimuovere uno dei profili eSIM archiviati nel dispositivo.

  • Come per altre impostazioni in Intune, quando lo stato della distribuzione viene visualizzato correttamente, significa che le impostazioni applicate. Non significa necessariamente che il profilo eSIM venga scaricato e attivato.

  • Attualmente non è disponibile alcun metodo per rimuovere un profilo eSIM usando Intune. Il profilo deve essere rimosso manualmente dal dispositivo.

  • Intune non è in grado di distinguere tra un dispositivo eSIM e un dispositivo non eSIM.

Configurare i profili per dispositivi