Surface デバイスの UEFI 設定を構成する

  • [アーティクル]
  • 適用対象:
    Windows 11, Windows 10

この記事では、Surface UEFI Configurator と Surface Enterprise Management Mode (SEMM) を使用して、organization全体に展開される Surface デバイスの統合拡張ファームウェア インターフェイス (UEFI) 設定をセキュリティで保護および管理する方法について説明します。 Surface UEFI Configurator は、別のダウンロードとして使用できなくなりましたが、新しい Surface IT Toolkit に含まれるようになりました。

SEMM で管理される Surface デバイスの UEFI 設定

SEMM を使用すると、IT 管理者はファームウェア レベルでハードウェア コンポーネントを管理できます。 たとえば、セキュリティ上の目的でカメラ、マイク、USB ポートなどのハードウェア コンポーネントをオフにすることができます。 使用可能な設定の完全な一覧については、「 Surface UEFI SEMM 設定リファレンス」を参照してください。

Surface UEFI 構成パッケージをCreateする

Surface UEFI 構成パッケージは、新しく構成された UEFI 設定を SEMM で管理される Surface デバイスに適用し、SEMM に登録する二重の目的を果たします。 このパッケージを作成するには、各デバイスの UEFI 設定をセキュリティで保護するために SEMM 署名証明書が必要です。 詳細については、「 SEMM 証明書の要件」を参照してください。

パスワードを使用して UEFI 設定を保護する

UEFI 構成パッケージの作成時にパスワードを設定することを強くお勧めします。 ファームウェアは、オペレーティング システムが読み込まれる前にハードウェアの初期操作を制御します。 承認されていないユーザーが UEFI 設定にアクセスすると、セキュリティ機能を無効にしたり、デバイスのセキュリティと機能に悪影響を及ぼす変更を加えたりする可能性があります。

承認されていないユーザーから UEFI 設定を保護するためのパスワードの追加を示すスクリーンショット。

デバイスの構成

デバイスの構成ツールでは、organizationで Surface デバイスの UEFI 設定の構成とリセット パッケージを作成できます (Surface UEFI 設定の詳細については、「Surface UEFI 設定の管理」を参照してください)。

Surface UEFI 構成パッケージをCreateする

  1. Surface IT Toolkit を開き、[UEFI Configurator>Configure Surface Device]\(Surface デバイスの構成\) を選択します。
  2. [ 証明書保護のインポート] で、[ 追加] を選択して、エクスポートした証明書ファイルを秘密キー (.pfx) で追加します。 [次へ] を選択します。 UEFI 構成のスクリーンショット。
  3. 構成するデバイスを選択します。 管理対象デバイスから選択するか、[すべてのデバイス] に移動してデバイスとモデルを選択します。 [次へ] を選択します。 UEFI 構成のデバイス選択のスクリーンショット。
  4. [デバイス構成設定] ページで、構成するコンポーネントを選択し、UEFI パスワード設定を選択します。 完了したら、[次へ] を選択します。 [デバイス構成設定] ページのスクリーンショット。
  5. [最終レビュー] ページには、選択した構成の詳細が表示されます。 変更を確認し、[フォルダーの選択] を選択して UEFI 構成パッケージを保存し、[Create] を選択します。 デバイス パッケージの構成が完了したスクリーンショット。

ヒント

図 6 に示すように、このページに表示されている証明書の拇印文字を記録します。 SEMM での新しい Surface デバイスの登録を確認するには、これらの文字が必要です。 [ 終了] をクリックしてパッケージの作成を完了し、Microsoft Surface UEFI Configurator を閉じます。

  1. 完了したら、[完了] を選択 します

    UEFI 構成パッケージ ファイルのスクリーンショット。

  2. 完了したら、選択したフォルダーに移動してパッケージを取得します。 このパッケージ例では、1 つの UEFI 設定を変更し、次の 2 つのファイルを作成します。

    • 1 つ以上のデバイスに展開できる SEMM 登録パッケージ。
    • SEMM で管理されるデバイスの登録を解除するために使用されるリセット パッケージ。

    [デバイス パッケージの作成] ページのスクリーンショット。

SEMM に Surface デバイスを登録する

Surface UEFI 構成パッケージが実行されると、SEMM 証明書と Surface UEFI 構成ファイルが Surface デバイスのファームウェア ストレージでステージングされます。 Surface デバイスが再起動されると、Surface UEFI はこれらのファイルを処理し、Surface UEFI 構成を適用するか、SURFACE デバイスを SEMM に登録するプロセスを開始します。

SEMM に Surface デバイスを登録する前に、証明書の拇印の最後の 2 文字が手元にあることを確認してください。 デバイスの登録を確認するには、これらの文字が必要です。

Surface UEFI 構成パッケージを使用して Surface デバイスを SEMM に登録するには:

  1. SEMM に登録する Surface デバイスで Surface UEFI 構成パッケージ .msi ファイルを実行します。 これにより、デバイスのファームウェアに Surface UEFI 構成ファイルがプロビジョニングされます。
  2. [使用許諾契約書チェックボックスの条項に同意してエンド ユーザー ライセンス契約 (EULA) に同意し、[インストール] を選択してインストール プロセスを開始します。
  3. [完了] を選択して Surface UEFI 構成パッケージのインストールを完了し、Surface デバイスを再起動するように求められたら再起動します。
  4. Surface UEFI は構成ファイルを読み込み、デバイスで SEMM が有効になっていないことを判断します。 Surface UEFI では、次のように SEMM 登録プロセスが開始されます。
    • Surface UEFI は、SEMM 構成ファイルに SEMM 証明書が含まれていることを確認します。
    • Surface UEFI では、証明書の拇印の最後の 2 文字を入力して、SEMM での Surface デバイスの登録を確認するように求められます。
  5. Surface デバイスが SEMM に登録されました。

Surface デバイスが SEMM に正常に登録されたかどうかを確認するには、[プログラムと機能] で Microsoft Surface 構成パッケージを探すか、Microsoft Surface UEFI Configurator ログに格納されているイベント (イベント ビューアーのアプリケーションとサービス ログ) を探します。

Surface UEFI のその他の設定を構成する

デバイスが SEMM に登録されたら、同じ SEMM 証明書で署名された他の Surface UEFI 構成パッケージを実行して、新しい Surface UEFI 設定を適用できます。 これらの設定は、次回デバイスが起動すると自動的に適用されます。ユーザーからの操作は行いません。 Microsoft Endpoint Configuration Manager などのアプリケーション展開ソリューションを使用して Surface UEFI 構成パッケージを Surface デバイスに展開し、Surface UEFI の設定を変更または管理できます。

Configuration Managerを使用して Windows インストーラー (.msi) ファイルを展開する方法の詳細については、「Microsoft Endpoint Configuration Managerを使用してアプリケーションを展開および管理する」を参照してください。