Surface デバイスの USB ポートを管理する

[アーティクル]
09/06/2024
適用対象:

Windows 10, Windows 11

Surface デバイスで既定で USB ポート機能が有効になっている場合、Surface UEFI を使用する多くのデバイスでは、管理者は USB ポートへの接続をオフにすることができます。たとえば、ユーザーが USB サムドライブや外付けハードディスクからデータをコピーできないようにすることができます。

前提条件

この記事で説明するプロセスを開始する前に、次のテクノロジとツールについて理解しておいてください。

Surface IT ツールキットは、 Surface Tools for IT からダウンロードできます。
Surface UEFI
Surface エンタープライズ管理モード (SEMM)
PowerShell スクリプト
Configuration Managerを使用してアプリケーションをデプロイする

使ってみる

このプロセスは、次の部分で構成されます。

在籍： 「SEMM を使用した Surface ドックポートのセキュリティ保護」で説明されているように、Surface UEFI Configurator を使用して Surface デバイスとドッキングを SEMM に登録します。サポートされるドックには、Surface Dock 2 と Surface Thunderbolt 4 ドックが含まれます。このワークフローの鍵となるのは、たとえば、機密性の高い情報を処理する職場環境など、認可された Surface Dock からデバイスが切断されるたびに、USB-C データ、イーサネットデータ、USB-C オーディオをオフにする機能です。
クライアント構成:Surface IT Toolkit ライブラリから入手できる UEFI マネージャーを、管理対象のすべての Surface デバイスにインストールします。
PowerShell スクリプト:Surface IT Toolkit に移動して、環境に応じて PowerShell スクリプトをダウンロードして変更します。 Microsoft Configuration Managerを使用して、スクリプト (アプリケーションとして) をターゲットデバイスに展開します。「Microsoft Configuration Managerを使用して SEMM を使用してデバイスを管理する」の手順に従います。

使用ガイダンスについては、埋め込みコメントを参照してください。定義と前提条件については、「付録: SEMM PowerShell スクリプトの技術リファレンス」を参照してください。

USB-A ポートを管理する

USB-2 および USB-3 をサポートする USB-A ポートの場合は、USB コントローラーから USB データプロトコルをオフにして、すべての機能を防ぐことができます。

詳細な USB-C 無効化

DisplayPort と USB Power Delivery をサポートして USB-C ポートを管理すると、すべての機能をオフにするだけでなく、より多くのオプションが提供されます。たとえば、データ接続を防ぎ、ユーザーが USB ストレージからデータをコピーできないようにすることができますが、ディスプレイを拡張し、USB-C ドックを介してデバイスを充電する機能を保持できます。

Surface Pro 8、Surface Laptop Studio、Surface Go 3 以降では、SEMM PowerShell スクリプトを使用して詳細な USB-C 管理オプションを使用できます。

Surface Tools for IT に移動し、SEMM_PowerShell.zipをダウンロードします。
独自の証明書をまだ持っていない場合は、このページの付録に記載されているように、適切なサンプルスクリプトを使用して証明書を取得できます。

注意

証明書は安全な場所に保管し、適切にバックアップされていることを確認します。これを行わないと、Surface UEFI をリセットしたり、管理されている Surface UEFI 設定を変更したり、登録済みの Surface デバイスから SEMM を削除したりすることはできません。

動的 USB-C 無効化

動的 USB-C Disablement を使用すると、安全性の高い環境で運用するお客様は、USB 経由の不正なデータ転送を防ぎ、組織により多くの制御を提供できます。 Surface Thunderbolt 4 Dock とペアリングすると、IT 管理者は、対象となる Surface デバイスがドッキング解除または未承認のドックに接続されるたびに、USB-C ポートをロックダウンできます。

ヒント

この機能は、Surface Pro 10、Surface Laptop 6、および Surface Laptop Studio 2 で使用できます。

このシナリオでは、ユーザーがオフィスの承認されたドックに接続されている場合、USB-C ポートはデバイス上の完全な機能を持ちます。ただし、オフサイトの場合でも、ドックに接続してアクセサリやモニターを使用することはできますが、USB ポートを使用してデータを転送することはできません。

動的 USB-C Disablement により、IT 管理者は、既存の運用モードに加えて、新しい "モード 3" を使用してデバイスを管理する柔軟性が高くなります。

モード 0 (既定のモード): SEMM が構成されていない場合の既定のモード。
モード 1 (データが無効): USB-C およびイーサネットデータは無効になっています。 USB-C 経由のオーディオも無効になっています。表示と電源機能が有効になっています。
モード 2 (完全に無効): USB-C およびイーサネットデータは無効になっています。 USB-C 経由のオーディオも無効になっています。表示と電源機能が無効になっています。
モード 3 (USB ポート認証) は、動的 USB-C 無効化とも呼ばれます。 USB-C データ、イーサネットデータ、USB-C オーディオ、ディスプレイアウト、電源機能は、デバイスが承認された Surface Thunderbolt 4 Dock に接続されている場合のみです。未承認のドックに接続されている場合は、表示のみが表示され、Power 関数は機能します。

Surface IT Toolkit を使用して USB-C ポートを管理する

次のいずれかの方法を使用して、すべてのモードで USB-C ポートを管理できるようになりました。

Surface IT Toolkit に含まれる新しい UEFI Configurator は、PowerShell スクリプトを使用せずにポートを構成するための UI サポートを提供します。
この記事で説明されているように、PowerShell スクリプト。

ターゲットの動作

ホスト USB ポートの状態	有効	無効なデータ	ハードウェアが無効	ポート認証 (未承認またはドックなし)	ポート認証 (承認されたドック)
USB 2.0、3.x、4.x	有効	無効	無効	無効	有効
Thunderbolt 3 または 4	有効	無効	無効	無効	有効
オーディオアクセサリ	有効	無効	無効	無効	有効
ネットワーク	有効	無効	無効	無効	有効
USB タイプ C 電源	有効	有効	無効	有効	有効
PD Power >0W	有効	有効	無効	有効	有効
DisplayPort Alt モード	有効	有効	無効	有効	有効

Surface ドックのプロビジョニング

このページの付録に記載されているように、適切なプロビジョニングスクリプトを使用します。
- ConfigureSEMM - Dock2.ps1
- ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning
ConfigureSEMM.ps1 を開き、必要に応じて変更します。たとえば、USB-C ポートを無効にするには、 UsbPortHwDisabled という設定を有効にします。使用可能なすべてのオプションについては、次の表を参照してください。

表 1. Surface デバイスの USB ポート管理オプション

デバイス	USB-A オプション (デバイスに存在する場合)	USB-C オプション (デバイスに存在する場合)	設定	SEMM ID
Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2	データを有効または無効にする	N/A: デバイス上の USB-C ポートなし	USBPortEnabled (既定値) USBPortHWDisabled	370-379
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 Surface Laptop 3 (Intel のみ) Surface Laptop 4 (Intel のみ) Surface Laptop 5 (Intel のみ) Surface Studio 2+	データを有効または無効にする	有効なデータ、表示、および電源の配信無効なデータ、表示、および電源の配信	USBPortEnabled (既定値) USBPortHWDisabled	370-379
Surface Pro 8 Surface Pro 9 Surface Pro (第 11 版) Surface Laptop (第 7 版) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4	データを有効または無効にする	有効なデータ、表示、および電源の配信無効なデータが有効になっているが、表示と電源の配信が有効になっている無効なデータ、表示、および電源の配信	USBPortEnabled (既定値) USBPortDataDisabled USBPortHwDisabled	380-389
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 と 5G Surface Laptop 6	データを有効または無効にする	有効なデータ、表示、および電源の配信無効なデータが有効になっているが、表示と電源の配信が有効になっている無効なデータ、表示、および電源の配信データを動的に有効または無効にする	USBPortEnabled (既定値) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated	380-389
Surface Book 2 以降	基本 USB ポートが常に有効になっている	基本 USB ポートが常に有効になっている	該当なし
パフォーマンスベースを使用したSurface Book Surface Book	基本 USB ポートが常に有効になっている	N/A: デバイス上の USB-C ポートなし	該当なし

部署と組織のプロビジョニング

動的 USB-C Disablement を使用すると、ホストとドックの間で多対多の関係を実現できます。これにより、お客様は、すべてのホスト/ドックを操作したり、資産管理を支援するために部門固有のホストとドックを構成したりできます。

表 2. リレーションシップの例: Surface Thunderbolt 4 Dock を使用してデバイスをホストする

ホストデバイス (Surface Laptop Studio 2)	プロビジョニング解除された Dock	グローバルドック	Department-X ドック	Department-Y Dock
プロビジョニングされていない	- ホスト USB-C: 有効 - DOCK USB: 有効	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き
グローバル	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - Dock: 認証済みポリシー
Department-X	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 無効なデータ - DOCK USB: 認証されていないドックポリシーに基づいて、制限 & 無効になっているデータ
Department-Y	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 無効なデータ - DOCK USB: 認証されていないドックポリシーに基づいて、制限 & 無効になっているデータ	- ホスト USB-C: 有効 - ドック：認証済みポリシー

ホストデバイス (Surface Laptop Studio 2)	プロビジョニング解除された Dock	グローバルドック	Department-X ドック	Department-Y Dock
プロビジョニングされていない	- ホスト USB-C: 有効 - DOCK USB: 有効	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き	- ホスト USB-C: 有効 - DOCK USB: 認証されていないドックポリシーに基づく制限付き
グローバル	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - Dock: 認証済みポリシー
Department-X	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 無効なデータ - DOCK USB: 認証されていないドックポリシーに基づいて、制限 & 無効になっているデータ
Department-Y	- ホスト USB-C: 無効なデータ - DOCK USB: 無効なデータ	- ホスト USB-C: 有効 - DOCK USB: 認証済みポリシー	- ホスト USB-C: 無効なデータ - DOCK USB: 認証されていないドックポリシーに基づいて、制限 & 無効になっているデータ	- ホスト USB-C: 有効 - ドック：認証済みポリシー

付録: SEMM PowerShell スクリプトの技術リファレンス

スクリプト	目的	前提条件
ApplyProvisioningPackage.ps1	- 所有者パッケージとアクセス許可パッケージを適用する方法を示します。	- 管理者特権で実行する - Surface デバイスが SurfaceUEFI_Manager_(バージョン).msi をインストールしました - パッケージは CreateSettingsPackage.ps1 または同様の方法で生成されました
ApplySettingsPackage.ps1	- 設定パッケージを適用する方法を示します。	- 管理者特権で実行する - Surface デバイスがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - パッケージは CreateSettingsPackage.ps1 または同様の方法で生成されました
ConfigureSEMM - Dock2.ps1	- Surface Dock プロビジョニングパッケージを作成します - 作成したプロビジョニングパッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - ドック証明機関 (DockCA) - Surface Dock 2 の所有権を制御するために使用される p7b 証明書 - Dock Provisioning Certificate (ProvCert) - EKU 1.3.6.1.4.1.311.76.9.21.3 で Dock 構成パッケージに署名するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root へのプロビジョニングパッケージの作成中に Surface コンピューターにインストールする必要があります。 - Dock Host Authorization Certificate (HostCert) - Surface Computer が承認されたユーザードックセキュリティポリシーを使用することを承認するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root への Dock プロビジョニング中に Surface コンピューターにインストールする必要があります (この証明書のみ)。 - この証明書は、プロビジョニングパッケージの作成中に Surface コンピューターにインストールしないでください - Surface Dock 2 -WMI インスタンスプロバイダー for Surface Dock。詳細については、「WMI を使用した Surface ドックの管理」を参照してください。
ConfigureSEMM - Thunderbolt(TM)4Dock-Host-SAM.ps1	- USB-C ポートを設定し、証明機関ハッシュを含む SEMM/DFCI パッケージを作成して適用します - SAM 証明機関 CFU ペイロードを作成して適用する	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - ドック証明機関 (DockCA) - Surface Thunderbolt 4 Dock の所有権を制御するために使用される p7b 証明書 - 次のいずれかの Surface コンピューター (他のモデルはまだサポートされていません): Surface Laptop Studio 2
ConfigureSEMM - Thunderbolt(TM)4Dock-Host.ps1	- SAM 用の CFU パッケージを作成して適用する	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - 証明機関ファイルの一覧 (.p7b)。 SAM では、最大 10 個の異なる CA をサポートできます - 次のいずれかの Surface コンピューター (他のモデルはまだサポートされていません): Surface Laptop Studio 2
ConfigureSEMM - Thunderbolt(TM)4Dock-Policy.ps1	- Surface Thunderbolt 4 Dock ポリシーパッケージを作成します - 作成したポリシーパッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - Dock Provisioning Certificate (ProvCert) - EKU 1.3.6.1.4.1.311.76.9.21.3 で Dock 構成パッケージに署名するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root へのプロビジョニングパッケージの作成中に Surface コンピューターにインストールする必要があります。 - Dock Host Authorization Certificate (HostCert) - Surface Computer が承認されたユーザードックセキュリティポリシーを使用することを承認するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root への Dock プロビジョニング中に Surface コンピューターにインストールする必要があります (この証明書のみ)。 - この証明書は、プロビジョニングパッケージの作成中に Surface コンピューターにインストールしないでください - Dock 認証証明書 (DockAuthCert) - Surface Thunderbolt 4 ドック
ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning.ps1	- Surface Thunderbolt 4 Dock プロビジョニングパッケージを作成します - 作成したプロビジョニングパッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - Dock 証明機関ファイル (DepartmentCA および/または OrganizationCA) - Surface Thunderbolt 4 Dock の所有権を制御するために使用される p7b 証明書 - Dock Provisioning Certificate (ProvCert) - EKU 1.3.6.1.4.1.311.76.9.21.3 で Dock 構成パッケージに署名するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root へのプロビジョニングパッケージの作成中に Surface コンピューターにインストールする必要があります。 - Dock Host Authorization Certificate (HostCert) - Surface Computer が承認されたユーザードックセキュリティポリシーを使用することを承認するために使用される pfx 証明書 - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root への Dock プロビジョニング中に Surface コンピューターにインストールする必要があります (この証明書のみ)。 - この証明書は、プロビジョニングパッケージの作成中に Surface コンピューターにインストールしないでください - Dock 認証証明書 (DockAuthCert) - Surface Thunderbolt 4 ドック
ConfigureSEMM - Thunderbolt(TM)4Dock-USBC.ps1	- USB-C モード 3 SEMM/DFCI パッケージを作成して適用する	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - 所有権証明書署名キーが生成され、アクセス可能です - 次のいずれかの Surface コンピューター (他のモデルはまだサポートされていません): Surface Laptop Studio 2
ConfigureSEMM.ps1	- 署名者プロビジョニング ("所有者" とも呼ばれます) パッケージとユニバーサルリセットパッケージを作成します - アクセス許可パッケージを作成します - 作成された所有者とアクセス許可パッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - 所有権証明書署名キーが生成され、アクセス可能です - 互換性のある SEMM 対応 UEFI を備えた Surface デバイス
CreateOwnerPackage.ps1	- 署名者プロビジョニング ("所有者" とも呼ばれます) パッケージとユニバーサルリセットパッケージを作成します。 - IT 管理者ワークステーションで実行できます (Surface デバイスである必要はありません)	- IT 管理者ワークステーションがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - 所有権証明書署名キーが生成され、アクセス可能です
CreateOwnerUpgradePackage.ps1	- 署名者アップグレードプロビジョニング ("所有者" とも呼ばれます) パッケージとユニバーサルリセットパッケージを作成します。	- IT 管理者ワークステーションがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - 新しい所有権証明書署名キーが生成され、アクセス可能です - 既存の所有権証明書署名キーが生成され、アクセス可能です
CreatePermissionPackages.ps1	- アクセス許可パッケージを作成する方法を示します。	- IT 管理者ワークステーションがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - 所有権証明書署名キーが生成され、アクセス可能です
CreateSettingsPackage.ps1	- 設定パッケージを作成する方法を示します。	- IT 管理者ワークステーションがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - 所有権証明書署名キーが生成され、アクセス可能です
CreateSurfaceDock2Certificates.ps1	- Surface Dock 2 の構成に適した証明書のセットを作成します - 構成スクリプトとリセットスクリプト、またはコンフィギュレーターと組み合わせて使用できます	- N/A
CreateSurfaceThunderbolt(TM)4DockCertificates.ps1	- Surface Thunderbolt 4 Dock の構成に適した証明書のセットを作成します - 構成スクリプトとリセットスクリプト、またはコンフィギュレーターと組み合わせて使用できます	- N/A
CreateTestCertificates.ps1	- システムで使用されるデジタル証明書を作成する方法を示します。 - 手記：ここで作成された証明書はテスト目的で機能しますが、単純であり、実際のデプロイには推奨されません。 - PKI のベストプラクティスの詳細については、「Microsoft Windows Server 2003 公開キーインフラストラクチャを実装するためのベストプラクティス」などの PKI に関するトピックを読むことを強くお勧めします。	- N/A
CurrentSettings.ps1	- 起動時にデバイスの現在の SEMM 設定を表示します。	- 管理者特権で実行する - Surface デバイスがSurfaceUEFI_Manager_(バージョン).msi をインストールしました
ResetSEMM - Dock2.ps1	- Surface ドックリセットパッケージを作成します - 作成したリセットパッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - ドック証明機関 (DockCA) - Surface Dock 2 の所有権を制御するために使用される p7b 証明書ファイル - Dock Provisioning Certificate (ProvCert) - EKU 1.3.6.1.4.1.311.76.9.21.3 で Dock 構成パッケージに署名するために使用される pfx 証明書ファイル - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root へのプロビジョニングパッケージの作成中に Surface コンピューターにインストールする必要があります。 - Dock Host Authorization Certificate (HostCert) - Surface Computer が承認されたユーザードックセキュリティポリシーを使用することを承認するために使用される pfx 証明書ファイル - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root への Dock プロビジョニング中に Surface コンピューターにインストールする必要があります (この証明書のみ)。 - この証明書は、プロビジョニングパッケージの作成中に Surface コンピューターにインストールしないでください - Surface Dock 2 - Surface Dock 2 の WMI インスタンスプロバイダー。詳細については、「WMI を使用した Surface ドックの管理」を参照してください。
ResetSEMM - Thunderbolt(TM)4Dock.ps1	- Surface Thunderbolt 4 ドックリセットパッケージを作成します - 作成したリセットパッケージを適用します	- SurfaceUEFI_Manager_(バージョン).msi がインストールされました - Dock Provisioning Certificate (ProvCert) - EKU 1.3.6.1.4.1.311.76.9.21.3 で Dock 構成パッケージに署名するために使用される pfx 証明書ファイル - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root へのプロビジョニングパッケージの作成中に Surface コンピューターにインストールする必要があります。 - Dock Host Authorization Certificate (HostCert) - Surface Computer が承認されたユーザードックセキュリティポリシーを使用することを承認するために使用される pfx 証明書ファイル - この証明書とその完全な信頼チェーンは、-CertStoreLocation Cert:\LocalMachine\Root への Dock プロビジョニング中に Surface コンピューターにインストールする必要があります (この証明書のみ)。 - この証明書は、プロビジョニングパッケージの作成中に Surface コンピューターにインストールしないでください - Surface Thunderbolt 4 ドック
ResetSemm.ps1	- 特定のデバイスの SEMM リセットパッケージを作成して適用します。	- デバイスの管理特権。 - Surface デバイスがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - 証明書が生成され、アクセス可能です (パスワードは 1234) - この Surface デバイスは、以前は同じ証明書で登録されていました
ShowSettingsOptions.ps1	- Surface デバイスに適用できる UEFI 設定を出力します。	- IT 管理者ワークステーションがSurfaceUEFI_Manager_(バージョン).msi をインストールしました
VerifyDockSettings.ps1	- 接続されている Surface ドックの現在の構成をキャプチャして表示するには	- Surface Dock 2 または Surface Thunderbolt 4 ドック
VerifySettings.ps1	- 最新の更新プログラムの現在の設定と状態を確認する方法を示します。	- 管理者特権で実行する - Surface デバイスがSurfaceUEFI_Manager_(バージョン).msi をインストールしました - パッケージが適用され、セッション ID ファイルが保存されました。

次の方法で共有