Surface Enterprise 管理モード (SEMM) を使用して Surface ドック 2 ポートをセキュリティで保護する

概要

Surface Enterprise Management Mode (SEMM) を使用すると、IT 管理者は、企業環境全体で互換性のある Surface デバイスに展開された Windows インストーラー構成パッケージ (.msi ファイル) で UEFI 設定を構成することで、Surface Dock 2 ポートをセキュリティで保護および管理できます。

サポートされるデバイス

SEMM を使用した Surface ドック 2 の管理は、Surface Book 3、Surface Laptop Studio、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Go、Surface Laptop Go 2、Surface Pro 9 & Surface Pro 9 (5G、Surface Pro 8、Surface Pro 7 以降) に接続されているドックで使用できます。Surface Pro 7、Surface Pro X。これらの互換性のある Surface デバイスは、一般にホスト デバイスと呼ばれます。 ホスト デバイスが 認証 されているか認証されていないかに基づいて、ホスト デバイスにパッケージが適用 されます。 構成された設定は、ホスト デバイス上の UEFI レイヤーに存在し、IT 管理者は、カメラなどの他の組み込み周辺機器と同様に Surface Dock 2 を管理できます。

Surface Dock 2 ポートは、ドックが次のいずれかの互換性のあるデバイスに接続されている場合にのみ管理できます。Surface Pro 9、Surface Pro 9 と 5G、Surface Studio 2 以降、Surface Pro 8、Surface Laptop Studio、Surface Book 3、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Pro 7 以降、Surface Pro 7 です。 UEFI 認証ポリシー設定を受け取らないデバイスは、本質的に認証されていないデバイスです。

シナリオ

Surface Dock 2 を企業ホスト デバイスにサインインした承認されたユーザーに制限すると、別のデータ保護レイヤーが提供されます。 Surface Dock 2 をロックダウンするこの機能は、厳格なセキュリティ プロトコルへの準拠を維持しながら、ドックの機能と生産性の利点を望む、安全性の高い環境の特定のお客様にとって重要です。 Surface Dock 2 で使用される SEMM は、特にセキュリティ上の理由から USB ポートをロックする場合に、オープン オフィスや共有スペースで役立つと予想されます。 ビデオ デモについては、 Surface Dock 2 の SEMM に関するページを参照してください。

Surface Dock 2 の UEFI 設定の構成と展開

このセクションでは、次のタスクに関する詳細なガイダンスを提供します。

  1. Surface Tools for IT から Surface UEFI Configurator をインストールします。
  2. 公開キー証明書を作成または取得します。
  3. .msi構成パッケージを作成します。
    1. 証明書を追加します。
    2. Surface Dock 2 デバイスの 16 桁の RN 番号を入力します。
    3. UEFI 設定を構成します。
  4. 対象となる Surface デバイスに構成パッケージをビルドして適用します。

乱数 (RN) は一意の 16 桁の 16 進コード識別子であり、ファクトリでプロビジョニングされ、ドックの下側に小さな型で印刷されます。 RN は、電子的に読み取ることができないという点で、ほとんどのシリアル番号とは異なります。 これにより、所有権の証明は、主にデバイスに物理的にアクセスするときに RN を読み取ることによってのみ確立されます。 RN は、購入トランザクション中にも取得され、Microsoft インベントリ システムに記録されます。

SEMM と Surface UEFI Configurator のインストール

Surface UEFI Configurator を実行して SEMM をインストールします。

  • Intel/AMD デバイスの場合、ダウンロード: SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
  • ARM デバイスの場合は、ダウンロード: SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

UEFI Configurator はスタンドアロン インストーラーを介して使用でき、Surface Dock 2 の構成パッケージを作成して配布するために必要なものがすべて含まれています。

  • Surface Tools for IT から Surface UEFI Configurator をダウンロードします。

公開キー証明書を作成する

このセクションでは、Surface Dock 2 のポートを管理するために必要な証明書を作成するための仕様について説明します。

前提条件

この記事では、サード パーティのプロバイダーから証明書を取得するか、PKI 証明書サービスに関する専門知識を既に持っており、独自の証明書を作成する方法を知っていることを前提としています。 Surface Enterprise Management Mode (SEMM) のドキュメントで説明されているように、証明書を作成するための一般的な推奨事項に精通し、従う必要があります。ただし、1 つの例外があります。 このページに記載されている証明書には、 Dock 証明機関では 30 年、 ホスト認証証明書には 20 年の有効期限が必要です。

詳細については、「 Certificate Services アーキテクチャ のドキュメント」を参照し、 Windows Server 2019 Inside Out または Windows Server 2008PKI と Certificate Security の適切な章を Microsoft Press から入手できます。

ルート証明書とホスト証明書の要件

構成パッケージを作成する前に、Surface Dock 2 の所有権を認証する公開キー証明書を準備し、デバイスのライフサイクル中にそれ以降の所有権の変更を容易にする必要があります。 ホスト証明書とプロビジョニング証明書では、 EKU ID (クライアント認証拡張キー使用法 (EKU) オブジェクト識別子 (OID) と呼ばれる) を入力する必要があります。

必要な EKU 値を表 1 および表 2 に示します。

表 1. ルート証明書とドック証明書の要件

証明書 アルゴリズム 説明 有効期限 EKU OID
ルート証明機関 ECDSA_P384 - 384 ビットの素数楕円曲線デジタル署名アルゴリズムを使用したルート証明書 (ECDSA)
- SHA 256 キー使用法:
CERT_DIGITAL_SIGNATURE_KEY_USAGE
- CERT_KEY_CERT_SIGN_KEY_USAGE
CERT_CRL_SIGN_KEY_USAGE
30 年 該当せず
Dock 証明機関 ECC P256 曲線 - 256 ビット楕円曲線暗号化 (ECC) を使用したホスト証明書
- SHA 256 キー使用法:
CERT_KEY_CERT_SIGN_KEY_USAGE
- パス長制約 = 0
20 年 1.3.6.1.4.1.311.76.9.21.2
1.3.6.1.4.1.311.76.9.21.3

ドック CA は .p7b ファイルとしてエクスポートする必要があります。

プロビジョニング管理証明書の要件

各ホスト デバイスには、表 2 に示すように、ドキュメント CA と 2 つの証明書が必要です。

表 2. プロビジョニング管理証明書の要件

証明書 アルゴリズム 説明 EKU OID
ホスト認証証明書 ECC P256
SHA 256
ホスト デバイスの ID を証明します。 1.3.6.1.4.1.311.76.9.21.2
プロビジョニング管理証明書 ECC P256
SHA256
ドックに現在インストールされている CA を置き換えることで、ドックの所有権やポリシー設定を変更できます。 1.3.6.1.4.1.311.76.9.21.3
1.3.6.1.4.1.311.76.9.21.4

ホスト認証とプロビジョニング証明書は、.pfx ファイルとしてエクスポートする必要があります。

構成パッケージを作成する

証明書を取得または作成したら、ターゲット Surface デバイスに適用される.msi構成パッケージをビルドする準備が整います。

  1. Surface UEFI Configurator を実行します

    Surface UEFI Configurator を実行します。

  2. [ Surface Dock] を選択します

    [Surface Dock] を選択します。

  3. 証明書ページに適切な 証明書 を入力します。 デモ証明書は 、Surface Tools for IT から入手できます。 SEMM_PowerShell.zip をダウンロードし、「 CreateSurfaceDock2Certificates.ps1」を参照してください。 デモ スクリプトを実行する前に 、SurfaceDock2_WmiInstanceProvider をインストールしてください。

    適切な証明書を入力します。

  4. 適切なドック LUN を一覧に追加します。

    ヒント

    各 RN を手動で入力する代わりに、複数の Surface Dock 2 デバイス用の構成パッケージを作成する場合は、LUN の一覧を含む.csv ファイルを使用できます。

  5. USB データ、イーサネット、およびオーディオ ポートのポリシー設定を指定します。 UEFI Configurator を使用すると、認証されたユーザー (認証されたポリシー) と認証されていないユーザー (認証されていないポリシー) のポリシー設定を構成できます。 次の図は、認証されたユーザーに対して有効にされ、認証されていないユーザーに対してオフになっているポート アクセスを示しています。

    アクティブ化または非アクティブ化するコンポーネントを選択します。

    • 認証されたユーザーは、ターゲット デバイスに適用した.msi構成パッケージで構成されているように、適切な証明書がインストールされている Surface デバイスを参照します。 これは、デバイスにサインインするすべてのユーザー認証ユーザーに適用されます。
    • 認証されていないユーザーは、他のデバイスを参照します。
    • [ リセット ] を選択して、ドックが受け入れた以前の構成パッケージを削除する特別な "リセット" パッケージを作成します。
  6. [ ビルド] を 選択して、指定したとおりにパッケージを作成します。

構成パッケージを Surface ドック 2 に適用する

  1. Surface UEFI Configurator によって生成された.msi ファイルを取得し、Surface ホスト デバイスにインストールします。
  2. ホスト デバイスを Surface Dock 2 に接続します。 ドックを接続すると、UEFI ポリシー設定が適用されます。

Surface アプリを使用してマネージド状態を確認する

構成パッケージを適用したら、すべての Surface デバイスに既定でインストールされている Surface アプリから直接、ドックの結果のポリシーの状態をすばやく確認できます。 Surface App がデバイスに存在しない場合は、Microsoft Store からダウンロードしてインストールできます。

テスト シナリオ

目的: 認証されたユーザーによるポート アクセスのみを許可するようにポリシー設定を構成します。

  1. 認証されたユーザーのすべてのポートをオンにし、認証されていないユーザーの場合はオフにします。

    認証されたユーザーのポートを有効にする。

  2. 構成パッケージをターゲット デバイスに適用し、Surface Dock 2 を接続します。

  3. Surface App を開き、[Surface ドック] を選択して、Surface ドックのポリシーの結果の状態を表示します。 ポリシー設定が適用されている場合、Surface App はポートが使用可能であることを示します。

    Surface アプリには、認証されたユーザーが使用できるすべてのポートが表示されます。

  4. これで、認証されていないユーザーのすべてのポートがポリシー設定によって正常にオフになっていることを確認する必要があります。 Surface Dock 2 をアンマネージド デバイスに接続します。たとえば、作成した構成パッケージの管理範囲外の Surface デバイスなどです。

  5. Surface App を開き、[Surface ドック] を選択します。 結果として得られるポリシーの状態は、ポートがオフになっていることを示します。

    認証されていないユーザーのポートがオフになっていることを示す Surface アプリ。

ヒント

デバイスの所有権を保持し、すべてのユーザーにフル アクセスを許可する場合は、すべてが有効になっている新しいパッケージを作成できます。 デバイスの制限と所有権を完全に削除する (非管理対象にする) 場合は、Surface UEFI Configurator で [リセット ] を選択して、ターゲット デバイスに適用するパッケージを作成します。

お疲れさまでした。 ターゲット ホスト デバイスで Surface Dock 2 ポートを正常に管理しました。

詳細情報