Surface Enterprise Management モード (SEMM) を使用して Surface Dock 2 ポートをセキュリティで保護する

はじめに

Surface Enterprise Management Mode (SEMM) を使用すると、IT 管理者は、Windows インストーラー構成パッケージ (.msi ファイル) 内の UEFI 設定を企業環境全体で互換性のある Surface デバイスに展開することで、Surface Dock 2 ポートをセキュリティで保護および管理できます。

サポートされるデバイス

SURFACE Book 3、Surface Laptop Studio、Surface Laptop 4、Surface Laptop 3、Surface Laptop Go、Surface Laptop Go 2、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface Pro X に接続されているドックでは、SURFACE Dock 2 を SEMM で管理できます。これらの互換性のある Surface デバイスは、一般的に ホスト デバイスと呼ばれます。 パッケージは、ホスト デバイスが認証されているか認証されていないかどうかに基づいて、ホスト デバイスに適用されます。 構成された設定は、ホスト デバイス上の UEFI レイヤーに存在し、IT 管理者は、カメラなどの他の組み込み周辺機器と同様に Surface Dock 2 を管理できます。

注意

Surface Dock 2 ポートは、Surface Pro 8、Surface Laptop Studio、Surface Book 3、Surface Laptop 4、Surface Laptop 3、Surface Pro 7+、Surface Pro 7 のいずれかに接続されている場合にのみ管理できます。 UEFI 認証済みポリシー設定を受け取らないデバイスは、本質的に認証されていないデバイスです。

シナリオ

Surface Dock 2 を企業ホスト デバイスにサインインしている承認されたユーザーに制限すると、データ保護の別のレイヤーが提供されます。 Surface Dock 2 をロックダウンするこの機能は、厳格なセキュリティ プロトコルへの準拠を維持しながら、ドックの機能と生産性の利点を求めるセキュリティの高い環境の特定のお客様にとって非常に重要です。 Surface Dock 2 で使用される SEMM は、特にセキュリティ上の理由から USB ポートをロックしたいお客様にとって、オープン オフィスや共有スペースで役立つと予想しています。 ビデオ デモについては、 Surface Dock 2 の SEMM を確認してください。

Surface Dock 2 の UEFI 設定の構成と展開

このセクションでは、次のタスクの詳細なガイダンスを提供します。

  1. Surface Tools for IT から Surface UEFI Configurator をインストールします。
  2. 公開キー証明書を作成または取得します。
  3. .msi構成パッケージを作成します。
    1. 証明書を追加します。
    2. Surface Dock 2 デバイスの 16 桁の RN 番号を入力します。
    3. UEFI 設定を構成します。
  4. 構成パッケージをビルドし、対象の Surface デバイス (Surface Book 3、Surface Laptop 3、または Surface Pro 7) に適用します。

注意

乱数 (RN) は一意の 16 桁の 16 進数コード識別子であり、ファクトリでプロビジョニングされ、ドックの下部に小さい種類で印刷されます。 RN は、電子的に読み取ることができないという点で、ほとんどのシリアル番号とは異なります。 これにより、所有権の証明は、主にデバイスに物理的にアクセスするときに RN を読み取ることによってのみ確立されます。 RN は、購入トランザクション中に取得され、Microsoft インベントリ システムに記録される場合もあります。

SEMM と Surface UEFI Configurator をインストールする

Surface UEFI Configurator を実行して SEMM をインストールします。

  • Intel/AMD デバイスの場合は、ダウンロード: SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
  • ARM デバイスの場合は、ダウンロード: SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

UEFI Configurator はスタンドアロン インストーラーを使用して使用でき、Surface Dock 2 用の構成パッケージを作成して配布するために必要なすべてのものが含まれています。

公開キー証明書を作成する

このセクションでは、Surface Dock 2 のポートを管理するために必要な証明書を作成するための仕様について説明します。

前提条件

この記事では、サード パーティ プロバイダーから証明書を取得するか、既に PKI 証明書サービスの専門知識を持ち、独自の証明書を作成する方法を理解していることを前提としています。 Surface Enterprise Management Mode (SEMM) のドキュメントで説明されているように、証明書の作成に関する一般的な推奨事項については、1 つの例外を除いて理解し、従う必要があります。 このページに記載されている証明書には、 Dock 証明機関の有効期限が 30 年、 ホスト認証証明書に 20 年間必要です。

詳細については、 証明書サービス アーキテクチャ のドキュメントを参照し、 Windows Server 2019 Inside Out の適切な章、または Microsoft Press から入手できる Windows Server 2008 PKI と証明書のセキュリティ に関するページを参照してください。

ルート証明書とホスト証明書の要件

構成パッケージを作成する前に、Surface Dock 2 の所有権を認証する公開キー証明書を準備し、デバイスライフサイクル中に後続の所有権の変更を容易にする必要があります。 ホスト証明書とプロビジョニング証明書では、クライアント 認証拡張キー使用法 (EKU) オブジェクト識別子 (OID) と呼ばれる EKU ID を入力する必要があります。

必要な EKU 値を表 1 と表 2 に示します。

表 1. ルート証明書とドック証明書の要件

証明書 アルゴリズム 説明 有効期限 EKU OID
ルート証明機関 ECDSA_P384 - 384 ビットの素数楕円曲線デジタル署名アルゴリズム (ECDSA) を使用したルート証明書
- SHA 256 キー使用法:
CERT_DIGITAL_SIGNATURE_KEY_USAGE
- CERT_KEY_CERT_SIGN_KEY_USAGE
CERT_CRL_SIGN_KEY_USAGE
30 年 該当せず
証明書機関をドッキングする ECC P256 曲線 - 256 ビット楕円曲線暗号化 (ECC) を使用したホスト証明書
- SHA 256 キー使用法:
CERT_KEY_CERT_SIGN_KEY_USAGE
- パス長制約 = 0
20 年 1.3.6.1.4.1.311.76.9.21.2
1.3.6.1.4.1.311.76.9.21.3

注意

ドック CA は .p7b ファイルとしてエクスポートする必要があります。

プロビジョニング管理証明書の要件

表 2 に示すように、各ホスト デバイスにはドキュメント CA と 2 つの証明書が必要です。

表 2. 管理証明書の要件をプロビジョニングする

証明書 アルゴリズム 説明 EKU OID
ホスト認証証明書 ECC P256
SHA 256
ホスト デバイスの ID を証明します。 1.3.6.1.4.1.311.76.9.21.2
プロビジョニング管理証明書 ECC P256
SHA256
ドックに現在インストールされている CA を置き換えることができるため、ドックの所有権やポリシー設定を変更できます。 1.3.6.1.4.1.311.76.9.21.3
1.3.6.1.4.1.311.76.9.21.4

注意

ホスト認証とプロビジョニング証明書は、.pfx ファイルとしてエクスポートする必要があります。

構成パッケージを作成する

証明書を取得または作成したら、ターゲット Surface デバイスに適用される.msi構成パッケージをビルドできます。

  1. Surface UEFI Configurator を実行します。

    Surface UEFI Configurator を実行します。

  2. Surface Dock を選択します。

    Surface Dock を選択します。

  3. 証明書ページで適切な 証明書 を入力します。 デモ証明書は Surface Tools for IT から入手できます: SEMM_PowerShell.zip をダウンロードし、 CreateSurfaceDock2Certificates.ps1を参照してください。 デモ スクリプトを実行する前に 、必ずSurfaceDock2_WmiInstanceProvider をインストールしてください。

    適切な証明書を入力します。

  4. 適切なドック LUN を一覧に追加します。

    ヒント

    複数の Surface Dock 2 デバイスの構成パッケージを作成する場合、各 RN を手動で入力する代わりに、LUN の一覧を含む.csv ファイルを使用できます。

  5. USB データ、イーサネット、およびオーディオ ポートのポリシー設定を指定します。 UEFI Configurator を使用すると、認証されたユーザー (認証されたポリシー) と認証されていないユーザー (認証されていないポリシー) のポリシー設定を構成できます。 次の図は、認証されたユーザーに対してポート アクセスが有効になっており、認証されていないユーザーの場合はオフになっていることを示しています。

    アクティブ化または非アクティブ化するコンポーネントを選択します。

    • 認証されたユーザーは、ターゲット デバイスに適用した.msi構成パッケージで構成されているように、適切な証明書がインストールされている Surface デバイスを参照します。 デバイスにサインインするすべてのユーザー認証ユーザーに適用されます。
    • 認証されていないユーザーは、他のデバイスを参照します。
    • [リセット] を選択して、ドックが受け入れた以前の構成パッケージを削除する特別な "リセット" パッケージを作成します。
  6. [ ビルド] を選択して、指定したとおりにパッケージを作成します。

Surface Dock 2 に構成パッケージを適用する

  1. Surface UEFI Configurator によって生成された.msi ファイルを取得し、Surface ホスト デバイスにインストールします。 互換性のあるホストには、Surface Book 3、Surface Laptop Studio、Surface Laptop 3、Surface Laptop 4、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface Laptop Go、Surface Laptop Go 2 があります。
  2. ホスト デバイスを Surface Dock 2 に接続します。 ドックを接続すると、UEFI ポリシー設定が適用されます。

Surface アプリを使用してマネージド状態を確認する

構成パッケージを適用したら、すべての Surface デバイスに既定でインストールされている Surface アプリから直接、ドックの結果として得られるポリシーの状態をすばやく確認できます。 Surface App がデバイスに存在しない場合は、Microsoft Store からダウンロードしてインストールできます。

テスト シナリオ

目的: 認証されたユーザーのみがポート アクセスを許可するようにポリシー設定を構成します。

  1. 認証されたユーザーのすべてのポートをオンにし、認証されていないユーザーの場合は無効にします。

    認証されたユーザーのポートを有効にします。

  2. ターゲット デバイスに構成パッケージを適用し、Surface Dock 2 を接続します。

  3. Surface App を開き、Surface Dock を選択して Surface Dock の結果のポリシー状態を表示します。 ポリシー設定が適用されている場合、Surface App はポートが使用可能であることを示します。

    Surface アプリは、認証されたユーザーが使用できるすべてのポートを示します。

  4. 次に、認証されていないユーザーのポリシー設定ですべてのポートが正常にオフになっていることを確認する必要があります。 Surface Dock 2 をアンマネージド デバイスに接続します。たとえば、作成した構成パッケージの管理範囲外の Surface デバイスなどです。

  5. Surface App を開き、Surface Dock を選択します。 結果として得られるポリシー状態は、ポートがオフになっていることを示します。

    認証されていないユーザーのポートがオフになっていることを示す Surface アプリ。

ヒント

デバイスの所有権を保持し、すべてのユーザーにフル アクセスを許可する場合は、すべてがオンになっている新しいパッケージを作成できます。 デバイスの制限と所有権を完全に削除する (非管理対象にする) 場合は、Surface UEFI Configurator で リセット を選択して、ターゲット デバイスに適用するパッケージを作成します。

お疲れさまでした。 ターゲット ホスト デバイスで Surface Dock 2 ポートを正常に管理しました。

詳細情報