Gerir portas USB em dispositivos Surface

• Aplica-se a:

  Windows 10, Windows 11

Com a funcionalidade de porta USB ativada por predefinição em dispositivos Surface, muitos dispositivos com UEFI do Surface permitem aos administradores desativar a conectividade às portas USB. Por exemplo, pode querer impedir que os utilizadores copiem dados de pen USB ou discos rígidos externos.

Pré-requisitos

Antes de começar o processo descrito neste artigo, familiarize-se com as seguintes tecnologias e ferramentas:

• O Toolkit de TI do Surface está disponível para transferência a partir das Ferramentas do Surface para TI.
• Surface UEFI
• Surface Enterprise Management Mode (SEMM)
• Scripting do PowerShell
• Implementar aplicações com Configuration Manager

Introdução

O processo consiste nas seguintes partes:

1. Inscrição: Inscreva dispositivos Surface e estações de ancoragem no SEMM com o Configurador UEFI do Surface, conforme descrito em Proteger as portas da Estação de Ancoragem para Surface com SEMM. As estações de ancoragem suportadas incluem o Surface Dock 2 e o Surface Thunderbolt 4 Dock. A chave para este fluxo de trabalho é a capacidade de desativar dados USB-C, dados Ethernet e áudio USB-C sempre que os dispositivos são desligados de uma Estação de Ancoragem para Surface autorizada localizada, por exemplo, num ambiente de trabalho que lida com informações altamente confidenciais.

2. Configuração do cliente: Instale o UEFI Manager, disponível a partir da Biblioteca do Toolkit de TI do Surface, em todos os dispositivos Surface destinados à gestão.

3. Scripts do PowerShell: Aceda ao Toolkit de TI do Surface para transferir e modificar os scripts do PowerShell conforme adequado para o seu ambiente. Utilize Microsoft Configuration Manager para implementar os scripts (como aplicações) em dispositivos de destino, seguindo as instruções em Utilizar Microsoft Configuration Manager para gerir dispositivos com SEMM.

Veja os comentários incorporados para obter orientações de utilização. Veja Apêndice: referência técnica de Scripts do PowerShell SEMM para definições e pré-requisitos.

Gerir portas USB-A

Para portas USB-A que suportem USB-2 e USB-3, pode desativar o protocolo de dados USB do controlador USB para impedir todas as funcionalidades.

Desativação granular USB-C

Gerir portas USB-C com suporte para DisplayPort e Entrega de Energia USB fornece mais opções para além de desativar todas as funcionalidades. Por exemplo, pode impedir a conectividade de dados para impedir que os utilizadores copiem dados do armazenamento USB, mas manter a capacidade de expandir ecrãs e carregar o dispositivo através de uma estação de ancoragem USB-C.

A partir de Surface Pro 8, Surface Laptop Studio e Surface Go 3, as opções granulares de gestão USB-C estão disponíveis através dos scripts SEMM do PowerShell.

1. Aceda a Ferramentas do Surface para TI e transfira SEMM_PowerShell.zip.

2. Se ainda não tiver os seus próprios certificados, pode obter certificados através do script de exemplo adequado, conforme documentado no Apêndice desta página.

Cuidado

Mantenha os certificados numa localização segura e certifique-se de que têm uma cópia de segurança correta. Sem eles, é impossível repor o UEFI do Surface, alterar as definições de UEFI do Surface geridas ou remover o SEMM de um dispositivo Surface inscrito.

Desativação USB-C Dinâmica

A Desativação usb-C dinâmica permite que os clientes que operam em ambientes altamente seguros impeçam a transferência de dados não autorizados através de USB, oferecendo assim mais controlo às organizações. Quando emparelhados com a Estação de Ancoragem para Surface Thunderbolt 4, os administradores de TI podem bloquear as portas USB-C sempre que os dispositivos Surface elegíveis forem desancorados ou ligados a uma estação de ancoragem não autorizada.

Dica

Esta funcionalidade está disponível no Surface Pro 10, Surface Laptop 6 e Surface Laptop Studio 2.

Neste cenário, quando os utilizadores estiverem ligados a uma estação de ancoragem autorizada no escritório, as portas USB-C terão todas as funcionalidades nos respetivos dispositivos. No entanto, quando sai do local, continua a poder ligar-se a uma estação de ancoragem para utilizar acessórios ou um monitor, mas não pode utilizar as portas USB para transferir dados.

A Desativação usb-C dinâmica proporciona aos administradores de TI uma maior flexibilidade para gerir dispositivos com um novo "Modo 3", além dos modos operacionais existentes:

• Modo 0 (Modo Predefinido): O modo predefinido quando o SEMM não está configurado.

• Modo 1 (Dados Desativados): Os dados USB-C e Ethernet estão desativados. O áudio através de USB-C também está desativado. Apresentação e Funcionalidade de energia ativada.

• Modo 2 (Totalmente Desativado): Os dados USB-C e Ethernet estão desativados. O áudio através de USB-C também está desativado. Apresentação e Funcionalidade de energia desativada.

• Modo 3 (Porta USB Autenticada) também conhecido como Disablement USB-C Dinâmico. Os dados USB-C, os dados Ethernet, o áudio USB-C, o ecrã e as funções de alimentação só são apresentados quando o dispositivo está ligado a uma Estação de Ancoragem para Surface Thunderbolt 4 autorizada. Se estiver ligado a uma estação de ancoragem não autorizada, só será apresentada e as funções Power funcionarão.

Gerir portas USB-C com o Toolkit de TI do Surface

Agora pode gerir portas USB-C em todos os modos através de um dos seguintes métodos:

• O novo UEFI Configurator incluído no Toolkit de TI do Surface fornece suporte de IU para configurar portas sem utilizar scripts do PowerShell.
• Scripts do PowerShell, conforme descrito neste artigo.

Comportamentos de destino

Estado da Porta USB do Anfitrião	Habilitada	Dados Desativados	Hardware Desativado	Porta Autenticada (Não autorizada ou sem estação de ancoragem)	Porta Autenticada (Dock Autorizada)
USB 2.0, 3.x, 4.x	Habilitada	Desabilitada	Desabilitada	Desabilitada	Habilitada
Raio 3 ou 4	Habilitada	Desabilitada	Desabilitada	Desabilitada	Habilitada
Acessórios de Áudio	Habilitada	Desabilitada	Desabilitada	Desabilitada	Habilitada
Rede	Habilitada	Desabilitada	Desabilitada	Desabilitada	Habilitada
Ligar/desligar USB Tipo C	Habilitada	Habilitada	Desabilitada	Habilitada	Habilitada
PD Power >0W	Habilitada	Habilitada	Desabilitada	Habilitada	Habilitada
Modo Alt DisplayPort	Habilitada	Habilitada	Desabilitada	Habilitada	Habilitada

Aprovisionar estações de ancoragem para Surface

1. Utilize o script de aprovisionamento adequado, conforme documentado no Apêndice nesta página.

   • ConfigurarSEMM - Dock2.ps1
   • ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning

2. Abra ConfigureSEMM.ps1 e modifique conforme adequado. Por exemplo, para desativar as portas USB-C, ative a seguinte definição: UsbPortHwDisabled. Consulte a tabela seguinte para obter todas as opções disponíveis.

Tabela 1. Opções de gestão de portas USB para dispositivos Surface

Dispositivo	Opções USB-A (se estiver presente no dispositivo)	Opções de USB-C (se estiver presente no dispositivo)	Configurações	SEMM IDs
Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2	Ativar ou desativar dados	N/D: Sem porta USB-C no dispositivo	USBPortEnabled (predefinição) USBPortHWDisabled	370-379
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 Surface Laptop 3 (apenas Intel) Surface Laptop 4 (apenas Intel) Surface Laptop 5 (apenas Intel) Surface Studio 2+	Ativar ou desativar dados	Dados ativados, apresentação e entrega de energia Dados desativados, apresentação e entrega de energia	USBPortEnabled (predefinição) USBPortHWDisabled	370-379
Surface Pro 8 Surface Pro 9 Surface Pro (11ª Edição) Surface Laptop (7ª Edição) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4	Ativar ou desativar dados	Dados ativados, apresentação e entrega de energia Dados desativados, mas ativados para apresentação e entrega de energia Dados desativados, apresentação e entrega de energia	USBPortEnabled (predefinição) USBPortDataDisabled USBPortHwDisabled	380-389
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 com 5G Surface Laptop 6	Ativar ou desativar dados	Dados ativados, apresentação e entrega de energia Dados desativados, mas ativados para apresentação e entrega de energia Dados desativados, apresentação e entrega de energia Dados dinamicamente ativados ou desativados	USBPortEnabled (predefinição) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated	380-389
Surface Book 2 e posterior	As portas USB base estão sempre ativadas	As portas USB base estão sempre ativadas	n/d
Surface Book com a Base de Desempenho Surface Book	As portas USB base estão sempre ativadas	N/D: Sem porta USB-C no dispositivo	n/d

Departamento vs. aprovisionamento organizacional

A Desativação usb-C dinâmica permite uma relação muitos-para-muitos entre o anfitrião e a estação de ancoragem. Isto permite que os clientes tenham anfitriões e docks configurados para trabalhar com todos os anfitriões/docks ou torná-lo específico do departamento para ajudar na gestão de recursos.

Tabela 2. Relações de exemplo: dispositivo anfitrião com o Surface Thunderbolt 4 Dock

Dispositivo Anfitrião (Surface Laptop Studio 2)	Estação de Ancoragem Não Aprovoada	Estação de Ancoragem Global	Estação de Ancoragem Department-X	Estação de Ancoragem Departamento-Y
Não Aprovisionado	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Ativado	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada
Global	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - Dock: Política autenticada
Departamento-X	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Os dados desativados & limitados, com base na política de ancoragem não autenticada
Departamento-Y	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Os dados desativados & limitados, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - Estação de Ancoragem: Política autenticada

Dispositivo Anfitrião (Surface Laptop Studio 2)	Estação de Ancoragem Não Aprovoada	Estação de Ancoragem Global	Estação de Ancoragem Department-X	Estação de Ancoragem Departamento-Y
Não Aprovisionado	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Ativado	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Limitado, com base na política de ancoragem não autenticada
Global	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - Dock: Política autenticada
Departamento-X	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Os dados desativados & limitados, com base na política de ancoragem não autenticada
Departamento-Y	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Dados desativados	- Anfitrião USB-C: Ativado - USB da Estação de Ancoragem: Política autenticada	- Anfitrião USB-C: Dados desativados - USB da Estação de Ancoragem: Os dados desativados & limitados, com base na política de ancoragem não autenticada	- Anfitrião USB-C: Ativado - Estação de Ancoragem: Política autenticada

Apêndice: Referência técnica dos Scripts do SEMM do PowerShell

Script	Finalidade	Pré-requisitos
ApplyProvisioningPackage.ps1	- Demonstra como aplicar o proprietário e os pacotes de permissões.	- Executar com privilégios de administrador - O Dispositivo Surface instalou o SurfaceUEFI_Manager_(versão).msi - O pacote foi gerado através de CreateSettingsPackage.ps1 ou semelhante
ApplySettingsPackage.ps1	- Demonstra como aplicar o pacote de definições.	- Executar com privilégios de administrador - O Dispositivo Surface instalou o SurfaceUEFI_Manager_(versão).msi - O pacote foi gerado através de CreateSettingsPackage.ps1 ou semelhante
ConfigurarSEMM - Dock2.ps1	- Cria um Pacote de Aprovisionamento da Estação de Ancoragem para Surface - Aplica o pacote de aprovisionamento criado	- SurfaceUEFI_Manager_(versão).msi foi instalado - Dock Certification Authority (DockCA) – um certificado p7b, utilizado para controlar a propriedade de uma Estação de Ancoragem para Surface 2 - Certificado de Aprovisionamento da Dock (ProvCert) – um certificado pfx, utilizado para assinar o Pacote de Configuração da Dock com o EKU 1.3.6.1.4.1.311.76.9.21.3 - Este certificado e a respetiva cadeia de confiança completa TÊM de ser instalados no Computador Surface durante a Criação do Pacote de Aprovisionamento para -CertStoreLocation Cert:\LocalMachine\Root - Certificado de Autorização de Anfitrião de Ancoragem (HostCert) – um certificado pfx, utilizado para autorizar um Computador Surface a utilizar as políticas de segurança da estação de ancoragem de utilizadores autorizadas - Este certificado e a respetiva cadeia de confiança completa têm de ser instalados no Computador Surface durante o Aprovisionamento da Estação de Ancoragem (e apenas este certificado) para -CertStoreLocation Cert:\LocalMachine\Root - Este certificado NÃO PODE ser instalado no Computador Surface durante a Criação do Pacote de Aprovisionamento - Surface Dock 2 -Fornecedor de Instâncias WMI para a Estação de Ancoragem para Surface. Para saber mais, consulte Gerir Estações de Ancoragem para Surface com wMI
ConfigureSEMM - Thunderbolt(TM)4Dock-Host-SAM.ps1	- Cria e aplica um pacote SEMM/DFCI que define a porta USB-C e contém os hashes da Autoridade de Certificação - Cria e aplica um payload da CFU da Autoridade de Certificação SAM	- SurfaceUEFI_Manager_(versão).msi foi instalado - Dock Certification Authority (DockCA) - um certificado p7b, utilizado para controlar a propriedade de uma Estação de Ancoragem Para Surface Thunderbolt 4 - Um dos seguintes Computadores Surface (outros modelos ainda não suportados): Surface Laptop Studio 2
ConfigureSEMM - Thunderbolt(TM)4Dock-Host.ps1	- Cria e aplica um pacote CFU para SAM	- SurfaceUEFI_Manager_(versão).msi foi instalado - Uma lista de ficheiros de autoridade de certificação (.p7b). O SAM pode suportar até 10 ACs diferentes - Um dos seguintes Computadores Surface (outros modelos ainda não suportados): Surface Laptop Studio 2
ConfigureSEMM - Thunderbolt(TM)4Dock-Policy.ps1	- Cria um pacote de política do Surface Thunderbolt 4 Dock - Aplica o pacote de política criado	- SurfaceUEFI_Manager_(versão).msi foi instalado - Certificado de Aprovisionamento da Dock (ProvCert) – um certificado pfx, utilizado para assinar o Pacote de Configuração da Dock com o EKU 1.3.6.1.4.1.311.76.9.21.3 - Este certificado e a respetiva cadeia de confiança completa TÊM de ser instalados no Computador Surface durante a Criação do Pacote de Aprovisionamento para -CertStoreLocation Cert:\LocalMachine\Root - Certificado de Autorização de Anfitrião de Ancoragem (HostCert) – um certificado pfx, utilizado para autorizar um Computador Surface a utilizar as políticas de segurança da estação de ancoragem de utilizadores autorizadas - Este certificado e a respetiva cadeia de confiança completa têm de ser instalados no Computador Surface durante o Aprovisionamento da Estação de Ancoragem (e apenas este certificado) para -CertStoreLocation Cert:\LocalMachine\Root - Este certificado NÃO PODE ser instalado no Computador Surface durante a Criação do Pacote de Aprovisionamento - Certificado de Autenticação de Ancoragem (DockAuthCert) - Estação de Ancoragem para Surface Thunderbolt 4
ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning.ps1	- Cria um pacote de aprovisionamento da Estação de Ancoragem Para Surface Thunderbolt 4 - Aplica o pacote de aprovisionamento criado	- SurfaceUEFI_Manager_(versão).msi foi instalado - Ficheiro da Autoridade de Certificação de Ancoragem (DepartmentCA e/ou OrganizationCA) - um certificado p7b, utilizado para controlar a propriedade de uma Estação de Ancoragem para Surface Thunderbolt 4 - Certificado de Aprovisionamento da Dock (ProvCert) – um certificado pfx, utilizado para assinar o Pacote de Configuração da Dock com o EKU 1.3.6.1.4.1.311.76.9.21.3 - Este certificado e a respetiva cadeia de confiança completa TÊM de ser instalados no Computador Surface durante a Criação do Pacote de Aprovisionamento para -CertStoreLocation Cert:\LocalMachine\Root - Certificado de Autorização de Anfitrião de Ancoragem (HostCert) – um certificado pfx, utilizado para autorizar um Computador Surface a utilizar as políticas de segurança da estação de ancoragem de utilizadores autorizadas - Este certificado e a respetiva cadeia de confiança completa têm de ser instalados no Computador Surface durante o Aprovisionamento da Estação de Ancoragem (e apenas este certificado) para -CertStoreLocation Cert:\LocalMachine\Root - Este certificado NÃO PODE ser instalado no Computador Surface durante a Criação do Pacote de Aprovisionamento - Certificado de Autenticação de Ancoragem (DockAuthCert) - Estação de Ancoragem para Surface Thunderbolt 4
ConfigureSEMM - Thunderbolt(TM)4Dock-USBC.ps1	- Cria e aplica um pacote SEMM/DFCI do Modo USB-C 3	- SurfaceUEFI_Manager_(versão).msi foi instalado - A chave de assinatura do Certificado de Propriedade foi gerada e está acessível - Um dos seguintes Computadores Surface (outros modelos ainda não suportados): Surface Laptop Studio 2
ConfigureSEMM.ps1	- Cria o pacote de aprovisionamento do signatário (também conhecido como "proprietário") e um pacote de reposição universal - Cria um pacote de permissões - Aplica o proprietário criado e os pacotes de permissões	- SurfaceUEFI_Manager_(versão).msi foi instalado - A chave de assinatura do Certificado de Propriedade foi gerada e está acessível - Dispositivo Surface com UEFI compatível com SEMM
CreateOwnerPackage.ps1	- Cria o pacote de aprovisionamento do signatário (também conhecido como "proprietário") e um pacote de reposição universal. - Pode ser executado numa estação de trabalho de Administrador de TI (não tem de ser um dispositivo Surface)	- A estação de trabalho de administrador de TI instalou o SurfaceUEFI_Manager_(versão).msi - A chave de assinatura do Certificado de Propriedade foi gerada e está acessível
CreateOwnerUpgradePackage.ps1	- Cria o pacote de aprovisionamento de atualização do signatário (também conhecido como "proprietário") e um pacote de reposição universal.	- A estação de trabalho de administrador de TI instalou o SurfaceUEFI_Manager_(versão).msi - Foi gerada uma nova chave de assinatura de certificado de propriedade e está acessível - Foi gerada uma chave de assinatura de certificado de propriedade existente e está acessível
CreatePermissionPackages.ps1	- Demonstra como criar um pacote de permissões.	- A estação de trabalho de administrador de TI instalou o SurfaceUEFI_Manager_(versão).msi - A chave de assinatura do Certificado de Propriedade foi gerada e está acessível
CreateSettingsPackage.ps1	- Demonstra como criar um pacote de definições.	- A estação de trabalho de administrador de TI instalou o SurfaceUEFI_Manager_(versão).msi - A chave de assinatura do Certificado de Propriedade foi gerada e está acessível
CreateSurfaceDock2Certificates.ps1	- Cria um conjunto de certificados adequado para configurar uma Estação de Ancoragem para Surface 2 - Podem ser utilizados em conjunto com a configuração e reposição de scripts ou configurador	- N/D
CreateSurfaceThunderbolt(TM)4DockCertificates.ps1	- Cria um conjunto de certificados adequado para configurar uma Estação de Ancoragem para Surface Thunderbolt 4 - Podem ser utilizados em conjunto com a configuração e reposição de scripts ou configurador	- N/D
CreateTestCertificates.ps1	- Demonstra como criar os certificados digitais utilizados no sistema. - Nota: Os certificados criados aqui funcionarão para fins de teste, mas são simplistas e não são recomendados para a implementação real. - Recomendamos vivamente que saiba mais sobre as Melhores Práticas de PKI ao ler tópicos sobre PKI, tais como: Melhores Práticas para Implementar uma Infraestrutura de Chaves Públicas do Microsoft Windows Server 2003	- N/D
CurrentSettings.ps1	- Apresentar as definições atuais do SEMM no dispositivo no arranque.	- Executar com privilégios de administrador - O Dispositivo Surface instalou o SurfaceUEFI_Manager_(versão).msi
ResetSEMM - Dock2.ps1	- Cria um Pacote de Reposição da Estação de Ancoragem para Surface - Aplica o pacote de reposição criado	- SurfaceUEFI_Manager_(versão).msi foi instalado - Autoridade de Certificação de Ancoragem (DockCA) – o ficheiro de certificado p7b, utilizado para controlar a propriedade de uma Estação de Ancoragem para Surface 2 - Certificado de Aprovisionamento de Ancoragem (ProvCert) – um ficheiro de certificado pfx, utilizado para assinar o Pacote de Configuração da Dock com o EKU 1.3.6.1.4.1.311.76.9.21.3 - Este certificado e a respetiva cadeia de confiança completa TÊM de ser instalados no Computador Surface durante a Criação do Pacote de Aprovisionamento para -CertStoreLocation Cert:\LocalMachine\Root - Certificado de Autorização de Anfitrião de Ancoragem (HostCert) – um ficheiro de certificado pfx, utilizado para autorizar um Computador Surface a utilizar as políticas de segurança da estação de ancoragem de utilizadores autorizadas - Este certificado e a respetiva cadeia de confiança completa têm de ser instalados no Computador Surface durante o Aprovisionamento da Estação de Ancoragem (e apenas este certificado) para -CertStoreLocation Cert:\LocalMachine\Root - Este certificado NÃO PODE ser instalado no Computador Surface durante a Criação do Pacote de Aprovisionamento - Surface Dock 2 - Fornecedor de Instâncias WMI para Surface Dock 2. Para saber mais, consulte Gerir Estações de Ancoragem para Surface com WMI.
ResetSEMM - Thunderbolt(TM)4Dock.ps1	- Cria um Pacote de Reposição da Estação de Ancoragem Thunderbolt 4 do Surface - Aplica o pacote de reposição criado	- SurfaceUEFI_Manager_(versão).msi foi instalado - Certificado de Aprovisionamento de Ancoragem (ProvCert) – um ficheiro de certificado pfx, utilizado para assinar o Pacote de Configuração da Dock com o EKU 1.3.6.1.4.1.311.76.9.21.3 - Este certificado e a respetiva cadeia de confiança completa TÊM de ser instalados no Computador Surface durante a Criação do Pacote de Aprovisionamento para -CertStoreLocation Cert:\LocalMachine\Root - Certificado de Autorização de Anfitrião de Ancoragem (HostCert) – um ficheiro de certificado pfx, utilizado para autorizar um Computador Surface a utilizar as políticas de segurança da estação de ancoragem de utilizadores autorizadas - Este certificado e a respetiva cadeia de confiança completa têm de ser instalados no Computador Surface durante o Aprovisionamento da Estação de Ancoragem (e apenas este certificado) para -CertStoreLocation Cert:\LocalMachine\Root - Este certificado NÃO PODE ser instalado no Computador Surface durante a Criação do Pacote de Aprovisionamento - Estação de Ancoragem para Surface Thunderbolt 4
ResetSemm.ps1	- Cria e aplica um pacote de reposição SEMM para um dispositivo específico.	- Privilégios administrativos no dispositivo. - O Dispositivo Surface instalou o SurfaceUEFI_Manager_(versão).msi - O certificado foi gerado e está acessível (e a palavra-passe é 1234) - Este dispositivo Surface foi anteriormente inscrito com o mesmo certificado
ShowSettingsOptions.ps1	- Imprime as definições de UEFI que podem ser aplicadas aos dispositivos Surface.	- A estação de trabalho de administrador de TI instalou o SurfaceUEFI_Manager_(versão).msi
VerifyDockSettings.ps1	- Para capturar e apresentar a configuração atual da Estação de Ancoragem para Surface ligada	- Estação de Ancoragem para Surface 2 ou Surface Thunderbolt 4 Dock
VerifySettings.ps1	- Demonstra como ver as definições atuais e o estado das atualizações recentes.	- Executar com privilégios de administrador - O Dispositivo Surface instalou o SurfaceUEFI_Manager_(versão).msi - Os pacotes foram aplicados e os ficheiros de ID de sessão guardados.

Saiba mais

• Configurar dispositivos Surface com o PowerShell
• Configurar Estações de Ancoragem para Surface