分享方式:


設定 Surface 擴充座的 UEFI 設定

IT 系統管理員可以藉由在 Windows Installer 組態套件中設定 UEFI 設定, (.msi 部署至跨公司環境相容 Surface 裝置的檔案) ,來保護和管理 Surface 擴充座 2 或 Surface 的埠 4 擴充座上的埠。

支援的裝置

使用 SEMM 管理 Surface 擴充座 2 或 SurfaceBolt 4 擴充座適用於聯機到 Surface Laptop Studio (所有世代) 的擴充座。 Surface Laptop (第 7 版) 、Surface Laptop 6、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Go (所有層代) 、Surface Pro (第 11 版) 、Surface Pro 10、Surface Pro 9、Surface Pro 9 搭配 5G、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface Pro X 和 Surface Book 3。

提示

這些相容的 Surface 裝置通常稱為 主機裝置。 套件會根據主機裝置是 已驗證未經驗證,套用至主機裝置。 設定的設定位於主機裝置上的 UEFI 層中,可讓 IT 系統管理員管理相容的 Surface 擴充座,如相機等任何其他內建周邊。

設定及部署 Surface 擴充座的 UEFI 設定

本節提供下列工作的逐步指引:

  1. 安裝 Surface IT 工具組
  2. 建立或取得公鑰憑證。
  3. 建立 .msi 元件。 a. 新增您的憑證。 b. 輸入 Surface 擴充座 2 或 SurfaceBolt 4 擴充座裝置的 16 位數 RN 編號。 c. 設定元件原則的 UEFI 設定:USB 數據、乙太網路或音訊。
  4. 建立組態套件並套用至目標 Surface 裝置。
  5. 使用 Surface App 來確認受控 Surface 擴充座的結果原則狀態。

重要

隨機數 (RN) 是在處理站布建的唯一 16 位數十六進位碼識別碼,並以小型類型列印在 Dock 的底端。 RN 與大部分序號不同,因為它無法以電子方式讀取。 這可確保只有在實際存取裝置時讀取 RN,才能建立擁有權證明。 RN 也可以在購買交易期間取得,並記錄在Microsoft清查系統中。

建立公鑰憑證

本節提供建立管理 Surface 擴充座 2 或 SurfaceBolt 4 擴充座埠所需憑證的規格。

必要條件

本文假設您從第三方提供者取得憑證,或已具備 PKI 憑證服務的專業知識,並知道如何建立自己的憑證。 您應該熟悉並遵循開始使用 Surface Enterprise 管理模式 (SEMM) 檔中所述建立憑證的一般建議,但一個例外。 使用 SEMM 設定 Surface 擴充座所需的憑證,需要 Dock 證書頒發機構單位 的到期條款為 30 年, 而主機驗證憑證需要 20 年。

如果您已經有適當的憑證,請繼續進行下一節。 否則,請仔細檢閱 附錄:跟證書和主機憑證需求中的指引。

建立 Dock 布建套件

當您取得或建立憑證時,可以建置將套用至目標裝置的 .msi 布建套件。

  1. 開啟 Surface IT 工具組,然後選 取 [設定 Surface 擴充座]

    顯示 Surface IT 工具組中 Surface 擴充座元件的螢幕快照。

  2. 選擇 [停駐類型],然後選取布建方法。

  • 組織單位,專為全公司使用而設計。
  • 部門單位,專為更細微的設定設定而設計;例如,處理高度敏感性信息的部門。
  1. 匯入您的證書頒發機構單位和憑證檔案,並輸入每個檔案的密碼。 選取 [下一步]。 此範例顯示組織布建。

    顯示匯入必要憑證的螢幕快照。

  2. 新增與您想要管理的擴充座相關聯的 Surface 擴充座標識碼。 針對多個擴充座,請在不含標頭的 .csv 檔案中輸入數位,這表示檔案的第一行不應該包含數據行名稱或描述。

    顯示新增 RN 編號的螢幕快照。

  3. 您可以指定 USB 數據、乙太網路和音訊埠的原則設定。 UEFI 設定程式可讓您 (未驗證原則) (驗證原則) 和未經驗證的使用者,設定已驗證使用者的原則設定。

    • 已驗證的原則 是指已安裝適當憑證的 Surface 裝置,如您套用至目標裝置的 .msi 組態套件中所設定。
    • 未經驗證的原則 是指任何其他裝置。
  4. 選擇您要啟用或停用的元件,然後選取 [ 下一步]。 下圖顯示已驗證裝置的埠存取已開啟,且未驗證的裝置已關閉。

    顯示未驗證裝置埠已關閉的螢幕快照。

  5. 如果您有想要設定動態USB-C停用的裝置,請選取複選框,如下圖所示。 新增必要的憑證,然後選取 [ 下一步]。 若要深入瞭解,請參閱此頁面上 保護 Surface 擴充座埠的 案例。

    選取要設定 USB-C 動態停用之裝置的螢幕快照。

  6. 完成所設定設定的最終檢閱,選擇資料夾以儲存套件,然後選取 [ 建立]

    顯示用來建立布建套件之頁面的螢幕快照。

將布建套件套用至 Surface 擴充座

  1. 取得 Surface UEFI Configurator 產生的 .msi 檔案,並將其安裝在 Surface 主機裝置上,例如Surface Laptop 6 或 Surface Pro 10。
  2. 將主機裝置連線到 Surface 擴充座 2 或 Surface SurfaceBolt 4 擴充座。 當您連線擴充座時,會套用 UEFI 原則設定。

保護 Surface 擴充座埠的案例

將 Surface 擴充座 2 或 SurfaceBolt 4 擴充座限制為已登入公司主機裝置的授權人員,可提供另一層數據保護。 這種鎖定 Surface 擴充座的能力,對於在高度安全的環境中想要擴充座功能和生產力優勢,同時保持嚴格安全性通訊協定合規性的特定客戶而言非常重要。 搭配 Surface 擴充座 2 或 Surface Fabricbolt 4 擴充座使用的 SEMM 在開放辦公室和共用空間中很有説明,特別是針對基於安全考慮而想要鎖定 USB 埠的客戶。

  • 細微的USB-C停用。 使用對 DisplayPort 和 USB 電源傳遞的支援來管理 USB-C 埠,除了關閉所有功能之外,還提供更多選項。 例如,您可以防止數據連線,以防止使用者從 USB 記憶體複製資料,但保留透過 USB-C Dock 擴充顯示器並收取裝置費用的能力。 從 Surface Pro 8、Surface Laptop Studio 和 Surface Go 3 開始,這些選項現在可透過 SEMM PowerShell 腳本取得。

  • 動態USB-C停用。 動態USB-C停用可讓客戶在高度安全的工作環境中作業,以防止USB竊取機密數據,並提供更多控制權給組織。 與 Surface Fabricbolt 4 擴充座配對時,每當符合資格的 Surface 裝置卸載或連線到未經授權的擴充座時,IT 系統管理員就可以鎖定 USB-C 埠。

提示

這項功能適用於 Surface Pro 10、Surface Laptop 6 和 Surface Laptop Studio 2。

使用動態 USB-C 停用,當用戶連線到辦公室的授權停駐時,USB-C 埠在其裝置上將具有完整的功能。 不過,當他們離開月臺時,仍然可以連線到停駐區以使用配件或監視器,但無法使用USB埠來傳輸數據。

針對這些案例管理 USB-C 埠牽涉到下列工作:

  • 布建您的主機裝置,例如 Surface Pro 10 或 Surface Laptop 6,並透過 UEFI Configurator 所產生的 .msi 套件將 Surface 擴充座布建到 SEMM,如本頁面稍早所述。
  • 建立個別的 .msi 套件,其中包含「已驗證」和「未經驗證」裝置的 UEFI 原則設定。
  • 設定細微的USB-C停用或動態USB-C停用。

若要深入瞭解,請 參閱管理 Surface 裝置上的 USB 埠

使用 Surface 應用程式驗證受控狀態

套用組態套件之後,您可以直接從 Surface App 快速驗證停駐區的結果原則狀態,預設會安裝在所有 Surface 裝置上。 如果 Surface 應用程式不在裝置上,您可以從 Microsoft Store 下載並安裝它。

測試案例

目標:設定原則設定,只允許經過驗證的使用者存取埠。

  1. 如先前所述,為已驗證的用戶開啟所有埠,併為未經驗證的使用者關閉這些埠。

    顯示未驗證裝置埠已關閉的螢幕快照。

  2. 將設定套件套用至目標裝置,並連線到擴充座。

  3. 啟 Surface 應用程式 ,然後選取 [Surface 擴充座 ] 以檢視 Surface 擴充座的結果原則狀態。 如果套用原則設定,Surface App (此處針對 Surface SurfaceBolt 4 擴充座和 Surface 擴充座 2 顯示) 表示埠可供使用。

    顯示 Surface 應用程式的螢幕快照,其中顯示 Surface 擴充座 2 上所有埠都可供已驗證的使用者使用。

    顯示 Surface 應用程式的螢幕快照,其中顯示 Surface Fabricbolt 4 擴充座上已驗證的使用者可使用所有埠。

  4. 現在,您必須確認原則設定已成功關閉未驗證使用者的所有埠。 將 Surface 擴充座 2 或 SurfaceBolt 4 擴充座連線到非受控裝置,例如,任何超出您所建立之組態套件管理範圍的 Surface 裝置。

  5. 啟 Surface 應用程式 ,然後選取 [Surface 擴充座]。 此處顯示的 SurfaceBolt 4 擴充座和 Surface 擴充座 2 結果原則狀態 () 表示埠已關閉。

    顯示 Surface Surface 應用程式的螢幕快照,其中顯示 SurfaceBolt 4 擴充座上未驗證使用者的埠已關閉。

    顯示 Surface 應用程式的螢幕快照,其中顯示 Surface 擴充座 2 上未驗證使用者的埠已關閉。

提示

如果您想要保留裝置的擁有權,但允許所有使用者完整存取,您可以在開啟所有項目的情況下,建立新的套件。 如果您想要完全移除裝置的限制和擁有權 (讓它成為非受控) ,請在 Surface UEFI 設定器中選取 [ 重設 ] 以建立套件以套用至目標裝置。

恭喜。 您已成功管理目標主機裝置上的 Surface 擴充座埠。

附錄:跟證書和主機憑證需求

建立設定套件之前,您必須準備公鑰憑證,以驗證 Surface 擴充座 2 或 SurfaceBolt 4 擴充座的擁有權,並在裝置生命週期期間促進任何後續的擁有權變更。 主機和布建憑證需要輸入 EKU 識別符,也稱為 客戶端驗證增強密鑰使用 (EKU) 物件識別碼, (OID)

必要的 EKU 值會列在表格 1 和表格 2 中。

注意

將憑證保留在安全的位置,並確保已正確備份憑證。 如果沒有它們,就無法重設 Surface UEFI、變更受控 Surface UEFI 設定,或從已註冊的 Surface 裝置移除 SEMM。

表 1. 跟證書和擴充座憑證需求

憑證 演算法 描述 到期 EKU OID
跟證書授權單位 ECDSA_P384 - 具有 384 位質質橢圓曲線數位簽名演算法的跟證書, (ECDSA)
- 安全哈希演算法 (SHA) 256 金鑰使用方式:
CERT_DIGITAL_SIGNATURE_KEY_USAGE
- CERT_KEY_CERT_SIGN_KEY_USAGE
CERT_CRL_SIGN_KEY_USAGE
30 年
停駐證書頒發機構單位 ECC P256 曲線 - 具有256位橢圓曲線密碼編譯 (ECC) 的主機憑證
- SHA 256 金鑰使用方式:
CERT_KEY_CERT_SIGN_KEY_USAGE
- 路徑長度條件約束 = 0
20 年 1.3.6.1.4.1.311.76.9.21.2
1.3.6.1.4.1.311.76.9.21.3

注意

Dock CA 必須匯出為 .p7b 檔案。

布建管理憑證需求

每個主機裝置都必須有檔 CA 和兩個憑證,如表格 2 所示。

表 2. 布建系統管理憑證需求

憑證 演算法 描述 EKU OID
主機驗證憑證 ECC P256
SHA 256
證明主機裝置的身分識別。 1.3.6.1.4.1.311.76.9.21.2
布建管理憑證 ECC P256
SHA256
可讓您取代目前安裝在擴充座上的 CA,藉此變更停駐擁有權或原則設定。 1.3.6.1.4.1.311.76.9.21.3
1.3.6.1.4.1.311.76.9.21.4

注意

主機驗證和布建憑證必須導出為 .pfx 檔案。

如需詳細資訊,請參閱 憑證服務架構 檔,並檢閱 Windows Server 2019 從內到外或 Windows Server 2008PKI 和憑證安全 性的適當章節,請參閱 Microsoft Press。

深入了解