Surface Enterprise 管理モード (SEMM) の概要

  • [アーティクル]
  • 適用対象:
    Windows 10, Windows 11

Microsoft Surface Enterprise 管理モード (SEMM) は、Surface Unified Extensible Firmware Interface (UEFI) を備えた Surface デバイスの機能です。 SEMM を使用すると、次のことができます。

  • organizationのファームウェア設定をセキュリティで保護して管理します。
  • UEFI 設定の構成を準備し、Surface デバイスにインストールします。

また、SEMM は証明書を使用して、未承認の改ざんや削除から構成を保護します。

Surface デバイスを SEMM に登録する

この記事では、Surface UEFI 構成パッケージを作成して、ファームウェア レベルでハードウェア コンポーネントを有効または無効にし、SURFACE デバイスを SEMM に登録する方法について説明します。 Surface デバイスが SEMM によって構成され、SEMM 証明書でセキュリティで保護されている場合、それらは SEMM に登録されていると 見なされます。 SEMM 証明書が削除され、UEFI 設定の制御がデバイスのユーザーに返されると、Surface デバイスは SEMM での 登録解除 と見なされます。

また、Microsoft Endpoint Configuration Managerを使用して SEMM を使用してデバイスを管理することもできます。

SEMM の代わりに、新しい Surface デバイスでは、Microsoft Intuneを介したファームウェア設定のサブセットのリモート管理がサポートされます。 詳細については、「 Surface デバイスで DFCI を管理する」を参照してください。

サポートされるデバイス

SEMM は、次のような Surface UEFI ファームウェアを搭載したデバイスでのみ使用できます。

  • Surface Book (すべての世代)
  • Surface Go 4 (商用 SKU のみ)
  • Surface Go 3 (商用 SKU のみ)
  • Surface Go 2 (すべての SKU)
  • Surface Go (すべての SKU)
  • Surface Hub 2S
  • Surface Laptop 6 (商用 SKU のみ)
  • Surface Laptop 5 (商用 SKU のみ)
  • Surface Laptop 4 (商用 SKU のみ)
  • Surface Laptop 3 (Intel プロセッサのみ)
  • Surface Laptop 2 (すべての SKU)
  • Surface Laptop (すべての SKU)
  • Surface Laptop Go 3 (商用 SKU のみ)
  • Surface Laptop Go 2 (商用 SKU のみ)
  • Surface Laptop Go (すべての SKU)
  • Surface Laptop SE (すべての SKU)
  • Surface Laptop Studio 2 (商用 SKU のみ)
  • Surface Laptop Studio (商用 SKU のみ)
  • Surface Pro 10 (商用 SKU のみ)
  • Surface Pro 9 (商用 SKU のみ)
  • Surface Pro 9 と 5G (商用 SKU のみ)
  • Surface Pro 8 (商用 SKU のみ)
  • Surface Pro 7 以上 (商用 SKU のみ)
  • Surface Pro 7 (すべての SKU)
  • Surface Pro 6 (すべての SKU)
  • Surface Pro第 5 世代 (すべての SKU)
  • Surface Pro 4 (すべての SKU)
  • Surface Pro X (すべての SKU)
  • Surface Studio 2 以上 (商用 SKU のみ)
  • Surface Studio 2 (すべての SKU)
  • Surface Studio (すべての SKU)

ヒント

商用 SKU (別名 法人向け Surface) は、Windows 10 Pro/Enterprise または Windows 11 Pro/Enterprise を実行し、コンシューマー SKU はWindows 10/Windows 11 Homeを実行します。 詳細については、「 システム情報を表示する」を参照してください。

Surface UEFI コンフィギュレータ

SEMM のプライマリ ワークスペースは 、新しい SurfaceUEFI Configurator を含む Surface IT Toolkit です。

構成パッケージ

Surface UEFI 構成パッケージは、Surface デバイスに SEMM を実装および管理するための主要なメカニズムです。 これらのパッケージには、図 2 に示すように、構成ファイルと証明書ファイルが含まれています。 構成ファイルには、Microsoft Surface UEFI Configurator でパッケージを作成するときに指定される UEFI 設定が含まれています。 構成パッケージがまだ SEMM に登録されていない Surface デバイスで初めて実行されると、デバイスのファームウェアに証明書ファイルがプロビジョニングされ、デバイスが SEMM に登録されます。 デバイスを SEMM に登録するとき、および証明書が格納されて登録が完了する前に、SEMM 証明書の拇印の最後の 2 桁を指定して操作を確認するように求められます。 この確認では、登録中にユーザーがデバイスに物理的に存在して確認を実行する必要があります。

SEMM 証明書の要件の詳細については、この記事の後半の 「Surface Enterprise Management Mode 証明書の要件 」セクションを参照してください。

Surface UEFI Configurator を使用して作成する

カテゴリ 説明 詳細情報
MSI パッケージ Surface デバイスを SEMM に登録し、登録済みデバイスの UEFI ファームウェア設定を管理します。
Surface ドックを SEMM に登録し、登録済みドックの UEFI ファームウェア設定を管理します。		 Surface デバイスの UEFI 設定を構成する
Surface ドックの UEFI 設定を構成する
WinPE イメージs WinPE イメージを使用して、Surface デバイスに SEMM を登録、構成、登録解除します。
DFI パッケージ Create DFI パッケージを使用して、Surface Hub デバイスを SEMM に登録し、登録済みの Surface Hub デバイスの UEFI ファームウェア設定を管理します。

ヒント

SEMM で UEFI パスワードを要求するオプションがあります。 その場合は、Surface UEFI の [セキュリティ]、[ デバイス]、[ ブート構成]、[ エンタープライズ管理 ] ページを表示するためにパスワードが必要です。

デバイスが SEMM に登録されると、構成ファイルが読み取られ、ファイルで指定された設定が UEFI に適用されます。 SEMM に既に登録されているデバイスで構成パッケージを実行すると、構成ファイルの署名が、デバイス ファームウェアに格納されている証明書と照合されます。 署名が一致しない場合、デバイスに変更は適用されません。

ヒント

証明書ファイル (.pfx) にアクセスできる管理者は、CertMgr で .pfx ファイルを開くことで、いつでも拇印を読み取ることができます。 CertMgr で拇印を表示するには:

  1. .pfx ファイルを長押し (または右クリック) し、[ 開く] を選択します。
  2. ナビゲーション ウィンドウで、フォルダーを展開します。
  3. [ 証明書] を選択します
  4. [メイン] ウィンドウで、証明書を選択して長押し (または右クリック) し、[開く] を選択します。
  5. [ 詳細 ] タブを選択します。
  6. [ 表示 ] ドロップダウン メニューで、[ すべて] または [ プロパティのみ ] を選択する必要があります。
  7. [拇印] フィールドを選択します。

SEMM に Surface デバイスを登録するか、構成パッケージから UEFI 構成を適用するには、目的の Surface デバイスで管理特権を持つ .msi ファイルを実行します。 Microsoft Endpoint Configuration Managerや MicrosoftDeployment Toolkit などのアプリケーション展開またはオペレーティング システム展開テクノロジを使用できます。 SEMM にデバイスを登録するときは、デバイスの登録を確認するために物理的に存在している必要があります。 SEMM に既に登録されているデバイスに構成を適用する場合、ユーザー操作は必要ありません。

回復要求

Surface IT Toolkit の 回復要求 機能を使用して、SEMM から Surface デバイスの登録を解除できます。

SEMM 証明書の要件

Microsoft Surface UEFI Configurator で SEMM を使用し、UEFI 設定を適用する場合は、構成ファイルの署名を検証するために証明書が必要です。 この証明書により、デバイスが SEMM に登録された後、承認された証明書で作成されたパッケージのみを使用して UEFI 設定を変更できるようになります。

登録済みの Surface デバイスで SEMM または Surface UEFI の設定を変更するには、SEMM 証明書が必要です。 SEMM 証明書が破損しているか失われた場合、SEMM を削除またはリセットすることはできません。 バックアップと回復のための適切なソリューションを使用して、SEMM 証明書を適切に管理する

Microsoft Surface UEFI Configurator ツールで作成されたパッケージは、証明書で署名されます。 この証明書を使用すると、デバイスが SEMM に登録された後、承認された証明書で作成されたパッケージのみを使用して UEFI の設定を変更できます。

SEMM 証明書には、次の設定をお勧めします。

  • キー アルゴリズム – RSA
  • キーの長さ – 2048
  • ハッシュ アルゴリズム – SHA-256
  • – SSL サーバー認証
  • キー使用法 – デジタル署名、キー暗号化
  • プロバイダー – Microsoft Enhanced RSA および AES 暗号化プロバイダー
  • 有効期限 – 証明書の作成から 15 か月
  • キー エクスポート ポリシー – エクスポート可能

また、中間証明機関 (CA) が SEMM 専用の 2 層公開キー インフラストラクチャ (PKI) アーキテクチャで SEMM 証明書を認証し、証明書失効を有効にすることもお勧めします。 2 層 PKI 構成の詳細については、「 テスト ラボ ガイド: AD CS Two-Tier PKI 階層のデプロイ」を参照してください。

自己署名証明書

次の PowerShell スクリプトの例を使用して、概念実証シナリオで使用する自己署名証明書を作成できます。 このスクリプトを使用するには、次のテキストをメモ帳にコピーし、ファイルを PowerShell スクリプト (.ps1) として保存します。

このスクリプトでは、 のパスワード 12345678を使用して証明書を作成します。 このスクリプトによって生成された証明書は、運用環境では推奨されません。

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

重要

SEMM と Microsoft Surface UEFI Configurator で使用するには、秘密キーとパスワード保護を使用して証明書をエクスポートする必要があります。 Microsoft Surface UEFI Configurator は、SEMM 証明書ファイル (.pfx) と証明書パスワードを選択するように求められます。

自己署名証明書を作成するには:

  1. C: ドライブで、スクリプトを保存するフォルダーを作成します。たとえば、C:\SEMM です。
  2. サンプル スクリプトをメモ帳 (または同等のテキスト エディター) にコピーし、ファイルを PowerShell スクリプト (.ps1) として保存します。
  3. 管理者の資格情報を使用してコンピューターにサインインし、管理者特権の PowerShell セッションを開きます。
  4. スクリプトの実行を許可するようにアクセス許可が設定されていることを確認します。 既定では、実行ポリシーを変更しない限り、スクリプトの実行はブロックされます。 詳細については、「 実行ポリシーについて」を参照してください。
  5. コマンド プロンプトで、スクリプトの完全なパスを入力し、 Enter キーを押します。 このスクリプトでは、TempOwner.pfx という名前のデモ証明書が作成されます。

または、PowerShell を使用して独自の自己署名証明書を作成することもできます。 詳細については、「 New-SelfSignedCertificate」を参照してください。

PKI インフラストラクチャでオフライン ルートを使用する組織の場合、SEMM 証明書を認証するには、ルート CA に接続されている環境で Microsoft Surface UEFI Configurator を実行する必要があります。 Microsoft Surface UEFI Configurator によって生成されたパッケージはファイルとして転送できるため、USB スティックなどのリムーバブル ストレージを使用してオフライン ネットワーク環境の外部に転送できます。

証明書の管理に関する FAQ

推奨 される最小 長は 15 か月です。 有効期限が 15 か月未満の証明書を使用することも、15 か月を超えて有効期限が切れる証明書を使用することもできます。

証明書の有効期限が切れると、証明書は自動的に更新されません。

有効期限が切れた証明書は、SEMM 登録済みデバイスの機能に影響しますか?

いいえ。証明書は SEMM の IT 管理者管理タスクにのみ影響し、有効期限が切れたときのデバイス機能には影響しません。

SEMM パッケージと証明書は、それを持つすべてのマシンで更新する必要がありますか?

SEMM のリセットまたは回復を機能させるには、証明書が有効であり、有効期限が切れていない必要があります。

注文したサーフェスごとに一括リセット パッケージを作成できますか? 環境内のすべてのマシンをリセットする 1 つを構築できますか?

特定のデバイスの種類の構成パッケージを作成する PowerShell サンプルを使用して、シリアル番号に依存しないリセット パッケージを作成することもできます。 証明書がまだ有効な場合は、PowerShell を使用してリセット パッケージを作成して SEMM をリセットできます。