Surface デバイス上の DFCI の管理
はじめに
Microsoft Intuneに組み込まれているデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを使用すると、Surface UEFI 管理によって、最新の管理スタックが統合拡張ファームウェア インターフェイス (UEFI) ハードウェア レベルまで拡張されます。 DFCI は、ゼロタッチ プロビジョニングをサポートし、BIOS パスワードを排除し、ブート オプションや組み込み周辺機器などのセキュリティ設定を制御し、将来の高度なセキュリティ シナリオの基礎を築きます。 このページには、対象となる Autopilot で展開された Surface デバイス 上のすべての DFCI ポリシー設定 が一覧表示されます。
ソフトウェア レベルのモバイル デバイス管理 (MDM) で使用するように設計された DFCI を使用すると、IT 管理者は特定のハードウェア コンポーネントをリモートで無効にし、エンド ユーザーがアクセスできないようにすることができます。 たとえば、セキュリティの高い領域で機密情報を保護する必要がある場合は、カメラを無効にできます。また、ユーザーが USB ドライブから起動したくない場合は、無効にすることもできます。
ヒント
一部の DFCI ポリシー設定のサポートは、デバイスによって異なります。 このページの DFCI ポリシー設定リファレンスを確認し、Intune手順に従ってデバイスに設定を構成して展開します。
前提条件
- Windows 11 または Windows 10 バージョン 1809 (2018 年 11 月リリース)
- デバイスは、次のいずれかの方法で Windows Autopilot に登録する必要があります。
注
CSV ファイルからのインポートなど、Autopilot に対して手動または自己登録されたデバイスは、DFCI の使用を許可されていません。 設計上、DFCI 管理では、Microsoft CSP パートナーまたは Surface 登録を介したデバイスの商用取得の外部構成証明が必要です。
Surface デバイスの DFCI ポリシー設定リファレンス
対象となるデバイス
- Surface Pro 10
- Surface Pro 9 (商用 SKU のみ)
- Surface Pro 9 と 5G (商用 SKU のみ)
- Surface Pro 8 (商用 SKU のみ)
- Surface Pro 7 以上 (商用 SKU のみ)
- Surface Pro 7 (すべての SKU)
- Surface Pro X (すべての SKU)
- Surface Laptop Studio (すべての世代、商用 SKU のみ)
- Surface Laptop 6
- Surface Laptop 5 (商用 SKU のみ)
- Surface Laptop 4 (商用 SKU のみ)
- Surface Laptop 3 (Intel プロセッサのみ)
- Surface Laptop Go
- Surface Laptop Go 2 (商用 SKU のみ)
- Surface Laptop Go 3 (商用 SKU のみ)
- Surface Laptop SE
- Surface Book 3
- Surface Go 3 (商用 SKU のみ)
- Surface Go 4 (商用 SKU のみ)
- Surface Studio 2+
注
Surface Pro X では、組み込みのカメラ、オーディオ、Wi-Fi/Bluetooth の DFCI 設定管理はサポートされていません。 一部の新しい設定は、最新のデバイスでのみサポートされています。
表 1. DFCI ポリシー設定リファレンス: Autopilot で展開された Surface デバイス
| DFCI 設定 | 説明 | サポート対象 |
|---|---|---|
| UEFI アクセス | ||
| ローカル ユーザーによる UEFI (BIOS) 設定の変更を許可する | この設定を使用すると、エンド ユーザーが対象デバイスの UEFI 設定を変更できるかどうかを管理できます。 - [未構成の設定のみ] を選択した場合、ローカル ユーザー (エンド ユーザーとも呼ばれます) は、Intuneを使用して明示的に有効または無効にした設定を除き、UEFI 設定を変更できます。 - [なし] を選択した場合、ローカル ユーザーは DFCI プロファイルに表示されない設定を含め、UEFI 設定を変更できない可能性があります。 |
対象となるすべてのデバイス |
| セキュリティの設定 | ||
| 同時マルチスレッド | この設定を使用すると、対象デバイスで同時マルチスレッド (SMT) サポートを有効にするかどうかを管理できます。 SMT では、Intel ハイパースレッディング テクノロジがサポートされています。これは、物理コアごとに 2 つの論理プロセッサを提供します。 - この設定を有効にすると、UEFI レイヤーで SMT がオンになります。 - この設定を無効にすると、UEFI レイヤーで SMT がオフになります。 - この設定を構成しない場合、SMT は有効になります。 |
対象となるすべてのデバイス |
| カメラ | ||
| カメラ | この設定を使用すると、組み込みのカメラが対象となるデバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、すべての組み込みカメラが許可されます。 USB カメラなどの周辺機器は影響を受けません。 - この設定を無効にすると、すべての組み込みカメラが無効になります。 USB カメラなどの周辺機器は影響を受けません。 - この設定を構成しない場合、すべての組み込みカメラが有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| 前面カメラ | この設定を使用すると、Front カメラが対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、フロント カメラが許可されます。 USB カメラなどの周辺機器は影響を受けません。 - この設定を無効にすると、フロント カメラは無効になります。 USB カメラなどの周辺機器は影響を受けません。 - この設定を構成しない場合は、フロント カメラが有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| 背面カメラ | この設定を使用すると、リア カメラが対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、リア カメラが許可されます。 USB カメラなどの周辺機器は影響を受けません。 - この設定を無効にすると、リア カメラは無効になります。 USB カメラなどの周辺機器は影響を受けません。 - この設定を構成しない場合、リア カメラは許可されます。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| 赤外線 (IR) カメラ | この設定を使用すると、赤外線カメラが対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、赤外線カメラが許可されます。 USB カメラなどの周辺機器は影響を受けません。 - この設定を無効にすると、赤外線カメラは無効になります。 USB カメラなどの周辺機器は影響を受けません。 - この設定を構成しない場合、赤外線カメラは許可されます。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| マイクとスピーカー | ||
| マイクとスピーカー | この設定を使用すると、オンボード オーディオが対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、すべての組み込みマイクとスピーカーが許可されます。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を無効にすると、組み込みのマイクとスピーカーがすべて無効になります。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を構成しない場合は、マイクとスピーカーが有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| マイク | この設定を使用すると、組み込みのマイクが対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、すべての組み込みマイクが有効になります。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を無効にすると、すべての組み込みマイクが無効になります。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を構成しない場合は、マイクが有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| 無線 | ||
| 無線 (Bluetooth、Wi-Fi、NFC など) | この設定を使用すると、組み込みの Bluetooth、Wi-Fi、または 5G ワイヤレスが対象デバイスで機能するかどうかを管理できます。 - この設定を有効にすると、すべての組み込み無線が許可されます。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を無効にすると、すべての組み込み無線が無効になります。 USB デバイスなどの周辺機器は影響を受けません。 - この設定を構成しない場合、すべての組み込み無線が有効になります。 ヒント: カテゴリ設定 ラジオ (Bluetooth、Wi-Fi、NFC など) または詳細な設定 Bluetooth、Wi-Fi を構成します。 すべての設定を構成すると、これらの設定が競合する可能性があります。 詳細については、「 DFCI プロファイルの概要: 競合」を参照してください。 注意:[無効] 設定は、有線イーサネット接続を持つデバイスでのみ使用する必要があります。 |
- Surface Pro X ではサポートされていません。 - その他のすべての対象デバイスでサポートされます。 |
| Bluetooth | この設定を使用すると、組み込みの Bluetooth が対象デバイスで機能できるかどうかを管理できます。 - この設定を有効にすると、Bluetooth が有効になります。 - この設定を無効にすると、Bluetooth は無効になります。 - この設定を構成しない場合は、Bluetooth が有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| Wwan | この設定を使用すると、組み込みの WWAN (5G ワイヤレス) が対象デバイスで機能できるかどうかを管理できます - この設定を有効にすると、WWAN が有効になります。 - この設定を無効にすると、WWAN は無効になります。 - この設定を構成しない場合、WWAN は有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| Wi-Fi | この設定を使用すると、組み込みの Wi-Fi が適格なデバイスで機能できるかどうかを管理できます - この設定を有効にすると、Wi-Fi が有効になります。 - この設定を無効にすると、Wi-Fi は無効になります。 - この設定を構成しない場合は、Wi-Fi が有効になります。 |
- Surface Pro X ではサポートされていません。 - Surface Pro 9 で 5G とその他のすべての適格なデバイスでサポートされます。 |
| [ブート オプション] | ||
| 外部メディア (USB、SD) から起動する | この設定を使用すると、適格なデバイスを外部メディアから起動できるかどうかを管理できます。 - この設定を有効にすると、エンド ユーザーは USB フラッシュ ドライブまたはその他のハード ドライブ以外のストレージ テクノロジからデバイスを起動できます。 - この設定を無効にした場合、エンド ユーザーは USB フラッシュ ドライブまたはその他のハード ドライブ以外のストレージ テクノロジからデバイスを起動できません。 - この設定を構成しない場合、エンド ユーザーは USB フラッシュ ドライブまたはその他のハード ドライブ以外のストレージ テクノロジからデバイスを起動できます。 |
対象となるすべてのデバイス |
| ポート | ||
| USB タイプ A | この設定を使用すると、デバイスで USB-A 接続を利用する方法を管理できます。 - この設定を有効にした場合、USB-A データ接続は適格なデバイスで機能できます。 - この設定を無効にした場合、USB-A データ接続は適格なデバイスでは機能しません。 - この設定を構成しない場合、USB-A データ接続はすべてのデバイスで機能できます。 注意:外部メディアからのブートと USB タイプ A の両方を無効にし、何らかの理由でデバイスが起動できなくなった場合、SSD を交換せずにデバイスを回復することはできません。 外部メディアから起動し、ネットワークから PXE ブートまたは DFCI 更新を実行することはできません。 |
Surface Laptop Go 2 以降 (2022 年 6 月 1 日以降にリリースされたデバイス) でのみサポートされます。 |
| ウェイク設定 | ||
| Wake-on-LAN | この設定を使用すると、対象となるデバイスをモダン スタンバイまたは休止状態からリモートで起動できるかどうかを管理できます。 - この設定を有効にすると、対象となるデバイスをリモートで Wake-on-LAN に構成できます。 - この設定を無効にした場合、LAN でリモートスリープ解除するように適格なデバイスを構成することはできません。 - この設定を構成しない場合は、LAN でリモートスリープ解除するように適格なデバイスを構成できます。 |
Surface Laptop Go 2 以降 (2022 年 6 月 1 日以降にリリースされたデバイス) でのみサポートされます。 |
| Wake-on-Power | この設定を使用すると、電源に接続したときに、対象となるデバイスを休止状態または電源オフ状態から自動的に開始できるかどうかを管理できます。 - この設定を有効にすると、電源に接続したときに自動的に起動するように適格な Surface デバイスを構成できます - この設定を無効にした場合、電源に接続したときに自動的に起動するように適格な Surface デバイスを構成することはできません。 - この設定を構成しない場合、電源に再接続したときに自動的に起動するように適格な Surface デバイスを構成することはできません。 |
Surface Laptop Go 2 以降 (2022 年 6 月 1 日以降にリリースされたデバイス) でのみサポートされます。 |
注
Intuneの DFCI には、現在 Surface デバイスに適用されていない設定が含まれています。CPU と IO の仮想化、ネットワーク アダプターからのブートの無効化、Windows プラットフォーム バイナリ テーブル (WPBT)、NFC、SD カード。
使ってみる
endpoint.microsoft.com でテナントにサインインします。
Microsoft Intune管理センターで、[デバイス>構成プロファイル>] [プロファイルの作成] の順に選択します。
[プラットフォーム] で、[Windows 10 以降] を選択します。
[プロファイルの種類] で、[ テンプレート>] [デバイス ファームウェア構成インターフェイス ] の順に選択し、[作成] を選択します 。
以下の完全な手順については、「Microsoft Intuneの Windows デバイスで DFCI プロファイルを使用する」を参照してください。
- Microsoft Entra セキュリティ グループを作成する
- プロファイルを作成する
- プロファイルを割り当てて再起動する
- 既存の DFCI 設定を更新する
- デバイスを再利用、廃止、または回復する
ユーザーが UEFI 設定を変更できないようにする
多くのお客様にとって、ユーザーが UEFI 設定を変更できないようにする機能は非常に重要であり、DFCI を使用する主な理由です。 上記の表 1 に示すように、この機能は[ ローカル ユーザーが UEFI 設定を変更することを許可する] 設定を使用して管理されます。 この設定を編集または構成しない場合、ローカル ユーザーは、Intuneによって管理されていない任意の UEFI 設定を変更できます。 そのため、[ローカル ユーザーによる UEFI 設定の変更を許可する] を[なし] に設定することを強くお勧めします。
DFCI で管理されるデバイスで UEFI 設定を確認する
テスト環境では、Surface UEFI インターフェイスで設定を確認できます。
Surface UEFI を開きます。
- Surface の 音量アップ ボタン を長押しし、同時に 電源 ボタンを押して離します。
- Surface ロゴが表示されたら、音量を上げるボタンを離します。 UEFI メニューは数秒以内に表示されます。
[ デバイス] を選択します。 次の図に示すように、UEFI メニューには構成された設定が反映されます。
注
- ローカル ユーザーによる UEFI 設定の変更を許可するが [なし] に設定されているため、設定は淡色表示 (非アクティブ) になります。
- マイク とスピーカー ポリシーが無効に設定されているため、オンボードオーディオはオフに設定 されています。
DFCI ポリシー設定を削除する
DFCI プロファイルを作成すると、構成されたすべての設定は、プロファイルの管理範囲内のすべてのデバイスで有効なままになります。 DFCI ポリシー設定は、DFCI プロファイルを直接編集することによってのみ削除できます。 元の DFCI プロファイルが削除されている場合は、新しいプロファイルを作成し、適切な設定を編集します。
DFCI 管理の削除
DFCI 管理を削除し、デバイスをファクトリの新しい状態に戻すには:
- Intuneからデバイスを廃止します。
- endpoint.microsoft.com のエンドポイント マネージャーで、[デバイス] [すべてのデバイス>] を選択します。
- 廃止するデバイスを選択し、[ Retire/Wipe]\(リタイア/ワイプ\) を選択します。詳細については、「デバイスの ワイプ、削除、または手動での登録解除を使用してデバイスを削除する」を参照してください。
- Intuneから Autopilot 登録を削除します。
- [ デバイス登録 > ] [Windows 登録デバイス] の順に > 選択します。
- [Windows Autopilot デバイス] で、削除するデバイスを選択し、[削除] を選択 します。
- Surface ブランドのイーサネット アダプターを使用して、デバイスを有線インターネットに接続します。 デバイスを再起動し、UEFI メニューを開きます (音量を上げるボタンを長押ししながら、電源ボタンを押して離します)。
- [管理>] [ネットワークからの更新の構成] >の順に選択し、[オプトアウト] を選択します。
Intuneで、DFCI 管理なしでデバイスを管理するには、Autopilot に自己登録し、Intuneに登録します。 DFCI は、自己登録デバイスには適用されません。
詳細情報
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示