Gestire le porte USB nei dispositivi Surface
Con la funzionalità porta USB abilitata per impostazione predefinita nei dispositivi Surface, molti dispositivi con Surface UEFI consentono agli amministratori di disattivare la connettività alle porte USB. Ad esempio, è possibile impedire agli utenti di copiare dati da unità usb o dischi rigidi esterni.
Prerequisiti
Prima di iniziare il processo descritto in questo articolo, acquisire familiarità con le tecnologie e gli strumenti seguenti:
- Surface IT Toolkit è disponibile per il download da Surface Tools per IT.
- Surface UEFI
- SEMM (Surface Enterprise Management Mode)
- Scripting di PowerShell
- Distribuire applicazioni con Configuration Manager
Informazioni di base
Il processo è costituito dalle parti seguenti:
Iscrizione: Registrare i dispositivi Surface e i dock in SEMM usando Surface UEFI Configurator, come descritto in Porte Surface Dock sicure con SEMM. I dock supportati includono Surface Dock 2 e Surface Thunderbolt 4 Dock. La chiave per questo flusso di lavoro è la possibilità di disattivare i dati USB-C, i dati Ethernet e l'audio USB-C ogni volta che i dispositivi vengono disconnessi da un Surface Dock autorizzato situato, ad esempio, in un ambiente di lavoro che gestisce informazioni altamente sensibili.
Configurazione client: Installare UEFI Manager, disponibile nella libreria Surface IT Toolkit, in tutti i dispositivi Surface destinati alla gestione.
Script di PowerShell: Passare a Surface IT Toolkit per scaricare e modificare gli script di PowerShell in base alle esigenze dell'ambiente. Usare Microsoft Configuration Manager per distribuire gli script (come applicazioni) nei dispositivi di destinazione, seguendo le istruzioni riportate in Usare Microsoft Configuration Manager per gestire i dispositivi con SEMM.
Per indicazioni sull'utilizzo, vedere i commenti incorporati. Per definizioni e prerequisiti, vedere Appendice: informazioni di riferimento sulla tecnologia SEMM PowerShell Scripts .
Gestire le porte USB-A
Per le porte USB-A che supportano USB-2 e USB-3, è possibile disattivare il protocollo dati USB dal controller USB per impedire tutte le funzionalità.
Disabilitazione USB-C granulare
La gestione delle porte USB-C con il supporto per DisplayPort e la distribuzione di alimentazione USB offre più opzioni oltre alla disattivazione di tutte le funzionalità. Ad esempio, è possibile impedire la connettività dei dati per impedire agli utenti di copiare dati dall'archiviazione USB, ma mantenere la possibilità di estendere i display e caricare il dispositivo tramite un dock USB-C.
A partire da Surface Pro 8, Surface Laptop Studio e Surface Go 3, le opzioni di gestione USB-C granulari sono disponibili tramite gli script di PowerShell SEMM.
Passare a Surface Tools per l'IT e scaricare SEMM_PowerShell.zip.
Se non si dispone già di certificati personalizzati, è possibile ottenere i certificati tramite lo script di esempio appropriato, come illustrato nell'Appendice di questa pagina.
Attenzione
Mantenere i certificati in una posizione sicura e assicurarsi che venga eseguito correttamente il backup. Senza di esse è impossibile reimpostare Surface UEFI, modificare le impostazioni UEFI di Surface gestite o rimuovere SEMM da un dispositivo Surface registrato.
Disabilitazione dinamica USB-C
La disabilitazione DINAMICA USB-C consente ai clienti che operano in ambienti altamente sicuri di impedire il trasferimento non autorizzato dei dati tramite USB, offrendo così alle organizzazioni un maggiore controllo. Se associati a Surface Thunderbolt 4 Dock, gli amministratori IT possono bloccare le porte USB-C ogni volta che i dispositivi Surface idonei vengono disaccoppiati o connessi a un dock non autorizzato.
Suggerimento
Questa funzionalità è disponibile in Surface Pro 10, Surface Laptop 6 e Surface Laptop Studio 2.
In questo scenario, quando gli utenti sono connessi a un dock autorizzato in ufficio, le porte USB-C avranno funzionalità complete sui propri dispositivi. Tuttavia, quando passano fuori sede, possono comunque connettersi a un dock per usare accessori o un monitor, ma non possono usare le porte USB per trasferire i dati.
La disabilitazione DINAMICA USB-C offre agli amministratori IT una maggiore flessibilità per gestire i dispositivi con una nuova "Modalità 3" oltre alle modalità operative esistenti:
Modalità 0 (modalità predefinita): Modalità predefinita quando SEMM non è configurato.
Modalità 1 (dati disabilitati): I dati USB-C ed Ethernet sono disabilitati. Anche l'audio tramite USB-C è disabilitato. La visualizzazione è disattivata e la funzionalità Di alimentazione è abilitata.
Modalità 2 (completamente disabilitata): I dati USB-C ed Ethernet sono disabilitati. Anche l'audio tramite USB-C è disabilitato. La visualizzazione è disattivata e la funzionalità Di alimentazione è disabilitata.
Modalità 3 (porta USB autenticata) nota anche come disabilitazione DINAMICA USB-C. Dati USB-C, dati Ethernet, audio USB-C, display out e funzioni di alimentazione solo quando il dispositivo è connesso a un dispositivo Surface Thunderbolt 4 Dock autorizzato. Se si è connessi a un dock non autorizzato, viene visualizzata solo la visualizzazione e le funzioni di alimentazione funzioneranno.
Gestire le porte USB-C con Surface IT Toolkit
È ora possibile gestire le porte USB-C in tutte le modalità tramite uno dei metodi seguenti:
- Il nuovo configuratore UEFI incluso in Surface IT Toolkit offre il supporto dell'interfaccia utente per configurare le porte senza l'uso di script di PowerShell.
- Script di PowerShell, come descritto in questo articolo.
Comportamenti di destinazione
| Stato porta USB host | Abilitato | Dati disabilitati | Hardware disabilitato | Port Authenticated (Non autorizzato o nessun dock) | Port Authenticated (Dock autorizzato) |
|---|---|---|---|---|---|
| USB 2.0, 3.x, 4.x | Abilitato | Disabilitato | Disabilitato | Disabilitato | Abilitato |
| Thunderbolt 3 o 4 | Abilitato | Disabilitato | Disabilitato | Disabilitato | Abilitato |
| Accessori audio | Abilitato | Disabilitato | Disabilitato | Disabilitato | Abilitato |
| Rete | Abilitato | Disabilitato | Disabilitato | Disabilitato | Abilitato |
| Alimentazione USB di tipo C | Abilitato | Abilitato | Disabilitato | Abilitato | Abilitato |
| PD Power >0W | Abilitato | Abilitato | Disabilitato | Abilitato | Abilitato |
| Modalità Alt DisplayPort | Abilitato | Abilitato | Disabilitato | Abilitato | Abilitato |
Dock surface di provisioning
Usare lo script di provisioning appropriato, come illustrato nell'appendice di questa pagina.
- ConfigureSEMM - Dock2.ps1
- ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning
Aprire ConfigureSEMM.ps1 e modificare in base alle esigenze. Ad esempio, per disabilitare le porte USB-C, abilitare l'impostazione seguente: UsbPortHwDisabled. Per tutte le opzioni disponibili, vedere la tabella seguente.
Tabella 1. Opzioni di gestione delle porte USB per i dispositivi Surface
| Dispositivo | Opzioni USB-A (se presente nel dispositivo) |
Opzioni USB-C (se presente nel dispositivo) |
Impostazioni | ID SEMM |
|---|---|---|---|---|
|
Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2 |
Abilitare o disabilitare i dati | N/D: Nessuna porta USB-C nel dispositivo | USBPortEnabled (impostazione predefinita) USBPortHWDisabled |
370-379 |
|
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 Surface Laptop 3 (solo Intel) Surface Laptop 4 (solo Intel) Surface Laptop 5 (solo Intel) Surface Studio 2+ |
Abilitare o disabilitare i dati | Dati abilitati, visualizzazione e distribuzione dell'alimentazione Dati disabilitati, visualizzazione e distribuzione dell'alimentazione |
USBPortEnabled (impostazione predefinita) USBPortHWDisabled |
370-379 |
|
Surface Pro 8 Surface Pro 9 Surface Pro (11a edizione) Surface Laptop (7a edizione) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4 |
Abilitare o disabilitare i dati | Dati abilitati, display-out e distribuzione dell'alimentazione Dati disabilitati ma visualizzazione e distribuzione dell'alimentazione abilitati Dati disabilitati, display-out e distribuzione dell'alimentazione |
USBPortEnabled (impostazione predefinita) USBPortDataDisabled USBPortHwDisabled |
380-389 |
|
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 con 5G Surface Laptop 6 |
Abilitare o disabilitare i dati | Dati abilitati, display-out e distribuzione dell'alimentazione Dati disabilitati ma visualizzazione e distribuzione dell'alimentazione abilitati Dati disabilitati, display-out e distribuzione dell'alimentazione Dati abilitati o disabilitati dinamicamente |
USBPortEnabled (impostazione predefinita) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated |
380-389 |
| Surface Book 2 e versioni successive | Le porte USB di base sono sempre abilitate | Le porte USB di base sono sempre abilitate | n/d | |
|
Surface Book con Performance Base Surface Book |
Le porte USB di base sono sempre abilitate | N/D: Nessuna porta USB-C nel dispositivo | n/d |
Provisioning del reparto e dell'organizzazione
Disabilitazione USB-C dinamica consente una relazione molti-a-molti tra l'host e il dock. In questo modo i clienti hanno host e dock configurati per funzionare con tutti gli host/dock o renderli specifici del reparto per facilitare la gestione degli asset.
Tabella 2. Relazioni di esempio: Ospitare il dispositivo con Surface Thunderbolt 4 Dock
| Dispositivo host (Surface Laptop Studio 2) | Dock non sottoposto a provisioning | Dock globale | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| Non sottoposto a provisioning |
-
Host USB-C: Abilitato - Ancora USB: Abilitato |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
| Globale |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Dock: criteri autenticati |
| Department-X |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Dati disabilitati - Ancora USB: I dati disabilitati & limitati, in base ai criteri di ancoraggio non autenticati |
| Department-Y |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Dati disabilitati - Ancora USB: I dati disabilitati & limitati, in base ai criteri di ancoraggio non autenticati |
-
Host USB-C: Abilitato - Darsena: Criteri autenticati |
| Dispositivo host (Surface Laptop Studio 2) |
Dock non sottoposto a provisioning | Dock globale | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| Non sottoposto a provisioning |
-
Host USB-C: Abilitato - Ancora USB: Abilitato |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
-
Host USB-C: Abilitato - Ancora USB: Limitato, basato sui criteri di dock non autenticati |
| Globale |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Dock: criteri autenticati |
| Department-X |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Dati disabilitati - Ancora USB: I dati disabilitati & limitati, in base ai criteri di ancoraggio non autenticati |
| Department-Y |
-
Host USB-C: Dati disabilitati - Ancora USB: Dati disabilitati |
-
Host USB-C: Abilitato - Ancora USB: Criteri autenticati |
-
Host USB-C: Dati disabilitati - Ancora USB: I dati disabilitati & limitati, in base ai criteri di ancoraggio non autenticati |
-
Host USB-C: Abilitato - Darsena: Criteri autenticati |
Appendice: Guida di riferimento tecnico per gli script di PowerShell SEMM
| Script | Scopo | Prerequisiti |
|---|---|---|
| ApplyProvisioningPackage.ps1 | - Illustra come applicare i pacchetti proprietario e autorizzazione. | - Eseguire con privilegi di amministratore - Surface Device ha installato il .msiSurfaceUEFI_Manager_(versione) - Il pacchetto è stato generato tramite CreateSettingsPackage.ps1 o simili |
| ApplySettingsPackage.ps1 | - Illustra come applicare il pacchetto di impostazioni. | - Eseguire con privilegi di amministratore - Surface Device ha installato il .msi SurfaceUEFI_Manager_(versione) - Il pacchetto è stato generato tramite CreateSettingsPackage.ps1 o simili |
| ConfigureSEMM - Dock2.ps1 | - Crea un pacchetto di provisioning surface dock - Applica il pacchetto di provisioning creato |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Dock Certification Authority (DockCA) - un certificato p7b, usato per controllare la proprietà di un Surface Dock 2 - Certificato di provisioning del dock (ProvCert): certificato pfx usato per firmare il pacchetto di configurazione del dock con EKU 1.3.6.1.4.1.311.76.9.21.3 - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning della creazione del pacchetto in -CertStoreLocation Cert:\LocalMachine\Root - Dock Host Authorization Certificate (HostCert): certificato pfx, usato per autorizzare un Surface Computer a usare i criteri di sicurezza del dock utente autorizzato - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning del dock (e solo questo certificato) in -CertStoreLocation Cert:\LocalMachine\Root - Questo certificato NON DEVE essere installato in Surface Computer durante la creazione del pacchetto di provisioning - Surface Dock 2 -Provider di istanze WMI per Surface Dock. Per altre informazioni, vedere Gestire Surface Dock con WMI |
| ConfigureSEMM - Thunderbolt(TM)4Dock-Host-SAM.ps1 | - Crea e applica un pacchetto SEMM/DFCI che imposta la porta USB-C e contiene gli hash dell'autorità di certificazione - Crea e applica un payload CFU dell'autorità di certificazione SAM |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Dock Certification Authority (DockCA) - un certificato p7b, usato per controllare la proprietà di un dock Surface Thunderbolt 4 - Uno dei seguenti Computer Surface (altri modelli non ancora supportati): Surface Laptop Studio 2 |
| ConfigureSEMM - Thunderbolt(TM)4Dock-Host.ps1 | - Crea e applica un pacchetto CFU per SAM | - SurfaceUEFI_Manager_(versione).msi è stato installato - Elenco di file dell'autorità di certificazione (con estensione p7b). SAM può supportare fino a 10 ca diverse - Uno dei seguenti Computer Surface (altri modelli non ancora supportati): Surface Laptop Studio 2 |
| ConfigureSEMM - Thunderbolt(TM)4Dock-Policy.ps1 | - Crea un pacchetto di criteri Dock di Surface Thunderbolt 4 - Applica il pacchetto di criteri creato |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Certificato di provisioning del dock (ProvCert): certificato pfx usato per firmare il pacchetto di configurazione del dock con EKU 1.3.6.1.4.1.311.76.9.21.3 - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning della creazione del pacchetto in -CertStoreLocation Cert:\LocalMachine\Root - Dock Host Authorization Certificate (HostCert): certificato pfx, usato per autorizzare un Surface Computer a usare i criteri di sicurezza del dock utente autorizzato - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning del dock (e solo questo certificato) in -CertStoreLocation Cert:\LocalMachine\Root - Questo certificato NON DEVE essere installato in Surface Computer durante la creazione del pacchetto di provisioning - Certificato di autenticazione dock (DockAuthCert) - Surface Thunderbolt 4 Dock |
| ConfigureSEMM - Thunderbolt(TM)4Dock-Provisioning.ps1 | - Crea un pacchetto di provisioning di Surface Thunderbolt 4 Dock - Applica il pacchetto di provisioning creato |
- SurfaceUEFI_Manager_(versione).msi è stato installato - File dell'Autorità di certificazione dock (DepartmentCA e/o OrganizationCA) - un certificato p7b, usato per controllare la proprietà di un dock Surface Thunderbolt 4 - Certificato di provisioning del dock (ProvCert): certificato pfx usato per firmare il pacchetto di configurazione del dock con EKU 1.3.6.1.4.1.311.76.9.21.3 - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning della creazione del pacchetto in -CertStoreLocation Cert:\LocalMachine\Root - Dock Host Authorization Certificate (HostCert): certificato pfx, usato per autorizzare un Surface Computer a usare i criteri di sicurezza del dock utente autorizzato - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning del dock (e solo questo certificato) in -CertStoreLocation Cert:\LocalMachine\Root - Questo certificato NON DEVE essere installato in Surface Computer durante la creazione del pacchetto di provisioning - Certificato di autenticazione dock (DockAuthCert) - Surface Thunderbolt 4 Dock |
| ConfigureSEMM - Thunderbolt(TM)4Dock-USBC.ps1 | - Crea e applica un pacchetto SEMM/DFCI in modalità USB-C 3 | - SurfaceUEFI_Manager_(versione).msi è stato installato - Chiave di firma del certificato di proprietà generata ed accessibile - Uno dei seguenti Computer Surface (altri modelli non ancora supportati): Surface Laptop Studio 2 |
| ConfigureSEMM.ps1 | - Crea il pacchetto di provisioning del firmatario (noto anche come "proprietario") e un pacchetto di reimpostazione universale - Crea un pacchetto di autorizzazioni - Applica i pacchetti di autorizzazioni e proprietario creati |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Chiave di firma del certificato di proprietà generata ed accessibile - Dispositivo Surface con UEFI compatibile con SEMM |
| CreateOwnerPackage.ps1 | - Crea il pacchetto di provisioning del firmatario (noto anche come "proprietario") e un pacchetto di reimpostazione universale. - Può essere eseguito su una workstation amministratore IT (non deve essere un dispositivo Surface) |
- La workstation di amministrazione IT ha installato il .msi SurfaceUEFI_Manager_(versione) - Chiave di firma del certificato di proprietà generata ed accessibile |
| CreateOwnerUpgradePackage.ps1 | - Crea il pacchetto di provisioning dell'aggiornamento del firmatario (noto anche come "proprietario") e un pacchetto di reimpostazione universale. | - La workstation di amministrazione IT ha installato il .msi SurfaceUEFI_Manager_(versione) - È stata generata una nuova chiave di firma del certificato di proprietà ed è accessibile - È stata generata una chiave di firma del certificato di proprietà esistente ed è accessibile |
| CreatePermissionPackages.ps1 | - Illustra come creare un pacchetto di autorizzazioni. | - La workstation di amministrazione IT ha installato il .msi SurfaceUEFI_Manager_(versione) - Chiave di firma del certificato di proprietà generata ed accessibile |
| CreateSettingsPackage.ps1 | - Illustra come creare un pacchetto di impostazioni. | - La workstation di amministrazione IT ha installato il .msi SurfaceUEFI_Manager_(versione) - Chiave di firma del certificato di proprietà generata ed accessibile |
| CreateSurfaceDock2Certificates.ps1 | - Crea un set di certificati adatti per la configurazione di un Surface Dock 2 - Possono essere usati in combinazione con gli script di configurazione e reimpostazione o configuratore |
- N/D |
| CreateSurfaceThunderbolt(TM)4DockCertificates.ps1 | - Crea un set di certificati adatti per la configurazione di un dock Surface Thunderbolt 4 - Possono essere usati in combinazione con gli script di configurazione e reimpostazione o configuratore |
- N/D |
| CreateTestCertificates.ps1 | - Illustra come creare i certificati digitali usati nel sistema. - Nota: I certificati creati qui funzioneranno a scopo di test, ma sono semplicistici e non consigliati per la distribuzione effettiva. - È consigliabile ottenere altre informazioni sulle procedure consigliate per PKI leggendo argomenti sull'infrastruttura a chiave pubblica, ad esempio: Procedure consigliate per l'implementazione di un'infrastruttura a chiave pubblica di Microsoft Windows Server 2003 |
- N/D |
| CurrentSettings.ps1 | - Visualizza le impostazioni SEMM correnti nel dispositivo all'avvio. | - Eseguire con privilegi di amministratore - Surface Device ha installato il .msi SurfaceUEFI_Manager_(versione) |
| ResetSEMM - Dock2.ps1 | - Crea un pacchetto di reimpostazione surface dock - Applica il pacchetto di reimpostazione creato |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Dock Certification Authority (DockCA) - File di certificato p7b, usato per controllare la proprietà di un Surface Dock 2 - Certificato di provisioning del dock (ProvCert): file di certificato pfx usato per firmare il pacchetto di configurazione del dock con EKU 1.3.6.1.4.1.311.76.9.21.3 - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning della creazione del pacchetto in -CertStoreLocation Cert:\LocalMachine\Root - Dock Host Authorization Certificate (HostCert): file di certificato pfx, usato per autorizzare un Surface Computer a usare i criteri di sicurezza del dock utente autorizzato - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning del dock (e solo questo certificato) in -CertStoreLocation Cert:\LocalMachine\Root - Questo certificato NON DEVE essere installato in Surface Computer durante la creazione del pacchetto di provisioning - Surface Dock 2 - Provider di istanze WMI per Surface Dock 2. Per altre informazioni, vedere Gestire Surface Dock con WMI. |
| ResetSEMM - Thunderbolt(TM)4Dock.ps1 | - Crea un pacchetto di ripristino del dock di Surface Thunderbolt 4 - Applica il pacchetto di reimpostazione creato |
- SurfaceUEFI_Manager_(versione).msi è stato installato - Certificato di provisioning del dock (ProvCert): file di certificato pfx usato per firmare il pacchetto di configurazione del dock con EKU 1.3.6.1.4.1.311.76.9.21.3 - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning della creazione del pacchetto in -CertStoreLocation Cert:\LocalMachine\Root - Dock Host Authorization Certificate (HostCert): file di certificato pfx, usato per autorizzare un Surface Computer a usare i criteri di sicurezza del dock utente autorizzato - Questo certificato e la relativa catena di attendibilità completa DEVONO essere installati in Surface Computer durante il provisioning del dock (e solo questo certificato) in -CertStoreLocation Cert:\LocalMachine\Root - Questo certificato NON DEVE essere installato in Surface Computer durante la creazione del pacchetto di provisioning - Surface Thunderbolt 4 Dock |
| ResetSemm.ps1 | - Crea e applica un pacchetto di reimpostazione SEMM per un dispositivo specifico. | - Privilegi amministrativi nel dispositivo. - Surface Device ha installato il .msi SurfaceUEFI_Manager_(versione) - Il certificato è stato generato ed è accessibile (e la password è 1234) - Questo dispositivo Surface è stato registrato in precedenza con lo stesso certificato |
| ShowSettingsOptions.ps1 | - Stampa le impostazioni UEFI che possono essere applicate ai dispositivi Surface. | - La workstation di amministrazione IT ha installato il .msi SurfaceUEFI_Manager_(versione) |
| VerifyDockSettings.ps1 | - Per acquisire e visualizzare la configurazione corrente del surface dock connesso | - Surface Dock 2 o Surface Thunderbolt 4 Dock |
| VerifySettings.ps1 | - Illustra come visualizzare le impostazioni correnti e lo stato degli aggiornamenti recenti. | - Eseguire con privilegi di amministratore - Surface Device ha installato il .msi SurfaceUEFI_Manager_(versione) - I pacchetti sono stati applicati e i file id sessione sono stati salvati. |