Surface UEFI の設定の管理
Surface デバイスは、Microsoft によって特別にこれらのデバイス用に設計された一意の統合拡張ファームウェア インターフェイス (UEFI) を使用するように設計されています。 Surface UEFI 設定を使用すると、IT 管理者は、組み込みのデバイスとコンポーネントを有効または無効にしたり、UEFI 設定が変更されないように保護したり、Surface デバイスのブート設定を調整したりできます。
サポートされている製品
UEFI 管理は、次の Surface デバイスでサポートされています。
- Surface Pro 4、Surface Pro (第 5 世代)、Surface Pro 6、Surface Pro 7、Surface Pro 7+ (商用 SKU のみ)、Surface Pro 8 (商用 SKU のみ)、Surface Pro 9 & Surface Pro9 5G (商用 SKU のみ)、Surface Pro 10、Surface Pro (第 11 版)、Surface Pro X
- Surface Laptop (第 1 世代)、Surface Laptop 2、Surface Laptop 3 (Intel プロセッサのみ)、Surface Laptop Go、Surface Laptop 4 (商用 SKU のみ)、Surface Laptop 5 (商用 SKU のみ)、Surface Laptop 6 (商用 SKU のみ)、Surface Laptop SE、Surface Laptop Go 2 (商用 SKU のみ)、Surface Laptop Go 3 (商用 SKU のみ)
- Surface Studio (第 1 世代)、Surface Studio 2、Surface Studio 2 以降
- Surface Book (すべての世代)
- Surface Laptop Studio (すべての世代、商用 SKU のみ)
- Surface Go、Surface Go 21、Surface Go 3 (商用 SKU のみ)、Surface Go 4 (商用 SKU のみ)
ヒント
商用 SKU (別名 法人向け Surface) は、Windows 10 Pro/Enterprise または Windows 11 Pro/Enterprise を実行し、コンシューマー SKU はWindows 10/Windows 11 Homeを実行します。 UEFI では、商用 SKU は、[デバイス] ページと [管理] ページを機能させる唯一のモデルです。 詳細については、「 システム情報を表示する」を参照してください。
クラウドベースの管理のサポート
デバイス ファームウェア構成インターフェイス (DFCI) プロファイルがMicrosoft Intuneに組み込まれている (パブリック プレビューで利用可能になりました) 場合、Surface UEFI 管理は最新の管理スタックを UEFI ハードウェア レベルまで拡張します。 DFCI はゼロタッチ プロビジョニングをサポートし、BIOS パスワードを排除し、セキュリティ設定を制御し、将来の高度なセキュリティ シナリオの基礎を築きます。
DFCI は現在、次の商用デバイスで利用できます:Surface Pro (第 11 版)、Surface Pro 10、Surface Pro 10 (5G、Surface Pro 9、Surface Pro 9、5G、Surface Pro 8、Surface Pro 7 以降)Surface Pro 7、Surface Pro X、Surface Laptop (第 7 版)、Surface Laptop 6、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Studio 2、Surface Laptop Studio、Surface Laptop SE、Surface Laptop Go 2、Surface Laptop Go、Surface Book 3、Surface Studio 2 以降、Surface Go 3、Surface Go 4。 詳細については、「 Surface デバイスで DFCI を管理する」を参照してください。
Surface UEFI メニューを開く
システムの起動時に UEFI 設定を調整するには:
- Surface をシャットダウンし、約 10 秒待ってオフになっていることを確認します。
- 音量を上げるボタンを長押しし、同時に電源ボタンを押して離します。
- Microsoft または Surface のロゴが画面に表示されたら、UEFI 画面が表示されるまで 音量を上げる ボタンを押し続けます。
UEFI PC 情報ページ
[PC 情報] ページには、Surface デバイスに関する詳細情報が含まれています。
モデル – Surface Laptop Studio 2 や Surface Pro 9 などの Surface デバイスのモデルがここに表示されます。 デバイスの正確な構成は表示されません (プロセッサ、ディスク サイズ、メモリ サイズなど)。
システム UUID – このユニバーサル一意の識別番号は、デバイスに固有であり、展開または管理中にデバイスを識別するために使用されます。
シリアル番号 – この番号は、資産のタグ付けとサポート シナリオでこの特定の Surface デバイスを識別します。
アセット タグ – アセット タグは、 アセット タグ ツールを使用して Surface デバイスに割り当てられます。
Surface デバイスのファームウェアに関する詳細情報も確認できます。 Surface デバイスには複数の内部コンポーネントがあり、それぞれが異なるバージョンのファームウェアを実行しています。 これらのコンポーネントのファームウェア バージョンは、 PC 情報 ページに表示されます。 コンポーネントには次のものが含まれており、デバイスによって異なる場合があります。
- System UEFI (システム UEFI)
- SMF コントローラー
- SAM Controller (SAM コントローラー)
- Intel Management Engine (Intel 管理エンジン)
- PD コントローラー
- キーボード コントローラー
- トラックパッド コントローラー
- Touch Firmware (タッチ ファームウェア)
図 1。 システム情報とファームウェアのバージョン情報。
Surface デバイスの最新のファームウェア バージョンに関する最新情報は、お使いのデバイスの「Surface 更新履歴」で確認できます。
UEFI セキュリティ ページ
図 2。 Surface UEFI セキュリティ設定を構成します。
[セキュリティ] ページでは、UEFI 設定を保護するためのパスワードを設定できます。 Surface デバイスを UEFI で起動するときは、このパスワードを入力する必要があります。 パスワードには、次の文字を含めることができます (図 3 を参照)。
大文字: A ~ Z
小文字: a ~ z
数字: 1 ~ 0
特殊文字: !@#$%^&*()?<>{}[]-_=+|.,;:’`”
パスワードは 6 文字以上で、大文字と小文字が区別されます。
図 3. Surface UEFI 設定を保護するためのパスワードを追加します。
[セキュリティ] ページで、Surface デバイスのセキュア ブートの構成を変更することもできます。 セキュア ブート テクノロジは、承認されていないブート コードが Surface デバイスで起動できないようにして、ブートキット タイプやルートキット タイプのマルウェアの感染を防ぎます。 セキュア ブートを無効にして、Surface デバイスが他のオペレーティング システムまたは起動可能なメディアを起動できるようにします。 図 4 に示すように、他の証明書と連携するようにセキュア ブートを構成することもできます。 詳細については、「 セキュア ブート」を参照してください。
図 4: セキュア ブートを構成します。
デバイスによっては、TPM が有効か無効かも表示されます。 [TPM の有効化] 設定が表示されない場合は、Windows で tpm.msc を開いて状態をチェックします (図 5 を参照)。 TPM は、BitLocker を使用してデバイスのデータ暗号化を認証するために使用されます。 詳細については、「 BitLocker の概要」を参照してください。
図 5: TPM コンソール。
[UEFI デバイス] ページ
[デバイス] ページでは、対象となるデバイスの特定のコンポーネントをオンまたはオフにすることができます。 コンポーネントは、次の要素で構成されます。
- USB ポートのドッキング
- フロント カメラ
- リアカメラ
- IR カメラ
- オンボード オーディオ
- SDcard
- Wi-Fi & Bluetooth
- Bluetooth
- タイプ カバー ポート
各デバイスには、図 6 に示すように、 オン (有効) または オフ (無効) の位置に移動するスライダー ボタンがあります。 (コンポーネントは Surface デバイスによって異なる場合があります)。
図 6. 特定のデバイスを有効または無効にします。
UEFI ブート構成ページ
[ブート構成] ページでは、ブート デバイスの順序を変更し、次のデバイスのブートを有効または無効にすることができます。
Windows ブート マネージャー
USB 記憶装置
PXE ネットワーク
内部ストレージ
特定のデバイスからすぐに起動するか、タッチスクリーンを使用してリスト内のそのデバイスのエントリを左にスワイプできます。 また、Surface デバイスが [音量を下げる] ボタンと [電源] ボタンを同時に押すことによって電源をオフにされている場合は、USB デバイスまたは USB イーサネット アダプターですぐに起動することもできます。
指定したブート順序を有効にするには、図 7 に示すように、[ 代替ブート シーケンスを有効にする] オプションを [オン] に設定する必要があります。
図 7. Surface デバイスのブート順序を構成します。
PXE サーバーが IPv4 専用に構成されている PXE を使用して Windows 展開を実行する場合など、 PXE の IPv6 サポートを有効または無効にすることもできます。
UEFI 管理ページ
[管理] ページでは、対象となるデバイスでのゼロ タッチ UEFI 管理やその他の機能の使用を管理できます。
図 8. ゼロ タッチ UEFI 管理やその他の機能へのアクセスを管理します。
ゼロ タッチ UEFI 管理を使用すると、デバイス ファームウェア構成インターフェイス (DFCI) と呼ばれるIntune内のデバイス プロファイルを使用して、UEFI 設定をリモートで管理できます。 この設定を構成しない場合、DFCI を使用して適格なデバイスを管理する機能は [準備完了] に設定されます。 DFCI を回避するには、[ オプトアウト] を選択します。
UEFI 終了ページ
図 9 に示すように、[終了] ページの [今すぐ再起動] ボタンを使用して UEFI 設定を終了します。
図 9. [今すぐ再起動] を選択して Surface UEFI を終了し、デバイスを再起動します。
Surface UEFI のブート画面
Windows Updateまたは手動インストールを使用して Surface デバイス ファームウェアを更新すると、更新プログラムはすぐにデバイスに適用されるのではなく、次の再起動サイクル中に適用されます。 Surface ファームウェアの更新プロセスの詳細については、「Surface ドライバーとファームウェアの更新プログラムの管理と展開」を参照してください。 ファームウェアの更新の進行状況は、各コンポーネントのファームウェアを示すために、異なる色の進行状況バーを含む画面に表示されます。 各コンポーネントの進行状況バーを図 9 から図 18 に示します。
図 10. Surface UEFI ファームウェアの更新プログラムに青い進行状況バーが表示されます。
図 11. System Embedded Controller ファームウェアの更新プログラムに緑色の進行状況バーが表示されます。
図 12. SAM コントローラーファームウェアの更新プログラムには、オレンジ色の進行状況バーが表示されます。
図 13. Intel Management Engine ファームウェアの更新プログラムには、赤い進行状況バーが表示されます。
図 14. Surface タッチ ファームウェアの更新プログラムには、灰色の進行状況バーが表示されます。
図 15. Surface KIP ファームウェアの更新プログラムには、緑色の進行状況バーが表示されます。
図 16: Surface ISH ファームウェアの更新プログラムには、淡いピンク色の進行状況バーが表示されます。
図 17. Surface Trackpad ファームウェアの更新プログラムには、ピンクの進行状況バーが表示されます。
図 18. Surface TCON ファームウェアの更新プログラムには、淡い灰色の進行状況バーが表示されます。
図 19: Surface TPM ファームウェアの更新プログラムには、紫色の進行状況バーが表示されます。
注
図 19 に示すように、セキュア ブートが無効になっていることを示す追加の警告メッセージが表示されます。
図 20. Surface UEFI 設定でセキュア ブートが無効になっていることを示す Surface ブート画面。
参考資料
- Surface Go と Surface Go 2 ではサード パーティ製の UEFI が使用され、DFCI はサポートされていません。