"Microsoft Surface Enterprise Management Mode (SEMM)" により UEFI 設定の展開が可能になりました

 

管理者が設定した UEFI 設定を端末に展開可能に

 

当社では、 Surface Pro 4 / Surface Book 専用の新機能として、"Microsoft Surface Enterprise Management Mode (SEMM)" を公開いたしました。

これは、管理者が指定した UEFI の設定(内蔵デバイスの無効化など)を Surface 端末に展開するための機能で、多数の端末に同じ設定を適用することが容易になります。

 

以下の TechNet ページにてご利用方法を解説しておりますが、現時点で英語版のみとなるため、本記事にてポイントをご紹介します。

 

Microsoft Surface Enterprise Management Mode

 

SEMM の使い方(1): Microsoft Surface UEFI Configurator からパッケージを作成する

 

SEMM の機能を利用して UEFI 設定を展開するには、"Microsoft Surface UEFI Configurator" という専用のツールを利用して "Configuration Package" (設定を保存したインストーラー パッケージ)を作成し、それを各端末に適用します。

手順は以下のようになります。

 

  1. Microsoft Surface UEFI Configurator を当社ダウンロード センターの Surface Tools for IT のページからダウンロードし、インストールして起動します。
  2. メニュー画面で、Configuraition Package の [Create] を選択します。
    Microsoft Surface UEFI Configurator
  3. [Certificate Protection] を選択して、証明書ファイルを選択し、証明書のパスワードを入力します。(機能をテストするには、後述のテスト用証明書を作成して選択します)
    Secure a SEMM configuration package with a certificate
  4. (オプション) [Password Protection] で UEFI にパスワードを設定します。
  5. UEFI の設定として指定する内容(内蔵デバイスの無効化、設定メニューの無効化など)を入力していきます。
    Enable or disable devices in Surface UEFI with SEMM
  6. 設定した内容を、.msi 形式のパッケージとしてファイルに保存します。設定内容を記録したテキスト ファイルも同時に作成されます。
  7. 保存が成功すると、 2 桁の数字が表示されるので、記録します。
    Certificate thumbprint display

 

 

SEMM の使い方(2): 作成したパッケージを設定対象の Surface に適用する

 

  1. (1) で作成した .msi パッケージを設定対象の Surface に保存し、コマンド プロンプトでそのフォルダーに移動して以下のコマンドを実行します。
    msiexec /i <パッケージのファイル名>
  2. 作成時に記録した 2 桁の数字を入力します。
    Enrollment confirmation in SEMM
  3. インストールが進行し、完了後にメッセージに従い再起動します。

 

これで、設定対象の Surface は指定した UEFI 設定が適用された状態になります。

このほか、 SEMM の機能には、UEFI設定の解除や緊急時の回復があります。詳細は原文サイトをご参照ください。

 

 

テスト用の証明書ファイルの作成方法

 

テスト用の証明書ファイルを出力するには、以下のテキストを .ps1 拡張子で保存し、 PowerShell スクリプトとして実行します。

実行すると、%WINDIR%\system32 に TempOwner.pfx  という証明書ファイルが出力されます。テスト用の証明書ファイルのパスワードは "12345678" です。

-----------------------------------------------------------------------------

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
-Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
-Type SSLServerAuthentication `
-HashAlgorithm sha256 `
-KeyAlgorithm RSA `
-KeyLength 2048 `
-KeyUsage KeyEncipherment `
-KeyUsageProperty All `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-NotAfter (Get-Date).AddYears(25) `
-TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
-KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

-----------------------------------------------------------------------------