管理 Surface 裝置上的 USB 埠
在 Surface 裝置上預設啟用 USB 埠功能後,許多具有 Surface UEFI 的裝置都允許系統管理員關閉與 USB 埠的連線。 例如,您可能想要防止使用者從 USB Thumb 磁碟驅動器或外部硬碟複製數據。
必要條件
開始本文所述的程式之前,請先熟悉下列技術和工具:
- Surface IT 工具組 可從 適用於 IT 的 Surface Tools 下載。
- Surface UEFI
- Surface 企業管理模式 (SEMM)
- PowerShell 腳本
- 使用 Configuration Manager 部署應用程式
入門
此程式包含下欄部分:
招生: 使用 Surface UEFI 設定器將 Surface 裝置和擴充座註冊到 SEMM,如使用 SEMM 保護 Surface 擴充座埠中所述。 支援的擴充座包括 Surface 擴充座 2 和 Surface SurfaceBolt 4 擴充座。 此工作流程的關鍵在於,每當裝置與授權的 Surface 擴充座中斷連線時,就能夠關閉 USB-C 數據、乙太網路數據和 USB-C 音訊,例如,在處理高度敏感性資訊的工作場所環境中。
用戶端設定:在所有以管理為目標的 Surface 裝置上,安裝可從 Surface IT 工具組連結庫取得的 UEFI 管理員。
PowerShell 腳本: 移至 Surface IT 工具組 ,視您的環境而定下載並修改 PowerShell 腳本。 使用 Microsoft Configuration Manager 將文稿部署 (為應用程式) 目標裝置,請遵循使用 Microsoft Configuration Manager 以 SEMM 管理裝置中的指示。
如需使用指引,請參閱內嵌批注。 如需定義和必要條件,請參閱 附錄:SEMM PowerShell 腳本技術參考 。
管理 USB-A 連接埠
對於支援 USB-2 和 USB-3 的 USB-A 連接埠,您可以從 USB 控制器關閉 USB 資料通訊協定,以防止所有功能。
細微的USB-C停用
使用對 DisplayPort 和 USB 電源傳遞的支援來管理 USB-C 埠,除了關閉所有功能之外,還提供更多選項。 例如,您可以防止數據連線,以防止使用者從 USB 記憶體複製資料,但保留透過 USB-C Dock 擴充顯示器並收取裝置費用的能力。
從 Surface Pro 8、Surface Laptop Studio 和 Surface Go 3 開始,細微的 USB-C 管理選項可透過 SEMM PowerShell 腳本取得。
移至 適用於 IT 的 Surface 工具 並下載 SEMM_PowerShell.zip。
如果您還沒有自己的憑證,您可以透過適當的範例腳本取得憑證,如此頁面 的附錄 中所述。
注意
將憑證保留在安全的位置,並確保已正確備份憑證。 如果沒有它們,就無法重設 Surface UEFI、變更受控 Surface UEFI 設定,或從已註冊的 Surface 裝置移除 SEMM。
動態USB-C停用
動態USB-C停用可讓在高度安全環境中作業的客戶防止透過USB進行未經授權的數據傳輸,進而讓組織擁有更多控制權。 與 Surface Fabricbolt 4 擴充座配對時,每當符合資格的 Surface 裝置卸載或連線到未經授權的擴充座時,IT 系統管理員就可以鎖定 USB-C 埠。
提示
這項功能適用於 Surface Pro 10、Surface Laptop 6 和 Surface Laptop Studio 2。
在此案例中,當用戶連線到辦公室的授權擴充座時,USB-C 埠會在其裝置上具有完整的功能。 不過,當他們離開月臺時,仍然可以連線到停駐區以使用配件或監視器,但無法使用USB埠來傳輸數據。
除了現有的操作模式之外,動態USB-C停用還可讓IT系統管理員有更大的彈性來管理具有新「模式3」的裝置:
模式 0 (預設模式) : 未設定 SEMM 時的預設模式。
模式 1 (停用數據) : USB-C 和乙太網路數據已停用。 也已停用透過USB-C的音訊。 顯示出來並啟用電源功能。
模式 2 (完全停用) : USB-C 和乙太網路數據已停用。 也已停用透過USB-C的音訊。 顯示出來並停用電源功能。
模式 3 (USB 埠已驗證) 也稱為動態 USB-C 停用。 USB-C 數據、乙太網路數據、USB-C 音訊,只有在裝置連線到授權的SurfaceBolt 4擴充座時,才會顯示出和電源功能。 如果連線到未經授權的擴充座,則只會顯示出來,且Power函式可以運作。
使用 Surface IT 工具組管理 USB-C 連接埠
您現在可以透過下列其中一種方法,跨所有模式管理 USB-C 埠:
- Surface IT 工具組中包含的新 UEFI 設定程式提供 UI 支援,可在不使用 PowerShell 腳本的情況下設定埠。
- PowerShell 腳本,如本文所述。
目標行為
| 主機 USB 埠狀態 | 啟用 | 已停用數據 | 硬體已停用 | 埠驗證 (未經授權或沒有停駐) | 埠已驗證 (已授權的擴充座) |
|---|---|---|---|---|---|
| USB 2.0、3.x、4.x | Enabled | 已停用 | 已停用 | 已停用 | 已啟用 |
| 雷電 3 或 4 | Enabled | 已停用 | 已停用 | 已停用 | 已啟用 |
| 音訊配件 | Enabled | 已停用 | 已停用 | 已停用 | 已啟用 |
| 網路 | Enabled | 已停用 | 已停用 | 已停用 | 已啟用 |
| USB 類型 C 電源 | 已啟用 | 已啟用 | 已停用 | 已啟用 | 已啟用 |
| PD Power >0W | 已啟用 | 已啟用 | 已停用 | 已啟用 | 已啟用 |
| DisplayPort Alt 模式 | 已啟用 | 已啟用 | 已停用 | 已啟用 | 已啟用 |
布建 Surface 擴充座
使用適當的布建腳本,如此頁面的 附錄 中所述。
- ConfigureSEMM - Dock2.ps1
- ConfigureSEMM - 4Dock-Provisioning) TM (Bolt
開 啟ConfigureSEMM.ps1 並視需要修改。 例如,若要停用USB-C埠,請啟用下列設定: UsbPortHwDisabled。 如需所有可用的選項,請參閱下表。
表 1. Surface 裝置的 USB 埠管理選項
| 裝置 | USB-A 選項 (裝置) |
USB-C 選項 (裝置) |
設定 | SEMM識別碼 |
|---|---|---|---|---|
|
Surface 膝上型電腦 Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2 |
啟用或停用數據 | N/A:裝置上沒有USB-C埠 | USBPortEnabled (預設) USBPortHWDisabled |
370-379 |
|
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 僅Surface Laptop 3 (Intel) 僅Surface Laptop 4 (Intel) 僅Surface Laptop 5 (Intel) Surface Studio 2+ |
啟用或停用數據 | 已啟用的數據、顯示出來,以及電源傳遞 停用數據、顯示出來,以及電源傳遞 |
USBPortEnabled (預設) USBPortHWDisabled |
370-379 |
|
Surface Pro 8 Surface Pro 9 Surface Pro (第 11 版) Surface Laptop (第 7 版) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4 |
啟用或停用數據 | 啟用的數據、顯示器和電源傳遞 已停用數據,但已啟用顯示和電源傳遞 停用的數據、顯示器和電源傳遞 |
USBPortEnabled (預設) USBPortDataDisabled USBPortHwDisabled |
380-389 |
|
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 搭配 5G Surface Laptop 6 |
啟用或停用數據 | 啟用的數據、顯示器和電源傳遞 已停用數據,但已啟用顯示和電源傳遞 停用的數據、顯示器和電源傳遞 動態啟用或停用數據 |
USBPortEnabled (預設) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated |
380-389 |
| Surface Book 2 和更新版本 | 一律啟用基底 USB 埠 | 一律啟用基底 USB 埠 | 不適用 | |
|
Surface Book 效能基底 Surface Book |
一律啟用基底 USB 埠 | N/A:裝置上沒有USB-C埠 | 不適用 |
部門與組織布建
動態USB-C停用允許主機與擴充座之間的多對多關聯性。 這可讓客戶將主機和擴充座設定為使用所有主機/擴充座,或將其設為部門專屬,以協助進行資產管理。
表 2. 範例關聯性:使用 SurfaceBolt 4 擴充座裝載裝置
| 主機裝置 (Surface Laptop Studio 2) | 未布建的擴充座 | 全域擴充座 | Department-X 擴充座 | Department-Y 擴充座 |
|---|---|---|---|---|
| 未布建 |
-
主機USB-C: 啟用 - 停駐USB: 啟用 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
| 全球 |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - Dock:已驗證的原則 |
| Department-X |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 停用的數據 - 停駐USB: 根據未經驗證的停駐原則,停用 & 的數據有限 |
| Department-Y |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 停用的數據 - 停駐USB: 根據未經驗證的停駐原則,停用 & 的數據有限 |
-
主機USB-C: 啟用 - 碼頭: 已驗證的原則 |
| 主機裝置 (Surface Laptop Studio 2) |
未布建的擴充座 | 全域擴充座 | Department-X 擴充座 | Department-Y 擴充座 |
|---|---|---|---|---|
| 未布建 |
-
主機USB-C: 啟用 - 停駐USB: 啟用 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
-
主機USB-C: 啟用 - 停駐USB: 受限,以未經驗證的停駐原則為基礎 |
| 全球 |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - Dock:已驗證的原則 |
| Department-X |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 停用的數據 - 停駐USB: 根據未經驗證的停駐原則,停用 & 的數據有限 |
| Department-Y |
-
主機USB-C: 停用的數據 - 停駐USB: 停用的數據 |
-
主機USB-C: 啟用 - 停駐USB: 已驗證的原則 |
-
主機USB-C: 停用的數據 - 停駐USB: 根據未經驗證的停駐原則,停用 & 的數據有限 |
-
主機USB-C: 啟用 - 碼頭: 已驗證的原則 |
附錄:SEMM PowerShell 腳本技術參考
| 指令碼 | 用途 | 必要條件 |
|---|---|---|
| ApplyProvisioningPackage.ps1 | - 示範如何套用擁有者和許可權套件。 | - 以系統管理員許可權執行 - Surface 裝置已安裝 SurfaceUEFI_Manager_ (版) .msi - 套件是透過 CreateSettingsPackage.ps1 或類似的產生 |
| ApplySettingsPackage.ps1 | - 示範如何套用設定套件。 | - 以系統管理員許可權執行 - Surface 裝置已安裝SurfaceUEFI_Manager_ (版本) .msi - 套件是透過 CreateSettingsPackage.ps1 或類似的產生 |
| ConfigureSEMM - Dock2.ps1 | - 建立 Surface 擴充座布建套件 - 套用已建立的布建套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - Dock Certification Authority (DockCA) - p7b 憑證,用來控制 Surface 擴充座 2 的擁有權 - Dock Provisioning Certificate (ProvCert) - pfx 憑證,用來簽署 EKU 1.3.6.1.4.1.311.76.9.21.3 的 Dock 組態套件 - 在將套件建立至 -CertStoreLocation Cert:\LocalMachine\Root 期間,必須將此憑證及其完全信任鏈結安裝在 Surface 計算機上 - Dock Host Authorization Certificate (HostCert) - pfx 憑證,用來授權 Surface 計算機使用授權的使用者停駐安全策略 - 此憑證及其完整信任鏈結必須在 Dock 布建 (期間安裝在 Surface 計算機上,而且只有此憑證) 至 -CertStoreLocation Cert:\LocalMachine\Root - 此憑證在布建套件建立期間不得安裝在 Surface 計算機上 - Surface 擴充座 2 Surface 擴充座的 -WMI 實例提供者。 若要深入瞭解,請 參閱使用 WMI 管理 Surface 擴充座 |
| ConfigureSEMM - (TM) 4Dock-Host-SAM.ps1 | - 建立並套用設定 USB-C 埠並包含證書頒發機構單位哈希的 SEMM/DFCI 套件 - 建立並套用 SAM 證書頒發機構單位 CFU 承載 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - Dock Certification Authority (DockCA) - p7b 憑證,用來控制 SurfaceBolbolt 4 擴充座的擁有權 - 下列其中一個 Surface 計算機 (其他尚不支援的模型) :Surface Laptop Studio 2 |
| ConfigureSEMM - (TM) 4Dock-Host.ps1 | - 建立並套用 SAM 的 CFU 套件 | - 已安裝SurfaceUEFI_Manager_ (版本) .msi - (.p7b) 的證書頒發機構單位檔案清單。 SAM 最多可支援 10 個不同的 CA - 下列其中一個 Surface 計算機 (其他尚不支援的模型) :Surface Laptop Studio 2 |
| ConfigureSEMM - (TM) 4Dock-Policy.ps1 | - 建立 Surface SurfaceBolt 4 擴充座原則套件 - 套用已建立的原則套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - Dock Provisioning Certificate (ProvCert) - pfx 憑證,用來簽署 EKU 1.3.6.1.4.1.311.76.9.21.3 的 Dock 組態套件 - 在將套件建立至 -CertStoreLocation Cert:\LocalMachine\Root 期間,必須將此憑證及其完全信任鏈結安裝在 Surface 計算機上 - Dock Host Authorization Certificate (HostCert) - pfx 憑證,用來授權 Surface 計算機使用授權的使用者停駐安全策略 - 此憑證及其完整信任鏈結必須在 Dock 布建 (期間安裝在 Surface 計算機上,而且只有此憑證) 至 -CertStoreLocation Cert:\LocalMachine\Root - 此憑證在布建套件建立期間不得安裝在 Surface 計算機上 - DockAuthCert (擴充驗證憑證) - Surface SurfaceBolt 4 擴充座 |
| ConfigureSEMM - (TM) 4Dock-Provisioning.ps1 | - 建立 Surface SurfaceBolt 4 擴充座布建套件 - 套用已建立的布建套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - 將證書頒發機構單位檔案停駐 (DepartmentCA 和/或 OrganizationCA) - p7b 憑證,用來控制 SurfaceBolbolt 4 擴充座的擁有權 - Dock Provisioning Certificate (ProvCert) - pfx 憑證,用來簽署 EKU 1.3.6.1.4.1.311.76.9.21.3 的 Dock 組態套件 - 在將套件建立至 -CertStoreLocation Cert:\LocalMachine\Root 期間,必須將此憑證及其完全信任鏈結安裝在 Surface 計算機上 - Dock Host Authorization Certificate (HostCert) - pfx 憑證,用來授權 Surface 計算機使用授權的使用者停駐安全策略 - 此憑證及其完整信任鏈結必須在 Dock 布建 (期間安裝在 Surface 計算機上,而且只有此憑證) 至 -CertStoreLocation Cert:\LocalMachine\Root - 此憑證在布建套件建立期間不得安裝在 Surface 計算機上 - DockAuthCert (擴充驗證憑證) - Surface SurfaceBolt 4 擴充座 |
| ConfigureSEMM - (TM) 4Dock-USBC.ps1 | - 建立並套用 USB-C 模式 3 SEMM/DFCI 套件 | - 已安裝SurfaceUEFI_Manager_ (版本) .msi - 擁有權憑證簽署金鑰已產生且可供存取 - 下列其中一個 Surface 計算機 (其他尚不支援的模型) :Surface Laptop Studio 2 |
| ConfigureSEMM.ps1 | - 建立簽署者布建 (也稱為「擁有者」) 套件和通用重設套件 - 建立許可權套件 - 套用已建立的擁有者和許可權套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - 擁有權憑證簽署金鑰已產生且可供存取 - 具有相容 SEMM 啟用 UEFI 的 Surface 裝置 |
| CreateOwnerPackage.ps1 | - 建立簽署者布建 (也稱為「擁有者」) 套件和通用重設套件。 - 可以在 IT 系統管理員工作站上執行, (不需要是 Surface 裝置) |
- IT 系統管理員工作站已安裝SurfaceUEFI_Manager_ (版本) .msi - 擁有權憑證簽署金鑰已產生且可供存取 |
| CreateOwnerUpgradePackage.ps1 | - 建立簽署者升級布建 (也稱為「擁有者」) 套件和通用重設套件。 | - IT 系統管理員工作站已安裝SurfaceUEFI_Manager_ (版本) .msi - 已產生新的擁有權憑證簽署密鑰,且可供存取 - 已產生現有的擁有權憑證簽署密鑰,且可存取 |
| CreatePermissionPackages.ps1 | - 示範如何建立許可權套件。 | - IT 系統管理員工作站已安裝SurfaceUEFI_Manager_ (版本) .msi - 擁有權憑證簽署金鑰已產生且可供存取 |
| CreateSettingsPackage.ps1 | - 示範如何建立設定套件。 | - IT 系統管理員工作站已安裝SurfaceUEFI_Manager_ (版本) .msi - 擁有權憑證簽署金鑰已產生且可供存取 |
| CreateSurfaceDock2Certificates.ps1 | - 建立一組適合設定 Surface 擴充座 2 的憑證 - 它們可以與設定和重設腳本或設定器搭配使用 |
- N/A |
| CreateSurfaceThunderbolt (TM) 4DockCertificates.ps1 | - 建立一組適合設定 Surface SurfaceBolt 4 擴充座的憑證 - 它們可以與設定和重設腳本或設定器搭配使用 |
- N/A |
| CreateTestCertificates.ps1 | - 示範如何建立系統中使用的數字證書。 - 注意: 此處建立的憑證適用於測試用途,但簡單且不建議用於實際部署。 - 強烈建議您閱讀 PKI 上的主題來深入瞭解 PKI 最佳做法,例如: 實作 Microsoft Windows Server 2003 公鑰基礎結構的最佳做法 |
- N/A |
| CurrentSettings.ps1 | - 開機時在裝置上顯示目前的 SEMM 設定。 | - 以系統管理員許可權執行 - Surface 裝置已安裝SurfaceUEFI_Manager_ (版本) .msi |
| ResetSEMM - Dock2.ps1 | - 建立 Surface 擴充座重設套件 - 套用已建立的重設套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - Dock Certification Authority (DockCA) - 用來控制 Surface 擴充座 2 擁有權的 p7b 憑證檔案 - Dock Provisioning Certificate (ProvCert) - pfx 憑證檔案,用來使用 EKU 1.3.6.1.4.1.311.76.9.21.3 簽署 Dock 組態套件 - 在將套件建立至 -CertStoreLocation Cert:\LocalMachine\Root 期間,必須將此憑證及其完全信任鏈結安裝在 Surface 計算機上 - Dock Host Authorization Certificate (HostCert) - pfx 憑證檔案,用來授權 Surface 計算機使用授權的使用者停駐安全策略 - 此憑證及其完整信任鏈結必須在 Dock 布建 (期間安裝在 Surface 計算機上,而且只有此憑證) 至 -CertStoreLocation Cert:\LocalMachine\Root - 此憑證在布建套件建立期間不得安裝在 Surface 計算機上 - Surface 擴充座 2 - Surface 擴充座 2 的 WMI 實例提供者。 若要深入瞭解,請 參閱使用 WMI 管理 Surface 擴充座。 |
| ResetSEMM - (TM) 4Dock.ps1 | - 建立 Surface SurfaceBolt 4 擴充座重設套件 - 套用已建立的重設套件 |
- 已安裝SurfaceUEFI_Manager_ (版本) .msi - Dock Provisioning Certificate (ProvCert) - pfx 憑證檔案,用來使用 EKU 1.3.6.1.4.1.311.76.9.21.3 簽署 Dock 組態套件 - 在將套件建立至 -CertStoreLocation Cert:\LocalMachine\Root 期間,必須將此憑證及其完全信任鏈結安裝在 Surface 計算機上 - Dock Host Authorization Certificate (HostCert) - pfx 憑證檔案,用來授權 Surface 計算機使用授權的使用者停駐安全策略 - 此憑證及其完整信任鏈結必須在 Dock 布建 (期間安裝在 Surface 計算機上,而且只有此憑證) 至 -CertStoreLocation Cert:\LocalMachine\Root - 此憑證在布建套件建立期間不得安裝在 Surface 計算機上 - Surface SurfaceBolt 4 擴充座 |
| ResetSemm.ps1 | - 建立並套用特定裝置的 SEMM 重設套件。 | - 裝置上的系統管理許可權。 - Surface 裝置已安裝SurfaceUEFI_Manager_ (版本) .msi - 憑證已產生且可存取 (密碼為 1234) - 此 Surface 裝置先前已使用相同的憑證註冊 |
| ShowSettingsOptions.ps1 | - 列印可套用至 Surface 裝置的 UEFI 設定。 | - IT 系統管理員工作站已安裝SurfaceUEFI_Manager_ (版本) .msi |
| VerifyDockSettings.ps1 | - 擷取並顯示連線 Surface 擴充座的目前設定 | - Surface 擴充座 2 或 SurfaceBolt 4 擴充座 |
| VerifySettings.ps1 | - 示範如何查看目前設定和最近更新的狀態。 | - 以系統管理員許可權執行 - Surface 裝置已安裝SurfaceUEFI_Manager_ (版本) .msi - 套用套件,並儲存會話標識符檔案。 |