[Review] Surface Pro 10 for Business にて DFCI を使ってみる

皆さん、こんにちは。

今回は、以前に引き続き、Surface Pro 10 for Business (法人向け Surface Pro 10) のレビュー記事となります。

<過去の Surface Pro 10 for Business レビュー記事>

[Review] Surface Pro 10 for Business と Copilot キー

[Review] Surface Pro 10 for Business と Windows Studio Effects

今回のレビュー記事は、法人向けの機能である、DFCI (Device Firmware Configuration Interface) について取り上げます。

このブログでは、以前、Surface Pro 9 with 5G を用いて DFCI について取り上げています。ただし、Surface Pro 9 with 5G を用いた際には、DFCI の初期化のステップがうまく動作せず、最後まで取り上げられなかったので、Surface Pro 10 for Business で再トライしたいと思います。

Surface Pro 9 with 5G を用いてトライした時の記事は、こちらをご参照ください。

DFCI (Device Firmware Configuration Interface) とは、Windows Autopilot を使用してデバイスをセットアップして Microsoft Intune 管理にした対応デバイスで Microsoft Intune (クラウド) から対応デバイスの Unified Extensible Firmware Interface (UEFI) をリモート管理する (リモートから設定する) という機能になります。

もちろん、この DFCI 機能は、対応したデバイスでのみ利用できる機能となります。

Microsoft Surface は DFCI 機能に対応しています。

本 DFCI 機能を利用する場合は、対象デバイスを Autopilot 登録を用いて、Microsoft Intune テナントに登録する際、手動による 4K ハードウェアハッシュの登録 (CSV ファイルによるファイルによるインポートや PowerShell コマンドを使用したユーザー側によるテナント登録) の手法にて登録されたデバイスでは DFCI 機能は利用できません。サポートされていないだけで無く、実際にポリシーが正しく適用されず、動作しません。

必ず、OEM または Microsoft CSP パートナーによる Autopilot 登録が必要になりますので、ご注意ください。

https://learn.microsoft.com/ja-jp/autopilot/dfci-management#requirements

Microsoft Intune 管理センター (https://intune.microsoft.com/) にログインします。
[デバイス] > [Windows] > [構成プロファイル] を選択します。
[作成] > [新しいポリシー] を選択します。
[プラットフォーム] を [Windows 10 以降] に選択し、[プロファイルの種類] を [テンプレート] を選択します。
[プロファイル名] を [デバイスのファームウェア構成インターフェイス] に選択して、[作成] を選択します。
[名前] および [説明] を適宜設定します。
この例では、名前に [DFCI (Surface Pro 10 for Business)] を設定しています。
[構成設定] が表示されます。
UEFI で管理できる項目が表示されます。デバイスによっては、この [構成設定] に表示されていても、設定できない項目もありますので、事前に検証するようにしてください。
今回の例では、下記の設定を行います。
UEFI 設定の変更をローカルユーザーに許可する : 構成されていない設定のみ

ブートオプション
外部メディア (USB、SD) からのブート : 無効
ネットワークアダプターからのブート : 無効
[スコープタグ] は今回は既定のまま、次に進みます。
[割り当て] では、事前に作成しておいたグループを選択します。
今回の例では、Surface Pro 10 for Business のデバイスが入る、動的デバイスグループを事前に作成しておきました。
[適用性ルール] は既定の設定のまま、進みます。
[確認および作成] にて、設定値が正しいことを確認し、[作成] を選択します。
これで DFCI の構成プロファイルは完成しました。

<デバイスをテナントに登録する>

今回は、Microsoft Surface を用いるため、下記のサイトから Autopilot 登録を行いました。

具体的には、サポートへ SR を開いて、自身のテナントに登録を依頼するという形です。

[Surface Device Autopilot Registration] を用います。

https://learn.microsoft.com/ja-jp/surface/surface-autopilot-registration-support

タイミングにもよりますが、二日程度で自身のテナントにデバイスが登録されます。

デバイスが自身のテナントに登録されたら動作確認していきましょう。

<実機での動作確認>

それでは、対象のデバイスを Windows Autopilot にて展開します。

今回の記事は Windows Autopilot にフォーカスする記事では無いので、Windows Autopilot の展開フェーズは割愛します。

UEFI 設定画面を開いてみます。

画面上部に [Some settings are managed by your organization.] と表示され、設定可能な箇所がグレーアウトしていることがご確認いただけると思います。

また、[Boot configuration] では、[Advanced options] 項目の、[Enable Boot from USB devices] が [Off] になっていることを確認できます。

[Management] 項目では Managed by: Microsoft Intune になっています。

通常は、On behalf of: の項目のところにテナント名が表示されるのですが、私のテナント名は日本語のため、文字化けして表示されています。

上記で、UEFI が DFCI により制御されていることを確認できました。

それでは、肝心の DFCI 環境からの離脱 (DFCI の初期化) をトライします。

対象のデバイス上で DFCI により UEFI の機能が制御された状態では、デバイスを修理に出す際や別テナントでの再利用の際に問題があるため、DFCI 管理下からの離脱 (DFCI の初期化) が必要になります。

下記の手順で実施します。

Microsoft Intune から対象デバイスをワイプもしくはリタイヤします。
Microsoft Intune の Windows Autopilot デバイス ([デバイス] > [Windows] > [Windows 登録] > [Windows Autopilot] 項目内の [デバイス]) を開きます。
対象デバイスのシリアル番号を検索し、[削除] を選択します。
Microsoft 公式の Microsoft Surface USB-C Travel Hub に有線 LAN (インターネット環境にアクセスできる環境) を接続し、対象デバイスに Microsoft Surface USB-C Travel Hub を接続します。
音量の上げるボタンを押しながら、電源ボタンを押します。
(この際、音量の上げるボタンは電源ボタンを押した後、UEFI 画面が開くまで押し続けます)
UEFI 画面が起動したら、[Management] に移動し、[Configure] のボタンを押します。
[Refresh from Network] を選択します。
下記の画面になるので、少し待ちます。
正常に DFCI の初期化が完了すると下記の画面が表示されますので、[Restart now] を選択して再起動します。
念のため、もう一度、UEFI を開くと、Microsoft Intune Managed では無くなっており、DFCI の初期化が成功したことが分かります。
これで一通りの DFCI の検証が終わりました。

<まとめ>

今回は、Microsoft Surface を用いて、DFCI (Device Firmware Configuration Interface) 機能について取り上げました。

以前取り上げた際に、最後の DFCI の初期化まで取り上げられなかったのですが、今回は無事、DFCI の初期化まで取り上げられて安心しました。

本、DFCI (Device Firmware Configuration Interface) 機能は Microsoft Surface と Microsoft Intune の連携機能でお勧めの機能となっていますので、皆さんも是非本番環境で利用してみてください。より、セキュアに Microsoft Surface を管理することができるようになりますよ！

共有:

いいね: