Microsoft Surface Enterprise Management Mode (SEMM)

Artikel
10/04/2023
Gilt für:

Windows 10, Windows 11

Microsoft Surface Enterprise Management Mode (SEMM) ist ein Feature von Surface-Geräten mit Surface Unified Extensible Firmware Interface (UEFI). Sie können SEMM für Folgendes verwenden:

Sichern und verwalten Sie Firmwareeinstellungen in Ihrem organization.
Bereiten Sie UEFI-Einstellungskonfigurationen vor, und installieren Sie sie auf einem Surface-Gerät.

SEMM verwendet auch ein Zertifikat, um die Konfiguration vor unbefugter Manipulation oder Entfernung zu schützen. Um ein Surface Hub 2S zu Windows 10 Pro oder Windows Enterprise zu migrieren, ist SEMM erforderlich.

Unterstützte Geräte

SEMM ist nur auf Geräten mit Surface UEFI-Firmware verfügbar, einschließlich:

Surface Book (alle Generationen)
Surface Go 4 (nur kommerzielle SKUs)
Surface Go 3 (nur kommerzielle SKUs)
Surface Go 2 (alle SKUs)
Surface Go (alle SKUs)
Surface Hub 2S
Surface Laptop 5 (nur kommerzielle SKUs)
Surface Laptop 4 (nur kommerzielle SKUs)
Surface Laptop 3 (nur Intel-Prozessoren)
Surface Laptop 2 (alle SKUs)
Surface Laptop (alle SKUs)
Surface Laptop Go 3 (nur kommerzielle SKUs)
Surface Laptop Go 2 (nur kommerzielle SKUs)
Surface Laptop Go (alle SKUs)
Surface Laptop SE (alle SKUs)
Surface Laptop Studio 2 (nur kommerzielle SKUs)
Surface Laptop Studio (nur kommerzielle SKUs)
Surface Pro 9 (nur kommerzielle SKUs)
Surface Pro 9 mit 5G (nur kommerzielle SKUs)
Surface Pro 8 (nur kommerzielle SKUs)
Surface Pro 7+ (nur kommerzielle SKUs)
Surface Pro 7 (alle SKUs)
Surface Pro 6 (alle SKUs)
Surface Pro 5. Generation (alle SKUs)
Surface Pro 4 (alle SKUs)
Surface Pro X (alle SKUs)
Surface Studio 2+ (nur kommerzielle SKUs)
Surface Studio 2 (alle SKUs)
Surface Studio (alle SKUs)

Tipp

Kommerzielle SKUs (auch bekannt als Surface for Business) werden Windows 10 Pro/Enterprise oder Windows 11 Pro/Enterprise ausgeführt. Consumer-SKUs werden Windows 10/Windows 11 Home ausgeführt. Weitere Informationen finden Sie unter Anzeigen Ihrer Systeminformationen.

Erste Schritte

Wenn Surface-Geräte von SEMM konfiguriert und mit dem SEMM-Zertifikat geschützt werden, gelten sie als bei SEMM registriert . Wenn das SEMM-Zertifikat entfernt wird und die Steuerung der UEFI-Einstellungen an den Benutzer des Geräts zurückgegeben wird, gilt das Surface-Gerät als nicht registriert in SEMM.

Es gibt zwei administrative Optionen, mit denen Sie SEMM verwalten und Surface-Geräte registrieren können:

Das eigenständige SEMM-Tool Microsoft Surface UEFI Configurator wird in diesem Artikel beschrieben.
Integration in Microsoft Endpoint Configuration Manager. Weitere Informationen finden Sie unter Verwenden von Microsoft Endpoint Configuration Manager zum Verwalten von Geräten mit SEMM.

Microsoft Surface UEFI-Konfigurator

Der primäre Arbeitsbereich von SEMM ist Microsoft Surface UEFI Configurator, wie in Abbildung 1 dargestellt.

Sie können Microsoft Surface UEFI Configurator für Folgendes verwenden:

Erstellen von Windows Installer-Paketen (.msi).
Verwenden Sie WinPE-Images, um SEMM auf einem Surface-Gerät zu registrieren, zu konfigurieren und die Registrierung aufzuheben.

Diese Pakete enthalten eine Konfigurationsdatei, die die UEFI-Einstellungen angibt. SEMM-Pakete enthalten auch ein Zertifikat, das in der Firmware installiert und gespeichert ist und verwendet wird, um die Signatur von Konfigurationsdateien zu überprüfen, bevor UEFI-Einstellungen angewendet werden.

Tipp

Sie können jetzt Surface UEFI Configurator und SEMM verwenden, um Ports an Surface Dock 2 oder Surface Thunderbolt 4 Dock zu verwalten. Weitere Informationen finden Sie unter Schützen von Surface Dock-Anschlüssen mit SEMM.

Microsoft Surface UEFI Configurator.

Abbildung 1. Microsoft Surface UEFI-Konfigurator

Sie können das Microsoft Surface UEFI Configurator-Tool in drei Modi verwenden:

Surface UEFI-Konfigurationspaket. Verwenden Sie diesen Modus, um ein Surface UEFI-Konfigurationspaket zu erstellen, um ein Surface-Gerät bei SEMM zu registrieren und UEFI-Einstellungen auf registrierten Geräten zu konfigurieren.
Surface UEFI-Zurücksetzungspaket. Verwenden Sie diesen Modus, um die Registrierung eines Surface-Geräts bei SEMM aufzuheben.
Surface UEFI-Wiederherstellungsanforderung. Verwenden Sie diesen Modus, um auf eine Wiederherstellungsanforderung zu reagieren, um die Registrierung eines Surface-Geräts bei SEMM aufzuheben, wenn ein Vorgang zum Zurücksetzen des Pakets nicht erfolgreich war.

Microsoft Surface UEFI Configurator herunterladen

Sie können Microsoft Surface UEFI Configurator von der Seite Surface Tools for IT im Microsoft Download Center herunterladen.

Laden Sie für Intel/AMD-Geräte folgendes herunter:SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
Download für ARM-Geräte: SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

Konfigurationspaket

Surface UEFI-Konfigurationspakete sind der primäre Mechanismus zum Implementieren und Verwalten von SEMM auf Surface-Geräten. Diese Pakete enthalten eine Konfigurationsdatei und eine Zertifikatdatei, wie in Abbildung 2 dargestellt. Die Konfigurationsdatei enthält UEFI-Einstellungen, die beim Erstellen des Pakets in Microsoft Surface UEFI Configurator angegeben werden. Wenn ein Konfigurationspaket zum ersten Mal auf einem Surface-Gerät ausgeführt wird, das noch nicht bei SEMM registriert ist, stellt es die Zertifikatdatei in der Firmware des Geräts bereit und registriert das Gerät in SEMM. Wenn Sie ein Gerät bei SEMM registrieren und bevor das Zertifikat gespeichert und die Registrierung abgeschlossen ist, werden Sie aufgefordert, den Vorgang zu bestätigen, indem Sie die letzten beiden Ziffern des SEMM-Zertifikatfingerabdrucks angeben. Diese Bestätigung erfordert, dass ein Benutzer während der Registrierung physisch auf dem Gerät anwesend ist, um die Bestätigung auszuführen.

Sichern sie ein SEMM-Konfigurationspaket mit einem Zertifikat.

Abbildung 2. Schützen eines SEMM-Konfigurationspakets mit einem Zertifikat

Weitere Informationen zu den Anforderungen für das SEMM-Zertifikat finden Sie weiter unten in diesem Artikel im Abschnitt Zertifikatanforderungen für den Surface-Unternehmensverwaltungsmodus .

Tipp

Sie haben die Möglichkeit, ein UEFI-Kennwort mit SEMM zu verlangen. Wenn Sie dies tun, ist das Kennwort erforderlich, um die Seiten Sicherheit, Geräte, Startkonfiguration und Unternehmensverwaltung von Surface UEFI anzuzeigen.

Nachdem ein Gerät in SEMM registriert wurde, wird die Konfigurationsdatei gelesen, und die in der Datei angegebenen Einstellungen werden auf UEFI angewendet. Wenn Sie ein Konfigurationspaket auf einem Gerät ausführen, das bereits bei SEMM registriert ist, wird die Signatur der Konfigurationsdatei anhand des Zertifikats überprüft, das in der Gerätefirmware gespeichert ist. Wenn die Signatur nicht übereinstimmt, werden keine Änderungen auf das Gerät angewendet.

Aktivieren oder Deaktivieren von Geräten in Surface UEFI mit SEMM

In der folgenden Liste sind alle verfügbaren Geräte aufgeführt, die Sie in SEMM verwalten können:

Usb-Anschluss andocken
On-Board-Audio
Digitale Grafikverarbeitungseinheit
Type Cover
Micro SD Karte
Kamera vorne
Rückfahrkamera
Infrarotkamera (für Windows Hello)
Nur Bluetooth
Drahtloses Netzwerk und Bluetooth
Long-Term Evolution (LTE)
Diskrete GPU (dGPU)
Bordmikrofon
MAC-Adressemulation
Kabelgebundenes LAN
Near-Field Communication (NFC)

Hinweis

Auf der Seite UEFI-Geräte können die integrierten Geräte je nach Gerät oder Unternehmensumgebung variieren. Beispielsweise wird die Seite UEFI-Geräte auf Surface Pro X nicht unterstützt. LTE wird nur auf GERÄTEN mit LTE-Ausstattung angezeigt.

Konfigurieren erweiterter Einstellungen mit SEMM

Tabelle 1: Erweiterte Einstellungen

Einstellung	Beschreibung
IPv6 für PXE-Start	Ermöglicht ihnen die Verwaltung der IPv6-Unterstützung für den PXE-Start. Wenn Sie diese Einstellung nicht konfigurieren, ist die IPv6-Unterstützung für den PXE-Start aktiviert.
Alternativer Start	Ermöglicht es Ihnen, die Verwendung einer alternativen Startreihenfolge zu verwalten, um direkt auf einem USB- oder Ethernet-Gerät zu starten, indem Sie während des Starts sowohl die Leiser-Taste als auch die Ein/Aus-Taste drücken. Wenn Sie diese Einstellung nicht konfigurieren, ist der alternative Start aktiviert.
Sperre дер Startreihenfolge	Ermöglicht es Ihnen, die Startreihenfolge zu sperren, um Änderungen zu verhindern. Wenn Sie diese Einstellung nicht konfigurieren, ist die Startreihenfolgesperre deaktiviert.
USB-Start	Ermöglicht ihnen die Verwaltung des Startvorgangs auf USB-Geräten. Wenn Sie diese Einstellung nicht konfigurieren, ist DER USB-Start aktiviert.
Netzwerkstapel	Ermöglicht ihnen die Verwaltung von Netzwerkstapel-Starteinstellungen. Wenn Sie diese Einstellung nicht konfigurieren, ist die Möglichkeit zum Verwalten der Starteinstellungen des Netzwerkstapels aktiviert.
Automatisches Einschalten	Ermöglicht ihnen die Verwaltung der Starteinstellungen für das automatische Einschalten. Wenn Sie diese Einstellung nicht konfigurieren, ist auto power-on aktiviert.
Gleichzeitiges Multithreading (SMT)	Ermöglicht ihnen die Verwaltung von gleichzeitigem Multithreading (SMT), um Hyperthreading zu aktivieren oder zu deaktivieren. Wenn Sie diese Einstellung nicht konfigurieren, ist SMT aktiviert.
Aktivieren des Akkulimits	Ermöglicht ihnen die Verwaltung der Akkugrenzfunktionen. Wenn Sie diese Einstellung nicht konfigurieren, ist das Akkulimit aktiviert.
Sicherheit	Zeigt die Seite Surface UEFI-Sicherheit an. Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite Sicherheit angezeigt.
Geräte	Zeigt die Seite Surface UEFI-Geräte an . Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite Geräte angezeigt.
Start	Zeigt die Surface UEFI-Startseite an. Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite Start angezeigt.
DateTime	Zeigt die Surface UEFI DateTime-Seite an. Wenn Sie diese Einstellung nicht konfigurieren, wird die DateTime-Seite angezeigt.
EnableOSMigration	Ermöglicht die Migration von Surface Hub 2S von Windows 10 Team zu Windows 10/11 Pro oder Enterprise. Wenn Sie diese Einstellung nicht konfigurieren, können Surface Hub 2S-Geräte nur das Windows 10 Team Betriebssystem ausführen. Hinweis: Dualer Start zwischen Windows 10 Team und Windows 10/11 Pro/Enterprise ist auf Surface Hub 2S nicht verfügbar.
Geschützter Kern	Ermöglicht ihnen die Verwaltung von Secured Core-Funktionen. Wenn Sie diese Einstellung nicht konfigurieren, ist die Secured Core-Funktionalität auf unterstützten Geräten aktiviert.
Wake-on-LAN	Ermöglicht ihnen die Verwaltung der Wake-on-LAN-Funktionalität. Wenn Sie diese Einstellung nicht konfigurieren, ist Wake-on-LAN auf unterstützten Geräten aktiviert.
Wake-On-Power	Ermöglicht ihnen die Verwaltung von Wake-on-Power-Funktionen. Wenn Sie diese Einstellung nicht konfigurieren, ist Wake-on-Power auf unterstützten Geräten deaktiviert.

Tipp

Wenn Sie ein SEMM-Konfigurationspaket erstellen, werden zwei Zeichen auf der Seite Erfolgreich angezeigt, wie in Abbildung 3 dargestellt.

Anzeige des Zertifikatfingerabdrucks.

Abbildung 3. Anzeige der letzten beiden Zeichen des Zertifikatfingerabdrucks auf der Seite Erfolgreich

Diese Zeichen sind die letzten beiden Zeichen des Zertifikatfingerabdrucks und sollten aufgeschrieben oder aufgezeichnet werden. Die Zeichen sind erforderlich, um die Registrierung in SEMM auf einem Surface-Gerät zu bestätigen, wie in Abbildung 4 dargestellt.

Registrierungsbestätigung in SEMM.

Abbildung 4. Registrierungsbestätigung in SEMM mit dem Fingerabdruck des SEMM-Zertifikats

Tipp

Administratoren mit Zugriff auf die Zertifikatdatei (PFX) können den Fingerabdruck jederzeit lesen, indem sie die PFX-Datei in CertMgr öffnen. So zeigen Sie den Fingerabdruck mit CertMgr an:

Wählen Sie die PFX-Datei aus, und halten Sie sie gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Öffnen aus.
Erweitern Sie im Navigationsbereich den Ordner.
Wählen Sie Zertifikate aus.
Wählen Sie im bereich Standard Ihr Zertifikat aus, und halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Öffnen aus.
Wählen Sie die Registerkarte Details aus.
Im Dropdownmenü Anzeigen müssen Alle oder Nur Eigenschaften ausgewählt werden.
Wählen Sie das Feld Fingerabdruck aus.

Um ein Surface-Gerät in SEMM zu registrieren oder die UEFI-Konfiguration aus einem Konfigurationspaket anzuwenden, führen Sie die .msi Datei mit Administratorrechten auf dem vorgesehenen Surface-Gerät aus. Sie können Anwendungsbereitstellungs- oder Betriebssystembereitstellungstechnologien wie Microsoft Endpoint Configuration Manager oder das Microsoft Deployment Toolkit verwenden. Wenn Sie ein Gerät bei SEMM registrieren, müssen Sie physisch anwesend sein, um die Registrierung auf dem Gerät zu bestätigen. Wenn Sie eine Konfiguration auf Geräte anwenden, die bereits bei SEMM registriert sind, ist keine Benutzerinteraktion erforderlich.

Eine schrittweise exemplarische Vorgehensweise zum Registrieren eines Surface-Geräts in SEMM oder zum Anwenden einer Surface UEFI-Konfiguration mit SEMM finden Sie unter Registrieren und Konfigurieren von Surface-Geräten mit SEMM.

Paket zurücksetzen

Ein Surface UEFI-Zurücksetzungspaket wird verwendet, um nur eine Aufgabe auszuführen – das Aufheben der Registrierung eines Surface-Geräts bei SEMM. Das Zurücksetzungspaket enthält signierte Anweisungen zum Entfernen des SEMM-Zertifikats aus der Firmware des Geräts und zum Zurücksetzen der UEFI-Einstellungen auf die werksseitigen Standardeinstellungen. Wie ein Surface UEFI-Konfigurationspaket muss auch ein Zurücksetzungspaket mit dem gleichen SEMM-Zertifikat signiert werden, das auf dem Surface-Gerät bereitgestellt wird. Wenn Sie ein SEMM-Zurücksetzungspaket erstellen, müssen Sie die Seriennummer des Surface-Geräts angeben, das Sie zurücksetzen möchten. SEMM-Zurücksetzungspakete sind nicht universell, sie sind spezifisch für ein Gerät.

Wiederherstellungsanforderung

In einigen Szenarien kann es unmöglich sein, ein Surface UEFI-Zurücksetzungspaket zu verwenden. (Beispiel: Windows kann auf dem Surface-Gerät nicht mehr verwendet werden.) In diesen Szenarien können Sie die Registrierung des Surface-Geräts bei SEMM über die Unternehmensverwaltungsseite von Surface UEFI (siehe Abbildung 5) mit einem Wiederherstellungsanforderungsvorgang aufheben.

Initiieren Sie eine SEMM-Wiederherstellungsanforderung.

Abbildung 5. Initiieren einer SEMM-Wiederherstellungsanforderung auf der Seite "Unternehmensverwaltung"

Wenn Sie den Prozess auf der Seite Unternehmensverwaltung verwenden, um SEMM auf einem Surface-Gerät zurückzusetzen, erhalten Sie eine Zurücksetzungsanforderung. Diese Zurücksetzungsanforderung kann als Datei auf einem USB-Laufwerk gespeichert, als Text kopiert oder als QR-Code mit einem mobilen Gerät gelesen werden, um einfach per E-Mail oder Nachricht gesendet zu werden. Verwenden Sie die Option Microsoft Surface UEFI Configurator Reset Request, um eine Datei für die Zurücksetzungsanforderung zu laden oder den Text für die Anforderung zurücksetzen oder den QR-Code einzugeben. Microsoft Surface UEFI Configurator generiert einen Prüfcode, der auf dem Surface-Gerät eingegeben werden kann. Wenn Sie den Code auf dem Surface-Gerät eingeben und Neu starten auswählen, wird die Registrierung des Geräts bei SEMM aufgehoben.

Hinweis

Eine Zurücksetzungsanforderung läuft zwei Stunden nach der Erstellung ab.

Eine schrittweise exemplarische Vorgehensweise zum Aufheben der Registrierung von Surface-Geräten bei SEMM finden Sie unter Aufheben der Registrierung von Surface-Geräten bei SEMM.

Zertifikatanforderungen für den Surface-Verwaltungsmodus

Wenn Sie SEMM mit Microsoft Surface UEFI Configurator verwenden und UEFI-Einstellungen anwenden möchten, ist ein Zertifikat erforderlich, um die Signatur von Konfigurationsdateien zu überprüfen. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts bei SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die UEFI-Einstellungen zu ändern.

Hinweis

Um Änderungen an den SEMM- oder Surface UEFI-Einstellungen auf registrierten Surface-Geräten vorzunehmen, ist das SEMM-Zertifikat erforderlich. Wenn das SEMM-Zertifikat beschädigt ist oder verloren geht, kann SEMM nicht entfernt oder zurückgesetzt werden. Verwalten Ihres SEMM-Zertifikats entsprechend mit einer geeigneten Lösung für Sicherung und Wiederherstellung

Pakete, die mit dem Microsoft Surface UEFI Configurator-Tool erstellt wurden, werden mit einem Zertifikat signiert. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts in SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die Einstellungen von UEFI zu ändern.

Empfohlene Zertifikateinstellungen

Die folgenden Einstellungen werden für das SEMM-Zertifikat empfohlen:

Schlüsselalgorithmus – RSA
Schlüssellänge – 2048
Hashalgorithmus – SHA-256
Typ : SSL-Serverauthentifizierung
Schlüsselverwendung – Digitale Signatur, Schlüsselenchiffrierung
Anbieter – Microsoft Enhanced RSA and AES Cryptographic Provider
Ablaufdatum – 15 Monate nach Erstellung des Zertifikats
Schlüsselexportrichtlinie – Exportierbar

Es wird auch empfohlen, das SEMM-Zertifikat in einer zweistufigen PKI-Architektur (Public Key Infrastructure) zu authentifizieren, bei der die Zwischenzertifizierungsstelle für SEMM dediziert ist und die Zertifikatsperrung ermöglicht. Weitere Informationen zu einer PKI-Konfiguration mit zwei Ebenen finden Sie im Testumgebungshandbuch: Bereitstellen einer AD CS Two-Tier PKI-Hierarchie.

Selbstsigniertes Zertifikat

Sie können das folgende PowerShell-Beispielskript verwenden, um ein selbstsigniertes Zertifikat für die Verwendung in Proof-of-Concept-Szenarien zu erstellen. Um dieses Skript zu verwenden, kopieren Sie den folgenden Text in Editor, und speichern Sie die Datei dann als PowerShell-Skript (.ps1).

Hinweis

Dieses Skript erstellt ein Zertifikat mit dem Kennwort 12345678. Das von diesem Skript generierte Zertifikat wird für Produktionsumgebungen nicht empfohlen.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Wichtig

Für die Verwendung mit SEMM und Microsoft Surface UEFI Configurator muss das Zertifikat mit dem privaten Schlüssel und mit Kennwortschutz exportiert werden. Microsoft Surface UEFI Configurator fordert Sie auf, die SEMM-Zertifikatdatei (PFX) und das Zertifikatkennwort auszuwählen.

So erstellen Sie ein selbstsigniertes Zertifikat:

Erstellen Sie auf Laufwerk C: den Ordner, in dem Sie das Skript speichern. Beispiel: C:\SEMM.
Kopieren Sie das Beispielskript in Editor (oder einen entsprechenden Text-Editor), und speichern Sie die Datei dann als PowerShell-Skript (.ps1).
Melden Sie sich mit Administratoranmeldeinformationen bei Ihrem Computer an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten.
Stellen Sie sicher, dass Ihre Berechtigungen so festgelegt sind, dass Skripts ausgeführt werden können. Standardmäßig wird die Ausführung von Skripts blockiert, es sei denn, Sie ändern die Ausführungsrichtlinie. Weitere Informationen finden Sie unter Informationen zu Ausführungsrichtlinien.
Geben Sie an der Eingabeaufforderung den vollständigen Pfad des Skripts ein, und drücken Sie dann die EINGABETASTE. Das Skript erstellt ein Demozertifikat mit dem Namen TempOwner.pfx.

Alternativ können Sie ihr eigenes selbstsigniertes Zertifikat mithilfe von PowerShell erstellen. Weitere Informationen finden Sie unter New-SelfSignedCertificate.

Hinweis

Für Organisationen, die einen Offlinestamm in ihrer PKI-Infrastruktur verwenden, muss Microsoft Surface UEFI Configurator in einer Umgebung ausgeführt werden, die mit der Stammzertifizierungsstelle verbunden ist, um das SEMM-Zertifikat zu authentifizieren. Die von Microsoft Surface UEFI Configurator generierten Pakete können als Dateien übertragen werden, sodass sie außerhalb der Offline-Netzwerkumgebung mit Wechselspeicher wie einem USB-Stick übertragen werden können.

Häufig gestellte Fragen zur Verwaltung von Zertifikaten

Die empfohlene Mindestlänge beträgt 15 Monate. Sie können ein Zertifikat verwenden, das in weniger als 15 Monaten abläuft, oder ein Zertifikat verwenden, das länger als 15 Monate abläuft.

Hinweis

Wenn ein Zertifikat abläuft, wird es nicht automatisch verlängert.

Wirkt sich ein abgelaufenes Zertifikat auf die Funktionalität von mit SEMM registrierten Geräten aus?

Nein, ein Zertifikat wirkt sich nur auf IT-Administratorverwaltungsaufgaben in SEMM aus und hat keine Auswirkungen auf die Gerätefunktionalität, wenn es abläuft.

Müssen das SEMM-Paket und das Semm-Zertifikat auf allen Computern aktualisiert werden, auf denen es installiert ist?

Wenn die SEMM-Zurücksetzung oder -Wiederherstellung funktioniert, muss das Zertifikat gültig und nicht abgelaufen sein.

Können Pakete zum Massenzurücksetzen für jede Oberfläche erstellt werden, die wir bestellen? Kann eine erstellt werden, die alle Computer in unserer Umgebung zurücksetzt?

Die PowerShell-Beispiele, die ein Konfigurationspaket für einen bestimmten Gerätetyp erstellen, können auch verwendet werden, um ein Zurücksetzungspaket zu erstellen, das seriennummerunabhängig ist. Wenn das Zertifikat noch gültig ist, können Sie mithilfe von PowerShell ein Zurücksetzungspaket erstellen, um SEMM zurückzusetzen.