Verwalten von Surface UEFI-Einstellungen

Surface-PC-Geräte sind so konzipiert, dass sie ein einzigartiges Unified Extensible Firmware Interface (UEFI) verwenden, das von Microsoft speziell für diese Geräte entwickelt wurde. Surface UEFI-Einstellungen bieten die Möglichkeit, integrierte Geräte und Komponenten zu aktivieren oder zu deaktivieren, UEFI-Einstellungen vor Änderungen zu schützen und die Starteinstellungen des Surface-Geräts anzupassen.

Unterstützte Produkte

Die UEFI-Verwaltung wird für Folgendes unterstützt:

  • Surface Pro 4, Surface Pro (5. Generation), Surface Pro 6, Surface Pro 7, Surface Pro 7 und höher (nur kommerzielle SKUs), Surface Pro 8 (nur kommerzielle SKUs), Surface Pro 9 & Surface Pro 9 mit 5G (nur kommerzielle SKUs), Surface Pro X
  • Surface Laptop (1. Generation), Surface Laptop 2, Surface Laptop 3 (nur Intel-Prozessoren), Surface Laptop Go, Surface Laptop 4 (nur kommerzielle SKUs), Surface Laptop 5 (nur kommerzielle SKUs), Surface Laptop SE, Surface Laptop Go 2 (nur kommerzielle SKUs), Surface Laptop Go 3 (nur kommerzielle SKUs)
  • Surface Studio (1. Generation), Surface Studio 2, Surface Studio 2+
  • Surface Book (alle Generationen)
  • Surface Laptop Studio (alle Generationen, nur kommerzielle SKUs)
  • Surface Go, Surface Go 21, Surface Go 3 (nur kommerzielle SKUs), Surface Go 4 (nur kommerzielle SKUs)

Tipp

Kommerzielle SKUs (auch bekannt als Surface for Business) werden Windows 10 Pro/Enterprise oder Windows 11 Pro/Enterprise ausgeführt. Consumer-SKUs werden Windows 10/Windows 11 Home ausgeführt. In UEFI sind kommerzielle SKUs die einzigen Modelle, die über die Geräteseite und die Verwaltungsseite verfügen. Weitere Informationen finden Sie unter Anzeigen Ihrer Systeminformationen.

Unterstützung für die cloudbasierte Verwaltung

Mit dfci-Profilen (Device Firmware Configuration Interface), die in Microsoft Intune integriert sind (jetzt in der öffentlichen Vorschau verfügbar), erweitert die Surface UEFI-Verwaltung den modernen Verwaltungsstapel auf die UEFI-Hardwareebene. DFCI unterstützt die Zero-Touch-Bereitstellung, beseitigt BIOS-Kennwörter, ermöglicht die Steuerung von Sicherheitseinstellungen – einschließlich Startoptionen und integrierten Peripheriegeräten – und legt die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft.

DFCI ist derzeit verfügbar für Surface Studio 2+, Surface Pro 9, Surface Pro 9 mit 5G, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Studio, Surface Book 3, Surface Laptop SE, Surface Laptop Go 2, Surface Laptop Go, Surface Laptop Go, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X und Surface Go 3. Weitere Informationen finden Sie unter Verwalten von DFCI auf Surface-Geräten.

Öffnen des Surface UEFI-Menüs

So passen Sie die UEFI-Einstellungen während des Systemstarts an

  1. Fahren Sie Ihr Surface herunter, und warten Sie etwa 10 Sekunden, um sicherzustellen, dass es ausgeschaltet ist.
  2. Halten Sie die Lauter-Taste gedrückt, und drücken Sie gleichzeitig die Ein/Aus-Taste.
  3. Wenn das Microsoft- oder Surface-Logo auf dem Bildschirm angezeigt wird, halten Sie die Lauter-Taste so lange gedrückt, bis der UEFI-Bildschirm angezeigt wird.

UEFI-PC-Informationsseite

Die Pc-Informationsseite enthält ausführliche Informationen zu Ihrem Surface-Gerät:

  • Modell: Das Modell Ihres Surface-Geräts, z. B. Surface Laptop Studio 2 oder Surface Pro 9, wird hier angezeigt. Die genaue Konfiguration Ihres Geräts (z. B. Prozessor, Datenträgergröße oder Arbeitsspeichergröße) wird nicht angezeigt.

  • System-UUID : Diese universally Unique Identification-Nummer ist spezifisch für Ihr Gerät und wird verwendet, um das Gerät während der Bereitstellung oder Verwaltung zu identifizieren.

  • Seriennummer : Diese Nummer identifiziert dieses spezifische Surface-Gerät für Assettagging- und Supportszenarien.

  • Asset-Tag : Das Asset-Tag wird dem Surface-Gerät mit dem Asset Tag Tool zugewiesen.

Sie finden auch ausführliche Informationen zur Firmware Ihres Surface-Geräts. Surface-Geräte verfügen über mehrere interne Komponenten, die jeweils unterschiedliche Versionen der Firmware ausführen. Die Firmwareversionen für diese Komponenten werden auf der Pc-Informationsseite angezeigt. Die Komponenten umfassen folgendes und können je nach Gerät variieren:

  • System-UEFI
  • SMF-Controller
  • SAM-Controller
  • Intel Management-Modul
  • PD-Controller
  • Tastaturcontroller
  • Trackpad-Controller
  • Touch-Firmware

Systeminformationen und Firmwareversionsinformationen.

Abbildung 1. Systeminformationen und Firmwareversionsinformationen

Aktuelle Informationen zur neuesten Firmware für Ihr Surface-Gerät finden Sie im Surface-Updateverlauf für Ihr Gerät.

Seite "UEFI-Sicherheit"

Konfigurieren Sie die Surface UEFI-Sicherheitseinstellungen.

Abbildung 2. Konfigurieren von Surface UEFI-Sicherheitseinstellungen

Auf der Seite Sicherheit können Sie ein Kennwort festlegen, um UEFI-Einstellungen zu schützen. Dieses Kennwort muss eingegeben werden, wenn Sie das Surface-Gerät mit UEFI starten. Das Kennwort kann die folgenden Zeichen enthalten (siehe Abbildung 3):

  • Großbuchstaben: A-Z

  • Kleinbuchstaben : a-z

  • Zahlen: 1-0

  • Sonderzeichen: !@#$%^&*()?<>{}[]-_=+|.,;:''"

Das Kennwort muss mindestens sechs Zeichen lang sein, wobei die Groß-/Kleinschreibung beachtet wird.

Fügen Sie ein Kennwort hinzu, um die Surface UEFI-Einstellungen zu schützen.

Abbildung 3. Hinzufügen eines Kennworts zum Schutz der Surface UEFI-Einstellungen

Auf der Seite Sicherheit können Sie auch die Konfiguration des sicheren Starts auf Ihrem Surface-Gerät ändern. Die Technologie für den sicheren Start verhindert, dass nicht autorisierter Startcode auf Ihrem Surface Gerät gestartet werden kann, und sie schützt Sie vor Schadsoftwareinfektionen durch Bootkits und Rootkits. Sie können den sicheren Start deaktivieren, damit Ihr Surface-Gerät Betriebssysteme von Drittanbietern oder startbare Medien starten kann. Sie können den sicheren Start auch für die Verwendung mit Zertifikaten von Drittanbietern konfigurieren, wie in Abbildung 4 dargestellt. Weitere Informationen finden Sie unter Sicherer Start.

Konfigurieren Sie den sicheren Start.

Abbildung 4. Konfigurieren des sicheren Starts

Abhängig von Ihrem Gerät sehen Sie möglicherweise auch, ob Ihr TPM aktiviert oder deaktiviert ist. Wenn die Einstellung TPM aktivieren nicht angezeigt wird, öffnen Sie tpm.msc in Windows, um die status zu überprüfen, wie in Abbildung 5 dargestellt. Das TPM wird verwendet, um die Datenverschlüsselung Ihres Geräts mit BitLocker zu authentifizieren. Weitere Informationen finden Sie unter Übersicht über BitLocker.

TPM-Konsole.

Abbildung 5. TPM-Konsole

Seite "UEFI-Geräte"

Auf der Seite Geräte können Sie bestimmte Komponenten auf berechtigten Geräten aktivieren oder deaktivieren. Komponenten bestehen aus folgenden Komponenten:

  • Usb-Anschluss andocken

  • MicroSD oder SD-Kartensteckplatz

  • Rückwärtige Kamera

  • Frontkamera

  • Infrarotkamera

  • WLAN und Bluetooth

  • Integriertes Audio (Lautsprecher und Mikrofon)

Jedes Gerät verfügt über eine Schiebereglerschaltfläche, um in die Position Ein (aktiviert) oder Aus (deaktiviert) zu wechseln, wie in Abbildung 6 dargestellt.

Aktivieren und deaktivieren Sie bestimmte Geräte.

Abbildung 6. Aktivieren bzw. Deaktivieren bestimmter Geräte

UEFI-Startkonfigurationsseite

Auf der Seite Startkonfiguration können Sie die Reihenfolge Ihrer Startgeräte ändern sowie den Start der folgenden Geräte aktivieren oder deaktivieren:

  • Windows-Start-Manager

  • USB-Speicher

  • PXE-Netzwerk

  • Interner Speicher

Sie können sofort von einem bestimmten Gerät starten oder über den Touchscreen auf dem Eintrag dieses Geräts in der Liste nach links wischen. Sie können auch sofort mit einem USB-Gerät oder USB-Ethernet-Adapter starten, wenn das Surface-Gerät durch gleichzeitiges Drücken der Leiser-Taste und der Ein/Aus-Taste ausgeschaltet wird.

Damit die angegebene Startreihenfolge wirksam wird, müssen Sie die Option Alternative Startsequenz aktivieren auf Ein festlegen, wie in Abbildung 7 dargestellt.

Konfigurieren Sie die Startreihenfolge für Ihr Surface-Gerät.

Abbildung 7. Konfigurieren der Startreihenfolge für Ihr Surface-Gerät

Sie können die IPv6-Unterstützung für PXE auch mit der Option IPv6 für PXE-Netzwerkstart aktivieren aktivieren und deaktivieren, z. B. wenn Sie eine Windows-Bereitstellung mit PXE durchführen, bei der der PXE-Server nur für IPv4 konfiguriert ist.

Seite "UEFI-Verwaltung"

Auf der Seite Verwaltung können Sie die Verwendung der Zero Touch UEFI-Verwaltung und anderer Features auf berechtigten Geräten verwalten.

Verwalten sie den Zugriff auf die Zero Touch UEFI-Verwaltung und andere Features.

Abbildung 8. Verwalten des Zugriffs auf die Zero Touch UEFI-Verwaltung und andere Features

Mit der Zero Touch-UEFI-Verwaltung können Sie UEFI-Einstellungen mithilfe eines Geräteprofils in Intune mit dem Namen Device Firmware Configuration Interface (DFCI) remote verwalten. Wenn Sie diese Einstellung nicht konfigurieren, wird die Möglichkeit zum Verwalten berechtigter Geräte mit DFCI auf Bereit festgelegt. Um DFCI zu verhindern, wählen Sie Abmelden aus.

UEFI-Seite "Beenden"

Verwenden Sie die Schaltfläche Jetzt neu starten auf der Seite Beenden , um die UEFI-Einstellungen zu beenden, wie in Abbildung 9 dargestellt.

Beenden Sie Surface UEFI, und starten Sie das Gerät neu.

Abbildung 9. Klicken Sie auf „Jetzt neu starten“, um Surface UEFI zu beenden und das Gerät neu zu starten.

Surface UEFI-Startbildschirme

Wenn Sie die Surface-Gerätefirmware entweder mit Windows Update oder manueller Installation aktualisieren, werden die Updates nicht sofort auf das Gerät angewendet, sondern während des nächsten Neustartzyklus. Weitere Informationen zum Surface-Firmwareupdateprozess finden Sie unter Verwalten und Bereitstellen von Surface-Treiber- und Firmwareupdates. Der Fortschritt des Firmwareupdates wird auf einem Bildschirm mit Statusanzeigen in unterschiedlichen Farben angezeigt, um die Firmware für jede Komponente anzugeben. Die Statusanzeige jeder Komponente ist in den Abbildungen 9 bis 18 dargestellt.

Surface UEFI-Firmwareupdate mit blauer Statusanzeige.

Abbildung 10. Surface-UEFI-Firmwareupdate mit einer blauen Statusanzeige

System Embedded Controller-Firmware mit grüner Statusanzeige.

Abbildung 11. System Embedded Controller-Firmwareupdate mit einer grünen Statusanzeige

SAM Controller-Firmwareupdate mit orangefarbener Statusanzeige.

Abbildung 12 SAM-Controller-Firmwareupdate mit einer orangefarbenen Statusanzeige

Intel Management Engine Firmware mit roter Statusanzeige.

Abbildung 13 Intel Management Engine-Firmwareupdate mit einer roten Statusanzeige

Surface Touch-Firmware mit grauer Statusanzeige.

Abbildung 14 Surface Touch-Firmwareupdate mit einer grauen Statusanzeige

Surface KIP-Firmware mit hellgrüner Statusanzeige.

Abbildung 15. Das Surface KIP-Firmwareupdate zeigt eine hellgrüne Statusanzeige an

Surface ISH-Firmware mit rosa Statusanzeige.

Abbildung 16 Das Surface ISH-Firmwareupdate zeigt eine hellrosa Statusanzeige an

Surface Trackpad-Firmware mit grauer Statusanzeige.

Abbildung 17. Das Surface Trackpad-Firmwareupdate zeigt eine rosa Statusanzeige an

Surface TCON-Firmware mit hellgrauer Statusanzeige.

Abbildung 18. Das Surface TCON-Firmwareupdate zeigt eine hellgraue Statusanzeige an.

Surface TPM-Firmware mit hellvioletter Statusanzeige.

Abbildung 19. Das Surface TPM-Firmwareupdate zeigt eine violette Statusanzeige an.

Hinweis

Eine zusätzliche Warnmeldung, die angibt, dass sicherer Start deaktiviert ist, wird angezeigt, wie in Abbildung 19 dargestellt.

Surface-Startbildschirm, der angibt, dass der sichere Start deaktiviert wurde.

Abbildung 20. Surface-Startbildschirm mit dem Hinweis, dass die Option "Sicherer Start" in den Surface UEFI-Einstellungen deaktiviert wurde.

Verweise

  1. Surface Go und Surface Go 2 verwenden UEFI eines Drittanbieters und unterstützen DFCI nicht. DFCI ist derzeit verfügbar für Surface Studio 2+, Surface Pro 9 & Surface Pro 9 mit 5G, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Studio, Surface Book 3, Surface Laptop SE, Surface Laptop Go 2, Surface Laptop Go, Surface Laptop Go, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X und Surface Go 3.