Konfigurieren von UEFI-Einstellungen für Surface-Geräte

  • Artikel
  • Gilt für::
    Windows 11, Windows 10

In diesem Artikel wird beschrieben, wie Sie UEFI-Einstellungen (Unified Extensible Firmware Interface) für Surface-Geräte schützen und verwalten, die in Ihrem organization mit Surface UEFI Configurator und Surface Enterprise Management Mode (SEMM) bereitgestellt werden. Der Surface UEFI Configurator, der nicht mehr als separater Download verfügbar ist, ist jetzt im neuen Surface IT Toolkit enthalten.

UEFI-Einstellungen für SEMM-verwaltete Surface-Geräte

Mit SEMM können IT-Administratoren Hardwarekomponenten auf Firmwareebene verwalten. Beispielsweise können Sie Hardwarekomponenten wie Kameras, Mikrofone und USB-Anschlüsse aus Sicherheitsgründen deaktivieren. Eine vollständige Liste der verfügbaren Einstellungen finden Sie unter Referenz zu Den Einstellungen für Surface UEFI SEMM.

Create eines Surface UEFI-Konfigurationspakets

Das Surface UEFI-Konfigurationspaket dient dem doppelten Zweck, neu konfigurierte UEFI-Einstellungen auf SEMM-verwaltete Surface-Geräte anzuwenden und bei SEMM zu registrieren. Zum Erstellen dieses Pakets ist ein SEMM-Signaturzertifikat erforderlich, um die UEFI-Einstellungen auf jedem Gerät zu schützen. Weitere Informationen finden Sie unter SEMM-Zertifikatanforderungen.

Schützen von UEFI-Einstellungen mit Einem Kennwort

Es wird dringend empfohlen, beim Erstellen von UEFI-Konfigurationspaketen ein Kennwort festzulegen. Firmware steuert den anfänglichen Betrieb der Hardware, bevor das Betriebssystem geladen wird. Wenn nicht autorisierte Benutzer auf UEFI-Einstellungen zugreifen, können sie möglicherweise Sicherheitsfeatures deaktivieren oder Änderungen vornehmen, die sich negativ auf die Sicherheit und Funktionalität des Geräts auswirken.

Screenshot: Hinzufügen eines Kennworts zum Schutz der UEFI-Einstellungen vor nicht autorisierten Personen

Gerät konfigurieren

Im Tool "Gerät konfigurieren" können Sie die Konfiguration von UEFI-Einstellungen erstellen und Pakete für Surface-Geräte in Ihrem organization zurücksetzen .(Weitere Informationen zu Surface UEFI-Einstellungen finden Sie unter Verwalten von Surface UEFI-Einstellungen.)

Create eines Surface UEFI-Konfigurationspakets

  1. Öffnen Sie surface IT Toolkit, und wählen Sie UEFI Configurator>Surface-Gerät konfigurieren aus.
  2. Wählen Sie unter Zertifikatschutz importierendie Option Hinzufügen aus, um Ihre exportierte Zertifikatdatei mit privatem Schlüssel (PFX) hinzuzufügen. Wählen Sie Weiter aus. Screenshot der UEFI-Konfiguration.
  3. Wählen Sie die zu konfigurierenden Geräte aus. Wählen Sie aus Ihren verwalteten Geräten aus, oder wechseln Sie zu Alle Geräte, um Ihr Gerät und Modell auszuwählen. Wählen Sie Weiter aus. Screenshot der Geräteauswahl für die UEFI-Konfiguration.
  4. Wählen Sie auf der Seite Gerätekonfigurationseinstellungen die Komponenten aus, die Sie konfigurieren möchten, und wählen Sie eine UEFI-Kennworteinstellung aus. Wenn Sie fertig sind, wählen Sie Weiter aus. Screenshot der Seite
  5. Auf der Seite Letzte Überprüfung werden ausgewählte Konfigurationsdetails angezeigt. Überprüfen Sie Ihre Änderungen, wählen Sie Ordner auswählen aus, um das UEFI-Konfigurationspaket zu speichern, und wählen Sie Create aus. Screenshot der abgeschlossenen Konfiguration für das Gerätepaket.

Tipp

Notieren Sie sich die auf dieser Seite angezeigten Zeichen für den Zertifikatfingerabdruck, wie in Abbildung 6 dargestellt. Sie benötigen diese Zeichen, um die Registrierung neuer Surface-Geräte in SEMM zu bestätigen. Klicken Sie auf Beenden , um die Paketerstellung abzuschließen, und schließen Sie Microsoft Surface UEFI Configurator.

  1. Wenn Sie fertig sind, wählen Sie Fertig stellen aus.

    Screenshot: UEFI-Konfigurationspaketdateien.

  2. Wenn Sie fertig sind, wechseln Sie zum ausgewählten Ordner, um das Paket abzurufen. Dieses Beispielpaket ändert eine einzelne UEFI-Einstellung, was zu zwei Dateien führt:

    • Ein SEMM-Registrierungspaket, das Sie auf einem oder mehreren Geräten bereitstellen können.
    • Ein Zurücksetzungspaket, das zum Aufheben der Registrierung eines semm-verwalteten Geräts verwendet wird.

    Screenshot der Seite zum Erstellen von Gerätepaketen.

Registrieren eines Surface-Geräts in SEMM

Wenn das Surface UEFI-Konfigurationspaket ausgeführt wird, werden das SEMM-Zertifikat und die Surface UEFI-Konfigurationsdateien im Firmwarespeicher des Surface-Geräts bereitgestellt. Wenn das Surface-Gerät neu gestartet wird, verarbeitet Surface UEFI diese Dateien und beginnt mit dem Anwenden der Surface UEFI-Konfiguration oder der Registrierung des Surface-Geräts in SEMM.

Bevor Sie ein Surface-Gerät bei SEMM registrieren, stellen Sie sicher, dass Sie die letzten beiden Zeichen des Zertifikatfingerabdrucks zur Hand haben. Sie benötigen diese Zeichen, um die Registrierung des Geräts zu bestätigen.

So registrieren Sie ein Surface-Gerät in SEMM mit einem Surface UEFI-Konfigurationspaket:

  1. Führen Sie das Surface UEFI-Konfigurationspaket .msi Datei auf dem Surface-Gerät aus, das Sie bei SEMM registrieren möchten. Dadurch wird die Surface UEFI-Konfigurationsdatei in der Firmware des Geräts bereitgestellt.
  2. Aktivieren Sie das Kontrollkästchen Ich stimme den Bedingungen im Lizenzvertrag zu, um den Endbenutzer-Lizenzvertrag (EULA) zu akzeptieren, und wählen Sie Installieren aus, um den Installationsvorgang zu starten.
  3. Wählen Sie Fertig stellen aus, um die Installation des Surface UEFI-Konfigurationspakets abzuschließen, und starten Sie das Surface-Gerät neu, wenn Sie dazu aufgefordert werden.
  4. Surface UEFI lädt die Konfigurationsdatei und stellt fest, dass SEMM auf dem Gerät nicht aktiviert ist. Surface UEFI beginnt den SEMM-Registrierungsprozess wie folgt:
    • Surface UEFI überprüft, ob die SEMM-Konfigurationsdatei ein SEMM-Zertifikat enthält.
    • Surface UEFI fordert Sie auf, die letzten beiden Zeichen des Zertifikatfingerabdrucks einzugeben, um die Registrierung des Surface-Geräts in SEMM zu bestätigen.
  5. Das Surface-Gerät ist jetzt in SEMM registriert.

Sie können überprüfen, ob ein Surface-Gerät erfolgreich bei SEMM registriert wurde, indem Sie unter Programme und Features nach Dem Microsoft Surface-Konfigurationspaket suchen oder in den Ereignissen suchen, die im Microsoft Surface UEFI Configurator-Protokoll unter Anwendungs- und Dienstprotokolle in Ereignisanzeige gespeichert sind.

Konfigurieren weiterer Surface UEFI-Einstellungen

Nachdem ein Gerät bei SEMM registriert wurde, können Sie andere Surface UEFI-Konfigurationspakete ausführen, die mit demselben SEMM-Zertifikat signiert sind, um neue Surface UEFI-Einstellungen anzuwenden. Diese Einstellungen werden automatisch angewendet, wenn das Gerät das nächste Mal gestartet wird, ohne dass der Benutzer eingreifen muss. Sie können Anwendungsbereitstellungslösungen wie Microsoft Endpoint Configuration Manager verwenden, um Surface UEFI-Konfigurationspakete auf Surface-Geräten bereitzustellen, um die Einstellungen in Surface UEFI zu ändern oder zu verwalten.

Weitere Informationen zum Bereitstellen von Windows Installer-Dateien (.msi) mit Configuration Manager finden Sie unter Bereitstellen und Verwalten von Anwendungen mit Microsoft Endpoint Configuration Manager.