Compartir a través de

Configuración de UEFI para dispositivos Surface

  • Artículo
  • Se aplica a:
    Windows 11, Windows 10

En este artículo se describe cómo proteger y administrar la configuración de la interfaz de firmware extensible unificada (UEFI) para dispositivos Surface implementados en toda la organización mediante Surface UEFI Configurator y Surface Enterprise Management Mode (SEMM). Surface UEFI Configurator, que ya no está disponible como descarga independiente, ahora se incluye en el nuevo Kit de herramientas de TI de Surface.

Configuración de UEFI para dispositivos Surface administrados por SEMM

Con SEMM, los administradores de TI pueden administrar componentes de hardware en el nivel de firmware. Por ejemplo, puede desactivar componentes de hardware como cámaras, micrófonos y puertos USB por motivos de seguridad. Para obtener una lista completa de la configuración disponible, consulta Referencia de configuración de SEMM de UEFI de Surface.

Create un paquete de configuración de UEFI de Surface

El paquete de configuración de UEFI de Surface tiene el doble propósito de aplicar la configuración ueFI recién configurada a los dispositivos Surface administrados por SEMM e inscribirlos en SEMM. La creación de este paquete requiere un certificado de firma SEMM para proteger la configuración de UEFI en cada dispositivo. Para obtener más información, consulte Requisitos de certificados SEMM.

Protección de la configuración de UEFI con contraseña

Se recomienda encarecidamente establecer una contraseña al crear paquetes de configuración ueFI. El firmware controla las operaciones iniciales del hardware antes de que se cargue el sistema operativo. Si los usuarios no autorizados acceden a la configuración de UEFI, podrían deshabilitar las características de seguridad o realizar cambios perjudiciales para la seguridad y la funcionalidad del dispositivo.

Captura de pantalla que muestra la adición de una contraseña para proteger la configuración de UEFI de personas no autorizadas.

Configuración del dispositivo

En la herramienta Configurar dispositivo , puedes crear la configuración de configuración de UEFI y restablecer paquetes para dispositivos Surface de tu organización (para obtener más información sobre la configuración de UEFI de Surface, consulta Administrar la configuración de UEFI de Surface).

Create un paquete de configuración de UEFI de Surface

  1. Abra Surface IT Toolkit (Kit de herramientas de TI de Surface) y seleccione UEFI Configurator>Configure Surface Device (Configurar dispositivo Surface).
  2. En Importar protección de certificados, seleccione Agregar para agregar el archivo de certificado exportado con clave privada (.pfx). Selecciona Siguiente. Captura de pantalla de la configuración de UEFI.
  3. Seleccione los dispositivos que se van a configurar. Elija entre los dispositivos administrados o vaya a Todos los dispositivos para seleccionar el dispositivo y el modelo. Selecciona Siguiente. Captura de pantalla de la selección del dispositivo para la configuración de UEFI.
  4. En la página Configuración del dispositivo, seleccione los componentes que desea configurar y elija una configuración de contraseña UEFI. Cuando termines, haz clic en Siguiente. Captura de pantalla de la página Configuración del dispositivo.
  5. La página Revisión final muestra los detalles de configuración seleccionados. Revise los cambios, seleccione Elegir carpeta para guardar el paquete de configuración de UEFI y seleccione Create. Captura de pantalla de la configuración completada para el paquete de dispositivo.

Sugerencia

Registre los caracteres de huella digital del certificado que se muestran en esta página, como se muestra en la figura 6. Necesitarás estos caracteres para confirmar la inscripción de nuevos dispositivos Surface en SEMM. Haga clic en Finalizar para completar la creación de paquetes y cierre Microsoft Surface UEFI Configurator.

  1. Cuando haya terminado, seleccione Finalizar.

    Captura de pantalla de los archivos de paquete de configuración de UEFI.

  2. Cuando haya terminado, vaya a la carpeta seleccionada para recuperar el paquete. Este paquete de ejemplo modifica una única configuración de UEFI, lo que da como resultado dos archivos:

    • Un paquete de inscripción SEMM que puede implementar en uno o varios dispositivos.
    • Paquete de restablecimiento que se usa para anular la inscripción de un dispositivo administrado por SEMM.

    Captura de pantalla de la página de creación del paquete de dispositivo.

Inscripción de un dispositivo Surface en SEMM

Cuando se ejecuta el paquete de configuración de UEFI de Surface, el certificado SEMM y los archivos de configuración de SURFACE UEFI se almacenan provisionalmente en el almacenamiento de firmware del dispositivo Surface. Cuando se reinicia el dispositivo Surface, Surface UEFI procesa estos archivos y comienza el proceso de aplicación de la configuración de UEFI de Surface o la inscripción del dispositivo Surface en SEMM.

Antes de inscribir un dispositivo Surface en SEMM, asegúrese de que tiene a mano los dos últimos caracteres de la huella digital del certificado. Necesita estos caracteres para confirmar la inscripción del dispositivo.

Para inscribir un dispositivo Surface en SEMM con un paquete de configuración DE UEFI de Surface:

  1. Ejecuta el archivo de .msi del paquete de configuración de UEFI de Surface en el dispositivo Surface que quieres inscribir en SEMM. Esto aprovisiona el archivo de configuración de UEFI de Surface en el firmware del dispositivo.
  2. Active la casilla Acepto los términos del Contrato de licencia para aceptar el Contrato de licencia de usuario final (CLUF) y seleccione Instalar para comenzar el proceso de instalación.
  3. Selecciona Finalizar para completar la instalación del paquete de configuración de UEFI de Surface y reinicia el dispositivo Surface cuando se te pida que lo hagas.
  4. Surface UEFI carga el archivo de configuración y determina que SEMM no está habilitado en el dispositivo. Surface UEFI comienza el proceso de inscripción de SEMM, como se indica a continuación:
    • Surface UEFI comprueba que el archivo de configuración SEMM contiene un certificado SEMM.
    • Surface UEFI te pide que escribas los dos últimos caracteres de la huella digital del certificado para confirmar la inscripción del dispositivo Surface en SEMM.
  5. El dispositivo Surface ahora está inscrito en SEMM.

Para comprobar si un dispositivo Surface se inscribe correctamente en SEMM, busca el paquete de configuración de Microsoft Surface en Programas y características o en los eventos almacenados en el registro del configurador UEFI de Microsoft Surface, que se encuentra en Registros de aplicaciones y servicios en Visor de eventos.

Configuración de más opciones de UEFI de Surface

Después de inscribir un dispositivo en SEMM, puedes ejecutar otros paquetes de configuración de UEFI de Surface firmados con el mismo certificado SEMM para aplicar la nueva configuración de UEFI de Surface. Esta configuración se aplica automáticamente la próxima vez que se inicia el dispositivo, sin ninguna interacción del usuario. Puedes usar soluciones de implementación de aplicaciones como Microsoft Endpoint Configuration Manager para implementar paquetes de configuración de UEFI de Surface en dispositivos Surface para cambiar o administrar la configuración en Surface UEFI.

Para obtener más información sobre cómo implementar archivos de Windows Installer (.msi) con Configuration Manager, consulte Implementación y administración de aplicaciones con Microsoft Endpoint Configuration Manager.