Configurer les paramètres UEFI pour les appareils Surface

  • Article
  • S’applique à:
    Windows 11, Windows 10

Cet article explique comment sécuriser et gérer les paramètres UEFI (Unified Extensible Firmware Interface) pour les appareils Surface déployés sur votre organization à l’aide du configurateur UEFI surface et du mode de gestion d’entreprise Surface (SEMM). Le configurateur UEFI Surface, qui n’est plus disponible en téléchargement distinct, est désormais inclus dans le nouveau Kit de ressources informatique Surface.

Paramètres UEFI pour les appareils Surface gérés par SEMM

Avec SEMM, les administrateurs informatiques peuvent gérer les composants matériels au niveau du microprogramme. Par exemple, vous pouvez désactiver les composants matériels tels que les caméras, les microphones et les ports USB pour des raisons de sécurité. Pour obtenir la liste complète des paramètres disponibles, consultez Informations de référence sur les paramètres SEMM UEFI surface.

Create un package de configuration UEFI Surface

Le package de configuration UEFI Surface a pour double objectif d’appliquer les paramètres UEFI nouvellement configurés aux appareils Surface gérés par SEMM et de les inscrire dans SEMM. La création de ce package nécessite un certificat de signature SEMM pour sécuriser les paramètres UEFI sur chaque appareil. Pour plus d’informations, consultez Exigences relatives aux certificats SEMM.

Protéger les paramètres UEFI avec un mot de passe

Nous vous recommandons vivement de définir un mot de passe lors de la création de packages de configuration UEFI. Le microprogramme contrôle les opérations initiales du matériel avant le chargement du système d’exploitation. Si des utilisateurs non autorisés accèdent aux paramètres UEFI, ils peuvent potentiellement désactiver les fonctionnalités de sécurité ou apporter des modifications préjudiciables à la sécurité et aux fonctionnalités de l’appareil.

Capture d’écran montrant l’ajout d’un mot de passe pour protéger les paramètres UEFI contre les personnes non autorisées.

Configurer l’appareil

Dans l’outil Configurer l’appareil, vous pouvez créer des packages de configuration et de réinitialisation des paramètres UEFI pour les appareils Surface dans votre organization (Pour plus d’informations sur les paramètres UEFI surface, consultez Gérer les paramètres UEFI Surface.)

Create un package de configuration UEFI Surface

  1. Ouvrez Surface IT Toolkit, sélectionnez UEFI Configurator>Configurer l’appareil Surface.
  2. Sous Importer la protection de certificat, sélectionnez Ajouter pour ajouter votre fichier de certificat exporté avec une clé privée (.pfx). Sélectionnez Suivant. Capture d’écran de la configuration UEFI.
  3. Sélectionnez les appareils à configurer. Choisissez parmi vos appareils gérés ou accédez à Tous les appareils pour sélectionner votre appareil et votre modèle. Sélectionnez Suivant. Capture d’écran de la sélection de l’appareil pour la configuration UEFI.
  4. Dans la page Paramètres de configuration de l’appareil, sélectionnez les composants que vous souhaitez configurer et choisissez un paramètre de mot de passe UEFI. Lorsque vous avez terminé, sélectionnez Suivant. Capture d’écran de la page Paramètres de configuration de l’appareil.
  5. La page Révision finale affiche les détails de configuration sélectionnés. Passez en revue vos modifications, sélectionnez Choisir un dossier pour enregistrer le package de configuration UEFI, puis sélectionnez Create. Capture d’écran de la configuration terminée pour le package d’appareil.

Astuce

Enregistrez les caractères de l’empreinte numérique du certificat affichés sur cette page, comme illustré dans la figure 6. Vous aurez besoin de ces caractères pour confirmer l’inscription des nouveaux appareils Surface dans SEMM. Cliquez sur Fin pour terminer la création du package et fermer microsoft Surface UEFI Configurator.

  1. Lorsque vous avez terminé, sélectionnez Terminer.

    Capture d’écran des fichiers de package de configuration UEFI.

  2. Lorsque vous avez terminé, accédez au dossier sélectionné pour récupérer le package. Cet exemple de package modifie un seul paramètre UEFI, ce qui entraîne la création de deux fichiers :

    • Un package d’inscription SEMM que vous pouvez déployer sur un ou plusieurs appareils.
    • Package de réinitialisation utilisé pour désinscrire un appareil géré par SEMM.

    Capture d’écran de la page de création de package d’appareil.

Inscrire un appareil Surface dans SEMM

Lorsque le package de configuration UEFI Surface est exécuté, le certificat SEMM et les fichiers de configuration UEFI Surface sont intermédiaires dans le stockage du microprogramme de l’appareil Surface. Lorsque l’appareil Surface redémarre, l’UEFI Surface traite ces fichiers et commence le processus d’application de la configuration UEFI surface ou d’inscription de l’appareil Surface dans SEMM.

Avant d’inscrire un appareil Surface dans SEMM, vérifiez que vous disposez des deux derniers caractères de l’empreinte numérique du certificat. Vous avez besoin de ces caractères pour confirmer l’inscription de l’appareil.

Pour inscrire un appareil Surface dans SEMM avec un package de configuration UEFI Surface :

  1. Exécutez le package de configuration UEFI surface .msi fichier sur l’appareil Surface que vous souhaitez inscrire dans SEMM. Cela approvisionne le fichier de configuration UEFI Surface dans le microprogramme de l’appareil.
  2. Sélectionnez la zone J’accepte les termes du Contrat de licence case activée pour accepter le Contrat de licence utilisateur final (CLUF), puis sélectionnez Installer pour commencer le processus d’installation.
  3. Sélectionnez Terminer pour terminer l’installation du package de configuration UEFI surface et redémarrer l’appareil Surface lorsque vous y êtes invité.
  4. Surface UEFI charge le fichier de configuration et détermine que SEMM n’est pas activé sur l’appareil. Surface UEFI commence le processus d’inscription SEMM, comme suit :
    • L’UEFI Surface vérifie que le fichier de configuration SEMM contient un certificat SEMM.
    • Surface UEFI vous invite à entrer les deux derniers caractères de l’empreinte numérique du certificat pour confirmer l’inscription de l’appareil Surface dans SEMM.
  5. L’appareil Surface est maintenant inscrit dans SEMM.

Vous pouvez vérifier si un appareil Surface est correctement inscrit dans SEMM en recherchant Le package de configuration Microsoft Surface dans Programmes et fonctionnalités ou dans les événements stockés dans le journal microsoft Surface UEFI Configurator, qui se trouve sous Journaux des applications et des services dans observateur d'événements.

Configurer d’autres paramètres UEFI Surface

Une fois qu’un appareil est inscrit dans SEMM, vous pouvez exécuter d’autres packages de configuration UEFI Surface signés avec le même certificat SEMM pour appliquer de nouveaux paramètres UEFI Surface. Ces paramètres sont appliqués automatiquement lors du prochain démarrage de l’appareil, sans aucune interaction de la part de l’utilisateur. Vous pouvez utiliser des solutions de déploiement d’applications comme Microsoft Endpoint Configuration Manager pour déployer des packages de configuration UEFI Surface sur des appareils Surface afin de modifier ou de gérer les paramètres dans l’UEFI Surface.

Pour plus d’informations sur le déploiement de fichiers Windows Installer (.msi) avec Configuration Manager, consultez Déployer et gérer des applications avec Microsoft Endpoint Configuration Manager.