Partager via

Sécuriser et gérer le Surface Hub avec SEMM

  • Article
  • S’applique à:
    Surface Hub 2S, Surface Hub 3

Utilisez microsoft Surface Enterprise Management Mode (SEMM) pour gérer les paramètres UEFI (Unified Extensible Firmware Interface) sur un ou plusieurs appareils Surface Hub.

Gérer les composants

SEMM vous permet de contrôler différents composants matériels sur le Surface Hub, notamment :

  • Audio intégré
  • Réseau local câblé
  • Bluetooth
  • Wi-Fi
  • Capteur d’occupation

Paramètres avancés

Avec le configurator UEFI Surface, inclus dans surface IT Toolkit, vous pouvez activer ou désactiver les paramètres UEFI suivants :

Sécurité

  • SMT (Simultané Multi-Threading)

Démarrage

  • IPv6 pour démarrage PXE
  • Autre démarrage
  • Verrou d’ordre de démarrage
  • Démarrage USB

Page d’accueil UEFI

  • Périphériques
  • Démarrage
  • Date/Heure
  • EnableOSMigration (Surface Hub 2S uniquement)

Mot de passe UEFI

UEFI est une interface de microprogramme avancée qui remplace le BIOS traditionnel, offrant une sécurité améliorée, des temps de démarrage plus rapides et une prise en charge du matériel moderne. La définition d’un mot de passe UEFI ajoute une couche de protection supplémentaire en empêchant les modifications non autorisées des paramètres du microprogramme. Veillez à définir un mot de passe fort et à le stocker en toute sécurité.

Astuce

Pour plus d’informations sur les implications de sécurité de la configuration des paramètres SEMM, consultez Gérer les paramètres UEFI avec les informations de référence sur les paramètres SEMM et SEMM UEFI.

Télécharger les pilotes et microprogrammes Surface IT Toolkit et Surface Hub 2S

Sur un PC distinct, procédez comme suit :

  1. Téléchargez surface IT Toolkit, qui inclut le configurator UEFI Surface.
  2. Suivez les instructions d’installation dans Prise en main de Surface IT Toolkit.

Préparer le certificat SEMM

Avant d’utiliser le configurator UEFI pour la première fois, vous devez préparer un certificat pour sécuriser le package SEMM :

  • Grandes entreprises : générez des certificats à l’aide de l’infrastructure de sécurité de votre organization.
  • Entreprises de taille moyenne : envisagez d’obtenir des certificats auprès de fournisseurs partenaires approuvés, en particulier si vous n’avez pas de ressources de sécurité informatique dédiées.
  • Certificats auto-signés : pour les configurations plus petites, vous pouvez générer un certificat auto-signé à l’aide de PowerShell. Pour plus d’informations, consultez le Guide des certificats auto-signés et Les exigences relatives aux certificats en mode de gestion d’entreprise Surface.

Warning

Pour désinscrire un appareil de SEMM et restaurer le contrôle sur les paramètres UEFI, vous devez disposer du certificat SEMM utilisé pour inscrire l’appareil. Si ce certificat est perdu ou endommagé, la désinscription n’est pas possible. Veillez à sauvegarder et à protéger votre certificat SEMM.

Créer un package SEMM

Pour créer un package SEMM pour Surface Hub, procédez comme suit à l’aide de Surface IT Toolkit sur un PC distinct :

  1. Ouvrez surface IT Toolkit, sélectionnez UEFI Configurator, puis choisissez Configurer les appareils.

    Capture d’écran de l’écran d’accueil du configurateur UEFI surface.

  2. Dans la page Configuration et certification de l’appareil, configurez les éléments suivants, puis sélectionnez Suivant :

    • Choisissez Build de déploiement : sélectionnez DFI.
    • Importer la protection de certificat : sélectionnez Ajouter, recherchez votre certificat (fichier .pfx), puis entrez le mot de passe associé.
    • Choisir le type de package DFI : sélectionnez Package de configuration.
    • Sélectionnez Appareil : choisissez Surface Hub, puis Surface Hub 2S ou Surface Hub 3.

    Capture d’écran de la configuration et de la certification de l’appareil.

  3. Accédez à la page Paramètres de configuration de l’appareil :

    Capture d’écran montrant les composants et les paramètres avancés à activer ou désactiver.

    • Sous Mot de passe UEFI, sélectionnez Définir ou Modifier le mot de passe, puis entrez et confirmez votre mot de passe.

    Capture d’écran de la définition du mot de passe UEFI pour Surface Hub.

  4. Insérez un lecteur USB dans votre PC. Le lecteur sera formaté et tous les fichiers qu’il contient seront effacés. Sélectionnez Créer pour générer le package SEMM.

  5. Une fois l’opération terminée, notez les deux derniers caractères de l’empreinte numérique du certificat, puis sélectionnez Terminer. Votre package SEMM, nommé DfciUpdate.dfi, est maintenant prêt à être utilisé.

    Capture d’écran montrant la création réussie du package SEMM pour Surface Hub 2S.

Appliquer le package SEMM à Surface Hub 2S ou Surface Hub 3

Pour appliquer le package SEMM et inscrire votre Surface Hub dans SEMM :

  1. Insérez le lecteur USB avec le package SEMM dans le port USB-A du Surface Hub.
  2. Désactivez le Surface Hub.
  3. Appuyez longuement sur le bouton Augmenter le volume , puis appuyez sur le bouton Marche/Arrêt . Maintenez le volume enfoncé jusqu’à ce que le menu UEFI s’affiche.

En savoir plus