Désinscrire les appareils Surface de SEMM

• S’applique à:

  Windows 10, Windows 11

Cet article explique comment désinscrire un appareil de SEMM à l’aide de Surface IT Toolkit. Lorsqu’un appareil Surface est inscrit en mode SEMM (Surface Enterprise Management Mode), un certificat est stocké dans le microprogramme de cet appareil. La présence de ce certificat et l’inscription dans SEMM empêchent toute modification non autorisée des paramètres ou options UEFI (Unified Extensible Firmware Interface) surface pendant que l’appareil est inscrit dans SEMM. Pour restaurer le contrôle des paramètres UEFI surface à l’utilisateur, l’appareil Surface doit être désinscrit de SEMM, processus parfois décrit comme réinitialisation ou récupération.

Warning

Pour désinscrire un appareil de SEMM et restaurer le contrôle utilisateur des paramètres UEFI surface, vous devez disposer du certificat SEMM utilisé pour inscrire l’appareil dans SEMM. Si ce certificat est perdu ou endommagé, il n’est pas possible de se désinscrire de SEMM. Sauvegardez et protégez votre certificat SEMM en conséquence.

Pour plus d’informations sur SEMM, consultez Microsoft Surface Enterprise Management Mode.

Désinscrire un appareil Surface de SEMM avec un package de réinitialisation UEFI Surface

Le package de réinitialisation UEFI Surface est la méthode principale que vous utilisez pour désinscrire un appareil Surface de SEMM. Comme un package de configuration UEFI Surface, le package de réinitialisation est un fichier Windows Installer (.msi) qui configure SEMM sur l’appareil. Contrairement au package de configuration, le package de réinitialisation réinitialise la configuration UEFI Surface sur un appareil Surface à ses paramètres par défaut, supprime le certificat SEMM et désinscrit l’appareil de SEMM.

Surface IT Toolkit génère un package de réinitialisation universel qui s’applique à tous les appareils pris en charge, à l’exception de Surface Go 2.

Pour Surface Go 2 : pour commencer le processus de création d’un package de réinitialisation, vous avez besoin du numéro de série de l’appareil que vous souhaitez désinscrire et du certificat SEMM utilisé pour inscrire l’appareil. Vous trouverez le numéro de série de votre appareil Surface sur la page d’informations pc de Surface UEFI, comme illustré dans la figure suivante. Cette page s’affiche même si l’UEFI surface est protégée par mot de passe et que le mot de passe incorrect est entré.

Remarque

Pour démarrer sur Surface UEFI, appuyez simultanément sur Augmenter le volume et mettre sous tension pendant que l’appareil est éteint. Maintenez le volume enfoncé jusqu’à ce que le logo Surface s’affiche et que l’appareil commence à démarrer.

Désinscrire un appareil Surface de SEMM avec une demande de récupération

Dans certains scénarios, un package de réinitialisation UEFI Surface peut ne pas être une option viable pour désinscrire un appareil Surface de SEMM (par exemple, si Windows est inutilisable). Dans ces scénarios, vous pouvez désinscrire l’appareil à l’aide d’une demande de récupération générée à partir de l’UEFI Surface. Le processus de demande de récupération peut être lancé même sur les appareils sur lesquels vous n’avez pas le mot de passe UEFI Surface.

Le processus de demande de récupération est lancé à partir de l’UEFI Surface sur l’appareil Surface, approuvé avec surface UEFI Configurator sur un autre ordinateur, puis terminé dans l’UEFI Surface. Comme pour le package de réinitialisation, l’approbation d’une demande de récupération avec UEFI Configurator nécessite l’accès au certificat SEMM utilisé pour inscrire l’appareil Surface.

Pour lancer une demande de récupération, procédez comme suit :

1. Démarrez l’appareil Surface qui doit être désinscrit de SEMM sur Surface UEFI.

2. Tapez le mot de passe UEFI Surface si vous y êtes invité.

3. Sélectionnez la page Gestion . Vous devrez peut-être sélectionner Configurer pour afficher les informations SEMM et Réinitialiser, comme illustré dans la figure suivante.

   

4. Sélectionnez Prise en main.

5. Sélectionnez Suivant pour commencer le processus de demande de récupération.

   Remarque

   Une demande de récupération expire deux heures après sa création. Si une demande de récupération n’est pas terminée dans ce délai, vous devez redémarrer le processus de demande de récupération.

6. Sélectionnez Certificat SEMM dans la liste des certificats affichée dans la page Choisir une clé de réinitialisation SEMM , puis Sélectionnez Suivant.

   

7. Dans la page Entrer le code de vérification de réinitialisation SEMM , vous pouvez sélectionner les boutons Code QR ou Texte pour afficher votre demande de récupération (demande de réinitialisation) ou le bouton USB pour enregistrer votre demande de récupération (demande de réinitialisation) en tant que fichier sur un lecteur USB.

   

   

   • Pour utiliser une demande de récupération de code QR (demande de réinitialisation), utilisez une application de lecteur QR sur un appareil mobile pour lire le code. L’application de lecteur QR traduit le code QR en chaîne alphanumérique. Vous pouvez ensuite envoyer un e-mail ou un message à l’administrateur qui produit le code de vérification de réinitialisation avec uefi Configurator.
   • Pour utiliser une demande de récupération (demande de réinitialisation) enregistrée sur un lecteur USB en tant que fichier, utilisez le lecteur USB pour transférer le fichier vers votre ordinateur administrateur où le configurateur UEFI sera utilisé pour produire le code de vérification de réinitialisation. Le fichier peut également être copié à partir du lecteur USB sur un autre appareil pour être envoyé par e-mail ou transféré sur le réseau.
   • Pour utiliser la demande de récupération (demande de réinitialisation) en tant que texte, tapez le texte directement dans UEFI Configurator.

Pour créer une demande de réinitialisation UEFI Surface :

1. Ouvrez surface IT Toolkit et accédez à la section UEFI Configurator .

2. Sélectionnez la demande de récupération pour lancer le processus de désinscription des appareils Surface à partir de SEMM (Mode de gestion d’entreprise Surface).

   

3. Dans la section Protection des certificats, importez la clé de signature privée de votre organization en sélectionnant fichier de certificat et en entrant le mot de passe de certificat associé. Ce certificat doit correspondre à celui appliqué à l’appareil demandeur.

   

4. Sélectionnez Suivant pour passer à la section Ajouter la demande de réinitialisation fournie par votre utilisateur .

5. Importez ou entrez le code de demande de réinitialisation . Pour ce faire, vous pouvez importer directement le fichier ou entrer le code manuellement, que l’appareil de l’utilisateur final génère dans l’UEFI.

6. Une fois le code importé ou entré, sélectionnez Suivant pour générer le code de vérification de réinitialisation.

7. Fournissez le code de vérification de réinitialisation généré à l’utilisateur final pour terminer le processus de récupération sur son appareil. Le code de vérification respecte le temps et doit être utilisé dans les 2 heures pour qu’il soit valide.

8. Sélectionnez Terminer pour terminer le processus de demande de récupération.

   

9. Indiquez à l’utilisateur d’entrer le code de vérification de réinitialisation dans le champ fourni sur l’appareil Surface, puis sélectionnez Vérifier pour réinitialiser l’appareil et désinscrire l’appareil de SEMM.

10. Sélectionnez Redémarrer maintenant dans la page de réinitialisation SEMM réussie pour terminer la désinscription de SEMM, comme illustré dans la figure suivante.

    

En savoir plus

• Surface IT Toolkit
• Prise en main de SEMM