Condividi tramite

Introduzione a Surface Enterprise Management Mode (SEMM)

  • Articolo
  • Si applica a:
    Windows 10, Windows 11

Microsoft Surface Enterprise Management Mode (SEMM) è una funzionalità dei dispositivi Surface con Surface Unified Extensible Firmware Interface (UEFI). È possibile usare SEMM per:

  • Proteggere e gestire le impostazioni del firmware nell'organizzazione.
  • Preparare le configurazioni delle impostazioni UEFI e installarle in un dispositivo Surface.

SEMM usa anche un certificato per proteggere la configurazione da manomissioni o rimozione non autorizzate.

Registrare i dispositivi Surface in SEMM

Questo articolo illustra come creare un pacchetto di configurazione UEFI di Surface per abilitare o disabilitare i componenti hardware a livello di firmware e registrare un dispositivo Surface in SEMM. Quando i dispositivi Surface sono configurati da SEMM e protetti con il certificato SEMM, vengono considerati registrati in SEMM. Quando il certificato SEMM viene rimosso e il controllo delle impostazioni UEFI viene restituito all'utente del dispositivo, il dispositivo Surface viene considerato non registrato in SEMM.

È anche possibile usare Microsoft Endpoint Configuration Manager per gestire i dispositivi con SEMM.

In alternativa a SEMM, i dispositivi Surface più recenti supportano la gestione remota di un subset di impostazioni del firmware tramite Microsoft Intune. Per altre informazioni, vedere Gestire DFCI nei dispositivi Surface.

Dispositivi supportati

SEMM è disponibile solo nei dispositivi con firmware UEFI di Surface, tra cui:

  • Surface Book (tutte le generazioni)
  • Surface Go 4 (solo SKU commerciali)
  • Surface Go 3 (solo SKU commerciali)
  • Surface Go 2 (tutti gli SKU)
  • Surface Go (tutti gli SKU)
  • Surface Hub 2S
  • Surface Laptop (7a edizione) (solo SKU commerciali)
  • Surface Laptop 6 (solo SKU commerciali)
  • Surface Laptop 5 (solo SKU commerciali)
  • Surface Laptop 4 (solo SKU commerciali)
  • Surface Laptop 3 (solo processori Intel)
  • Surface Laptop 2 (tutti gli SKU)
  • Surface Laptop (tutti gli SKU)
  • Surface Laptop Go 3 (solo SKU commerciali)
  • Surface Laptop Go 2 (solo SKU commerciali)
  • Surface Laptop Go (tutti gli SKU)
  • Surface Laptop SE (tutti gli SKU)
  • Surface Laptop Studio 2 (solo SKU commerciali)
  • Surface Laptop Studio (solo SKU commerciali)
  • Surface Pro (11a edizione) (solo SKU commerciali)
  • Surface Pro 10 (solo SKU commerciali)
  • Surface Pro 9 (solo SKU commerciali)
  • Surface Pro 9 con 5G (solo SKU commerciali)
  • Surface Pro 8 (solo SKU commerciali)
  • Surface Pro 7+ (solo SKU commerciali)
  • Surface Pro 7 (tutti gli SKU)
  • Surface Pro 6 (tutti gli SKU)
  • Surface Pro quinta generazione (tutti gli SKU)
  • Surface Pro 4 (tutti gli SKU)
  • Surface Pro X (tutti gli SKU)
  • Surface Studio 2+ (solo SKU commerciali)
  • Surface Studio 2 (tutti gli SKU)
  • Surface Studio (tutti gli SKU)

Suggerimento

Gli SKU commerciali (noti anche come Surface per le aziende) eseguono Windows 10 Pro/Enterprise o Windows 11 Pro/Enterprise; gli SKU consumer eseguono Windows 10/Windows 11 Home. Per altre informazioni, vedi Visualizzare le informazioni di sistema.

Strumento di configurazione UEFI di Surface

L'area di lavoro principale di SEMM è Surface IT Toolkit, che contiene il nuovo Surface UEFI Configurator.

Pacchetto di configurazione

I pacchetti di configurazione UEFI di Surface sono il meccanismo principale per implementare e gestire SEMM nei dispositivi Surface. Questi pacchetti contengono un file di configurazione e un file di certificato, come illustrato nella figura 2. Il file di configurazione contiene le impostazioni UEFI specificate quando il pacchetto viene creato in Microsoft Surface UEFI Configurator. Quando un pacchetto di configurazione viene eseguito per la prima volta in un dispositivo Surface non già registrato in SEMM, esegue il provisioning del file del certificato nel firmware del dispositivo e registra il dispositivo in SEMM. Quando si registra un dispositivo in SEMM e prima che il certificato venga archiviato e la registrazione venga completata, viene richiesto di confermare l'operazione specificando le ultime due cifre dell'identificazione personale del certificato SEMM. Questa conferma richiede che un utente sia fisicamente presente nel dispositivo durante la registrazione per eseguire la conferma.

Per altre informazioni sui requisiti per il certificato SEMM, vedere la sezione Relativa ai requisiti del certificato della modalità di gestione Surface Enterprise più avanti in questo articolo.

Usare Surface UEFI Configurator per creare

Categoria Descrizione Scopri di più
Pacchetti MSI Registrare i dispositivi Surface in SEMM e gestire le impostazioni del firmware UEFI per i dispositivi registrati.
Registrare i dock di Surface in SEMM e gestire le impostazioni del firmware UEFI per i dock registrati.		 Configurare le impostazioni UEFI per i dispositivi Surface
Configurare le impostazioni UEFI per Surface Dock
Immagine WinPEs Usare le immagini WinPE per registrare, configurare e annullare la registrazione di SEMM in un dispositivo Surface.
Pacchetti DFI Creare pacchetti DFI per registrare i dispositivi Surface Hub in SEMM e gestire le impostazioni del firmware UEFI per i dispositivi Surface Hub registrati.

Suggerimento

È possibile richiedere una password UEFI con SEMM. In tal caso, la password è necessaria per visualizzare le pagine Sicurezza, Dispositivi, Configurazione di avvio ed Enterprise Management di Surface UEFI.

Dopo la registrazione di un dispositivo in SEMM, il file di configurazione viene letto e le impostazioni specificate nel file vengono applicate a UEFI. Quando si esegue un pacchetto di configurazione in un dispositivo già registrato in SEMM, la firma del file di configurazione viene verificata in base al certificato archiviato nel firmware del dispositivo. Se la firma non corrisponde, non vengono applicate modifiche al dispositivo.

Suggerimento

Gli amministratori con accesso al file di certificato (con estensione pfx) possono leggere l'identificazione personale in qualsiasi momento aprendo il file con estensione pfx in CertMgr. Per visualizzare l'identificazione personale con CertMgr:

  1. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sul file con estensione pfx e quindi selezionare Apri.
  2. Nel riquadro di spostamento espandere la cartella.
  3. Selezionare Certificati.
  4. Nel riquadro principale selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sul certificato e quindi selezionare Apri.
  5. Selezionare la scheda Dettagli .
  6. Nel menu a discesa Mostra è necessario selezionare Tutti o Solo proprietà .
  7. Selezionare il campo Identificazione personale .

Per registrare un dispositivo Surface in SEMM o applicare la configurazione UEFI da un pacchetto di configurazione, eseguire il file .msi con privilegi amministrativi nel dispositivo Surface previsto. È possibile usare le tecnologie di distribuzione dell'applicazione o del sistema operativo, ad esempio Microsoft Endpoint Configuration Manager o Microsoft Deployment Toolkit. Quando si registra un dispositivo in SEMM, è necessario essere fisicamente presenti per confermare la registrazione nel dispositivo. Quando si applica una configurazione ai dispositivi già registrati in SEMM, l'interazione dell'utente non è necessaria.

Richiesta di ripristino

È possibile annullare la registrazione dei dispositivi Surface da SEMM tramite la funzionalità Richiesta di ripristino in Surface IT Toolkit.

Requisiti del certificato SEMM

Quando si usa SEMM con Microsoft Surface UEFI Configurator e si vogliono applicare le impostazioni UEFI, è necessario un certificato per verificare la firma dei file di configurazione. Questo certificato garantisce che, dopo la registrazione di un dispositivo in SEMM, solo i pacchetti creati con il certificato approvato possano essere usati per modificare le impostazioni UEFI.

Nota

Per apportare modifiche alle impostazioni SEMM o Surface UEFI nei dispositivi Surface registrati, è necessario il certificato SEMM. Se il certificato SEMM è danneggiato o perso, SEMM non può essere rimosso o reimpostato. Gestire il certificato SEMM di conseguenza con una soluzione appropriata per il backup e il ripristino

I pacchetti creati con lo strumento Configuratore UEFI di Microsoft Surface vengono firmati con un certificato. Questo certificato garantisce che, dopo la registrazione di un dispositivo in SEMM, solo i pacchetti creati con il certificato approvato possano essere usati per modificare le impostazioni di UEFI.

Per il certificato SEMM sono consigliate le impostazioni seguenti:

  • Algoritmo chiave - RSA
  • Lunghezza chiave - 2048
  • Algoritmo hash - SHA-256
  • Tipo : autenticazione del server SSL
  • Utilizzo della chiave : firma digitale, crittografia della chiave
  • Provider - Microsoft Enhanced RSA and AES Cryptographic Provider
  • Data di scadenza : 15 mesi dalla creazione del certificato
  • Criteri di esportazione delle chiavi - Esportabile

È anche consigliabile che il certificato SEMM venga autenticato in un'architettura PKI (Public Key Infrastructure) a due livelli in cui l'autorità di certificazione intermedia (CA) è dedicata a SEMM, abilitando la revoca del certificato. Per altre informazioni su una configurazione PKI a due livelli, vedere Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guida al lab di test: Distribuzione di una gerarchia PKI di Servizi certificati Active Directory).

Certificato autofirma

È possibile usare lo script di PowerShell di esempio seguente per creare un certificato autofirma da usare in scenari di prova. Per usare questo script, copiare il testo seguente nel Blocco note e quindi salvare il file come script di PowerShell (.ps1).

Nota

Questo script crea un certificato con una password di 12345678. Il certificato generato da questo script non è consigliato per gli ambienti di produzione.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Importante

Per l'uso con SEMM e Microsoft Surface UEFI Configurator, il certificato deve essere esportato con la chiave privata e con la protezione password. Microsoft Surface UEFI Configurator richiede di selezionare il file di certificato SEMM (con estensione pfx) e la password del certificato.

Per creare un certificato autofirma:

  1. Nell'unità C: creare la cartella in cui si salverà lo script; ad esempio C:\SEMM.
  2. Copiare lo script di esempio nel Blocco note (o nell'editor di testo equivalente) e quindi salvare il file come script di PowerShell (.ps1).
  3. Accedere al computer con le credenziali di amministratore e quindi aprire una sessione di PowerShell con privilegi elevati.
  4. Assicurarsi che le autorizzazioni siano impostate per consentire l'esecuzione degli script. Per impostazione predefinita, agli script viene impedito l'esecuzione a meno che non si modifichino i criteri di esecuzione. Per altre informazioni, vedere Informazioni sui criteri di esecuzione.
  5. Al prompt dei comandi immettere il percorso completo dello script e quindi premere INVIO. Lo script crea un certificato demo denominato TempOwner.pfx.

In alternativa, è possibile creare un certificato autofirmabile usando PowerShell. Per altre informazioni, vedere New-SelfSignedCertificate.

Nota

Per le organizzazioni che usano una radice offline nell'infrastruttura PKI, Microsoft Surface UEFI Configurator deve essere eseguito in un ambiente connesso alla CA radice per autenticare il certificato SEMM. I pacchetti generati da Microsoft Surface UEFI Configurator possono essere trasferiti come file, in modo che possano essere trasferiti all'esterno dell'ambiente di rete offline con archiviazione rimovibile, ad esempio una chiavetta USB.

Domande frequenti sulla gestione dei certificati

La lunghezza minima consigliata è di 15 mesi. È possibile usare un certificato che scade in meno di 15 mesi o un certificato che scade in più di 15 mesi.

Nota

Quando un certificato scade, non viene rinnovato automaticamente.

Un certificato scaduto influirà sulle funzionalità dei dispositivi registrati con SEMM?

No, un certificato influisce solo sulle attività di gestione dell'amministratore IT in SEMM e non ha alcun effetto sulle funzionalità del dispositivo alla scadenza.

Il pacchetto SEMM e il certificato devono essere aggiornati in tutti i computer che lo hanno?

Se si vuole che la reimpostazione o il ripristino di SEMM funzioni, il certificato deve essere valido e non scaduto.

È possibile creare pacchetti di reimpostazione bulk per ogni superficie ordinata? È possibile crearne uno che reimposta tutti i computer nell'ambiente?

Gli esempi di PowerShell che creano un pacchetto di configurazione per un tipo di dispositivo specifico possono essere usati anche per creare un pacchetto di reimpostazione indipendente dal numero di serie. Se il certificato è ancora valido, è possibile creare un pacchetto di reimpostazione usando PowerShell per reimpostare SEMM.