Configurar configurações UEFI para dispositivos Surface

  • Artigo
  • Aplica-se a:
    Windows 11, Windows 10

Este artigo descreve como proteger e gerenciar configurações da UEFI (Unified Extensible Firmware Interface) para dispositivos Surface implantados em sua organização usando o Configurador do Surface UEFI e o SemM (Surface Enterprise Management Mode). O Configurador UEFI do Surface, não mais disponível como um download separado, agora está incluído no novo Surface IT Toolkit.

Configurações UEFI para dispositivos Surface gerenciados por SEMM

Com o SEMM, os administradores de TI podem gerenciar componentes de hardware no nível do firmware. Por exemplo, você pode desativar componentes de hardware, como câmeras, microfones e portas USB para fins de segurança. Para obter uma lista completa das configurações disponíveis, consulte Referência de configurações semm do Surface UEFI.

Create um pacote de configuração do Surface UEFI

O pacote de configuração do Surface UEFI serve à dupla finalidade de aplicar configurações UEFI recém-configuradas a dispositivos Surface gerenciados pelo SEMM e registrá-las no SEMM. A criação desse pacote requer um certificado de assinatura semm para proteger as configurações UEFI em cada dispositivo. Para obter mais informações, confira Requisitos de certificado SEMM.

Proteger configurações UEFI com senha

Recomendamos fortemente definir uma senha ao criar pacotes de configuração UEFI. O firmware controla as operações iniciais do hardware antes que o sistema operacional seja carregado. Se usuários não autorizados acessarem as configurações da UEFI, eles poderão potencialmente desabilitar recursos de segurança ou tornar as alterações prejudiciais à segurança e à funcionalidade do dispositivo.

Captura de tela mostrando a adição de uma senha para proteger as configurações UEFI de pessoas não autorizadas.

Configurar dispositivo

Na ferramenta Configurar dispositivo , você pode criar configurações UEFI e redefinir pacotes para dispositivos Surface em sua organização (Para obter mais informações sobre as configurações do Surface UEFI, consulte Gerenciar configurações do Surface UEFI.)

Create um pacote de configuração do Surface UEFI

  1. Abra o Kit de Ferramentas de TI do Surface, selecione Configurador> UEFIConfigurar Dispositivo Surface.
  2. Em Importar Proteção de Certificados, selecione Adicionar para adicionar seu arquivo de certificado exportado com chave privada (.pfx). Selecione Avançar. Captura de tela da Configuração UEFI.
  3. Selecione os dispositivos a serem configurados. Escolha entre seus Dispositivos Gerenciados ou vá para Todos os Dispositivos para selecionar seu dispositivo e modelo. Selecione Avançar. Captura de tela da seleção do dispositivo para Configuração UEFI.
  4. Na página Configurações do Dispositivo, selecione os componentes que deseja configurar e escolha uma configuração de senha UEFI. Quando terminar, clique em Próximo. Captura de tela da página Configurações do Dispositivo.
  5. A página Revisão Final mostra os detalhes de configuração selecionados. Examine suas alterações, selecione Escolher Pasta para salvar o pacote de configuração UEFI e selecione Create. Captura de tela da configuração concluída para o pacote dispositivo.

Dica

Registre os caracteres de impressão digital do certificado exibidos nesta página, conforme mostrado na Figura 6. Você precisará desses caracteres para confirmar o registro de novos dispositivos Surface no SEMM. Clique em Encerrar para concluir a criação de pacotes e feche o Configurador UEFI do Microsoft Surface.

  1. Quando concluir, selecione Concluir.

    Captura de tela dos arquivos do pacote de configuração UEFI.

  2. Quando terminar, acesse sua pasta selecionada para recuperar o pacote. Este pacote de exemplo modifica uma única configuração UEFI, resultando em dois arquivos:

    • Um pacote de registro semm que você pode implantar em um ou mais dispositivos.
    • Um pacote De redefinição usado para desabiliciar um dispositivo gerenciado por SEMM.

    Captura de tela da página de criação do Pacote de Dispositivos.

Registrar um dispositivo Surface no SEMM

Quando o pacote de configuração do Surface UEFI é executado, o certificado SEMM e os arquivos de configuração do Surface UEFI são encenados no armazenamento de firmware do dispositivo Surface. Quando o dispositivo Surface é reiniciado, o Surface UEFI processa esses arquivos e inicia o processo de aplicação da configuração do Surface UEFI ou do registro do dispositivo Surface no SEMM.

Antes de registrar um dispositivo Surface no SEMM, verifique se você tem os dois últimos caracteres da impressão digital do certificado em mãos. Você precisa desses caracteres para confirmar o registro do dispositivo.

Para registrar um dispositivo Surface no SEMM com um pacote de configuração do Surface UEFI:

  1. Execute o pacote de configuração do Surface UEFI .msi arquivo no dispositivo Surface que você deseja registrar no SEMM. Isso provisiona o arquivo de configuração UEFI do Surface no firmware do dispositivo.
  2. Selecione os termos na caixa Contrato de Licença marcar para aceitar o EULA (Contrato de Licença de Usuário Final) e selecione Instalar para iniciar o processo de instalação.
  3. Selecione Concluir para concluir a instalação do pacote de configuração do Surface UEFI e reinicie o dispositivo Surface quando você for solicitado a fazê-lo.
  4. O Surface UEFI carrega o arquivo de configuração e determina que o SEMM não está habilitado no dispositivo. O Surface UEFI inicia o processo de registro semm, da seguinte maneira:
    • O Surface UEFI verifica se o arquivo de configuração SEMM contém um certificado SEMM.
    • O Surface UEFI solicita que você insira os dois últimos caracteres da impressão digital do certificado para confirmar o registro do dispositivo Surface no SEMM.
  5. O dispositivo Surface agora está registrado no SEMM.

Você pode verificar se um dispositivo Surface está registrado com êxito no SEMM procurando o Pacote de Configuração do Microsoft Surface em Programas e Recursos ou nos eventos armazenados no log do Configurador UEFI do Microsoft Surface, encontrado em Logs de Aplicativos e Serviços em Visualizador de Eventos.

Configurar mais configurações do Surface UEFI

Depois que um dispositivo for registrado no SEMM, você poderá executar outros pacotes de configuração do Surface UEFI assinados com o mesmo certificado SEMM para aplicar novas configurações do Surface UEFI. Essas configurações são aplicadas automaticamente na próxima vez que o dispositivo inicializar, sem qualquer interação do usuário. Você pode usar soluções de implantação de aplicativos como o Microsoft Endpoint Configuration Manager para implantar pacotes de configuração do Surface UEFI em dispositivos Surface para alterar ou gerenciar as configurações no Surface UEFI.

Para obter mais informações sobre como implantar arquivos do Windows Installer (.msi) com Configuration Manager, consulte Implantar e gerenciar aplicativos com o Microsoft Endpoint Configuration Manager.