Compartilhar via


Introdução ao Modo de Gestão Empresarial do Surface (SEMM)

O Modo de Gestão Empresarial (SEMM) do Microsoft Surface é uma funcionalidade de dispositivos Surface com o UEFI (Unified Extensible Firmware Interface) do Surface. Pode utilizar o SEMM para:

  • Proteja e faça a gestão das definições de firmware na sua organização.
  • Prepare as configurações de definições ueFI e instale-as num dispositivo Surface.

O SEMM também utiliza um certificado para proteger a configuração contra adulteração ou remoção não autorizada.

Inscrever dispositivos Surface no SEMM

Este artigo mostra-lhe como criar um pacote de configuração UEFI do Surface para ativar ou desativar componentes de hardware ao nível do firmware e inscrever um dispositivo Surface no SEMM. Quando os dispositivos Surface são configurados por SEMM e protegidos com o certificado SEMM, são considerados inscritos no SEMM. Quando o certificado SEMM é removido e o controlo das definições de UEFI é devolvido ao utilizador do dispositivo, o dispositivo Surface é considerado não inscrito no SEMM.

Também pode Utilizar o Microsoft Endpoint Configuration Manager para gerir dispositivos com SEMM.

Como alternativa ao SEMM, os dispositivos Surface mais recentes suportam a gestão remota de um subconjunto de definições de firmware através de Microsoft Intune. Para obter mais informações, consulte Gerir DFCI em dispositivos Surface.

Dispositivos com suporte

O SEMM só está disponível em dispositivos com firmware UEFI do Surface, incluindo:

  • Surface Book (todas as gerações)
  • Surface Go 4 (apenas SKUs comerciais)
  • Surface Go 3 (apenas SKUs comerciais)
  • Surface Go 2 (todos os SKUs)
  • Surface Go (todos os SKUs)
  • Surface Hub 2S
  • Surface Laptop (7.ª Edição) (apenas SKUs comerciais)
  • Surface Laptop 6 (apenas SKUs comerciais)
  • Surface Laptop 5 (apenas SKUs comerciais)
  • Surface Laptop 4 (apenas SKUs comerciais)
  • Surface Laptop 3 (apenas processadores Intel)
  • Surface Laptop 2 (todos os SKUs)
  • Surface Laptop (todos os SKUs)
  • Surface Laptop Go 3 (apenas SKUs comerciais)
  • Surface Laptop Go 2 (apenas SKUs comerciais)
  • Surface Laptop Go (todos os SKUs)
  • Surface Laptop SE (todos os SKUs)
  • Surface Laptop Studio 2 (apenas SKUs comerciais)
  • Surface Laptop Studio (apenas SKUs comerciais)
  • Surface Pro (11.ª Edição) (apenas SKUs comerciais)
  • Surface Pro 10 (apenas SKUs comerciais)
  • Surface Pro 9 (apenas SKUs comerciais)
  • Surface Pro 9 com 5G (apenas SKUs comerciais)
  • Surface Pro 8 (apenas SKUs comerciais)
  • Surface Pro 7+ (apenas SKUs comerciais)
  • Surface Pro 7 (todos os SKUs)
  • Surface Pro 6 (todos os SKUs)
  • Surface Pro 5.ª geração (todos os SKUs)
  • Surface Pro 4 (todos os SKUs)
  • Surface Pro X (todos os SKUs)
  • Surface Studio 2+ (apenas SKUs comerciais)
  • Surface Studio 2 (todos os SKUs)
  • Surface Studio (todos os SKUs)

Dica

Os SKUs comerciais (também conhecidos como Surface para Empresas) executam Windows 10 Pro/Enterprise ou Windows 11 Pro/Enterprise; os SKUs de consumidor executam Windows 10/Windows 11 Home. Para saber mais, consulte Ver as informações do sistema.

Configurador UEFI do Surface

A área de trabalho principal do SEMM é o Toolkit de TI do Surface, que contém o novo UeFI Configurator do Surface.

Pacote de configuração

Os pacotes de configuração UEFI do Surface são o mecanismo principal para implementar e gerir o SEMM em dispositivos Surface. Estes pacotes contêm um ficheiro de configuração e um ficheiro de certificado, conforme mostrado na Figura 2. O ficheiro de configuração contém definições UEFI especificadas quando o pacote é criado no Microsoft Surface UEFI Configurator. Quando um pacote de configuração é executado pela primeira vez num dispositivo Surface que ainda não está inscrito no SEMM, aprovisiona o ficheiro de certificado no firmware do dispositivo e inscreve o dispositivo no SEMM. Ao inscrever um dispositivo no SEMM e antes de o certificado ser armazenado e a inscrição ser concluída, ser-lhe-á pedido que confirme a operação ao fornecer os dois últimos dígitos do thumbprint do certificado SEMM. Esta confirmação requer que um utilizador esteja fisicamente presente no dispositivo durante a inscrição para efetuar a confirmação.

Para obter mais informações sobre os requisitos do certificado SEMM, consulte a secção Requisitos de certificados do Modo de Gestão empresarial do Surface mais adiante neste artigo.

Utilizar o UeFI Configurator do Surface para criar

Categoria Descrição Saiba mais
Pacotes MSI Inscreva dispositivos Surface no SEMM e faça a gestão das definições de firmware UEFI para dispositivos inscritos.
Inscreva as estações de ancoragem do Surface no SEMM e faça a gestão das definições de firmware UEFI para as estações de ancoragem inscritas.
Configurar as definições de UEFI para dispositivos Surface
Configurar as definições de UEFI para As Estação de Ancoragem para Surface
WinPE Images Utilize imagens WinPE para inscrever, configurar e anular a inscrição do SEMM num dispositivo Surface.
Pacotes DFI Crie pacotes DFI para inscrever dispositivos Surface Hub em SEMM e gerir definições de firmware UEFI para dispositivos Surface Hub inscritos.

Dica

Tem a opção de exigir uma palavra-passe UEFI com SEMM. Se o fizer, a palavra-passe é necessária para ver as páginas Segurança, Dispositivos, Configuração de Arranque e Gestão empresarial do UEFI do Surface.

Depois de um dispositivo ser inscrito no SEMM, o ficheiro de configuração é lido e as definições especificadas no ficheiro são aplicadas ao UEFI. Quando executa um pacote de configuração num dispositivo que já está inscrito no SEMM, a assinatura do ficheiro de configuração é verificada em relação ao certificado armazenado no firmware do dispositivo. Se a assinatura não corresponder, não serão aplicadas alterações ao dispositivo.

Dica

Os administradores com acesso ao ficheiro de certificado (.pfx) podem ler o thumbprint em qualquer altura ao abrir o ficheiro .pfx no CertMgr. Para ver o thumbprint com o CertMgr:

  1. Selecione sem soltar (ou clique com o botão direito do rato) o ficheiro .pfx e, em seguida, selecione Abrir.
  2. No painel de navegação, expanda a pasta.
  3. Selecione Certificados.
  4. No painel main, selecione sem soltar (ou clique com o botão direito do rato) o certificado e, em seguida, selecione Abrir.
  5. Selecione o separador Detalhes .
  6. No menu pendente Mostrar , Todas ou Propriedades tem de estar selecionado.
  7. Selecione o campo Thumbprint .

Para inscrever um dispositivo Surface no SEMM ou aplicar a configuração UEFI a partir de um pacote de configuração, execute o ficheiro .msi com privilégios administrativos no dispositivo Surface pretendido. Pode utilizar tecnologias de implementação de sistemas operativos ou implementação de aplicações, como o Microsoft Endpoint Configuration Manager ou o Microsoft Deployment Toolkit. Quando inscreve um dispositivo no SEMM, tem de estar fisicamente presente para confirmar a inscrição no dispositivo. Quando aplica uma configuração a dispositivos que já estão inscritos no SEMM, a interação do utilizador não é necessária.

Pedido de recuperação

Pode anular a inscrição de dispositivos Surface no SEMM através da funcionalidade Pedido de Recuperação no Toolkit de TI do Surface.

Requisitos de certificado SEMM

Quando utiliza o SEMM com o Microsoft Surface UEFI Configurator e pretende aplicar as definições de UEFI, é necessário um certificado para verificar a assinatura dos ficheiros de configuração. Este certificado garante que, após a inscrição de um dispositivo no SEMM, apenas os pacotes criados com o certificado aprovado podem ser utilizados para modificar as definições de UEFI.

Observação

Para efetuar qualquer modificação às definições DE UEFI do SEMM ou do Surface em dispositivos Surface inscritos, é necessário o certificado SEMM. Se o certificado SEMM estiver danificado ou perdido, o SEMM não pode ser removido ou reposto. Gerir o certificado SEMM em conformidade com uma solução adequada para cópia de segurança e recuperação

Os pacotes criados com a ferramenta Microsoft Surface UEFI Configurator são assinados com um certificado. Este certificado garante que, após a inscrição de um dispositivo no SEMM, apenas os pacotes criados com o certificado aprovado podem ser utilizados para modificar as definições do UEFI.

As seguintes definições são recomendadas para o certificado SEMM:

  • Algoritmo de Chave – RSA
  • Comprimento da Chave – 2048
  • Algoritmo Hash – SHA-256
  • Tipo – Autenticação do Servidor SSL
  • Utilização da Chave – Assinatura digital, Cifragem de Chaves
  • Fornecedor – Fornecedor De Criptografia AES e RSA Avançado da Microsoft
  • Data de Expiração – 15 Meses após a criação do certificado
  • Política de Exportação de Chaves – Exportável

Também é recomendado que o certificado SEMM seja autenticado numa arquitetura de infraestrutura de chaves públicas (PKI) de duas camadas em que a autoridade de certificação intermédia (AC) é dedicada ao SEMM, ativando a revogação de certificados. Para obter mais informações sobre uma configuração PKI de duas camadas, veja Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guia do Laboratório de Teste: Implementar um AD CS Two-Tier Hierarquia PKI).

Certificado autoassinado

Pode utilizar o seguinte script do PowerShell de exemplo para criar um certificado autoassinado para utilização em cenários de prova de conceito. Para utilizar este script, copie o seguinte texto para o Bloco de Notas e, em seguida, guarde o ficheiro como um script do PowerShell (.ps1).

Observação

Este script cria um certificado com uma palavra-passe de 12345678. O certificado gerado por este script não é recomendado para ambientes de produção.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Importante

Para ser utilizado com o SEMM e o Microsoft Surface UEFI Configurator, o certificado tem de ser exportado com a chave privada e com proteção por palavra-passe. O Microsoft Surface UEFI Configurator pede-lhe para selecionar o ficheiro de certificado SEMM (.pfx) e a palavra-passe do certificado.

Para criar um certificado autoassinado:

  1. Na unidade C:, crie a pasta onde irá guardar o script; por exemplo, C:\SEMM.
  2. Copie o script de exemplo para o Bloco de Notas (ou editor de texto equivalente) e, em seguida, guarde o ficheiro como um script do PowerShell (.ps1).
  3. Inicie sessão no seu computador com credenciais de administrador e, em seguida, abra uma sessão elevada do PowerShell.
  4. Certifique-se de que as suas permissões estão definidas para permitir a execução de scripts. Por predefinição, os scripts são impedidos de ser executados, a menos que modifique a política de execução. Para saber mais, veja Acerca das Políticas de Execução.
  5. Na linha de comandos, introduza o caminho completo do script e, em seguida, prima Enter. O script cria um Certificado de Demonstração com o nome TempOwner.pfx.

Em alternativa, pode criar o seu próprio certificado autoassinado com o PowerShell. Para obter mais informações, veja New-SelfSignedCertificate.

Observação

Para as organizações que utilizam uma raiz offline na respetiva infraestrutura PKI, o Microsoft Surface UEFI Configurator tem de ser executado num ambiente ligado à AC de raiz para autenticar o certificado SEMM. Os pacotes gerados pelo Microsoft Surface UEFI Configurator podem ser transferidos como ficheiros, para que possam ser transferidos para fora do ambiente de rede offline com armazenamento amovível, como uma pen USB.

FAQ sobre a gestão de certificados

O comprimento mínimo recomendado é de 15 meses. Pode utilizar um certificado que expire em menos de 15 meses ou utilize um certificado que expire em mais de 15 meses.

Observação

Quando um certificado expira, não é renovado automaticamente.

Um certificado expirado afetará a funcionalidade dos dispositivos inscritos no SEMM?

Não, um certificado só afeta as tarefas de gestão de administradores de TI no SEMM e não tem qualquer efeito na funcionalidade do dispositivo quando expira.

O pacote SEMM e o certificado terão de ser atualizados em todos os computadores que o tenham?

Se pretender que a reposição ou recuperação semm funcione, o certificado tem de ser válido e não expirado.

Os pacotes de reposição em massa podem ser criados para cada superfície que encomendarmos? Pode ser criado um que repõe todas as máquinas no nosso ambiente?

Os exemplos do PowerShell que criam um pacote de configuração para um tipo de dispositivo específico também podem ser utilizados para criar um pacote de reposição independente do número de série. Se o certificado ainda for válido, pode criar um pacote de reposição com o PowerShell para repor o SEMM.