Начало работы с режимом управления Surface Enterprise (SEMM)

• Применяется к:

  Windows 10, Windows 11

Режим управления Microsoft Surface Enterprise (SEMM) — это функция устройств Surface с единым интерфейсом встроенного ПО Surface (UEFI). SEMM можно использовать для:

• Защита параметров встроенного ПО в организации и управление ими.
• Подготовьте конфигурации параметров UEFI и установите их на устройстве Surface.

SEMM также использует сертификат для защиты конфигурации от несанкционированного изменения или удаления.

Регистрация устройств Surface в SEMM

В этой статье показано, как создать пакет конфигурации Surface UEFI для включения или отключения аппаратных компонентов на уровне встроенного ПО и регистрации устройства Surface в SEMM. Если устройства Surface настроены с помощью SEMM и защищены с помощью сертификата SEMM, они считаются зарегистрированными в SEMM. При удалении сертификата SEMM и возврате пользователю устройства управления параметрами UEFI устройство Surface считается незарегистрированным в SEMM.

Вы также можете использовать Configuration Manager конечной точки Майкрософт для управления устройствами с помощью SEMM.

В качестве альтернативы SEMM новые устройства Surface поддерживают удаленное управление подмножеством параметров встроенного ПО с помощью Microsoft Intune. Дополнительные сведения см. в разделе Управление DFCI на устройствах Surface.

Поддерживаемые устройства

SEMM доступен только на устройствах с встроенным ПО Surface UEFI, включая следующие:

• Surface Book (все поколения)
• Surface Go 4 (только коммерческие номера SKU)
• Surface Go 3 (только коммерческие номера SKU)
• Surface Go 2 (все номера SKU)
• Surface Go (все номера SKU)
• Surface Hub 2S
• Surface Laptop 6 (только коммерческие номера SKU)
• Ноутбук Surface 5 (только коммерческие номера SKU)
• Ноутбук Surface 4 (только коммерческие номера SKU)
• Ноутбук Surface 3 (только для процессоров Intel)
• Ноутбук Surface 2 (все номера SKU)
• Ноутбук Surface (все номера SKU)
• Surface Laptop Go 3 (только коммерческие номера SKU)
• Surface Laptop Go 2 (только коммерческие номера SKU)
• Surface Laptop Go (все номера SKU)
• Surface Laptop SE (все номера SKU)
• Surface Laptop Studio 2 (только коммерческие номера SKU)
• Surface Laptop Studio (только коммерческие номера SKU)
• Surface Pro 10 (только коммерческие номера SKU)
• Surface Pro 9 (только коммерческие номера SKU)
• Surface Pro 9 с 5G (только коммерческие номера SKU)
• Surface Pro 8 (только коммерческие номера SKU)
• Surface Pro 7+ (только коммерческие номера SKU)
• Surface Pro 7 (все номера SKU)
• Surface Pro 6 (все номера SKU)
• Surface Pro 5-го поколения (все номера SKU)
• Surface Pro 4 (все номера SKU)
• Surface Pro X (все номера SKU)
• Surface Studio 2+ (только коммерческие номера SKU)
• Surface Studio 2 (все номера SKU)
• Surface Studio (все номера SKU)

Совет

Коммерческие номера SKU (surface for Business) выполняются Windows 10 Pro/Enterprise или Windows 11 Pro/Enterprise; номера SKU потребителей выполняются Windows 10/Windows 11 Домашняя. Дополнительные сведения см. в разделе Просмотр сведений о системе.

Конфигуратор UEFI Surface

Основной рабочей областью SEMM является surface IT Toolkit, который содержит новый конфигуратор UEFI Surface.

Пакет конфигурации

Пакеты конфигурации Surface UEFI — это основной механизм реализации SEMM и управления ими на устройствах Surface. Эти пакеты содержат файл конфигурации и файл сертификата, как показано на рис. 2. Файл конфигурации содержит параметры UEFI, которые указываются при создании пакета в Конфигураторе UEFI Microsoft Surface. При первом запуске пакета конфигурации на устройстве Surface, которое еще не зарегистрировано в SEMM, он подготавливает файл сертификата в встроенном ПО устройства и регистрирует устройство в SEMM. При регистрации устройства в SEMM и перед сохранением сертификата и завершением регистрации вам будет предложено подтвердить операцию, указав последние две цифры отпечатка сертификата SEMM. Это подтверждение требует, чтобы пользователь физически присутствовал на устройстве во время регистрации, чтобы выполнить подтверждение.

Дополнительные сведения о требованиях к сертификату SEMM см. в разделе Требования к сертификату режима управления Surface Enterprise далее в этой статье.

Создание с помощью конфигуратора UEFI Surface

Категория	Описание	Подробнее
Пакеты MSI	Регистрация устройств Surface в SEMM и управление параметрами встроенного ПО UEFI для зарегистрированных устройств. Регистрация док-станций Surface в SEMM и управление параметрами встроенного ПО UEFI для зарегистрированных док-станций.	Настройка параметров UEFI для устройств Surface Настройка параметров UEFI для док-станций Surface
Образы WinPE	Используйте образы WinPE для регистрации, настройки и отмены регистрации SEMM на устройстве Surface.
Пакеты DFI	Create пакеты DFI для регистрации устройств Surface Hub в SEMM и управления параметрами встроенного ПО UEFI для зарегистрированных устройств Surface Hub.

Совет

Вы можете требовать пароль UEFI с ПОМОЩЬЮ SEMM. В этом случае пароль необходим для просмотра страниц Безопасность, Устройства, Конфигурация загрузки и Управление предприятием surface UEFI.

После регистрации устройства в SEMM считывается файл конфигурации, а параметры, указанные в файле, применяются к UEFI. При запуске пакета конфигурации на устройстве, которое уже зарегистрировано в SEMM, сигнатура файла конфигурации проверяется с сертификатом, хранящимся в встроенном ПО устройства. Если сигнатура не совпадает, к устройству не применяются никакие изменения.

Совет

Администраторы, имеющие доступ к файлу сертификата (PFX), могут прочитать отпечаток в любое время, открыв PFX-файл в CertMgr. Чтобы просмотреть отпечаток с помощью CertMgr, выполните следующие действия:

1. Выберите И удерживайте (или щелкните правой кнопкой мыши) PFX-файл, а затем выберите Открыть.
2. В области навигации разверните папку.
3. Выберите Сертификаты.
4. В области main выберите и удерживайте (или щелкните правой кнопкой мыши) сертификат, а затем выберите Открыть.
5. Перейдите на вкладку Сведения .
6. В раскрывающемся меню Показать должен быть выбран параметр Все или Только свойства .
7. Выберите поле Отпечаток .

Чтобы зарегистрировать устройство Surface в SEMM или применить конфигурацию UEFI из пакета конфигурации, запустите файл .msi с правами администратора на предполагаемом устройстве Surface. Вы можете использовать технологии развертывания приложений или операционных систем, такие как Microsoft Endpoint Configuration Manager или Microsoft Deployment Toolkit. При регистрации устройства в SEMM необходимо физически присутствовать для подтверждения регистрации на устройстве. При применении конфигурации к устройствам, которые уже зарегистрированы в SEMM, взаимодействие с пользователем не требуется.

Запрос на восстановление

Вы можете отменить регистрацию устройств Surface из SEMM с помощью функции запроса на восстановление в наборе средств ДЛЯ ИТ-специалистов Surface.

Требования к сертификатам SEMM

Если вы используете SEMM с конфигуратором UEFI Microsoft Surface и хотите применить параметры UEFI, для проверки подписи файлов конфигурации требуется сертификат. Этот сертификат гарантирует, что после регистрации устройства в SEMM для изменения параметров UEFI можно использовать только пакеты, созданные с утвержденным сертификатом.

Примечание.

Чтобы внести какие-либо изменения в параметры SEMM или Surface UEFI на зарегистрированных устройствах Surface, требуется сертификат SEMM. Если сертификат SEMM поврежден или потерян, его невозможно удалить или сбросить. Соответствующим образом управляйте сертификатом SEMM с помощью соответствующего решения для резервного копирования и восстановления

Пакеты, созданные с помощью средства конфигуратора UEFI Microsoft Surface, подписываются сертификатом. Этот сертификат гарантирует, что после регистрации устройства в SEMM для изменения параметров UEFI можно использовать только пакеты, созданные с утвержденным сертификатом.

Рекомендуемые параметры сертификата

Для сертификата SEMM рекомендуется использовать следующие параметры:

• Алгоритм ключей — RSA
• Длина ключа — 2048
• Хэш-алгоритм — SHA-256
• Тип — проверка подлинности SSL-сервера
• Использование ключа — цифровая подпись, шифрование ключей
• Поставщик — расширенный поставщик RSA (Майкрософт) и поставщик шифрования AES
• Дата окончания срока действия — 15 месяцев с момента создания сертификата
• Политика экспорта ключей — экспортируемая

Также рекомендуется, чтобы сертификат SEMM прошел проверку подлинности в двухуровневой архитектуре инфраструктуры открытых ключей (PKI), где промежуточный центр сертификации (ЦС) выделен для SEMM, что позволяет отзывать сертификат. Дополнительные сведения о двухуровневой конфигурации PKI см. в статье Руководство по лаборатории тестирования: Развертывание AD CS Two-Tier иерархии PKI.

Самозаверяющий сертификат

Вы можете использовать следующий пример скрипта PowerShell для создания самозаверяющего сертификата для использования в сценариях подтверждения концепции. Чтобы использовать этот скрипт, скопируйте следующий текст в Блокнот, а затем сохраните файл в виде скрипта PowerShell (.ps1).

Примечание.

Этот скрипт создает сертификат с паролем 12345678. Сертификат, созданный этим скриптом, не рекомендуется использовать для рабочих сред.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Важно.

Для использования с SEMM и Конфигуратором UEFI Microsoft Surface сертификат должен быть экспортирован с закрытым ключом и защитой паролем. Конфигуратор UEFI Microsoft Surface предлагает выбрать файл сертификата SEMM (PFX) и пароль сертификата.

Чтобы создать самозаверяющий сертификат, выполните приведенные далее действия.

1. На диске C: создайте папку, в которой будет сохранен скрипт; например, C:\SEMM.
2. Скопируйте пример сценария в Блокнот (или эквивалентный текстовый редактор), а затем сохраните файл как скрипт PowerShell (.ps1).
3. Войдите на компьютер с учетными данными администратора, а затем откройте сеанс PowerShell с повышенными привилегиями.
4. Убедитесь, что для ваших разрешений задано разрешение на выполнение скриптов. По умолчанию выполнение скриптов блокируется, если вы не измените политику выполнения. Дополнительные сведения см. в разделе О политиках выполнения.
5. В командной строке введите полный путь к скрипту и нажмите клавишу ВВОД. Скрипт создает демонстрационный сертификат с именем TempOwner.pfx.

Кроме того, можно создать собственный самозаверяющий сертификат с помощью PowerShell. Дополнительные сведения см. в разделе New-SelfSignedCertificate.

Примечание.

Для организаций, использующих автономный корневой каталог в инфраструктуре PKI, конфигуратор UEFI Microsoft Surface должен выполняться в среде, подключенной к корневому ЦС, для проверки подлинности сертификата SEMM. Пакеты, созданные Конфигуратором UEFI Microsoft Surface, можно передавать в виде файлов, чтобы их можно было перенести за пределы автономной сетевой среды со съемным носителем, например USB-накопителем.

Часто задаваемые вопросы об управлении сертификатами

Рекомендуемая минимальная продолжительность составляет 15 месяцев. Вы можете использовать сертификат, срок действия которого истекает менее чем через 15 месяцев, или сертификат, срок действия которого истекает дольше 15 месяцев.

Примечание.

По истечении срока действия сертификата он не обновляется автоматически.

Повлияет ли срок действия сертификата на функциональность устройств, зарегистрированных в SEMM?

Нет, сертификат влияет только на задачи управления ИТ-администраторами в SEMM и не влияет на функциональность устройства по истечении срока действия.

Нужно ли обновлять пакет SEMM и сертификат на всех компьютерах, на которых они имеются?

Если вы хотите, чтобы сброс или восстановление SEMM работали, сертификат должен быть действительным, а не истек срок действия.

Можно ли создавать пакеты массового сброса для каждой упорядоченной поверхности? Можно ли сбросить все компьютеры в нашей среде?

Примеры PowerShell, которые создают пакет конфигурации для определенного типа устройства, также можно использовать для создания пакета сброса, который не зависит от серийного номера. Если сертификат по-прежнему действителен, можно создать пакет сброса с помощью PowerShell для сброса SEMM.