Регистрация устройств Surface в SEMM и их настройка

  • Статья
  • Применяется к:
    Windows 10, Windows 11

С помощью режима управления Microsoft Surface Enterprise (SEMM) вы можете безопасно настроить параметры Surface UEFI на устройстве Surface и управлять этими параметрами на устройствах Surface в вашей организации. Когда устройство Surface управляется SEMM, это устройство считается зарегистрированным (иногда называется активированным). В этой статье показано, как создать пакет конфигурации Surface UEFI для управления параметрами Surface UEFI и регистрации устройства Surface в SEMM.

Более общий обзор SEMM см. в разделе Режим управления Microsoft Surface Enterprise.

В качестве альтернативы SEMM новые устройства Surface поддерживают удаленное управление подмножеством параметров встроенного ПО с помощью Microsoft Intune. Дополнительные сведения см. в разделе управление Intune параметрами UEFI Surface.

Примечание.

SEMM поддерживается только в Surface Pro X через диспетчер UEFI. Дополнительные сведения см. в статье Развертывание, управление и обслуживание Surface Pro X.

Скачивание и установка Конфигуратора UEFI Microsoft Surface

Для создания пакетов SEMM используется средство Microsoft Surface UEFI Configurator. Вы можете скачать Конфигуратор Microsoft Surface UEFI на странице Средства Surface для ИТ в Центре загрузки Майкрософт. Чтобы установить, запустите файл установщика Windows (.msi) Microsoft Surface UEFI Configurator. После завершения установки найдите Конфигуратор Microsoft Surface UEFI в разделе Все приложения меню "Пуск".

Примечание.

Конфигуратор UEFI Microsoft Surface поддерживается только в Windows 10 и Windows 11.

Создание пакета конфигурации UEFI Surface

Пакет конфигурации Surface UEFI выполняет как роль применения новой конфигурации параметров Surface UEFI к устройству Surface, управляемому с помощью SEMM, так и роли регистрации устройств Surface в SEMM. Для создания пакета конфигурации требуется сертификат подписи, который будет использоваться с SEMM для защиты конфигурации параметров UEFI на каждом устройстве Surface. Дополнительные сведения о требованиях к сертификату SEMM см. в разделе Режим управления Microsoft Surface Enterprise.

Чтобы создать пакет конфигурации Surface UEFI, выполните следующие действия.

  1. Откройте Конфигуратор UEFI Microsoft Surface в меню Пуск.

  2. Нажмите кнопку Пуск.

  3. Выберите Пакет конфигурации, как показано на рис. 1.

    Создайте пакет для регистрации SEMM.

    Рисунок 1. Выберите Пакет конфигурации, чтобы создать пакет для регистрации и настройки SEMM.

  4. Выберите Защита сертификатов , чтобы добавить экспортируемый файл сертификата с закрытым ключом (PFX), как показано на рис. 2. Перейдите к расположению файла сертификата, выберите файл и нажмите кнопку ОК.

    Добавьте сертификат SEM и пароль Surface UEFI в пакет конфигурации.

    Рисунок 2. Добавление сертификата SEMM и пароля Surface UEFI в пакет конфигурации Surface UEFI

  5. При появлении запроса на подтверждение пароля сертификата введите и подтвердите пароль для файла сертификата, а затем нажмите кнопку ОК.

  6. Выберите Защита паролем , чтобы добавить пароль в Surface UEFI. Этот пароль требуется при загрузке UEFI. Если этот пароль не введен, отображаются только страницы сведения о компьютере, О программе, Корпоративное управление и Выход . Этот шаг является необязательным.

  7. При появлении запроса введите и подтвердите выбранный пароль для Surface UEFI, а затем нажмите кнопку ОК. Оставьте поле пароля пустым, если вы хотите очистить существующий пароль UEFI Surface.

  8. Если вы не хотите, чтобы пакет UEFI Surface применял к конкретному устройству, на странице Выбор типа Surface, на котором вы хотите нацелиться , выберите ползунок под соответствующим устройством, чтобы оно было в положении Выкл ., как показано на рис. 3.

    Совет

    Необходимо выбрать устройство, так как ни одно из них не выбрано по умолчанию.

    Выберите устройства для совместимости пакетов и прокрутите вправо, чтобы просмотреть все доступные устройства

    Выберите устройства для совместимости пакетов.

    Рисунок 3. Выбор устройств для совместимости пакетов

  9. Выберите Далее.

  10. Если вы хотите отключить компонент на управляемых устройствах Surface, на странице Выбор компонентов, которые требуется активировать или деактивировать , выберите ползунок рядом с любым устройством или группой устройств, которые вы хотите отключить, чтобы ползунок был в положении Выкл . (Показано на рис. 4.) Конфигурация по умолчанию для каждого устройства — Включено. Нажмите кнопку Сброс, чтобы вернуть все ползунки в положение по умолчанию.

    Отключите или включите компоненты Surface.

    Рисунок 4. Отключение или включение отдельных компонентов Surface

  11. Выберите Далее.

  12. Чтобы включить или отключить дополнительные параметры в Surface UEFI или на экране страниц Surface UEFI, на странице Выбор дополнительных параметров для устройств выберите ползунок рядом с нужным параметром, чтобы настроить этот параметр как Включено или Выключено (показано на рис. 5). В разделе Передней страницы UEFI можно использовать ползунки для безопасности, устройств и загрузки , чтобы указать, какие страницы доступны пользователям, которые загружаются в Surface UEFI. (Дополнительные сведения о параметрах UEFI Surface см. в разделе Управление параметрами UEFI Surface.) По завершении выберите Сборка.

    Управление дополнительными параметрами Surface UEFI и страницами Surface UEFI.

    Рисунок 5. Управление расширенными параметрами UEFI Surface и страницами Surface UEFI с помощью SEMM

  13. В диалоговом окне Сохранить как укажите имя пакета конфигурации Surface UEFI, перейдите в расположение, в котором вы хотите сохранить файл, и нажмите кнопку Сохранить.

  14. При создании и сохранении пакета отображается страница Успешно .

    Примечание.

    Запишите символы отпечатка сертификата, отображаемые на этой странице, как показано на рис. 6. Эти символы потребуются для подтверждения регистрации новых устройств Surface в SEMM. Нажмите кнопку Завершить , чтобы завершить создание пакета и закрыть Конфигуратор Microsoft Surface UEFI.

    Отображение символов отпечатка сертификата.

    Рисунок 6. Последние два символа отпечатка сертификата отображаются на странице Успешно

После создания пакета конфигурации Surface UEFI можно зарегистрировать или настроить устройства Surface.

Совет

При создании пакета конфигурации Surface UEFI на рабочем столе отображается файл журнала с подробными сведениями о параметрах и параметрах пакета конфигурации.

Регистрация устройства Surface в SEMM

При выполнении пакета конфигурации Surface UEFI сертификат SEMM и файлы конфигурации Surface UEFI размещаются в хранилище встроенного ПО устройства Surface. Когда устройство Surface перезагружается, Surface UEFI обрабатывает эти файлы и начинает процесс применения конфигурации Surface UEFI или регистрации устройства Surface в SEMM, как показано на рис. 7.

Процесс SEMM для настройки UEFI Surface или регистрации.

Рисунок 7. Процесс SEMM для настройки UEFI Surface или регистрации устройства Surface

Перед регистрацией устройства Surface в SEMM убедитесь, что у вас есть последние два символа отпечатка сертификата. Эти символы требуются для подтверждения регистрации устройства (см. рис. 6).

Чтобы зарегистрировать устройство Surface в SEMM с пакетом конфигурации Surface UEFI, выполните следующие действия.

  1. Запустите пакет конфигурации UEFI Surface .msi файл на устройстве Surface, которое вы хотите зарегистрировать в SEMM. Это подготавливает файл конфигурации UEFI Surface в встроенном ПО устройства.

  2. Установите флажок Я принимаю условия лицензионного соглашения проверка, чтобы принять лицензионное соглашение (EULA), и нажмите кнопку Установить, чтобы начать процесс установки.

  3. Нажмите кнопку Готово , чтобы завершить установку пакета конфигурации UEFI Surface и перезапустить устройство Surface при появлении запроса на это.

  4. Surface UEFI загружает файл конфигурации и определяет, что SEMM не включен на устройстве. Surface UEFI начинает процесс регистрации SEMM следующим образом:

    • Surface UEFI проверяет, содержит ли файл конфигурации SEMM сертификат SEMM.

    • Surface UEFI предлагает ввести последние два символа отпечатка сертификата, чтобы подтвердить регистрацию устройства Surface в SEMM, как показано на рис. 8.

      Для регистрации SEMM требуются последние два символа отпечатка сертификата..

      Рисунок 8. Для регистрации SEMM требуются последние два символа отпечатка сертификата.

    • Surface UEFI сохраняет сертификат SEMM во встроенном ПО и применяет параметры конфигурации, указанные в файле конфигурации Surface UEFI.

  5. Устройство Surface теперь зарегистрировано в SEMM.

Чтобы проверить, успешно ли зарегистрировано устройство Surface в SEMM, найдите пакет конфигурации Microsoft Surface в разделе Программы и компоненты (как показано на рис. 9) или в событиях, хранящихся в журнале Конфигуратора Microsoft Surface UEFI, в разделе Журналы приложений и служб в Просмотр событий (как показано на рис. 10).

Проверьте регистрацию устройства Surface в SEMM в разделе Программы и компоненты.

Рисунок 9. Проверьте регистрацию устройства Surface в SEMM в разделе Программы и компоненты.

Проверьте регистрацию устройства Surface в SEMM в Просмотр событий.

Рисунок 10. Проверьте регистрацию устройства Surface в SEMM в Просмотр событий.

Вы также можете убедиться, что устройство зарегистрировано в SEMM в Surface UEFI. Пока устройство зарегистрировано, Surface UEFI содержит страницу управления Enterprise (как показано на рис. 11).

Страница управления Surface UEFI Enterprise.

Рисунок 11. Страница управления Surface UEFI Enterprise

Настройка параметров UEFI Surface с помощью SEMM

После регистрации устройства в SEMM можно запустить пакеты конфигурации Surface UEFI, подписанные с помощью того же сертификата SEMM, чтобы применить новые параметры Surface UEFI. Эти параметры применяются автоматически при следующей загрузке устройства без какого-либо взаимодействия со стороны пользователя. Решения развертывания приложений, такие как Microsoft Endpoint Configuration Manager, можно использовать для развертывания пакетов конфигурации Surface UEFI на устройствах Surface, чтобы изменить параметры в UEFI Surface или управлять ими.

Дополнительные сведения о развертывании файлов установщика Windows (.msi) с помощью Configuration Manager см. в статье Развертывание приложений и управление ими с помощью microsoft Endpoint Configuration Manager.

Предположим, вы защитили Surface UEFI паролем. В этом случае пользователям без пароля, пытающимся загрузиться на Surface UEFI, отображаются только страницы сведений о компьютере, О программе, корпоративном управлении и Выходе .

Если вы не обеспечили защиту Surface UEFI паролем или пользователь правильно вводит пароль, параметры, настроенные с помощью SEMM, будут отключены (недоступны), что означает, что некоторые параметры управляются вашей организацией, как показано на рис. 12.

Параметры, управляемые SEMM, отключены в Surface UEFI.

Рисунок 12. Параметры, управляемые SEMM, будут отключены в Surface UEFI.