Управление параметрами UEFI Surface

  • Статья
  • Применяется к:
    Windows 10, Windows 11

Устройства Surface предназначены для использования уникального интерфейса UEFI, разработанного корпорацией Майкрософт специально для этих устройств. Параметры UEFI Surface позволяют ИТ-администраторам включать или отключать встроенные устройства и компоненты, защищать параметры UEFI от изменения и настраивать параметры загрузки устройства Surface.

Поддерживаемые продукты

Управление UEFI поддерживается на следующих устройствах Surface:

  • Surface Pro 4, Surface Pro (5-го поколения), Surface Pro 6, Surface Pro 7, Surface Pro 7+ (только коммерческие номера SKU), Surface Pro 8 (только коммерческие SKU), Surface Pro 9 & Surface Pro 9 с 5G (только коммерческие SKU), Surface Pro 10, Surface Pro X
  • Surface Laptop (1-го поколения), Surface Laptop 2, Surface Laptop 3 (только процессоры Intel), Surface Laptop Go, Surface Laptop 4 (только коммерческие SKU), Surface Laptop 5 (только коммерческие SKU), Surface Laptop 6 (только коммерческие SKU), Surface Laptop SE, Surface Laptop Go 2 (только коммерческие SKU), Surface Laptop Go 3 (только коммерческие SKU)
  • Surface Studio (1-е поколение), Surface Studio 2, Surface Studio 2+
  • Surface Book (все поколения)
  • Surface Laptop Studio (все поколения, только коммерческие номера SKU)
  • Surface Go, Surface Go 21, Surface Go 3 (только коммерческие номера SKU), Surface Go 4 (только коммерческие номера SKU)

Совет

Коммерческие номера SKU (surface for Business) выполняются Windows 10 Pro/Enterprise или Windows 11 Pro/Enterprise; номера SKU потребителей выполняются Windows 10/Windows 11 Домашняя. В UEFI коммерческие номера SKU являются единственными моделями, на которых представлены страницы Устройства и Управление. Дополнительные сведения см. в разделе Просмотр сведений о системе.

Поддержка облачного управления

Благодаря профилям интерфейса конфигурации встроенного ПО устройства (DFCI), встроенным в Microsoft Intune (теперь доступно в общедоступной предварительной версии), управление UEFI Surface расширяет современный стек управления до уровня оборудования UEFI. DFCI поддерживает подготовку с нуля, устраняет пароли BIOS, обеспечивает управление параметрами безопасности и создает основу для сложных сценариев безопасности в будущем.

В настоящее время DFCI доступен для следующих коммерческих устройств: Surface Pro 10, Surface Pro 9, Surface Pro 9 с 5G, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Laptop 6, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Studio 2, Surface Laptop Studio, Surface Laptop Studio, Surface Laptop SE, Surface Laptop Go 2, Surface Laptop Go, Surface Book 3, Surface Studio 2+, Surface Go 3 и Surface Go 4. Дополнительные сведения см. в разделе Управление DFCI на устройствах Surface.

Открытие меню UEFI Surface

Чтобы настроить параметры UEFI во время запуска системы, выполните следующие действия:

  1. Завершите работу Surface и подождите около 10 секунд, чтобы убедиться, что он выключен.
  2. Нажмите и удерживайте кнопку Увеличения громкости , а затем нажмите и отпустите кнопку Питания.
  3. Когда на экране появится логотип Microsoft или Surface, продолжайте удерживать кнопку Увеличения громкости , пока не появится экран UEFI.

Страница сведений о компьютере UEFI

На странице сведений о компьютере содержатся подробные сведения об устройстве Surface:

  • Модель — модель устройства Surface, например Surface Laptop Studio 2 или Surface Pro 9, отображается здесь. Точная конфигурация устройства не отображается (например, процессор, размер диска или объем памяти).

  • System UUID — этот универсальный уникальный идентификационный номер относится к вашему устройству и используется для идентификации устройства во время развертывания или управления.

  • Серийный номер . Этот номер определяет это устройство Surface для тегов ресурсов и сценариев поддержки.

  • Тег ресурса — тег ресурса назначается устройству Surface с помощью средства тегов активов.

Вы также можете найти подробные сведения о встроенном ПО устройства Surface. Устройства Surface включают несколько внутренних компонентов, работающих под управлением разных версий встроенного ПО. Версии встроенного ПО для этих компонентов отображаются на странице сведений о компьютере . Компоненты включают следующие компоненты и могут отличаться в зависимости от устройства:

  • UEFI системы;
  • Контроллер SMF
  • контроллер SAM;
  • модуль управления Intel;
  • Контроллер PD
  • Контроллер клавиатуры
  • Контроллер Trackpad
  • встроенное ПО сенсорного управления.

Сведения о системе и версии встроенного ПО.

Рисунок 1. Сведения о системе и версии встроенного ПО.

Вы можете найти актуальные сведения о последней версии встроенного ПО для вашего устройства Surface в журнале обновлений Surface для этого устройства.

Страница "Безопасность UEFI"

Настройте параметры безопасности Surface UEFI.

Рисунок 2. Настройте параметры безопасности Surface UEFI.

На странице Безопасность можно задать пароль для защиты параметров UEFI. Этот пароль необходимо ввести при загрузке устройства Surface в режиме UEFI. Пароль может содержать следующие символы (как показано на рис. 3):

  • Прописные буквы: A–Z

  • Строчные буквы: a–z

  • Цифры: 1–10

  • Специальные символы: !@#$%^&*()?<>{}[]-_=+|.,;:''"

Пароль должен содержать не менее шести символов с учетом регистра.

Добавьте пароль для защиты параметров UEFI Surface.

Рисунок 3. Добавьте пароль для защиты параметров UEFI Surface.

На странице Безопасность можно также изменить конфигурацию безопасной загрузки на устройстве Surface. Технология безопасной загрузки предотвращает загрузку несанкционированного кода на устройстве Surface, обеспечивая защиту от заражений буткитами и руткитами. Вы можете отключить безопасную загрузку, чтобы позволить устройству Surface загружать другие операционные системы или загрузочный носитель. Вы также можете настроить безопасную загрузку для работы с другими сертификатами, как показано на рис. 4. Дополнительные сведения см. в статье Безопасная загрузка.

Настройка безопасной загрузки.

Рисунок 4. Настройка безопасной загрузки.

В зависимости от устройства вы также можете увидеть, включен или отключен доверенный платформенный модуль. Если параметр Включить TPM не отображается, откройте tpm.msc в Windows, чтобы проверка состояние, как показано на рис. 5. TPM используется для проверки подлинности шифрования данных устройства с помощью BitLocker. Дополнительные сведения см. в статье Общие сведения о BitLocker.

Консоль доверенного платформенного модуля.

Рисунок 5. Консоль доверенного платформенного модуля.

Страница "Устройства UEFI"

На странице Устройства можно включить или отключить определенные компоненты на подходящих устройствах. Компоненты состоят из следующих компонентов:

  • Док-порт USB

  • разъем для карты MicroSD или SD;

  • задняя камера;

  • лицевая камера;

  • инфракрасная камера;

  • Wi-Fi и Bluetooth;

  • встроенная аудиосистема (динамики и микрофон).

Каждое устройство имеет ползунок для перехода в положение Включено (включено) или Выключено (отключено), как показано на рис. 6.

Включение и отключение определенных устройств.

Рисунок 6. Включение и отключение определенных устройств.

Страница конфигурации загрузки UEFI

На странице Конфигурация загрузки можно изменить порядок загрузочных устройств и включить или отключить загрузку следующих устройств:

  • диспетчер загрузки Windows;

  • USB-накопитель;

  • сеть PXE;

  • внутренняя память.

Вы можете загрузить с определенного устройства немедленно или провести пальцем влево по записи этого устройства в списке с помощью сенсорного экрана. Вы также можете мгновенно загрузить систему на USB-устройство или USB-адаптер для Ethernet, когда устройство Surface отключено, одновременно нажав кнопки уменьшения громкости и включения.

Чтобы указанный порядок загрузки действовал, необходимо задать для параметра Включить альтернативную последовательность загрузки значение Включено, как показано на рис. 7.

Настройте порядок загрузки для устройства Surface.

Рисунок 7. Настройте порядок загрузки для устройства Surface.

Вы также можете включить и отключить поддержку IPv6 для PXE с помощью параметра Включить сетевую загрузку IPv6 для PXE , например при выполнении развертывания Windows с помощью PXE, где PXE-сервер настроен только для IPv4.

Страница управления UEFI

На странице Управление можно управлять использованием UEFI Zero Touch Management и другими функциями на соответствующих устройствах.

Управление доступом к Zero Touch UEFI Management и другим функциям.

Рисунок 8. Управление доступом к Zero Touch UEFI Management и другим функциям.

Zero Touch UEFI Management позволяет удаленно управлять параметрами UEFI с помощью профиля устройства в Intune, называемого интерфейсом конфигурации встроенного ПО устройства (DFCI). Если этот параметр не настроен, для возможности управления соответствующими устройствами с помощью DFCI будет задано значение Готово. Чтобы запретить DFCI, выберите Отказ.

Страница выхода из UEFI

Используйте кнопку Перезапустить сейчас на странице Выход , чтобы выйти из параметров UEFI, как показано на рис. 9.

Закройте Surface UEFI и перезапустите устройство.

Рисунок 9. Выберите Перезапустить сейчас, чтобы выйти из Surface UEFI и перезапустить устройство.

Экраны загрузки UEFI Surface

При обновлении встроенного ПО устройства Surface с помощью клиентский компонент Центра обновления Windows или ручной установки обновления применяются к устройству не сразу, а во время следующего цикла перезагрузки. Дополнительные сведения о процессе обновления встроенного ПО Surface см. в статье Управление обновлениями драйверов и встроенного ПО Surface и их развертывание. Ход обновления встроенного ПО отображается на экране с индикаторами выполнения разных цветов, указывающими встроенное ПО для каждого компонента. Индикатор выполнения каждого компонента показан на рис. 9–18.

Обновление встроенного ПО UEFI Surface с синим индикатором выполнения.

Рисунок 10. В обновлении встроенного ПО Surface UEFI отображается синяя индикатор выполнения.

Встроенное ПО встроенного контроллера системы с зеленым индикатором выполнения.

Рисунок 11. В обновлении встроенного ПО встроенного ПО системного контроллера отображается зеленый индикатор выполнения.

Обновление встроенного ПО контроллера SAM с оранжевым индикатором выполнения.

Рисунок 12. В обновлении встроенного ПО контроллера SAM отображается оранжевый индикатор выполнения.

Встроенное ПО обработчика управления Intel с красной индикатором выполнения.

Рисунок 13. В обновлении встроенного ПО обработчика управления Intel отображается красный индикатор выполнения.

Встроенное ПО сенсорного ввода Surface с серым индикатором выполнения.

Рисунок 14. В обновлении встроенного ПО сенсорного ввода Surface отображается серый индикатор выполнения.

Встроенное ПО Surface KIP со светло-зеленым индикатором выполнения.

Рис. 15. В обновлении встроенного ПО Surface KIP отображается светло-зеленый индикатор выполнения.

Встроенное ПО Surface ISH с розовым индикатором выполнения.

Рис. 16 В обновлении встроенного ПО Surface ISH отображается светло-розовый индикатор выполнения.

Встроенное ПО Surface Trackpad с серым индикатором выполнения.

Рис. 17. В обновлении встроенного ПО Surface Trackpad отображается розовый индикатор выполнения.

Встроенное ПО Surface TCON со светло-серым индикатором выполнения.

Рисунок 18. В обновлении встроенного ПО Surface TCON отображается светло-серый индикатор выполнения.

Встроенное ПО доверенного платформенного модуля Surface со светло-фиолетовым индикатором выполнения.

Рисунок 19. В обновлении встроенного ПО доверенного платформенного модуля Surface отображается фиолетовый индикатор выполнения.

Примечание.

Появится дополнительное предупреждающее сообщение о том, что безопасная загрузка отключена, как показано на рис. 19.

Загрузочный экран Surface, указывающий, что безопасная загрузка отключена.

Рисунок 20. Загрузочный экран Surface, указывающий, что безопасная загрузка отключена в параметрах Surface UEFI.

Ссылки

  1. Surface Go и Surface Go 2 используют сторонние UEFI и не поддерживают DFCI.