为 Surface 设备配置 UEFI 设置

  • 项目
  • 适用于:
    Windows 11, Windows 10

本文介绍如何使用 Surface UEFI 配置器和 Surface Enterprise Management Mode (SEMM) 保护和管理在组织中部署的 Surface 设备的统一可扩展固件接口 (UEFI) 设置。 Surface UEFI 配置器不再以单独下载的形式提供,现已包含在新的 Surface IT 工具包中。

SEMM 管理的 Surface 设备的 UEFI 设置

借助 SEMM,IT 管理员可以在固件级别管理硬件组件。 例如,出于安全目的,可以关闭相机、麦克风和 USB 端口等硬件组件。 有关可用设置的完整列表,请参阅 Surface UEFI SEMM 设置参考。

Create Surface UEFI 配置包

Surface UEFI 配置包的双重用途是将新配置的 UEFI 设置应用于 SEMM 管理的 Surface 设备,并在 SEMM 中注册它们。 创建此包需要 SEMM 签名证书来保护每个设备上的 UEFI 设置。 有关详细信息,请参阅 SEMM 证书要求

使用密码保护 UEFI 设置

强烈建议在创建 UEFI 配置包时设置密码。 固件在操作系统加载之前控制硬件的初始操作。 如果未经授权的用户访问 UEFI 设置,他们可能会禁用安全功能或做出损害设备安全性和功能的更改。

显示添加密码以保护 UEFI 设置免受未经授权的人员的屏幕截图。

配置设备

“配置设备” 工具中,可以为组织中的 Surface 设备创建 UEFI 设置配置和重置程序包 (有关 Surface UEFI 设置的详细信息,请参阅 管理 Surface UEFI 设置。)

Create Surface UEFI 配置包

  1. 打开 Surface IT 工具包,选择“ UEFI 配置器>配置 Surface 设备”。
  2. “导入证书保护”下,选择“ 添加 ”以添加导出的证书文件,其中包含私钥 (.pfx) 。 选择下一步UEFI 配置的屏幕截图。
  3. 选择要配置的设备。 从托管设备中进行选择,或转到“所有设备”以选择设备和型号。 选择下一步UEFI 配置的设备选择的屏幕截图。
  4. 在“设备配置设置”页中,选择要配置的组件,然后选择 UEFI 密码设置。 完成后,选择“下一步”。 “设备配置设置”页的屏幕截图。
  5. “最终评审”页显示所选配置详细信息。 查看更改,选择“选择文件夹”以保存 UEFI 配置包,然后选择“Create”。 设备包的已完成配置的屏幕截图。

提示

记录此页上显示的证书指纹字符,如图 6 所示。 你将需要这些字符来确认在 SEMM 中注册新的 Surface 设备。 单击“ 结束 ”以完成包创建并关闭 Microsoft Surface UEFI 配置器。

  1. 完成后,选择“ 完成”。

    UEFI 配置包文件的屏幕截图。

  2. 完成后,转到所选文件夹以检索包。 此示例包修改单个 UEFI 设置,生成两个文件:

    • 可以部署到一个或多个设备的 SEMM 注册包。
    • 用于取消注册 SEMM 托管设备的重置包。

    “设备包创建”页的屏幕截图。

在 SEMM 中注册 Surface 设备

执行 Surface UEFI 配置包时,SEMM 证书和 Surface UEFI 配置文件将暂存到 Surface 设备的固件存储中。 当 Surface 设备重新启动时,Surface UEFI 会处理这些文件,并开始应用 Surface UEFI 配置或在 SEMM 中注册 Surface 设备的过程。

在 SEMM 中注册 Surface 设备之前,请确保手头有证书指纹的最后两个字符。 你需要这些字符来确认设备的注册。

若要使用 Surface UEFI 配置包在 SEMM 中注册 Surface 设备,请执行以下操作:

  1. 在想要在 SEMM 中注册的 Surface 设备上运行 Surface UEFI 配置包 .msi 文件。 这会在设备的固件中预配 Surface UEFI 配置文件。
  2. 选择“我接受许可协议检查”框中的条款以接受最终用户许可协议 (EULA) ,然后选择“安装”以开始安装过程。
  3. 选择“ 完成 ”以完成 Surface UEFI 配置包安装,并在系统提示时重启 Surface 设备。
  4. Surface UEFI 加载配置文件,并确定设备上未启用 SEMM。 Surface UEFI 开始 SEMM 注册过程,如下所示:
    • Surface UEFI 验证 SEMM 配置文件是否包含 SEMM 证书。
    • Surface UEFI 会提示输入证书指纹的最后两个字符,以确认在 SEMM 中注册 Surface 设备。
  5. Surface 设备现已在 SEMM 中注册。

可以通过在“程序和功能”或 Microsoft Surface UEFI 配置器日志中存储的事件中查找 Microsoft Surface 配置包(在 事件查看器 中的“应用程序和服务日志”下找到)来验证 Surface 设备是否已成功注册到 SEMM 中。

配置更多 Surface UEFI 设置

在 SEMM 中注册设备后,可以运行使用同一 SEMM 证书签名的其他 Surface UEFI 配置包来应用新的 Surface UEFI 设置。 这些设置会在设备下次启动时自动应用,无需用户进行任何交互。 可以使用 Microsoft Endpoint Configuration Manager 等应用程序部署解决方案将 Surface UEFI 配置包部署到 Surface 设备,以更改或管理 Surface UEFI 中的设置。

有关如何使用 Configuration Manager 部署 Windows Installer (.msi) 文件的详细信息,请参阅使用 Microsoft Endpoint Configuration Manager部署和管理应用程序