管理 Surface UEFI 设置

项目
04/13/2024
适用于:

Windows 10, Windows 11

Surface 设备旨在使用 Microsoft 专门为这些设备设计的独特统一可扩展固件接口 (UEFI) 。 Surface UEFI 设置允许 IT 管理员启用或禁用内置设备和组件、防止更改 UEFI 设置以及调整 Surface 设备启动设置。

支持的产品

以下 Surface 设备支持 UEFI 管理：

Surface Pro 4、Surface Pro (第 5 代) 、Surface Pro 6、Surface Pro 7、Surface Pro 7+ (商业 SKU 仅) ，Surface Pro仅) 8 (商业 SKU，Surface Pro 9 &Surface Pro 9,5G (商业 SKU 仅) ，Surface Pro 10，Surface Pro X
Surface Laptop (第一代) ， Surface Laptop 2、Surface Laptop 3 (Intel 处理器仅) 、Surface Laptop Go、Surface Laptop 4 (商业 SKU 仅) 、Surface Laptop 5 (商业 SKU 仅) 、Surface Laptop 6 (商业 SKU 仅) 、Surface Laptop SE、Surface Laptop Go 2 (商业 SKU 仅) ， Surface Laptop Go 3 (商业 SKU 仅)
Surface Studio (第一代) ，Surface Studio 2，Surface Studio 2+
Surface Book (所有) 代
Surface Laptop Studio (所有代，商业 SKU 仅)
Surface Go、Surface Go 2¹、Surface Go 3 (仅) 商业 SKU，Surface Go 4 (商业 SKU 仅)

提示

商业 SKU (又名Surface 商用版) 运行 Windows 10 专业版/Enterprise 或 Windows 11 专业版/Enterprise;使用者 SKU 运行 Windows 10/Windows 11 家庭版。在 UEFI 中，商业 SKU 是唯一具有“设备”页和“管理”页功能的模型。若要了解详细信息，请参阅查看系统信息。

支持基于云的管理

Surface UEFI 管理将设备固件配置接口 (DFCI) 配置文件内置于 Microsoft Intune (现在以公共预览版) 提供，将新式管理堆栈扩展到 UEFI 硬件级别。 DFCI 支持零接触预配，消除 BIOS 密码，提供对安全设置的控制，并为将来的高级安全方案奠定了基础。

DFCI 目前适用于以下商业设备：Surface Pro 10、Surface Pro 9、Surface Pro 9、5G、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface ProX、Surface Laptop 6、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Studio 2、Surface Laptop Studio、Surface Laptop SE、Surface Laptop Go 2、Surface Laptop Go、Surface Book 3、Surface Studio 2+、Surface Go 3 和 Surface Go 4。有关详细信息，请参阅管理 Surface 设备上的 DFCI。

若要在系统启动期间调整 UEFI 设置，请执行以下操作：

关闭 Surface 并等待大约 10 秒以确保它关闭。
长按“ 调高音量 ”按钮，同时按下并松开 “电源”按钮。
当 Microsoft 或 Surface 徽标出现在屏幕上时，请继续按住 “调高音量 ”按钮，直到出现 UEFI 屏幕。

UEFI 电脑信息页

电脑信息页面包括有关 Surface 设备的详细信息：

型号 - Surface 设备的型号（例如 Surface Laptop Studio 2 或 Surface Pro 9）在此处显示。不会 (显示设备的确切配置，例如处理器、磁盘大小或内存大小) 。
系统 UUID – 此通用唯一标识号特定于你的设备，用于在部署或管理期间标识设备。
序列号 – 此编号标识此特定 Surface 设备，用于资产标记和支持方案。
资产标记 - 使用资产标记工具将资产标记分配给 Surface 设备。

你还可以找到有关 Surface 设备的固件的详细信息。 Surface 设备具有多个内部组件，每个组件运行不同版本的固件。这些组件的固件版本显示在 电脑信息 页上。组件包括以下组件，并可能因设备而异：

系统 UEFI
SMF 控制器
SAM 控制器
Intel 管理引擎
PD 控制器
键盘控制器
触控板控制器
触摸固件

系统信息和固件版本信息。

图 1. 系统信息和固件版本信息。

在设备的 Surface 更新历史记录中可以找到有关 Surface 设备最新固件版本的最新信息。

“UEFI 安全性”页

配置 Surface UEFI 安全设置。

图 2. 配置 Surface UEFI 安全设置。

“安全”页允许设置密码来保护 UEFI 设置。在将 Surface 设备启动到 UEFI 时，必须输入此密码。密码可以包含以下字符 (，如图 3) 所示：

大写字母：A-Z
小写字母：a-z
数字：1-0
特殊字符：！@#$%^&* () ？<>{}[]-_=+|.,;:''"

密码必须至少为六个字符，并且区分大小写。

添加密码以保护 Surface UEFI 设置。

图 3. 添加密码以保护 Surface UEFI 设置。

在“安全”页上，还可以更改 Surface 设备上的安全启动配置。安全启动技术可阻止未经授权的启动代码启动 Surface 设备，这可防御 bootkit 和 rootkit 类型的恶意软件感染。可以禁用安全启动以允许 Surface 设备启动其他操作系统或可启动媒体。还可以将安全启动配置为使用其他证书，如图 4 所示。若要了解详细信息，请参阅安全启动。

配置安全启动。

图 4. 配置安全启动。

根据你的设备，你还可能会看到 TPM 是启用或禁用的。如果未看到“启用 TPM”设置，请在 Windows 中打开 tpm.msc 以检查状态，如图 5 所示。 TPM 用于通过 BitLocker 对设备的数据加密进行身份验证。若要了解详细信息，请参阅 BitLocker 概述。

TPM 控制台。

图 5. TPM 控制台。

“UEFI 设备”页

“设备”页允许打开或关闭符合条件的设备上的特定组件。组件包括：

停靠 USB 端口
MicroSD 或 SD 卡槽
后置摄像头
前置摄像头
红外 (IR) 相机
WLAN 和蓝牙
板载音频（扬声器和麦克风）

每台设备都有一个滑块 按钮，用于 移动到启用 () 或关闭 (禁用) 位置，如图 6 所示。

启用和禁用特定设备。

图 6. 启用和禁用特定设备。

UEFI 启动配置页

“启动配置”页允许更改启动设备的顺序，并启用或禁用以下设备的启动：

Windows 启动管理器
USB 存储
PXE 网络
内部存储

你可以立即从特定设备启动，或使用触摸屏向左轻扫列表中的该设备条目。还可以在关闭 Surface 设备电源时，同时按调低音量按钮和电源按钮，立即启动到 USB 设备或 USB 以太网适配器。

若要使指定的启动顺序生效，必须将 “启用备用启动序列 ”选项设置为 “开”，如图 7 所示。

配置 Surface 设备的启动顺序。

图 7. 配置 Surface 设备的启动顺序。

还可以使用“启用 IPv6 for PXE 网络启动”选项打开和关闭 对 PXE 的 IPv6 支持，例如，在使用 PXE 执行 Windows 部署时，其中 PXE 服务器仅为 IPv4 配置。

UEFI 管理页

“管理”页允许你在符合条件的设备上管理 Zero Touch UEFI 管理和其他功能的使用。

管理对 Zero Touch UEFI 管理和其他功能的访问。

图 8. 管理对 Zero Touch UEFI 管理和其他功能的访问。

使用 Zero Touch UEFI 管理，可以使用名为“设备固件配置接口” (DFCI) Intune中的设备配置文件远程管理 UEFI 设置。如果未配置此设置，则使用 DFCI 管理符合条件的设备的功能将设置为 “就绪”。若要阻止 DFCI，请选择“ 选择退出”。

“UEFI 退出”页

使用“退出”页上的“立即重启”按钮退出 UEFI 设置，如图 9 所示。

退出 Surface UEFI 并重启设备。

图 9. 选择“立即重启”退出 Surface UEFI 并重启设备。

Surface UEFI 启动屏幕

使用Windows 更新或手动安装更新 Surface 设备固件时，更新不会立即应用于设备，而是在下一个重新启动周期中。可以在管理和部署 Surface 驱动程序和固件更新中了解有关 Surface 固件更新过程的详细信息。固件更新进度显示在具有不同颜色的进度栏的屏幕上，以指示每个组件的固件。图 9 到图 18 中显示了每个组件的进度栏。

使用蓝色进度栏更新 Surface UEFI 固件。