Microsoft Surface Enterprise Management Mode (SEMM)

  • 项目
  • 适用于:
    Windows 10, Windows 11

Microsoft Surface Enterprise Management Mode (SEMM) 是 Surface 设备的一项功能,其 Surface 统一可扩展固件接口 (UEFI) 。 可以使用 SEMM 来:

  • 保护和管理组织中的固件设置。
  • 准备 UEFI 设置配置并将其安装在 Surface 设备上。

SEMM 还使用证书来保护配置免受未经授权的篡改或删除。 若要将 Surface Hub 2S 迁移到Windows 10 专业版或 Windows 企业版,需要 SEMM。

支持的设备

SEMM 仅适用于具有 Surface UEFI 固件的设备,包括:

  • Surface Book (所有) 代
  • Surface Go 4 (商业 SKU 仅)
  • Surface Go 3 (商业 SKU 仅)
  • Surface Go 2 (所有 SKU)
  • Surface Go (所有 SKU)
  • Surface Hub 2S
  • Surface Laptop 5 (商业 SKU 仅)
  • Surface Laptop 4 (商业 SKU 仅)
  • Surface Laptop 3 (Intel 处理器仅)
  • Surface Laptop 2 (所有 SKU)
  • Surface Laptop (所有 SKU)
  • Surface Laptop Go 3 (商业 SKU 仅)
  • Surface Laptop Go 2 (商业 SKU 仅)
  • Surface Laptop Go (所有 SKU)
  • Surface Laptop SE (所有 SKU)
  • Surface Laptop Studio 2 仅) (商业 SKU
  • Surface Laptop Studio 仅 (商业 SKU)
  • Surface Pro仅) 9 (个商业 SKU
  • Surface Pro 9,5G (商业 SKU 仅)
  • Surface Pro仅) 8 (商业 SKU
  • Surface Pro 7 个以上 (个商业 SKU,仅)
  • Surface Pro 7 (所有 SKU)
  • Surface Pro 6 (所有 SKU)
  • Surface Pro第 5 代 (所有 SKU)
  • Surface Pro 4 (所有 SKU)
  • Surface Pro X (所有 SKU)
  • Surface Studio 2 个以上 (个商业 SKU,仅)
  • Surface Studio 2 (所有 SKU)
  • Surface Studio (所有 SKU)

提示

商业 SKU (又名Surface 商用版) 运行 Windows 10 专业版/Enterprise 或 Windows 11 专业版/Enterprise;使用者 SKU 运行 Windows 10/Windows 11 家庭版。 若要了解详细信息,请参阅 查看系统信息

入门

当 Surface 设备由 SEMM 配置并使用 SEMM 证书进行保护时,它们被视为在 SEMM 中 注册 。 当删除 SEMM 证书并将 UEFI 设置的控制返回到设备的用户时,Surface 设备将被视为在 SEMM 中 未注册

有两个管理选项可用于管理 SEMM 和注册 Surface 设备:

Microsoft Surface UEFI 配置器

SEMM 的主要工作区是 Microsoft Surface UEFI 配置器,如图 1 所示。

可以使用 Microsoft Surface UEFI 配置器来:

  • 创建 Windows Installer (.msi) 包。
  • 使用 WinPE 映像在 Surface 设备上注册、配置和取消注册 SEMM。

这些包包含一个配置文件,该文件指定 UEFI 设置。 SEMM 包还包含一个证书,该证书已安装并存储在固件中,用于在应用 UEFI 设置之前验证配置文件的签名。

提示

现在可以使用 Surface UEFI 配置器和 SEMM 来管理 Surface Dock 2 或 Surface Thunderbolt 4 Dock 上的端口。 若要了解详细信息,请参阅 使用 SEMM 保护 Surface Dock 端口

Microsoft Surface UEFI 配置器。

图 1. Microsoft Surface UEFI 配置器

可以在三种模式下使用 Microsoft Surface UEFI 配置器工具:

  • Surface UEFI 配置包。 使用此模式可以创建 Surface UEFI 配置包,以在 SEMM 中注册 Surface 设备,并在已注册的设备上配置 UEFI 设置。
  • Surface UEFI 重置包。 使用此模式从 SEMM 取消注册 Surface 设备。
  • Surface UEFI 恢复请求。 使用此模式可响应恢复请求,以从 SEMM 取消注册“重置程序包”操作失败的 Surface 设备。

下载 Microsoft Surface UEFI 配置器

可以从 Microsoft 下载中心的 Surface IT 工具 页面下载 Microsoft Surface UEFI 配置器。

  • 对于 Intel/AMD 设备,请下载: SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
  • 对于 ARM 设备,请下载: SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

配置包

Surface UEFI 配置包是在 Surface 设备上实现和管理 SEMM 的主要机制。 这些包包含配置文件和证书文件,如图 2 所示。 配置文件包含在 Microsoft Surface UEFI 配置器中创建包时指定的 UEFI 设置。 当配置包首次在尚未在 SEMM 中注册的 Surface 设备上运行时,它会在设备的固件中预配证书文件,并在 SEMM 中注册设备。 在 SEMM 中注册设备时,在存储证书并完成注册之前,系统会提示你通过提供 SEMM 证书指纹的最后两位数字来确认操作。 此确认要求用户在注册期间实际出现在设备上才能执行确认。

使用证书保护 SEMM 配置包。

图 2. 使用证书保护 SEMM 配置包

有关 SEMM 证书要求的详细信息,请参阅本文后面的 Surface Enterprise Management Mode 证书要求 部分。

提示

可以选择要求使用 SEMM 的 UEFI 密码。 如果这样做,则需要密码才能查看 Surface UEFI 的“安全性”、“设备”、“启动配置”和“企业管理”页。

在 SEMM 中注册设备后,将读取配置文件,并且该文件中指定的设置将应用于 UEFI。 在已在 SEMM 中注册的设备上运行配置包时,会根据存储在设备固件中的证书检查配置文件的签名。 如果签名不匹配,则不会对设备应用任何更改。

使用 SEMM 启用或禁用 Surface UEFI 中的设备

以下列表显示了可在 SEMM 中管理的所有可用设备:

  • 停靠 USB 端口
  • 板载音频
  • 数字图形处理单元
  • 键盘盖
  • Micro SD 卡
  • 前置摄像头
  • 后置摄像头
  • 用于Windows Hello) 的红外相机 (
  • 仅限蓝牙
  • 无线网络和蓝牙
  • LTE) (长期演变
  • 离散 GPU (dGPU)
  • 板载麦克风
  • MAC 地址仿真
  • 有线局域网
  • 近场通信 (NFC)

注意

在“UEFI 设备”页上,内置设备可能会有所不同,具体取决于你的设备或公司环境。 例如,Surface Pro X 不支持 UEFI 设备页;LTE 仅在配备 LTE 的设备上显示。

使用 SEMM 配置高级设置

表 1. 高级设置

设置 描述
用于 PXE 启动的 IPv6 允许管理 PXE 启动的 IPv6 支持。 如果未配置此设置,则会启用对 PXE 启动的 IPv6 支持。
备用启动 允许在启动期间同时按“调低音量”按钮和“电源”按钮来管理备用启动顺序的使用,以便直接启动到 USB 或以太网设备。 如果未配置此设置,则会启用备用启动。
启动顺序锁 允许锁定启动顺序以防止更改。 如果未配置此设置,则会禁用启动顺序锁定。
USB 启动 允许你管理 USB 设备的启动。 如果未配置此设置,则会启用 USB 启动。
网络堆栈 允许管理网络堆栈启动设置。 如果未配置此设置,则会启用管理网络堆栈启动设置的功能。
自动开机 允许管理自动开机启动设置。 如果未配置此设置,则启用自动开机。
同步多线程 (SMT) 允许管理同时多线程 (SMT) 启用或禁用超线程处理。 如果未配置此设置,则启用 SMT。
启用电池限制 允许管理电池限制功能。 如果未配置此设置,则启用电池限制
安全性 显示“Surface UEFI 安全性” 页。 如果未配置此设置,将显示“安全性”页。
设备 显示“Surface UEFI 设备” 页。 如果未配置此设置,将显示“设备”页。
靴子 显示 Surface UEFI 启动 页。 如果未配置此设置,则会显示“启动”页。
DateTime 显示 Surface UEFI DateTime 页。 如果未配置此设置,将显示“DateTime”页。
EnableOSMigration 允许将 Surface Hub 2S 从 Windows 10 协同版 迁移到 Windows 10/11 专业版或企业版。 如果未配置此设置,则 Surface Hub 2S 设备只能运行Windows 10 协同版 OS。 注意:Windows 10 协同版 和 Windows 10/11 专业版/企业版之间的双重启动在 Surface Hub 2S 上不可用。
安全核心 允许管理安全核心功能。 如果未配置此设置,则会在受支持的设备上启用安全核心功能。
LAN 唤醒 允许管理 LAN 唤醒功能。 如果未配置此设置,则会在受支持的设备上启用 LAN 唤醒。
电源唤醒 允许管理电源唤醒功能。 如果未配置此设置,则会在受支持的设备上禁用电源唤醒。

提示

创建 SEMM 配置包时, “成功 ”页上会显示两个字符,如图 3 所示。

证书指纹显示。

图 3. 在“成功”页上显示证书指纹的最后两个字符

这些字符是证书指纹的最后两个字符,应记下或记录。 需要这些字符才能确认在 Surface 设备上注册 SEMM,如图 4 所示。

SEMM 中的注册确认。

图 4. 使用 SEMM 证书指纹在 SEMM 中确认注册

提示

有权访问证书文件 (.pfx 的管理员) 可以随时通过在 CertMgr 中打开 .pfx 文件来读取指纹。 使用 CertMgr 查看指纹:

  1. 选择并按住 (或右键单击) .pfx 文件,然后选择“ 打开”。
  2. 在导航窗格中,展开 文件夹。
  3. 选择“ 证书”。
  4. 在“main”窗格中,选择并按住 (或右键单击) 证书,然后选择“打开”。
  5. 选择“ 详细信息 ”选项卡。
  6. “显示”下拉菜单中,必须选择“全部”或“仅属性”。
  7. 选择“ 指纹” 字段。

若要在 SEMM 中注册 Surface 设备或从配置包应用 UEFI 配置,请在预期的 Surface 设备上以管理权限运行 .msi 文件。 可以使用应用程序部署或操作系统部署技术,例如 Microsoft Endpoint Configuration ManagerMicrosoft Deployment Toolkit。 在 SEMM 中注册设备时,必须在现场确认设备上的注册。 将配置应用于已在 SEMM 中注册的设备时,不需要用户交互。

有关如何在 SEMM 中注册 Surface 设备或使用 SEMM 应用 Surface UEFI 配置的分步演练,请参阅 使用 SEMM 注册和配置 Surface 设备

重置包

Surface UEFI 重置包仅用于执行一项任务 - 从 SEMM 取消注册 Surface 设备。 重置包包含从设备固件中删除 SEMM 证书以及将 UEFI 设置重置为出厂默认设置的已签名说明。 与 Surface UEFI 配置包一样,重置包必须使用在 Surface 设备上预配的相同 SEMM 证书进行签名。 创建 SEMM 重置包时,需要提供要重置的 Surface 设备的序列号。 SEMM 重置包不是通用的 ,它们特定于一台设备。

恢复请求

在某些情况下,可能无法使用 Surface UEFI 重置包。 (例如,如果 Windows 在 Surface 设备上不可用。) 在这些情况下,可以通过 Surface UEFI 的企业管理 页面从 SEMM 取消注册 Surface 设备, (如图 5 所示,) 使用恢复请求操作。

启动 SEMM 恢复请求。

图 5. 在“企业管理”页上启动 SEMM 恢复请求

使用 “企业管理 ”页上的流程在 Surface 设备上重置 SEMM 时,系统会提供重置请求。 此重置请求可以另存为文件保存到 U 盘、复制为文本或使用移动设备作为 QR 码进行阅读,以便轻松通过电子邮件发送或发送消息。 使用 Microsoft Surface UEFI 配置器重置请求选项加载重置请求文件或输入重置请求文本或 QR 码。 Microsoft Surface UEFI 配置器生成可在 Surface 设备上输入的验证码。 如果在 Surface 设备上输入代码并选择“ 重启”,则设备将从 SEMM 中取消注册。

注意

重置请求在创建两小时后过期。

有关如何从 SEMM 取消注册 Surface 设备的分步演练,请参阅 从 SEMM 取消注册 Surface 设备

Surface Enterprise Management Mode 证书要求

当你将 SEMM 与 Microsoft Surface UEFI 配置器配合使用并想要应用 UEFI 设置时,需要证书来验证配置文件的签名。 此证书可确保设备在 SEMM 中注册后,只能使用已批准的证书创建的包来修改 UEFI 设置。

注意

若要对已注册 Surface 设备上的 SEMM 或 Surface UEFI 设置进行任何修改,需要 SEMM 证书。 如果 SEMM 证书损坏或丢失,则无法删除或重置 SEMM。 使用适当的备份和恢复解决方案相应地管理 SEMM 证书

使用 Microsoft Surface UEFI 配置器工具创建的包使用证书进行签名。 此证书可确保在 SEMM 中注册设备后,只能使用已批准的证书创建的包来修改 UEFI 的设置。

建议对 SEMM 证书使用以下设置:

  • 密钥算法 - RSA
  • 密钥长度 - 2048
  • 哈希算法 - SHA-256
  • 类型 - SSL 服务器身份验证
  • 密钥用法 - 数字签名、密钥加密
  • 提供程序 - Microsoft 增强型 RSA 和 AES 加密提供程序
  • 到期日期 - 证书创建后 15 个月
  • 密钥导出策略 - 可导出

此外,建议在 PKI () 体系结构的两层公钥基础结构中对 SEMM 证书进行身份验证,其中中间证书颁发机构 (CA) 专用于 SEMM,从而实现证书吊销。 有关两层 PKI 配置的详细信息,请参阅 测试实验室指南:部署 AD CS Two-Tier PKI 层次结构

自签名证书

可以使用以下示例 PowerShell 脚本创建用于概念证明方案的自签名证书。 若要使用此脚本,请将以下文本复制到记事本中,然后将该文件另存为 PowerShell 脚本 (.ps1) 。

注意

此脚本创建密码为 的 12345678证书。 不建议将此脚本生成的证书用于生产环境。

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

重要提示

若要与 SEMM 和 Microsoft Surface UEFI 配置器一起使用,必须使用私钥和密码保护导出证书。 Microsoft Surface UEFI 配置器会提示你选择 SEMM 证书文件 (.pfx) 和证书密码。

若要创建自签名证书,请执行以下操作:

  1. 在 C: 驱动器上,创建用于保存脚本的文件夹;例如 C:\SEMM。
  2. 将示例脚本复制到记事本 (或等效的文本编辑器) ,然后将该文件另存为 PowerShell 脚本 (.ps1) 。
  3. 使用管理员凭据登录到计算机,然后打开提升的 PowerShell 会话。
  4. 请确保将权限设置为允许脚本运行。 默认情况下,除非修改执行策略,否则将阻止脚本运行。 若要了解详细信息,请参阅 关于执行策略
  5. 在命令提示符下,输入脚本的完整路径,然后按 Enter。 该脚本创建名为 TempOwner.pfx 的演示证书。

或者,可以使用 PowerShell 创建自己的自签名证书。 有关详细信息,请参阅 New-SelfSignedCertificate

注意

对于在其 PKI 基础结构中使用脱机根的组织,必须在连接到根 CA 的环境中运行 Microsoft Surface UEFI 配置器,才能对 SEMM 证书进行身份验证。 Microsoft Surface UEFI 配置器生成的包可以作为文件传输,因此可以使用可移动存储(如 U 盘)将其传输到脱机网络环境之外。

管理证书常见问题解答

建议 的最短 长度为 15 个月。 可以使用在 15 个月内过期的证书,或使用过期时间超过 15 个月的证书。

注意

证书过期后,它不会自动续订。

过期的证书是否会影响已注册 SEMM 的设备的功能?

否,证书仅影响 SEMM 中的 IT 管理员管理任务,在过期时不会影响设备功能。

是否需要在具有 SEMM 包和证书的所有计算机上更新?

如果希望 SEMM 重置或恢复正常工作,则证书必须有效且不会过期。

是否可以为订购的每个图面创建批量重置包? 是否可以生成一个重置环境中所有计算机?

为特定设备类型创建配置包的 PowerShell 示例也可用于创建独立于序列号的重置包。 如果证书仍然有效,可以使用 PowerShell 创建重置包来重置 SEMM。

版本历史记录

版本 2.105.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop Studio 2、Surface Laptop Go 3 和 Surface Go 4

版本 2.100.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop 5、Surface Pro 9、Surface Pro 9 和 5G Surface Studio 2+

版本 2.97.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop Go 2

版本 2.94.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop Studio、Surface Pro 8 和 Surface Go 3

版本 2.83.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop 4
  • 支持 Surface Pro 7 的并发多线程处理选项
  • 删除过时的 SEMM 设置
  • 改进了 MSI 签名

版本 2.79.139.0

此版本的 SEMM 包括:

  • 支持 Surface Pro 7+。
  • 用户体验改进。

版本 2.78.139.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop Go 和 Surface Pro X。
  • 新版本版本的通知。
  • 创建自定义包以更改所有权的功能。
  • Bug 修复。

版本 2.73.136.0

此版本的 SEMM 包括:

  • 使用 SEMM 在 Surface Hub2S 上禁用音频的功能。
  • 支持 Surface Pro X for Dock 2。
  • 支持 UEFI 管理器进行扩展坞 2 相关操作。
  • Surface Go 重置程序包 bug 修复。
  • 支持将 Surface Hub 2S 设备从 Windows 10 协同版 OS 迁移到 Windows 10 专业版 或企业版。

版本 2.71.139.0

此版本的 SEMM 添加了对 Surface Book 3、Surface Laptop 3 和 Surface Pro 7 的 Surface Dock 2 管理功能的支持。 其中包括:

  • 启用音频 (锁定/解锁) 以及以太网和 USB 端口的功能。
  • 为经过身份验证的主机和未经身份验证的主机创建停靠包的功能。

版本 2.70.130.0

此版本的 SEMM 包括:

  • 支持 Surface Go 2。
  • 支持 Surface Book 3。
  • Bug 修复。

版本 2.59.139.0

此版本的 SEMM 包括:

  • 支持具有 Intel 处理器的 Surface Pro 7、Surface Pro X 和 Surface Laptop 3 13.5 英寸和 15 英寸型号。

    注意

    不支持 Surface Laptop 3 15“ AMD 处理器。

  • 支持电源唤醒功能。

版本 2.54.139.0

此版本的 SEMM 包括:

  • 支持 Surface Hub 2S。
  • Bug 修复。

版本 2.43.136.0

此版本的 SEMM 包括:

  • 支持启用/禁用并发多线程处理。
  • 为某些设备提供单独的无线网络和蓝牙选项。
  • 删除了Surface Studio的电池限制。

版本 2.26.136.0

此版本的 SEMM 包括:

  • 支持Surface Studio 2。
  • 电池限制功能。

版本 2.21.136.0

此版本的 SEMM 包括:

  • 支持 Surface Pro 6。
  • 支持 Surface Laptop 2。

版本 2.14.136.0

此版本的 SEMM 包括:

  • 支持 Surface Go。

版本 2.9.136.0

此版本的 SEMM 包括:

  • 支持Surface Book 2。
  • 支持Surface Pro LTE。
  • 辅助功能改进。

版本 1.0.74.0

此版本的 SEMM 包括:

  • 支持 Surface Laptop。
  • 支持Surface Pro。
  • Bug 修复和常规改进。