从 SEMM 取消注册 Surface 设备
在 Surface Enterprise Management Mode (SEMM) 中注册 Surface 设备时,证书将存储在该设备的固件中。 SEMM 中存在该证书和注册可防止设备在 SEMM 中注册时对 Surface UEFI 设置或选项进行任何未经授权的更改。 若要向用户恢复对 Surface UEFI 设置的控制,必须从 SEMM 取消注册 Surface 设备,此过程有时称为重置或恢复。 有两种方法可用于从 SEMM 取消注册设备: Surface UEFI 重置包和恢复请求。
警告
若要从 SEMM 取消注册设备并还原用户对 Surface UEFI 设置的控制,必须具有用于在 SEMM 中注册设备的 SEMM 证书。 如果此证书丢失或损坏,则无法从 SEMM 取消注册。 相应地备份和保护 SEMM 证书。
有关 SEMM 的详细信息,请参阅 Microsoft Surface Enterprise Management Mode。
使用 Surface UEFI 重置包从 SEMM 取消注册 Surface 设备
Surface UEFI 重置包是用于从 SEMM 取消注册 Surface 设备的主要方法。 与 Surface UEFI 配置包一样,重置包是在设备上配置 SEMM 的 Windows Installer (.msi) 文件。 与配置包不同,重置包会将 Surface 设备上的 Surface UEFI 配置重置为其默认设置,删除 SEMM 证书,并从 SEMM 取消注册设备。
重置包专为单个 Surface 设备创建。 若要开始创建重置包的过程,需要要取消注册的设备序列号,以及用于注册设备的 SEMM 证书。 可以在 Surface UEFI 的 电脑信息 页上找到 Surface 设备的序列号,如图 1 所示。 即使 Surface UEFI 受密码保护并且输入了不正确的密码,也会显示此页面。
图 1. Surface 设备的序列号显示在 Surface UEFI 电脑信息页上
注意
若要启动到 Surface UEFI,请在设备关闭时同时按 调高音量 和 电源 。 按住 “调高音量 ”,直到显示 Surface 徽标并且设备开始启动。
若要创建 Surface UEFI 重置包,请执行以下步骤:
从“开始”菜单打开 Microsoft Surface UEFI 配置器。
单击开始。
单击“ 重置包”,如图 2 所示。
图 2. 单击“重置包”以创建包以从 SEMM 取消注册 Surface 设备
单击“ 证书保护 ”添加具有私钥 (.pfx) 的 SEMM 证书文件,如图 3 所示。 浏览到证书文件的位置,选择该文件,然后单击“ 确定”。
图 3. 将 SEMM 证书添加到 Surface UEFI 重置程序包
单击“下一步”。
键入要从 SEMM (取消注册的设备序列号,如图 4) 所示,然后单击“ 生成 ”以生成 Surface UEFI 重置包。
图 4. 使用 Surface 设备的序列号创建 Surface UEFI 重置包
在“ 另存为 ”对话框中,指定 Surface UEFI 重置包的名称,浏览到要保存文件的位置,然后单击“ 保存”。
包生成完成后,将显示“ 成功 ”页。 单击“ 结束 ”以完成包创建并关闭 Microsoft Surface UEFI 配置器。
在 Surface 设备上运行 Surface UEFI 重置包 Windows Installer (.msi) 文件,从 SEMM 取消注册设备。 重置包需要重新启动才能执行取消注册操作。 取消注册设备后,可以通过确保“程序和功能”中的“Microsoft Surface 配置包”项 (不再存在(如图 5) 所示)来验证删除成功。
图 5. 程序和功能中存在 Microsoft Surface 配置包项目表示设备已在 SEMM 中注册
使用恢复请求从 SEMM 取消注册 Surface 设备
在某些情况下,Surface UEFI 重置包可能不是从 SEMM 取消注册 Surface 设备的可行选项 (例如 Windows) 不可用。 在这些情况下,可以使用从 Surface UEFI 中生成的恢复请求来取消注册设备。 即使在没有 Surface UEFI 密码的设备上,也可以启动恢复请求过程。
恢复请求过程从 Surface 设备上的 Surface UEFI 启动,在另一台计算机上通过 Microsoft Surface UEFI 配置器批准,然后在 Surface UEFI 中完成。 与重置包一样,使用 Microsoft Surface UEFI 配置器批准恢复请求需要访问用于注册 Surface 设备的 SEMM 证书。
若要启动恢复请求,请执行以下步骤:
启动要从 SEMM 取消注册的 Surface 设备到 Surface UEFI。
如果系统提示,请键入 Surface UEFI 密码。
单击“ 企业管理 ”页,如图 6 所示。
图 6. 在 SEMM 中注册的设备上,“企业管理”页面显示在 Surface UEFI 中
单击或按 “开始使用”。
单击或按 “下一步 ”开始恢复请求过程。
注意
恢复请求在创建两小时后过期。 如果此时未完成恢复请求,则必须重启恢复请求过程。
从“选择 SEMM 重置密钥”页上显示的证书列表中选择“SEMM 证书” (如图 7) 所示,然后单击或按“下一步”。
图 7. 为恢复请求选择 SEMM 证书 (重置请求)
在 “输入 SEMM 重置验证码 ”页上,可以单击 QR 码 或 文本 按钮以显示恢复请求 (重置请求) ,如图 8 所示,或单击 USB 按钮将恢复请求 (重置请求) 作为文件保存到 U 盘,如图 9 所示。
图 8. 恢复请求 (重置请求) 显示为 QR 码
图 9. 将恢复请求 (重置请求) 保存到 U 盘
- 若要使用 QR 码恢复请求 (重置请求) ,请使用移动设备上的 QR 读取器应用来读取代码。 QR 读取器应用会将 QR 代码转换为字母数字字符串。 然后,可以将该字符串通过电子邮件或消息发送给管理员,管理员将使用 Microsoft Surface UEFI 配置器生成重置验证码。
- 若要使用恢复请求 (重置请求) 以文件的形式保存到 U 盘,请使用 USB 驱动器将文件传输到计算机,Microsoft Surface UEFI 配置器将用于生成重置验证码。 还可以从另一台设备上的 U 盘复制文件,以便通过电子邮件发送或通过网络传输。
- 若要将恢复请求 (重置请求) 作为文本使用,只需直接在 Microsoft Surface UEFI 配置器中键入文本即可。
在另一台计算机上的“开始”菜单中打开 Microsoft Surface UEFI 配置器。
注意
Microsoft Surface UEFI 配置器必须在能够对 SEMM 证书的证书链进行身份验证的环境中运行。
单击开始。
单击“ 恢复请求”,如图 10 所示。
图 10. 单击“恢复请求”以开始审批恢复请求的过程
单击“ 证书保护 ”,使用 SEMM 证书对恢复请求进行身份验证。
浏览到并选择 SEMM 证书文件,然后单击“ 确定”。
当系统提示输入证书密码(如图 11 所示)时,键入并确认证书文件的密码,然后单击“ 确定”。
图 11. 键入 SEMM 证书的密码
单击“下一步”。
输入恢复请求 (重置请求) ,然后单击“ 生成 ”以 (创建重置验证码,如图 12) 所示。
图 12. 输入恢复请求 (重置请求)
- 如果在正在重置的 Surface 设备上显示恢复请求 (重置请求) 文本,请使用键盘在提供的字段中键入恢复请求 (重置请求) 。
- 如果将恢复请求 (重置请求) 显示为 QR 码,然后使用消息或电子邮件应用程序使用 Microsoft Surface UEFI 配置器将代码发送到计算机,请将代码复制并粘贴到提供的字段中。
- 如果将恢复请求 (重置请求) 作为文件保存到 U 盘,请单击“ 导入 ”按钮,浏览并选择“恢复请求 (重置请求) 文件,然后单击” 确定”。
重置验证码显示在 Microsoft Surface UEFI 配置器中,如图 13 所示。
图 13. Microsoft Surface UEFI 配置器中显示的重置验证码
- 单击“ 共享 ”按钮通过电子邮件发送重置验证码。
在 Surface 设备上提供的字段中输入重置验证码, (如图 8) 所示,然后单击或按 “验证” 以重置设备并从 SEMM 取消注册设备。
在“SEMM 重置成功”页上单击或按“立即重启”以完成从 SEMM 取消注册,如图 14 所示。
图 14. 成功从 SEMM 取消注册
单击“Microsoft Surface UEFI 配置器中的 结束 ”以完成恢复请求 (重置请求) 进程并关闭 Microsoft Surface UEFI 配置器。