管理 Surface UEFI 設定

  • 文章
  • 適用於:
    Windows 10, Windows 11

Surface 裝置的設計目的是要使用 Microsoft 專為這些裝置設計的唯一整合可擴展韌體介面 (UEFI) 。 Surface UEFI 設定可讓 IT 系統管理員啟用或停用內建裝置和元件、防止變更 UEFI 設定,以及調整 Surface 裝置開機設定。

支援的產品

下列 Surface 裝置支援 UEFI 管理:

  • Surface Pro 4,Surface Pro (第 5 代) 、Surface Pro 6、Surface Pro 7、Surface Pro 7+ (商業 SKU 僅) ,僅) Surface Pro 8 個 (商業 SKU,Surface Pro 9 &Surface Pro 9,只有 5G (商業 SKU) ,Surface Pro 10,Surface Pro X
  • Surface Laptop (第 1 代) 、 Surface Laptop 2、Surface Laptop 3 (Intel 處理器僅) 、Surface Laptop Go、僅限 Surface Laptop 4 (商業 SKU) 、僅限 Surface Laptop 5 (商業 SKU) 、僅限 Surface Laptop 6 (商業 SKU) 、Surface Laptop SE、Surface Laptop Go 2 僅) (商業 SKU、 僅限 Surface Laptop Go 3 (商業 SKU)
  • Surface Studio (第 1 代) ,Surface Studio 2,Surface Studio 2+
  • Surface Book (所有世代)
  • Surface Laptop Studio (所有世代,僅限商業 SKU)
  • Surface Go、Surface Go 21、Surface Go 3 (商業 SKU 僅) ,僅限 Surface Go 4 (商業 SKU)

提示

商業 SKU (也稱為 Surface 商務版) 執行 Windows 10 專業版/Enterprise 或 Windows 11 專業版/Enterprise;取用者 SKU 執行 Windows 10/Windows 11 家用版。 在 UEFI 中,商業 SKU 是唯一具有 [ 裝置] 頁面 和管理 頁面功能的模型。 若要深入瞭解, 請參閱檢視您的系統資訊

支援雲端式管理

使用裝置韌體組態介面 (內建的 DFCI) 配置檔,Microsoft Intune (現在可在公開預覽) 中使用,Surface UEFI 管理會將新式管理堆棧向下延伸至 UEFI 硬體層級。 DFCI 支援零觸控布建、消除 BIOS 密碼、提供安全性設定的控制,併為未來的進階安全性案例打下基礎。

DFCI 目前適用於下列商業裝置:Surface Pro 10、Surface Pro 9、Surface Pro 9 搭配 5G、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface ProX、Surface Laptop 6、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Studio 2、Surface Laptop Studio、Surface Laptop SE、Surface Laptop Go 2、Surface Laptop Go、Surface Book 3、Surface Studio 2+、Surface Go 3 和 Surface Go 4。 如需詳細資訊,請 參閱管理 Surface 裝置上的 DFCI

開啟 Surface UEFI 功能表

若要在系統啟動期間調整 UEFI 設定:

  1. 關閉 Surface 並等候約 10 秒,以確保已關閉。
  2. 按住 [向上音 量] 按鈕,同時按下並放開 電源按鈕。
  3. 當 Microsoft 或 Surface 標誌出現在您的畫面上時,請繼續按住 [向上卷 ] 按鈕, 直到 UEFI 畫面出現為止。

UEFI 計算機資訊頁面

電腦資訊頁面包含 Surface 裝置的詳細資訊:

  • 模型 – Surface 裝置的型號,例如 Surface Laptop Studio 2 或 Surface Pro 9,會顯示在這裡。 您的裝置的確切設定不會顯示 (例如處理器、磁碟大小或記憶體大小) 。

  • 系統 UUID – 此通用唯一識別元專屬於您的裝置,可用來在部署或管理期間識別裝置。

  • 序號 – 此數目可識別此特定 Surface 裝置,以用於資產標記和支援案例。

  • 資產標記 – 資產 標籤會使用 資產標記工具指派給 Surface 裝置。

您也可以找到 Surface 裝置韌體的詳細資訊。 Surface 裝置擁有數個內部元件,每個元件都會執行不同版本的韌體。 這些元件的韌體版本會顯示在 計算機資訊 頁面上。 元件包含下列專案,而且可能會根據您的裝置而有所不同:

  • 系統 UEFI
  • SMF 控制器
  • SAM 控制器
  • Intel 管理引擎
  • PD 控制器
  • 鍵盤控制器
  • Trackpad 控制器
  • 觸控韌體

系統資訊和韌體版本資訊。

圖 1。 系統資訊和韌體版本資訊。

您可以在裝置的 Surface 更新記錄中找到 Surface 裝置最新韌體版本的最新資訊。

UEFI 安全性頁面

設定 Surface UEFI 安全性設定。

圖 2. 設定 Surface UEFI 安全性設定。

[安全性] 頁面可讓您設定密碼來保護 UEFI 設定。 此密碼必須在將 Surface 裝置開機至 UEFI 時輸入。 密碼可以包含下列字元 (如圖 3) 所示:

  • 大寫字母:A-Z

  • 小寫字母:a-z

  • 數字:1-0

  • 特殊字元: !@#$%^&* () ?<>{}[]-_=+|.,;:''"

密碼必須至少為六個字元,而且會區分大小寫。

新增密碼以保護 Surface UEFI 設定。

圖 3. 新增密碼以保護 Surface UEFI 設定。

在 [安全性] 頁面上,您也可以變更 Surface 裝置上安全開機的設定。 安全開機技術能防止未經授權的啟動碼將您的 Surface 裝置開機,這將能針對 Bookit 和 Rootkit 類型的惡意程式碼感染提供保護。 您可以停用安全開機,以允許 Surface 裝置開機其他作業系統或可開機媒體。 您也可以設定安全開機以使用其他憑證,如圖 4 所示。 若要深入瞭解,請參閱 安全開機

設定安全開機。

圖 4. 設定安全開機。

視您的裝置而定,您也可以查看 TPM 是否已啟用或停用。 如果您沒有看到 [啟用 TPM ] 設定,請在 Windows 中開啟 tpm.msc 以檢查狀態,如圖 5 所示。 TPM 可用來使用 BitLocker 驗證裝置的數據加密。 若要深入瞭解,請參閱 BitLocker 概觀

TPM 控制台。

圖 5. TPM 主控台。

UEFI 裝置頁面

[裝置] 頁面可讓您開啟或關閉合格裝置上的特定元件。 元件包含下列各項:

  • 停駐USB埠

  • MicroSD 或 SD 記憶卡插槽

  • 後方攝影機

  • 前方攝影機

  • 紅外線 (IR) 相機

  • Wi-Fi 和藍牙

  • 內建音訊 (擴音器和麥克風)

每個裝置都有一個滑桿按鈕,可 移至 [ 啟用 (啟用) ] 或 [ 關閉 (停用) 位置,如圖 6 所示。

啟用和停用特定裝置。

圖 6. 啟用和停用特定裝置。

UEFI 開機設定頁面

[開機設定] 頁面可讓您變更開機裝置的順序,並啟用或停用下列裝置的開機:

  • Windows 開機管理程式

  • USB 儲存裝置

  • PXE 網路

  • 內部儲存裝置

您可以使用觸控螢幕,立即從特定裝置開機,或在該裝置的清單專案上向左撥動。 您也可以在 Surface 裝置電源關閉的情況下,立即開機至 USB 裝置或 USB 乙太網路介面卡,方法是同時按下 \[降低音量\] 按鈕和 \[電源\] 按鈕。

若要讓指定的開機順序生效,您必須將 [ 啟用替代開機順序 ] 選項設定為 [ 啟],如圖 7 所示。

設定 Surface 裝置的開機順序。

圖 7. 設定 Surface 裝置的開機順序。

您也可以使用 [啟用 PXE 網络開機的 IPv6] 選項來開啟和關閉 PXE 的 IPv6 支援,例如,使用 PXE 執行 Windows 部署時,其中 PXE 伺服器僅針對 IPv4 進行設定。

UEFI 管理頁面

[管理] 頁面可讓您管理在合格裝置上使用零觸控 UEFI 管理和其他功能。

管理零觸控 UEFI 管理和其他功能的存取權。

圖 8. 管理零觸控 UEFI 管理和其他功能的存取權。

零觸控 UEFI 管理可讓您在稱為裝置韌體設定介面 (DFCI) Intune 內,使用裝置配置檔從遠端管理 UEFI 設定。 如果您未設定此設定,使用 DFCI 管理合格裝置的能力會設定為 [ 就緒]。 若要防止 DFCI,請選取 [退出]

UEFI 結束頁面

使用 [結束] 頁面上的 [立即重新啟動] 按鈕結束 UEFI 設定,如圖 9 所示。

結束 Surface UEFI 並重新啟動裝置。

圖 9. 選取 [立即重新啟動] 以結束 Surface UEFI 並重新啟動裝置。

Surface UEFI 開機畫面

當您使用 Windows Update 或手動安裝來更新 Surface 裝置韌體時,更新不會立即套用至裝置,而是在下一次重新啟動週期期間套用。 您可以在管理和 部署 Surface 驅動程式和韌體更新中深入瞭解 Surface 韌體更新程式。 韌體更新進度會顯示在具有不同色彩進度列的畫面上,以指出每個元件的韌體。 每個元件的進度列都會顯示在圖 9 到 18 中。

使用藍色進度列更新 Surface UEFI 韌體。

圖 10. Surface UEFI 韌體更新會顯示藍色進度列。

具有綠色進度列的系統內嵌控制器韌體。

圖 11. 系統內嵌控制器韌體更新會顯示綠色進度列。

SAM 控制器韌體以橙色進度列更新。

圖 12. SAM 控制器韌體更新會顯示橙色進度列。

具有紅色進度列的 Intel Management Engine 韌體。

圖 13. Intel 管理引擎韌體更新會顯示紅色進度列。

具有灰色進度列的 Surface 觸控韌體。

圖 14. Surface 觸控韌體更新會顯示灰色進度列。

具有淺綠色進度列的 Surface KIP 韌體。

圖 15. Surface KIP 韌體更新會顯示淺綠色進度列。

具有粉紅色進度列的 Surface ISH 韌體。

圖 16 Surface ISH 韌體更新會顯示淺粉色進度列。

具有灰色進度列的 Surface Trackpad 韌體。

圖 17. Surface Trackpad 韌體更新會顯示一個粉紅色的進度列。

具有淺灰色進度列的 Surface TCON 韌體。

圖 18. Surface TCON 韌體更新會顯示淺灰色進度列。

具有淺紫色進度列的 Surface TPM 韌體。

圖 19. Surface TPM 韌體更新會顯示紫色進度列。

注意

另一則表示已停用安全開機的警告訊息隨即顯示,如圖 19 所示。

表示已停用安全開機的 Surface 開機畫面。

圖 20. Surface 開機畫面,指出 Surface UEFI 設定中已停用安全開機。

參考

  1. Surface Go 和 Surface Go 2 使用第三方 UEFI,且不支援 DFCI。