使用 SEMM 保護和管理 Surface Hub
使用 Microsoft Surface 企業管理模式 (SEMM) 來管理一或多個 Surface Hub 裝置上的整合可延伸韌體介面 (UEFI) 設定。
管理元件
SEMM 可讓您控制 Surface Hub 上的各種硬體元件,包括:
- 上線音訊
- 有線 LAN
- 藍牙
- Wi-Fi
- 佔用感應器
進階設定
使用 Surface IT 工具組中包含的 Surface UEFI 設定程式,您可以啟用或停用下列 UEFI 設定:
安全性
- SMT (同時多線程)
開機
- 適用於 PXE 開機 的 IPv6
- 替代開機
- 開機順序鎖定
- USB 開機
UEFI 首頁
- 裝置
- 開機
- 日期/時間
- 僅限 Surface Hub 2S (啟用OSMigration)
UEFI 密碼
UEFI 是進階韌體介面,可取代傳統的 BIOS、提供改善的安全性、更快速的開機時間,以及對新式硬件的支援。 設定 UEFI 密碼可防止未經授權的韌體設定變更,進而增加額外的保護層。 請務必設定強密碼並安全地儲存。
提示
如需設定 SEMM 設定之安全性含意的詳細資訊,請參閱 使用 SEMM 和 SEMM UEFI 設定參考來管理 UEFI設定。
下載 Surface IT 工具組和 Surface Hub 2S 驅動程式和韌體
在個別的計算機上,遵循下列步驟:
- 下載 Surface IT 工具組,其中包含 Surface UEFI 設定程式。
- 請遵循 開始使用 Surface IT 工具組中的安裝指示。
準備 SEMM 憑證
第一次使用 UEFI 設定程式之前,您必須準備憑證來保護 SEMM 套件:
- 大型企業:使用您組織的安全性基礎結構產生憑證。
- 中型企業:請考慮從受信任的合作夥伴提供者取得憑證,特別是當您缺少專用的IT安全性資源時。
- 自我簽署憑證:對於較小的設定,您可以使用PowerShell產生自我簽署憑證。 如需詳細資訊,請參閱 自我簽署憑證指南 和 Surface Enterprise 管理模式憑證需求。
警告
若要從 SEMM 取消註冊裝置,並還原對 UEFI 設定的控制,您必須擁有用來註冊裝置的 SEMM 憑證。 如果此憑證遺失或損毀,將無法取消註冊。 請務必備份並保護您的 SEMM 憑證。
建立 SEMM 套件
若要建立 Surface Hub 的 SEMM 套件,請在不同的電腦上使用 Surface IT 工具組來執行下列步驟:
開啟 Surface IT 工具組,選取 [UEFI 設定程式],然後選擇 [設定 裝置]。
在 [裝置設定和認證] 頁面上,設定下列專案,然後選取 [ 下一步]:
- 選擇 [部署組建]:選取 [DFI]。
- 匯入憑證保護:選取 [新增],流覽您的憑證 (.pfx 檔案) ,然後輸入相關聯的密碼。
- 選擇 [DFI 套件類型]:選 取 [組態套件]。
- 選取 [裝置:選擇 Surface Hub],然後選取 [ Surface Hub 2S] 或 [ Surface Hub 3]。
瀏覽至 [裝置組態設定] 頁面:
- 開啟或關閉適當的設定。 如需每個設定的詳細指引,請參閱 SEMM UEFI 設定參考。
- 在 [UEFI 密碼] 下,選 取 [設定] 或 [修改密碼],然後輸入並確認您的密碼。
將 USB 磁碟驅動器插入您的電腦。 磁碟驅動器會進行格式化,且會清除磁碟驅動器上的所有檔案。 選 取 [建立 ] 以建置 SEMM 套件。
完成時,記下憑證指紋的最後兩個字元,然後選取 [ 完成]。 名為 DfciUpdate.dfi 的 SEMM 套件現在已可供使用。
將 SEMM 套件套用至 Surface Hub 2S 或 Surface Hub 3
若要套用 SEMM 套件,並將 Surface Hub 註冊到 SEMM:
- 將具有 SEMM 套件的 USB 磁碟驅動器插入 Surface Hub 上的 USB-A 連接埠。
- 關閉 Surface Hub。
- 按住 [向上音 量] 按鈕,然後按 [電源 ] 按鈕。 持續保持磁 碟區, 直到出現 UEFI 功能表為止。