設定 Surface 裝置的 UEFI 設定

  • 發行項
  • 適用於:
    Windows 11, Windows 10

本文說明如何使用 Surface UEFI Configurator 和 Surface Enterprise Management Mode (SEMM) ,保護及管理跨組織部署之 Surface 裝置的整合可延伸韌體介面 (UEFI) 設定。 Surface UEFI Configurator 現在已包含在新的 Surface IT 工具組中,不再以個別下載方式提供。

SEMM 受控 Surface 裝置的 UEFI 設定

透過 SEMM,IT 系統管理員可以在韌體層級管理硬體元件。 例如,基於安全性考慮,您可以關閉相機、麥克風和 USB 埠等硬體元件。 如需可用設定的完整清單,請參閱 Surface UEFI SEMM 設定參考。

Create Surface UEFI 設定套件

Surface UEFI 組態套件的雙重用途是將新設定的 UEFI 設定套用至 SEMM 管理的 Surface 裝置,並在 SEMM 中註冊它們。 建立此套件需要 SEMM 簽署憑證,以保護每個裝置上的 UEFI 設定。 如需詳細資訊,請參閱 SEMM 憑證需求

使用密碼保護 UEFI 設定

強烈建議您在建立 UEFI 組態套件時設定密碼。 韌體會在操作系統載入之前控制硬體的初始作業。 如果未經授權的使用者存取 UEFI 設定,他們可能會停用安全性功能,或對裝置的安全性和功能進行有害的變更。

顯示新增密碼以保護 UEFI 設定免於未經授權人員的螢幕快照。

設定裝置

在 [ 設定裝置 ] 工具中,您可以為組織中的 Surface 裝置建立 UEFI 設定組態和重設套件 (如需 Surface UEFI 設定的詳細資訊,請參閱 管理 Surface UEFI 設定。)

Create Surface UEFI 設定套件

  1. 啟 Surface IT 工具組,選取 [UEFI 設定器>設定Surface 裝置]
  2. 在 [ 匯入憑證保護] 下,選取 [ 新增 ],以使用私鑰 (.pfx) 新增導出的憑證檔案。 選取 [下一步]UEFI 組態的螢幕快照。
  3. 選取要設定的裝置。 從受控裝置中選擇,或移至 [所有裝置] 以選取您的裝置和型號。 選取 [下一步]UEFI 組態的裝置選取螢幕快照。
  4. 在 [裝置組態設定] 頁面中,選取您想要設定的元件,然後選擇 [UEFI 密碼設定]。 完成時,選取 [下一步][裝置組態設定] 頁面的螢幕快照。
  5. [最終檢閱] 頁面會顯示選取的設定詳細數據。 檢閱您的變更,選取 [選擇資料夾] 以儲存 UEFI 設定套件,然後選取 [Create]裝置套件已完成設定的螢幕快照。

提示

記錄此頁面上顯示的憑證指紋字元,如圖 6 所示。 您將需要這些字元來確認在 SEMM 中註冊新的 Surface 裝置。 單擊 [結束 ] 以完成套件建立,並關閉 [Microsoft Surface UEFI 設定程式]。

  1. 完成時,選取 [ 完成]

    UEFI 組態套件檔案的螢幕快照。

  2. 完成時,請移至您選取的資料夾以擷取套件。 此範例套件會修改單一 UEFI 設定,產生兩個檔案:

    • 您可以部署至一或多個裝置的 SEMM 註冊套件。
    • 用來取消註冊 SEMM 管理裝置的重設套件。

    裝置套件建立頁面的螢幕快照。

在 SEMM 中註冊 Surface 裝置

執行 Surface UEFI 組態套件時,SEMM 憑證和 Surface UEFI 組態檔會暫存在 Surface 裝置的韌體記憶體中。 當 Surface 裝置重新啟動時,Surface UEFI 會處理這些檔案,並開始在 SEMM 中套用 Surface UEFI 設定或註冊 Surface 裝置的程式。

在 SEMM 中註冊 Surface 裝置之前,請確定您手上有憑證指紋的最後兩個字元。 您需要這些字元來確認裝置的註冊。

若要使用 Surface UEFI 組態套件在 SEMM 中註冊 Surface 裝置:

  1. 在您想要在 SEMM 中註冊的 Surface 裝置上,執行 Surface UEFI 組態套件 .msi 檔案。 這會在裝置的韌體中布建 Surface UEFI 組態檔。
  2. 選取 [ 我接受許可協定中的條款 ] 複選框,以接受最終使用者許可協定 (EULA) ,然後選取 [安裝 ] 開始安裝程式。
  3. 取 [完成 ] 以完成 Surface UEFI 設定套件安裝,並在系統提示您這麼做時重新啟動 Surface 裝置。
  4. Surface UEFI 會載入組態檔,並判斷裝置上未啟用 SEMM。 Surface UEFI 會開始 SEMM 註冊程式,如下所示:
    • Surface UEFI 會驗證 SEMM 組態檔是否包含 SEMM 憑證。
    • Surface UEFI 會提示您輸入憑證指紋的最後兩個字元,以確認在 SEMM 中註冊 Surface 裝置。
  5. Surface 裝置現在已在 SEMM 中註冊。

您可以在 [程式和功能] 中尋找 Microsoft Surface 組態套件,或在儲存在 Microsoft Surface UEFI 設定器記錄檔中的事件中尋找 Microsoft Surface 設定套件,以確認 Surface 裝置是否已成功在 SEMM 中註冊,該事件位於 事件檢視器 中的 [應用程式和服務記錄] 底下。

設定更多 Surface UEFI 設定

在 SEMM 中註冊裝置之後,您可以執行以相同 SEMM 憑證簽署的其他 Surface UEFI 組態套件,以套用新的 Surface UEFI 設定。 這些設定會在下次裝置開機時自動套用,而不會與用戶進行任何互動。 您可以使用 Microsoft 端點 Configuration Manager 等應用程式部署解決方案,將 Surface UEFI 設定套件部署至 Surface 裝置,以變更或管理 Surface UEFI 中的設定。

如需如何使用 Configuration Manager 部署 Windows Installer (.msi) 檔案的詳細資訊,請參閱使用 Microsoft 端點 Configuration Manager 部署和管理應用程式