MICROSOFT Surface Enterprise 管理模式 (SEMM)

• 適用於:

  Windows 10, Windows 11

Microsoft Surface Enterprise 管理模式 (SEMM) 是 Surface 裝置的功能，具有 Surface Unified Extensible Firmware Interface (UEFI) 。 您可以使用 SEMM 來：

• 保護及管理組織中的韌體設定。
• 準備 UEFI 設定，並將其安裝在 Surface 裝置上。

SEMM也會使用憑證來保護設定，避免未經授權的竄改或移除。 若要將 Surface Hub 2S 移轉至 Windows 10 專業版 或 Windows Enterprise，需要 SEMM。

支援的裝置

SEMM 僅適用於具有 Surface UEFI 韌體的裝置，包括：

• Surface Book (所有層代)
• 僅限 Surface Go 4 (商業 SKU)
• 僅限 Surface Go 3 (商業 SKU)
• Surface Go 2 (所有 SKU)
• Surface Go (所有 SKU)
• Surface Hub 2S
• 僅限 Surface Laptop 5 (商業 SKU)
• 僅限 Surface Laptop 4 (商業 SKU)
• Surface Laptop 3 (Intel 處理器僅)
• Surface Laptop 2 (所有 SKU)
• Surface Laptop (所有 SKU)
• 僅限 Surface Laptop Go 3 (商業 SKU)
• 僅限 Surface Laptop Go 2 (商業 SKU)
• Surface Laptop Go (所有 SKU)
• Surface Laptop SE (所有 SKU)
• 僅限 Surface Laptop Studio 2 (商業 SKU)
• 僅限 Surface Laptop Studio (商業 SKU)
• 僅 Surface Pro 9 個 (商業 SKU)
• 只有 5G (商業 SKU 的 Surface Pro 9)
• 僅 Surface Pro 8 個 (商業 SKU)
• 僅 Surface Pro 7 個以上 (個商業 SKU)
• Surface Pro 7 (所有 SKU)
• Surface Pro 6 (所有 SKU)
• Surface Pro 第 5 代 (所有 SKU)
• Surface Pro 4 (所有 SKU)
• Surface Pro X (所有 SKU)
• 僅 Surface Studio 2 個以上 (個商業 SKU)
• Surface Studio 2 (所有 SKU)
• Surface Studio (所有 SKU)

提示

商業 SKU (也稱為 Surface 商務版) 執行 Windows 10 專業版/Enterprise 或 Windows 11 專業版/Enterprise;取用者 SKU 執行 Windows 10/Windows 11 家用版。 若要深入瞭解， 請參閱檢視您的系統資訊。

開始使用

當 Surface 裝置由 SEMM 設定並使用 SEMM 憑證保護時，系統會將它們視為已在 SEMM 中 註冊 。 拿掉 SEMM 憑證，並將 UEFI 設定的控制權傳回給裝置的使用者時，Surface 裝置會被視為在 SEMM 中 取消註冊 。

有兩個系統管理選項可用來管理 SEMM 和註冊 Surface 裝置：

• 本文將說明 SEMM 獨立工具 Microsoft Surface UEFI Configurator。

• 與 Microsoft 端點 Configuration Manager 整合。 如需詳細資訊，請參閱使用 Microsoft 端點 Configuration Manager 以 SEMM 管理裝置。

Microsoft Surface UEFI 設定程式

SEMM 的主要工作區是 Microsoft Surface UEFI 設定程式，如圖 1 所示。

您可以使用 Microsoft Surface UEFI Configurator 來：

• 建立 Windows Installer (.msi) 套件。
• 使用 WinPE 映射在 Surface 裝置上註冊、設定及取消註冊 SEMM。

這些套件包含指定 UEFI 設定的元件包含指定 UEFI 設定的元件檔。 SEMM 套件也包含安裝並儲存在韌體中的憑證，並用來在套用 UEFI 設定之前驗證組態檔的簽章。

提示

您現在可以使用 Surface UEFI Configurator 和 SEMM 來管理 Surface 擴充座 2 或 SurfaceBolt 4 擴充座上的埠。 若要深入瞭解，請參閱 使用 SEMM 保護 Surface 擴充座埠。

圖 1。 Microsoft Surface UEFI 設定程式

您可以在三種模式中使用 Microsoft Surface UEFI 設定器工具：

• Surface UEFI 元件。 使用此模式來建立 Surface UEFI 設定套件，以在 SEMM 中註冊 Surface 裝置，並在已註冊的裝置上設定 UEFI 設定。
• Surface UEFI 重設套件。 使用此模式可從 SEMM 取消註冊 Surface 裝置。
• Surface UEFI 復原要求。 使用此模式來回應復原要求，以從重設封裝作業未成功的 SEMM 取消註冊 Surface 裝置。

下載 Microsoft Surface UEFI 設定程式

您可以從 Microsoft 下載中心的 Surface Tools for IT 頁面下載 Microsoft Surface UEFI 設定程式。

• 針對 Intel/AMD 裝置，請下載： SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
• 針對 ARM 裝置，請下載： SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

組態套件

Surface UEFI 設定套件是實作和管理 Surface 裝置上 SEMM 的主要機制。 這些套件包含組態檔和憑證檔案，如圖 2 所示。 組態檔包含在 Microsoft Surface UEFI Configurator 中建立套件時所指定的 UEFI 設定。 當組態套件第一次在尚未在 SEMM 中註冊的 Surface 裝置上執行時，它會在裝置的韌體中布建憑證檔案，並在 SEMM 中註冊裝置。 在 SEMM 中註冊裝置時，以及在憑證儲存並註冊完成之前，系統會提示您提供 SEMM 憑證指紋的最後兩位數來確認作業。 這項確認需要用戶在註冊期間實際出現在裝置上，才能執行確認。

圖 2. 使用憑證保護 SEMM 設定套件

如需 SEMM 憑證需求的詳細資訊，請參閱本文稍後的 Surface Enterprise 管理模式憑證需求 一節。

提示

您可以選擇使用 SEMM 要求 UEFI 密碼。 如果您這樣做，則需要密碼才能檢視 Surface UEFI 的安全性、 裝置、 開機設定和企業 管理 頁面。

在 SEMM 中註冊裝置之後，會讀取組態檔，並將檔案中指定的設定套用至 UEFI。 當您在已在 SEMM 中註冊的裝置上執行組態套件時，會根據儲存在裝置韌體中的憑證檢查組態檔的簽章。 如果簽章不相符，則不會對裝置套用任何變更。

使用 SEMM 在 Surface UEFI 中啟用或停用裝置

下列清單顯示您可以在 SEMM 中管理的所有可用裝置：

• 停駐USB埠
• 上架音訊
• 數字圖形處理單位
• 類型涵蓋
• Micro SD 記憶卡
• 前方相機
• 後方相機
• 適用於 Windows Hello) 的紅外線相機 (
• 僅限藍牙
• 無線網路和藍牙
• LTE) (長期演進
• 離散 GPU (dGPU)
• 上架麥克風
• MAC 位址模擬
• 有線 LAN
• NFC) (近距離通訊

注意

在 [UEFI 裝置] 頁面上，內建裝置可能會根據您的裝置或公司環境而有所不同。 例如，Surface Pro X 不支援 [UEFI 裝置] 頁面;LTE 只會出現在配備 LTE 的裝置上。

使用 SEMM 設定進階設定

表 1. 進階設定

設定	描述
適用於 PXE 開機 的 IPv6	可讓您管理 PXE 開機的 IPv6 支援。 如果您未設定此設定，則會啟用 PXE 開機的 IPv6 支援。
替代開機	可讓您在開機期間按下 [音量關閉] 按鈕和 [電源] 按鈕，以管理使用替代開機順序直接開機到 USB 或乙太網路裝置。 如果您未設定此設定，則會啟用替代開機。
開機順序鎖定	可讓您鎖定開機順序以防止變更。 如果您未設定此設定，則會停用開機順序鎖定。
USB 開機	可讓您管理 USB 裝置的開機。 如果您未設定此設定，則會啟用USB開機。
網路堆疊	可讓您管理網路堆疊開機設定。 如果您未設定此設定，則會啟用管理網路堆疊開機設定的能力。
自動開啟電源	可讓您管理自動開機開機設定。 如果您未設定此設定，則會啟用自動開啟電源。
同時多線程 (SMT)	可讓您管理同時多線程 (SMT) ，以啟用或停用超線程。 如果您未設定此設定，則會啟用 SMT。
啟用電池限制	可讓您管理電池限制功能。 如果您未設定此設定，則會啟用電池限制
安全性	顯示 [Surface UEFI 安全性 ] 頁面。 如果您未設定此設定，則會顯示 [安全性] 頁面。
裝置	顯示 [Surface UEFI 裝置] 頁面。 如果您未設定此設定，則會顯示 [裝置] 頁面。
開機	顯示 [Surface UEFI 開機] 頁面。 如果您未設定此設定，則會顯示 [開機] 頁面。
DateTime	顯示 Surface UEFI DateTime 頁面。 如果您未設定此設定，則會顯示 DateTime 頁面。
EnableOSMigration	可讓您將 Surface Hub 2S 從 Windows 10 團隊版 移轉至 Windows 10/11 專業版或企業版。 如果您未設定此設定，Surface Hub 2S 裝置只能執行 Windows 10 團隊版 作業系統。 注意：Surface Hub 2S 上無法使用 Windows 10 團隊版 與 Windows 10/11 專業版/企業版之間的雙重開機。
安全核心	可讓您管理安全核心功能。 如果您未設定此設定，則會在支援的裝置上啟用安全核心功能。
網路喚醒	可讓您管理網路喚醒功能。 如果您未設定此設定，則會在支援的裝置上啟用網路喚醒。
電源喚醒	可讓您管理電源喚醒功能。 如果您未設定此設定，則支援的裝置上會停用電源喚醒。

提示

當您建立 SEMM 組態套件時，[ 成功 ] 頁面上會顯示兩個字元，如圖 3 所示。

圖 3. 在 [成功] 頁面上顯示憑證指紋的最後兩個字元

這些字元是憑證指紋的最後兩個字元，應該寫下或錄製。 需要字元才能確認 Surface 裝置上的 SEMM 註冊，如圖 4 所示。

圖 4. 使用 SEMM 憑證指紋在 SEMM 中註冊確認

提示

具有憑證檔案 (.pfx) 存取權的系統管理員隨時都可以在 CertMgr 中開啟 .pfx 檔案來讀取指紋。 若要使用 CertMgr 檢視指紋：

1. 選取並按住 (，或以滑鼠右鍵按兩下 .pfx 檔案) ，然後選取 [ 開啟]。
2. 在瀏覽窗格中，展開資料夾。
3. 選 取 [憑證]。
4. 在主窗格中，選取並按住 (，或以滑鼠右鍵按兩下) 您的憑證，然後選取 [ 開啟]。
5. 選取 [ 詳細數據] 索 引標籤。
6. 在 [ 顯示 ] 下拉功能表中，必須選取 [ 全部 ] 或 [ 僅限屬性 ]。
7. 選取 [ 指紋] 欄位。

若要在 SEMM 中註冊 Surface 裝置，或從組態套件套用 UEFI 組態，請在預定的 Surface 裝置上以系統管理許可權執行 .msi 檔案。 您可以使用應用程式部署或操作系統部署技術，例如 Microsoft 端點 Configuration Manager 或 Microsoft Deployment Toolkit。 當您在 SEMM 中註冊裝置時，您必須實際存在，才能確認裝置上的註冊。 當您將設定套用至已在 SEMM 中註冊的裝置時，不需要用戶互動。

如需如何在 SEMM 中註冊 Surface 裝置或使用 SEMM 套用 Surface UEFI 設定的逐步解說，請參閱使用 SEMM 註冊和設定 Surface 裝置。

重設套件

Surface UEFI 重設套件僅用來執行一項工作，以從 SEMM 取消註冊 Surface 裝置。 重設套件包含已簽署的指示，可從裝置的韌體中移除 SEMM 憑證，以及將 UEFI 設定重設為原廠預設設定。 如同 Surface UEFI 設定套件，重設套件必須使用 Surface 裝置上布建的相同 SEMM 憑證進行簽署。 當您建立 SEMM 重設套件時，必須提供您想要重設之 Surface 裝置的序號。 SEMM 重設套件不是通用的，它們專屬於一個裝置。

復原要求

在某些情況下，可能無法使用 Surface UEFI 重設套件。 (例如，如果 Surface 裝置上的 Windows 無法使用。) 在這些案例中，您可以透過 Surface UEFI 的 [ 企業管理 ] 頁面，從 SEMM 取消註冊 Surface 裝置 (如圖 5) 復原要求作業所示。

圖 5. 在企業管理頁面上起始 SEMM 復原要求

當您在 [企業管理 ] 頁面上使用此程式在 Surface 裝置上重設 SEMM 時，您會收到重設要求。 此重設要求可以儲存為USB磁碟驅動器的檔案、複製為文字，或是以QR代碼讀取，並使用行動裝置輕鬆地以電子郵件傳送或傳送訊息。 使用 Microsoft Surface UEFI 設定程式重設要求選項來載入重設要求檔案，或輸入重設要求文字或 QR 代碼。 Microsoft Surface UEFI Configurator 會產生可在 Surface 裝置上輸入的驗證碼。 如果您在 Surface 裝置上輸入程式代碼，然後選取 [ 重新啟動]，裝置就會從 SEMM 取消註冊。

注意

重設要求會在建立后兩小時到期。

如需如何從 SEMM 取消註冊 Surface 裝置的逐步解說，請參閱 從 SEMM 取消註冊 Surface 裝置。

Surface Enterprise 管理模式憑證需求

當您搭配 Microsoft Surface UEFI Configurator 使用 SEMM 並想要套用 UEFI 設定時，需要憑證才能驗證組態檔的簽章。 此憑證可確保裝置在 SEMM 中註冊之後，只能使用使用核准憑證建立的套件來修改 UEFI 設定。

注意

若要對已註冊 Surface 裝置上的 SEMM 或 Surface UEFI 設定進行任何修改，需要 SEMM 憑證。 如果 SEMM 憑證損毀或遺失，則無法移除或重設 SEMM。 使用適當的備份和復原解決方案，據以管理您的 SEMM 憑證

使用 Microsoft Surface UEFI Configurator 工具建立的套件會使用憑證簽署。 此憑證可確保在 SEMM 中註冊裝置之後，只有使用核准憑證建立的套件可以用來修改 UEFI 的設定。

建議的憑證設定

針對 SEMM 憑證建議使用下列設定：

• 密鑰演演算法 – RSA
• 金鑰長度 – 2048
• 哈希演算法 – SHA-256
• 類型 – SSL Server 驗證
• 金鑰使用方式 – 數位簽名、金鑰加密
• 提供者 – Microsoft 增強型 RSA 和 AES 密碼編譯提供者
• 到期日 – 憑證建立后 15 個月
• 金鑰導出原則 – 可匯出

此外，也建議在兩層式公鑰基礎結構中驗證 SEMM 憑證， (PKI) 架構，其中中繼證書頒發機構單位 (CA) 專用於 SEMM，以啟用證書吊銷。 如需兩層式 PKI 設定的詳細資訊，請 參閱測試實驗室指南：部署 AD CS Two-Tier PKI 階層。

自我簽署憑證

您可以使用下列範例 PowerShell 腳本來建立自我簽署憑證，以用於概念證明案例。 若要使用此腳本，請將下列文字複製到記事本，然後將檔案儲存為 PowerShell 腳本 (.ps1) 。

注意

此腳本會建立密碼為的 12345678憑證。 不建議針對生產環境使用此腳本所產生的憑證。

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

重要

若要搭配 SEMM 和 Microsoft Surface UEFI Configurator 使用，必須使用私鑰和密碼保護來導出憑證。 Microsoft Surface UEFI 設定程式會提示您選取 SEMM 憑證檔案 (.pfx) 和憑證密碼。

若要建立自我簽署憑證：

1. 在 C： 磁碟驅動器上，建立您要儲存腳本的資料夾;例如 C：\SEMM。
2. 將範例腳本複製到記事本 (或對等文本編輯器) ，然後將檔案儲存為 PowerShell 腳本 (.ps1) 。
3. 使用系統管理員認證登入您的計算機，然後開啟提升許可權的PowerShell工作階段。
4. 請確定您的許可權已設定為允許文稿執行。 根據預設，除非您修改執行原則，否則腳本會遭到封鎖而無法執行。 若要深入瞭解，請 參閱關於執行原則。
5. 在命令提示字元中，輸入腳本的完整路徑，然後按 Enter。 腳本會建立名為TempOwner.pfx的示範憑證。

或者，您可以使用 PowerShell 建立自己的自我簽署憑證。 如需詳細資訊，請 參閱 New-SelfSignedCertificate。

注意

對於在其 PKI 基礎結構中使用離線根目錄的組織，必須在連線到根 CA 的環境中執行 Microsoft Surface UEFI 設定程式，才能驗證 SEMM 憑證。 Microsoft Surface UEFI Configurator 所產生的套件可以當做檔案傳輸，因此可以使用抽取式記憶體在離線網路環境外傳輸，例如 USB 遊戲桿。

管理憑證常見問題

建議 的最小 長度為 15 個月。 您可以使用在15個月內過期的憑證，或使用過期超過15個月的憑證。

注意

當憑證過期時，它不會自動更新。

過期的憑證是否會影響 SEMM 註冊裝置的功能？

否，憑證只會影響 SEMM 中的 IT 系統管理員管理工作，而且在裝置功能到期時不會有任何影響。

SEMM 套件和憑證是否需要在擁有 SEMM 套件的所有電腦上更新？

如果您想要讓 SEMM 重設或復原運作，憑證必須有效且未過期。

是否可以針對我們訂購的每個介面建立大量重設套件？ 可以建置一個可重設環境中所有機器的機器嗎？

針對特定裝置類型建立元件的PowerShell範例，也可以用來建立與序號無關的重設套件。 如果憑證仍然有效，您可以使用PowerShell來建立重設套件來重設SEMM。

版本歷程記錄

版本 2.105.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop Studio 2、Surface Laptop Go 3 和 Surface Go 4

版本 2.100.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop 5、Surface Pro 9、Surface Pro 9 搭配 5G，以及 Surface Studio 2+

版本 2.97.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop Go 2

版本 2.94.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop Studio、Surface Pro 8 和 Surface Go 3

版本 2.83.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop 4
• 支援 Surface Pro 7 的同時多線程選項
• 拿掉過時的 SEMM 設定
• 改善的 MSI 簽署

版本 2.79.139.0

此版本的 SEMM 包括：

• 支援 Surface Pro 7+。
• 用戶體驗改善。

版本 2.78.139.0

此版本的 SEMM 包括：

• 支援 Surface Laptop Go 和 Surface Pro X。
• 新版本版本的通知。
• 建立自定義套件以變更擁有權的能力。
• 錯誤修正。

版本 2.73.136.0

此版本的 SEMM 包括：

• 使用 SEMM 在 Surface Hub2S 上停用音訊的能力。
• 支援 Surface Pro X for Dock 2。
• 支援擴充座 2 相關作業的 UEFI 管理員。
• Surface Go 重設套件錯誤修正。
• 支援將 Surface Hub 2S 裝置從 Windows 10 團隊版 OS 移轉至 Windows 10 專業版 或 Enterprise。

版本 2.71.139.0

此版本的 SEMM 新增了適用於 Surface Book 3、Surface Laptop 3 和 Surface Pro 7 的 Surface 擴充座 2 管理功能支援。 其中包含：

• 啟用音訊 (鎖定/解除鎖定) ，以及乙太網路和USB埠的能力。
• 能夠為已驗證和未經驗證的主機建立擴充套件。

版本 2.70.130.0

此版本的 SEMM 包括：

• 支援 Surface Go 2。
• 支援 Surface Book 3。
• 錯誤修正。

版本 2.59.139.0

此版本的 SEMM 包括：

• 支援使用 Intel 處理器 Surface Pro 7、Surface Pro X 和 Surface Laptop 3 13.5“ 和 15” 模型。

  注意

  不支援 Surface Laptop 3 15 吋 AMD 處理器。

• 支援電源喚醒功能。

版本 2.54.139.0

此版本的 SEMM 包括：

• 支援 Surface Hub 2S。
• 錯誤修正。

2.43.136.0 版

此版本的 SEMM 包括：

• 支援啟用/停用同時多線程。
• 針對某些裝置的無線網路功能和藍牙有不同的選項。
• 已移除 Surface Studio的電池限制。

版本 2.26.136.0

此版本的 SEMM 包括：

• 支援 Surface Studio 2。
• 電池限制功能。

2.21.136.0 版

此版本的 SEMM 包括：

• 支援 Surface Pro 6。
• 支援 Surface Laptop 2。

版本 2.14.136.0

此版本的 SEMM 包括：

• 支援 Surface Go。

版本 2.9.136.0

此版本的 SEMM 包括：

• 支援 Surface Book 2。
• 支援 Surface Pro LTE。
• 輔助功能改善。

1.0.74.0 版

此版本的 SEMM 包括：

• 支援 Surface Laptop。
• 支援 Surface Pro。
• 錯誤修正和一般改善。

相關文章

• 使用 SEMM 註冊及設定 Surface 裝置
• 從 SEMM 取消 Surface 裝置的註冊
• 使用 SEMM 保護 Surface Dock 連接埠的安全