Verwalten der Surface UEFI-Einstellungen

Surface PC-Geräte wurden für die Verwendung einer einzigartigen Unified Extensible Firmware Interface (UEFI) entwickelt, die von Microsoft speziell für diese Geräte entwickelt wurde. Surface UEFI-Einstellungen bieten die Möglichkeit, integrierte Geräte und Komponenten zu aktivieren oder zu deaktivieren, UEFI-Einstellungen vor Änderungen zu schützen und die Surface-Gerätestarteinstellungen anzupassen.

Unterstützte Produkte

Die UEFI-Verwaltung wird für Folgendes unterstützt:

  • Surface Pro 4, Surface Pro (5. Generation), Surface Pro 6, Surface Pro 7, Surface Pro 7+ (nur kommerzielle SKUs), Surface Pro 8 (nur kommerzielle SKUs), Surface Pro X
  • Surface Laptop (1. Generation), Surface Laptop 2, Surface Laptop 3 (nur Intel-Prozessoren), Surface Laptop Go, Surface Laptop 4 (nur kommerzielle SKUs), Surface Laptop SE, Surface Laptop Go 2
  • Surface Studio (1. Generation), Surface Studio 2
  • Surface Book (alle Generationen)
  • Surface Laptop Studio (nur kommerzielle SKUs)
  • Surface Go, Surface Go 21, Surface Go 3 (nur kommerzielle SKUs)

Tipp

Kommerzielle SKUs (auch bekannt als Surface for Business) führen Windows 10 Pro/Enterprise oder Windows 11 Pro/Enterprise aus. Consumer-SKUs führen Windows 10/Windows 11 Home aus. In UEFI sind kommerzielle SKUs die einzigen Modelle, die die Seite "Geräte " und " Verwaltung" enthalten. Weitere Informationen finden Sie unter Anzeigen Ihrer Systeminformationen.

Unterstützung für cloudbasierte Verwaltung

Mit dfci-Profilen (Device Firmware Configuration Interface), die in Microsoft Intune integriert sind (jetzt in der öffentlichen Vorschau verfügbar), erweitert die Surface UEFI-Verwaltung den modernen Verwaltungsstapel bis auf die UEFI-Hardwareebene. DFCI unterstützt die Zero-Touch-Bereitstellung, eliminiert BIOS-Kennwörter, bietet die Kontrolle über Sicherheitseinstellungen – einschließlich Startoptionen und integrierte Peripheriegeräte – und legt die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft. DFCI ist derzeit für Surface Laptop SE, Surface Laptop Studio, Surface Pro 8, Surface Go 3, Surface Laptop 4, Surface Laptop Go, Surface Book 3, Surface Laptop 3, Surface Pro 7+, Surface Pro 7 und Surface Pro X verfügbar. Weitere Informationen finden Sie unter Intune-Verwaltung von Surface UEFI-Einstellungen.

Surface UEFI-Menü öffnen

So passen Sie UEFI-Einstellungen während des Systemstarts an:

  1. Fahren Sie Ihr Surface herunter, und warten Sie ungefähr 10 Sekunden, um sicherzustellen, dass es deaktiviert ist.
  2. Halten Sie die Taste "Lautstärke erhöhen" gedrückt, und drücken Und lassen Sie gleichzeitig den Netzschalter los.
  3. Wenn das Microsoft- oder Surface-Logo auf dem Bildschirm angezeigt wird, halten Sie die Schaltfläche "Lautstärke erhöhen" so lange gedrückt, bis der UEFI-Bildschirm angezeigt wird.

UEFI-PC-Informationsseite

Die Seite "PC-Informationen" enthält detaillierte Informationen zu Ihrem Surface-Gerät:

  • Modell – Das Modell Ihres Surface-Geräts wird hier angezeigt, z. B. Surface Book 2 oder Surface Pro 7. Die genaue Konfiguration Ihres Geräts wird nicht angezeigt (z. B. Prozessor, Datenträgergröße oder Speichergröße).

  • UUID – Die UUID-Nummer gilt speziell für Ihr Gerät und wird verwendet, um das Gerät während der Bereitstellung oder Verwaltung zu identifizieren.

  • Seriennummer – Diese Nummer identifiziert dieses spezifische Surface-Gerät für Bestandskennzeichnungs- und Supportszenarien.

  • Bestandskennzeichen – Das Bestandskennzeichen wird dem Surface-Gerät mit dem Asset Tag Tool zugewiesen.

Außerdem finden Sie detaillierte Informationen zur Firmware des Surface-Geräts. Surface-Geräte verfügen über mehrere interne Komponenten, die jeweils unterschiedliche Versionen der Firmware ausführen. Die Firmwareversion der folgenden Geräte wird auf der Seite PC-Informationen angezeigt (siehe Abbildung 1):

  • System-UEFI

  • SAM-Controller

  • Intel Management-Modul

  • System Embedded Controller

  • Touch-Firmware

Systeminformationen und Firmwareversionsinformationen.

Abbildung1. Systeminformationen und Firmwareversionsinformationen

Aktuelle Informationen zur neuesten Firmware für Ihr Surface-Gerät finden Sie im Surface-Updateverlauf für Ihr Gerät.

UEFI-Sicherheitsseite

Konfigurieren sie die Surface UEFI-Sicherheitseinstellungen.

Abbildung2. Konfigurieren von Surface UEFI-Sicherheitseinstellungen

Auf der Seite "Sicherheit" können Sie ein Kennwort festlegen, um UEFI-Einstellungen zu schützen. Dieses Kennwort muss eingegeben werden, wenn Sie das Surface-Gerät mit UEFI starten. Das Kennwort kann die folgenden Zeichen enthalten (siehe Abbildung 3):

  • Großbuchstaben: A-Z

  • Kleinbuchstaben : a-z

  • Zahlen: 1-0

  • Sonderzeichen: !@#$%^&*()?<>{}[]-_=+|.,;:''"

Das Kennwort muss mindestens sechs Zeichen lang sein, wobei die Groß-/Kleinschreibung beachtet wird.

Fügen Sie ein Kennwort zum Schutz der Surface UEFI-Einstellungen hinzu.

Abbildung3. Hinzufügen eines Kennworts zum Schutz der Surface UEFI-Einstellungen

Auf der Seite "Sicherheit" können Sie auch die Konfiguration des sicheren Starts auf Ihrem Surface-Gerät ändern. Die Technologie für den sicheren Start verhindert, dass nicht autorisierter Startcode auf Ihrem Surface Gerät gestartet werden kann, und sie schützt Sie vor Schadsoftwareinfektionen durch Bootkits und Rootkits. Sie können den sicheren Start deaktivieren, damit Ihr Surface-Gerät Betriebssysteme von Drittanbietern oder startbare Medien starten kann. Sie können den sicheren Start auch für die Arbeit mit Zertifikaten von Drittanbietern konfigurieren, wie in Abbildung 4 dargestellt. Weitere Informationen finden Sie unter "Sicherer Start".

Konfigurieren Sie den sicheren Start.

Abbildung 4. Konfigurieren des sicheren Starts

Je nach Gerät können Sie möglicherweise auch sehen, ob Ihr TPM aktiviert oder deaktiviert ist. Wenn die Einstellung " TPM aktivieren " nicht angezeigt wird, öffnen Sie "tpm.msc" in Windows, um den Status zu überprüfen, wie in Abbildung 5 dargestellt. Das TPM wird verwendet, um die Verschlüsselung für die Daten Ihres Geräts mit BitLocker zu authentifizieren. Weitere Informationen finden Sie in der BitLocker-Übersicht.

TPM-Konsole.

Abbildung5. TPM-Konsole

Seite "UEFI-Geräte"

Auf der Seite "Geräte" können Sie bestimmte Komponenten auf geeigneten Geräten aktivieren oder deaktivieren, einschließlich Surface Pro 8, Surface Go 3, Surface Laptop Studio, Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Laptop 4, Surface Laptop 3, Surface Laptop SE und Surface Book 3. Komponenten bestehen aus den folgenden Komponenten:

  • Docking-USB-Anschluss

  • MicroSD oder SD-Kartensteckplatz

  • Rückwärtige Kamera

  • Frontkamera

  • Infrarotkamera

  • WLAN und Bluetooth

  • Integriertes Audio (Lautsprecher und Mikrofon)

Jedes Gerät wird mit einer Schiebereglerschaltfläche aufgelistet, die Sie wie in Abbildung 6 dargestellt an die Position " Ein " (aktiviert) oder " Aus " (deaktiviert) verschieben können.

Aktivieren und Deaktivieren bestimmter Geräte.

Abbildung6. Aktivieren bzw. Deaktivieren bestimmter Geräte

UEFI-Startkonfigurationsseite

Auf der Seite "Startkonfiguration" können Sie die Reihenfolge Ihrer Startgeräte ändern sowie den Start der folgenden Geräte aktivieren oder deaktivieren:

  • Windows-Start-Manager

  • USB-Speicher

  • PXE-Netzwerk

  • Interner Speicher

Sie können von einem bestimmten Gerät sofort starten oder über den Touchscreen nach links auf dem Eintrag dieses Geräts in der Liste wischen. Sie können auch sofort mit einem USB-Gerät oder USB-Ethernet-Adapter starten, wenn das Surface-Gerät durch gleichzeitiges Drücken der Leiser-Taste und der Ein/Aus-Taste ausgeschaltet wird.

Damit die angegebene Startreihenfolge wirksam wird, müssen Sie die Option "Alternative Startsequenz aktivieren " auf " Ein" festlegen, wie in Abbildung 7 dargestellt.

Konfigurieren Sie die Startreihenfolge für Ihr Surface-Gerät.

Abbildung7. Konfigurieren der Startreihenfolge für Ihr Surface-Gerät

Sie können die IPv6-Unterstützung für PXE auch mit der Option " IPv6 für PXE-Netzwerkstart aktivieren " aktivieren und deaktivieren, z. B. bei einer Windows-Bereitstellung mit PXE, bei der der PXE-Server nur für IPv4 konfiguriert ist.

UEFI-Verwaltungsseite

Auf der Seite "Verwaltung" können Sie die Verwendung von Zero Touch UEFI Management und anderen Features auf geeigneten Geräten verwalten, einschließlich Surface Pro 8, Surface Go 3, Surface Laptop Studio, Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Laptop 4, Surface Laptop 3, Surface Laptop SE und Surface Book 3.

Verwalten Des Zugriffs auf Zero Touch UEFI Management und andere Features.

Abbildung8. Verwalten des Zugriffs auf Zero Touch UEFI Management und andere Features

Mit zero Touch UEFI Management können Sie UEFI-Einstellungen remote mithilfe eines Geräteprofils in Intune verwalten, das als Device Firmware Configuration Interface (DFCI) bezeichnet wird. Wenn Sie diese Einstellung nicht konfigurieren, ist die Möglichkeit zum Verwalten berechtigter Geräte mit DFCI auf "Bereit" festgelegt. Um DFCI zu verhindern, wählen Sie "Abmelden" aus.

Hinweis

Die Einstellungsseite für die UEFI-Verwaltung und die Verwendung von DFCI sind derzeit für Surface Laptop SE, Surface Laptop Studio, Surface Pro 8, Surface Go 3, Surface Laptop 4, Surface Laptop Go, Surface Laptop Go 2, Surface Book 3, Surface Laptop 3, Surface Pro 7+, Surface Pro 7 und Surface Pro X verfügbar. Weitere Informationen finden Sie unter Intune-Verwaltung von Surface UEFI-Einstellungen.

UEFI-Beendigungsseite

Verwenden Sie die Schaltfläche " Jetzt neu starten " auf der Seite " Beenden ", um die UEFI-Einstellungen zu beenden, wie in Abbildung 9 dargestellt.

Beenden Sie Surface UEFI, und starten Sie das Gerät neu.

Abbildung9. Klicken Sie auf „Jetzt neu starten“, um Surface UEFI zu beenden und das Gerät neu zu starten.

Surface UEFI-Startbildschirme

Wenn Sie die Surface-Gerätefirmware entweder mitHilfe von Windows Update oder manueller Installation aktualisieren, werden die Updates nicht sofort auf das Gerät angewendet, sondern während des nächsten Neustartzyklus. Weitere Informationen zum Surface-Firmwareupdateprozess finden Sie unter Verwalten und Bereitstellen von Surface-Treiber- und Firmwareupdates. Der Status des Firmwareupdates wird auf einem Bildschirm mit Statusanzeigen unterschiedlicher Farben angezeigt, um die Firmware für jede Komponente anzugeben. Die Statusanzeige jeder Komponente ist in den Abbildungen 9 bis 18 dargestellt.

Surface UEFI-Firmwareupdate mit blauer Statusanzeige.

Abbildung10. Surface-UEFI-Firmwareupdate mit einer blauen Statusanzeige

System Embedded Controller firmware with green progress bar.

Abbildung11. System Embedded Controller-Firmwareupdate mit einer grünen Statusanzeige

SAM Controller-Firmwareupdate mit orangefarbener Statusanzeige.

Abbildung 12 SAM-Controller-Firmwareupdate mit einer orangefarbenen Statusanzeige

Intel Management Engine-Firmware mit roter Statusanzeige.

Abbildung 13 Intel Management Engine-Firmwareupdate mit einer roten Statusanzeige

Surface Touch-Firmware mit grauer Statusanzeige.

Abbildung 14 Surface Touch-Firmwareupdate mit einer grauen Statusanzeige

Surface KIP-Firmware mit hellgrüner Statusanzeige.

Abbildung15. Das Surface KIP-Firmwareupdate zeigt eine hellgrüne Statusanzeige an.

Surface ISH-Firmware mit rosa Statusanzeige.

Abbildung 16 Das Surface ISH-Firmwareupdate zeigt eine hellrosa Statusanzeige an.

Surface Trackpad-Firmware mit grauer Statusanzeige.

Abbildung17. Das Surface Trackpad-Firmwareupdate zeigt eine rosa Statusanzeige an.

Surface TCON-Firmware mit hellgrauer Statusanzeige.

Abbildung 18. Das Surface TCON-Firmwareupdate zeigt eine hellgraue Statusanzeige an.

Surface TPM-Firmware mit hellvioletter Statusanzeige.

Abbildung 19. Das Surface TPM-Firmwareupdate zeigt eine violette Statusanzeige an.

Hinweis

Eine zusätzliche Warnmeldung, die angibt, dass der sichere Start deaktiviert ist, wird angezeigt, wie in Abbildung 19 dargestellt.

Surface-Startbildschirm, der angibt, dass der sichere Start deaktiviert wurde.

Abbildung 20. Surface-Startbildschirm mit dem Hinweis, dass die Option "Sicherer Start" in den Surface UEFI-Einstellungen deaktiviert wurde.

Verweise

  1. Surface Go und Surface Go 2 verwenden UEFI eines Drittanbieters und unterstützen dfci nicht. DFCI ist derzeit für Surface Laptop SE, Surface Laptop Studio, Surface Pro 8, Surface Go 3, Surface Laptop 4, Surface Laptop Go, Surface Laptop Go 2, Surface Book 3, Surface Laptop 3, Surface Pro 7+, Surface Pro 7 und Surface Pro X verfügbar.