Verwalten von Surface UEFI-Einstellungen

  • Artikel
  • Gilt für::
    Windows 10, Windows 11

Surface-Geräte sind für die Verwendung einer einzigartigen Unified Extensible Firmware Interface (UEFI) konzipiert, die von Microsoft speziell für diese Geräte entwickelt wurde. Mithilfe von Surface UEFI-Einstellungen können IT-Administratoren integrierte Geräte und Komponenten aktivieren oder deaktivieren, UEFI-Einstellungen vor Änderungen schützen und die Starteinstellungen des Surface-Geräts anpassen.

Unterstützte Produkte

Die UEFI-Verwaltung wird auf den folgenden Surface-Geräten unterstützt:

  • Surface Pro 4, Surface Pro (5. Generation), Surface Pro 6, Surface Pro 7, Surface Pro 7 und höher (nur kommerzielle SKUs), Surface Pro 8 (nur kommerzielle SKUs), Surface Pro 9 & Surface Pro 9 mit 5G (nur kommerzielle SKUs), Surface Pro 10, Surface Pro X
  • Surface Laptop (1. Generation), Surface Laptop 2, Surface Laptop 3 (nur Intel-Prozessoren), Surface Laptop Go, Surface Laptop 4 (nur kommerzielle SKUs), Surface Laptop 5 (nur kommerzielle SKUs), Surface Laptop 6 (nur kommerzielle SKUs), Surface Laptop SE, Surface Laptop Go 2 (nur kommerzielle SKUs), Surface Laptop Go 3 (nur kommerzielle SKUs)
  • Surface Studio (1. Generation), Surface Studio 2, Surface Studio 2+
  • Surface Book (alle Generationen)
  • Surface Laptop Studio (alle Generationen, nur kommerzielle SKUs)
  • Surface Go, Surface Go 21, Surface Go 3 (nur kommerzielle SKUs), Surface Go 4 (nur kommerzielle SKUs)

Tipp

Kommerzielle SKUs (auch bekannt als Surface for Business) werden Windows 10 Pro/Enterprise oder Windows 11 Pro/Enterprise ausgeführt. Consumer-SKUs werden Windows 10/Windows 11 Home ausgeführt. In UEFI sind kommerzielle SKUs die einzigen Modelle, die über die Geräteseite und die Verwaltungsseite verfügen. Weitere Informationen finden Sie unter Anzeigen Ihrer Systeminformationen.

Unterstützung für die cloudbasierte Verwaltung

Mit dfci-Profilen (Device Firmware Configuration Interface), die in Microsoft Intune integriert sind (jetzt in der öffentlichen Vorschau verfügbar), erweitert die Surface UEFI-Verwaltung den modernen Verwaltungsstapel auf die UEFI-Hardwareebene. DFCI unterstützt die Zero-Touch-Bereitstellung, eliminiert BIOS-Kennwörter, bietet die Kontrolle über Sicherheitseinstellungen und legt die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft.

DFCI ist derzeit für die folgenden kommerziellen Geräte verfügbar: Surface Pro 10, Surface Pro 9, Surface Pro 9 mit 5G, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Laptop 6, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Studio 2, Surface Laptop Studio, Surface Laptop SE, Surface Laptop Go 2, Surface Laptop Go 2, Surface Laptop Go, Surface Book 3, Surface Studio 2+, Surface Go 3 und Surface Go 4. Weitere Informationen finden Sie unter Verwalten von DFCI auf Surface-Geräten.

Öffnen des Surface UEFI-Menüs

So passen Sie die UEFI-Einstellungen während des Systemstarts an

  1. Fahren Sie Ihr Surface herunter, und warten Sie etwa 10 Sekunden, um sicherzustellen, dass es ausgeschaltet ist.
  2. Halten Sie die Lauter-Taste gedrückt, und drücken Sie gleichzeitig die Ein/Aus-Taste.
  3. Wenn das Microsoft- oder Surface-Logo auf dem Bildschirm angezeigt wird, halten Sie die Lauter-Taste so lange gedrückt, bis der UEFI-Bildschirm angezeigt wird.

UEFI-PC-Informationsseite

Die Pc-Informationsseite enthält ausführliche Informationen zu Ihrem Surface-Gerät:

  • Modell: Das Modell Ihres Surface-Geräts, z. B. Surface Laptop Studio 2 oder Surface Pro 9, wird hier angezeigt. Die genaue Konfiguration Ihres Geräts wird nicht angezeigt (z. B. Prozessor, Datenträgergröße oder Arbeitsspeichergröße).

  • System-UUID : Diese universally Unique Identification-Nummer ist spezifisch für Ihr Gerät und wird verwendet, um das Gerät während der Bereitstellung oder Verwaltung zu identifizieren.

  • Seriennummer : Diese Nummer identifiziert dieses spezifische Surface-Gerät für Assettagging- und Supportszenarien.

  • Asset-Tag : Das Asset-Tag wird dem Surface-Gerät mit dem Asset Tag Tool zugewiesen.

Sie finden auch ausführliche Informationen zur Firmware Ihres Surface-Geräts. Surface-Geräte verfügen über mehrere interne Komponenten, die jeweils unterschiedliche Versionen der Firmware ausführen. Die Firmwareversionen für diese Komponenten werden auf der Pc-Informationsseite angezeigt. Die Komponenten umfassen folgendes und können je nach Gerät variieren:

  • System-UEFI
  • SMF-Controller
  • SAM-Controller
  • Intel Management-Modul
  • PD-Controller
  • Tastaturcontroller
  • Trackpad-Controller
  • Touch-Firmware

Systeminformationen und Firmwareversionsinformationen.

Abbildung 1. Systeminformationen und Firmwareversionsinformationen.

Aktuelle Informationen zur neuesten Firmware für Ihr Surface-Gerät finden Sie im Surface-Updateverlauf für Ihr Gerät.

Seite "UEFI-Sicherheit"

Konfigurieren Sie die Surface UEFI-Sicherheitseinstellungen.

Abbildung 2. Konfigurieren Sie die Surface UEFI-Sicherheitseinstellungen.

Auf der Seite Sicherheit können Sie ein Kennwort festlegen, um UEFI-Einstellungen zu schützen. Dieses Kennwort muss eingegeben werden, wenn Sie das Surface-Gerät mit UEFI starten. Das Kennwort kann die folgenden Zeichen enthalten (siehe Abbildung 3):

  • Großbuchstaben: A-Z

  • Kleinbuchstaben : a-z

  • Zahlen: 1-0

  • Sonderzeichen: !@#$%^&*()?<>{}[]-_=+|.,;:''"

Das Kennwort muss mindestens sechs Zeichen lang sein, wobei die Groß-/Kleinschreibung beachtet wird.

Fügen Sie ein Kennwort hinzu, um die Surface UEFI-Einstellungen zu schützen.

Abbildung 3. Fügen Sie ein Kennwort hinzu, um die Surface UEFI-Einstellungen zu schützen.

Auf der Seite Sicherheit können Sie auch die Konfiguration des sicheren Starts auf Ihrem Surface-Gerät ändern. Die Technologie für den sicheren Start verhindert, dass nicht autorisierter Startcode auf Ihrem Surface Gerät gestartet werden kann, und sie schützt Sie vor Schadsoftwareinfektionen durch Bootkits und Rootkits. Sie können den sicheren Start deaktivieren, damit Ihr Surface-Gerät andere Betriebssysteme oder startbare Medien starten kann. Sie können den sicheren Start auch für die Verwendung mit anderen Zertifikaten konfigurieren, wie in Abbildung 4 gezeigt. Weitere Informationen finden Sie unter Sicherer Start.

Konfigurieren Sie den sicheren Start.

Abbildung 4. Konfigurieren Sie den sicheren Start.

Abhängig von Ihrem Gerät sehen Sie möglicherweise auch, ob Ihr TPM aktiviert oder deaktiviert ist. Wenn die Einstellung TPM aktivieren nicht angezeigt wird, öffnen Sie tpm.msc in Windows, um die status zu überprüfen, wie in Abbildung 5 dargestellt. Das TPM wird verwendet, um die Datenverschlüsselung Ihres Geräts mit BitLocker zu authentifizieren. Weitere Informationen finden Sie unter Übersicht über BitLocker.

TPM-Konsole.

Abbildung 5. TPM-Konsole.

Seite "UEFI-Geräte"

Auf der Seite Geräte können Sie bestimmte Komponenten auf berechtigten Geräten aktivieren oder deaktivieren. Komponenten bestehen aus folgenden Komponenten:

  • Usb-Anschluss andocken

  • MicroSD oder SD-Kartensteckplatz

  • Rückwärtige Kamera

  • Frontkamera

  • Infrarotkamera

  • WLAN und Bluetooth

  • Integriertes Audio (Lautsprecher und Mikrofon)

Jedes Gerät verfügt über eine Schiebereglerschaltfläche, um in die Position Ein (aktiviert) oder Aus (deaktiviert) zu wechseln, wie in Abbildung 6 dargestellt.

Aktivieren und deaktivieren Sie bestimmte Geräte.

Abbildung 6. Aktivieren und deaktivieren Sie bestimmte Geräte.

UEFI-Startkonfigurationsseite

Auf der Seite Startkonfiguration können Sie die Reihenfolge Ihrer Startgeräte ändern und den Start der folgenden Geräte aktivieren oder deaktivieren:

  • Windows-Start-Manager

  • USB-Speicher

  • PXE-Netzwerk

  • Interner Speicher

Sie können sofort von einem bestimmten Gerät starten oder über den Touchscreen auf dem Eintrag dieses Geräts in der Liste nach links wischen. Sie können auch sofort mit einem USB-Gerät oder USB-Ethernet-Adapter starten, wenn das Surface-Gerät durch gleichzeitiges Drücken der Leiser-Taste und der Ein/Aus-Taste ausgeschaltet wird.

Damit die angegebene Startreihenfolge wirksam wird, müssen Sie die Option Alternative Startsequenz aktivieren auf Ein festlegen, wie in Abbildung 7 dargestellt.

Konfigurieren Sie die Startreihenfolge für Ihr Surface-Gerät.

Abbildung 7. Konfigurieren Sie die Startreihenfolge für Ihr Surface-Gerät.

Sie können die IPv6-Unterstützung für PXE auch mit der Option IPv6 für PXE-Netzwerkstart aktivieren aktivieren und deaktivieren, z. B. wenn Sie eine Windows-Bereitstellung mit PXE durchführen, bei der der PXE-Server nur für IPv4 konfiguriert ist.

Seite "UEFI-Verwaltung"

Auf der Seite Verwaltung können Sie die Verwendung der Zero Touch UEFI-Verwaltung und anderer Features auf berechtigten Geräten verwalten.

Verwalten sie den Zugriff auf die Zero Touch UEFI-Verwaltung und andere Features.

Abbildung 8. Verwalten sie den Zugriff auf die Zero Touch UEFI-Verwaltung und andere Features.

Mit der Zero Touch UEFI-Verwaltung können Sie UEFI-Einstellungen remote verwalten, indem Sie ein Geräteprofil in Intune als Device Firmware Configuration Interface (DFCI) bezeichnet werden. Wenn Sie diese Einstellung nicht konfigurieren, wird die Möglichkeit zum Verwalten berechtigter Geräte mit DFCI auf Bereit festgelegt. Um DFCI zu verhindern, wählen Sie Abmelden aus.

UEFI-Seite "Beenden"

Verwenden Sie die Schaltfläche Jetzt neu starten auf der Seite Beenden , um die UEFI-Einstellungen zu beenden, wie in Abbildung 9 dargestellt.

Beenden Sie Surface UEFI, und starten Sie das Gerät neu.

Abbildung 9. Wählen Sie Jetzt neu starten aus, um surface UEFI zu beenden und das Gerät neu zu starten.

Surface UEFI-Startbildschirme

Wenn Sie die Surface-Gerätefirmware entweder mit Windows Update oder manueller Installation aktualisieren, werden die Updates nicht sofort auf das Gerät angewendet, sondern während des nächsten Neustartzyklus. Weitere Informationen zum Surface-Firmwareupdateprozess finden Sie unter Verwalten und Bereitstellen von Surface-Treiber- und Firmwareupdates. Der Fortschritt des Firmwareupdates wird auf einem Bildschirm mit Statusanzeigen in unterschiedlichen Farben angezeigt, um die Firmware für jede Komponente anzugeben. Die Statusanzeige jeder Komponente ist in den Abbildungen 9 bis 18 dargestellt.

Surface UEFI-Firmwareupdate mit blauer Statusanzeige.

Abbildung 10. Das Surface UEFI-Firmwareupdate zeigt eine blaue Statusanzeige an.

System Embedded Controller-Firmware mit grüner Statusanzeige.

Abbildung 11. Das Firmwareupdate des System Embedded Controllers zeigt eine grüne Statusanzeige an.

SAM Controller-Firmwareupdate mit orangefarbener Statusanzeige.

Abbildung 12 Das SAM Controller-Firmwareupdate zeigt eine orangefarbene Statusanzeige an.

Intel Management Engine Firmware mit roter Statusanzeige.

Abbildung 13 Das Firmwareupdate der Intel Management Engine zeigt eine rote Statusanzeige an.

Surface Touch-Firmware mit grauer Statusanzeige.

Abbildung 14 Das Surface Touch-Firmwareupdate zeigt eine graue Statusanzeige an.

Surface KIP-Firmware mit hellgrüner Statusanzeige.

Abbildung 15. Das Surface KIP-Firmwareupdate zeigt eine hellgrüne Statusanzeige an.

Surface ISH-Firmware mit rosa Statusanzeige.

Abbildung 16 Das Surface ISH-Firmwareupdate zeigt eine hellrosa Statusanzeige an.

Surface Trackpad-Firmware mit grauer Statusanzeige.

Abbildung 17. Das Surface Trackpad-Firmwareupdate zeigt eine rosa Statusanzeige an.

Surface TCON-Firmware mit hellgrauer Statusanzeige.

Abbildung 18. Das Surface TCON-Firmwareupdate zeigt eine hellgraue Statusanzeige an.

Surface TPM-Firmware mit hellvioletter Statusanzeige.

Abbildung 19. Das Surface TPM-Firmwareupdate zeigt eine violette Statusanzeige an.

Hinweis

Eine zusätzliche Warnmeldung, die angibt, dass sicherer Start deaktiviert ist, wird angezeigt, wie in Abbildung 19 dargestellt.

Surface-Startbildschirm, der angibt, dass der sichere Start deaktiviert wurde.

Abbildung 20. Surface-Startbildschirm, der angibt, dass der sichere Start in den Surface UEFI-Einstellungen deaktiviert wurde.

Verweise

  1. Surface Go und Surface Go 2 verwenden eine UEFI eines Drittanbieters und unterstützen DFCI nicht.