Microsoft Surface UnternehmensverwaltungsmodusMicrosoft Surface Enterprise Management Mode

Microsoft Surface Enterprise Management Mode (SEMM) ist ein Feature von Surface-Geräten mit Surface UEFI, mit dem Sie Firmwareeinstellungen in Ihrer Organisation sichern und verwalten können.Microsoft Surface Enterprise Management Mode (SEMM) is a feature of Surface devices with Surface UEFI that allows you to secure and manage firmware settings within your organization. Mit SEMM können IT-Experten Konfigurationen von UEFI-Einstellungen vorbereiten und auf einem Surface-Gerät installieren.With SEMM, IT professionals can prepare configurations of UEFI settings and install them on a Surface device. Neben der Möglichkeit, UEFI-Einstellungen zu konfigurieren, verwendet SEMM auch ein Zertifikat, um die Konfiguration vor unbefugten Manipulationen oder Entfernungen zu schützen.In addition to the ability to configure UEFI settings, SEMM also uses a certificate to protect the configuration from unauthorized tampering or removal. SEMM ist eine Voraussetzung für die Migration eines Surface Hub 2S zu Windows 10 Pro und Enterprise.SEMM is a requirement to be able to migrate a Surface Hub 2S to Windows 10 Pro and Enterprise.

Hinweis

SEMM ist nur auf Geräten mit Surface UEFI-Firmware verfügbar.SEMM is only available on devices with Surface UEFI firmware. Dies umfasst die meisten Surface-Geräte, darunter Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Hub 2S, kommerzielle Surface Laptop 3 SKUs mit einem Intel-Prozessor und Surface Laptop Go.This includes most Surface devices including Surface Pro 7+, Surface Pro 7, Surface Pro X, Surface Hub 2S, Surface Laptop 3 commercial SKUs with an Intel processor, and Surface Laptop Go. SEMM wird auf der 15"-Surface Laptop 3-SKU mit AMD-Prozessor nicht unterstützt (nur als SKU im Einzelhandel verfügbar).SEMM is not supported on the 15" Surface Laptop 3 SKU with AMD processor (only available as a retail SKU).

Wenn Surface-Geräte von SEMM konfiguriert und mit dem SEMM-Zertifikat gesichert werden, gelten sie als in SEMM registriert.When Surface devices are configured by SEMM and secured with the SEMM certificate, they are considered enrolled in SEMM. Wenn das SEMM-Zertifikat entfernt wird und die Steuerung der UEFI-Einstellungen an den Benutzer des Geräts zurückgegeben wird, wird das Surface-Gerät in SEMM als nicht mehr installiert betrachtet.When the SEMM certificate is removed and control of UEFI settings is returned to the user of the device, the Surface device is considered unenrolled in SEMM.

Es gibt zwei administrative Optionen, die Sie verwenden können, um SEMM zu verwalten und Surface-Geräte zu registrieren – ein eigenständiges Tool oder die Integration in Microsoft Endpoint Configuration Manager.There are two administrative options you can use to manage SEMM and enroll Surface devices – a standalone tool or integration with Microsoft Endpoint Configuration Manager. Das eigenständige SEMM-Tool, das als Microsoft Surface UEFI Configurator bezeichnet wird, wird in diesem Artikel beschrieben.The SEMM standalone tool, called the Microsoft Surface UEFI Configurator, is described in this article. Weitere Informationen zum Verwalten von SEMM mit Microsoft Endpoint Configuration Manager finden Sie unter Verwenden von Microsoft Endpoint Configuration Manager zum Verwalten von Geräten mit SEMM.For more information about how to manage SEMM with Microsoft Endpoint Configuration Manager, see Use Microsoft Endpoint Configuration Manager to manage devices with SEMM.

Hinweis

SEMM wird nur für Surface Pro X über den UEFI-Manager unterstützt.SEMM is supported on Surface Pro X via the UEFI Manager only. Sie können den UEFI Manager von Surface Tools for IT herunterladen.You can download UEFI Manager from Surface Tools for IT. Weitere Informationen finden Sie unter Deploying, managing, and servicing Surface Pro X.For more information, refer to Deploying, managing, and servicing Surface Pro X.

Microsoft Surface UEFI ConfiguratorMicrosoft Surface UEFI Configurator

Der primäre Arbeitsbereich von SEMM ist Microsoft Surface UEFI Configurator, wie in Abbildung 1 dargestellt.The primary workspace of SEMM is Microsoft Surface UEFI Configurator, as shown in Figure 1. Microsoft Surface UEFI Configurator ist ein Tool zum Erstellen von Windows Installer(MSI)-Paketen oder WinPE-Images, die zum Registrieren, Konfigurieren und Entrollen von SEMM auf einem Surface-Gerät verwendet werden.Microsoft Surface UEFI Configurator is a tool used to create Windows Installer (.msi) packages or WinPE images used to enroll, configure, and unenroll SEMM on a Surface device. Diese Pakete enthalten eine Konfigurationsdatei, in der die Einstellungen für UEFI angegeben sind.These packages contain a configuration file where the settings for UEFI are specified. SEMM-Pakete enthalten auch ein Zertifikat, das installiert und in der Firmware gespeichert wird und zum Überprüfen der Signatur von Konfigurationsdateien verwendet wird, bevor UEFI-Einstellungen angewendet werden.SEMM packages also contain a certificate, which is installed and stored in firmware and used to verify the signature of configuration files before UEFI settings are applied.

Tipp

Sie können jetzt Surface UEFI Configurator und SEMM verwenden, um Ports auf Surface Dock 2 zu verwalten.You can now use Surface UEFI Configurator and SEMM to manage ports on Surface Dock 2. Weitere Informationen finden Sie unter Secure Surface Dock 2 ports with SEMM.To learn more, see Secure Surface Dock 2 ports with SEMM.

Microsoft Surface UEFI Configurator

Abbildung1.Figure 1. Microsoft Surface UEFI ConfiguratorMicrosoft Surface UEFI Configurator

Sie können das tool Microsoft Surface UEFI Configurator in drei Modi verwenden:You can use the Microsoft Surface UEFI Configurator tool in three modes:

  • Surface UEFI Configuration Package.Surface UEFI Configuration Package. Verwenden Sie diesen Modus, um ein Surface UEFI-Konfigurationspaket zu erstellen, um ein Surface-Gerät in SEMM zu registrieren und UEFI-Einstellungen auf registrierten Geräten zu konfigurieren.Use this mode to create a Surface UEFI configuration package to enroll a Surface device in SEMM and to configure UEFI settings on enrolled devices.
  • Surface UEFI Reset Package.Surface UEFI Reset Package. Verwenden Sie diesen Modus, um ein Surface-Gerät von SEMM zu entrollen.Use this mode to unenroll a Surface device from SEMM.
  • Surface UEFI-Wiederherstellungsanforderung.Surface UEFI Recovery Request. Verwenden Sie diesen Modus, um auf eine Wiederherstellungsanforderung zu reagieren, um ein Surface-Gerät von SEMM zu entrolln, bei dem ein Reset Package-Vorgang nicht erfolgreich war.Use this mode to respond to a recovery request to unenroll a Surface device from SEMM where a Reset Package operation is not successful.

Herunterladen Microsoft Surface UEFI ConfiguratorDownload Microsoft Surface UEFI Configurator

Sie können Microsoft Surface UEFI Configurator von der Seite Surface Tools for IT im Microsoft Download Center herunterladen.You can download Microsoft Surface UEFI Configurator from the Surface Tools for IT page in the Microsoft Download Center.

KonfigurationspaketConfiguration package

Surface UEFI-Konfigurationspakete sind der primäre Mechanismus zum Implementieren und Verwalten von SEMM auf Surface-Geräten.Surface UEFI configuration packages are the primary mechanism to implement and manage SEMM on Surface devices. Diese Pakete enthalten eine Konfigurationsdatei mit UEFI-Einstellungen, die beim Erstellen des Pakets in Microsoft Surface UEFI Configurator angegeben sind, und eine Zertifikatdatei, wie in Abbildung 2 dargestellt.These packages contain a configuration file of UEFI settings specified during creation of the package in Microsoft Surface UEFI Configurator and a certificate file, as shown in Figure 2. Wenn ein Konfigurationspaket zum ersten Mal auf einem Surface-Gerät ausgeführt wird, das noch nicht bei SEMM registriert ist, wird die Zertifikatdatei in der Firmware des Geräts gespeichert und das Gerät in SEMM registriert.When a configuration package is run for the first time on a Surface device that is not already enrolled in SEMM, it provisions the certificate file in the device’s firmware and enrolls the device in SEMM. Beim Registrieren eines Geräts in SEMM werden Sie aufgefordert, den Vorgang zu bestätigen, indem Sie die letzten beiden Ziffern des SEMM-Zertifikatfingerabdrucks bereitstellen, bevor die Zertifikatdatei gespeichert wird und die Registrierung abgeschlossen werden kann.When enrolling a device in SEMM, you will be prompted to confirm the operation by providing the last two digits of the SEMM certificate thumbprint before the certificate file is stored and the enrollment can complete. Für diese Bestätigung muss ein Benutzer zum Zeitpunkt der Registrierung physisch auf dem Gerät vorhanden sein, um die Bestätigung durchzuführen.This confirmation requires a user be physically present at the device at the time of enrollment to perform the confirmation.

Sichern eines SEMM-Konfigurationspakets mit einem Zertifikat

Abbildung2.Figure 2. Sichern eines SEMM-Konfigurationspakets mit einem ZertifikatSecure a SEMM configuration package with a certificate

Weitere Informationen zu den Anforderungen für das SEMM-Zertifikat finden Sie im Abschnitt Surface Enterprise Management Mode Certificate Requirements in diesem Artikel.See the Surface Enterprise Management Mode certificate requirements section of this article for more information about the requirements for the SEMM certificate.

Tipp

Sie können auch ein UEFI-Kennwort mit SEMM angeben, das zum **** Anzeigen der Seiten Sicherheit, Geräte, Startkonfigurationoder Unternehmensverwaltung von Surface UEFI erforderlich ist.You can also specify a UEFI password with SEMM that is required to view the Security, Devices, Boot Configuration, or Enterprise Management pages of Surface UEFI.

Nachdem ein Gerät in SEMM registriert wurde, wird die Konfigurationsdatei gelesen, und die in der Datei angegebenen Einstellungen werden auf UEFI angewendet.After a device is enrolled in SEMM, the configuration file is read and the settings specified in the file are applied to UEFI. Wenn Sie ein Konfigurationspaket auf einem Gerät ausführen, das bereits in SEMM registriert ist, wird die Signatur der Konfigurationsdatei mit dem Zertifikat überprüft, das in der Gerätefirmware gespeichert ist.When you run a configuration package on a device that is already enrolled in SEMM, the signature of the configuration file is checked against the certificate that is stored in the device firmware. Wenn die Signatur nicht übereinstimmen, werden keine Änderungen auf das Gerät angewendet.If the signature does not match, no changes are applied to the device.

Aktivieren oder Deaktivieren von Geräten in Surface UEFI mit SEMMEnable or disable devices in Surface UEFI with SEMM

Die folgende Liste enthält alle verfügbaren Geräte, die Sie in SEMM verwalten können:The following list shows all the available devices you can manage in SEMM:

  • Docking-USB-PortDocking USB Port
  • On-board AudioOn-board Audio
  • DGPUDGPU
  • Type CoverType Cover
  • Micro -SD-KarteMicro SD Card
  • FrontkameraFront Camera
  • Rückwärtige KameraRear Camera
  • Infrarotkamera für Windows HelloInfrared Camera, for Windows Hello
  • nur BluetoothBluetooth Only
  • WLAN und BluetoothWi-Fi and Bluetooth
  • LTE LTE

Hinweis

Die integrierten Geräte, die auf der Seite "UEFI-Geräte" angezeigt werden, können je nach Gerät oder Unternehmensumgebung variieren.The built-in devices that appear in the UEFI Devices page may vary depending on your device or corporate environment. Die Seite "UEFI-Geräte" wird beispielsweise auf X nicht Surface Pro unterstützt. LTE wird nur auf LTE-ausgestatteten Geräten angezeigt.For example, the UEFI Devices page is not supported on Surface Pro X; LTE only appears on LTE-equipped devices.

Konfigurieren erweiterter Einstellungen mit SEMMConfigure advanced settings with SEMM

Tabelle 1:Table 1. Erweiterte EinstellungenAdvanced settings

EinstellungSetting BeschreibungDescription
IPv6 für PXE-StartIPv6 for PXE Boot Ermöglicht ihnen die Verwaltung der IPv6-Unterstützung für den PXE-Start.Allows you to manage IPv6 support for PXE boot. Wenn Sie diese Einstellung nicht konfigurieren, ist die IPv6-Unterstützung für den PXE-Start deaktiviert.If you do not configure this setting, IPv6 support for PXE boot is disabled.
Alternativer StartAlternate Boot Ermöglicht es Ihnen, die Verwendung einer alternativen Startreihenfolge zu verwalten, um direkt auf ein USB- oder Ethernetgerät zu starten, indem Sie sowohl die Volume Down-Taste als auch die Power-Taste während des Startvorganges drücken.Allows you to manage use of an Alternate boot order to boot directly to a USB or Ethernet device by pressing both the Volume Down button and Power button during boot. Wenn Sie diese Einstellung nicht konfigurieren, ist der alternative Start aktiviert.If you do not configure this setting, Alternate boot is enabled.
Sperre дер StartreihenfolgeBoot Order Lock Ermöglicht es Ihnen, die Startreihenfolge zu sperren, um Änderungen zu verhindern.Allows you to lock the boot order to prevent changes. Wenn Sie diese Einstellung nicht konfigurieren, ist die Startreihenfolgessperre deaktiviert.If you do not configure this setting, Boot Order Lock is disabled.
USB-StartUSB Boot Ermöglicht ihnen das Verwalten des Startens auf USB-Geräten.Allows you to manage booting to USB devices. Wenn Sie diese Einstellung nicht konfigurieren, ist der USB-Start aktiviert.If you do not configure this setting, USB Boot is enabled.
NetzwerkstapelNetwork Stack Ermöglicht ihnen das Verwalten von Starteinstellungen für den Netzwerkstapel.Allows you to manage Network Stack boot settings. Wenn Sie diese Einstellung nicht konfigurieren, ist die Möglichkeit zum Verwalten von Netzwerkstapelstarteinstellungen deaktiviert.If you do not configure this setting, the ability to manage Network Stack boot settings is disabled.
Automatisches Ein-/AusAuto Power On Ermöglicht ihnen die Verwaltung der Einstellungen für den automatischen Ein-/Aus-Start.Allows you to manage Auto Power On boot settings. Wenn Sie diese Einstellung nicht konfigurieren, ist die automatische Aktivierung aktiviert.If you do not configure this setting, Auto Power on is enabled.
Gleichzeitiges Multithreading (Simultaneous Multi-Threading, SMT)Simultaneous Multi-Threading (SMT) Ermöglicht ihnen das Verwalten von Gleichzeitiger Mehrthreading (Simultaneous Multi-Threading, SMT), um Hyperthreading zu aktivieren oder zu deaktivieren.Allows you to manage Simultaneous Multi-Threading (SMT) to enable or disable hyperthreading. Wenn Sie diese Einstellung nicht konfigurieren, ist SMT aktiviert.If you do not configure this setting, SMT is enabled.
Aktivieren des AkkulimitsEnable Battery limit Ermöglicht ihnen die Verwaltung der Funktionalität für den Akkugrenzwert.Allows you to manage Battery limit functionality. Wenn Sie diese Einstellung nicht konfigurieren, ist der Akkugrenzwert aktiviert.If you do not configure this setting, Battery limit is enabled
SicherheitSecurity Zeigt die Seite Surface UEFI Security an.Displays the Surface UEFI Security page. Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite Sicherheit angezeigt.If you do not configure this setting, the Security page is displayed.
GeräteDevices Zeigt die Seite Surface UEFI Devices an.Displays the Surface UEFI Devices page. Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite Geräte angezeigt.If you do not configure this setting, the Devices page is displayed.
StartBoot Zeigt die Seite Surface UEFI-Start an.Displays the Surface UEFI Boot page. Wenn Sie diese Einstellung nicht konfigurieren, wird die Startseite angezeigt.If you do not configure this setting, the Boot page is displayed.
DateTimeDateTime Zeigt die Seite Surface UEFI DateTime an.Displays the Surface UEFI DateTime page. Wenn Sie diese Einstellung nicht konfigurieren, wird die Seite DateTime angezeigt.If you do not configure this setting, the DateTime page is displayed.
EnableOSMigrationEnableOSMigration Ermöglicht das Migrieren von Surface Hub 2 von Windows 10 Team zu Windows 10 Pro oder Enterprise.Allows you to migrate Surface Hub 2 from Windows 10 Team to Windows 10 Pro or Enterprise. Wenn Sie diese Einstellung nicht konfigurieren, können Surface Hub 2-Geräte nur Windows 10-Teambetriebssystem ausführen.If you do not configure this setting, Surface Hub 2 devices can only run Windows 10 Team OS. Hinweis: Das duale Starten zwischen Windows 10 Team und Windows 10 Pro/Enterprise ist auf Surface Hub 2 nicht verfügbar.Note: Dual booting between Windows 10 Team and Windows 10 Pro/Enterprise is not available on Surface Hub 2.

Hinweis

Wenn Sie ein SEMM-Konfigurationspaket erstellen, werden zwei Zeichen auf der Seite Erfolgreich angezeigt, wie in Abbildung 3 dargestellt.When you create a SEMM configuration package, two characters are shown on the Successful page, as shown in Figure 3.

Anzeige des Zertifikatfingerabdrucks

Abbildung3.Figure 3. Anzeigen der letzten beiden Zeichen des Zertifikatfingerabdrucks auf der Seite ErfolgreichDisplay of the last two characters of the certificate thumbprint on the Successful page

Diese Zeichen sind die letzten beiden Zeichen des Zertifikatfingerabdrucks und sollten notiert oder aufgezeichnet werden.These characters are the last two characters of the certificate thumbprint and should be written down or recorded. Die Zeichen sind erforderlich, um die Registrierung in SEMM auf einem Surface-Gerät zu bestätigen, wie in Abbildung 4 dargestellt.The characters are required to confirm enrollment in SEMM on a Surface device, as shown in Figure 4.

Registrierungsbestätigung in SEMM

Abbildung 4.Figure 4. Registrierungsbestätigung in SEMM mit dem FINGERABDRUCK des SEMM-ZertifikatsEnrollment confirmation in SEMM with the SEMM certificate thumbprint

Hinweis

Administratoren mit Zugriff auf die Zertifikatdatei (PFX) können den Fingerabdruck jederzeit lesen, indem sie die #A0 in CertMgr öffnen.Administrators with access to the certificate file (.pfx) can read the thumbprint at any time by opening the .pfx file in CertMgr. So zeigen Sie den Fingerabdruck mit CertMgr an:To view the thumbprint with CertMgr:

  1. Klicken Sie mit der rechten Maustaste auf die PFX-Datei, und klicken Sie dann auf Öffnen.Right-click the .pfx file, and then click Open.
  2. Erweitern Sie den Ordner im Navigationsbereich.Expand the folder in the navigation pane.
  3. Klicken Sie auf Zertifikate.Click Certificates.
  4. Klicken Sie im Hauptbereich mit der rechten Maustaste auf Ihr Zertifikat, und klicken Sie dann auf Öffnen.Right-click your certificate in the main pane, and then click Open.
  5. Klicken Sie auf die Registerkarte Details.Click the Details tab.
  6. Alle oder Nur Eigenschaften müssen im Dropdownmenü Anzeigen ausgewählt werden.All or Properties Only must be selected in the Show drop-down menu.
  7. Wählen Sie das Feld Fingerabdruck aus.Select the field Thumbprint.

Um ein Surface-Gerät in SEMM zu registrieren oder die UEFI-Konfiguration aus einem Konfigurationspaket anzuwenden, müssen Sie nur die MSI-Datei mit Administratorrechten auf dem vorgesehenen Surface-Gerät ausführen.To enroll a Surface device in SEMM or to apply the UEFI configuration from a configuration package, all you need to do is run the .msi file with administrative privileges on the intended Surface device. Sie können Anwendungsbereitstellungs- oder Betriebssystembereitstellungstechnologien wie Microsoft Endpoint Configuration Manager oder das Microsoft Deployment Toolkit verwenden.You can use application deployment or operating system deployment technologies such as Microsoft Endpoint Configuration Manager or the Microsoft Deployment Toolkit. Wenn Sie ein Gerät bei SEMM registrieren, müssen Sie physisch vorhanden sein, um die Registrierung auf dem Gerät zu bestätigen.When you enroll a device in SEMM you must be physically present to confirm the enrollment on the device. Die Benutzerinteraktion ist nicht erforderlich, wenn Sie eine Konfiguration auf Geräte anwenden, die bereits bei SEMM registriert sind.User interaction is not required when you apply a configuration to devices that are already enrolled in SEMM.

Eine schrittweise exemplarische Vorgehensweise zum Registrieren eines Surface-Geräts in SEMM oder anwenden einer Surface UEFI-Konfiguration mit SEMM finden Sie unter Registrieren und Konfigurieren von Surface-Geräten mit SEMM.For a step-by-step walkthrough of how to enroll a Surface device in SEMM or apply a Surface UEFI configuration with SEMM, see Enroll and configure Surface devices with SEMM.

Paket zurücksetzenReset package

Ein Surface UEFI-Reset-Paket wird verwendet, um nur eine Aufgabe auszuführen, um ein Surface-Gerät von SEMM zu entrollen.A Surface UEFI reset package is used to perform only one task — to unenroll a Surface device from SEMM. Das Reset-Paket enthält signierte Anweisungen zum Entfernen des SEMM-Zertifikats aus der Firmware des Geräts und zum Zurücksetzen der UEFI-Einstellungen auf die Werkseinstellung.The reset package contains signed instructions to remove the SEMM certificate from the device’s firmware and to reset UEFI settings to factory default. Wie bei einem Surface UEFI-Konfigurationspaket muss ein Resetpaket mit demselben SEMM-Zertifikat signiert werden, das auf dem Surface-Gerät bereitgestellt wird.Like a Surface UEFI configuration package, a reset package must be signed with the same SEMM certificate that is provisioned on the Surface device. Wenn Sie ein SEMM-Reset-Paket erstellen, müssen Sie die Seriennummer des Surface-Geräts, das Sie zurücksetzen möchten, liefern.When you create a SEMM reset package, you are required to supply the serial number of the Surface device you intend to reset. SEMM-Reset-Pakete sind nicht universell und spezifisch für ein Gerät.SEMM reset packages are not universal and are specific to one device.

WiederherstellungsanforderungRecovery request

In einigen Szenarien kann es unmöglich sein, ein Surface UEFI-Resetpaket zu verwenden.In some scenarios, it may be impossible to use a Surface UEFI reset package. (Beispiel: Wenn Windows auf dem Surface-Gerät nicht mehr verwendet werden kann.) In diesen Szenarien können Sie die Registrierung des Surface-Geräts von SEMM über die Seite Unternehmensverwaltung von Surface UEFI (siehe Abbildung 5) mit einem Wiederherstellungsanforderungsvorgang entrolln.(For example, if Windows becomes unusable on the Surface device.) In these scenarios you can unenroll the Surface device from SEMM through the Enterprise Management page of Surface UEFI (shown in Figure 5) with a Recovery Request operation.

Initiieren einer SEMM-Wiederherstellungsanforderung

Abbildung5.Figure 5. Initiieren einer SEMM-Wiederherstellungsanforderung auf der Seite UnternehmensverwaltungInitiate a SEMM recovery request on the Enterprise Management page

Wenn Sie den Prozess **** auf der Seite Unternehmensverwaltung verwenden, um SEMM auf einem Surface-Gerät zurückzusetzen, erhalten Sie eine Reset-Anforderung.When you use the process on the Enterprise Management page to reset SEMM on a Surface device, you are provided with a Reset Request. Diese Reset-Anforderung kann als Datei auf einem USB-Laufwerk gespeichert, als Text kopiert oder als QR-Code mit einem mobilen Gerät gelesen werden, um problemlos per E-Mail oder Nachricht gesendet zu werden.This Reset Request can be saved as a file to a USB drive, copied as text, or read as a QR Code with a mobile device to be easily emailed or messaged. Verwenden Sie Microsoft Surface Option UEFI Configurator Reset Request, um eine Anforderungsdatei zurücksetzen zu laden oder den Text "Anforderung zurücksetzen" oder den QR-Code ein.Use the Microsoft Surface UEFI Configurator Reset Request option to load a Reset Request file or enter the Reset Request text or QR Code. Microsoft Surface UEFI Configurator generiert einen Überprüfungscode, der auf dem Surface-Gerät eingegeben werden kann.Microsoft Surface UEFI Configurator will generate a verification code that can be entered on the Surface device. Wenn Sie den Code auf dem Surface-Gerät eingeben und auf Neustarten klicken, wird das Gerät von SEMM entrollt.If you enter the code on the Surface device and click Restart, the device will be unenrolled from SEMM.

Hinweis

Eine Reset-Anforderung läuft zwei Stunden nach derEnt setzung ab.A Reset Request expires two hours after it is created.

Eine schrittweise exemplarische Vorgehensweise zum Entrollen von Surface-Geräten von SEMM finden Sie unter Unenroll Surface devices from SEMM.For a step-by-step walkthrough of how to unenroll Surface devices from SEMM, see Unenroll Surface devices from SEMM.

Zertifikatanforderungen für den Surface Enterprise-VerwaltungsmodusSurface Enterprise Management Mode certificate requirements

Die Verwendung von SEMM Microsoft Surface UEFI Configurator erfordert ein Zertifikat, um die Signatur von Konfigurationsdateien zu überprüfen, bevor UEFI-Einstellungen angewendet werden können.Using SEMM with Microsoft Surface UEFI Configurator requires a certificate to verify the signature of configuration files before UEFI settings can be applied. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts bei SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die Einstellungen von UEFI zu ändern.This certificate ensures that after a device is enrolled in SEMM, only packages created with the approved certificate can be used to modify the settings of UEFI.

Hinweis

Das SEMM-Zertifikat ist erforderlich, um änderungen an den EINSTELLUNGEN für SEMM oder Surface UEFI auf registrierten Surface-Geräten durchzuführen.The SEMM certificate is required to perform any modification to SEMM or Surface UEFI settings on enrolled Surface devices. Wenn das SEMM-Zertifikat beschädigt oder verloren geht, kann SEMM nicht entfernt oder zurückgesetzt werden.If the SEMM certificate is corrupted or lost, SEMM cannot be removed or reset. Verwalten Sie Ihr SEMM-Zertifikat entsprechend mit einer geeigneten Lösung für Sicherung und Wiederherstellung.Manage your SEMM certificate accordingly with an appropriate solution for backup and recovery.

Pakete, die mit dem Microsoft Surface UEFI Configurator-Tool erstellt wurden, werden mit einem Zertifikat signiert.Packages created with the Microsoft Surface UEFI Configurator tool are signed with a certificate. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts bei SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die Einstellungen von UEFI zu ändern.This certificate ensures that after a device is enrolled in SEMM, only packages created with the approved certificate can be used to modify the settings of UEFI.

Für das SEMM-Zertifikat werden die folgenden Einstellungen empfohlen:The following settings are recommended for the SEMM certificate:

  • Schlüsselalgorithmus – RSAKey Algorithm – RSA
  • Schlüssellänge – 2048Key Length – 2048
  • Hashalgorithmus – SHA-256Hash Algorithm – SHA-256
  • Typ – SSL-ServerauthentifizierungType – SSL Server Authentication
  • Schlüsselverwendung – Digitale Signatur, SchlüsselentschlüsselungKey Usage – Digital signature, Key Encipherment
  • Anbieter – Microsoft Enhanced RSA and AES Cryptographic ProviderProvider – Microsoft Enhanced RSA and AES Cryptographic Provider
  • Ablaufdatum – 15 Monate nach der ZertifikaterstellungExpiration Date – 15 Months from certificate creation
  • Wichtige Exportrichtlinie – ExportierbarKey Export Policy – Exportable

Es wird außerdem empfohlen, das SEMM-Zertifikat in einer zweistufigen PKI-Architektur (Public Key Infrastructure, Public Key Infrastructure) zu authentifizieren, bei der die Zwischenzertifizierungsstelle (Intermediate Certification Authority, CA) für SEMM verwendet wird, wodurch der Zertifikatsperrstatus aktiviert wird.It is also recommended that the SEMM certificate be authenticated in a two-tier public key infrastructure (PKI) architecture where the intermediate certification authority (CA) is dedicated to SEMM, enabling certificate revocation. Weitere Informationen zu einer zweistufigen PKI-Konfiguration finden Sie unter Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy.For more information about a two-tier PKI configuration, see Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy.

Selbst signiertes ZertifikatSelf-signed certificate

Mit dem folgenden PowerShell-Beispielskript können Sie ein selbst signiertes Zertifikat für die Verwendung in Proof-of-Concept-Szenarien erstellen.You can use the following example PowerShell script to create a self-signed certificate for use in proof-of-concept scenarios. Um dieses Skript zu verwenden, kopieren Sie den folgenden Text in Notepad, und speichern Sie die Datei als PowerShell-Skript (PS1).To use this script, copy the following text into Notepad and save the file as a PowerShell script (.ps1).

Hinweis

Dieses Skript erstellt ein Zertifikat mit dem Kennwort 12345678 . Das von diesem Skript generierte Zertifikat wird für Produktionsumgebungen nicht empfohlen.This script creates a certificate with a password of 12345678.The certificate generated by this script is not recommended for production environments.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Wichtig

Für die Verwendung mit SEMM und Microsoft Surface UEFI Configurator muss das Zertifikat mit dem privaten Schlüssel und mit Kennwortschutz exportiert werden.For use with SEMM and Microsoft Surface UEFI Configurator, the certificate must be exported with the private key and with password protection. Microsoft Surface UEFI Configurator werden Sie aufgefordert, bei Bedarf die SEMM-Zertifikatdatei (PFX) und das Zertifikatkennwort auszuwählen.Microsoft Surface UEFI Configurator will prompt you to select the SEMM certificate file (.pfx) and certificate password when it is required.

  1. Erstellen Sie einen Ordner auf Ihrem C:-Laufwerk, auf dem Sie das Skript speichern. Beispiel: C:\SEMM.Create a folder on your C: drive where you will save the script; for example, C:\SEMM.
  2. Kopieren Sie das Beispielskript in Editor oder entsprechenden Texteditor, und speichern Sie die Datei als PowerShell-Skript (PS1).Copy the example script into Notepad or equivalent text editor and save the file as a PowerShell script (.ps1).
  3. Melden Sie sich mit Administratoranmeldeinformationen bei Ihrem PC an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.Sign into your PC with administrator credentials and open an elevated PowerShell session.
  4. Stellen Sie sicher, dass Ihre Berechtigungen so festgelegt sind, dass Skripts ausgeführt werden können.Ensure your permissions are set to allow scripts to run. Standardmäßig wird die Ausführung von Skripts blockiert, es sei denn, Sie ändern die Ausführungsrichtlinie.By default, scripts are blocked from running unless you modify the execution policy. Weitere Informationen finden Sie unter Informationen zu Ausführungsrichtlinien.To learn more, see About Execution Policies.
  5. Geben Sie an der Eingabeaufforderung den vollständigen Pfad des Skripts ein, und drücken Sie dann die EINGABETASTE.At the command prompt, enter the full path of the script and then press Enter. Das Skript erstellt ein Demozertifikat mit dem Namen TempOwner.pfx.The script creates a Demo Certificate named TempOwner.pfx.

Alternativ können Sie ein eigenes selbst signiertes Zertifikat mit PowerShell erstellen.Alternatively, you can create your own self-signed certificate using PowerShell. Weitere Informationen finden Sie in der folgenden PowerShell-Dokumentation: New-SelfSignedCertificate.For more information, see the following PowerShell documentation: New-SelfSignedCertificate.

Hinweis

Für Organisationen, die einen Offlinestamm in ihrer PKI-Infrastruktur verwenden, muss Microsoft Surface UEFI Configurator in einer Umgebung ausgeführt werden, die mit der Stammzertifizierungsstelle verbunden ist, um das SEMM-Zertifikat zu authentifizieren.For organizations that use an offline root in their PKI infrastructure, Microsoft Surface UEFI Configurator must be run in an environment connected to the root CA to authenticate the SEMM certificate. Die von Microsoft Surface UEFI Configurator generierten Pakete können als Dateien übertragen werden und können daher mit Wechselspeicher, z. B. einem USB-Stick, außerhalb der Offlinenetzwerkumgebung übertragen werden.The packages generated by Microsoft Surface UEFI Configurator can be transferred as files and therefore can be transferred outside the offline network environment with removable storage, such as a USB stick.

Verwalten von Zertifikaten häufig gestellte FragenManaging certificates FAQ

Die empfohlene Mindestlänge beträgt 15 Monate.The recommended minimum length is 15 months. Sie können ein Zertifikat verwenden, das in weniger als 15 Monaten abläuft, oder ein Zertifikat verwenden, das in länger als 15 Monaten abläuft.You can use a certificate that expires in less than 15 months or use a certificate that expires in longer than 15 months.

Hinweis

Wenn ein Zertifikat abläuft, wird es nicht automatisch verlängert.When a certificate expires, it does not automatically renew.

Wirkt sich ein abgelaufenes Zertifikat auf die Funktionalität von SEMM-registrierten Geräten aus?Will an expired certificate affect the functionality of SEMM-enrolled devices?

Nein, ein Zertifikat wirkt sich nur auf die Verwaltungsaufgaben von IT-Administratoren in SEMM aus und hat keine Auswirkungen auf die Gerätefunktionalität, wenn es abläuft.No, a certificate only impacts IT admin management tasks in SEMM and has no effect on device functionality when it expires.

Müssen das SEMM-Paket und das Zertifikat auf allen Computern aktualisiert werden, auf der es installiert ist?Will the SEMM package and certificate need to be updated on all machines that have it?

Wenn das Zurücksetzen oder Die Wiederherstellung von SEMM funktionieren soll, muss das Zertifikat gültig und nicht abgelaufen sein.If you want SEMM reset or recovery to work, the certificate needs to be valid and not expired.

Können Massenzurücksetzungspakete für jede von uns bestellte Oberfläche erstellt werden?Can bulk reset packages be created for each surface that we order? Kann eine erstellt werden, die alle Computer in unserer Umgebung zurück setzt?Can one be built that resets all machines in our environment?

Die PowerShell-Beispiele, die ein Konfigurationspaket für einen bestimmten Gerätetyp erstellen, können auch zum Erstellen eines reset-Pakets verwendet werden, das unabhängig von der Seriennummer ist.The PowerShell samples that create a config package for a specific device type can also be used to create a reset package that is serial-number independent. Wenn das Zertifikat noch gültig ist, können Sie mithilfe von PowerShell ein Resetpaket erstellen, um SEMM zurückzusetzen.If the certificate is still valid, you can create a reset package using PowerShell to reset SEMM.

VersionsverlaufVersion History

Version 2.79.139.0Version 2.79.139.0

Diese Version von SEMM umfasst:This version of SEMM includes:

  • Unterstützung für Surface Pro 7+Support for Surface Pro 7+
  • Verbesserungen bei der BenutzerfreundlichkeitUser experience improvements

Version 2.78.139.0Version 2.78.139.0

Diese Version von SEMM umfasst:This version of SEMM includes:

  • Unterstützung für Surface Laptop Go und Surface Pro XSupport for Surface Laptop Go and Surface Pro X
  • Benachrichtigungen für neue VersionNotifications for new version release
  • Möglichkeit zum Erstellen benutzerdefinierter Pakete zum Ändern des BesitzesAbility to create custom packages to change ownership
  • FehlerbehebungenBug fixes

Version 2.73.136.0Version 2.73.136.0

Diese Version von SEMM umfasst:This version of SEMM includes:

  • Audio kann jetzt auf Surface Hub2S mithilfe von SEMM deaktiviert werdenAudio can now be disabled on Surface Hub2S using SEMM
  • Unterstützung für Surface Pro X für Dock 2Support to Surface Pro X for Dock 2
  • Unterstützung für UEFI Manager für Dock 2-bezogene VorgängeSupport to UEFI Manager for Dock 2 related operations
  • Problembehebt beim Zurücksetzen des Surface Go-PaketsSurface Go reset package bug fix
  • Unterstützung für die Migration von Surface Hub 2-Geräten von Windows 10 Team Os zu Windows 10 Pro oder Enterprise.Support for migrating Surface Hub 2 devices from Windows 10 Team OS to Windows 10 Pro or Enterprise.

Version 2.71.139.0Version 2.71.139.0

Diese Version von SEMM bietet Unterstützung für Surface Dock 2-Verwaltungsfeatures für Surface Book 3, Surface Laptop 3 und Surface Pro 7, einschließlich:This version of SEMM adds support for Surface Dock 2 management features for Surface Book 3, Surface Laptop 3, and Surface Pro 7 including:

  • Aktivieren von Audio (Sperren/Entsperren), Ethernet- und USB-PortsEnabling audio (locking/unlocking), Ethernet and USB ports
  • Möglichkeit zum Erstellen von Dockpaketen für authentifizierte und nicht authentifizierte HostsAbility to create dock packages for both authenticated and unauthenticated hosts

Version 2.70.130.0Version 2.70.130.0

Diese Version von SEMM umfasst:This version of SEMM includes:

  • Unterstützung für Surface Go 2Support for Surface Go 2
  • Unterstützung für Surface Book 3Support for Surface Book 3
  • FehlerbehebungenBug fixes

Version 2.59.139.0Version 2.59.139.0

  • Unterstützung für Surface Pro 7-, Surface Pro X- und Surface Laptop 3 13,5" und 15"-Modelle mit Intel-Prozessor.Support for Surface Pro 7, Surface Pro X, and Surface Laptop 3 13.5" and 15" models with Intel processor.

    Hinweis

    Surface Laptop 3 15"-AMD-Prozessor wird nicht unterstützt.Surface Laptop 3 15" AMD processor is not supported.

  • Unterstützung für das Aktivierungs-on-Power-FeatureSupport for Wake on Power feature

Version 2.54.139.0Version 2.54.139.0

  • Unterstützung für Surface Hub 2SSupport to Surface Hub 2S
  • FehlerbehebungenBug fixes

Version 2.43.136.0Version 2.43.136.0

  • Unterstützung zum Aktivieren/Deaktivieren simulierter MultithreatingSupport to enable/disable simulatenous multithreating
  • Separate Optionen für WLAN und Bluetooth für einige GeräteSeparate options for WiFi and Bluetooth for some devices
  • Battery Limit für Surface Studio entferntBattery Limit removed for Surface Studio

Version 2.26.136.0Version 2.26.136.0

  • Hinzufügen von Unterstützung zu Surface Studio 2Add support to Surface Studio 2
  • Funktion "Battery Limit"Battery Limit feature

Version 2.21.136.0Version 2.21.136.0

  • Hinzufügen von Support zu Surface Pro 6Add support to Surface Pro 6
  • Hinzufügen von Unterstützung zu Surface Laptop 2Add support to Surface Laptop 2

Version 2.14.136.0Version 2.14.136.0

  • Hinzufügen von Unterstützung zu Surface GoAdd support to Surface Go

Version2.9.136.0Version 2.9.136.0

  • Hinzufügen von Unterstützung zu Surface Book 2Add support to Surface Book 2
  • Hinzufügen von Unterstützung für Surface Pro LTEAdd support to Surface Pro LTE
  • Verbesserungen bei der BarrierefreiheitAccessibility improvements

Version 1.0.74.0Version 1.0.74.0

  • Hinzufügen von Unterstützung für Surface LaptopAdd support to Surface Laptop
  • Hinzufügen von Support zu Surface ProAdd support to Surface Pro
  • Fehlerbehebungen und allgemeine VerbesserungenBug fixes and general improvement