Erste Schritte mit surface Enterprise Management Mode (SEMM)

• Gilt für::

  Windows 10, Windows 11

Microsoft Surface Enterprise Management Mode (SEMM) ist ein Feature von Surface-Geräten mit Surface Unified Extensible Firmware Interface (UEFI). Sie können SEMM für Folgendes verwenden:

• Sichern und verwalten Sie Firmwareeinstellungen in Ihrem organization.
• Bereiten Sie UEFI-Einstellungskonfigurationen vor, und installieren Sie sie auf einem Surface-Gerät.

SEMM verwendet auch ein Zertifikat, um die Konfiguration vor unbefugter Manipulation oder Entfernung zu schützen.

Registrieren von Surface-Geräten bei SEMM

In diesem Artikel erfahren Sie, wie Sie ein Surface UEFI-Konfigurationspaket erstellen, um Hardwarekomponenten auf Firmwareebene zu aktivieren oder zu deaktivieren und ein Surface-Gerät in SEMM zu registrieren. Wenn Surface-Geräte von SEMM konfiguriert und mit dem SEMM-Zertifikat geschützt werden, gelten sie als bei SEMM registriert . Wenn das SEMM-Zertifikat entfernt wird und die Steuerung der UEFI-Einstellungen an den Benutzer des Geräts zurückgegeben wird, gilt das Surface-Gerät als nicht registriert in SEMM.

Sie können auch Microsoft Endpoint Configuration Manager verwenden, um Geräte mit SEMM zu verwalten.

Als Alternative zu SEMM unterstützen neuere Surface-Geräte die Remoteverwaltung einer Teilmenge der Firmwareeinstellungen über Microsoft Intune. Weitere Informationen finden Sie unter Verwalten von DFCI auf Surface-Geräten.

Unterstützte Geräte

SEMM ist nur auf Geräten mit Surface UEFI-Firmware verfügbar, einschließlich:

• Surface Book (alle Generationen)
• Surface Go 4 (nur kommerzielle SKUs)
• Surface Go 3 (nur kommerzielle SKUs)
• Surface Go 2 (alle SKUs)
• Surface Go (alle SKUs)
• Surface Hub 2S
• Surface Laptop 6 (nur kommerzielle SKUs)
• Surface Laptop 5 (nur kommerzielle SKUs)
• Surface Laptop 4 (nur kommerzielle SKUs)
• Surface Laptop 3 (nur Intel-Prozessoren)
• Surface Laptop 2 (alle SKUs)
• Surface Laptop (alle SKUs)
• Surface Laptop Go 3 (nur kommerzielle SKUs)
• Surface Laptop Go 2 (nur kommerzielle SKUs)
• Surface Laptop Go (alle SKUs)
• Surface Laptop SE (alle SKUs)
• Surface Laptop Studio 2 (nur kommerzielle SKUs)
• Surface Laptop Studio (nur kommerzielle SKUs)
• Surface Pro 10 (nur kommerzielle SKUs)
• Surface Pro 9 (nur kommerzielle SKUs)
• Surface Pro 9 mit 5G (nur kommerzielle SKUs)
• Surface Pro 8 (nur kommerzielle SKUs)
• Surface Pro 7+ (nur kommerzielle SKUs)
• Surface Pro 7 (alle SKUs)
• Surface Pro 6 (alle SKUs)
• Surface Pro 5. Generation (alle SKUs)
• Surface Pro 4 (alle SKUs)
• Surface Pro X (alle SKUs)
• Surface Studio 2+ (nur kommerzielle SKUs)
• Surface Studio 2 (alle SKUs)
• Surface Studio (alle SKUs)

Tipp

Kommerzielle SKUs (auch bekannt als Surface for Business) werden Windows 10 Pro/Enterprise oder Windows 11 Pro/Enterprise ausgeführt. Consumer-SKUs werden Windows 10/Windows 11 Home ausgeführt. Weitere Informationen finden Sie unter Anzeigen Ihrer Systeminformationen.

Surface UEFI-Konfigurator

Der primäre Arbeitsbereich von SEMM ist das Surface IT Toolkit, das den neuen Surface UEFI Configurator enthält.

Konfigurationspaket

Surface UEFI-Konfigurationspakete sind der primäre Mechanismus zum Implementieren und Verwalten von SEMM auf Surface-Geräten. Diese Pakete enthalten eine Konfigurationsdatei und eine Zertifikatdatei, wie in Abbildung 2 dargestellt. Die Konfigurationsdatei enthält UEFI-Einstellungen, die beim Erstellen des Pakets in Microsoft Surface UEFI Configurator angegeben werden. Wenn ein Konfigurationspaket zum ersten Mal auf einem Surface-Gerät ausgeführt wird, das noch nicht bei SEMM registriert ist, stellt es die Zertifikatdatei in der Firmware des Geräts bereit und registriert das Gerät in SEMM. Wenn Sie ein Gerät bei SEMM registrieren und bevor das Zertifikat gespeichert und die Registrierung abgeschlossen ist, werden Sie aufgefordert, den Vorgang zu bestätigen, indem Sie die letzten beiden Ziffern des SEMM-Zertifikatfingerabdrucks angeben. Diese Bestätigung erfordert, dass ein Benutzer während der Registrierung physisch auf dem Gerät anwesend ist, um die Bestätigung auszuführen.

Weitere Informationen zu den Anforderungen für das SEMM-Zertifikat finden Sie weiter unten in diesem Artikel im Abschnitt Zertifikatanforderungen für den Surface-Unternehmensverwaltungsmodus .

Verwenden von Surface UEFI Configurator zum Erstellen

Kategorie	Beschreibung	Weitere Informationen
MSI-Pakete	Registrieren Sie Surface-Geräte bei SEMM, und verwalten Sie die UEFI-Firmwareeinstellungen für registrierte Geräte. Registrieren Sie Surface Docks in SEMM, und verwalten Sie die UEFI-Firmwareeinstellungen für registrierte Docks.	Konfigurieren von UEFI-Einstellungen für Surface-Geräte Konfigurieren von UEFI-Einstellungen für Surface Docks
WinPE Images	Verwenden Sie WinPE-Images, um SEMM auf einem Surface-Gerät zu registrieren, zu konfigurieren und die Registrierung aufzuheben.
DFI-Pakete	Create DFI-Pakete, um Surface Hub-Geräte bei SEMM zu registrieren und UEFI-Firmwareeinstellungen für registrierte Surface Hub-Geräte zu verwalten.

Tipp

Sie haben die Möglichkeit, ein UEFI-Kennwort mit SEMM zu verlangen. Wenn Sie dies tun, ist das Kennwort erforderlich, um die Seiten Sicherheit, Geräte, Startkonfiguration und Unternehmensverwaltung von Surface UEFI anzuzeigen.

Nachdem ein Gerät in SEMM registriert wurde, wird die Konfigurationsdatei gelesen, und die in der Datei angegebenen Einstellungen werden auf UEFI angewendet. Wenn Sie ein Konfigurationspaket auf einem Gerät ausführen, das bereits bei SEMM registriert ist, wird die Signatur der Konfigurationsdatei anhand des Zertifikats überprüft, das in der Gerätefirmware gespeichert ist. Wenn die Signatur nicht übereinstimmt, werden keine Änderungen auf das Gerät angewendet.

Tipp

Administratoren mit Zugriff auf die Zertifikatdatei (PFX) können den Fingerabdruck jederzeit lesen, indem sie die PFX-Datei in CertMgr öffnen. So zeigen Sie den Fingerabdruck mit CertMgr an:

1. Wählen Sie die PFX-Datei aus, und halten Sie sie gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Öffnen aus.
2. Erweitern Sie im Navigationsbereich den Ordner.
3. Wählen Sie Zertifikate aus.
4. Wählen Sie im bereich Standard Ihr Zertifikat aus, und halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Öffnen aus.
5. Wählen Sie die Registerkarte Details aus.
6. Im Dropdownmenü Anzeigen müssen Alle oder Nur Eigenschaften ausgewählt werden.
7. Wählen Sie das Feld Fingerabdruck aus.

Um ein Surface-Gerät in SEMM zu registrieren oder die UEFI-Konfiguration aus einem Konfigurationspaket anzuwenden, führen Sie die .msi Datei mit Administratorrechten auf dem vorgesehenen Surface-Gerät aus. Sie können Anwendungsbereitstellungs- oder Betriebssystembereitstellungstechnologien wie Microsoft Endpoint Configuration Manager oder das Microsoft Deployment Toolkit verwenden. Wenn Sie ein Gerät bei SEMM registrieren, müssen Sie physisch anwesend sein, um die Registrierung auf dem Gerät zu bestätigen. Wenn Sie eine Konfiguration auf Geräte anwenden, die bereits bei SEMM registriert sind, ist keine Benutzerinteraktion erforderlich.

Wiederherstellungsanforderung

Sie können die Registrierung von Surface-Geräten bei SEMM über das Feature "Wiederherstellungsanforderung " im Surface IT Toolkit aufheben.

SEMM-Zertifikatanforderungen

Wenn Sie SEMM mit Microsoft Surface UEFI Configurator verwenden und UEFI-Einstellungen anwenden möchten, ist ein Zertifikat erforderlich, um die Signatur von Konfigurationsdateien zu überprüfen. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts bei SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die UEFI-Einstellungen zu ändern.

Hinweis

Um Änderungen an den SEMM- oder Surface UEFI-Einstellungen auf registrierten Surface-Geräten vorzunehmen, ist das SEMM-Zertifikat erforderlich. Wenn das SEMM-Zertifikat beschädigt ist oder verloren geht, kann SEMM nicht entfernt oder zurückgesetzt werden. Verwalten Ihres SEMM-Zertifikats entsprechend mit einer geeigneten Lösung für Sicherung und Wiederherstellung

Pakete, die mit dem Microsoft Surface UEFI Configurator-Tool erstellt wurden, werden mit einem Zertifikat signiert. Dieses Zertifikat stellt sicher, dass nach der Registrierung eines Geräts in SEMM nur pakete verwendet werden können, die mit dem genehmigten Zertifikat erstellt wurden, um die Einstellungen von UEFI zu ändern.

Empfohlene Zertifikateinstellungen

Die folgenden Einstellungen werden für das SEMM-Zertifikat empfohlen:

• Schlüsselalgorithmus – RSA
• Schlüssellänge – 2048
• Hashalgorithmus – SHA-256
• Typ : SSL-Serverauthentifizierung
• Schlüsselverwendung – Digitale Signatur, Schlüsselenchiffrierung
• Anbieter – Microsoft Enhanced RSA and AES Cryptographic Provider
• Ablaufdatum – 15 Monate nach Erstellung des Zertifikats
• Schlüsselexportrichtlinie – Exportierbar

Es wird auch empfohlen, das SEMM-Zertifikat in einer zweistufigen PKI-Architektur (Public Key Infrastructure) zu authentifizieren, bei der die Zwischenzertifizierungsstelle für SEMM dediziert ist und die Zertifikatsperrung ermöglicht. Weitere Informationen zu einer PKI-Konfiguration mit zwei Ebenen finden Sie im Testumgebungshandbuch: Bereitstellen einer AD CS Two-Tier PKI-Hierarchie.

Selbstsigniertes Zertifikat

Sie können das folgende PowerShell-Beispielskript verwenden, um ein selbstsigniertes Zertifikat für die Verwendung in Proof-of-Concept-Szenarien zu erstellen. Um dieses Skript zu verwenden, kopieren Sie den folgenden Text in Editor, und speichern Sie die Datei dann als PowerShell-Skript (.ps1).

Hinweis

Dieses Skript erstellt ein Zertifikat mit dem Kennwort 12345678. Das von diesem Skript generierte Zertifikat wird für Produktionsumgebungen nicht empfohlen.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Wichtig

Für die Verwendung mit SEMM und Microsoft Surface UEFI Configurator muss das Zertifikat mit dem privaten Schlüssel und mit Kennwortschutz exportiert werden. Microsoft Surface UEFI Configurator fordert Sie auf, die SEMM-Zertifikatdatei (PFX) und das Zertifikatkennwort auszuwählen.

So erstellen Sie ein selbstsigniertes Zertifikat:

1. Erstellen Sie auf Laufwerk C: den Ordner, in dem Sie das Skript speichern. Beispiel: C:\SEMM.
2. Kopieren Sie das Beispielskript in Editor (oder einen entsprechenden Text-Editor), und speichern Sie die Datei dann als PowerShell-Skript (.ps1).
3. Melden Sie sich mit Administratoranmeldeinformationen bei Ihrem Computer an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten.
4. Stellen Sie sicher, dass Ihre Berechtigungen so festgelegt sind, dass Skripts ausgeführt werden können. Standardmäßig wird die Ausführung von Skripts blockiert, es sei denn, Sie ändern die Ausführungsrichtlinie. Weitere Informationen finden Sie unter Informationen zu Ausführungsrichtlinien.
5. Geben Sie an der Eingabeaufforderung den vollständigen Pfad des Skripts ein, und drücken Sie dann die EINGABETASTE. Das Skript erstellt ein Demozertifikat mit dem Namen TempOwner.pfx.

Alternativ können Sie ihr eigenes selbstsigniertes Zertifikat mithilfe von PowerShell erstellen. Weitere Informationen finden Sie unter New-SelfSignedCertificate.

Hinweis

Für Organisationen, die einen Offlinestamm in ihrer PKI-Infrastruktur verwenden, muss Microsoft Surface UEFI Configurator in einer Umgebung ausgeführt werden, die mit der Stammzertifizierungsstelle verbunden ist, um das SEMM-Zertifikat zu authentifizieren. Die von Microsoft Surface UEFI Configurator generierten Pakete können als Dateien übertragen werden, sodass sie außerhalb der Offline-Netzwerkumgebung mit Wechselspeicher wie einem USB-Stick übertragen werden können.

Häufig gestellte Fragen zur Verwaltung von Zertifikaten

Die empfohlene Mindestlänge beträgt 15 Monate. Sie können ein Zertifikat verwenden, das in weniger als 15 Monaten abläuft, oder ein Zertifikat verwenden, das länger als 15 Monate abläuft.

Hinweis

Wenn ein Zertifikat abläuft, wird es nicht automatisch verlängert.

Wirkt sich ein abgelaufenes Zertifikat auf die Funktionalität von mit SEMM registrierten Geräten aus?

Nein, ein Zertifikat wirkt sich nur auf IT-Administratorverwaltungsaufgaben in SEMM aus und hat keine Auswirkungen auf die Gerätefunktionalität, wenn es abläuft.

Müssen das SEMM-Paket und das Semm-Zertifikat auf allen Computern aktualisiert werden, auf denen es installiert ist?

Wenn die SEMM-Zurücksetzung oder -Wiederherstellung funktioniert, muss das Zertifikat gültig und nicht abgelaufen sein.

Können Pakete zum Massenzurücksetzen für jede Oberfläche erstellt werden, die wir bestellen? Kann eine erstellt werden, die alle Computer in unserer Umgebung zurücksetzt?

Die PowerShell-Beispiele, die ein Konfigurationspaket für einen bestimmten Gerätetyp erstellen, können auch verwendet werden, um ein Zurücksetzungspaket zu erstellen, das seriennummerunabhängig ist. Wenn das Zertifikat noch gültig ist, können Sie mithilfe von PowerShell ein Zurücksetzungspaket erstellen, um SEMM zurückzusetzen.