Prise en main du mode de gestion d’entreprise Surface (SEMM)

• S’applique à:

  Windows 10, Windows 11

Microsoft Surface Enterprise Management Mode (SEMM) est une fonctionnalité des appareils Surface avec l’interface UEFI (Unified Extensible Firmware Interface) surface. Vous pouvez utiliser SEMM pour :

• Sécurisez et gérez les paramètres du microprogramme dans votre organization.
• Préparez les configurations des paramètres UEFI et installez-les sur un appareil Surface.

SEMM utilise également un certificat pour protéger la configuration contre toute falsification ou suppression non autorisée.

Inscrire des appareils Surface dans SEMM

Cet article explique comment créer un package de configuration UEFI Surface pour activer ou désactiver des composants matériels au niveau du microprogramme et inscrire un appareil Surface dans SEMM. Lorsque les appareils Surface sont configurés par SEMM et sécurisés avec le certificat SEMM, ils sont considérés comme inscrits dans SEMM. Lorsque le certificat SEMM est supprimé et que le contrôle des paramètres UEFI est retourné à l’utilisateur de l’appareil, l’appareil Surface est considéré comme non inscrit dans SEMM.

Vous pouvez également utiliser Microsoft Endpoint Configuration Manager pour gérer les appareils avec SEMM.

En guise d’alternative à SEMM, les nouveaux appareils Surface prennent en charge la gestion à distance d’un sous-ensemble de paramètres de microprogramme via Microsoft Intune. Pour plus d’informations, consultez Gérer DFCI sur les appareils Surface.

Appareils pris en charge

SEMM est disponible uniquement sur les appareils avec microprogramme UEFI Surface, notamment :

• Surface Book (toutes les générations)
• Surface Go 4 (références SKU commerciales uniquement)
• Surface Go 3 (références SKU commerciales uniquement)
• Surface Go 2 (toutes les références SKU)
• Surface Go (toutes les références SKU)
• Surface Hub 2S
• Surface Laptop 6 (références SKU commerciales uniquement)
• Surface Laptop 5 (références SKU commerciales uniquement)
• Surface Laptop 4 (références SKU commerciales uniquement)
• Surface Laptop 3 (processeurs Intel uniquement)
• Surface Laptop 2 (toutes les références SKU)
• Surface Laptop (toutes les références SKU)
• Surface Laptop Go 3 (références SKU commerciales uniquement)
• Surface Laptop Go 2 (références SKU commerciales uniquement)
• Surface Laptop Go (toutes les références SKU)
• Surface Laptop SE (toutes les références SKU)
• Surface Laptop Studio 2 (références SKU commerciales uniquement)
• Surface Laptop Studio (références SKU commerciales uniquement)
• Surface Pro 10 (références SKU commerciales uniquement)
• Surface Pro 9 (références SKU commerciales uniquement)
• Surface Pro 9 avec 5G (références SKU commerciales uniquement)
• Surface Pro 8 (références SKU commerciales uniquement)
• Surface Pro 7+ (références SKU commerciales uniquement)
• Surface Pro 7 (toutes les références SKU)
• Surface Pro 6 (toutes les références SKU)
• Surface Pro 5e génération (toutes les références SKU)
• Surface Pro 4 (toutes les références SKU)
• Surface Pro X (toutes les références SKU)
• Surface Studio 2+ (références SKU commerciales uniquement)
• Surface Studio 2 (toutes les références SKU)
• Surface Studio (toutes les références SKU)

Astuce

Les références SKU commerciales (également appelées Surface pour l'entreprise) s’exécutent Windows 10 Professionnel/Entreprise ou Windows 11 Professionnel/Enterprise ; les références SKU grand public s’exécutent Windows 10/Windows 11 Famille. Pour plus d’informations, consultez Afficher vos informations système.

Configurateur de surface UEFI

L’espace de travail principal de SEMM est le Kit de ressources informatique Surface, qui contient le nouveau configurator UEFI Surface.

Package de configuration

Les packages de configuration UEFI Surface sont le mécanisme principal permettant d’implémenter et de gérer SEMM sur les appareils Surface. Ces packages contiennent un fichier de configuration et un fichier de certificat, comme illustré dans la figure 2. Le fichier de configuration contient les paramètres UEFI spécifiés lors de la création du package dans microsoft Surface UEFI Configurator. Lorsqu’un package de configuration s’exécute pour la première fois sur un appareil Surface qui n’est pas déjà inscrit dans SEMM, il provisionne le fichier de certificat dans le microprogramme de l’appareil et inscrit l’appareil dans SEMM. Lors de l’inscription d’un appareil dans SEMM, et avant que le certificat soit stocké et que l’inscription se termine, vous êtes invité à confirmer l’opération en fournissant les deux derniers chiffres de l’empreinte numérique du certificat SEMM. Cette confirmation nécessite qu’un utilisateur soit physiquement présent sur l’appareil lors de l’inscription pour effectuer la confirmation.

Pour plus d’informations sur la configuration requise pour le certificat SEMM, consultez la section Conditions requises pour les certificats en mode De gestion d’entreprise surface plus loin dans cet article.

Utiliser le configurateur UEFI Surface pour créer

Catégorie	Description	En savoir plus
MSI Packages	Inscrire des appareils Surface dans SEMM et gérer les paramètres du microprogramme UEFI pour les appareils inscrits. Inscrivez les docks Surface dans SEMM et gérez les paramètres du microprogramme UEFI pour les docks inscrits.	Configurer les paramètres UEFI pour les appareils Surface Configurer les paramètres UEFI pour les stations d’accueil Surface
Image WinPEs	Utilisez des images WinPE pour inscrire, configurer et désinscrire SEMM sur un appareil Surface.
DFI Packages	Create packages DFI pour inscrire des appareils Surface Hub dans SEMM et gérer les paramètres du microprogramme UEFI pour les appareils Surface Hub inscrits.

Astuce

Vous avez la possibilité d’exiger un mot de passe UEFI avec SEMM. Si vous le faites, le mot de passe est requis pour afficher les pages Sécurité, Appareils, Configuration de démarrage et Gestion d’entreprise de Surface UEFI.

Une fois qu’un appareil est inscrit dans SEMM, le fichier de configuration est lu et les paramètres spécifiés dans le fichier sont appliqués à UEFI. Lorsque vous exécutez un package de configuration sur un appareil déjà inscrit dans SEMM, la signature du fichier de configuration est vérifiée par rapport au certificat stocké dans le microprogramme de l’appareil. Si la signature ne correspond pas, aucune modification n’est appliquée à l’appareil.

Astuce

Les administrateurs ayant accès au fichier de certificat (.pfx) peuvent lire l’empreinte numérique à tout moment en ouvrant le fichier .pfx dans CertMgr. Pour afficher l’empreinte numérique avec CertMgr :

1. Sélectionnez et maintenez (ou cliquez avec le bouton droit) le fichier .pfx, puis sélectionnez Ouvrir.
2. Dans le volet de navigation, développez le dossier .
3. Sélectionnez Certificats.
4. Dans le volet main, sélectionnez et maintenez enfoncé (ou cliquez avec le bouton droit) votre certificat, puis sélectionnez Ouvrir.
5. Sélectionnez l’onglet Détails .
6. Dans le menu déroulant Afficher , vous devez sélectionner Tous ou Propriétés uniquement .
7. Sélectionnez le champ Empreinte numérique .

Pour inscrire un appareil Surface dans SEMM ou appliquer la configuration UEFI à partir d’un package de configuration, exécutez le fichier .msi avec des privilèges d’administration sur l’appareil Surface prévu. Vous pouvez utiliser des technologies de déploiement d’applications ou de système d’exploitation, comme Microsoft Endpoint Configuration Manager ou Microsoft Deployment Toolkit. Lorsque vous inscrivez un appareil dans SEMM, vous devez être physiquement présent pour confirmer l’inscription sur l’appareil. Lorsque vous appliquez une configuration à des appareils déjà inscrits dans SEMM, l’interaction de l’utilisateur n’est pas requise.

Demande de récupération

Vous pouvez désinscrire les appareils Surface de SEMM via la fonctionnalité Demande de récupération dans le Kit de ressources informatique Surface.

Conditions requises pour les certificats SEMM

Lorsque vous utilisez SEMM avec Microsoft Surface UEFI Configurator et que vous souhaitez appliquer des paramètres UEFI, un certificat est requis pour vérifier la signature des fichiers de configuration. Ce certificat garantit qu’après l’inscription d’un appareil dans SEMM, seuls les packages créés avec le certificat approuvé peuvent être utilisés pour modifier les paramètres UEFI.

Remarque

Pour modifier les paramètres SEMM ou UEFI surface sur les appareils Surface inscrits, le certificat SEMM est requis. Si le certificat SEMM est endommagé ou perdu, SEMM ne peut pas être supprimé ou réinitialisé. Gérer votre certificat SEMM en conséquence avec une solution appropriée pour la sauvegarde et la récupération

Les packages créés avec l’outil Microsoft Surface UEFI Configurator sont signés avec un certificat. Ce certificat garantit qu’une fois qu’un appareil est inscrit dans SEMM, seuls les packages créés avec le certificat approuvé peuvent être utilisés pour modifier les paramètres d’UEFI.

Paramètres de certificat recommandés

Les paramètres suivants sont recommandés pour le certificat SEMM :

• Algorithme de clé – RSA
• Longueur de clé – 2048
• Algorithme de hachage – SHA-256
• Type – Authentification du serveur SSL
• Utilisation de la clé : signature numérique, chiffrement de clé
• Fournisseur : fournisseur de services de chiffrement RSA et AES améliorés Microsoft
• Date d’expiration : 15 mois à compter de la création du certificat
• Stratégie d’exportation de clé – Exportable

Il est également recommandé que le certificat SEMM soit authentifié dans une architecture d’infrastructure à clé publique (PKI) à deux niveaux où l’autorité de certification intermédiaire est dédiée à SEMM, ce qui permet la révocation des certificats. Pour plus d’informations sur une configuration PKI à deux niveaux, consultez Guide du laboratoire de test : Déploiement d’une hiérarchie DKI AD CS Two-Tier.

Certificat auto-signé

Vous pouvez utiliser l’exemple de script PowerShell suivant pour créer un certificat auto-signé à utiliser dans des scénarios de preuve de concept. Pour utiliser ce script, copiez le texte suivant dans le Bloc-notes, puis enregistrez le fichier en tant que script PowerShell (.ps1).

Remarque

Ce script crée un certificat avec un mot de passe de 12345678. Le certificat généré par ce script n’est pas recommandé pour les environnements de production.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Important

Pour une utilisation avec SEMM et Microsoft Surface UEFI Configurator, le certificat doit être exporté avec la clé privée et la protection par mot de passe. Microsoft Surface UEFI Configurator vous invite à sélectionner le fichier de certificat SEMM (.pfx) et le mot de passe du certificat.

Pour créer un certificat auto-signé :

1. Sur votre lecteur C : , créez le dossier dans lequel vous allez enregistrer le script ; par exemple, C :\SEMM.
2. Copiez l’exemple de script dans le Bloc-notes (ou un éditeur de texte équivalent), puis enregistrez le fichier en tant que script PowerShell (.ps1).
3. Connectez-vous à votre ordinateur avec des informations d’identification d’administrateur, puis ouvrez une session PowerShell avec élévation de privilèges.
4. Assurez-vous que vos autorisations sont définies pour autoriser l’exécution des scripts. Par défaut, l’exécution des scripts est bloquée, sauf si vous modifiez la stratégie d’exécution. Pour plus d’informations, consultez À propos des stratégies d’exécution.
5. À l’invite de commandes, entrez le chemin complet du script, puis appuyez sur Entrée. Le script crée un certificat de démonstration nommé TempOwner.pfx.

Vous pouvez également créer votre propre certificat auto-signé à l’aide de PowerShell. Pour plus d’informations, consultez New-SelfSignedCertificate.

Remarque

Pour les organisations qui utilisent une racine hors connexion dans leur infrastructure PKI, Microsoft Surface UEFI Configurator doit être exécuté dans un environnement connecté à l’autorité de certification racine pour authentifier le certificat SEMM. Les packages générés par microsoft Surface UEFI Configurator peuvent être transférés sous forme de fichiers, de sorte qu’ils peuvent être transférés en dehors de l’environnement réseau hors connexion avec un stockage amovible, tel qu’une clé USB.

FAQ sur la gestion des certificats

La durée minimale recommandée est de 15 mois. Vous pouvez utiliser un certificat qui expire dans moins de 15 mois ou un certificat qui expire dans plus de 15 mois.

Remarque

Lorsqu’un certificat expire, il ne se renouvelle pas automatiquement.

Un certificat expiré affecte-t-il les fonctionnalités des appareils inscrits auprès de SEMM ?

Non, un certificat affecte uniquement les tâches de gestion des administrateurs informatiques dans SEMM et n’a aucun effet sur les fonctionnalités de l’appareil lorsqu’il expire.

Le package ET le certificat SEMM devront-ils être mis à jour sur tous les ordinateurs qui l’ont ?

Si vous souhaitez que la réinitialisation ou la récupération SEMM fonctionne, le certificat doit être valide et n’a pas expiré.

Des packages de réinitialisation en bloc peuvent-ils être créés pour chaque surface que nous commanderons ? Peut-on créer une machine qui réinitialise toutes les machines de notre environnement ?

Les exemples PowerShell qui créent un package de configuration pour un type d’appareil spécifique peuvent également être utilisés pour créer un package de réinitialisation indépendant du numéro de série. Si le certificat est toujours valide, vous pouvez créer un package de réinitialisation à l’aide de PowerShell pour réinitialiser SEMM.