Configurare le impostazioni UEFI per i dispositivi Surface

  • Articolo
  • Si applica a:
    Windows 11, Windows 10

Questo articolo descrive come proteggere e gestire le impostazioni UEFI (Unified Extensible Firmware Interface) per i dispositivi Surface distribuiti nell'organizzazione usando Surface UEFI Configurator e Surface Enterprise Management Mode (SEMM). Surface UEFI Configurator, non più disponibile come download separato, è ora incluso nel nuovo Surface IT Toolkit.

Impostazioni UEFI per i dispositivi Surface gestiti da SEMM

Con SEMM, gli amministratori IT possono gestire i componenti hardware a livello di firmware. Ad esempio, è possibile disattivare componenti hardware come fotocamere, microfoni e porte USB per motivi di sicurezza. Per un elenco completo delle impostazioni disponibili, vedi Informazioni di riferimento sulle impostazioni DI SURFACE UEFI SEMM.

Create un pacchetto di configurazione UEFI di Surface

Il pacchetto di configurazione UEFI di Surface ha il doppio scopo di applicare le impostazioni UEFI appena configurate ai dispositivi Surface gestiti da SEMM e di registrarli in SEMM. La creazione di questo pacchetto richiede un certificato di firma SEMM per proteggere le impostazioni UEFI in ogni dispositivo. Per altre informazioni, vedere Requisiti del certificato SEMM.

Proteggere le impostazioni UEFI con la password

È consigliabile impostare una password durante la creazione di pacchetti di configurazione UEFI. Il firmware controlla le operazioni iniziali dell'hardware prima del caricamento del sistema operativo. Se gli utenti non autorizzati accedono alle impostazioni UEFI, potrebbero disabilitare le funzionalità di sicurezza o apportare modifiche dannose per la sicurezza e la funzionalità del dispositivo.

Screenshot che mostra l'aggiunta di una password per proteggere le impostazioni UEFI da persone non autorizzate.

Configurare il dispositivo

Nello strumento Configura dispositivo è possibile creare la configurazione delle impostazioni UEFI e reimpostare i pacchetti per i dispositivi Surface nell'organizzazione.Per altre informazioni sulle impostazioni di Surface UEFI, vedere Gestire le impostazioni UEFI di Surface.

Create un pacchetto di configurazione UEFI di Surface

  1. Aprire Surface IT Toolkit, selezionare UEFI Configurator>Configura dispositivo Surface.
  2. In Importa protezione certificati selezionare Aggiungi per aggiungere il file di certificato esportato con chiave privata (con estensione pfx). Seleziona Avanti. Screenshot della configurazione UEFI.
  3. Selezionare i dispositivi da configurare. Scegliere tra i dispositivi gestiti o passare a Tutti i dispositivi per selezionare il dispositivo e il modello. Seleziona Avanti. Screenshot della selezione del dispositivo per la configurazione UEFI.
  4. Nella pagina Impostazioni configurazione dispositivo selezionare i componenti da configurare e scegliere un'impostazione della password UEFI. Al termine, selezionare Avanti. Screenshot della pagina Impostazioni configurazione dispositivo.
  5. La pagina Revisione finale mostra i dettagli di configurazione selezionati. Esaminare le modifiche, selezionare Scegli cartella per salvare il pacchetto di configurazione UEFI e selezionare Create. Screenshot della configurazione completata per il pacchetto dispositivo.

Suggerimento

Registrare i caratteri di identificazione personale del certificato visualizzati in questa pagina, come illustrato nella figura 6. Questi caratteri saranno necessari per confermare la registrazione dei nuovi dispositivi Surface in SEMM. Fare clic su Fine per completare la creazione del pacchetto e chiudere Microsoft Surface UEFI Configurator.

  1. Al termine, selezionare Fine.

    Screenshot dei file del pacchetto di configurazione UEFI.

  2. Al termine, passare alla cartella selezionata per recuperare il pacchetto. Questo pacchetto di esempio modifica una singola impostazione UEFI, generando due file:

    • Pacchetto di registrazione SEMM che è possibile distribuire in uno o più dispositivi.
    • Pacchetto di reimpostazione usato per annullare la registrazione di un dispositivo gestito da SEMM.

    Screenshot della pagina di creazione del pacchetto del dispositivo.

Registrare un dispositivo Surface in SEMM

Quando viene eseguito il pacchetto di configurazione UEFI di Surface, il certificato SEMM e i file di configurazione UEFI di Surface vengono eseguiti in fasi nell'archiviazione del firmware del dispositivo Surface. Al riavvio del dispositivo Surface, Surface UEFI elabora questi file e inizia il processo di applicazione della configurazione UEFI di Surface o della registrazione del dispositivo Surface in SEMM.

Prima di registrare un dispositivo Surface in SEMM, assicurarsi di disporre degli ultimi due caratteri dell'identificazione personale del certificato. Questi caratteri sono necessari per confermare la registrazione del dispositivo.

Per registrare un dispositivo Surface in SEMM con un pacchetto di configurazione UEFI di Surface:

  1. Eseguire il pacchetto di configurazione UEFI di Surface .msi file nel dispositivo Surface da registrare in SEMM. Questo esegue il provisioning del file di configurazione UEFI di Surface nel firmware del dispositivo.
  2. Selezionare la casella di controllo Accetto le condizioni nel Contratto di licenza per accettare il Contratto di licenza con l'utente finale e selezionare Installa per avviare il processo di installazione.
  3. Selezionare Fine per completare l'installazione del pacchetto di configurazione UEFI di Surface e riavviare il dispositivo Surface quando viene richiesto di eseguire questa operazione.
  4. Surface UEFI carica il file di configurazione e determina che SEMM non è abilitato nel dispositivo. Surface UEFI avvia il processo di registrazione SEMM, come indicato di seguito:
    • Surface UEFI verifica che il file di configurazione SEMM contenga un certificato SEMM.
    • Surface UEFI richiede di immettere gli ultimi due caratteri dell'identificazione personale del certificato per confermare la registrazione del dispositivo Surface in SEMM.
  5. Il dispositivo Surface è ora registrato in SEMM.

È possibile verificare se un dispositivo Surface è registrato correttamente in SEMM cercando Microsoft Surface Configuration Package in Programmi e funzionalità o negli eventi archiviati nel log di Microsoft Surface UEFI Configurator, disponibile in Registri applicazioni e servizi in Visualizzatore eventi.

Configurare altre impostazioni UEFI di Surface

Dopo la registrazione di un dispositivo in SEMM, è possibile eseguire altri pacchetti di configurazione UEFI di Surface firmati con lo stesso certificato SEMM per applicare le nuove impostazioni UEFI di Surface. Queste impostazioni vengono applicate automaticamente al successivo avvio del dispositivo, senza alcuna interazione da parte dell'utente. È possibile usare soluzioni di distribuzione di applicazioni come Microsoft Endpoint Configuration Manager per distribuire i pacchetti di configurazione UEFI di Surface nei dispositivi Surface per modificare o gestire le impostazioni in Surface UEFI.

Per altre informazioni su come distribuire file di Windows Installer (.msi) con Configuration Manager, vedere Distribuire e gestire applicazioni con Microsoft Endpoint Configuration Manager.