Introdução ao Modo de Gerenciamento do Surface Enterprise (SEMM)

  • Artigo
  • Aplica-se a:
    Windows 10, Windows 11

O SEMM (Modo de Gerenciamento Empresarial do Microsoft Surface) é um recurso de dispositivos Surface com UEFI (Interface de Firmware Extensível Unificada do Surface). Você pode usar o SEMM para:

  • Proteja e gerencie as configurações de firmware em sua organização.
  • Prepare as configurações de UEFI e instale-as em um dispositivo Surface.

O SEMM também usa um certificado para proteger a configuração contra adulteração ou remoção não autorizada.

Registrar dispositivos Surface no SEMM

Este artigo mostra como criar um pacote de configuração do Surface UEFI para habilitar ou desabilitar componentes de hardware no nível do firmware e registrar um dispositivo Surface no SEMM. Quando os dispositivos Surface são configurados pelo SEMM e protegidos com o certificado SEMM, eles são considerados registrados no SEMM. Quando o certificado SEMM é removido e o controle das configurações UEFI é retornado ao usuário do dispositivo, o dispositivo Surface é considerado não registrado no SEMM.

Você também pode usar o Microsoft Endpoint Configuration Manager para gerenciar dispositivos com SEMM.

Como alternativa ao SEMM, os dispositivos Surface mais recentes dão suporte ao gerenciamento remoto de um subconjunto de configurações de firmware por meio de Microsoft Intune. Para obter mais informações, consulte Gerenciar DFCI em dispositivos Surface.

Dispositivos com suporte

O SEMM só está disponível em dispositivos com firmware do Surface UEFI, incluindo:

  • Surface Book (todas as gerações)
  • Surface Go 4 (somente SKUs comerciais)
  • Surface Go 3 (somente SKUs comerciais)
  • Surface Go 2 (todas as SKUs)
  • Surface Go (todas as SKUs)
  • Surface Hub 2S
  • Surface Laptop 6 (somente SKUs comerciais)
  • Surface Laptop 5 (somente SKUs comerciais)
  • Surface Laptop 4 (somente SKUs comerciais)
  • Surface Laptop 3 (somente processadores Intel)
  • Surface Laptop 2 (todas as SKUs)
  • Surface Laptop (todas as SKUs)
  • Surface Laptop Go 3 (somente SKUs comerciais)
  • Surface Laptop Go 2 (somente SKUs comerciais)
  • Surface Laptop Go (todas as SKUs)
  • Surface Laptop SE (todas as SKUs)
  • Surface Laptop Studio 2 (somente SKUs comerciais)
  • Surface Laptop Studio (somente SKUs comerciais)
  • Surface Pro 10 (somente SKUs comerciais)
  • Surface Pro 9 (somente SKUs comerciais)
  • Surface Pro 9 com 5G (somente SKUs comerciais)
  • Surface Pro 8 (somente SKUs comerciais)
  • Surface Pro 7+ (somente SKUs comerciais)
  • Surface Pro 7 (todas as SKUs)
  • Surface Pro 6 (todas as SKUs)
  • Surface Pro 5ª Geração (todas as SKUs)
  • Surface Pro 4 (todas as SKUs)
  • Surface Pro X (todas as SKUs)
  • Surface Studio 2+ (somente SKUs comerciais)
  • Surface Studio 2 (todas as SKUs)
  • Surface Studio (todas as SKUs)

Dica

AS SKUs comerciais (também conhecidas como Surface for Business) são executadas Windows 10 Pro/Enterprise ou Windows 11 Pro/Enterprise; as SKUs de consumo executam Windows 10/Windows 11 Home. Para saber mais, confira Exibir as informações do sistema.

Configurador UEFI do Surface

O principal workspace do SEMM é o Surface IT Toolkit, que contém o novo Configurador UEFI do Surface.

Pacote de configuração

Os pacotes de configuração do SURFACE UEFI são o mecanismo principal para implementar e gerenciar o SEMM em dispositivos Surface. Esses pacotes contêm um arquivo de configuração e um arquivo de certificado, conforme mostrado na Figura 2. O arquivo de configuração contém configurações UEFI especificadas quando o pacote é criado no Configurador UEFI do Microsoft Surface. Quando um pacote de configuração é executado pela primeira vez em um dispositivo Surface que ainda não está registrado no SEMM, ele provisiona o arquivo de certificado no firmware do dispositivo e registra o dispositivo no SEMM. Ao registrar um dispositivo no SEMM e antes que o certificado seja armazenado e o registro seja concluído, você será solicitado a confirmar a operação fornecendo os dois últimos dígitos da impressão digital do certificado SEMM. Essa confirmação exige que um usuário esteja fisicamente presente no dispositivo durante o registro para executar a confirmação.

Para obter mais informações sobre os requisitos para o certificado SEMM, consulte a seção Requisitos de certificado do Modo de Gerenciamento do Surface Enterprise mais adiante neste artigo.

Usar o Configurador UEFI do Surface para criar

Categoria Descrição Saiba mais
Pacotes MSI Registre dispositivos Surface no SEMM e gerencie as configurações de firmware UEFI para dispositivos registrados.
Registre encaixes do Surface no SEMM e gerencie as configurações de firmware UEFI para docks registrados.		 Configurar configurações UEFI para dispositivos Surface
Configurar configurações UEFI para o Surface Docks
WinPE Images Use imagens WinPE para registrar, configurar e desativar o SEMM em um dispositivo Surface.
Pacotes DFI Create pacotes DFI para registrar dispositivos do Surface Hub no SEMM e gerenciar configurações de firmware UEFI para dispositivos do Surface Hub registrados.

Dica

Você tem a opção de exigir uma senha UEFI com SEMM. Se você fizer isso, a senha será necessária para exibir as páginasSegurança, Dispositivos, Configuração de Inicialização e Gerenciamento Empresarial do Surface UEFI.

Depois que um dispositivo é registrado no SEMM, o arquivo de configuração é lido e as configurações especificadas no arquivo são aplicadas à UEFI. Quando você executa um pacote de configuração em um dispositivo que já está registrado no SEMM, a assinatura do arquivo de configuração é verificada no certificado armazenado no firmware do dispositivo. Se a assinatura não corresponder, nenhuma alteração será aplicada ao dispositivo.

Dica

Os administradores com acesso ao arquivo de certificado (.pfx) podem ler a impressão digital a qualquer momento abrindo o arquivo .pfx no CertMgr. Para exibir a impressão digital com o CertMgr:

  1. Selecione e segure (ou clique com o botão direito do mouse) no arquivo .pfx e selecione Abrir.
  2. No painel de navegação, expanda a pasta.
  3. Selecione Certificados.
  4. No painel main, selecione e segure (ou clique com o botão direito do mouse) no certificado e selecione Abrir.
  5. Selecione a guia Detalhes .
  6. No menu suspenso Mostrar , Todas ou Propriedades Somente devem ser selecionadas.
  7. Selecione o campo Impressão digital .

Para registrar um dispositivo Surface no SEMM ou aplicar a configuração UEFI de um pacote de configuração, execute o arquivo .msi com privilégios administrativos no dispositivo Surface pretendido. Você pode usar tecnologias de implantação de aplicativos ou implantação do sistema operacional, como o Microsoft Endpoint Configuration Manager ou o Kit de Ferramentas de Implantação da Microsoft. Ao registrar um dispositivo no SEMM, você deve estar fisicamente presente para confirmar o registro no dispositivo. Quando você aplica uma configuração a dispositivos que já estão registrados no SEMM, a interação do usuário não é necessária.

Solicitação de recuperação

Você pode cancelar o desbloqueio de dispositivos Surface do SEMM por meio do recurso Solicitação de Recuperação no Surface IT Toolkit.

Requisitos de certificado SEMM

Quando você usa o SEMM com o Configurador UEFI do Microsoft Surface e deseja aplicar configurações UEFI, um certificado é necessário para verificar a assinatura dos arquivos de configuração. Esse certificado garante que, depois que um dispositivo for registrado no SEMM, somente pacotes criados com o certificado aprovado poderão ser usados para modificar as configurações uefi.

Observação

Para fazer qualquer modificação nas configurações do SEMM ou do Surface UEFI em dispositivos Surface registrados, o certificado SEMM é necessário. Se o certificado SEMM estiver corrompido ou perdido, o SEMM não poderá ser removido ou redefinido. Gerenciar seu certificado SEMM de acordo com uma solução apropriada para backup e recuperação

Os pacotes criados com a ferramenta Configurador UEFI do Microsoft Surface são assinados com um certificado. Esse certificado garante que, depois que um dispositivo for registrado no SEMM, somente pacotes criados com o certificado aprovado poderão ser usados para modificar as configurações da UEFI.

As seguintes configurações são recomendadas para o certificado SEMM:

  • Algoritmo de chave – RSA
  • Comprimento da chave – 2048
  • Algoritmo hash – SHA-256
  • Tipo – Autenticação do Servidor SSL
  • Uso de chave – Assinatura digital, encipherment de chave
  • Provedor – Microsoft Enhanced RSA and AES Cryptographic Provider
  • Data de validade – 15 meses da criação do certificado
  • Política de Exportação de Chaves – Exportável

Também é recomendável que o certificado SEMM seja autenticado em uma arquitetura PKI (infraestrutura de chave pública) de duas camadas em que a autoridade de certificação intermediária (AC) é dedicada ao SEMM, habilitando a revogação de certificado. Para obter mais informações sobre uma configuração PKI de duas camadas, consulte Guia do Laboratório de Teste: Implantando um CS do AD Two-Tier hierarquia PKI.

Certificado autoassinado

Você pode usar o seguinte exemplo de script do PowerShell para criar um certificado autoassinado para uso em cenários de prova de conceito. Para usar esse script, copie o texto a seguir no Bloco de Notas e salve o arquivo como um script do PowerShell (.ps1).

Observação

Este script cria um certificado com uma senha de 12345678. O certificado gerado por esse script não é recomendado para ambientes de produção.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Importante

Para uso com o SEMM e o Configurador UEFI do Microsoft Surface, o certificado deve ser exportado com a chave privada e com proteção por senha. O Configurador UEFI do Microsoft Surface solicita que você selecione o arquivo de certificado SEMM (.pfx) e a senha do certificado.

Para criar um certificado autoassinado:

  1. Na unidade C: crie a pasta em que você salvará o script; por exemplo, C:\SEMM.
  2. Copie o script de exemplo no Bloco de Notas (ou editor de texto equivalente) e salve o arquivo como um script do PowerShell (.ps1).
  3. Entre no computador com credenciais de administrador e abra uma sessão do PowerShell elevada.
  4. Verifique se suas permissões estão definidas para permitir que scripts sejam executados. Por padrão, os scripts são impedidos de serem executados, a menos que você modifique a política de execução. Para saber mais, confira Sobre políticas de execução.
  5. No prompt de comando, insira o caminho completo do script e pressione Enter. O script cria um Certificado de Demonstração chamado TempOwner.pfx.

Como alternativa, você pode criar seu próprio certificado autoassinado usando o PowerShell. Para obter mais informações, consulte New-SelfSignedCertificate.

Observação

Para organizações que usam uma raiz offline em sua infraestrutura PKI, o Configurador UEFI do Microsoft Surface deve ser executado em um ambiente conectado à AC raiz para autenticar o certificado SEMM. Os pacotes gerados pelo Configurador UEFI do Microsoft Surface podem ser transferidos como arquivos para que possam ser transferidos para fora do ambiente de rede offline com armazenamento removível, como um pendrive.

Perguntas frequentes sobre como gerenciar certificados

O comprimento mínimo recomendado é de 15 meses. Você pode usar um certificado que expira em menos de 15 meses ou usar um certificado que expira em mais de 15 meses.

Observação

Quando um certificado expira, ele não é renovado automaticamente.

Um certificado expirado afetará a funcionalidade de dispositivos registrados pelo SEMM?

Não, um certificado afeta apenas as tarefas de gerenciamento de administrador de TI no SEMM e não tem efeito na funcionalidade do dispositivo quando expira.

O pacote e o certificado SEMM precisarão ser atualizados em todos os computadores que o têm?

Se você quiser que a redefinição ou recuperação do SEMM funcione, o certificado precisará ser válido e não expirar.

Os pacotes de redefinição em massa podem ser criados para cada superfície que pedimos? Pode-se criar um que redefina todos os computadores em nosso ambiente?

Os exemplos do PowerShell que criam um pacote de configuração para um tipo de dispositivo específico também podem ser usados para criar um pacote de redefinição independente de número de série. Se o certificado ainda for válido, você poderá criar um pacote de redefinição usando o PowerShell para redefinir o SEMM.