Настройка параметров UEFI для устройств Surface

• Применяется к:

  Windows 11, Windows 10

В этой статье описывается, как защитить параметры UEFI для устройств Surface, развернутых в организации, и управлять ими с помощью конфигуратора Surface UEFI и режима управления Surface Enterprise (SEMM). Конфигуратор UEFI Surface, который больше недоступен для отдельной загрузки, теперь включен в новый набор средств ДЛЯ ИТ-отделов Surface.

Параметры UEFI для устройств Surface, управляемых SEMM

С помощью SEMM ИТ-администраторы могут управлять компонентами оборудования на уровне встроенного ПО. Например, в целях безопасности можно отключить аппаратные компоненты, такие как камеры, микрофоны и USB-порты. Полный список доступных параметров см. в справочнике по параметрам SURFACE UEFI SEMM.

Create пакет конфигурации UEFI Surface

Пакет конфигурации UEFI Surface предназначен для применения недавно настроенных параметров UEFI к устройствам Surface, управляемым SEMM, и регистрации их в SEMM. Для создания этого пакета требуется сертификат подписи SEMM для защиты параметров UEFI на каждом устройстве. Дополнительные сведения см. в разделе Требования к сертификатам SEMM.

Защита параметров UEFI с помощью пароля

Настоятельно рекомендуется задать пароль при создании пакетов конфигурации UEFI. Встроенное ПО управляет начальными операциями оборудования перед загрузкой операционной системы. Если несанкционированный доступ пользователей к параметрам UEFI может привести к отключению функций безопасности или внесению изменений, влияющих на безопасность и функциональность устройства.

Настройка устройства

В средстве настройки устройства можно создать конфигурацию параметров UEFI и пакеты сброса для устройств Surface в организации (дополнительные сведения о параметрах UEFI Surface см. в разделе Управление параметрами UEFI Surface.)

Create пакет конфигурации UEFI Surface

1. Откройте Surface IT Toolkit и выберите UEFI Configurator>Configure Surface Device (Настроить устройство Surface).
2. В разделе Импорт защиты сертификатов выберите Добавить , чтобы добавить экспортированный файл сертификата с закрытым ключом (PFX). Выберите Далее.
3. Выберите устройства для настройки. Выберите один из управляемых устройств или выберите все устройства, чтобы выбрать свое устройство и модель. Выберите Далее.
4. На странице Параметры конфигурации устройства выберите компоненты, которые требуется настроить, и выберите параметр пароля UEFI. По завершении нажмите Далее.
5. На странице Окончательная проверка отображаются сведения о выбранной конфигурации. Проверьте изменения, выберите Выбрать папку, чтобы сохранить пакет конфигурации UEFI, и выберите Create.

Совет

Запишите символы отпечатка сертификата, отображаемые на этой странице, как показано на рис. 6. Эти символы потребуются для подтверждения регистрации новых устройств Surface в SEMM. Нажмите кнопку Завершить , чтобы завершить создание пакета и закрыть Конфигуратор Microsoft Surface UEFI.

6. По завершении нажмите кнопку Готово.

   

7. По завершении перейдите в выбранную папку, чтобы получить пакет. В этом примере пакет изменяет один параметр UEFI, в результате чего создаются два файла:

   • Пакет регистрации SEMM, который можно развернуть на одном или нескольких устройствах.
   • Пакет сброса, используемый для отмены регистрации устройства, управляемого SEMM.

   

Регистрация устройства Surface в SEMM

При выполнении пакета конфигурации Surface UEFI сертификат SEMM и файлы конфигурации Surface UEFI размещаются в хранилище встроенного ПО устройства Surface. Когда устройство Surface перезагружается, Surface UEFI обрабатывает эти файлы и начинает процесс применения конфигурации Surface UEFI или регистрации устройства Surface в SEMM.

Перед регистрацией устройства Surface в SEMM убедитесь, что у вас есть последние два символа отпечатка сертификата. Эти символы требуются для подтверждения регистрации устройства.

Чтобы зарегистрировать устройство Surface в SEMM с пакетом конфигурации Surface UEFI, выполните приведенные далее действия.

1. Запустите пакет конфигурации UEFI Surface .msi файл на устройстве Surface, которое вы хотите зарегистрировать в SEMM. Это подготавливает файл конфигурации UEFI Surface в встроенном ПО устройства.
2. Установите флажок Я принимаю условия лицензионного соглашения проверка, чтобы принять лицензионное соглашение (EULA), и нажмите кнопку Установить, чтобы начать процесс установки.
3. Нажмите кнопку Готово , чтобы завершить установку пакета конфигурации UEFI Surface и перезапустить устройство Surface при появлении запроса на это.
4. Surface UEFI загружает файл конфигурации и определяет, что SEMM не включен на устройстве. Surface UEFI начинает процесс регистрации SEMM следующим образом:
   • Surface UEFI проверяет, содержит ли файл конфигурации SEMM сертификат SEMM.
   • Surface UEFI предлагает ввести последние два символа отпечатка сертификата, чтобы подтвердить регистрацию устройства Surface в SEMM.
5. Устройство Surface теперь зарегистрировано в SEMM.

Вы можете проверить, успешно ли зарегистрировано устройство Surface в SEMM, найдя пакет конфигурации Microsoft Surface в разделе Программы и компоненты или в событиях, хранящихся в журнале конфигуратора Microsoft Surface UEFI, который находится в разделе Журналы приложений и служб в Просмотр событий.

Настройка дополнительных параметров UEFI Surface

После регистрации устройства в SEMM можно запустить другие пакеты конфигурации Surface UEFI, подписанные с помощью того же сертификата SEMM, чтобы применить новые параметры Surface UEFI. Эти параметры применяются автоматически при следующей загрузке устройства без какого-либо взаимодействия со стороны пользователя. Решения развертывания приложений, такие как Microsoft Endpoint Configuration Manager, можно использовать для развертывания пакетов конфигурации Surface UEFI на устройствах Surface, чтобы изменить параметры в UEFI Surface или управлять ими.

Дополнительные сведения о развертывании файлов установщика Windows (.msi) с помощью Configuration Manager см. в статье Развертывание приложений и управление ими с помощью microsoft Endpoint Configuration Manager.