Режим управления Microsoft Surface Enterprise (SEMM)

Статья
10/04/2023
Применяется к:

Windows 10, Windows 11

Режим управления Microsoft Surface Enterprise (SEMM) — это функция устройств Surface с единым интерфейсом встроенного ПО Surface (UEFI). SEMM можно использовать для:

Защита параметров встроенного ПО в организации и управление ими.
Подготовьте конфигурации параметров UEFI и установите их на устройстве Surface.

SEMM также использует сертификат для защиты конфигурации от несанкционированного изменения или удаления. Для миграции Surface Hub 2S в Windows 10 Pro или Windows Enterprise требуется SEMM.

Поддерживаемые устройства

SEMM доступен только на устройствах с встроенным ПО Surface UEFI, включая следующие:

Surface Book (все поколения)
Surface Go 4 (только коммерческие номера SKU)
Surface Go 3 (только коммерческие номера SKU)
Surface Go 2 (все номера SKU)
Surface Go (все номера SKU)
Surface Hub 2S
Ноутбук Surface 5 (только коммерческие номера SKU)
Ноутбук Surface 4 (только коммерческие номера SKU)
Ноутбук Surface 3 (только для процессоров Intel)
Ноутбук Surface 2 (все номера SKU)
Ноутбук Surface (все номера SKU)
Surface Laptop Go 3 (только коммерческие номера SKU)
Surface Laptop Go 2 (только коммерческие номера SKU)
Surface Laptop Go (все номера SKU)
Surface Laptop SE (все номера SKU)
Surface Laptop Studio 2 (только коммерческие номера SKU)
Surface Laptop Studio (только коммерческие номера SKU)
Surface Pro 9 (только коммерческие номера SKU)
Surface Pro 9 с 5G (только коммерческие номера SKU)
Surface Pro 8 (только коммерческие номера SKU)
Surface Pro 7+ (только коммерческие номера SKU)
Surface Pro 7 (все номера SKU)
Surface Pro 6 (все номера SKU)
Surface Pro 5-го поколения (все номера SKU)
Surface Pro 4 (все номера SKU)
Surface Pro X (все номера SKU)
Surface Studio 2+ (только коммерческие номера SKU)
Surface Studio 2 (все номера SKU)
Surface Studio (все номера SKU)

Совет

Коммерческие номера SKU (surface for Business) выполняются Windows 10 Pro/Enterprise или Windows 11 Pro/Enterprise; номера SKU потребителей выполняются Windows 10/Windows 11 Домашняя. Дополнительные сведения см. в разделе Просмотр сведений о системе.

Начало работы

Если устройства Surface настроены с помощью SEMM и защищены с помощью сертификата SEMM, они считаются зарегистрированными в SEMM. При удалении сертификата SEMM и возврате пользователю устройства управления параметрами UEFI устройство Surface считается незарегистрированным в SEMM.

Существует два варианта администрирования, которые можно использовать для управления SEMM и регистрации устройств Surface:

В этой статье описано автономное средство SEMM — Конфигуратор UEFI Microsoft Surface.
Интеграция с Microsoft Endpoint Configuration Manager. Дополнительные сведения см. в статье Использование Configuration Manager конечной точки Майкрософт для управления устройствами с помощью SEMM.

Конфигуратор UEFI Microsoft Surface

Основной рабочей областью SEMM является Конфигуратор Microsoft Surface UEFI, как показано на рис. 1.

Конфигуратор UEFI Microsoft Surface можно использовать для:

Создание пакетов установщика Windows (.msi).
Используйте образы WinPE для регистрации, настройки и отмены регистрации SEMM на устройстве Surface.

Эти пакеты содержат файл конфигурации, указывающий параметры UEFI. Пакеты SEMM также содержат сертификат, установленный и хранящийся в встроенном ПО и используемый для проверки подписи файлов конфигурации перед применением параметров UEFI.

Совет

Теперь вы можете использовать конфигуратор Surface UEFI и SEMM для управления портами на док-станции Surface 2 или Док-станции Surface Thunderbolt 4. Дополнительные сведения см. в статье Безопасные порты док-станции Surface с помощью SEMM.

Конфигуратор UEFI Microsoft Surface.

Рисунок 1. Конфигуратор UEFI Microsoft Surface

Средство конфигуратора UEFI Microsoft Surface можно использовать в трех режимах:

Пакет конфигурации UEFI Surface. Этот режим используется для создания пакета конфигурации Surface UEFI для регистрации устройства Surface в SEMM и настройки параметров UEFI на зарегистрированных устройствах.
Пакет сброса UEFI Surface. Этот режим используется для отмены регистрации устройства Surface в SEMM.
Запрос на восстановление Surface UEFI. Используйте этот режим, чтобы ответить на запрос на восстановление для отмены регистрации устройства Surface из SEMM, когда операция сброса пакета не выполнена успешно.

Скачать Конфигуратор UEFI Microsoft Surface

Вы можете скачать Конфигуратор Microsoft Surface UEFI на странице Средства Surface для ИТ в Центре загрузки Майкрософт.

Для устройств Intel/AMD скачайте: SurfaceUEFI_Configurator_v2.97.139.0_x64.msi
Для устройств ARM скачайте: SurfaceUEFI_Configurator_v2.97.139.0_x86.msi

Пакет конфигурации

Пакеты конфигурации Surface UEFI — это основной механизм реализации SEMM и управления ими на устройствах Surface. Эти пакеты содержат файл конфигурации и файл сертификата, как показано на рис. 2. Файл конфигурации содержит параметры UEFI, которые указываются при создании пакета в Конфигураторе UEFI Microsoft Surface. При первом запуске пакета конфигурации на устройстве Surface, которое еще не зарегистрировано в SEMM, он подготавливает файл сертификата в встроенном ПО устройства и регистрирует устройство в SEMM. При регистрации устройства в SEMM и перед сохранением сертификата и завершением регистрации вам будет предложено подтвердить операцию, указав последние две цифры отпечатка сертификата SEMM. Это подтверждение требует, чтобы пользователь физически присутствовал на устройстве во время регистрации, чтобы выполнить подтверждение.

Защитите пакет конфигурации SEMM с помощью сертификата.

Рисунок 2. Защита пакета конфигурации SEMM с помощью сертификата

Дополнительные сведения о требованиях к сертификату SEMM см. в разделе Требования к сертификату режима управления Surface Enterprise далее в этой статье.

Совет

Вы можете требовать пароль UEFI с ПОМОЩЬЮ SEMM. В этом случае пароль необходим для просмотра страниц Безопасность, Устройства, Конфигурация загрузки и Управление предприятием surface UEFI.

После регистрации устройства в SEMM считывается файл конфигурации, а параметры, указанные в файле, применяются к UEFI. При запуске пакета конфигурации на устройстве, которое уже зарегистрировано в SEMM, сигнатура файла конфигурации проверяется с сертификатом, хранящимся в встроенном ПО устройства. Если сигнатура не совпадает, к устройству не применяются никакие изменения.

Включение или отключение устройств в Surface UEFI с помощью SEMM

В следующем списке показаны все доступные устройства, которыми можно управлять в SEMM:

Док-порт USB
Встроенный звук
Модуль обработки цифровой графики
Обложка типа
Micro SD карта
Передняя камера
Задняя камера
Инфракрасная камера (для Windows Hello)
Только Bluetooth
Беспроводная сеть и Bluetooth
Долгосрочная эволюция (LTE)
Дискретный GPU (dGPU)
Встроенный микрофон
Эмуляция MAC-адресов
Проводная сеть
Связь ближнего действия (NFC)

Примечание.

На странице Устройства UEFI встроенные устройства могут отличаться в зависимости от устройства или корпоративной среды. Например, страница "Устройства UEFI" не поддерживается в Surface Pro X; LTE отображается только на устройствах с поддержкой LTE.

Настройка дополнительных параметров с помощью SEMM

Таблица 1: Advanced settings (Дополнительные параметры)

Параметр	Описание
IPv6 для загрузки PXE	Позволяет управлять поддержкой IPv6 для загрузки PXE. Если этот параметр не настроен, включена поддержка загрузки PXE по протоколу IPv6.
Альтернативная загрузка	Позволяет управлять использованием альтернативного заказа загрузки для загрузки непосредственно на USB-устройство или устройство Ethernet, нажав кнопку уменьшения громкости и кнопку питания во время загрузки. Если этот параметр не настроен, будет включена альтернативная загрузка.
Блокировка порядка загрузки	Позволяет заблокировать порядок загрузки, чтобы предотвратить изменения. Если этот параметр не настроен, блокировка порядка загрузки будет отключена.
USB-загрузка	Позволяет управлять загрузкой на USB-устройствах. Если этот параметр не настроен, включена usb-загрузка.
Сетевой стек	Позволяет управлять параметрами загрузки сетевого стека. Если этот параметр не настроен, будет включена возможность управления параметрами загрузки сетевого стека.
Автоматическое включение питания	Позволяет управлять параметрами автоматической загрузки power-on. Если вы не настроите этот параметр, включено автоматическое включение питания.
Одновременная многопотооковая (SMT)	Позволяет управлять одновременным многопотоком (SMT), чтобы включить или отключить гиперпоточность. Если этот параметр не настроен, SMT будет включен.
Включить ограничение заряда батареи	Позволяет управлять функциональными возможностями ограничения заряда батареи. Если этот параметр не настроен, включено ограничение заряда батареи.
Безопасность	Отображает страницу Безопасность Surface UEFI. Если этот параметр не настроен, отобразится страница Безопасность.
Устройства	Отображает страницу Устройства Surface UEFI. Если этот параметр не настроен, отобразится страница Устройства.
Загрузка	Отображает страницу загрузки Surface UEFI. Если этот параметр не настроен, отобразится страница загрузки.
DateTime	Отображает страницу UEFI даты и времени Surface. Если этот параметр не настроен, отобразится страница DateTime.
EnableOSMigration	Позволяет перенести Surface Hub 2S с Windows 10 для совместной работы на Windows 10/11 Pro или Enterprise. Если этот параметр не настроен, устройства Surface Hub 2S могут работать только с Windows 10 для совместной работы ОС. Примечание. Двойная загрузка между Windows 10 для совместной работы и Windows 10/11 Pro/Enterprise недоступна в Surface Hub 2S.
Защищенное ядро	Позволяет управлять функциональными возможностями secured Core. Если этот параметр не настроен, функция Secured Core будет включена на поддерживаемых устройствах.
Пробуждение по локальной сети	Позволяет управлять функциями пробуждения по локальной сети. Если этот параметр не настроен, пробуждение по локальной сети будет включено на поддерживаемых устройствах.
Wake-on-Power	Позволяет управлять функциями пробуждения на power. Если этот параметр не настроен, функция пробуждения на поддерживаемых устройствах будет отключена.

Совет

При создании пакета конфигурации SEMM на странице Успешно отображается два символа, как показано на рис. 3.

Отпечаток сертификата.

Рисунок 3. Отображение последних двух символов отпечатка сертификата на странице Успешно

Эти символы являются последними двумя символами отпечатка сертификата и должны быть записаны или записаны. Символы необходимы для подтверждения регистрации в SEMM на устройстве Surface, как показано на рис. 4.

Подтверждение регистрации в SEMM.

Рисунок 4. Подтверждение регистрации в SEMM с отпечатком сертификата SEMM

Совет

Администраторы, имеющие доступ к файлу сертификата (PFX), могут прочитать отпечаток в любое время, открыв PFX-файл в CertMgr. Чтобы просмотреть отпечаток с помощью CertMgr, выполните следующие действия:

Выберите И удерживайте (или щелкните правой кнопкой мыши) PFX-файл, а затем выберите Открыть.
В области навигации разверните папку.
Выберите Сертификаты.
В области main выберите и удерживайте (или щелкните правой кнопкой мыши) сертификат, а затем выберите Открыть.
Перейдите на вкладку Сведения .
В раскрывающемся меню Показать должен быть выбран параметр Все или Только свойства .
Выберите поле Отпечаток .

Чтобы зарегистрировать устройство Surface в SEMM или применить конфигурацию UEFI из пакета конфигурации, запустите файл .msi с правами администратора на предполагаемом устройстве Surface. Вы можете использовать технологии развертывания приложений или операционных систем, такие как Microsoft Endpoint Configuration Manager или Microsoft Deployment Toolkit. При регистрации устройства в SEMM необходимо физически присутствовать для подтверждения регистрации на устройстве. При применении конфигурации к устройствам, которые уже зарегистрированы в SEMM, взаимодействие с пользователем не требуется.

Пошаговые инструкции по регистрации устройства Surface в SEMM или применения конфигурации Surface UEFI с помощью SEMM см. в статье Регистрация и настройка устройств Surface с помощью SEMM.

Сброс пакета

Пакет сброса UEFI Surface используется для выполнения только одной задачи — отмены регистрации устройства Surface из SEMM. Пакет сброса содержит подписанные инструкции по удалению сертификата SEMM из встроенного ПО устройства и сбросу параметров UEFI до заводских настроек по умолчанию. Как и пакет конфигурации Surface UEFI, пакет сброса должен быть подписан с помощью того же сертификата SEMM, который подготовлен на устройстве Surface. При создании пакета сброса SEMM необходимо указать серийный номер устройства Surface, которое планируется сбросить. Пакеты сброса SEMM не являются универсальными — они относятся к одному устройству.

Запрос на восстановление

В некоторых сценариях использовать пакет сброса UEFI Surface может оказаться невозможным. (Например, если Windows становится непригодным для использования на устройстве Surface.) В этих сценариях можно отменить регистрацию устройства Surface из SEMM на странице Управление предприятием surface UEFI (показано на рис. 5) с помощью операции запроса на восстановление.

Инициируйте запрос на восстановление SEMM.

Рисунок 5. Запуск запроса на восстановление SEMM на странице "Управление предприятием"

При использовании процесса на странице Управление предприятием для сброса SEMM на устройстве Surface вам будет выдан запрос на сброс. Этот запрос на сброс можно сохранить в виде файла на USB-накопитель, скопировать в виде текста или прочитать в виде QR-кода на мобильном устройстве, чтобы его можно было легко отправлять по электронной почте или отправлять сообщения. Используйте параметр Microsoft Surface UEFI Configurator Reset Request , чтобы загрузить файл запроса на сброс или ввести текст запроса на сброс или QR-код. Конфигуратор Microsoft Surface UEFI создает код проверки, который можно ввести на устройстве Surface. Если ввести код на устройстве Surface и нажать кнопку Перезапустить, устройство будет отменено из SEMM.

Примечание.

Срок действия запроса на сброс истекает через два часа после создания.

Пошаговое руководство по отмене регистрации устройств Surface из SEMM см. в статье Отмена регистрации устройств Surface из SEMM.

Требования к сертификатам в режиме управления Surface Enterprise

Если вы используете SEMM с конфигуратором UEFI Microsoft Surface и хотите применить параметры UEFI, для проверки подписи файлов конфигурации требуется сертификат. Этот сертификат гарантирует, что после регистрации устройства в SEMM для изменения параметров UEFI можно использовать только пакеты, созданные с утвержденным сертификатом.

Примечание.

Чтобы внести какие-либо изменения в параметры SEMM или Surface UEFI на зарегистрированных устройствах Surface, требуется сертификат SEMM. Если сертификат SEMM поврежден или потерян, его невозможно удалить или сбросить. Соответствующим образом управляйте сертификатом SEMM с помощью соответствующего решения для резервного копирования и восстановления

Пакеты, созданные с помощью средства конфигуратора UEFI Microsoft Surface, подписываются сертификатом. Этот сертификат гарантирует, что после регистрации устройства в SEMM для изменения параметров UEFI можно использовать только пакеты, созданные с утвержденным сертификатом.

Самозаверяющий сертификат

Вы можете использовать следующий пример скрипта PowerShell для создания самозаверяющего сертификата для использования в сценариях подтверждения концепции. Чтобы использовать этот скрипт, скопируйте следующий текст в Блокнот, а затем сохраните файл в виде скрипта PowerShell (.ps1).

Примечание.

Этот скрипт создает сертификат с паролем 12345678. Сертификат, созданный этим скриптом, не рекомендуется использовать для рабочих сред.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Важно.

Для использования с SEMM и Конфигуратором UEFI Microsoft Surface сертификат должен быть экспортирован с закрытым ключом и защитой паролем. Конфигуратор UEFI Microsoft Surface предлагает выбрать файл сертификата SEMM (PFX) и пароль сертификата.

Чтобы создать самозаверяющий сертификат, выполните приведенные далее действия.

На диске C: создайте папку, в которой будет сохранен скрипт; например, C:\SEMM.
Скопируйте пример сценария в Блокнот (или эквивалентный текстовый редактор), а затем сохраните файл как скрипт PowerShell (.ps1).
Войдите на компьютер с учетными данными администратора, а затем откройте сеанс PowerShell с повышенными привилегиями.
Убедитесь, что для ваших разрешений задано разрешение на выполнение скриптов. По умолчанию выполнение скриптов блокируется, если вы не измените политику выполнения. Дополнительные сведения см. в разделе О политиках выполнения.
В командной строке введите полный путь к скрипту и нажмите клавишу ВВОД. Скрипт создает демонстрационный сертификат с именем TempOwner.pfx.

Кроме того, можно создать собственный самозаверяющий сертификат с помощью PowerShell. Дополнительные сведения см. в разделе New-SelfSignedCertificate.

Примечание.

Для организаций, использующих автономный корневой каталог в инфраструктуре PKI, конфигуратор UEFI Microsoft Surface должен выполняться в среде, подключенной к корневому ЦС, для проверки подлинности сертификата SEMM. Пакеты, созданные Конфигуратором UEFI Microsoft Surface, можно передавать в виде файлов, чтобы их можно было перенести за пределы автономной сетевой среды со съемным носителем, например USB-накопителем.

Часто задаваемые вопросы об управлении сертификатами

Рекомендуемая минимальная продолжительность составляет 15 месяцев. Вы можете использовать сертификат, срок действия которого истекает менее чем через 15 месяцев, или сертификат, срок действия которого истекает дольше 15 месяцев.

Примечание.

По истечении срока действия сертификата он не обновляется автоматически.

Повлияет ли срок действия сертификата на функциональность устройств, зарегистрированных в SEMM?

Нет, сертификат влияет только на задачи управления ИТ-администраторами в SEMM и не влияет на функциональность устройства по истечении срока действия.

Нужно ли обновлять пакет SEMM и сертификат на всех компьютерах, на которых они имеются?

Если вы хотите, чтобы сброс или восстановление SEMM работали, сертификат должен быть действительным, а не истек срок действия.

Можно ли создавать пакеты массового сброса для каждой упорядоченной поверхности? Можно ли сбросить все компьютеры в нашей среде?

Примеры PowerShell, которые создают пакет конфигурации для определенного типа устройства, также можно использовать для создания пакета сброса, который не зависит от серийного номера. Если сертификат по-прежнему действителен, можно создать пакет сброса с помощью PowerShell для сброса SEMM.