使用 SEMM 注册并配置 Surface 设备

  • 项目
  • 适用于:
    Windows 10, Windows 11

借助 Microsoft Surface Enterprise Management Mode (SEMM) ,你可以在 Surface 设备上安全地配置 Surface UEFI 的设置,并在组织中的 Surface 设备上管理这些设置。 当 Surface 设备由 SEMM 管理时,该设备被视为 已注册 (有时称为激活) 。 本文介绍如何创建 Surface UEFI 配置包来控制 Surface UEFI 的设置并在 SEMM 中注册 Surface 设备。

有关 SEMM 的更高级概述,请参阅 Microsoft Surface Enterprise Management Mode

作为 SEMM 的替代方法,较新的 Surface 设备支持通过Microsoft Intune远程管理固件设置的子集。 有关详细信息,请参阅 Surface UEFI 设置Intune管理

注意

仅通过 UEFI 管理器在 Surface Pro X 上支持 SEMM。 有关详细信息,请参阅部署、管理和维护 X Surface Pro

下载并安装 Microsoft Surface UEFI 配置器

用于创建 SEMM 包的工具是 Microsoft Surface UEFI 配置器。 可以从 Microsoft 下载中心的 Surface IT 工具 页面下载 Microsoft Surface UEFI 配置器。 若要安装,请运行 Microsoft Surface UEFI 配置器 Windows 安装程序 (.msi) 文件。 安装程序完成后,请在“开始”菜单的“所有应用”部分找到 Microsoft Surface UEFI 配置器。

注意

Microsoft Surface UEFI 配置器仅在Windows 10和Windows 11上受支持。

创建 Surface UEFI 配置包

Surface UEFI 配置包既执行将 Surface UEFI 设置的新配置应用于使用 SEMM 管理的 Surface 设备的角色,也执行在 SEMM 中注册 Surface 设备的角色。 创建配置包需要具有与 SEMM 一起使用的签名证书,以保护每个 Surface 设备上的 UEFI 设置配置。 有关 SEMM 证书要求的详细信息,请参阅 Microsoft Surface Enterprise Management Mode

若要创建 Surface UEFI 配置包,请执行以下步骤:

  1. 从“开始”菜单打开 Microsoft Surface UEFI 配置器。

  2. 选择开始

  3. 选择 “配置包”,如图 1 所示。

    为 SEMM 注册创建包。

    图 1. 选择“配置包”,为 SEMM 注册和配置创建包

  4. 选择“ 证书保护 ”以使用私钥 (.pfx) 添加导出的证书文件,如图 2 所示。 浏览到证书文件的位置,选择该文件,然后选择 “确定”。

    将 SEM 证书和 Surface UEFI 密码添加到配置包。

    图 2. 将 SEMM 证书和 Surface UEFI 密码添加到 Surface UEFI 配置包

  5. 当系统提示确认证书密码时,输入并确认证书文件的密码,然后选择“ 确定”。

  6. 选择“ 密码保护 ”,将密码添加到 Surface UEFI。 每当启动到 UEFI 时,都需要此密码。 如果未输入此密码,则仅显示电脑信息“关于”、“企业管理”和“退出”页。 此步骤可选。

  7. 出现提示时,输入并确认你为 Surface UEFI 选择的密码,然后选择“ 确定”。 如果要清除现有的 Surface UEFI 密码,请将密码字段留空。

  8. 如果不希望 Surface UEFI 包应用于特定设备,请在 “选择要面向的 Surface 类型 ”页上,选择相应设备下方的滑块,使其处于 “关闭 ”位置,如图 3 所示。

    提示

    必须选择设备,因为默认情况下未选择任何设备。

    选择用于包兼容性的设备,并滚动到右侧查看所有可用设备

    选择设备实现包兼容性。

    图 3. 为包兼容性选择设备

  9. 选择下一步

  10. 如果要停用受管理的 Surface 设备上的组件,请在 “选择要激活或停用的组件 ”页上,选择要停用的任何设备或设备组旁边的滑块,以便滑块处于 “关闭 ”位置。 (如图 4.) 每个设备的默认配置都为 “开”。 选择“ 重置 ”按钮,将所有滑块返回到默认位置。

    禁用或启用 Surface 组件。

    图 4. 禁用或启用单个 Surface 组件

  11. 选择下一步

  12. 若要启用或禁用 Surface UEFI 中的高级选项或 Surface UEFI 页面的显示,请在 “为设备选择高级设置” 页上,选择所需设置旁边的滑块,将该选项配置为 “打开 ”或“ 关闭 ” (如图 5) 所示。 在 “UEFI Front Page ”部分中,可以使用“ 安全性”、“ 设备”“启动” 滑块来控制启动到 Surface UEFI 的用户可以使用哪些页面。 (有关 Surface UEFI 设置的详细信息,请参阅 管理 Surface UEFI 设置。) 完成后,选择“ 生成”。

    控制高级 Surface UEFI 设置和 Surface UEFI 页面。

    图 5. 使用 SEMM 控制高级 Surface UEFI 设置和 Surface UEFI 页面

  13. 在“ 另存为 ”对话框中,指定 Surface UEFI 配置包名称,浏览到要保存文件的位置,然后选择“ 保存”。

  14. 创建并保存包后,将显示“ 成功 ”页。

    注意

    记录此页上显示的证书指纹字符,如图 6 所示。 你将需要这些字符来确认在 SEMM 中注册新的 Surface 设备。 单击“ 结束 ”以完成包创建并关闭 Microsoft Surface UEFI 配置器。

    证书指纹字符的显示。

    图 6. 证书指纹的最后两个字符显示在“成功”页上

创建 Surface UEFI 配置包后,可以注册或配置 Surface 设备。

提示

创建 Surface UEFI 配置包后,桌面上会显示一个日志文件,其中包含配置包设置和选项的详细信息。

在 SEMM 中注册 Surface 设备

执行 Surface UEFI 配置包时,SEMM 证书和 Surface UEFI 配置文件将暂存到 Surface 设备的固件存储中。 当 Surface 设备重新启动时,Surface UEFI 会处理这些文件,并开始应用 Surface UEFI 配置或在 SEMM 中注册 Surface 设备的过程,如图 7 所示。

用于配置 Surface UEFI 或注册的 SEMM 过程。

图 7. 配置 Surface UEFI 或注册 Surface 设备的 SEMM 过程

在 SEMM 中注册 Surface 设备之前,请确保手头有证书指纹的最后两个字符。 需要这些字符来确认设备的注册 (请参阅图 6) 。

若要使用 Surface UEFI 配置包在 SEMM 中注册 Surface 设备,请执行以下步骤:

  1. 在想要在 SEMM 中注册的 Surface 设备上运行 Surface UEFI 配置包 .msi 文件。 这会在设备的固件中预配 Surface UEFI 配置文件。

  2. 选择“我接受许可协议检查”框中的条款以接受最终用户许可协议 (EULA) ,然后选择“安装”以开始安装过程。

  3. 选择“ 完成 ”以完成 Surface UEFI 配置包安装,并在系统提示时重启 Surface 设备。

  4. Surface UEFI 加载配置文件,并确定设备上未启用 SEMM。 Surface UEFI 开始 SEMM 注册过程,如下所示:

    • Surface UEFI 验证 SEMM 配置文件是否包含 SEMM 证书。

    • Surface UEFI 会提示输入证书指纹的最后两个字符,以确认在 SEMM 中注册 Surface 设备,如图 8 所示。

      SEMM 注册需要证书指纹的最后两个字符。

      图 8. SEMM 注册需要证书指纹的最后两个字符。

    • Surface UEFI 将 SEMM 证书存储在固件中,并应用 Surface UEFI 配置文件中指定的配置设置。

  5. Surface 设备现已在 SEMM 中注册。

可以通过在程序和功能 ((如图 9) 所示)或存储在 Microsoft Surface UEFI 配置器日志中的事件(如图 10) 所示)中查找 Microsoft Surface 配置包,验证 Surface 设备是否已成功注册 事件查看器 (到 SEMM 中。

在“程序和功能”的 SEMM 中验证 Surface 设备的注册。

图 9. 在“程序和功能”的 SEMM 中验证 Surface 设备的注册。

在 事件查看器 的 SEMM 中验证 Surface 设备的注册。

图 10. 在 事件查看器 的 SEMM 中验证 Surface 设备的注册。

还可以验证设备是否已在 Surface UEFI 中的 SEMM 中注册 - 注册设备时,Surface UEFI 包含 企业管理 页面 (,如图 11) 所示。

Surface UEFI Enterprise 管理页。

图 11. Surface UEFI 企业版管理页

使用 SEMM 配置 Surface UEFI 设置

在 SEMM 中注册设备后,可以运行使用相同的 SEMM 证书签名的 Surface UEFI 配置包来应用新的 Surface UEFI 设置。 这些设置会在设备下次启动时自动应用,无需用户进行任何交互。 可以使用 Microsoft Endpoint Configuration Manager 等应用程序部署解决方案将 Surface UEFI 配置包部署到 Surface 设备,以更改或管理 Surface UEFI 中的设置。

有关如何使用 Configuration Manager 部署 Windows Installer (.msi) 文件的详细信息,请参阅使用 Microsoft Endpoint Configuration Manager部署和管理应用程序

假设你使用密码保护 Surface UEFI。 在这种情况下,没有密码的用户尝试启动到 Surface UEFI 只会显示电脑信息“关于”、“企业管理”和“退出”页面。

如果尚未使用密码保护 Surface UEFI,或者用户正确输入密码,则使用 SEMM 配置的设置将灰显 (不可用,) 指示 某些设置由组织管理,如图 12 所示。

SEMM 管理的设置在 Surface UEFI 中处于禁用状态。

图 12. SEMM 管理的设置将在 Surface UEFI 中禁用。