開始使用 Surface Enterprise 管理模式 (SEMM)

  • 文章
  • 適用於:
    Windows 10, Windows 11

Microsoft Surface Enterprise 管理模式 (SEMM) 是 Surface 裝置的功能,具有 Surface Unified Extensible Firmware Interface (UEFI) 。 您可以使用 SEMM 來:

  • 保護及管理組織中的韌體設定。
  • 準備 UEFI 設定,並將其安裝在 Surface 裝置上。

SEMM也會使用憑證來保護設定,避免未經授權的竄改或移除。

將 Surface 裝置註冊到 SEMM

本文說明如何建立 Surface UEFI 設定套件,以在韌體層級啟用或停用硬體元件,並在 SEMM 中註冊 Surface 裝置。 當 Surface 裝置由 SEMM 設定並使用 SEMM 憑證保護時,系統會將它們視為已在 SEMM 中 註冊 。 拿掉 SEMM 憑證,並將 UEFI 設定的控制權傳回給裝置的使用者時,Surface 裝置會被視為在 SEMM 中 取消註冊

您也可以使用 Microsoft 端點 Configuration Manager 使用 SEMM 管理裝置

除了 SEMM,較新的 Surface 裝置支援透過 Microsoft Intune 從遠端管理韌體設定子集。 如需詳細資訊,請 參閱管理 Surface 裝置上的 DFCI

支援的裝置

SEMM 僅適用於具有 Surface UEFI 韌體的裝置,包括:

  • Surface Book (所有世代)
  • 僅限 Surface Go 4 (商業 SKU)
  • 僅限 Surface Go 3 (商業 SKU)
  • Surface Go 2 (所有 SKU)
  • Surface Go (所有 SKU)
  • Surface Hub 2S
  • 僅限 Surface Laptop 6 (商業 SKU)
  • 僅限 Surface Laptop 5 (商業 SKU)
  • 僅限 Surface Laptop 4 (商業 SKU)
  • Surface Laptop 3 (Intel 處理器僅)
  • Surface Laptop 2 (所有 SKU)
  • Surface Laptop (所有 SKU)
  • 僅限 Surface Laptop Go 3 (商業 SKU)
  • 僅限 Surface Laptop Go 2 (商業 SKU)
  • Surface Laptop Go (所有 SKU)
  • Surface Laptop SE (所有 SKU)
  • 僅限 Surface Laptop Studio 2 (商業 SKU)
  • 僅限 Surface Laptop Studio (商業 SKU)
  • 僅 Surface Pro 10 個 (商業 SKU)
  • 僅 Surface Pro 9 個 (商業 SKU)
  • 只有 5G (商業 SKU Surface Pro 9)
  • 僅 Surface Pro 8 個 (商業 SKU)
  • 僅 Surface Pro 7 個以上 (個商業 SKU)
  • Surface Pro 7 (所有 SKU)
  • Surface Pro 6 (所有 SKU)
  • Surface Pro 第 5 代 (所有 SKU)
  • Surface Pro 4 (所有 SKU)
  • Surface Pro X (所有 SKU)
  • 僅 Surface Studio 2 個以上 (個商業 SKU)
  • Surface Studio 2 (所有 SKU)
  • Surface Studio (所有 SKU)

提示

商業 SKU (也稱為 Surface 商務版) 執行 Windows 10 專業版/Enterprise 或 Windows 11 專業版/Enterprise;取用者 SKU 執行 Windows 10/Windows 11 家用版。 若要深入瞭解, 請參閱檢視您的系統資訊

Surface UEFI 設定程式

SEMM 的主要工作區是 Surface IT 工具組,其中包含新的 Surface UEFI 設定器

組態套件

Surface UEFI 設定套件是實作和管理 Surface 裝置上 SEMM 的主要機制。 這些套件包含組態檔和憑證檔案,如圖 2 所示。 組態檔包含在 Microsoft Surface UEFI Configurator 中建立套件時所指定的 UEFI 設定。 當組態套件第一次在尚未在 SEMM 中註冊的 Surface 裝置上執行時,它會在裝置的韌體中布建憑證檔案,並在 SEMM 中註冊裝置。 在 SEMM 中註冊裝置時,以及在憑證儲存並註冊完成之前,系統會提示您提供 SEMM 憑證指紋的最後兩位數來確認作業。 這項確認需要用戶在註冊期間實際出現在裝置上,才能執行確認。

如需 SEMM 憑證需求的詳細資訊,請參閱本文稍後的 Surface Enterprise 管理模式憑證需求 一節。

使用 Surface UEFI 設定器來建立

類別 描述 深入了解
MSI 套件 將 Surface 裝置註冊 到 SEMM,並管理已註冊裝置的 UEFI 韌體設定。
將 Surface 擴充座註冊 到 SEMM,並管理已註冊之擴充座的 UEFI 韌體設定。		 設定 Surface 裝置的 UEFI 設定
設定 Surface 擴充座的 UEFI 設定
WinPE 映像 使用 WinPE 映射在 Surface 裝置上註冊、設定及取消註冊 SEMM。
DFI 套件 Create DFI 套件將 Surface Hub 裝置註冊到 SEMM,並管理已註冊 Surface Hub 裝置的 UEFI 韌體設定。

提示

您可以選擇使用 SEMM 要求 UEFI 密碼。 如果您這樣做,則需要密碼才能檢視 Surface UEFI 的安全性、 裝置開機設定和企業 管理 頁面。

在 SEMM 中註冊裝置之後,會讀取組態檔,並將檔案中指定的設定套用至 UEFI。 當您在已在 SEMM 中註冊的裝置上執行組態套件時,會根據儲存在裝置韌體中的憑證檢查組態檔的簽章。 如果簽章不相符,則不會對裝置套用任何變更。

提示

具有憑證檔案 (.pfx) 存取權的系統管理員隨時都可以在 CertMgr 中開啟 .pfx 檔案來讀取指紋。 若要使用 CertMgr 檢視指紋:

  1. 選取並按住 (,或以滑鼠右鍵按兩下 .pfx 檔案) ,然後選取 [ 開啟]
  2. 在瀏覽窗格中,展開資料夾。
  3. 取 [憑證]
  4. 在主窗格中,選取並按住 (,或以滑鼠右鍵按兩下) 您的憑證,然後選取 [ 開啟]
  5. 選取 [ 詳細數據] 索 引標籤。
  6. 在 [ 顯示 ] 下拉功能表中,必須選取 [ 全部 ] 或 [ 僅限屬性 ]。
  7. 選取 [ 指紋] 欄位。

若要在 SEMM 中註冊 Surface 裝置,或從組態套件套用 UEFI 組態,請在預定的 Surface 裝置上以系統管理許可權執行 .msi 檔案。 您可以使用應用程式部署或操作系統部署技術,例如 Microsoft 端點 Configuration ManagerMicrosoft Deployment Toolkit。 當您在 SEMM 中註冊裝置時,您必須實際存在,才能確認裝置上的註冊。 當您將設定套用至已在 SEMM 中註冊的裝置時,不需要用戶互動。

復原要求

您可以透過 Surface IT 工具組中的 復原要求 功能,從 SEMM 取消註冊 Surface 裝置。

SEMM 憑證需求

當您搭配 Microsoft Surface UEFI Configurator 使用 SEMM 並想要套用 UEFI 設定時,需要憑證才能驗證組態檔的簽章。 此憑證可確保裝置在 SEMM 中註冊之後,只能使用使用核准憑證建立的套件來修改 UEFI 設定。

注意

若要對已註冊 Surface 裝置上的 SEMM 或 Surface UEFI 設定進行任何修改,需要 SEMM 憑證。 如果 SEMM 憑證損毀或遺失,則無法移除或重設 SEMM。 使用適當的備份和復原解決方案,據以管理您的 SEMM 憑證

使用 Microsoft Surface UEFI Configurator 工具建立的套件會使用憑證簽署。 此憑證可確保在 SEMM 中註冊裝置之後,只有使用核准憑證建立的套件可以用來修改 UEFI 的設定。

針對 SEMM 憑證建議使用下列設定:

  • 密鑰演演算法 – RSA
  • 金鑰長度 – 2048
  • 哈希演算法 – SHA-256
  • 類型 – SSL Server 驗證
  • 金鑰使用方式 – 數位簽名、金鑰加密
  • 提供者 – Microsoft 增強型 RSA 和 AES 密碼編譯提供者
  • 到期日 – 憑證建立后 15 個月
  • 金鑰導出原則 – 可匯出

此外,也建議在兩層式公鑰基礎結構中驗證 SEMM 憑證, (PKI) 架構,其中中繼證書頒發機構單位 (CA) 專用於 SEMM,以啟用證書吊銷。 如需兩層式 PKI 設定的詳細資訊,請 參閱測試實驗室指南:部署 AD CS Two-Tier PKI 階層

自我簽署憑證

您可以使用下列範例 PowerShell 腳本來建立自我簽署憑證,以用於概念證明案例。 若要使用此腳本,請將下列文字複製到記事本,然後將檔案儲存為 PowerShell 腳本 (.ps1) 。

注意

此腳本會建立密碼為的 12345678憑證。 不建議針對生產環境使用此腳本所產生的憑證。

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

重要

若要搭配 SEMM 和 Microsoft Surface UEFI Configurator 使用,必須使用私鑰和密碼保護來導出憑證。 Microsoft Surface UEFI 設定程式會提示您選取 SEMM 憑證檔案 (.pfx) 和憑證密碼。

若要建立自我簽署憑證:

  1. 在 C: 磁碟驅動器上,建立您要儲存腳本的資料夾;例如 C:\SEMM。
  2. 將範例腳本複製到記事本 (或對等文本編輯器) ,然後將檔案儲存為 PowerShell 腳本 (.ps1) 。
  3. 使用系統管理員認證登入您的計算機,然後開啟提升許可權的PowerShell工作階段。
  4. 請確定您的許可權已設定為允許文稿執行。 根據預設,除非您修改執行原則,否則腳本會遭到封鎖而無法執行。 若要深入瞭解,請 參閱關於執行原則
  5. 在命令提示字元中,輸入腳本的完整路徑,然後按 Enter。 腳本會建立名為TempOwner.pfx的示範憑證。

或者,您可以使用 PowerShell 建立自己的自我簽署憑證。 如需詳細資訊,請 參閱 New-SelfSignedCertificate

注意

對於在其 PKI 基礎結構中使用離線根目錄的組織,必須在連線到根 CA 的環境中執行 Microsoft Surface UEFI 設定程式,才能驗證 SEMM 憑證。 Microsoft Surface UEFI Configurator 所產生的套件可以當做檔案傳輸,因此可以使用抽取式記憶體在離線網路環境外傳輸,例如 USB 遊戲桿。

管理憑證常見問題

建議 的最小 長度為 15 個月。 您可以使用在15個月內過期的憑證,或使用過期超過15個月的憑證。

注意

當憑證過期時,它不會自動更新。

過期的憑證是否會影響 SEMM 註冊裝置的功能?

否,憑證只會影響 SEMM 中的 IT 系統管理員管理工作,而且在裝置功能到期時不會有任何影響。

SEMM 套件和憑證是否需要在擁有 SEMM 套件的所有電腦上更新?

如果您想要讓 SEMM 重設或復原運作,憑證必須有效且未過期。

是否可以針對我們訂購的每個介面建立大量重設套件? 可以建置一個可重設環境中所有機器的機器嗎?

針對特定裝置類型建立元件的PowerShell範例,也可以用來建立與序號無關的重設套件。 如果憑證仍然有效,您可以使用PowerShell來建立重設套件來重設SEMM。