從 SEMM 取消 Surface 裝置的註冊

  • 發行項
  • 適用於:
    Windows 10, Windows 11

本文說明如何使用 Surface IT 工具組從 SEMM 取消註冊裝置。 當 Surface 裝置在 Surface Enterprise 管理模式中註冊 (SEMM) 時,憑證會儲存在該裝置的韌體中。 當裝置在 SEMM 中註冊時,該憑證和註冊會防止對 Surface Unified Extensible Firmware Interface (UEFI) 設定或選項進行任何未經授權的變更。 若要將 Surface UEFI 設定的控制權還原給使用者,必須從 SEMM 取消註冊 Surface 裝置,此程式有時會描述為重設或復原。

警告

若要從 SEMM 取消註冊裝置,並還原 Surface UEFI 設定的使用者控制,您必須擁有 SEMM 憑證,該憑證是用來在 SEMM 中註冊裝置。 如果此憑證遺失或損毀,就無法從 SEMM 取消註冊。 據此備份並保護您的 SEMM 憑證。

如需 SEMM 的詳細資訊,請參閱 Microsoft Surface Enterprise 管理模式

使用 Surface UEFI 重設套件從 SEMM 取消註冊 Surface 裝置

Surface UEFI 重設套件是您用來從 SEMM 取消註冊 Surface 裝置的主要方法。 如同 Surface UEFI 組態套件,重設套件是 Windows Installer (.msi) 檔案,可在裝置上設定 SEMM。 不同於設定套件,重設套件會將 Surface 裝置上的 Surface UEFI 設定重設為其預設設定、移除 SEMM 憑證,以及從 SEMM 取消註冊裝置。

Surface IT 工具組會產生通用重設套件,套用至 Surface Go 2 以外的所有支援裝置。

針對 Surface Go 2:若要開始建立重設套件的程式,您需要要取消註冊的裝置序號,以及用來註冊裝置的 SEMM 憑證。 您可以在 Surface UEFI 的 [計算機資訊 ] 頁面上找到 Surface 裝置的序號,如下圖所示。 即使 Surface UEFI 受到密碼保護,而且輸入的密碼不正確,也會顯示此頁面。

顯示 Surface 裝置的序號。

注意

若要開機到 Surface UEFI,請在裝置關閉時同時按 [磁碟區 向上 ] 和 [ 電源 ]。 將 磁碟區保持向上 ,直到顯示 Surface 標誌且裝置開始開機為止。

使用復原要求從 SEMM 取消註冊 Surface 裝置

在某些情況下,Surface UEFI 重設套件可能不是從 SEMM 取消註冊 Surface 裝置的可行選項 (例如,如果 Windows 無法使用) 。 在這些案例中,您可以使用從 Surface UEFI 內產生的復原要求來取消註冊裝置。 即使在您沒有 Surface UEFI 密碼的裝置上,也可以起始復原要求程式。

復原要求程式是從 Surface 裝置上的 Surface UEFI 起始、在另一部電腦上使用 Surface UEFI 設定器 核准,然後在 Surface UEFI 中完成。 如同重設套件,使用 UEFI 設定器核准復原要求需要存取用來註冊 Surface 裝置的 SEMM 憑證。

若要起始復原要求,請遵循下列步驟:

  1. 將要從 SEMM 取消註冊的 Surface 裝置開機至 Surface UEFI。

  2. 如果系統提示您這麼做,請輸入 Surface UEFI 密碼。

  3. 選取 [ 管理] 頁面。 您可能需要選取 [ 設定 ] 以顯示 SEMM 和重設資訊,如下圖所示。

    企業管理頁面。

  4. 取 [開始使用]

  5. 取 [下一步 ] 以開始復原要求程式。

    注意

    復原要求會在建立后兩小時到期。 如果此時未完成復原要求,您必須重新啟動復原要求程式。

  6. 從 [選擇 SEMM 重設密鑰] 頁面上顯示的憑證清單中選取 [SEMM 憑證],然後選取 [下一步]

    為您的復原要求選取 [SEMM 憑證]。

  7. [輸入 SEMM 重設驗證碼 ] 頁面上,您可以選取 [QR 代碼 ] 或 [ 文字 ] 按鈕來顯示復原要求 (重設要求) 或 USB 按鈕,以將復原要求 (重設要求) 儲存為 USB 磁碟驅動器的檔案。

    顯示為 QR 代碼的復原要求。

    將復原要求儲存至 USB 磁碟驅動器。

    • 若要使用 QR 代碼復原要求 (重設要求) ,請使用行動裝置上的 QR 讀取器應用程式來讀取程式代碼。 QR 讀取器應用程式會將 QR 代碼轉譯成英數位元字串。 接著,您可以使用 UEFI Configurator,將該字串的電子郵件或訊息傳送給產生重設驗證碼的系統管理員。
    • 若要使用復原要求 (重設要求) 儲存至 USB 磁碟驅動器作為檔案,請使用 USB 磁碟驅動器將檔案傳輸到系統管理計算機,其中將使用 UEFI 設定器來產生重設驗證碼。 檔案也可以從另一部裝置上的USB磁碟驅動器複製,以透過網路傳送電子郵件或傳輸。
    • 若要使用復原要求 (將要求重設為文字) ,請直接在 UEFI 設定器中輸入文字。

若要建立 Surface UEFI 重設要求:

  1. 開啟 Surface IT 工具組 ,然後移至 [UEFI 設定程式] 區 段。

  2. 選取 [復原要求 ],從 SEMM (Surface Enterprise 管理模式) 起始 Surface 裝置的取消註冊程式。

    顯示復原要求開始時間的螢幕快照。

  3. 在 [ 憑證保護] 區段中,選取 [ 憑證檔案 ] 並輸入相關聯的 憑證密碼,以匯入組織的私密簽署密鑰。 此憑證應符合套用至要求裝置的憑證。

    顯示憑證匯入的螢幕快照。

  4. 取 [下一步 ] 以繼續進行 [ 新增使用者提供的重設要求 ] 區段。

  5. 匯入或輸入 重設要求 代碼。 這可以直接匯入檔案或手動輸入程式代碼來完成,用戶的裝置會在 UEFI 內產生此程式代碼。 復原要求的螢幕快照。

  6. 匯入或輸入程式代碼之後,請選取 [下一步 ] 以產生 [重設驗證碼]

  7. 將產生的 重設驗證碼 提供給使用者,以完成其裝置上的復原程式。 驗證碼會區分時間,且應在2小時內使用,使其有效。

  8. 取 [完成 ] 以完成復原要求程式。

    顯示復原要求完成的螢幕快照。

  9. 指示使用者在 Surface 裝置上提供的欄位中輸入重設驗證碼,然後選取 [ 驗證 ] 以重設裝置,然後從 SEMM 取消註冊裝置。

  10. [SEMM 重設成功] 頁面上選取 [立即重新啟動],以完成從 SEMM 取消註冊,如下圖所示。

    從 SEMM 成功取消註冊的範例顯示。

深入了解