Proteggere e gestire Surface Hub con SEMM

  • Articolo
  • Si applica a:
    Surface Hub 2S, Surface Hub 3

Usa la modalità di gestione Microsoft Surface Enterprise (SEMM) per gestire le impostazioni UEFI (Unified Extensible Firmware Interface) in uno o più dispositivi Surface Hub.

Gestire i componenti

SEMM consente di controllare vari componenti hardware in Surface Hub, tra cui:

  • Audio di bordo
  • LAN cablata
  • Bluetooth
  • Wi-Fi
  • Sensore di presenza

Impostazioni avanzate

Con Surface UEFI Configurator, incluso in Surface IT Toolkit, è possibile abilitare o disabilitare le impostazioni UEFI seguenti:

Sicurezza

  • SMT (multithreading simultaneo)

Avvio

  • Avvio di IPv6 per PXE
  • Avvio alternativo
  • Blocco ordine di avvio
  • Avvio da USB

Pagina iniziale UEFI

  • Dispositivi
  • Avvio
  • Data/ora
  • EnableOSMigration (solo Surface Hub 2S)

Password UEFI

UEFI è un'interfaccia firmware avanzata che sostituisce il BIOS tradizionale, offrendo maggiore sicurezza, tempi di avvio più rapidi e supporto per l'hardware moderno. L'impostazione di una password UEFI aggiunge un ulteriore livello di protezione impedendo modifiche non autorizzate alle impostazioni del firmware. Assicurarsi di impostare una password complessa e archiviarla in modo sicuro.

Suggerimento

Per altre informazioni sulle implicazioni per la sicurezza della configurazione delle impostazioni SEMM, vedere Gestire le impostazioni UEFI con SEMM e SEMM UEFI.

Scaricare i driver e il firmware di Surface IT Toolkit e Surface Hub 2S

In un PC separato seguire questa procedura:

  1. Scaricare Surface IT Toolkit, che include Surface UEFI Configurator.
  2. Seguire le istruzioni di installazione in Introduzione a Surface IT Toolkit.

Preparare il certificato SEMM

Prima di usare UEFI Configurator per la prima volta, è necessario preparare un certificato per proteggere il pacchetto SEMM:

  • Grandi aziende: generare certificati usando l'infrastruttura di sicurezza dell'organizzazione.
  • Aziende di medie dimensioni: valutare la possibilità di ottenere certificati da provider partner attendibili, soprattutto se mancano risorse di sicurezza IT dedicate.
  • Certificati autofirmati: per le configurazioni più piccole, è possibile generare un certificato autofirmati usando PowerShell. Per informazioni dettagliate, vedere la guida al certificato autofirma e i requisiti del certificato della modalità di gestione Surface Enterprise.

Warning

Per annullare la registrazione di un dispositivo da SEMM e ripristinare il controllo sulle impostazioni UEFI, è necessario usare il certificato SEMM per registrare il dispositivo. Se il certificato viene perso o danneggiato, la registrazione non sarà possibile. Assicurarsi di eseguire il backup e proteggere il certificato SEMM.

Creare un pacchetto SEMM

Per creare un pacchetto SEMM per Surface Hub, seguire questa procedura usando Surface IT Toolkit in un PC separato:

  1. Aprire Surface IT Toolkit, selezionare UEFI Configurator e quindi scegliere Configura dispositivi.

    Screenshot della schermata iniziale di Surface UEFI Configurator.

  2. Nella pagina Configurazione e certificazione del dispositivo configurare gli elementi seguenti e quindi selezionare Avanti:

    • Scegliere Compilazione distribuzione: selezionare DFI.
    • Importa protezione certificato: selezionare Aggiungi, cercare il certificato (file con estensione pfx) e immettere la password associata.
    • Scegliere Tipo di pacchetto DFI: selezionare Pacchetto di configurazione.
    • Selezionare Dispositivo: scegliere Surface Hub e quindi Surface Hub 2S o Surface Hub 3.

    Screenshot della configurazione e della certificazione del dispositivo.

  3. Passare alla pagina Impostazioni configurazione dispositivo:

    Screenshot che mostra i componenti e le impostazioni avanzate da attivare o disattivare.

    • In Password UEFI selezionare Imposta o Modifica password, quindi immettere e confermare la password.

    Screenshot dell'impostazione della password UEFI per Surface Hub.

  4. Inserire un'unità USB nel PC. L'unità verrà formattata e tutti i file su di essa verranno cancellati. Selezionare Crea per compilare il pacchetto SEMM.

  5. Al termine, prendere nota degli ultimi due caratteri dell'identificazione personale del certificato e quindi selezionare Fine. Il pacchetto SEMM, denominato DfciUpdate.dfi, è ora pronto per l'uso.

    Screenshot che mostra la corretta creazione del pacchetto SEMM per Surface Hub 2S.

Applicare il pacchetto SEMM a Surface Hub 2S o Surface Hub 3

Per applicare il pacchetto SEMM e registrare Surface Hub in SEMM:

  1. Inserire l'unità USB con il pacchetto SEMM nella porta USB-A in Surface Hub.
  2. Disattivare Surface Hub.
  3. Premere e tenere premuto il pulsante Volume su , quindi premere il pulsante Di alimentazione . Tenere premuto Volume fino a quando non viene visualizzato il menu UEFI.

Scopri di più