surface Enterprise Management Mode (SEMM) 入门

  • 项目
  • 适用于:
    Windows 10, Windows 11

Microsoft Surface企业管理模式 (SEMM) 是 Surface 设备的一项功能,具有 Surface 统一可扩展固件接口 (UEFI) 。 可以使用 SEMM 来:

  • 保护和管理组织中的固件设置。
  • 准备 UEFI 设置配置并将其安装在 Surface 设备上。

SEMM 还使用证书来保护配置免受未经授权的篡改或删除。

将 Surface 设备注册到 SEMM

本文介绍如何创建 Surface UEFI 配置包以在固件级别启用或禁用硬件组件,以及如何在 SEMM 中注册 Surface 设备。 当 Surface 设备由 SEMM 配置并使用 SEMM 证书进行保护时,它们被视为在 SEMM 中 注册 。 当删除 SEMM 证书并将 UEFI 设置的控制返回到设备的用户时,Surface 设备将被视为在 SEMM 中 未注册

还可以使用 Microsoft Endpoint Configuration Manager 通过 SEMM 管理设备

作为 SEMM 的替代方法,较新的 Surface 设备支持通过Microsoft Intune远程管理固件设置的子集。 有关详细信息,请参阅 管理 Surface 设备上的 DFCI

支持的设备

SEMM 仅适用于具有 Surface UEFI 固件的设备,包括:

  • Surface Book (所有) 代
  • Surface Go 4 (商业 SKU 仅)
  • Surface Go 3 (商业 SKU 仅)
  • Surface Go 2 (所有 SKU)
  • Surface Go (所有 SKU)
  • Surface Hub 2S
  • Surface Laptop (第 7 版仅) (商业 SKU)
  • Surface Laptop仅) 6 (商业 SKU
  • Surface Laptop仅) 5 (个商业 SKU
  • Surface Laptop仅) 4 (商业 SKU
  • 仅) Surface Laptop 3 (Intel 处理器
  • Surface Laptop 2 (所有 SKU)
  • Surface Laptop (所有 SKU)
  • Surface Laptop Go 3 (商业 SKU 仅)
  • Surface Laptop Go 2 (商业 SKU 仅)
  • Surface Laptop Go (所有 SKU)
  • Surface Laptop SE (所有 SKU)
  • Surface Laptop Studio 2 仅) (商业 SKU
  • Surface Laptop Studio 仅) (商业 SKU
  • Surface Pro (第 11 版) (仅) 商业 SKU
  • Surface Pro仅) 10 (商业 SKU
  • Surface Pro仅) 9 (个商业 SKU
  • Surface Pro 9,5G (商业 SKU 仅)
  • Surface Pro仅) 8 (商业 SKU
  • Surface Pro 7 个以上 (个商业 SKU,仅)
  • Surface Pro 7 (所有 SKU)
  • Surface Pro 6 (所有 SKU)
  • Surface Pro第 5 代 (所有 SKU)
  • Surface Pro 4 (所有 SKU)
  • Surface Pro X (所有 SKU)
  • Surface Studio 2 个以上 (个商业 SKU,仅)
  • Surface Studio 2 (所有 SKU)
  • Surface Studio (所有 SKU)

提示

商业 SKU (又名Surface 商用版) 运行 Windows 10 专业版/Enterprise 或 Windows 11 专业版/Enterprise;使用者 SKU 运行 Windows 10/Windows 11 家庭版。 若要了解详细信息,请参阅 查看系统信息

Surface UEFI 配置器

SEMM 的主要工作区是 Surface IT Toolkit,其中包含新的 Surface UEFI 配置器

配置包

Surface UEFI 配置包是在 Surface 设备上实现和管理 SEMM 的主要机制。 这些包包含配置文件和证书文件,如图 2 所示。 配置文件包含在 Microsoft Surface UEFI Configurator 中创建包时指定的 UEFI 设置。 当配置包首次在尚未在 SEMM 中注册的 Surface 设备上运行时,它会在设备的固件中预配证书文件,并在 SEMM 中注册设备。 在 SEMM 中注册设备时,在存储证书并完成注册之前,系统会提示你通过提供 SEMM 证书指纹的最后两位数字来确认操作。 此确认要求用户在注册期间实际出现在设备上才能执行确认。

有关 SEMM 证书要求的详细信息,请参阅本文后面的 Surface Enterprise Management Mode 证书要求 部分。

使用 Surface UEFI 配置器创建

类别 说明 了解详细信息
MSI 包 将 Surface 设备注册 到 SEMM 并管理已注册设备的 UEFI 固件设置。
将 Surface 扩展坞注册 到 SEMM 并管理已注册扩展坞的 UEFI 固件设置。		 为 Surface 设备配置 UEFI 设置
为 Surface 扩展坞配置 UEFI 设置
WinPE 映像 使用 WinPE 映像在 Surface 设备上注册、配置和取消注册 SEMM。
DFI 包 创建 DFI 包以将 Surface Hub 设备注册到 SEMM 中,并管理已注册 Surface Hub 设备的 UEFI 固件设置。

提示

可以选择要求使用 SEMM 的 UEFI 密码。 如果这样做,则需要密码才能查看 Surface UEFI 的“安全性”、“设备”、“启动配置”和“企业管理”页。

在 SEMM 中注册设备后,将读取配置文件,并且该文件中指定的设置将应用于 UEFI。 在已在 SEMM 中注册的设备上运行配置包时,会根据存储在设备固件中的证书检查配置文件的签名。 如果签名不匹配,则不会对设备应用任何更改。

提示

有权访问证书文件 (.pfx 的管理员) 可以随时通过在 CertMgr 中打开 .pfx 文件来读取指纹。 使用 CertMgr 查看指纹:

  1. 选择并按住 (或右键单击) .pfx 文件,然后选择“ 打开”。
  2. 在导航窗格中,展开 文件夹。
  3. 选择“ 证书”。
  4. 在“main”窗格中,选择并按住 (或右键单击) 证书,然后选择“打开”。
  5. 选择“ 详细信息 ”选项卡。
  6. “显示”下拉菜单中,必须选择“全部”或“仅属性”。
  7. 选择“ 指纹” 字段。

若要在 SEMM 中注册 Surface 设备或从配置包应用 UEFI 配置,请在预期的 Surface 设备上以管理权限运行 .msi 文件。 可以使用应用程序部署或操作系统部署技术,例如 Microsoft Endpoint Configuration ManagerMicrosoft Deployment Toolkit。 在 SEMM 中注册设备时,必须在现场确认设备上的注册。 将配置应用于已在 SEMM 中注册的设备时,不需要用户交互。

恢复请求

可以通过 Surface IT 工具包中的 恢复请求 功能从 SEMM 取消注册 Surface 设备。

SEMM 证书要求

将 SEMM 与 Microsoft Surface UEFI 配置器一起使用并且想要应用 UEFI 设置时,需要证书来验证配置文件的签名。 此证书可确保设备在 SEMM 中注册后,只能使用已批准的证书创建的包来修改 UEFI 设置。

注意

若要对已注册 Surface 设备上的 SEMM 或 Surface UEFI 设置进行任何修改,需要 SEMM 证书。 如果 SEMM 证书损坏或丢失,则无法删除或重置 SEMM。 使用适当的备份和恢复解决方案相应地管理 SEMM 证书

使用 Microsoft Surface UEFI 配置器工具创建的包使用证书进行签名。 此证书可确保在 SEMM 中注册设备后,只能使用已批准的证书创建的包来修改 UEFI 的设置。

建议对 SEMM 证书使用以下设置:

  • 密钥算法 - RSA
  • 密钥长度 - 2048
  • 哈希算法 - SHA-256
  • 类型 - SSL 服务器身份验证
  • 密钥用法 - 数字签名、密钥加密
  • 提供程序 - Microsoft增强型 RSA 和 AES 加密提供程序
  • 到期日期 - 证书创建后 15 个月
  • 密钥导出策略 - 可导出

此外,建议在 PKI () 体系结构的两层公钥基础结构中对 SEMM 证书进行身份验证,其中中间证书颁发机构 (CA) 专用于 SEMM,从而实现证书吊销。 有关两层 PKI 配置的详细信息,请参阅 测试实验室指南:部署 AD CS Two-Tier PKI 层次结构

自签名证书

可以使用以下示例 PowerShell 脚本创建用于概念证明方案的自签名证书。 若要使用此脚本,请将以下文本复制到记事本中,然后将该文件另存为 PowerShell 脚本 (.ps1) 。

注意

此脚本创建密码为 的 12345678证书。 不建议将此脚本生成的证书用于生产环境。

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

重要提示

若要与 SEMM 和 Microsoft Surface UEFI 配置器一起使用,必须使用私钥和密码保护导出证书。 Microsoft Surface UEFI 配置器会提示你选择 SEMM 证书文件 (.pfx) 和证书密码。

若要创建自签名证书,请执行以下操作:

  1. 在 C: 驱动器上,创建用于保存脚本的文件夹;例如 C:\SEMM。
  2. 将示例脚本复制到记事本 (或等效的文本编辑器) ,然后将该文件另存为 PowerShell 脚本 (.ps1) 。
  3. 使用管理员凭据登录到计算机,然后打开提升的 PowerShell 会话。
  4. 请确保将权限设置为允许脚本运行。 默认情况下,除非修改执行策略,否则将阻止脚本运行。 若要了解详细信息,请参阅 关于执行策略
  5. 在命令提示符下,输入脚本的完整路径,然后按 Enter。 该脚本创建名为 TempOwner.pfx 的演示证书。

或者,可以使用 PowerShell 创建自己的自签名证书。 有关详细信息,请参阅 New-SelfSignedCertificate

注意

对于在其 PKI 基础结构中使用脱机根目录的组织,Microsoft Surface必须在连接到根 CA 的环境中运行 UEFI 配置器,才能对 SEMM 证书进行身份验证。 Microsoft Surface UEFI 配置器生成的包可以作为文件传输,因此可以使用可移动存储(如 U 盘)将其传输到脱机网络环境外部。

管理证书常见问题解答

建议 的最短 长度为 15 个月。 可以使用在 15 个月内过期的证书,或使用过期时间超过 15 个月的证书。

注意

证书过期后,它不会自动续订。

过期的证书是否会影响已注册 SEMM 的设备的功能?

否,证书仅影响 SEMM 中的 IT 管理员管理任务,在过期时不会影响设备功能。

是否需要在具有 SEMM 包和证书的所有计算机上更新?

如果希望 SEMM 重置或恢复正常工作,则证书必须有效且不会过期。

是否可以为订购的每个图面创建批量重置包? 是否可以生成一个重置环境中所有计算机?

为特定设备类型创建配置包的 PowerShell 示例也可用于创建独立于序列号的重置包。 如果证书仍然有效,可以使用 PowerShell 创建重置包来重置 SEMM。