Compartir a través de

Introducción al modo de administración de Surface Enterprise (SEMM)

  • Artículo
  • Se aplica a:
    Windows 10, Windows 11

El Modo de administración de Microsoft Surface Enterprise (SEMM) es una característica de los dispositivos Surface con surface unified extensible firmware interface (UEFI). Puede usar SEMM para:

  • Proteja y administre la configuración de firmware en su organización.
  • Prepare las configuraciones de configuración de UEFI e instálelas en un dispositivo Surface.

SEMM también usa un certificado para proteger la configuración frente a alteraciones o eliminaciones no autorizadas.

Inscripción de dispositivos Surface en SEMM

En este artículo se muestra cómo crear un paquete de configuración de UEFI de Surface para habilitar o deshabilitar componentes de hardware en el nivel de firmware e inscribir un dispositivo Surface en SEMM. Cuando los dispositivos Surface están configurados por SEMM y protegidos con el certificado SEMM, se consideran inscritos en SEMM. Cuando se quita el certificado SEMM y se devuelve el control de la configuración de UEFI al usuario del dispositivo, el dispositivo Surface se considera no inscrito en SEMM.

También puede usar Microsoft Configuration Manager para administrar dispositivos con SEMM.

Como alternativa a SEMM, los dispositivos Surface más recientes admiten la administración remota de un subconjunto de configuraciones de firmware a través de Microsoft Intune. Para obtener más información, consulta Administrar DFCI en dispositivos Surface.

Dispositivos compatibles

SEMM solo está disponible en dispositivos con firmware UEFI de Surface, entre los que se incluyen:

  • Surface Book (todas las generaciones)
  • Surface Go 4 (solo SKU comerciales)
  • Surface Go 3 (solo SKU comerciales)
  • Surface Go 2 (todas las SKU)
  • Surface Go (todas las SKU)
  • Surface Hub 2S
  • Surface Laptop (7.ª edición) (solo SKU comerciales)
  • Surface Laptop 6 (solo SKU comerciales)
  • Surface Laptop 5 (solo SKU comerciales)
  • Surface Laptop 4 (solo SKU comerciales)
  • Surface Laptop 3 (solo procesadores Intel)
  • Surface Laptop 2 (todas las SKU)
  • Surface Laptop (todas las SKU)
  • Surface Laptop Go 3 (solo SKU comerciales)
  • Surface Laptop Go 2 (solo SKU comerciales)
  • Surface Laptop Go (todas las SKU)
  • Surface Laptop SE (todas las SKU)
  • Surface Laptop Studio 2 (solo SKU comerciales)
  • Surface Laptop Studio (solo SKU comerciales)
  • Surface Pro (11ª edición) (solo SKU comerciales)
  • Surface Pro 10 (solo SKU comerciales)
  • Surface Pro 10 con 5G (solo SKU comerciales)
  • Surface Pro 9 (solo SKU comerciales)
  • Surface Pro 9 con 5G (solo SKU comerciales)
  • Surface Pro 8 (solo SKU comerciales)
  • Surface Pro 7+ (solo SKU comerciales)
  • Surface Pro 7 (todas las SKU)
  • Surface Pro 6 (todas las SKU)
  • Surface Pro 5.ª generación (todas las SKU)
  • Surface Pro 4 (todas las SKU)
  • Surface Pro X (todas las SKU)
  • Surface Studio 2+ (solo SKU comerciales)
  • Surface Studio 2 (todas las SKU)
  • Surface Studio (todas las SKU)

Sugerencia

Las SKU comerciales (también conocidas como Surface para empresas) ejecutan Windows 10 Pro/Enterprise o Windows 11 Pro/Enterprise; las SKU de consumidor ejecutan Windows 10/Windows 11 Home. Para obtener más información, consulte Visualización de la información del sistema.

Configurador de UEFI de Surface

El área de trabajo principal de SEMM es Surface IT Toolkit, que contiene el nuevo configurador DE UEFI de Surface.

Paquete de configuración

Los paquetes de configuración de UEFI de Surface son el mecanismo principal para implementar y administrar SEMM en dispositivos Surface. Estos paquetes contienen un archivo de configuración y un archivo de certificado, como se muestra en la figura 2. El archivo de configuración contiene la configuración de UEFI que se especifica cuando se crea el paquete en Microsoft Surface UEFI Configurator. Cuando un paquete de configuración se ejecuta por primera vez en un dispositivo Surface que aún no está inscrito en SEMM, aprovisiona el archivo de certificado en el firmware del dispositivo e inscribe el dispositivo en SEMM. Al inscribir un dispositivo en SEMM, y antes de que se almacene el certificado y finalice la inscripción, se le pedirá que confirme la operación proporcionando los dos últimos dígitos de la huella digital del certificado SEMM. Esta confirmación requiere que un usuario esté físicamente presente en el dispositivo durante la inscripción para realizar la confirmación.

Para obtener más información sobre los requisitos del certificado SEMM, consulte la sección Requisitos de certificados del modo de administración de Surface Enterprise más adelante en este artículo.

Uso de Surface UEFI Configurator para crear

Categoría Descripción Obtén más información
Paquetes MSI Inscriba dispositivos Surface en SEMM y administre la configuración de firmware de UEFI para dispositivos inscritos.
Inscriba los acoplamientos de Surface en SEMM y administre la configuración de firmware de UEFI para los acoplamientos inscritos.		 Configuración de UEFI para dispositivos Surface
Configuración de UEFI para Surface Docks
Imagen de WinPEs Usa imágenes de WinPE para inscribir, configurar y anular la inscripción de SEMM en un dispositivo Surface.
Paquetes DFI Crea paquetes DFI para inscribir dispositivos Surface Hub en SEMM y administrar la configuración de firmware UEFI para dispositivos Surface Hub inscritos.

Sugerencia

Tiene la opción de requerir una contraseña UEFI con SEMM. Si lo hace, la contraseña es necesaria para ver las páginas Seguridad, Dispositivos, Configuración de arranque y Administración empresarial de Surface UEFI.

Después de inscribir un dispositivo en SEMM, se lee el archivo de configuración y la configuración especificada en el archivo se aplica a UEFI. Al ejecutar un paquete de configuración en un dispositivo que ya está inscrito en SEMM, la firma del archivo de configuración se comprueba con el certificado almacenado en el firmware del dispositivo. Si la firma no coincide, no se aplica ningún cambio al dispositivo.

Sugerencia

Los administradores con acceso al archivo de certificado (.pfx) pueden leer la huella digital en cualquier momento abriendo el archivo .pfx en CertMgr. Para ver la huella digital con CertMgr:

  1. Seleccione y mantenga presionado (o haga clic con el botón derecho) el archivo .pfx y, a continuación, seleccione Abrir.
  2. En el panel de navegación, expanda la carpeta .
  3. Seleccione Certificados.
  4. En el panel principal, seleccione y mantenga presionado (o haga clic con el botón derecho) el certificado y, a continuación, seleccione Abrir.
  5. Seleccione la pestaña Detalles .
  6. En el menú desplegable Mostrar, solo todas o propiedades deben seleccionarse.
  7. Seleccione el campo Huella digital .

Para inscribir un dispositivo Surface en SEMM o aplicar la configuración de UEFI desde un paquete de configuración, ejecute el archivo .msi con privilegios administrativos en el dispositivo Surface previsto. Puede usar tecnologías de implementación de aplicaciones o de implementación de sistemas operativos, como Microsoft Configuration Manager o Microsoft Deployment Toolkit. Al inscribir un dispositivo en SEMM, debe estar físicamente presente para confirmar la inscripción en el dispositivo. Cuando se aplica una configuración a dispositivos que ya están inscritos en SEMM, no se requiere la interacción del usuario.

Solicitud de recuperación

Puedes anular la inscripción de dispositivos Surface desde SEMM a través de la característica Solicitud de recuperación del Kit de herramientas de TI de Surface.

Requisitos del certificado SEMM

Cuando se usa SEMM con Microsoft Surface UEFI Configurator y se quiere aplicar la configuración de UEFI, se requiere un certificado para comprobar la firma de los archivos de configuración. Este certificado garantiza que, una vez que un dispositivo se inscribe en SEMM, solo se pueden usar los paquetes creados con el certificado aprobado para modificar la configuración de UEFI.

Nota

Para realizar cualquier modificación en la configuración de SEMM o Surface UEFI en dispositivos Surface inscritos, se requiere el certificado SEMM. Si el certificado SEMM está dañado o perdido, no se puede quitar o restablecer SEMM. Administre el certificado SEMM en consecuencia con una solución adecuada para la copia de seguridad y recuperación.

Los paquetes creados con la herramienta Microsoft Surface UEFI Configurator están firmados con un certificado. Este certificado garantiza que, después de inscribir un dispositivo en SEMM, solo se pueden usar paquetes creados con el certificado aprobado para modificar la configuración de UEFI.

Se recomienda la siguiente configuración para el certificado SEMM:

  • Algoritmo de clave : RSA
  • Longitud de clave : 2048
  • Algoritmo hash : SHA-256
  • Tipo : autenticación de servidor SSL
  • Uso de claves : firma digital, cifrado de claves
  • Proveedor : proveedor criptográfico RSA mejorado de Microsoft y AES
  • Fecha de expiración : 15 meses a partir de la creación del certificado
  • Directiva de exportación de claves : exportable

También se recomienda que el certificado SEMM se autentique en una arquitectura de infraestructura de clave pública (PKI) de dos niveles donde la entidad de certificación intermedia (CA) esté dedicada a SEMM, lo que permite la revocación de certificados. Para obtener más información sobre una configuración de PKI de dos niveles, consulte Guía del laboratorio de pruebas: Implementación de una jerarquía de PKI de AD CS Two-Tier.

Certificado autofirmado

Puede usar el siguiente script de PowerShell de ejemplo para crear un certificado autofirmado para usarlo en escenarios de prueba de concepto. Para usar este script, copie el texto siguiente en el Bloc de notas y guarde el archivo como script de PowerShell (.ps1).

Nota

Este script crea un certificado con una contraseña de 12345678. El certificado generado por este script no se recomienda para entornos de producción.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

Importante

Para su uso con SEMM y Microsoft Surface UEFI Configurator, el certificado debe exportarse con la clave privada y con la protección con contraseña. Microsoft Surface UEFI Configurator le pide que seleccione el archivo de certificado SEMM (.pfx) y la contraseña del certificado.

Para crear un certificado autofirmado:

  1. En la unidad C:, cree la carpeta donde guardará el script; por ejemplo, C:\SEMM.
  2. Copie el script de ejemplo en el Bloc de notas (o editor de texto equivalente) y, a continuación, guarde el archivo como script de PowerShell (.ps1).
  3. Inicie sesión en el equipo con credenciales de administrador y abra una sesión de PowerShell con privilegios elevados.
  4. Asegúrese de que los permisos están establecidos para permitir la ejecución de scripts. De forma predeterminada, los scripts no se pueden ejecutar a menos que modifique la directiva de ejecución. Para más información, consulte Acerca de las directivas de ejecución.
  5. En el símbolo del sistema, escriba la ruta de acceso completa del script y presione Entrar. El script crea un certificado de demostración denominado TempOwner.pfx.

Como alternativa, puede crear su propio certificado autofirmado mediante PowerShell. Para obtener más información, consulte New-SelfSignedCertificate.

Nota

Para las organizaciones que usan una raíz sin conexión en su infraestructura PKI, Microsoft Surface UEFI Configurator debe ejecutarse en un entorno conectado a la CA raíz para autenticar el certificado SEMM. Los paquetes generados por Microsoft Surface UEFI Configurator se pueden transferir como archivos, por lo que se pueden transferir fuera del entorno de red sin conexión con almacenamiento extraíble, como un stick USB.

Preguntas más frecuentes sobre la administración de certificados

La longitud mínima recomendada es de 15 meses. Puede usar un certificado que expire en menos de 15 meses o usar un certificado que expire en más de 15 meses.

Nota

Cuando un certificado expira, no se renueva automáticamente.

¿Afectará un certificado expirado a la funcionalidad de los dispositivos inscritos en SEMM?

No, un certificado solo afecta a las tareas de administración de administración de TI en SEMM y no tiene ningún efecto en la funcionalidad del dispositivo cuando expira.

¿Será necesario actualizar el paquete y el certificado SEMM en todas las máquinas que lo tengan?

Si desea que el restablecimiento o la recuperación de SEMM funcionen, el certificado debe ser válido y no expirado.

¿Se pueden crear paquetes de restablecimiento masivo para cada superficie que pidamos? ¿Se puede crear uno que restablezca todas las máquinas de nuestro entorno?

Los ejemplos de PowerShell que crean un paquete de configuración para un tipo de dispositivo específico también se pueden usar para crear un paquete de restablecimiento independiente del número de serie. Si el certificado sigue siendo válido, puede crear un paquete de restablecimiento mediante PowerShell para restablecer SEMM.