Compartilhar via

Configurar as definições de UEFI para dispositivos Surface

  • Artigo
  • Aplica-se a:
    Windows 11, Windows 10

Este artigo descreve como proteger e gerir as definições da Interface de Firmware Extensível Unificada (UEFI) para dispositivos Surface implementados em toda a sua organização com o Surface UEFI Configurator e o Surface Enterprise Management Mode (SEMM). O Surface UEFI Configurator, que já não está disponível como uma transferência separada, está agora incluído no novo Toolkit de TI do Surface.

Definições de UEFI para dispositivos Surface geridos por SEMM

Com o SEMM, os administradores de TI podem gerir componentes de hardware ao nível do firmware. Por exemplo, pode desativar componentes de hardware, como câmaras, microfones e portas USB para fins de segurança. Para obter uma lista completa das definições disponíveis, consulte Referência de definições do SEMM UEFI do Surface.

Criar um pacote de configuração UEFI do Surface

O pacote de configuração UEFI do Surface serve a finalidade dupla de aplicar definições ueFI recentemente configuradas a dispositivos Surface geridos por SEMM e inscrevê-las no SEMM. A criação deste pacote requer um certificado de assinatura SEMM para proteger as definições de UEFI em cada dispositivo. Para obter mais informações, veja Requisitos de certificado SEMM.

Proteger as definições de UEFI com palavra-passe

Recomendamos vivamente que defina uma palavra-passe ao criar pacotes de configuração UEFI. O firmware controla as operações iniciais do hardware antes do carregamento do sistema operativo. Se os utilizadores não autorizados acederem às definições de UEFI, podem potencialmente desativar as funcionalidades de segurança ou tornar as alterações prejudiciais para a segurança e funcionalidade do dispositivo.

Captura de ecrã a mostrar a adição de uma palavra-passe para proteger as definições de UEFI de pessoas não autorizadas.

Configurar dispositivo

Na ferramenta Configurar Dispositivo , pode criar configurações de definições ueFI e repor pacotes para dispositivos Surface na sua organização (Para obter mais informações sobre as definições de UEFI do Surface, consulte Gerir definições de UEFI do Surface.)

Criar um pacote de configuração UEFI do Surface

  1. Abra o Toolkit de TI do Surface, selecione Configurador UEFI Configurar>Dispositivo Surface.
  2. Em Importar Proteção de Certificados, selecione Adicionar para adicionar o ficheiro de certificado exportado com a chave privada (.pfx). Selecione Avançar. Captura de ecrã a mostrar a Configuração do UEFI.
  3. Selecione os dispositivos a configurar. Escolha entre os Seus Dispositivos Geridos ou aceda a Todos os Dispositivos para selecionar o seu dispositivo e modelo. Selecione Avançar. Captura de ecrã a mostrar a seleção do dispositivo para a Configuração do UEFI.
  4. Na página Definições de Configuração do Dispositivo, selecione os componentes que pretende configurar e escolha uma definição de palavra-passe UEFI. Quando terminar, clique em Próximo. Captura de ecrã da página Definições de Configuração do Dispositivo.
  5. A página Revisão Final mostra os detalhes de configuração selecionados. Reveja as alterações, selecione Escolher Pasta para guardar o pacote de configuração UEFI e selecione Criar. Captura de ecrã a mostrar a configuração concluída para o Pacote de dispositivo.

Dica

Registe os carateres de thumbprint do certificado apresentados nesta página, conforme mostrado na Figura 6. Precisará destes carateres para confirmar a inscrição de novos dispositivos Surface no SEMM. Clique em Terminar para concluir a criação do pacote e fechar o Microsoft Surface UEFI Configurator.

  1. Quando terminar, selecione Concluir.

    Captura de ecrã a mostrar os ficheiros do pacote de configuração UEFI.

  2. Quando terminar, aceda à pasta selecionada para obter o pacote. Este pacote de exemplo modifica uma única definição ueFI, resultando em dois ficheiros:

    • Um pacote de inscrição SEMM que pode implementar num ou mais dispositivos.
    • Um pacote reset utilizado para anular a inscrição de um dispositivo gerido por SEMM.

    Captura de ecrã da página de criação do Pacote de Dispositivos.

Inscrever um dispositivo Surface no SEMM

Quando o pacote de configuração UEFI do Surface é executado, o certificado SEMM e os ficheiros de configuração UEFI do Surface são testados no armazenamento de firmware do dispositivo Surface. Quando o dispositivo Surface é reiniciado, o UEFI do Surface processa estes ficheiros e inicia o processo de aplicação da configuração do UEFI do Surface ou da inscrição do dispositivo Surface no SEMM.

Antes de inscrever um dispositivo Surface no SEMM, certifique-se de que tem à mão os dois últimos carateres do thumbprint do certificado. Precisa destes carateres para confirmar a inscrição do dispositivo.

Para inscrever um dispositivo Surface no SEMM com um pacote de configuração UEFI do Surface:

  1. Execute o pacote de configuração UEFI do Surface .msi ficheiro no dispositivo Surface que pretende inscrever no SEMM. Esta ação aprovisiona o ficheiro de configuração UEFI do Surface no firmware do dispositivo.
  2. Selecione a caixa Aceito os termos na caixa marcar Contrato de Licença para aceitar o Contrato de Licença de Utilizador Final (EULA) e selecione Instalar para iniciar o processo de instalação.
  3. Selecione Concluir para concluir a instalação do pacote de configuração UEFI do Surface e reinicie o dispositivo Surface quando lhe for pedido para o fazer.
  4. O UEFI do Surface carrega o ficheiro de configuração e determina que o SEMM não está ativado no dispositivo. O UEFI do Surface inicia o processo de inscrição SEMM da seguinte forma:
    • O UEFI do Surface verifica se o ficheiro de configuração SEMM contém um certificado SEMM.
    • O UEFI do Surface pede-lhe para introduzir os dois últimos carateres do thumbprint do certificado para confirmar a inscrição do dispositivo Surface no SEMM.
  5. O dispositivo Surface está agora inscrito no SEMM.

Pode verificar se um dispositivo Surface foi inscrito com êxito no SEMM ao procurar o Pacote de Configuração do Microsoft Surface em Programas e Funcionalidades ou nos eventos armazenados no registo ueFI Configurator do Microsoft Surface, localizado em Registos de Aplicações e Serviços no Visualizador de Eventos.

Configurar mais definições de UEFI do Surface

Depois de um dispositivo ser inscrito no SEMM, pode executar outros pacotes de configuração UEFI do Surface assinados com o mesmo certificado SEMM para aplicar novas definições de UEFI do Surface. Estas definições são aplicadas automaticamente da próxima vez que o dispositivo arrancar, sem qualquer interação por parte do utilizador. Pode utilizar soluções de implementação de aplicações como Microsoft Configuration Manager para implementar pacotes de configuração UEFI do Surface em dispositivos Surface para alterar ou gerir as definições no UEFI do Surface.

Para obter mais informações sobre como implementar ficheiros do Windows Installer (.msi) com Configuration Manager, consulte Implementar e gerir aplicações com Microsoft Configuration Manager.