Настройка параметров UEFI для устройств Surface
В этой статье описывается, как защитить параметры UEFI для устройств Surface, развернутых в организации, и управлять ими с помощью конфигуратора Surface UEFI и режима управления Surface Enterprise (SEMM). Конфигуратор UEFI Surface, который больше недоступен для отдельной загрузки, теперь включен в новый набор средств ДЛЯ ИТ-отделов Surface.
Параметры UEFI для устройств Surface, управляемых SEMM
С помощью SEMM ИТ-администраторы могут управлять компонентами оборудования на уровне встроенного ПО. Например, в целях безопасности можно отключить аппаратные компоненты, такие как камеры, микрофоны и USB-порты. Полный список доступных параметров см. в справочнике по параметрам SURFACE UEFI SEMM.
Создание пакета конфигурации UEFI Surface
Пакет конфигурации UEFI Surface предназначен для применения недавно настроенных параметров UEFI к устройствам Surface, управляемым SEMM, и регистрации их в SEMM. Для создания этого пакета требуется сертификат подписи SEMM для защиты параметров UEFI на каждом устройстве. Дополнительные сведения см. в разделе Требования к сертификатам SEMM.
Защита параметров UEFI с помощью пароля
Настоятельно рекомендуется задать пароль при создании пакетов конфигурации UEFI. Встроенное ПО управляет начальными операциями оборудования перед загрузкой операционной системы. Если несанкционированный доступ пользователей к параметрам UEFI может привести к отключению функций безопасности или внесению изменений, влияющих на безопасность и функциональность устройства.
Настройка устройства
В средстве настройки устройства можно создать конфигурацию параметров UEFI и пакеты сброса для устройств Surface в организации (дополнительные сведения о параметрах UEFI Surface см. в разделе Управление параметрами UEFI Surface.)
Создание пакета конфигурации UEFI Surface
- Откройте Surface IT Toolkit и выберите UEFI Configurator>Configure Surface Device (Настроить устройство Surface).
- В разделе Импорт защиты сертификатов выберите Добавить , чтобы добавить экспортированный файл сертификата с закрытым ключом (PFX). Выберите Далее.
- Выберите устройства для настройки. Выберите один из управляемых устройств или выберите все устройства, чтобы выбрать свое устройство и модель. Выберите Далее.
- На странице Параметры конфигурации устройства выберите компоненты, которые требуется настроить, и выберите параметр пароля UEFI. По завершении нажмите Далее.
- На странице Окончательная проверка отображаются сведения о выбранной конфигурации. Просмотрите изменения, выберите Выбрать папку , чтобы сохранить пакет конфигурации UEFI, и нажмите кнопку Создать.
Совет
Запишите символы отпечатка сертификата, отображаемые на этой странице, как показано на рис. 6. Эти символы потребуются для подтверждения регистрации новых устройств Surface в SEMM. Нажмите кнопку Завершить , чтобы завершить создание пакета и закрыть Конфигуратор Microsoft Surface UEFI.
По завершении нажмите кнопку Готово.
По завершении перейдите в выбранную папку, чтобы получить пакет. В этом примере пакет изменяет один параметр UEFI, в результате чего создаются два файла:
- Пакет регистрации SEMM, который можно развернуть на одном или нескольких устройствах.
- Пакет сброса, используемый для отмены регистрации устройства, управляемого SEMM.
Регистрация устройства Surface в SEMM
При выполнении пакета конфигурации Surface UEFI сертификат SEMM и файлы конфигурации Surface UEFI размещаются в хранилище встроенного ПО устройства Surface. Когда устройство Surface перезагружается, Surface UEFI обрабатывает эти файлы и начинает процесс применения конфигурации Surface UEFI или регистрации устройства Surface в SEMM.
Перед регистрацией устройства Surface в SEMM убедитесь, что у вас есть последние два символа отпечатка сертификата. Эти символы требуются для подтверждения регистрации устройства.
Чтобы зарегистрировать устройство Surface в SEMM с пакетом конфигурации Surface UEFI, выполните приведенные далее действия.
- Запустите пакет конфигурации UEFI Surface .msi файл на устройстве Surface, которое вы хотите зарегистрировать в SEMM. Это подготавливает файл конфигурации UEFI Surface в встроенном ПО устройства.
- Установите флажок Я принимаю условия лицензионного соглашения проверка, чтобы принять лицензионное соглашение (EULA), и нажмите кнопку Установить, чтобы начать процесс установки.
- Нажмите кнопку Готово , чтобы завершить установку пакета конфигурации UEFI Surface и перезапустить устройство Surface при появлении запроса на это.
- Surface UEFI загружает файл конфигурации и определяет, что SEMM не включен на устройстве. Surface UEFI начинает процесс регистрации SEMM следующим образом:
- Surface UEFI проверяет, содержит ли файл конфигурации SEMM сертификат SEMM.
- Surface UEFI предлагает ввести последние два символа отпечатка сертификата, чтобы подтвердить регистрацию устройства Surface в SEMM.
- Устройство Surface теперь зарегистрировано в SEMM.
Вы можете проверить, успешно ли зарегистрировано устройство Surface в SEMM, найдя пакет конфигурации Microsoft Surface в разделе Программы и компоненты или в событиях, хранящихся в журнале конфигуратора Microsoft Surface UEFI, который находится в разделе Журналы приложений и служб в Просмотр событий.
Настройка дополнительных параметров UEFI Surface
После регистрации устройства в SEMM можно запустить другие пакеты конфигурации Surface UEFI, подписанные с помощью того же сертификата SEMM, чтобы применить новые параметры Surface UEFI. Эти параметры применяются автоматически при следующей загрузке устройства без какого-либо взаимодействия со стороны пользователя. Решения для развертывания приложений, такие как Microsoft Configuration Manager, можно использовать для развертывания пакетов конфигурации Surface UEFI на устройствах Surface, чтобы изменить параметры в Surface UEFI или управлять ими.
Дополнительные сведения о развертывании файлов установщика Windows (.msi) с помощью Configuration Manager см. в статье Развертывание приложений и управление ими с помощью Microsoft Configuration Manager.