Surface 和 Microsoft Configuration Manager 注意事项
从根本上讲,使用 Microsoft Configuration Manager 的 Surface 设备的管理和部署遵循与管理其他电脑相同的原则。 与任何电脑部署一样,它包括导入驱动程序、准备 Windows 映像、设置部署任务序列以及将这些序列应用于设备集合。 部署后,Surface 设备的行为与任何其他 Windows 客户端类似,通过熟悉的过程接收应用、设置和策略。
若要了解详细信息,请参阅Microsoft Configuration Manager文档。
尽管 Surface 设备的部署和管理与其他电脑基本相似,但某些方案可能需要额外的 IT 任务,如本文所述。
主动监视、安全性和 AI 支持的见解
Configuration Manager支持增强的安全性、主动监视和合规性强制实施。 它使 IT 管理员能够利用基于虚拟化的安全性 (VBS) 来隔离关键安全操作,而 TPM 2.0 在通过 BitLocker 启用加密、安全启动和Windows Hello 企业版方面起着基础作用。 Configuration Manager通过监视设备运行状况和策略符合性来确保符合这些安全基线,确保设备免受未经授权的访问。
此外,Microsoft Defender for Endpoint与 Configuration Manager 集成,提供 AI 支持的威胁检测和响应功能,帮助组织检测异常并防范复杂的威胁。
Windows 11 24H2 更新集成
使用 Configuration Manager 在 Surface 设备上Windows 11 24H2 部署时确保兼容性。 使用 OEM Activation 3.0 (OA 3.0) 工具或 Microsoft KMS 基础结构部署或重置这些设备的映像时,请确保产品激活一致。
- 关键资源:检查 Windows Setup Edition 配置和产品 ID 文件 ,了解许可要求。 使用 Windows 企业版安装或重置映像时,请使用适当的任务序列,以避免嵌入式固件密钥和新 OS 之间发生冲突。
Surface 以太网适配器和Configuration Manager部署
使用以太网适配器部署 Surface 设备时,Configuration Manager按 MAC 地址标识设备。 但是,通过将多个设备识别为单个设备,共享以太网适配器可能会导致部署问题。 若要避免这种情况,请将Configuration Manager配置为使用备用标识符,例如系统 UUID。
- 最佳做法:从基于 MAC 的标识中排除 Surface 以太网适配器,以防止部署冲突。
- 驱动程序可用性:Microsoft 更新目录中提供了适用于较旧 Windows 版本的驱动程序。 对于较新版本,驱动程序默认包含在 Windows 中,不需要额外的配置。
将预留媒体与 Surface 客户端配合使用
如果使用 预留媒体 进行 Surface 部署,请执行额外步骤以适应需要多个分区的 UEFI 环境。 若要了解详细信息,请参阅 创建预留媒体。
与 OEM 激活 3.0 的许可冲突
Surface 设备通过 OEM 激活 3.0 附带嵌入式 Windows 许可证密钥。 部署与预安装 OS 不同的 Windows 版本时,请注意潜在的冲突。
- 示例:如果设备附带Windows 11 家庭版并且你想要安装Windows 11 专业版,请使用 Ei.cfg 或 Pid.txt 文件绕过嵌入的许可证密钥。
- 企业部署:对于使用 Windows 企业 版的组织,默认情况下会绕过嵌入密钥, KMS 或基于 Active Directory 的激活 将完成该过程。
在部署期间应用资产标记
使用 Surface 资产标记工具 直接从 UEFI 应用资产标记。 即使 OS 发生故障,这也能进行识别,从而简化 IT 管理员的资产管理。 若要了解详细信息,请参阅 Configuration Manager 中的资产智能简介。
配置一键重置
默认情况下, 一键重置 会将 Surface 设备还原到干净状态,从而放弃应用和设置。 对于专业环境,请配置一键重置,以使用部署一键重置功能通过预安装配置 还原设备。