管理 Surface UEFI 设置
Surface 设备设计为使用唯一的统一可扩展固件接口 (UEFI) 由Microsoft专为这些设备设计。 Surface UEFI 设置允许 IT 管理员启用或禁用内置设备和组件、防止更改 UEFI 设置以及调整 Surface 设备启动设置。
支持的产品
以下 Surface 设备支持 UEFI 管理:
- Surface Pro 4、Surface Pro (第 5 代) 、Surface Pro 6、Surface Pro 7、Surface Pro 7+ (商业 SKU 仅) ,Surface Pro仅) 8 (商业 SKU,Surface Pro 9 &Surface Pro 9,5G (商业 SKU 仅) ,Surface Pro 10,Surface Pro (第 11 版) ,Surface Pro X
- Surface Laptop (第一代) 、Surface Laptop 2、Surface Laptop 3 (Intel 处理器) , Surface Laptop Go,Surface Laptop 4 (商业 SKU 仅) ,Surface Laptop仅) 5 (商业 SKU,Surface Laptop仅) 6 (商业 SKU,Surface Laptop (第 7 版) ,Surface Laptop SE,Surface Laptop Go 2 (商业 SKU 仅) , Surface Laptop Go 3 (商业 SKU 仅)
- Surface Studio (第一代) ,Surface Studio 2,Surface Studio 2+
- Surface Book (所有) 代
- Surface Laptop Studio (所有代,商业 SKU 仅)
- Surface Go、Surface Go 21、Surface Go 3 (仅) 商业 SKU,Surface Go 4 (商业 SKU 仅)
提示
商业 SKU (又名Surface 商用版) 运行 Windows 10 专业版/Enterprise 或 Windows 11 专业版/Enterprise;使用者 SKU 运行 Windows 10/Windows 11 家庭版。 在 UEFI 中,商业 SKU 是唯一具有“设备”页和“管理”页功能的模型。 若要了解详细信息,请参阅 查看系统信息。
支持基于云的管理
Surface UEFI 管理将设备固件配置接口 (DFCI) 配置文件内置于 Microsoft Intune (现在以公共预览版) 提供,将新式管理堆栈扩展到 UEFI 硬件级别。 DFCI 支持零接触预配,消除 BIOS 密码,提供对安全设置的控制,并为将来的高级安全方案奠定了基础。
DFCI 目前适用于以下商业设备:Surface Pro (第 11 版) 、Surface Pro 10、Surface Pro 10、5G、Surface Pro 9、Surface Pro 9、Surface Pro 8、Surface Pro 7+、Surface Pro 7、 Surface Pro X、Surface Laptop (第 7 版) 、Surface Laptop 6、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Studio 2、Surface Laptop Studio、Surface Laptop SE、Surface Laptop Go 2、Surface Laptop Go、Surface Book 3、Surface Studio 2+、Surface Go 3 和 Surface Go 4。 有关详细信息,请参阅 管理 Surface 设备上的 DFCI。
打开 Surface UEFI 菜单
若要在系统启动期间调整 UEFI 设置,请执行以下操作:
- 关闭 Surface 并等待大约 10 秒以确保它关闭。
- 长按“ 调高音量 ”按钮,同时按下并松开 “电源”按钮。
- 屏幕上显示Microsoft或 Surface 徽标时,请继续按住 “调高音量 ”按钮,直到出现 UEFI 屏幕。
UEFI 电脑信息页
电脑信息页面包括有关 Surface 设备的详细信息:
模型 - 你的 Surface 设备的型号(如 Surface Laptop Studio 2 或 Surface Pro 9)在此处显示。 不会 (显示设备的确切配置,例如处理器、磁盘大小或内存大小) 。
系统 UUID – 此通用唯一标识号特定于你的设备,用于在部署或管理期间标识设备。
序列号 – 此编号标识此特定 Surface 设备,用于资产标记和支持方案。
资产标记 - 使用资产标记工具将资产 标记分配给 Surface 设备。
你还可以找到有关 Surface 设备的固件的详细信息。 Surface 设备具有多个内部组件,每个组件运行不同版本的固件。 这些组件的固件版本显示在 电脑信息 页上。 组件包括以下组件,并可能因设备而异:
- 系统 UEFI
- SMF 控制器
- SAM 控制器
- Intel 管理引擎
- PD 控制器
- 键盘控制器
- 触控板控制器
- 触摸固件
图 1. 系统信息和固件版本信息。
在设备的 Surface 更新历史记录中可以找到有关 Surface 设备最新固件版本的最新信息。
“UEFI 安全性”页
图 2. 配置 Surface UEFI 安全设置。
“安全”页允许设置密码来保护 UEFI 设置。 在将 Surface 设备启动到 UEFI 时,必须输入此密码。 密码可以包含以下字符 (,如图 3) 所示:
大写字母:A-Z
小写字母:a-z
数字:1-0
特殊字符:!@#$%^&* () ?<>{}[]-_=+|.,;:’`”
密码必须至少为六个字符,并且区分大小写。
图 3. 添加密码以保护 Surface UEFI 设置。
在“安全”页上,还可以更改 Surface 设备上的安全启动配置。 安全启动技术可阻止未经授权的启动代码启动 Surface 设备,这可防御 bootkit 和 rootkit 类型的恶意软件感染。 可以禁用安全启动以允许 Surface 设备启动其他操作系统或可启动媒体。 还可以将安全启动配置为使用其他证书,如图 4 所示。 若要了解详细信息,请参阅 安全启动。
图 4. 配置安全启动。
根据你的设备,你还可能会看到 TPM 是启用或禁用的。 如果未看到“启用 TPM”设置,请在 Windows 中打开 tpm.msc 以检查状态,如图 5 所示。 TPM 用于通过 BitLocker 对设备的数据加密进行身份验证。 若要了解详细信息,请参阅 BitLocker 概述。
图 5. TPM 控制台。
“UEFI 设备”页
“设备”页允许打开或关闭符合条件的设备上的特定组件。 组件包括:
停靠 USB 端口
MicroSD 或 SD 卡槽
后置摄像头
前置摄像头
红外 (IR) 相机
WLAN 和蓝牙
板载音频(扬声器和麦克风)
每台设备都有一个滑块 按钮,用于 移动到启用 () 或 关闭 (禁用) 位置,如图 6 所示。
图 6. 启用和禁用特定设备。
UEFI 启动配置页
“启动配置”页允许更改启动设备的顺序,并启用或禁用以下设备的启动:
Windows 启动管理器
USB 存储
PXE 网络
内部存储
你可以立即从特定设备启动,或使用触摸屏向左轻扫列表中的该设备条目。 还可以在关闭 Surface 设备电源时,同时按调低音量按钮和电源按钮,立即启动到 USB 设备或 USB 以太网适配器。
若要使指定的启动顺序生效,必须将 “启用备用启动序列 ”选项设置为 “开”,如图 7 所示。
图 7. 配置 Surface 设备的启动顺序。
还可以使用“启用 IPv6 for PXE 网络启动”选项打开和关闭 对 PXE 的 IPv6 支持,例如,在使用 PXE 执行 Windows 部署时,其中 PXE 服务器仅为 IPv4 配置。
UEFI 管理页
“管理”页允许你在符合条件的设备上管理 Zero Touch UEFI 管理和其他功能的使用。
图 8. 管理对 Zero Touch UEFI 管理和其他功能的访问。
使用 Zero Touch UEFI 管理,可以使用名为“设备固件配置接口” (DFCI) Intune中的设备配置文件远程管理 UEFI 设置。 如果未配置此设置,则使用 DFCI 管理符合条件的设备的功能将设置为 “就绪”。 若要阻止 DFCI,请选择“ 选择退出”。
“UEFI 退出”页
使用“退出”页上的“立即重启”按钮退出 UEFI 设置,如图 9 所示。
图 9. 选择“立即重启”退出 Surface UEFI 并重启设备。
Surface UEFI 启动屏幕
使用Windows 更新或手动安装更新 Surface 设备固件时,更新不会立即应用于设备,而是在下一个重新启动周期中。 可以在 管理和部署 Surface 驱动程序和固件更新中了解有关 Surface 固件更新过程的详细信息。 固件更新进度显示在具有不同颜色的进度栏的屏幕上,以指示每个组件的固件。 图 9 到图 18 中显示了每个组件的进度栏。
图 10. Surface UEFI 固件更新显示蓝色进度栏。
图 11. 系统嵌入式控制器固件更新显示绿色进度栏。
图 12. SAM 控制器固件更新显示橙色进度栏。
图 13. Intel 管理引擎固件更新显示红色进度栏。
图 14. Surface 触摸固件更新显示灰色进度栏。
图 15. Surface KIP 固件更新显示浅绿色进度栏。
图 16 Surface ISH 固件更新显示浅粉色进度条。
图 17. Surface 触控板固件更新显示粉红色进度栏。
图 18. Surface TCON 固件更新显示浅灰色进度条。
图 19. Surface TPM 固件更新显示紫色进度栏。
注意
显示一条指示已禁用安全启动的附加警告消息,如图 19 所示。
图 20. 指示已在 Surface UEFI 设置中禁用安全启动的 Surface 启动屏幕。
参考
- Surface Go 和 Surface Go 2 使用第三方 UEFI,不支持 DFCI。