管理 Surface UEFI 设置

Surface PC 设备旨在利用 Microsoft 专门为这些设备设计的独特统一可扩展固件接口 (UEFI) 。 Surface UEFI 设置提供启用或禁用内置设备和组件、防止更改 UEFI 设置以及调整 Surface 设备启动设置的功能。

以下方面支持 UEFI 管理：

提示

商业 SKU (又名Surface 商用版) 运行Windows 10 专业版/企业或 Windows 11 专业版/企业;使用者 SKU 运行 Windows 10/Windows 11 家庭版。 在 UEFI 中，商业 SKU 是唯一具有“设备”页和“管理”页功能的模型。 若要了解详细信息，请参阅 查看系统信息。

Surface UEFI 管理将设备固件配置接口 (DFCI) 配置文件内置Microsoft Intune (现在以公共预览版) 提供，将新式管理堆栈扩展到 UEFI 硬件级别。 DFCI 支持零接触预配，消除 BIOS 密码，提供对安全设置（包括启动选项和内置外设）的控制，并为将来的高级安全方案奠定了基础。

DFCI 目前适用于 5G Surface Studio 2+、Surface Pro 9、Surface Pro 9、Surface Laptop 5、Surface Laptop 4、Surface Laptop 3、Surface Laptop Studio、Surface Book 3、Surface Laptop SE、Surface Laptop Go 2、Surface Laptop Go、Surface Pro 8、Surface Pro 7+、Surface Pro 7、Surface Pro X 和 Surface Go 3。 有关详细信息，请参阅 管理 Surface 设备上的 DFCI。

若要在系统启动期间调整 UEFI 设置，请执行以下操作：

电脑信息页面包括有关 Surface 设备的详细信息：

型号 - 你的 Surface 设备的型号将在此处显示，例如Surface Book 2 或 Surface Pro 7。 不会 (显示设备的确切配置，例如处理器、磁盘大小或内存大小) 。

UUID - 此通用唯一标识号特定于设备，用于在部署或管理期间标识设备。

序列号 – 此编号标识此特定 Surface 设备，用于资产标记和支持方案。

资源标记 - 资源标记通过资源标记工具分配到 Surface 设备。

还可以找到关于 Surface 设备固件的详细信息。 Surface 设备具有多个内部组件，每个组件运行不同版本的固件。 以下所有设备的固件版本显示在电脑信息页上（如图 1 所示）：

系统 UEFI

SAM 控制器

Intel 管理引擎

系统嵌入式控制器

触摸固件

图 1. 系统信息和固件版本信息

在设备的 Surface 更新历史记录中可以找到有关 Surface 设备最新固件版本的最新信息。

图 2. 配置 Surface UEFI 安全设置

“安全”页允许设置密码来保护 UEFI 设置。 在将 Surface 设备启动到 UEFI 时，必须输入此密码。 密码可以包含以下字符 (，如图 3) 所示：

大写字母：A-Z

小写字母：a-z

数字：1-0

特殊字符：！@#$%^&* () ？{}[]-_=+|.,;:''"

密码必须至少为六个字符，并且区分大小写。

图 3. 添加保护 Surface UEFI 设置的密码

在“安全”页上，还可以更改 Surface 设备上的安全启动配置。 安全启动技术可阻止未经授权的启动代码启动 Surface 设备，这可防御 bootkit 和 rootkit 类型的恶意软件感染。 可以禁用安全启动，从而允许 Surface 设备启动第三方操作系统或可启动媒体。 还可以将安全启动配置为使用第三方证书，如图 4 所示。 若要了解详细信息，请参阅 安全启动。

图 4. 配置安全启动

根据你的设备，你可能还能够查看 TPM 是启用或禁用的。 如果未看到 “启用 TPM” 设置，请在 Windows 中打开 tpm.msc 以检查状态，如图 5 所示。 TPM 用于通过 BitLocker 对设备数据的加密进行身份验证。 若要了解详细信息，请参阅 BitLocker 概述。

图 5. TPM 控制台

“设备”页允许在符合条件的设备上启用或禁用特定组件。 组件包括：

停靠 USB 端口

MicroSD 或 SD 卡槽

后置摄像头

前置摄像头

红外 (IR) 相机

WLAN 和蓝牙

板载音频（扬声器和麦克风）

每个设备都列出了一个滑块按钮， 你可以移动到启用 () 或 关闭 (禁用) 位置，如图 6 所示。

图 6. 启用和禁用特定设备

“启动配置”页允许更改启动设备的顺序，以及启用或禁用以下设备的启动：

Windows 启动管理器

USB 存储

PXE 网络

内部存储

你可以立即从特定设备启动，或使用触摸屏向左轻扫列表中的该设备条目。 还可以在关闭 Surface 设备电源时，同时按调低音量按钮和电源按钮，立即启动到 USB 设备或 USB 以太网适配器。

若要使指定的启动顺序生效，必须将 “启用备用启动序列 ”选项设置为 “开”，如图 7 所示。

图 7. 配置 Surface 设备的启动顺序

还可以使用“启用 IPv6 for PXE 网络启动”选项打开和关闭 对 PXE 的 IPv6 支持，例如，在使用 PXE 执行 Windows 部署时，其中 PXE 服务器仅为 IPv4 配置。

“管理”页允许你在符合条件的设备上管理 Zero Touch UEFI 管理和其他功能的使用。

图 8. 管理对 Zero Touch UEFI 管理和其他功能的访问权限

Zero Touch UEFI 管理允许使用名为“设备固件配置接口” (DFCI) Intune中的设备配置文件远程管理 UEFI 设置。 如果未配置此设置，则使用 DFCI 管理符合条件的设备的功能将设置为 “就绪”。 若要阻止 DFCI，请选择“ 选择退出”。

使用“退出”页上的“立即重启”按钮退出 UEFI 设置，如图 9 所示。

图 9. 单击“立即重启”退出 Surface UEFI，并重启设备

使用Windows 更新或手动安装更新 Surface 设备固件时，更新不会立即应用于设备，而是在下一个重启周期中应用。 可以在 管理和部署 Surface 驱动程序和固件更新中了解有关 Surface 固件更新过程的详细信息。 固件更新进度显示在具有不同颜色的进度栏的屏幕上，以指示每个组件的固件。 图 9 到图 18 中显示了每个组件的进度栏。

图 10. Surface UEFI 固件更新显示蓝色进度栏

图 11. 系统嵌入式控制器固件更新显示绿色进度栏

图 12. SAM 控制器固件更新显示橙色进度栏

图 13. Intel 管理引擎固件更新显示红色进度栏

图 14. Surface 触摸固件更新显示灰色进度栏

图 15. Surface KIP 固件更新显示浅绿色进度栏

图 16 Surface ISH 固件更新显示浅粉色进度栏

图 17. Surface 触控板固件更新显示粉红色进度栏

图 18. Surface TCON 固件更新显示浅灰色进度条

图 19. Surface TPM 固件更新显示紫色进度栏

注意

显示一条指示已禁用安全启动的附加警告消息，如图 19 所示。

图 20. 指示安全启动已在 Surface UEFI 设置中禁用的安全启动屏幕

Surface UEFI 设置的 Intune 管理

Surface 企业管理模式