Proteger e gerir o Surface Hub com SEMM
Utilize o Modo de Gestão Empresarial (SEMM) do Microsoft Surface para gerir as definições da Interface de Firmware Extensível Unificada (UEFI) num ou mais dispositivos Surface Hub.
Gerir componentes
O SEMM permite-lhe controlar vários componentes de hardware no Surface Hub, incluindo:
- Áudio a bordo
- LAN com fio
- Bluetooth
- Wi-Fi
- Sensor de ocupação
Configurações avançadas
Com o UeFI Configurator do Surface, incluído no Toolkit de TI do Surface, pode ativar ou desativar as seguintes definições de UEFI:
Segurança
- SMT (Multi-Threading simultâneo)
Iniciar
- Inicialização de IPv6 para PXE
- Inicialização alternativa
- Bloqueio da ordem de inicialização
- Inicialização USB
Primeira Página do UEFI
- Devices
- Iniciar
- Data/Hora
- EnableOSMigration (apenas no Surface Hub 2S)
Palavra-passe UEFI
O UEFI é uma interface de firmware avançada que substitui o BIOS tradicional, oferecendo segurança melhorada, tempos de arranque mais rápidos e suporte para hardware moderno. Definir uma palavra-passe UEFI adiciona uma camada adicional de proteção ao impedir alterações não autorizadas às definições de firmware. Certifique-se de que define uma palavra-passe segura e a armazena de forma segura.
Dica
Para obter mais informações sobre as implicações de segurança da configuração de definições SEMM, veja Gerir definições UEFI comreferência de definições UEFI SEMM e SEMM.
Transferir o firmware e o firmware do Surface IT Toolkit e do Surface Hub 2S
Num PC separado, siga estes passos:
- Transfira o Toolkit de TI do Surface, que inclui o UeFI Configurator do Surface.
- Siga as instruções de instalação em Introdução ao Toolkit de TI do Surface.
Preparar o certificado SEMM
Antes de utilizar o UEFI Configurator pela primeira vez, tem de preparar um certificado para proteger o pacote SEMM:
- Grandes empresas: gere certificados com a infraestrutura de segurança da sua organização.
- Médias empresas: considere obter certificados de fornecedores de parceiros fidedignos, especialmente se não tiver recursos de segurança de TI dedicados.
- Certificados autoassinados: para configurações mais pequenas, pode gerar um certificado autoassinado com o PowerShell. Para obter detalhes, veja o Guia de certificado autoassinado e os requisitos de certificado do Modo de Gestão Empresarial do Surface.
Aviso
Para anular a inscrição de um dispositivo do SEMM e restaurar o controlo sobre as definições de UEFI, tem de ter o certificado SEMM utilizado para inscrever o dispositivo. Se este certificado estiver perdido ou danificado, a anulação da inscrição não será possível. Certifique-se de que faz uma cópia de segurança e protege o certificado SEMM.
Criar um pacote SEMM
Para criar um pacote SEMM para o Surface Hub, siga estes passos com o Toolkit de TI do Surface num PC separado:
Abra o Toolkit de TI do Surface, selecione UEFI Configurator e, em seguida, selecione Configurar dispositivos.
Na página Configuração e Certificação do Dispositivo, configure os seguintes itens e, em seguida, selecione Seguinte:
- Selecione Criação de Implementação: selecione DFI.
- Importar Proteção de Certificados: selecione Adicionar, procure o certificado (ficheiro .pfx) e introduza a palavra-passe associada.
- Selecione Tipo de Pacote DFI: selecione Pacote de Configuração.
- Selecione Dispositivo: selecioneSurface Hub e, em seguida, selecione Surface Hub 2S ou Surface Hub 3.
Navegue para a página Definições de Configuração do Dispositivo:
- Ative ou desative as definições adequadas. Para obter orientações detalhadas sobre cada definição, veja a referência de definições UEFI do SEMM.
- Em Palavra-passe UEFI, selecione Definir ou Modificar Palavra-passe e, em seguida, introduza e confirme a sua palavra-passe.
Insira uma pen USB no PC. A unidade será formatada e todos os ficheiros na mesma serão apagados. Selecione Criar para criar o pacote SEMM.
Após a conclusão, tenha em atenção os dois últimos carateres do thumbprint do certificado e, em seguida, selecione Concluir. O seu pacote SEMM, denominado DfciUpdate.dfi, está agora pronto para ser utilizado.
Aplicar o pacote SEMM ao Surface Hub 2S ou Surface Hub 3
Para aplicar o pacote SEMM e inscrever o Surface Hub no SEMM:
- Insira a pen USB com o pacote SEMM na porta USB-A do Surface Hub.
- Desligue o Surface Hub.
- Prima sem soltar o botão Aumentar o volume e, em seguida, prima o botão Ligar /desligar. Mantenha o Volume premido até aparecer o menu UEFI.