Surface 和 Microsoft Configuration Manager 的考慮

基本上，使用 Microsoft Configuration Manager 的 Surface 裝置管理和部署會遵循與管理其他電腦相同的原則。 如同任何計算機部署，它包括匯入驅動程式、準備 Windows 映射、設定部署工作順序，以及將這些序列套用至裝置集合。 部署之後，Surface 裝置的行為就像任何其他 Windows 用戶端一樣，透過熟悉的程式接收應用程式、設定和原則。

若要深入瞭解，請參閱 Microsoft Configuration Manager 檔。

雖然 Surface 裝置的部署和管理基本上類似於其他電腦，但某些案例可能需要額外的 IT 工作，如本文所述。

主動式監視、安全性和 AI 支援的深入解析

Configuration Manager 支援增強的安全性、主動式監視和合規性強制執行。 它可讓 IT 系統管理員利用虛擬化型安全性 (VBS) 來隔離重要的安全性作業，而 TPM 2.0 在啟用 BitLocker 加密、安全開機和 Windows Hello 企業版 方面扮演基礎角色。 Configuration Manager 藉由監視裝置健康情況和原則遵循，確保裝置受到保護，防止未經授權的存取，以確保符合這些安全性基準的規範。

此外，適用於端點的 Microsoft Defender 與 Configuration Manager整合，提供 AI 支援的威脅偵測和回應功能，協助組織偵測異常並防範複雜的威脅。

Windows 11 24H2 更新整合

在 Surface 裝置上使用 Windows 11 24H2 部署的 Configuration Manager，以確保相容性。 使用 OEM 啟用 3.0 (OA 3.0) 工具或Microsoft 的 KMS 基礎結構來部署或重新製作這些裝置的映射時，請確定產品啟用一致。

• 主要資源：檢查 Windows 安裝程式版本設定和產品識別碼檔案 以了解授權需求。 使用 Windows Enterprise 版本安裝或重新建立映射時，請使用適當的工作順序，以避免內嵌韌體密鑰與新的 OS 之間發生衝突。

Surface 乙太網路適配器和 Configuration Manager 部署

使用乙太網路適配器部署 Surface 裝置時，Configuration Manager 依 MAC 位址識別裝置。 不過，共用乙太網路適配器可藉由將多個裝置辨識為單一裝置，而導致部署問題。 若要避免這種情況，請將 Configuration Manager 設定為使用替代標識碼，例如系統 UUID。

• 最佳做法：從 MAC 型識別排除 Surface 乙太網路適配器，以防止部署衝突。
• 驅動程式可用性：Microsoft 更新類別目錄中提供舊版 Windows 的驅動程式。 對於較新的版本，驅動程式預設會包含在 Windows 中，而且不需要額外的設定。

搭配 Surface 用戶端使用預先設置的媒體

如果針對 Surface 部署使用 預先設置的媒體 ，請採取額外的步驟來容納需要多個分割區的 UEFI 環境。 若要深入瞭解，請 參閱建立預先設置的媒體。

與 OEM 啟用 3.0 的授權衝突

Surface 裝置會透過 OEM Activation 3.0 隨附內嵌的 Windows 授權密鑰。 部署與預安裝操作系統不同的 Windows 版本時，請留意潛在的衝突。

• 範例：如果裝置隨附 Windows 11 家用版，而您想要安裝 Windows 11 專業版，請使用 Ei.cfg 或 Pid.txt 檔案略過內嵌授權密鑰。
• 企業部署：針對使用 Windows Enterprise 版本的組織，預設會略過內嵌密鑰， 且 KMS 或 Active Directory 型啟用 會完成此程式。

在部署期間套用資產標籤

使用 Surface 資產標記工具 直接從 UEFI 套用資產標記。 即使操作系統失敗，這仍允許識別，簡化IT系統管理員的資產管理。 若要深入瞭解，請參閱 Configuration Manager 中的資產智慧簡介。

設定按鈕重設

根據預設， 按鈕重設會 將 Surface 裝置還原為乾淨狀態，並捨棄應用程式和設定。 針對專業環境，請使用部署按鈕重設功能，設定按鈕重設以還原具有預安裝設定 的裝置。