Microsoft Surface & Geräte Microsoft Surface & Devices

Enterprise-Referenz für Microsoft Surface for Business, Surface Hub und angrenzende Geräteverwaltung mit Fokus auf Windows Autopilot, Intune, Firmware-Governance, Zubehörstandardisierung, Supportmodellen und PowerShell-Automatisierung. Enterprise reference for Microsoft Surface for Business, Surface Hub, and adjacent device management with a focus on Windows Autopilot, Intune, firmware governance, accessory standardization, support models, and PowerShell automation.

Gerätekategorien Device families

Surface for Business SKUs unterscheiden sich von Consumer-Modellen vor allem durch Windows Pro oder Enterprise, längeren Support im Unternehmenskontext, kommerzielle Zubehörpfade und in vielen Fällen durch zusätzliche UEFI-Managementseiten für SEMM oder DFCI. Surface for Business SKUs differ from consumer models mainly through Windows Pro or Enterprise, longer enterprise support handling, commercial accessory paths, and in many cases additional UEFI management pages for SEMM or DFCI.

Duo 2 und das nie breit ausgelieferte Neo-Konzept sind heute keine typischen Standardisierungsanker für Windows-Flotten. In der Praxis standardisieren Unternehmen meist auf Pro-, Laptop- und Go-Linien und halten Book, Studio oder Hub für Spezialrollen bereit. Duo 2 and the Neo concept that never became a broad shipping platform are not typical standardization anchors for Windows fleets today. In practice, enterprises usually standardize on Pro, Laptop, and Go lines while keeping Book, Studio, or Hub for specialist roles.

Unternehmensbereitstellung Enterprise deployment

Surface-Flotten harmonieren besonders gut mit Windows Autopilot, weil OEM-Hardware-ID, Microsoft-Treiberpfad und Intune-basierte Richtlinien ohne klassisches Re-Imaging zusammenspielen. Für benutzergebundene Geräte ist der user-driven Modus der Normalfall; für Shared Devices und Kioske sind self-deploying Profile relevant. Surface fleets align especially well with Windows Autopilot because OEM hardware identity, Microsoft driver distribution, and Intune-based policy work together without classical re-imaging. For user-assigned devices, user-driven deployment is the norm; for shared devices and kiosks, self-deploying profiles matter.

Bei der Image-Strategie ist ein fabriknahes Windows-Image plus Intune-Konfiguration meist robuster als ein vollgepacktes Golden Image. Modellabhängige Treiberpakete aus den Surface Tools for IT bleiben wichtig, wenn Task Sequences, Offline-Medien oder ConfigMgr-basierte Bare-Metal-Prozesse notwendig sind. For image strategy, a factory-close Windows image plus Intune configuration is usually more resilient than a heavy golden image. Model-specific driver packs from Surface Tools for IT remain important when task sequences, offline media, or ConfigMgr-based bare-metal processes are required.

Praxisleitlinien für Images und Ringe Practical guidance for images and rings

• Bevorzugen Sie Microsoft-Werksimages, Autopilot-Gruppentags und Intune-Baselines gegenüber häufigen eigenen Neuimages. Prefer Microsoft factory images, Autopilot group tags, and Intune baselines over frequent custom re-imaging.
• Nutzen Sie Surface-spezifische Treiberpakete nur dort, wo Offline-Deployment oder strikte Task-Sequencing-Prozesse bestehen. Use Surface-specific driver packs only where offline deployment or strict task-sequencing processes exist.
• Trennen Sie Pilot-, Early-Adopter- und Broad-Ringe für Firmware, Treiber, Feature Updates und Dock-Firmware. Separate pilot, early adopter, and broad rings for firmware, drivers, feature updates, and dock firmware.

Install-Script -Name Get-WindowsAutoPilotInfo -Force

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Get-WindowsAutoPilotInfo.ps1 -OutputFile .\Surface-Pro10.csv

Get-WindowsAutoPilotInfo.ps1 `
  -Online `
  -GroupTag "Surface-Pro10" `
  -AssignedUser "user@contoso.com"

SEMM — Surface Enterprise Management Mode SEMM — Surface Enterprise Management Mode

SEMM sperrt Surface-UEFI-Einstellungen über eine zertifikatsbasierte Richtlinie. Die Richtlinie wird mit dem Microsoft Surface UEFI Configurator erstellt, signiert und dann auf kompatible Geräte verteilt, sodass Anwender Einstellungen wie Bootreihenfolge, integrierte Hardware oder TPM-Optionen nicht lokal verändern können. SEMM locks Surface UEFI settings through a certificate-based policy. The policy is created with Microsoft Surface UEFI Configurator, signed, and then distributed to compatible devices so users cannot locally alter settings such as boot order, integrated hardware, or TPM-related options.

SEMM ist besonders relevant für hochkontrollierte Szenarien, Labore, Fertigung, Behörden und Offline-Umgebungen. Der Preis dafür ist mehr Zertifikats- und Recovery-Governance, weil eine verlorene Signaturkette oder ein falsches Paket physische Eingriffe erfordern kann. SEMM is especially relevant for highly controlled scenarios, labs, manufacturing, government, and offline environments. The cost is additional certificate and recovery governance, because a lost signing chain or a wrong package can require physical intervention.

Typische Governance-Schritte Typical governance steps

• SEMM-Zertifikate in einem kontrollierten HSM-, Key-Vault- oder Offline-CA-Prozess verwalten. Manage SEMM certificates through a controlled HSM, Key Vault, or offline CA process.
• UEFI-Pakete pro Modell und Ring getrennt signieren, dokumentieren und versionieren. Sign, document, and version UEFI packages separately by model and ring.
• Vor Broad Deployment immer einen physischen Recovery-Plan inklusive Tastenkombinationen und Ersatzgeräten testen. Before broad deployment, always test a physical recovery plan including key sequences and spare devices.

Import-Module SurfaceUEFIManager

Get-SurfaceUEFIComponent -Path .\SurfacePro10-UEFI.xml

Set-SurfaceUEFIComponent -Path .\SurfacePro10-UEFI.xml -Name BootOrder -Value "SSD,USB,Network"

Set-SurfaceUEFIComponent -Path .\SurfacePro10-UEFI.xml -Name UsbPort -Value Disabled

Set-SurfaceUEFIComponent -Path .\SurfacePro10-UEFI.xml -Name Camera -Value Disabled

DFCI — Device Firmware Configuration Interface DFCI — Device Firmware Configuration Interface

DFCI erweitert die Intune- und MDM-Steuerung bis in UEFI-Einstellungen hinein. Unterstützte Surface-Modelle können dadurch Firmware-Richtlinien aus der Cloud erhalten, typischerweise während oder kurz nach Autopilot, ohne dass ein separates Zertifikatspaket wie bei SEMM verteilt werden muss. DFCI extends Intune and MDM control into UEFI settings. Supported Surface models can therefore receive firmware policy from the cloud, typically during or shortly after Autopilot, without the separate certificate package distribution required by SEMM.

Im Unterschied zu SEMM ist DFCI cloud-first: Die Richtlinie lebt in Intune, ist enger mit Entra Join, Autopilot und modernen Compliance-Prozessen verbunden und eignet sich besser für verteilte Flotten ohne lokale Imaging-Infrastruktur. Beide Modelle können ähnliche Schutzabsichten verfolgen, unterscheiden sich aber stark im Betriebsmodell. Unlike SEMM, DFCI is cloud-first: the policy lives in Intune, is more tightly coupled with Entra join, Autopilot, and modern compliance processes, and suits distributed fleets without local imaging infrastructure. Both models can pursue similar protection goals, but they differ strongly in operating model.

Connect-MgGraph -Scopes DeviceManagementConfiguration.ReadWrite.All

$dfciPolicy = @'
{
  "@odata.type": "#microsoft.graph.windows10CustomConfiguration",
  "displayName": "DFCI - Surface Camera and USB Lockdown",
  "description": "Blocks camera and USB boot on supported Surface devices",
  "omaSettings": [
    {
      "@odata.type": "#microsoft.graph.omaSettingString",
      "displayName": "AllowCamera",
      "description": "DFCI camera control",
      "omaUri": "./Device/Vendor/MSFT/DFCI/Configuration/AllowCamera",
      "value": "0"
    },
    {
      "@odata.type": "#microsoft.graph.omaSettingString",
      "displayName": "AllowBootFromUsb",
      "description": "DFCI USB boot control",
      "omaUri": "./Device/Vendor/MSFT/DFCI/Configuration/AllowBootFromUsb",
      "value": "0"
    }
  ]
}
'@

Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations" -Body $dfciPolicy -ContentType "application/json"

Treiber- und Firmware-Lifecycle Driver and firmware lifecycle

Surface-Treiberpakete und Firmware kommen entweder über Windows Update, Windows Update for Business, WSUS, MECM/ConfigMgr, Intune-Policies oder ergänzende Reporting-Werkzeuge. Für moderne Flotten ist Windows Update for Business meist der Primärpfad, während Driver Packs wichtig bleiben, wenn Bare-Metal-, Task-Sequence- oder Recovery-Medien gebaut werden. Surface driver packages and firmware arrive through Windows Update, Windows Update for Business, WSUS, MECM/ConfigMgr, Intune policies, or complementary reporting tools. For modern fleets, Windows Update for Business is usually the primary path, while driver packs remain important when building bare-metal, task-sequence, or recovery media.

Die Surface Update History pro Modell ist für Change Management essenziell, weil Firmware, Docking-Firmware, Treiber und manchmal Sicherheitskorrekturen modellgenau geprüft werden müssen. Besonders bei Docking, Kamera-Stacks, Thunderbolt und Modern Standby lohnt sich ein Pilot-Ring vor der breiten Freigabe. Per-model Surface Update History is essential for change management because firmware, docking firmware, drivers, and sometimes security fixes must be validated per model. Especially around docking, camera stacks, Thunderbolt, and Modern Standby, a pilot ring is worth using before broad approval.

Get-WmiObject Win32_BIOS |
  Select-Object Manufacturer, SMBIOSBIOSVersion, ReleaseDate, SerialNumber

Get-WmiObject Win32_BaseBoard |
  Select-Object Manufacturer, Product, Version, SerialNumber

Surface Hub 3 Surface Hub 3

Surface Hub 3 verbindet Teams Rooms, Whiteboarding, Touch, Ink und kollaborative Meeting-Workflows auf einer großen Front-of-Room-Plattform. Gegenüber älteren Surface-Hub-Ansätzen bewegt sich das Gerät näher an einen standardisierbaren Windows-11- und Intune-Betrieb mit klareren Update- und Policy-Pfaden. Surface Hub 3 combines Teams Rooms, whiteboarding, touch, ink, and collaborative meeting workflows on a large front-of-room platform. Compared to older Surface Hub approaches, the device moves closer to a standardizable Windows 11 and Intune operating model with clearer update and policy paths.

In der Praxis wird Hub 3 meist mit Teams Rooms Pro, Ressourcenkonto-Governance, Intune-Shared-Device-Richtlinien und einem eigenen Update-Ring betrieben. Kamera- und Intelligent-Capture-Szenarien sollten zusammen mit Raumakustik, Front Row, Content Capture und Freigabeworkflows bewertet werden. In practice, Hub 3 is usually operated with Teams Rooms Pro, resource-account governance, Intune shared-device policies, and a dedicated update ring. Camera and intelligent capture scenarios should be evaluated together with room acoustics, Front Row, content capture, and sharing workflows.

• Teams Rooms Pro ist für die vollen Manageability- und Analytics-Funktionen der meisten produktiven Räume der sinnvolle Lizenzpfad. Teams Rooms Pro is the sensible licensing path for the full manageability and analytics feature set of most production rooms.
• Ressourcenkonto, Shared Device Profile, lokale Wartungsfenster und Netzwerkkonfiguration sollten wie bei anderen Raumgeräten standardisiert werden. Resource accounts, shared device profiles, local maintenance windows, and network configuration should be standardized as with other room devices.
• Whiteboarding und Ink profitieren von klar geregelten Aufbewahrungs- und Sharing-Prozessen in Teams und OneDrive. Whiteboarding and ink benefit from clearly governed retention and sharing processes in Teams and OneDrive.

Docks & Zubehör Docks & accessories

Bei Surface-Flotten ist Zubehör kein Nebenthema. Dockingstationen, Pens, Tastaturen und mobile Hubs beeinflussen Anzeigewege, Netzwerkschnittstellen, Firmware-Pflege, Benutzerakzeptanz und letztlich Supporttickets im Alltag. For Surface fleets, accessories are not a side topic. Docking stations, pens, keyboards, and travel hubs influence display paths, network interfaces, firmware maintenance, user acceptance, and ultimately daily support tickets.

Typische Peripherie im Standardkatalog Typical peripherals in the standard catalog

• Surface Pen und Surface Slim Pen 2 sind für Pro- und Studio-Szenarien relevant, insbesondere für OneNote, Whiteboard, Annotierung und digitale Unterschrift. Surface Pen and Surface Slim Pen 2 matter for Pro and Studio scenarios, especially for OneNote, Whiteboard, annotation, and digital signature workflows.
• Surface Arc Mouse adressiert mobile Nutzer mit kleinem Reiseprofil, ist aber kein Ersatz für ergonomische Standardmäuse in festen Arbeitsplätzen. Surface Arc Mouse addresses mobile users with a small travel footprint, but it is not a replacement for ergonomic standard mice at fixed desks.
• Surface Keyboard und Type Cover beziehungsweise Flex Keyboard bestimmen Tipperfokus, Ersatzteilhaltung und Helpdesk-Prozesse für mobile Flotten. Surface Keyboard and Type Cover or Flex Keyboard shape typing ergonomics, spare-part stocking, and help-desk processes for mobile fleets.

Sicherheit Security

Surface-Sicherheit baut auf einer Kette aus UEFI-Schutz, TPM, Secure Boot, Windows-Sicherheitsfunktionen und moderner Geräteverwaltung auf. Der Mehrwert entsteht erst dann vollständig, wenn Firmware-Richtlinien, BitLocker, Credential Guard, HVCI und Update-Ringe konsistent zusammengeführt werden. Surface security is built on a chain of UEFI protection, TPM, Secure Boot, Windows security features, and modern device management. The value becomes complete only when firmware policy, BitLocker, Credential Guard, HVCI, and update rings are brought together consistently.

Microsoft Pluton ist auf ausgewählten neueren Surface-Plattformen relevant, insbesondere in ARM-basierten Surface-Pro-Generationen ab Surface Pro 9 mit 5G und in neueren Business-Laptop-Linien abhängig vom jeweiligen Silizium. Beschaffungsteams sollten Pluton pro SKU verifizieren, statt die Abdeckung pauschal für jede Intel-Generation anzunehmen. Microsoft Pluton is relevant on selected newer Surface platforms, especially in ARM-based Surface Pro generations starting with Surface Pro 9 with 5G and in newer business laptop lines depending on the specific silicon. Procurement teams should verify Pluton per SKU rather than assuming blanket coverage for every Intel generation.

Härtungscheckliste für Standardgeräte Hardening checklist for standard devices

• Secure Boot, BitLocker und Defender-Baselines in der Standardbereitstellung aktiv halten. Keep Secure Boot, BitLocker, and Defender baselines enabled in the standard build.
• Pilotieren Sie HVCI, Credential Guard und DMA-Schutz mit geschäftskritischen Treibern, Docks und VPN-Stacks. Pilot HVCI, Credential Guard, and DMA protection with business-critical drivers, docks, and VPN stacks.
• Dokumentieren Sie modellbezogene Pluton-, TPM- und DFCI-Fähigkeiten bereits im Beschaffungsprozess. Document model-specific Pluton, TPM, and DFCI capabilities during procurement.
• Verknüpfen Sie Firmware- und Sicherheitsausnahmen mit CMDB-, Asset- und Ausnahmeprozessen. Tie firmware and security exceptions into CMDB, asset, and exception processes.

Garantie & Support Warranty & support

Surface-Support ist in Enterprise-Umgebungen nicht nur eine Garantiefrage, sondern ein Prozess für Ersatzgeräte, Asset-Rücknahme, Vorabtausch, Zusatzschutz und verlässliche Seriennummernzuordnung. Gerade bei mobilen Führungskräften oder Frontline-Geräten bestimmt das Supportmodell die Downtime stärker als das reine Kaufdatum. In enterprise environments, Surface support is not just a warranty question but a process for spare devices, asset return, advanced exchange, add-on protection, and reliable serial number mapping. Especially for mobile executives or frontline devices, the support model often affects downtime more than the raw purchase date.

• Surface as a Service verlagert Budgetierung und Lifecycle in ein wiederkehrendes Modell und kann Ersatz, Support und Aktualisierung planbarer machen. Surface as a Service shifts budgeting and lifecycle into a recurring model and can make refresh, support, and replacement more predictable.
• Für WEEE- und Recycling-Prozesse sollten Asset-Tag, Seriennummer, Datenlöschbestätigung und Rücknahmepartner sauber dokumentiert werden. For WEEE and recycling processes, asset tag, serial number, data-erasure confirmation, and take-back partner details should be documented cleanly.
• Ein kleiner Pool vorbetankter Ersatzgeräte reduziert Wartezeiten stärker als jede Supportbroschüre. A small pool of pre-staged spare devices reduces waiting time more than any support brochure.

Surface Management Portal Surface Management Portal

Das Surface Management Portal ist ein browserbasiertes Verwaltungs- und Sichtbarkeitswerkzeug für Surface-Bestände. Es ergänzt Intune, indem es Warranty-, Health-, Support- und Firmware-Perspektiven zusammenführt, ohne selbst den primären MDM-Pfad zu ersetzen. Surface Management Portal is a browser-based management and visibility tool for Surface estates. It complements Intune by bringing warranty, health, support, and firmware perspectives together without replacing the primary MDM path.

PowerShell & Intune Scripting PowerShell & Intune scripting

Für Surface-Bestände liegen die wichtigsten Automatisierungspunkte in Microsoft Graph, Intune, WMI und modellbezogenen Firmwarepfaden. Skripte sollten stets tenant-sichere Berechtigungen, Pilotringe, Logging und modellabhängige Abzweigungen berücksichtigen. For Surface estates, the most important automation points sit in Microsoft Graph, Intune, WMI, and model-specific firmware paths. Scripts should always account for tenant-safe permissions, pilot rings, logging, and model-dependent branching.

• Verwenden Sie für Graph-Aufrufe möglichst gering privilegierte App- oder Delegated Scopes. Use the least-privileged app or delegated scopes possible for Graph calls.
• Filtern Sie nach Hersteller und Modell, damit generische Windows-Flotten nicht versehentlich Surface-spezifische Richtlinien erhalten. Filter by manufacturer and model so generic Windows fleets do not accidentally receive Surface-specific policies.
• Koppeln Sie Firmware-Änderungen immer an Export-, Rollback- und Ring-Logik. Always tie firmware changes to export, rollback, and ring logic.

Intune-Graph-Abfrage für Surface-Geräte Intune Graph query for Surface devices

Die folgende Abfrage filtert in Intune auf Geräte mit dem Hersteller Microsoft Corporation und selektiert die wichtigsten Felder für Inventur oder Compliance-Auswertung. The following query filters Intune for devices manufactured by Microsoft Corporation and selects the most relevant fields for inventory or compliance analysis.

Connect-MgGraph -Scopes DeviceManagementManagedDevices.Read.All

Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/managedDevices?$filter=manufacturer eq 'Microsoft Corporation'&$select=deviceName,model,manufacturer,complianceState,operatingSystem,osVersion,serialNumber"

SEMM-Status über WMI prüfen Check SEMM status through WMI

Auf unterstützten Geräten kann der WMI-Namespace genutzt werden, um den lokalen SEMM-Zustand, die Richtlinieninstanz und zugehörige Eigenschaften zu prüfen. On supported devices, the WMI namespace can be used to inspect local SEMM state, policy instance, and related properties.

Get-CimInstance -Namespace root\wmi -ClassName MSFT_SurfaceEnterpriseManagementMode |
  Format-List *

DFCI-Konfigurationsprofil per Microsoft Graph Beta erstellen Create a DFCI configuration profile through Microsoft Graph Beta

Mit dem Microsoft.Graph.Beta.DeviceManagement-Modul kann zunächst der Richtliniencontainer für eine spätere DFCI- oder Settings-Catalog-Befüllung angelegt werden. With the Microsoft.Graph.Beta.DeviceManagement module, you can first create the policy container that will later hold DFCI or settings catalog entries.

Import-Module Microsoft.Graph.Beta.DeviceManagement

Connect-MgGraph -Scopes DeviceManagementConfiguration.ReadWrite.All

$params = @{
  name = "DFCI - Surface Pro 10 Baseline"
  description = "Cloud-managed firmware baseline for supported Surface devices"
  platforms = "windows10"
  technologies = "mdm"
  settings = @()
}

New-MgBetaDeviceManagementConfigurationPolicy -BodyParameter $params

JSON-Fragment für eine DFCI-Richtlinie JSON fragment for a DFCI policy

Für REST-Automatisierung, CI/CD oder dokumentierte Change Requests kann ein kompakter JSON- oder ARM-ähnlicher Ausschnitt direkt als Payload-Versionierung gepflegt werden. For REST automation, CI/CD, or documented change requests, a compact JSON or ARM-like snippet can be maintained directly as payload versioning.

$dfciJson = @'
{
  "@odata.type": "#microsoft.graph.windows10CustomConfiguration",
  "displayName": "DFCI - Disable Camera",
  "omaSettings": [
    {
      "@odata.type": "#microsoft.graph.omaSettingString",
      "displayName": "AllowCamera",
      "omaUri": "./Device/Vendor/MSFT/DFCI/Configuration/AllowCamera",
      "value": "0"
    }
  ]
}
'@

Gute Surface-Automatisierung endet nicht beim API-Aufruf. Dokumentieren Sie immer Modellabhängigkeiten, getestete Firmwarestände, Ringzuordnung, Zertifikats- oder Richtlinienbesitz und einen belastbaren Rollback-Weg. Good Surface automation does not end with the API call. Always document model dependencies, tested firmware levels, ring assignment, certificate or policy ownership, and a reliable rollback path.