gOxiA=苏繁=SuFan Blog

HOWTO: 使用 Surface Deployment Accelerator 为 Surface 设备生成系统安装映像

        Surface Deployment Accelerator（以下简称：SDA）是微软针对 Surface 设备提供的一款用于新生成系统安装映像的免费工具，基于 PowerShell 脚本编写，如果你正在维护 Surface 设备，它将会非常有帮助。大多数熟悉 Surface 的朋友应该知道，微软为 Surface 提供了用于恢复到出厂系统状态的 BMR 工具，但如果你希望使用最新版本的 Windows 10 操作系统并适配到 Surface 设备，那就可以利用 SDA 根据需要重新生成 Surface 特定型号的系统安装映像，在这份安装源中会默认包含该型号的最新驱动、系统的最新更新、Office 365，以及其他一些必要的附加应用组件，且支持生成 U盘或 ISO。

        今天 gOxiA 将会跟大家分享如何使用 SDA 为 Surface 设备生成系统安装映像，首先访问 Github 下载 SDA 压缩包， 解压缩后将会看到一些脚本文件，然后准备一个容量 16GB 以上的 U盘，以及 Windows 10 的 ISO 文件（本次使用的是20H2），能够访问外部网络的连接是必不可少的，因为要下载驱动、更新以及应用组件。当然，也可以事先下载好特定型号的 Surface 驱动，但需要事先展开 MSI 驱动包。

        要执行 SDA 则需要以管理员权限在 PowerShell 命令提示符下运行“CreateSurfaceWindowsImage.ps1”，这个 PS 脚本包含了一些参数，本文仅介绍常用的参数。

  
• -ISO：指定 Windows 10 ISO 文件的路径。
    
• -DestinationFolder：指定生成资源文件要保存的位置。
    
• -OSSKU：指定 Windows 10 的 SKU，有效值为：Pro，Enterprise
    
• -Device：指定了 Surface 的机型，有效的值为：SurfacePro4, SurfacePro5, SurfacePro6, SurfacePro7, SurfaceLaptop, SurfaceLaptop2, SurfaceLaptop3, SurfaceBook, SurfaceBook2, SurfaceBook3, SurfaceStudio, SurfaceStudio2, SurfaceGo, SurfaceGoLTE, SurfaceGo2, and SurfaceHub2
    
• -Office365：集成 Office 365，可以使用 True 或 False 进行控制。
    
• -CreateUSB：创建 U盘，可以使用 True 或 False 进行控制。
    
• -CreateISO：创建 ISO，同上。
    
• -UseLocalDriverPath：当为 True 时必须加载如下参数指定驱动路径。
    
• -LocalDriverPath：Surface 驱动所在路径，需已展开。

命令行参考：

        SDA 目前已经支持简体中文版系统，可以留意版本号，当前为 v1.2.5.3，命令执行正确则只需要耐心等待，根据网络环境和当前系统性能的不同，生成所需的时间也不同，一定要有耐心，1-2小时是很平常的，大致的过程可参考下图：

微软发布基于 Windows 系统映像的 Microsoft Defender 更新

        在企业 IT 交付新安装的 Windows PC 的前几个小时可能会导致系统易受工具，这是因为操作系统安装映像可能未安装最新的系统更新，或包含过时了的反恶意软件。对于系统更新企业 IT 可以定期下载离线的系统更新包解决，而对于 Defender 早先可以通过下载“Defender 安全智能更新包”在部署阶段进行动态更新。而现在微软发布了基于 Windows 系统映像的 Microsoft Defender 更新工具，可以方便企业 IT 定期为操作系统安装映像提供 Defender 更新服务，最大程度地减少新部署中的此保护缺口。

        该工具可为 WIM 和 VHD 文件格式的系统映像执行反恶意软件更新包的安装任务，且只支持如下系统版本：

  
• Windows 10（企业版、专业版和家庭版）
    
• Windows Server 2019
    
• Windows Server 2016

        在执行安装更新后，反恶意软件客户端、反恶意软件引擎和签名版本将会更新到以下版本（本文：20201016）：

  
• 平台版本：4.18.2009.7
    
• 引擎版本：1.1.17500.4
    
• 签名版本：1.325.353.0

        程序包当前版本：1.1.2010.2（20201016），大小约为 110MB，要运行该工具的先决条件如下：

  
• 必须运行64位 Windows 10 或更高本本的操作系统环境，且包括 PowerShell 5.1 或更高版本。
    
• 必须安装 Microsoft PowerShell.Security 和 DISM 模式。
    
• 必须使用管理员权限再设备上启动 PowerShell。

下载地址：https://support.microsoft.com/en-us/help/4568292/defender-update-for-windows-operating-system-installation-images

应用更新

PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action AddUpdate - ImagePath <path_to_Os_Image> -Package <path_to_package>

移除更新

PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action RemoveUpdate - ImagePath <path_to_Os_Image>

显示当前更新信息

PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action ShowUpdate - ImagePath <path_to_Os_Image>

注意：

请勿使用该工具更新实时映像，因为它可能会损坏在虚拟机内部运行的 Windows 安装。

WorkingDirectory 请指定为一个临时工作目录。

使用 Get-WindowsAutopilotInfo 直接向 Windows Autopilot 注册设备

        如果你还记得这篇文章“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”，应该不会对 Get-WindowsAutopilotInfo 感到陌生。利用 Get-WindowsAutopilotInfo 可以收集设备的 DeviceID，然后参考“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”注册到 Windows Autopilot 执行部署。

        将 DeviceID 添加到 Intune 的步骤还是比较繁琐的，现在 Get-WindowsAutopilotInfo 可以直接注册设备，这极大简化了测试过程。

        让我们重温一下 Get-WindowsAutopilotInfo 的获取步骤：

1. 在 PowerShell 命令提示符下执行如下命令行，以安装 Get-WindowsAutopilotInfo。

备注：使用“-RequiredVersion X.X”可以指定要安装的版本，如果之前已经安装了旧版，请务必使用 –force 参数，更详细的参数介绍可参考官方文档“Install-Script”。

2. 为了能够执行该脚本，需要修改本地的安全策略。

        Get-WindowsAutopilotInfo 准备完毕后，可以事先创建一个设备组并匹配到 Windows Autopilot 配置文件，本例中 gOxiA 创建了一个特定厂商设备的动态组，如下图所示，有关设备组的创建可参考“HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组”。

        现在我们可以执行以下命令行，来获取 DeviceID 并注册到 Windows Autopilot，也可同时分配到指定组，并等待配置文件分配。