vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい
テレワークによるリモートでの社員PCの管理や、急激に逼迫度を増すセキュリティ対策など、まさに今、多くの企業が抱えている問題の対して、解決の糸口になる機能を持った「インテル vPro プラットフォーム」。
しかしvProを使うためにどこを設定したらよいのか分からない、と困っている人も少なくないはず。そこで今回からは、vProでPCを制御するために必要となるインテル AMT(Active Management Technology)を初期設定(プロビジョニング)する方法について、匠に教えてもらう。
なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。
インテル AMTを有効にする方法 3選
インテル AMTの初期設定の方法はいくつかありますが、中でも試しやすい手法がMEBx(ME BIOS Extention)を使用したManual Setup and Configurationになります。こちらについては過去記事(【匠の部屋】vPro導入!で悩みがちな初期設定?「CTRL+Pの押し方」からWi-Fiの設定方法まで)ですでに紹介しているので、今回はこれ以外の3つの手法についてカバーしていきたいと思います
ですがその前にまずはセキュリティについて。
当たり前の話ですが、企業における実運用の環境では常にセキュリティ面を考慮する必要があります。インテル AMTにおいても例外ではなく、TLSを使った通信の暗号化が強く推奨されています。TLSによってクライアントPC/サーバー間の通信において第三者からの盗聴、改ざん、成りすましを防止しながらAMTの通信を行います。
実際にインテル MC(Manageability Commander)でクライアントPCを登録する際、TLSを使用しないと警告が出るのを見た方も多いかと思います。また、近い将来のバージョンでTLSが必須となり、ポート16992/16994を使用したHTTP通信は廃止されるようです。
これから導入される企業においては最初からTLSを使用した運用を考慮してインフラ面を含めた設計を行い、既に導入されている企業においてもTLSを使用した運用への移行を検討して頂ければと思います。
また、通信の暗号化だけでなく、認証においてもActive Directoryと連携させることでKerberos認証を使用するように構成することも可能です。
1.Manual Setup and Configuration
その名のとおり手動で行う手法です。
以前言及したように各クライアントPCのMEBx上で基本項目をセットしAMTを使用できる状態にした後、WebUIなどでAMTの通信を使って追加の設定項目(WiーFi関連の設定など)をセットしていきます。
一方、MEBxを直接触らずにMEBxの設定内容が含まれたUSBメモリーを使うUSB Provisioningという手法もありました。これはSDKに含まれているUSBFileというツールにMEBxで行う設定内容を与えて生成したsetup.binというファイルをUSBメモリーに格納し、それをPCのUSB端子に挿したまま起動するとOS起動前に読み込まれて設定内容がセットされるというものでした。私が勤めるMogul Technologiesの設定アプリケーション「AMT Configurator」でもこの機能が使用されていました。
残念ながら最新版のAMT SDK(v16.0.3.1)でその機能が削除されてしまい、この機能自体も廃止となってしまうようです。
2.Remote Configuration
ローカルネットワーク上のサーバーに構成用のアプリケーション SCA(Setup and Configuration Application)を導入し、各クライアントPCに対してセキュアに構成情報を配布する手法です。
サーバーは構成用の証明書を使ってクライアントPCとのTLSセッションを張るのですが、クライアントPC側ではAMTのファームウェアに市販の構成用証明書のルート証明書のハッシュ値がいくつか含まれていて、それらと照合することでセッションを受け容れます。
SCAの代表格として、インテル SCS(Setup and Configuration Software)というアプリケーションがかつてリリースされていました。現在ではインテル SCS自体の開発が終了していて、この構成方法そのものを使う事はほぼ無いと思いますが、機能自体は一部インテル EMAに引き継がれています。
3.Host-Based Setup and Configuration
クライアントPCのOSの管理者権限を使ってOS上で動作しているアプリケーションからAMTの設定を行う手法です。
アプリケーションはLMS(Local Manageability Service)というサービスを経由してMEにアクセスし、設定を行います。現在、インテル EMAで使用されているのがこの手法です。各クライアントPCにインストールされるエージェントがこのアプリケーションの役割を果たします。
アプリケーションさえあれば一番素早くてお手軽な手法である一方、OSの管理者権限だけでセットアップを行えてしまうため、AMTの機能に一部制限を付けたモード(Client Control Mode)になります。
Client Control Modeでは主に以下の制限があります。
- リモートKVMによる接続、IDE-Redirectionの使用、ブートデバイスの変更などにおいてクライアントPCのユーザーによる同意が必要になります。管理者はユーザーのPCの画面に表示されるユーザー同意コードを読み上げてもらい、管理アプリケーション側で入力すると実行されます。ユーザー同意の無効化はできません。
- システム・ディフェンスというネットワークフィルタリング機能が使えません
これに対して制限がないのはAdmin Control Modeと呼ばれ、Manual Setup and ConfigurationやRemote Configurationによって構成した場合もこのモードになります。Remote Configurationの場合と同じ市販の構成用証明書を準備できれば、Client Control Modeからアップグレードすることも可能ですし、直接このモードに構成することも可能です。
これまでに紹介したいずれの手法を使用する場合でもクライアントPCのAMTが有効にされて「セットアップできる状態」となっている必要があります。メーカー・機種によって工場出荷状態でそれらが有効になっていたり無効になっていたりします。UEFI/BIOS Setup上でこの設定を行うのですが、その方法もメーカーごとに異なる場合があります。
そこで、次回からは各メーカーの機種においてその方法を紹介していきたいと思います。
匠への質問、募集中!
……さて、これまでもお伝えしてきているとおり「インテル vPro プラットフォーム」は非常に多機能で奥が深い。
当連載では、そんなvProを活用する上での疑問を随時、匠に伺って、解決に結び付けたいと考えている。vProの導入や活用を検討するうえで、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」といった疑問点がもしあれば、是非、以下のフォームから質問を送っていただければ幸いだ。
アンケート回答にあたっての注意事項・同意事項
・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。
・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。
・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。
・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。
個人情報の保護について
http://www.impress.co.jp/privacy_policy/
