【匠の部屋】インテル EMAの初期設定をおさらい、「あれ？」と思ったら注意すべきポイントは？[Sponsored]

vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい

　「インテル vPro プラットフォーム」でクライアントPCを管理する方法の1つに、インテル EMA（エンドポイント・マネジメント・アシスタント）がある。このコンソールを利用することで、管理者はクライアントPCを遠隔操作することなどが可能だ。

　今回はインテル EMAを利用している読者の方から、CIRA（Client Initiated Remote Access）が上手く動作しないとの問い合わせがあった。

　vProのすべてを知り尽くした“匠”こと牧真一郎氏によると、インテル EMAの初期設定に問題がある可能性が高いとのことなので、その設定手順を含めた注意点をおさらいしたいと思う。

　なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。

今回の質問：「インテル EMAでCIRAに接続できません。その理由には何が考えられるでしょうか？」

――今回は「インテル EMAを利用しているものの、CIRAに接続できない」というお問合せがありました。率直にどんな原因が考えられるでしょうか？

牧氏：その利用者の方の環境もあるので、色々な原因が考えられますね。ただ、一般的に最も多いと思われるのが、インテル EMAの初期設定でのトラブルです。

　「ドメインサフィックスの指定が間違っていた」、「AMTの自動セットアップの設定をし忘れた」など、いくつか失敗しやすいポイントがあるので、確認されてみてはいかがでしょうか？

――なるほど。となると、コンソールでの操作手順を、一通りおさらいした方がよさそうですね。

牧氏：そうですね、9月6日に新しいバージョンのインテル EMA（v1.8.1）がリリースされましたので、今回はこちらを使って設定手順をおさらいしながら、操作の注意点を解説していきたいと思います。v1.8.1では外部アプリケーションに対するAPIを除くと、以前のv1.7.1などからの大きな差分は無いのですが、CIRA接続の設定に若干の変更があります。インテル EMAのサーバー構築方法自体はこれまでのバージョンと同じなので、「Quick Start Guide」や「Single Server Installation Guide」を参照しながら作業を進めて下さい。EMAサーバーは国際化に対応していないため、サーバー側は日本語環境ではなく英語(en-US)環境を必要としますので注意して下さい。

　サーバーを構築した後の初期設定は、おおまかに下記の手順で行います。

1.テナントの作成
2.テナント内での「Endpoint Group」の作成
3.クライアントエージェントの作成・ダウンロード
4.「Intel® AMT profile」の作成
5.「Intel® AMT autosetup」の設定

　ちなみに、v1.8.1では外部アプリケーションに対するAPIを除くと、以前のv1.7.1などからの大きな差分は無いのですが、CIRA接続の設定に若干の変更があります。また、前バージョンから引き続き国際化には対応していないので、日本語環境ではなく、英語（en-US）環境のサーバーが必要です。

1.テナントの作成

　インテル EMAでは最も大きなグループ分けとして、テナント（Tenant）という単位でクライアントPCの管理を行います。なので、インテル EMAの運用において、少なくとも1つのテナントが必要です。

　テナント同士は完全に独立していますので、通常であればテナントは1つの組織に1つあれば充分でしょう。もちろん、マルチテナントのように運用することもできます。

　テナントを作成する際には、インテル EMAのインストール時に作成したGlobal AdministratorのアカウントでEMAのコンソールにログインし、表示された画面で操作を行います。

画面左側のナビゲーションバーにある「Users」を選択し、「Tenants」タブを選択。「New Tenant」ボタンで新しいテナントを作成する

　なお、テナントの管理はTenant Administratorという役割を持つアカウントで行うので、Global Administratorでは管理を行えません。Tenant Administratorはテナント毎に必要となるので、このタイミングで作成しておきましょう。

画面左側のナビゲーションバーにある「Users」を選択し、「Manage users for this tenant:」が先ほど作成したテナントであることを確認。「New User」ボタンをクリックする

　「Role:」の部分では、必ず「Tenant Administrator」を指定して下さい。ちなみに、EMAにおけるユーザー名は、すべてe-mailアドレスの形式になります。

2.テナント内での「Endpoint Group」の作成

　テナント内では、さらにEndpoint Groupという単位でグループ分けを行います。

　Endpoint Groupを作成する際は一度ログアウトして、先ほど作成したTenant Administratorの役割を持つアカウントでログインし直してください。

　Tenant Administratorの役割を持つアカウントでログインすると、そのテナントの画面が表示されるので、新しいグループを作成しましょう。

　グループ作成画面では、グループ名などの情報に加えて、グループのポリシー（どの機能を使用するか）を指定します。

画面左側のナビゲーションバーにある「Endpoint Groups 」を選択し、「New endpoint group」ボタンをクリックする

ポリシーは使用する機能だけをクリックして有効にするか、「Select all」をクリックしてすべての項目を選択することも可能。情報を入力し終わったら、「Generate agent installation files」ボタンをクリックする

　なお、「Password」欄では「ポリシーの変更を行うためのパスワード」を設定しますが、v1.8.1のインテル EMAでは、まだ後からポリシーを変更することはできません。入力しないと先に進めませんので入力はしておいて下さい。今のところポリシーを変更したい場合には、そのたびにEndpoint Groupを作り直すことになります。

3.クライアントエージェントの作成・ダウンロード

　「Generate agent installation files」ボタンを押すと、Endpoint Group作成画面での操作が終わり、Generate Agent Installation Filesという画面が表示されます。

　ここでは、クライアントPCのOSに対応したエージェントのインストーラーと、先ほど作成したEndpoint Groupの設定が入ったポリシーファイルをダウンロードします。

クライアントPCが利用しているOSにチェックを入れて、右横にある「Download」ボタンをクリック。さらに、「Agent policy file」の横にある「Download」ボタンをクリックする

4.「Intel® AMT profile」の作成

　Endpoint Groupの設定が終わったら、続いて「Intel® AMT Profile」を作成します。

　ここでは“EMAサーバーと各クライアントPCのAMTがどのように通信するか”を指定します。具体的には、CIRA（Client Initiated Remote Access）とTLS Relayの2種類のどちらかです。

CIRA

　CIRAは“各クライアントPCが、EMAサーバーに対して接続を開始（Initiate）する”リモートアクセスの手法です。それぞれのクライアントPCからEMAサーバーに対してTLSセッションを張って通信を行いますが、OSが起動していない場合でもAMTが接続を行うため、EMAサーバーから制御できます。NATを越えて通信を行う事も可能です。

　EMAサーバーをクラウド上に配置して管理を行う場合は、CIRAでの接続が必要になります。これまではDHCP環境でしか使えませんでしたが、インテル EMA v1.7.1からは有線LANが固定IPアドレスになっている場合でも、CIRAが使用できるようになりました。

画面左側のナビゲーションバーにある「Endpoint Groups」を選択し、「Intel® AMT Profiles」タブを選択。「New Intel® AMT profile」ボタンをクリックします

　なお、CIRAの設定にはいくつかポイントがありますが、これまで 間違いやすかったのが“ドメインサフィックス”の指定を行う部分 です。ここは“CIRA接続を 使用しないドメイン ”のドメインサフィックスを入力するもので、ドメインにかかわらず常にCIRA接続を使いたい場合はダミーの値を入れておくのですが、誤って“CIRA接続したいドメイン”のドメインサフィックスを入れてしまい、「CIRA接続ができない……」というケースが何度もありました。

　今回のv1.8.1では「Always Use Intel® AMT CIRA」という選択肢が追加されており、“常にCIRAで接続を行う”場合の設定が簡略化されました。もちろんダミーのドメインサフィックスを入れておく必要もありません。

　従来の“CIRA接続を使用しないドメインサフィックス”を入力する種類の選択肢もあるため、例えば“EMAサーバーをオンプレミスで運用し、外出先のPCからだけCIRAで接続を受ける”という運用もできます。

通信方式や管理インターフェース、FQDN、IPアドレス、Wi-Fi周りなど、AMT関連の設定を行ってプロファイルを保存する

5.「Intel® AMT autosetup」の設定

　最後に、各クライアントPCを自動でプロビジョニングさせる設定を行います。

　具体的には“各クライアントPCにエージェントをインストールした後、自動でプロビジョニングを開始する”という動作になります。プロビジョニングは、EMAのコンソールから1台1台手動で行うことも可能ですが、インテル EMAを利用しているような大規模環境では、あまり現実的とはいえないでしょう。

　設定に使うのは、Endpoint Groupの設定画面で、これまでに作成したグループとAMT Profileを紐付けます。なお、操作中にEndpoint Groupのポリシー設定が表示されますが、先にもお伝えしたように、ここでポリシーを変更することはできません。

先に作成したEndpointGroupの右側にあるサブメニューから、「View Configuration」を選択

Endpoint Groupの名称とポリシー設定が表示されるので、左下にある「Intel® AMT autosetup」をクリック

「Enabled」にチェックを入れ、先に作成したIntel® AMT Profileを指定。Activation Methodで「HostBased Provisioning（HBP）」を選択し、Administrator Passwordを登録したら、最後に「Save」ボタンをクリック

　入力欄にある“Activation Method”ですが、今回はデフォルトの「HostBased Provisioning（HBP）」を選択します。HBPを選択すると、AMTは一部操作に制限の付いたClient Control Modeとして構成されます。

　制限の無いAdmin Control Modeとして構成する場合は、「Certificate Provisioning（TLS-PKI）」を選択しますが、この場合はAMT構成用の証明書が必要になります。Certificate Provisioning（TLS-PKI）の詳細については、後日改めて解説したいと思います。

　また、Client Control ModeやAdmin Control Mode については過去の記事を参照して下さい。

　その下の入力欄にある“Administrator Password”は、いわゆる管理アカウント（admin）のパスワードです。

　直接指定することもできますし、「Randomize（recommended）」を有効にすることでランダムなパスワードを割り当てることも可能です。後者の方がセキュリティの強度が上がるので、こちらが推奨となっています。

　Saveボタンを押して設定を保存するとサーバー側での設定は完了です。

　先ほど保存したインテル EMAのエージェントを各クライアントPCに展開してください。この時のポイントは、“ エージェントのインストーラーとポリシーファイルを同じフォルダーに置くこと ”と“ インストーラーを管理者権限で起動させること ”です。私もよく忘れるので、覚えておくとよいでしょう。

　エージェントをインストールしたのに、インテル EMAのコンソールにクライアントPCが現れない、CIRAでの接続が行われない……という場合は、まず通信経路を疑いましょう。経路のどこかでIPアドレスやポート、プロトコルに制限が掛かっていないかなどを確認してください。プロビジョニングに失敗する場合は、既に手動でプロビジョニングが行われていないか、AMT自体が無効になっていないかを確認するとよいでしょう。

匠への質問、募集中！

　　……さて、今回はインテル EMAの設定手順とその注意点について教えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう？」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。

　当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。