vProの匠

【匠の部屋】インテル MEBxのパスワードはリモートで変更できるか?

vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい

 「インテル vPro プラットフォーム」を運用する上で、最初に行うのがAMTのプロビジョニング(初期設定)だ。この操作を行うことで、システム管理者は各クライアントPCを遠隔管理することが可能になる。

 今回は読者の方から、この設定を管理するうえでのセキュリティ強度について問い合わせがあったので、インテル vPro プラットフォームのすべてを知り尽くした“匠”こと牧真一郎氏に、その方法を聞いてみたい。

 なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。

【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。

今回の質問:「vProの導入を検討しているのですが、システム管理者から『社内での運用ルールとして、インテル MEBxのパスワードを定期的に変更する必要がある』と言われました。何か方法はありませんでしょうか?」

――今回、お問い合わせをいただいた読者の方は、会社に導入するクライアントPCを検討する立場にあるようですが、システム管理者から運用上のパスワード管理について問い合わせを受けたようです。各クライアントPCにおけるインテル MEBx(ME BIOS Extension)のパスワードを、定期的に変更するにはどうすればよいでしょうか?

牧氏:残念ながらリモートではインテル MEBxのパスワードを変更することはできません。リモートKVMを使って、1台1台手動で変更することもできますが、この方法で社内すべてのPCのパスワードを管理するのは現実的ではないと思います。

 ただ、最新モデルとなる第12世代インテル Core プロセッサーを搭載したクライアントPCの中には、インテル MEBxがUEFI(BIOS)設定画面に統合されている機種があります。このようなモデルでインテル MEBxを起動するには、まずはUEFI設定画面を開くことになり、従来のようにホットキー(「Ctrl」+「P」キー)で画面を直接呼び出すことができません。

 こうした仕様の場合は、UEFI設定画面を呼び出す際のパスワードで、一般利用ユーザーからのインテル MEBxへの直接のアクセスを保護できる、という間接的な効果が見込めます。このように実装されたPCの採用と運用をシステム管理者の方にご提案されてみてはいかがでしょうか。もちろん、メーカーや機種によって異なるので、そこを確認していただくのが前提になりますが。

 なお、私の所持している第12世代のLenovo「ThinkCentre M80q Tiny Gen 3」においては、インテル MEBxの起動手順は、以下のようになっています。

【「ThinkCentre M80q Tiny Gen 3」におけるインテル MEBxの起動手順】

  1. PCの電源を入れる。
  2. 「Lenovo」のロゴが表示されたら「Enter」キーを押す。
  3. 「Startup Interrupt Menu」が表示されたら「F1」キーを押す。


    ThinkCentre M80q Tiny Gen 3の場合、「Startup Interrupt Menu」に「<Ctrl-P> to enter the Management Engine setup screen」という表示がなく、ここからインテル MEBxを呼び出すことはできない

  4. UEFI設定画面が表示されたら、左のメニューから「Advanced」を選択。
  5. 「Intel(R) Manageability」を選択。

    UEFI設定画面を表示。パスワードを設定している場合は、画面の表示前に入力が要求される

  6. 「Intel(R) MEBx」を選択。

    「Intel(R) MEBx」という項目が、インテル MEBxへの入口になっている

  7. 「Enter Current Password」画面でインテル MEBxのパスワードを入力する。


    さらに、インテル MEBxのパスワードを入力すると……

  8. インテル MEBxの画面が表示された。

    以前のように独立したCUIベースの画面ではなく、インテル MEBxの各項目がUEFI設定画面の一部分として表示される


牧氏:なお、第12世代のインテル vPro プラットフォームに対応したクライアントPCにおいても、メーカーによって実装が異なったり、同じメーカーでも機種によって異なったりしているケースがあるようです。CTRL+Pの実装についても、製品ごとに確認するといいと思います。購入を検討しているモデルで、インテル MEBxがUEFIに統合されているかどうかは、各メーカーに問い合わせてもらうのが確実です。


匠への質問、募集中!

 ……さて、今回はインテル MEBxのセキュリティ強度を高める方法を教えてもらったが、「インテル vPro プラットフォーム」は非常に多機能で奥が深い。

 当連載では、そんなvProを活用する上での疑問を随時、匠に伺って、解決に結び付けたいと考えている。vProの導入や活用を検討するうえで、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」といった疑問点がもしあれば、是非、以下のフォームから質問を送っていただければ幸いだ。

【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。

アンケート回答にあたっての注意事項・同意事項

・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。

・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。

・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。

・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。

個人情報の保護について
http://www.impress.co.jp/privacy_policy/

【匠の部屋】vPro導入困りごとアンケート

相談したいお悩みの種類でもっとも近いものをお選びください。

あなたの社内でのポジションとしてもっとも適したものをお選びください。

対象となるPCの台数規模についてお選びください。

匠に質問したい内容の概要をご記入ください(全角100文字まで)

匠に質問したい具体的な内容をご記入ください(全角500文字まで)

氏名(任意)

かな(任意)

メールアドレス(推奨)

確認のために、もう一度入力してください。

上記の「応募にあたっての注意事項・同意事項」をご確認の上、同意いただける場合にはマークを付けてください
同意する