vProの匠
【匠の部屋】インテル EMAの初期設定をおさらい、「あれ?」と思ったら注意すべきポイントは?
- 提供:
- インテル株式会社
2022年9月20日 06:00
「インテル vPro プラットフォーム」でクライアントPCを管理する方法の1つに、インテル EMA(エンドポイント・マネジメント・アシスタント)がある。このコンソールを利用することで、管理者はクライアントPCを遠隔操作することなどが可能だ。
今回はインテル EMAを利用している読者の方から、CIRA(Client Initiated Remote Access)が上手く動作しないとの問い合わせがあった。
vProのすべてを知り尽くした“匠”こと牧真一郎氏によると、インテル EMAの初期設定に問題がある可能性が高いとのことなので、その設定手順を含めた注意点をおさらいしたいと思う。
なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。
【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。
今回の質問:「インテル EMAでCIRAに接続できません。その理由には何が考えられるでしょうか?」
――今回は「インテル EMAを利用しているものの、CIRAに接続できない」というお問合せがありました。率直にどんな原因が考えられるでしょうか?
牧氏:その利用者の方の環境もあるので、色々な原因が考えられますね。ただ、一般的に最も多いと思われるのが、インテル EMAの初期設定でのトラブルです。
「ドメインサフィックスの指定が間違っていた」、「AMTの自動セットアップの設定をし忘れた」など、いくつか失敗しやすいポイントがあるので、確認されてみてはいかがでしょうか?
――なるほど。となると、コンソールでの操作手順を、一通りおさらいした方がよさそうですね。
牧氏:そうですね、9月6日に新しいバージョンのインテル EMA(v1.8.1)がリリースされましたので、今回はこちらを使って設定手順をおさらいしながら、操作の注意点を解説していきたいと思います。v1.8.1では外部アプリケーションに対するAPIを除くと、以前のv1.7.1などからの大きな差分は無いのですが、CIRA接続の設定に若干の変更があります。インテル EMAのサーバー構築方法自体はこれまでのバージョンと同じなので、「Quick Start Guide」や「Single Server Installation Guide」を参照しながら作業を進めて下さい。EMAサーバーは国際化に対応していないため、サーバー側は日本語環境ではなく英語(en-US)環境を必要としますので注意して下さい。
サーバーを構築した後の初期設定は、おおまかに下記の手順で行います。
1.テナントの作成
2.テナント内での「Endpoint Group」の作成
3.クライアントエージェントの作成・ダウンロード
4.「Intel® AMT profile」の作成
5.「Intel® AMT autosetup」の設定
1.テナントの作成
インテル EMAでは最も大きなグループ分けとして、テナント(Tenant)という単位でクライアントPCの管理を行います。なので、インテル EMAの運用において、少なくとも1つのテナントが必要です。
テナント同士は完全に独立していますので、通常であればテナントは1つの組織に1つあれば充分でしょう。もちろん、マルチテナントのように運用することもできます。
テナントを作成する際には、インテル EMAのインストール時に作成したGlobal AdministratorのアカウントでEMAのコンソールにログインし、表示された画面で操作を行います。
なお、テナントの管理はTenant Administratorという役割を持つアカウントで行うので、Global Administratorでは管理を行えません。Tenant Administratorはテナント毎に必要となるので、このタイミングで作成しておきましょう。
「Role:」の部分では、必ず「Tenant Administrator」を指定して下さい。ちなみに、EMAにおけるユーザー名は、すべてe-mailアドレスの形式になります。
2.テナント内での「Endpoint Group」の作成
テナント内では、さらにEndpoint Groupという単位でグループ分けを行います。
Endpoint Groupを作成する際は一度ログアウトして、先ほど作成したTenant Administratorの役割を持つアカウントでログインし直してください。
Tenant Administratorの役割を持つアカウントでログインすると、そのテナントの画面が表示されるので、新しいグループを作成しましょう。
グループ作成画面では、グループ名などの情報に加えて、グループのポリシー(どの機能を使用するか)を指定します。
なお、「Password」欄では「ポリシーの変更を行うためのパスワード」を設定しますが、v1.8.1のインテル EMAでは、まだ後からポリシーを変更することはできません。入力しないと先に進めませんので入力はしておいて下さい。今のところポリシーを変更したい場合には、そのたびにEndpoint Groupを作り直すことになります。
3.クライアントエージェントの作成・ダウンロード
「Generate agent installation files」ボタンを押すと、Endpoint Group作成画面での操作が終わり、Generate Agent Installation Filesという画面が表示されます。
ここでは、クライアントPCのOSに対応したエージェントのインストーラーと、先ほど作成したEndpoint Groupの設定が入ったポリシーファイルをダウンロードします。
4.「Intel® AMT profile」の作成
Endpoint Groupの設定が終わったら、続いて「Intel® AMT Profile」を作成します。
ここでは“EMAサーバーと各クライアントPCのAMTがどのように通信するか”を指定します。具体的には、CIRA(Client Initiated Remote Access)とTLS Relayの2種類のどちらかです。
TLS Relay
まずTLS Relayから説明します。
TLS Relayでは、“同じサブネット内の各クライアントPCにインストールされているEMAのエージェントが、コマンドをバケツリレーのように転送”することで、EMAサーバーからの操作コマンドをターゲットとなるクライアントPCに伝えます。
電源ONの操作などでエージェントがAMTと通信する際には、TLSを使用します。この“エージェントによるリレー”を行うためは、現地に少なくとも1台は電源の入ったクライアントPCが必要です。
CIRA
CIRAは“各クライアントPCが、EMAサーバーに対して接続を開始(Initiate)する”リモートアクセスの手法です。それぞれのクライアントPCからEMAサーバーに対してTLSセッションを張って通信を行いますが、OSが起動していない場合でもAMTが接続を行うため、EMAサーバーから制御できます。NATを越えて通信を行う事も可能です。
EMAサーバーをクラウド上に配置して管理を行う場合は、CIRAでの接続が必要になります。これまではDHCP環境でしか使えませんでしたが、インテル EMA v1.7.1からは有線LANが固定IPアドレスになっている場合でも、CIRAが使用できるようになりました。
なお、CIRAの設定にはいくつかポイントがありますが、これまで 間違いやすかったのが“ドメインサフィックス”の指定を行う部分 です。ここは“CIRA接続を 使用しないドメイン ”のドメインサフィックスを入力するもので、ドメインにかかわらず常にCIRA接続を使いたい場合はダミーの値を入れておくのですが、誤って“CIRA接続したいドメイン”のドメインサフィックスを入れてしまい、「CIRA接続ができない……」というケースが何度もありました。
今回のv1.8.1では「Always Use Intel® AMT CIRA」という選択肢が追加されており、“常にCIRAで接続を行う”場合の設定が簡略化されました。もちろんダミーのドメインサフィックスを入れておく必要もありません。
従来の“CIRA接続を使用しないドメインサフィックス”を入力する種類の選択肢もあるため、例えば“EMAサーバーをオンプレミスで運用し、外出先のPCからだけCIRAで接続を受ける”という運用もできます。
5.「Intel® AMT autosetup」の設定
最後に、各クライアントPCを自動でプロビジョニングさせる設定を行います。
具体的には“各クライアントPCにエージェントをインストールした後、自動でプロビジョニングを開始する”という動作になります。プロビジョニングは、EMAのコンソールから1台1台手動で行うことも可能ですが、インテル EMAを利用しているような大規模環境では、あまり現実的とはいえないでしょう。
設定に使うのは、Endpoint Groupの設定画面で、これまでに作成したグループとAMT Profileを紐付けます。なお、操作中にEndpoint Groupのポリシー設定が表示されますが、先にもお伝えしたように、ここでポリシーを変更することはできません。
入力欄にある“Activation Method”ですが、今回はデフォルトの「HostBased Provisioning(HBP)」を選択します。HBPを選択すると、AMTは一部操作に制限の付いたClient Control Modeとして構成されます。
制限の無いAdmin Control Modeとして構成する場合は、「Certificate Provisioning(TLS-PKI)」を選択しますが、この場合はAMT構成用の証明書が必要になります。Certificate Provisioning(TLS-PKI)の詳細については、後日改めて解説したいと思います。
また、Client Control ModeやAdmin Control Mode については過去の記事を参照して下さい。
その下の入力欄にある“Administrator Password”は、いわゆる管理アカウント(admin)のパスワードです。
直接指定することもできますし、「Randomize(recommended)」を有効にすることでランダムなパスワードを割り当てることも可能です。後者の方がセキュリティの強度が上がるので、こちらが推奨となっています。
Saveボタンを押して設定を保存するとサーバー側での設定は完了です。
先ほど保存したインテル EMAのエージェントを各クライアントPCに展開してください。この時のポイントは、“ エージェントのインストーラーとポリシーファイルを同じフォルダーに置くこと ”と“ インストーラーを管理者権限で起動させること ”です。私もよく忘れるので、覚えておくとよいでしょう。
エージェントをインストールしたのに、インテル EMAのコンソールにクライアントPCが現れない、CIRAでの接続が行われない……という場合は、まず通信経路を疑いましょう。経路のどこかでIPアドレスやポート、プロトコルに制限が掛かっていないかなどを確認してください。プロビジョニングに失敗する場合は、既に手動でプロビジョニングが行われていないか、AMT自体が無効になっていないかを確認するとよいでしょう。
匠への質問、募集中!
……さて、今回はインテル EMAの設定手順とその注意点について教えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。
当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。
【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。
・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。
・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。
・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。
・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。
個人情報の保護について
http://www.impress.co.jp/privacy_policy/