vProの匠

【匠の部屋】インテル EMAの初期設定をおさらい、「あれ?」と思ったら注意すべきポイントは?

vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい

 「インテル vPro プラットフォーム」でクライアントPCを管理する方法の1つに、インテル EMA(エンドポイント・マネジメント・アシスタント)がある。このコンソールを利用することで、管理者はクライアントPCを遠隔操作することなどが可能だ。

 今回はインテル EMAを利用している読者の方から、CIRA(Client Initiated Remote Access)が上手く動作しないとの問い合わせがあった。

 vProのすべてを知り尽くした“匠”こと牧真一郎氏によると、インテル EMAの初期設定に問題がある可能性が高いとのことなので、その設定手順を含めた注意点をおさらいしたいと思う。

 なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。

【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。

今回の質問:「インテル EMAでCIRAに接続できません。その理由には何が考えられるでしょうか?」

――今回は「インテル EMAを利用しているものの、CIRAに接続できない」というお問合せがありました。率直にどんな原因が考えられるでしょうか?

牧氏:その利用者の方の環境もあるので、色々な原因が考えられますね。ただ、一般的に最も多いと思われるのが、インテル EMAの初期設定でのトラブルです。

 「ドメインサフィックスの指定が間違っていた」、「AMTの自動セットアップの設定をし忘れた」など、いくつか失敗しやすいポイントがあるので、確認されてみてはいかがでしょうか?

――なるほど。となると、コンソールでの操作手順を、一通りおさらいした方がよさそうですね。

牧氏:そうですね、9月6日に新しいバージョンのインテル EMA(v1.8.1)がリリースされましたので、今回はこちらを使って設定手順をおさらいしながら、操作の注意点を解説していきたいと思います。v1.8.1では外部アプリケーションに対するAPIを除くと、以前のv1.7.1などからの大きな差分は無いのですが、CIRA接続の設定に若干の変更があります。インテル EMAのサーバー構築方法自体はこれまでのバージョンと同じなので、「Quick Start Guide」や「Single Server Installation Guide」を参照しながら作業を進めて下さい。EMAサーバーは国際化に対応していないため、サーバー側は日本語環境ではなく英語(en-US)環境を必要としますので注意して下さい。

 サーバーを構築した後の初期設定は、おおまかに下記の手順で行います。

1.テナントの作成
2.テナント内での「Endpoint Group」の作成
3.クライアントエージェントの作成・ダウンロード
4.「Intel® AMT profile」の作成
5.「Intel® AMT autosetup」の設定

1.テナントの作成

 インテル EMAでは最も大きなグループ分けとして、テナント(Tenant)という単位でクライアントPCの管理を行います。なので、インテル EMAの運用において、少なくとも1つのテナントが必要です。

 テナント同士は完全に独立していますので、通常であればテナントは1つの組織に1つあれば充分でしょう。もちろん、マルチテナントのように運用することもできます。

 テナントを作成する際には、インテル EMAのインストール時に作成したGlobal AdministratorのアカウントでEMAのコンソールにログインし、表示された画面で操作を行います。

画面左側のナビゲーションバーにある「Users」を選択し、「Tenants」タブを選択。「New Tenant」ボタンで新しいテナントを作成する

 なお、テナントの管理はTenant Administratorという役割を持つアカウントで行うので、Global Administratorでは管理を行えません。Tenant Administratorはテナント毎に必要となるので、このタイミングで作成しておきましょう。

画面左側のナビゲーションバーにある「Users」を選択し、「Manage users for this tenant:」が先ほど作成したテナントであることを確認。「New User」ボタンをクリックする

 「Role:」の部分では、必ず「Tenant Administrator」を指定して下さい。ちなみに、EMAにおけるユーザー名は、すべてe-mailアドレスの形式になります。

2.テナント内での「Endpoint Group」の作成

 テナント内では、さらにEndpoint Groupという単位でグループ分けを行います。

 Endpoint Groupを作成する際は一度ログアウトして、先ほど作成したTenant Administratorの役割を持つアカウントでログインし直してください。

 Tenant Administratorの役割を持つアカウントでログインすると、そのテナントの画面が表示されるので、新しいグループを作成しましょう。

 グループ作成画面では、グループ名などの情報に加えて、グループのポリシー(どの機能を使用するか)を指定します。

画面左側のナビゲーションバーにある「Endpoint Groups 」を選択し、「New endpoint group」ボタンをクリックする
ポリシーは使用する機能だけをクリックして有効にするか、「Select all」をクリックしてすべての項目を選択することも可能。情報を入力し終わったら、「Generate agent installation files」ボタンをクリックする

 なお、「Password」欄では「ポリシーの変更を行うためのパスワード」を設定しますが、v1.8.1のインテル EMAでは、まだ後からポリシーを変更することはできません。入力しないと先に進めませんので入力はしておいて下さい。今のところポリシーを変更したい場合には、そのたびにEndpoint Groupを作り直すことになります。

3.クライアントエージェントの作成・ダウンロード

 「Generate agent installation files」ボタンを押すと、Endpoint Group作成画面での操作が終わり、Generate Agent Installation Filesという画面が表示されます。

 ここでは、クライアントPCのOSに対応したエージェントのインストーラーと、先ほど作成したEndpoint Groupの設定が入ったポリシーファイルをダウンロードします。

クライアントPCが利用しているOSにチェックを入れて、右横にある「Download」ボタンをクリック。さらに、「Agent policy file」の横にある「Download」ボタンをクリックする

4.「Intel® AMT profile」の作成

 Endpoint Groupの設定が終わったら、続いて「Intel® AMT Profile」を作成します。

 ここでは“EMAサーバーと各クライアントPCのAMTがどのように通信するか”を指定します。具体的には、CIRA(Client Initiated Remote Access)とTLS Relayの2種類のどちらかです。

TLS Relay

 まずTLS Relayから説明します。

 TLS Relayでは、“同じサブネット内の各クライアントPCにインストールされているEMAのエージェントが、コマンドをバケツリレーのように転送”することで、EMAサーバーからの操作コマンドをターゲットとなるクライアントPCに伝えます。

 電源ONの操作などでエージェントがAMTと通信する際には、TLSを使用します。この“エージェントによるリレー”を行うためは、現地に少なくとも1台は電源の入ったクライアントPCが必要です。

CIRA

 CIRAは“各クライアントPCが、EMAサーバーに対して接続を開始(Initiate)する”リモートアクセスの手法です。それぞれのクライアントPCからEMAサーバーに対してTLSセッションを張って通信を行いますが、OSが起動していない場合でもAMTが接続を行うため、EMAサーバーから制御できます。NATを越えて通信を行う事も可能です。

 EMAサーバーをクラウド上に配置して管理を行う場合は、CIRAでの接続が必要になります。これまではDHCP環境でしか使えませんでしたが、インテル EMA v1.7.1からは有線LANが固定IPアドレスになっている場合でも、CIRAが使用できるようになりました。

画面左側のナビゲーションバーにある「Endpoint Groups」を選択し、「Intel® AMT Profiles」タブを選択。「New Intel® AMT profile」ボタンをクリックします

 なお、CIRAの設定にはいくつかポイントがありますが、これまで 間違いやすかったのが“ドメインサフィックス”の指定を行う部分 です。ここは“CIRA接続を 使用しないドメイン ”のドメインサフィックスを入力するもので、ドメインにかかわらず常にCIRA接続を使いたい場合はダミーの値を入れておくのですが、誤って“CIRA接続したいドメイン”のドメインサフィックスを入れてしまい、「CIRA接続ができない……」というケースが何度もありました。

 今回のv1.8.1では「Always Use Intel® AMT CIRA」という選択肢が追加されており、“常にCIRAで接続を行う”場合の設定が簡略化されました。もちろんダミーのドメインサフィックスを入れておく必要もありません。

 従来の“CIRA接続を使用しないドメインサフィックス”を入力する種類の選択肢もあるため、例えば“EMAサーバーをオンプレミスで運用し、外出先のPCからだけCIRAで接続を受ける”という運用もできます。

通信方式や管理インターフェース、FQDN、IPアドレス、Wi-Fi周りなど、AMT関連の設定を行ってプロファイルを保存する

5.「Intel® AMT autosetup」の設定

 最後に、各クライアントPCを自動でプロビジョニングさせる設定を行います。

 具体的には“各クライアントPCにエージェントをインストールした後、自動でプロビジョニングを開始する”という動作になります。プロビジョニングは、EMAのコンソールから1台1台手動で行うことも可能ですが、インテル EMAを利用しているような大規模環境では、あまり現実的とはいえないでしょう。

 設定に使うのは、Endpoint Groupの設定画面で、これまでに作成したグループとAMT Profileを紐付けます。なお、操作中にEndpoint Groupのポリシー設定が表示されますが、先にもお伝えしたように、ここでポリシーを変更することはできません。

先に作成したEndpointGroupの右側にあるサブメニューから、「View Configuration」を選択
Endpoint Groupの名称とポリシー設定が表示されるので、左下にある「Intel® AMT autosetup」をクリック
「Enabled」にチェックを入れ、先に作成したIntel® AMT Profileを指定。Activation Methodで「HostBased Provisioning(HBP)」を選択し、Administrator Passwordを登録したら、最後に「Save」ボタンをクリック

 入力欄にある“Activation Method”ですが、今回はデフォルトの「HostBased Provisioning(HBP)」を選択します。HBPを選択すると、AMTは一部操作に制限の付いたClient Control Modeとして構成されます。

 制限の無いAdmin Control Modeとして構成する場合は、「Certificate Provisioning(TLS-PKI)」を選択しますが、この場合はAMT構成用の証明書が必要になります。Certificate Provisioning(TLS-PKI)の詳細については、後日改めて解説したいと思います。

 また、Client Control ModeやAdmin Control Mode については過去の記事を参照して下さい。

 その下の入力欄にある“Administrator Password”は、いわゆる管理アカウント(admin)のパスワードです。

 直接指定することもできますし、「Randomize(recommended)」を有効にすることでランダムなパスワードを割り当てることも可能です。後者の方がセキュリティの強度が上がるので、こちらが推奨となっています。

 Saveボタンを押して設定を保存するとサーバー側での設定は完了です。

 先ほど保存したインテル EMAのエージェントを各クライアントPCに展開してください。この時のポイントは、“ エージェントのインストーラーとポリシーファイルを同じフォルダーに置くこと ”と“ インストーラーを管理者権限で起動させること ”です。私もよく忘れるので、覚えておくとよいでしょう。

 エージェントをインストールしたのに、インテル EMAのコンソールにクライアントPCが現れない、CIRAでの接続が行われない……という場合は、まず通信経路を疑いましょう。経路のどこかでIPアドレスやポート、プロトコルに制限が掛かっていないかなどを確認してください。プロビジョニングに失敗する場合は、既に手動でプロビジョニングが行われていないか、AMT自体が無効になっていないかを確認するとよいでしょう。


匠への質問、募集中!

  ……さて、今回はインテル EMAの設定手順とその注意点について教えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。

 当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。

【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。

アンケート回答にあたっての注意事項・同意事項

・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。

・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。

・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。

・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。

個人情報の保護について
http://www.impress.co.jp/privacy_policy/

【匠の部屋】vPro導入困りごとアンケート

相談したいお悩みの種類でもっとも近いものをお選びください。

あなたの社内でのポジションとしてもっとも適したものをお選びください。

対象となるPCの台数規模についてお選びください。

匠に質問したい内容の概要をご記入ください(全角100文字まで)

匠に質問したい具体的な内容をご記入ください(全角500文字まで)

氏名(任意)

かな(任意)

メールアドレス(推奨)

確認のために、もう一度入力してください。

上記の「応募にあたっての注意事項・同意事項」をご確認の上、同意いただける場合にはマークを付けてください
同意する