vProの匠
【匠の部屋】PCをWi-Fiで管理する場合の疑問を匠に相談してみた!
- 提供:
- インテル株式会社
2022年10月18日 06:00
「インテル vPro プラットフォーム」では、クライアントPCを遠隔管理することが可能。この時、クライアントPCが有線LANではなく、Wi-Fi経由でネットワークに接続していても問題はない。
しかし、Wi-Fiの設定は奥深い。今回は、「Wi-Fi経由でクライアントPCを操作したい場合」について、読者から寄せられた質問をまとめて確認してみたい。回答いただいたのは、おなじみ、インテル vPro プラットフォームのすべてを知り尽くした“匠”こと牧真一郎氏だ。
なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。
【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。
今回の質問3つ:
「vPro対応と書かれたWi-Fiカードが売られていたのですが、これをvProに対応していないPCに装着すれば、vProが使えるようになるのでしょうか?」
「Wi-Fiで運用する場合、MACアドレスの制限をかけても利用できますか?また、802.1X認証と連携することもできますか?」
「Wi-Fi環境で、アクセスポイントのSSIDをステルス運用しているのですが、この環境下でもリモート電源ONはできますか?」
――クライアントPCをWi-Fi経由でネットワークに接続している読者の方から、いろいろな質問が届いています。今回は、まとめてお伺いしていきたいのですが、いかがでしょうか?
牧氏:そうですね。ではまず、「vPro搭載PCに、Wi-Fiカードを後付けしたらリモート電源操作がWi-Fiでできるようになるのか?」という質問から行きましょうか。
結論から行くと、「できない」あるいは「仮にできそうに見えても、問題や検討課題が沢山出てくるので、やらないほうがいい」と考えていただくのが良いかと思います。Wi-Fiでの利用が想定される場合は、最初からvPro対応のWi-Fiカード(Wi-Fiモジュール)を搭載したPCを検討された方が良いでしょう。
まず、Wi-Fiモジュールですが、AMTを使うためには、CSMEと接続できてシャットダウン中でも動作できる専用のものが必要です。さらに、プラットフォームの世代毎に使えるモジュールの製品も違います。こうした問題もありますし、後から増設するのは、メーカー保証や技適などの観点からも考えない方が良いでしょう。
なお、インテル AMT(以下AMT)でのWi-Fi対応は、プロセッサーがCore 2 Duoだった頃のAMT 2.6から始まったのですが、当初は、OS動作中しかAMTの通信を扱えず、Wi-Fi経由ではPCの起動などは行えませんでした。
その後のAMT 4.0で(まだCore 2 Duoの時代でしたが)、ようやく帯域外でもAMTの通信を行えるようになりました。この段階ではノートPCだけですが、有線LANのAMTと同様、OS動作中はOSのデバイスドライバーが使用され、スリープ中やシャットダウン中はAMTのファームウェアに搭載されたデバイスドライバーを介して通信できるようになりました。
さらに、Sandy Bridgeの世代のAMT 7.0からはデスクトップPCでもWi-Fiを扱えるようになり、今では、各メーカーからWi-Fiを標準搭載、あるいはオプションで用意されたvPro対応のデスクトップPCが数多く見かけるようになりましたので、PCを選ぶ段階でWi-Fiの有無を考えていただくのが良いでしょう。
――「IEEE 802.1X認証と連携できるかどうか」についてはいかがでしょうか?
牧氏:802.1X認証とも連携できます。設定方法を順に説明していきますね。
AMTのWi-Fi接続を行うにあたっては、OSの接続設定とは別にAMT側にも接続設定が必要となります。SSIDや認証形式、暗号化形式、パスワード等の内容をプロファイル単位で管理しています。プロファイルは管理者ユーザーが作成することもできますし、ホストOSで利用しているプロファイルをAMT側に同期させることも可能です。
インテル MEBxを利用して、AMTの設定を手動で行った場合は、WebUIの中でプロファイルの設定を行います。ただし、この場合は802.1Xとの連携には対応できません。また、ホストOSとのプロファイルの同期も行えません。一方、インテル EMAのようにAMTの設定を配布するソフトウェアを使用する場合は、そのソフトウェア上でプロファイルの設定を行います。EMAでは802.1Xとの連携の設定やホストOSとのプロファイルの同期の設定も可能です。
802.1Xと連携する場合は、同じようにプロファイルを作成し、Wi-Fiプロファイルから参照させることも可能です。802.1Xのプロファイルは有線LAN、Wi-Fiそれぞれのインターフェースに対して適用させる必要があります。
――認証方式や暗号方式の対応状況、あるいはSSIDのステルス運用やMACアドレスフィルタリングについては、どうでしょうか?
牧氏:Wi-Fiには認証方式と暗号化方式がありますが、時代とともに追加されたり、非推奨となったりしています。このため、AMTにおいても、バージョンによってサポートの有無が異なります。最近ですとAMT14.0(Comet Lake)から認証方式におけるWPA3(SAE/OWE)のサポートが追加され、AMT15.0の一部(Tiger Lake-H)とAMT16.0(Alder Lake)からは暗号化方式におけるTKIPのサポートが削除されました。
利用しているWi-FiのアクセスポイントがCCMP(AES)/TKIPの両用モードをサポートしているような場合は、CCMP(AES)のみのモードになっているかを確認してください。
アクセスポイント側がSSIDをステルスにした場合、MACアドレスのフィルタリングを行っている場合でも、AMTは通信を行えます。
匠への質問、募集中!
……さて、今回はWi-Fi経由でクライアントPCを管理する場合の疑問点に答えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。
当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。
【追記】今期のvPro導入困りごとアンケートの受け付けは終了しました。
・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。
・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、全ての質問への回答を約束するものではございません。
・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。
・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。
個人情報の保護について
http://www.impress.co.jp/privacy_policy/