見出し画像

インテル® AMTのプロビジョニングについて

vPro友の会

前回の最後で触れたように、インテル AMTはUEFI Setup上で有効にするだけでは使用できません。IPアドレス等のAMTを使う上で必要となる様々な設定を行ったりCSMEと有線/無線LANとを接続させたりして制御可能な状態にする「プロビジョニング(Provisioning)」という作業が必要になります。本来は「Setup and Configuration」という名称が付いていますが、今でもインテル社のマニュアルなどでも使用されていたり、そもそも長いのでここでは名称以外は一般的な名詞である「プロビジョニング」を使用します。これに対して、AMTの設定を全てクリアして初期状態にする事をアンプロビジョニング (Un-Provisioning) と呼んでいます。AMTのプロビジョニングの方法にはいくつかあるので登場順に紹介していきます。

Manual Setup and Configuration

名前の通り「手動」でプロビジョニングを行う方法です。AMTの最初期から存在するため既にvPro PCを使っている方にはお馴染みの方法だと思います。
ME BIOS Extension (MEBx)という拡張BIOS上で必要最低限の設定項目を入力していきます。ただし、現在では無線LANの設定がMEBx内では行えないなど設定できる項目も十分ではなく、数台程度ならまだしも企業等である程度の台数を導入する場合、プロビジョニングを一台一台手作業で行うのは苦行でしかなく、手作業ならではの設定(入力)ミスも出やすいためお薦めはできません。私も最近はほとんど使っていません。

Remote Configuration

構成用のサーバーを構築し、市販のvPro証明書を使用してvPro PCとサーバー間を安全に接続してサーバーから構成情報を配布する方法です。vPro証明書はSSLサーバー証明書がベースになっていて、AMT固有のOID (2.16.840.1.113741.1.2.3) が追加されている、またはOUの値が Intel(R) Client Setup Certificate と指定された物です。

vPro証明書の例(OUが"Intel(R) Client Setup Certificate"となっている)

一方、AMTのファームウェアには下記の表にあるように主要な証明書ベンダーのルート証明書のハッシュ値(拇印)が組み込まれています。これらのベンダーから購入して下さい。

CSMEファームウェアのバージョン11.0以降に組み込まれている拇印の一覧
ファームウェアバージョン15.0.45, 16.1以降で追加された拇印

購入した証明書を予め構成用サーバーにセットしておきます。その後は以下のフローでプロビジョニングが行われます。

Remote Configurationのフロー

証明書のハッシュ値を照合する事で相手との信頼関係を築くところからこの方式をPKI-CH(PKI Certificate Hash)と呼んでいます。

Remote Configurationはインフラ側の前準備が必要になりますが、多くのvPro PCのプロビジョニングを一気にかつセキュアにかつミスなく行えるため極めて効率的です。
なお、構成用のサーバーアプリケーションは現在インテル謹製の管理アプリケーションであるインテル EMAまたはOpen AMT Cloud Toolkitがその役割も担っています。かつては構成用サーバーアプリケーションもありましたが既に廃止されています。

Host-based setup and configuration

上の2つとは異なる第3のプロビジョニング方法で、現在はこちらが主流のようです。
CSMEにはビルトインアカウントの1つとして$$OSAdminというアカウントが組み込まれています。このアカウントを使用してvPro PC上のローカルアプリケーションがManagement Engine Interface (MEI)というインターフェースを経由してCSMEにアクセスしてプロビジョニングを行います。ローカルアプリケーションの実行には管理者権限が必要になります。プロビジョニング完了後に同じアカウントを使用して追加の設定(無線LANの有効化やIPアドレスの同期など)を行います。インテル EMAでは各クライアントPCにインストールする エージェントがこのプロビジョニングを行います。

Client Control Mode

Host-based setup and configurationは管理者権限だけでプロビジョニングを行えるのでとても手軽なのですが、そのトレードオフとしてAMTは一部の機能が制限された「Client Control Mode (CCM)」というモードになります。主な違いとして、AMT やプラットフォームに対する不正な乗っ取りを避けるためにネットワークフィルターなどの機能や一部の設定操作はブロックされます。また、リモートKVMやIDEリダイレクション(ISOイメージをリモートでマウントさせるる機能)などを行うにはユーザーの同意が必要です。リモート操作実行時にユーザーの画面にスプライト表示される「同意コード」を読んでもらって、それを管理者のコンソールで入力するまで相手の画面は表示されません。

Admin Control Mode

CCMに対して機能制限のないモードを「Admin Control Mode (ACM)」と言います。Remode Configurationの所で紹介したvPro証明書を使うことでこのモードにすることができます。また、一旦CCMにプロビジョニングをしておいて後からACMへアップグレードさせることも可能です。Manual Setup and ConfigurationやRemote Configurationでプロビジョニングを行った場合もこのモードになります。

モードの選択

ヘルプデスクなどで運用する場合は「同意コード」をPC利用ユーザーに読んでもらうことが可能ですし、電源のON/OFFだけを行うような場合はCCMでも十分だと思いますが、vPro PCをサーバーのように無人で運用したりテレワーク等で自宅から会社のPCをリモートで操作したいような場合はフルリモートの操作ができないと困るのでACMにプロビジョニングをする必要があります。実際の運用ケースを想定してモードを選択してください。

さて次回は

実際にプロビジョニングをやってみましょう。まずはManual Setup and Configurationでの注意点(だらけ)についてカバーしようと思います。
その後はインテル EMAを実際に構築して、vPro PCをCCMやACMにプロビジョニングしていきたいと思います。


【お知らせ】こちらでもvProに関する情報を発信中です!

PC匠道場 ~PC設定・管理のツボ~
PCを管理・設定する人や企業を総合的に応援!