インテル® EMAでクライアントPCの管理を行う(構築編)

今回からはしばらくの間インテル® Endpoint Management Assistant (EMA)を使ったクライアントPCの管理について書いていこうと思います。EMAはサーバーアプリケーションなので今回はまず構築についてカバーします。

下準備

サーバー2台とクライアントPCから成る下記のような「箱庭環境」を用意しました。サーバー2とクライアントPCは全て予めADに参加させておきます。

用意した箱庭環境

サーバー2の方にEMAを構築する訳ですが、EMAのダウンロードページにあるリリースノートにも書いてあるようにEMAは今もまだローカライズどころか国際化対応すらされていません。よってEMAを導入するサーバー2は英語OS(en-US)環境である必要があります。まぁ、昔と違って日本語OSでも表示言語やロケールの変更によって同等にできるはずです。

英語版Windows Server2022のインストール画面

EMAをインストールする前に前提要件であるSQLサーバーをインストールしておきます。こちらも英語版になります。検証段階(＝数台程度のクライアントPC)ではSQL Server Express Edition with Advanced Servicesも使用できるのでここではそちらをインストールしています。本番環境では規模に応じてStandardやEnterprise等のエディションをお使い下さい。

EMAの管理体系について

これからEMAをインストールしていくのですが、その前にEMAの管理体系について書いておきます。

グルーピング

EMAはマルチテナントを考慮した作りになっていて、サーバーの直下に一番大きなグループとしてテナントというグループを持ちます。各テナント間は完全に独立した形になっています。テナントの中にEndpoint Groupというグループを持ちます。クライアントPCはEndpoint Groupのいずれかに所属するような形となります。

EMAサーバー内のグルーピング

管理アカウント

EMAの管理者用アカウントもいくつか種類があって、それぞれの役割が異なります。
Global Administrator : テナントの作成、Tenant Administratorアカウントの作成などサーバー全般の管理を行います。ただし、テナントの中のグループやPCの操作などはできません。
Tenant Administrator : テナント内の全ての操作の権限を持ちます。
Account Manager : テナント内の管理者ユーザーを管理するためのアカウントで、アカウントの作成や削除などは可能ですが、Endpoint、つまりPCの操作は行えません。
Endpoint Group Creator : テナント内のPCの操作に加えてEndpoint Groupの作成やそれに伴うAMTの設定プロファイル作成などの管理が可能です。
Endpoint Group User : 所属するEndpoint Group内のPCの操作のみができます。複数のEndpoint Groupに所属する事も可能です。

構築にあたっては少なくともGlobal AdministratorとTenant Administratorのアカウントが必要です。全てのアカウントはユーザー名がxxxx@aaa.bbb.jpのようなメールアドレスの形式になっている必要があります。実在するメールアドレスで無くても構いません。

EMAのインストール

さて、ここからはEMAをインストールしていきます。ダウンロードしたインストールパッケージはインストーラーでは無く自己解凍型のZIPファイルになっているので、実行すると解凍先を聞いてきます。デフォルトでは一時フォルダーを作成してそこに解凍するようになっていて、どこに解凍されたのか分かりづらいので、デスクトップにでもフォルダーを作成してそこを指定するようにした方が良いと思います。

インストールパッケージの実行画面

解凍するとEMAのモジュールが展開されています。EMAServerInstaller.exeがインストーラー本体です。Documentsフォルダーには各種ガイドが入っていますので、必要に応じて参照して下さい。導入にあたっては少なくともQuick Start GuideとServer Installation and Maintenance Guideには目を通しておいて下さい。

EMAインストールパッケージの中身

Documentsフォルダーの中身

インストーラーを起動すると最初の画面が出ます。一番上を押してインストールを開始します。

インストーラーの起動画面

多くはそのまま進んで行けば良いのですが、そうではない部分だけ書いていきます。最初にインストールの種類を選択します。負荷分散などで複数のサーバーへの拡張の予定がある場合は一番上を、検証環境やデモ環境など拡張の予定が無い場合は一番下を選択します。

インストールの種類の選択画面

SQLへの接続に使用する認証方式を選択します。

データベース接続の種類の選択

インストールの種類の選択画面で一番上を選択した場合に表示される物と思われますが、EMAはいくつかのサーバーコンポーネントから成っていて、それぞれ別々のサーバーにインストールする事も可能です。それらのコンポーネントで負荷分散を行う場合にロードバランサーのFQDNまたはIPアドレスを入力します。EMAのサーバーコンポーネント毎にロードバランサーを指定するのですが、負荷分散を行わない場合はこのサーバーコンポーネントをインストールするサーバーのFQDN(またはIPアドレス)を入力します。
今回はロードバランサーを使用せず、全てのコンポーネントを同じサーバーにインストールするのでサーバー2のFQDNを指定しています。他のサーバーコンポーネントに関してもSame as Swarm Serverにチェックを入れ先に進んでいます。

Swarm Serverのロードバランサー指定画面

Ajax & Web Serverのロードバランサー指定画面

recovery Serverのロードバランサー指定画面

インストールするサーバーコンポーネントを指定します。今回は同じサーバーに全てのコンポーネントをインストールするので全てのチェックを入れて進みます。サーバーのIPアドレスは自動的に表示されます。

サーバーコンポーネントを選択する画面

ユーザー認証方法を選択します。ローカルアカウントの認証に加えてドメイン認証やAzure AD認証も使用可能です。

ユーザー認証方法の選択画面

Global Administratorのアカウントをここで作成します。

サーバー分散してインストールする場合は共有フォルダーの作成など追加の作業が必要になります。今回は単一のサーバーなのでNoを選択して進みます。

これまでの設定のサマリーが表示されます。

サマリー表示画面

インストールが開始されます。IISなどの必要なWindowsコンポーネントも自動的にインストールされます。これでインストールは完了です。

インストール中の画面

動作確認

インストールしたEMAサーバーの各コンポーネントが正常に動作しているかを確認します。インストーラ画面にある真ん中のボタンまたはスタートメニューからIntel® EMA Platform Managerを起動します。先ほどのGlobal Administratorアカウントでログオンします。

EMA Platform Managerのログオン画面

ログオンに成功し、全てのサーバーコンポーネントの左側のインジケーターが緑になっていれば正常に動作している事になります。

MA Platform Managerのメイン画面

次に管理コンソール画面を起動してみます。WebブラウザーでEMAサーバーへアクセスしログオン画面が表示されればOKです。

EMAの管理コンソール画面

さて、次回は

次回はEMAサーバー内にテナント / Endpoint Groupの作成とクライアントPCの動作設定ファイルの作成、エージェントファイルのインストールを行ってクライアントPCをEMAに接続するぐらいまでをカバーしたいと思います。