インテル® AMTをプロビジョニング(初期設定)してみよう!

運用管理

はじめに

今回の記事では、前回の「インテル® vPro™テクノロジーで、PCの運用管理をもっと効率的にしよう!」から一歩進んで、具体的にインテル vProテクノロジーを使うにはどうすればよいのか前・後編に分けて具体的に解説したいと思います。

・前:「インテル AMTをプロビジョニング(初期設定)してみよう!」(本記事)
・後編:インテル AMTを使って、電源ON・リモート操作をしてみよう!

インテル AMTの基礎知識

インテル AMTとは?

インテル AMTは、インテル アクティブ・マネジメント・テクノロジーの略で、インテル vProテクノロジーの中で、リモートから電源ON/OFFをしたり、PCをリモートから操作したりする機能が含まれています。前では、インテル AMTを使う前に必要なプロビジョニングと言われる初期設定方法について解説します。

なお、インテル vProテクノロジーの概要や機能についてあまりご存知のない方は、「インテル vProテクノロジーで、PCの運用管理をもっと効率的にしよう!」を先にご覧いただくことをお勧めします。

プロビジョニングとは?

インテル AMTの機能を使って、リモートから電源ON/OFFをしたり、PCをリモートから操作したりしたい場合は、まず、インテル AMTの初期設定が必要です。インテル AMTでは、この初期設定のことを「プロビジョニング」と言います。

インテル AMTのプロビジョニングでは、管理者の認証情報、ネットワークアドレス、インテル AMTの動作に関するパラメーター等をチップセット上に書き込む作業のことを言います。例えば、管理者パスワード、ホスト名、IPアドレス、ユーザーオプトインの有無等です。

使用上の注意点

インテル AMTの機能を使う場合、いくつか注意しなければならない点があります。弊社がこれまで色々経験してきた中で、特に見落とされがちな注意点を以下に記載します。

  1. ACアダプターによる電源供給が必要

    インテル AMTを利用する場合は、必ずACアダプターによる電源供給をしてください。ACアダプターをコンセントに挿して通電させないと、チップセット上にあるME(マネジメント・エンジン)というプロセッサーが起動せず、インテル AMTが動作しません。

  2. インテル AMTの脆弱性の有無を確認

    2017年5月にインテル AMTに関する脆弱性(JVNDB-2017-002923)が発表されました。脆弱性のあるAMTのファームウェアバージョンは、パスワードなしでリモート制御が可能なため、使用する前にファームウェアのバージョンを確認し、脆弱性の有無を確認してください。脆弱性のあるファームウェアをお使いの場合は、PCベンダーが提供するアップデートを適用してから使用してください。ファームウェアの適用方法については、PCベンダーまたは販社にお問い合わせください。

    なお、弊社製品PIT-Configurator for AMTを使って、簡単にファームウェアのバージョンを確認することが可能ですので、以下リンクより評価版をダウンロードしてお試しください。

    PIT-Configurator for AMT(評価版)

  3. BIOS/UEFI上でインテル AMTが無効になっている場合がある

    PCベンダーによっては、工場出荷時のBIOS/UEFIの設定でインテル AMTが無効となっている場合があります。事前にBIOS/UEFIメニュー上にてインテル AMTが有効となっていることを確認してください。

  4. 無線環境下ではDHCPが必要

    インテル AMTは、Wake on LAN(WoL)と異なり、無線(Wi-Fi)環境でも電源ON/OFFの制御が可能です。しかし、次の制限事項がありますので注意が必要です。無線LAN環境下では、DHCPによるIPアドレスの割り当てが必要であり、固定IPアドレスは使用できません。どうしても無線環境下で固定IPアドレスを使用したい場合は、ルーターやDHCPサーバー側で指定のMACアドレスに指定のIPアドレスが割り当てられるように設定してください。

4つのプロビジョニング方法

インテル AMTのプロビジョニングには、4つの方法があり、インテル AMTの利用目的やPCの展開状況によって効率的な方法を選択する必要があります。弊社では汎用的に使える「USBプロビジョニング」を推奨しております。

  • MEBx(拡張BIOS)

    PCを電源ONにした時に、「Ctrl + p」キーを押下することで、MEBx(拡張BIOS)にアクセスできます。このMEBx上で管理者パスワード、ネットワーク情報、電源ポリシーを入力し、初期設定することが可能です。但し、MEBx上ではUSキーボードで動作するため、管理者パスワードが意図しないパスワードになってしまう可能性がありますので注意が必要です。

    MEBx.jpg

  • USBプロビジョニング

    USBメモリーに「setup.bin」というバイナリデータを保存し、USBメモリーをPCに接続した状態で電源ONにした時に、PCが自動的にsetup.binを検出し、setup.binに含まれる管理者パスワード、ネットワーク情報、電源ポリシー等を取得して、初期設定することが可能です。弊社製品であるPIT-Configurator for AMTを使えば、OS上のネットワーク情報を取り込み、簡単にUSBプロビジョニングが可能ですので、ぜひお試しください。

    PIT-Configurator.png

  • ホストベース・プロビジョニング

    インテル AMT v6.2以降であれば、コマンドプロンプトより、インテル社が無償で提供しているインテル SCSに付属する「ACUConfig.exe」コマンドを使って、初期設定することができます。事前に管理者パスワード、ネットワーク情報、電源ポリシー等が含まれたプロファイルを作成しておき、ACUConfig.exeコマンドの実行時にプロファイル名を指定します。但し、ホストベース・プロビジョニングの場合、制限事項があります。リモートKVM機能を使ったリモートアクセス時にリモートPCの画面に表示される6桁のユーザーコンセントコードを電話等で確認して入力しなければPCに接続できないため、夜間や人がいない場合にリモートアクセスすることはできません。なお、電源ON/OFF・リセットする場合は、ユーザーコンセントコードは不要です。

    host-based-provisioning.png

  • インテル SCS

    インテル社が無償で提供しているインテル SCSを使用して初期設定する方法です。事前に、インテル SCSサーバーを構築したり、インテル vProテクノロジーに対応したSSL証明書を準備したりする必要があり、導入時のハードルは高いですが、リモートでプロビジョニング状態を確認できるため、しっかり管理されたい場合はインテル SCSのご使用を推奨します。弊社ではインテル SCS導入のご支援も可能ですので、ご興味がありましたら、お問い合わせください。

USBプロビジョニング手順

本記事では、弊社が通常推奨しているUSBプロビジョニングによる設定手順をご紹介します。

  1. 該当するPCのBIOS/UEFI画面を表示し、「Intel AMT」(または「Intel ME」)、「USB Provisioning」といったメニュー項目を有効にします。
    ※メニュー項目は、PCベンダーによって異なる場合がありますのでご注意ください。

    BIOS_AMT.png
  2. 2~4GBの容量のUSBメモリーを用意し、FAT16またはFAT32でフォーマットします。
  3. PIT-Configurator for AMT 評価版を弊社Webサイト(PIT-Navi)よりダウンロードし、toolフォルダーをUSBメモリーの直下にコピーします。

    USB_Drive.png
  4. Windows OS上より、ドライブ名\tool\AMT_Setup4.exeをダブルクリックして実行します。
  5. PIT-Configurator for AMTの「OSの情報」にIPアドレス等のネットワーク情報が自動的に入力されますので、値が適切かどうかを確認します。
  6. 次に、画面右下にある「MEBxパスワード」にパスワードを入力します。パスワードは、英大文字・英小文字・数字・記号が各1文字以上含まれ、最低8文字以上のパスワードになるよう設定してください。

    PIT-Configurator_pass.png
  7. 最後に、画面右下にある<プロビジョニング開始>ボタンをクリックして、OS再起動を実施します。
  8. OS再起動時に、USBメモリー直下に生成されたsetup.binファイルが読み込まれて、「Found USB Key for provisioning Continue with Auto Provisioning (Y/N)?」というダイアログメッセージが表示されます。Yキーを押下すると、プロビジョニングが実行されます。

動作確認

インテル AMTが動作しているのか、プロビジョニングがうまくいっているのかを確認する方法がいくつかあります。本記事では、比較的簡単に確認できる方法をご紹介します。

  • Pingコマンド

    インテル AMTの動作確認の中で一番簡単な方法は、Pingコマンドを打つことです。電源OFF時にPingコマンドを実行すると、TTLの戻り値が255(または255に近い数字)となります。しかし、OSが起動している場合に実行すると、PingコマンドのTTLの戻り値が128となり、インテル AMTの動作確認としては使用できませんのでご注意ください。
    ※TTLの値は端末からのホップ数によって数値が変わる場合があります。

    ping_command.png

  • Webコンソールへのアクセス

    インテル AMTの動作確認の中でPingの次に簡単な方法は、Webコンソールにアクセスすることです。電源状態に関わらず、アクセスすることができます。Webコンソールにログインすることができれば、プロビジョニング済みであることが確認できます。左ペインの[Remote Control]メニューより、電源ON/OFFを実施することもできます。

    AMT_Console.png

  • PIT-Configurator for AMT(製品版)

    弊社製品であるPIT-Configurator for AMTを使っても簡単に動作確認することができます。PIT-Configurator for AMTを起動し、「他のPCの設定の確認、変更を行う」チェックボックスにチェックを入れ、ターゲットのFQDNまたはIPアドレスを入力し、<接続>ボタンをクリックすると、現在のプロビジョニング設定が確認できます。万が一、間違いがあればその場で変更することもできます。
    PIT-Configurator for AMT 評価版では動作確認はできません。
    AMT_Check.png

まとめ

インテル AMTを使うには、プロビジョニングという初期設定が必要となります。インテル AMTのプロビジョニング方法は複数存在しますが、その中でもUSBプロビジョニングが一番汎用的で制限がなく、使いやすいと考えております。

弊社では、PIT-Configurator for AMTというUSBプロビジョニングツールを提供しており、これまで多くの方にダウンロードいただいております。ご興味をお持ちの方はぜひ評価版にてお試しいただければと思います。

[評価版のダウンロードはこちら]

本記事の後編では、電源ONやリモート操作といった使用方法について解説していきます。

・後編:「インテル AMTを使って、電源ON・リモート操作をしてみよう!」

なお、インテル vProテクノロジーの概要からプロビジョニング手順(初期設定手順)についてまとめたホワイトペーパーも弊社Webサイト(PIT-Navi)に掲載しておりますので、より詳しく知りたい方はホワイトペーパーをダウンロードしてください。

[もう悩まない!インテル AMTの4つの導入手順]


※インテル、Intel、インテル Core、インテル vPro、CeleronおよびPentiumはアメリカ合衆国およびその他の国におけるインテルコーポレーションまたはその子会社の商標または登録商標です。