インテル® AMTを使いこなせ!豊富な機能が実装されたMeshCommanderの実力とは?

運用管理

はじめに

本記事をご覧の皆様は、「インテル vProテクノロジー」や「インテル AMT」をご存知でしょうか?

インテル vProテクノロジー(最近では、インテル vProプラットフォームともいうようです。)は、インテル社が実装しているハードウェアベースの運用管理機能およびセキュリティ機能の総称ですが、取り分け、インテル AMTは、PCの電源ON/OFFが制御できたり、電源OFFの状態からリモートデスクトップのようにリモートアクセスできたりするため、企業のPC管理者にとってメリットのある機能となっています。

前回の記事では、インテル AMTの機能を使いこなすために必要不可欠な「インテル マネージャビリティー・コマンダー」(Intel Manageability Commander)という無償ツールをご紹介しましたが、今回は「MeshCommander」というオープンソースのツールをご紹介したいと思います。インテル マネージャビリティー・コマンダーよりも豊富な機能を実装しており、TLS暗号化通信の設定も簡単にできるようになっています。

なお、インテル AMTについてあまり詳しくなくても、本記事をご覧いただければ、どんなことができるのかご理解いただけると思います。

インテル AMTとは?

以前の記事でもご説明しておりますが、インテル AMTは、「インテル アクティブ・マネジメント・テクノロジー」の略で、インテル vProテクノロジーの中で、リモートから電源ON/OFFを制御したり、PCをリモートから操作したりする機能が含まれています。遠隔地にあるPCをリモートより制御できるため、PCの運用管理を効率化することができます。

インテル vProテクノロジーやインテル AMTについてもう少し詳しくお知りになりたい方は、以下のブログ記事をご覧ください。自社のPCがインテル vProテクノロジーに対応しているのか確認する方法やインテル AMTで何ができるのかについて、知ることができます。

インテル AMTを使うには?

インテル AMTは、ハードウェアに搭載されている小さなコンピューターのようなもので、機能にアクセスするために管理者ID/パスワードやIPアドレスを始めとするネットワーク情報などをチップセット上に書き込む必要があります。

この初期設定のことを「プロビジョニング」と言い、いくつかやり方があります。プロビジョニング方法については、別の記事で記載しておりますので、そちらをご覧ください。弊社では、USBメモリーを使って手軽にプロビジョニングできるUSBプロビジョニングをお勧めしております。

MeshCommanderとは?

では、MeshCommander(メッシュコマンダー)についてご紹介したいと思います。本ツールは、インテル AMTで実装されている機能の多くを手軽に使えるPC管理者向け管理コンソールです。オープンソースソフトウェアなので無償で使用することはできますが、本記事執筆時点(2019年4月)でバージョン0.7.4と正式リリース前のビルド扱いとなっています。

MC_RemoteDesktop_02.png

どんな用途に向いているのか?

MeshCommanderは、インテル マネージャビリティー・コマンダーと同様に、基本的には1台のPCに対して、電源を入れたり、リモートアクセスしたりするツールとなりますので、PCのトラブルシュート用途に向いています。

複数台に対して一括で、電源ON/OFFしたり、ISOイメージでブートしたりしたい場合には向きません。その場合は、弊社製品「PIT-PowerController for AMT」を始めとするインテル AMTの管理ツールを使ったほうが便利です。

何ができるのか?

MeshCommanderで使用できる主な機能は、以下の通りです。

  1. ハードウェア情報の取得
    インテル AMTが有効になっているPCは、ACアダプターより給電されている状態であれば、ハードウェア情報を取得することができます。PCベンダー名、モデル名、製造番号、メモリー容量等を確認できます。

  2. 電源ON/OFF/リセット
    インテル AMTが有効になっていれば、有線/無線LAN経由でPCの電源ON/OFF/リセットが実行できます。インテル AMT 9.0以降はGraceful ShutdownというOS経由でのシャットダウンにも対応しているため、通常通りシャットダウンして電源を切ることができます。ブルースクリーンやBIOS/UEFIが表示された状態でも電源制御が可能です。

  3. リモートアクセス(リモートKVM)
    インテル AMTのリモートKVM機能を使えば、Windowsのリモートデスクトップと同じようにPC上の操作が可能です。
    ※KVMは、キーボード、ビデオ、マウスのことです。

  4. 仮想ドライブのマウント(IDEリダイレクション)
    インテル AMTには、手元のPCにあるISOイメージやDVDドライブをネットワーク越しにマウントする機能があります。これによりリモートからデータ消去ツールでブートしたり、OSリストア用イメージを流し込んで初期化したりすることができます。

  5. 遠隔データ消去(Remote Secure Erase)
    インテル AMTが有効になっており、且つインテル SSD Proファミリーに属するSSDを搭載しているPCであれば、リモートからディスク上にあるデータを確実に消去することができます。PCを廃棄する前や、OSをリストアする前に、データを完全に消去することができます。

システム要件

MeshCommanderをインストールするPCには、特別なシステム要件はありません。Windows 7/8.1/10であれば動作します。情報システム部門のご担当者様のPCにインストールしても良いですし、資産管理ツールがインストールされているサーバーOSにインストールしてもよいでしょう。

但し、MeshCommanderで制御されるPC側は、インテル AMTに対応しているPCで、プロビジョニングという初期設定が完了している必要があります。

セットアップ手順

ここからは、MeshCommanderのセットアップ手順についてご紹介したいと思います。今回は、v0.7.4というバージョンにて操作を試しています。今後のバージョンについては多少画面イメージが変わる場合があるかと思いますので、その点ご了承ください。

  1. MeshCommanderのWebサイトにアクセスし、MeshCommanderをダウンロードします。
  2. ダウンロードした「MeshCommander.msi」を管理者権限アカウントでダブルクリックして実行します。以下のようなウィザード画面が表示されます。[Next]ボタンをクリックします。
    MC_Setup_01.png
  3. 以下のような画面が表示されます。エンドユーザーライセンス許諾に同意する場合は、下部のチェックボックスにチェックを入れ、[Next]ボタンをクリックします。
    MC_Setup_02.png
  4. 「Component Selection」画面が表示されます。このまま、[Next]ボタンをクリックします。
    MC_Setup_03.png
  5. 以下のような画面が表示されます。[Install]ボタンをクリックし、MeshCommanderをインストールします。
    MC_Setup_04.png
  6. インストールが完了すると、以下のような画面が表示されます。[Finish]ボタンをクリックしてウィザード画面を閉じます。
    MC_Setup_05.png

管理PCの追加手順

次に、MeshCommanderで管理するPCを追加する手順についてご紹介します。リモートより管理したいPCを管理コンソール上に追加します。

  1. スタートメニュー等より、MeshCommanderを起動します。
    MC_Main.png
  2. 画面左上にある[Add Computer]ボタンをクリックし、コンピューターを追加します。今回は、評価環境であるため、HostnameにはFQDNではなくIPアドレスを入力しています。Friendly Nameは本ツールのホスト名一覧に表示される名前です。認証モードは認証方式を選択するメニューとなりますが、通常は「Digest」を選択します。Active Directoryで認証するようにプロビジョニングした場合は、「Kerberos」を選択します。最後に[OK]ボタンをクリックします。MC_Add_Computer_01.png
  3. 以下のような画面が表示されます。管理対象となるPCが他にもある場合は、本手順を繰り返します。
    MC_Add_Computer_02.png
  4. 追加したホスト名の右にある[Connect]ボタンをクリックします。画面中央にユーザー名、パスワードの入力を要求する画面が表示されますので、インテル AMTをプロビジョニングした時のユーザー名、パスワードを入力し、[OK]ボタンをクリックします。
  5. ログインに成功すると、以下のような画面が表示されます。ホスト名やIPアドレスを確認して正しいホストに接続できているか確認します。
    MC_SystemStatus.png

操作手順

続いて、MeshCommanderでPCを管理する際の主な操作手順についてご紹介します。以下の操作手順について記載しています。

  • 電源ON/OFF/リセット
  • リモートアクセス
  • アラームクロック
  • 証明書の登録(TLS暗号化通信向け)

電源ON/OFF/リセット

  1. MeshCommanderを起動し、前項で記載したように管理したいPCに接続します。以下のような画面が表示されます。
    MC_SystemStatus.png
  2. 左ペインにある[Remote Desktop]メニューをクリックし、右ペインにある[Power Actions]ボタンをクリックします。
    MC_RemoteDesktop_01.png
  3. その時点での電源状態によって選択できる電源アクションのプルダウンメニューが表示されますので、実施したい電源アクションを選択し、[OK]ボタンをクリックします。[Soft-off]メニューを選択すると、OSからシャットダウンできます。
    MC_PowerDialog.png

リモートアクセス

  1. MeshCommanderを起動し、前項で記載したように管理したいPCに接続します。以下のような画面が表示されます。
    MC_SystemStatus.png
  2. 左ペインにある[Remote Desktop]メニューをクリックし、右ペインにある[Connect]ボタンをクリックします。リモートPCの画面が表示されます。なお、PC接続時にリモートKVMが有効になっていない旨の警告メッセージが画面に表示されましたら、指示に従ってリモートKVMを有効にしてください。
    MC_RemoteDesktop_02.png

アラームクロック

アラームクロックは、社内ネットワークに接続されていなくても、指定時刻に電源ONを実行することができる機能です。毎日・毎週・毎月といった繰り返し実行も可能です。

  1. MeshCommanderを起動し、前項で記載したように管理したいPCに接続します。以下のような画面が表示されます。
    MC_SystemStatus.png
  2. 左ペインにある[Wake Alarms]メニューをクリックします。右ペインに表示された[Add]ボタンをクリックします。
    MC_WakeAlarms_01.png
  3. 画面中央に設定画面が表示されますので、電源ONを実施したい日時を指定します。定期的に電源ONを実行したい場合は、「Interval」に電源ONを実施する間隔を入力してください。最後に[OK]ボタンをクリックします。
    MC_WakeAlarms_02.png
  4. アラームクロックの設定が完了しました。指定時刻に電源ONが実施されることを確認します。(PCの時刻が正しいかご確認ください。)
    MC_WakeAlarms_03.png

証明書の登録(TLS暗号化通信向け)

MeshCommanderには、「Certificate Manager」という証明書を管理するメニューが用意されています。本メニューより自己証明書を生成し、各コンピューターに秘密鍵を登録することで、TLSによる暗号化通信が実装できます。

  1. 上部メニューバーより、[Tools]-[Certificate Manager]をクリックします。[Create Root Certificate]ボタンをクリックし、ルート証明書を作成します。下図のように、Common Name、Organization、 State/Province、Countryを入力し、[OK]ボタンをクリックします。また、作成された証明書の横にある[View]ボタンをクリックし、「This is a trusted certificate」チェックボックスにチェックを入れておきます。
    MC_certificate_root.png
  2. 続いて、TLSによる暗号化通信を設定したいコンピューターに接続し、[Security Settings]メニューをクリックします。[Issue Certificate]ボタンをクリックし、下図のような内容でコンピューター用の証明書を発行します。
    MC_Issue_Certificate.png
  3. 秘密鍵が登録されます。右ペインにあるSecurity Settingsの[Disabled]メニューをクリックして、コンピューター用の証明書および[Server-auth, non-TLS allowed]を選択して、[OK]ボタンをクリックします。[Server-auth TLS only]を選択してもよいですが、万が一TLSで接続できなかった場合に備え、TLS暗号/非暗号のいずれでも接続できるようにしておきます。以下のような設定になっていることを確認します。
    MC_Issue_Certificate_02.png
  4. MeshCommander上にて接続方式を[Digest / TLS]に変更し、当該コンピューターに接続してみます。「TLS Secured」と表示されていれば暗号化通信で接続できていることを示しています。アクセスできることを確認したら、先ほどの設定を[Server-auth, TLS only]に変更します。
    MC_Issue_Certificate_03.png

まとめ

今回の記事では、MeshCommanderの概要やインストール方法、操作手順についてご紹介しました。いかがでしたでしょうか?

インテル AMTは初期のプロビジョニングは少し手間がかかりますが、一度操作方法を覚えてしまえば、意外と便利に使えるものかと思います。MeshCommanderは無償ですし、機能も豊富なのでトラブルシュート用途でご利用になる分には申し分ないかと思います。

冒頭でご説明しましたが、インテル AMTを利用するには、インテル vProテクノロジー搭載PCでなければなりませんので、PCをリプレースする際にぜひご検討いただければと思います。インテル vProテクノロジーは各PCベンダーの上位モデルのPCのみに搭載されているケースが多く、PCの購入単価が少し高くなる傾向があります。

弊社の「Nレンタル」という残価設定型レンタルプログラムを利用いただければ、インテル vProテクノロジー搭載PCのような性能の高いPCを、リーズナブルにご提供させていただくことができます。インテル AMTのご利用をご検討の際に、Nレンタルのご利用も併せてご検討いただければ幸いです。
※レンタル対象のPCや期間によってレンタル費用は異なります。

関連サービス:Nレンタル (レンタルプログラム)
関連製品:PIT-Configurator for AMT(プロビジョニングツール)
関連製品:PIT-PowerController for AMT(電源管理ツール)