インテル® AMTのManual Setup and Configuration (前編)

今回はAMTのManual Setup and Configurationを実際にやってみて、その手順や注意点について説明していこうと思います。
この方法ではManagement Engine BIOS eXtensions (MEBx)という拡張BIOSの画面内で設定を行います（最近ではRAIDを構築する場合ぐらいしか拡張BIOSにアクセスするようなことは無くなりましたね）。

いきなりの注意点

まず最初の注意点ですが、拡張BIOSなので入力はUS配列のキーボードが想定されています。日本で流通しているPCのほとんどはJIS配列でしょうから、特にパスワードの入力には注意が必要です(Shift+2は " ではなくて ＠ などの脳内変換が必要です)。レガシーBIOSからUEFIに変わってからはSetupメニューでキー配列の変更ができるPCも出ています。その場合はJapaneseに変更しておくとこの心配は無くなります。

表示言語ではなくキーボードレイアウトが変更可能な機種がある

MEBxへの入り方

ではMEBxに入って行きます。かつてはBIOSのPower On Self Test(POST)と呼ばれる初期化完了後にホットキーであるCtrl+Pを押してMEBxの画面に入るようになっていたのですが、入力タイミングがとてもシビアで、連打していてもそのままOSが起動してしまってやり直す経験をされた方も多いと思います。最近の（と言っても第12世代ぐらいからなのでごく最近の）PCではUEFI Setup画面の中に統合されていますので、MEBxに入るのが楽になっています。
なお、今回はインテル社のNUCを使って設定しています。メーカーやプラットフォームの世代によってはメニューの構造や内容が多少異なりますので適宜読み替えてください。

MEBxがUEFI Setupのメニュー項目の1つになっている

MEBxの入り口。[Intel(R) ME Password]を押してログインする。

初めてMEBxに入る場合はパスワードの設定変更が必要になります。新しいパスワードは今後MEBxに入るためのパスワードと、AMTのビルトインアカウントadminのパスワードとしてセットされます。MEBxのパスワードとadminのパスワードは本来別々の物で、以降は個別に変更されます。
工場出荷状態の初期パスワードはadminですが、設定するパスワードの要件は8文字以上63文字以下で、大文字・小文字・数字・記号がすべて含まれている必要があります。あと、先に述べたようにキーの配列(特に記号)にはくれぐれも注意して下さい。

初期パスワード`であるadminを入力する。

新たに設定するパスワードを入力する。この後確認用にもう一度入力する。

パスワードの設定が終わった後の画面

パスワードの設定が終わるとFQDNやIPアドレスなどネットワーク関連の設定を行います。ただし、MEBxで設定できるネットワーク設定は有線LANだけです。無線LANについてはここではできません。MEBxでのプロビジョニングが一通り終わった後に別の場所にて設定を行います。まずは [Intel(R) AMT Configuration] を選択して先に進みます。

Intel(R) AMT Configurationの画面

この画面の [Network Setup] でFQDNやアドレスを入力してから [Network Access State] をNetwork Activeに変更するとプロビジョニング作業は終わります。
AMTのIPアドレスの設定ではDHCPも固定IPアドレスも使用できますが、OSがDHCP設定ならAMTもDHCP、OSが固定IPアドレス設定ならAMTも固定IPアドレスと必ず揃えてください。揃えておかないとDHCPリクエストが正しく飛ばなかったり、起動時やシャットダウン時にOSとAMTとの間でIPアドレスが引き継がれないなどトラブルの原因になります。
ここからはDHCPの場合と固定IPアドレスの場合とで異なりますので一旦分けて説明します。

DHCPの場合

デフォルト設定がDHCPになっているので設定が必要な部分はほとんどありません。IPアドレスはOSとAMTとでシェアされます。
[Network Setup]に入ってさらに [Intel(R) ME Network Name Setting] に入ってFQDN(完全修飾ドメイン名)を入力します。OSと同じになるように設定して下さい。以前のバージョンではホスト名とドメイン名が分かれていました。

Network Setupの画面

FQDNを入力する

固定IPアドレスの場合

固定IPアドレスの場合はOSとは別のIPアドレス、ホスト名を割り当てます。本来はAMTにOSと同じ固定IPアドレスを割り当ててシェアさせることも可能なのですが、必要最小限の設定項目しか無いMEBxにはアドレスをシェアさせる設定がないため不十分となります。よってMEBxだけで設定を行う場合はOSとは異なるIPアドレスを割り当てて下さい。また名前解決でトラブらないようにホスト名もOSと異なるものを割り当てて下さい。

とは言え、1台のクライアントPCで2つもIPアドレスを消費してしまうのも勿体ない話なので、次回その方法についてカバーしたいと思います(AMT SDKを使ってMEBxの項目には無い追加設定を行います)。

DHCPの場合同様に [Network Setup] に入ってさらに [Intel(R) ME Network Name Setting] に入ってOSと異なるホスト名を持ったFQDNを入力します。また、[Shared/Dedicated FQDN] の設定をDedicatedに変えます。

ホスト名を変えて、Dedicatedに設定した場合

[Netwok Setup] へ戻り、今度は [TCP/IP Settings] へ入り、[Wired LAN IPV4 Configuration] へ進みます。

TC/IP Settingsの画面

[DHCP Mode] がデフォルトでEnabledになっているのでこれをDisabledに変更します。するとIPアドレスを入力できる部分が現れます。適宜入力します。

固定IPアドレスの設定画面

分岐から戻って

DHCPの場合も固定IPアドレスの場合もIPアドレスやFQDNの設定が終わったら [Intel(R) AMT Configuration] に戻ります。ここで [Network Access State] をNetwork Activeへ変更します。

Intel(R) AMT Configurationの画面 Network Activeに変更済

最後にF10を押して設定保存を行いUEFI Setupを抜けます。再起動が掛かり、AMTのプロビジョニングが完了しました。

F10を押したところ

設定確認＋

PCが起動したらブラウザーを起動して http://localhost:16992 へアクセスします。Web User Interface(WebUI)と呼ばれる管理ページが表示されます。管理アカウントのadminと先程設定したパスワードでログインを行います。

AMTのWebUI画面

認証に成功してログインするとシステムの状態が表示されます。認証に失敗する場合はパスワードが正しいかどうか、それ以外のエラーが出る場合はMEBxへ戻って設定された内容を確認して下さい。自分の経験を含めて [Network Access State] がActiveになっていない場合が多いです。
左ペインの [Network Settings] や [System Name Settings] を選択して先に設定したホスト名やドメイン名、IPアドレスを確認して問題が無ければ動作確認は完了です。

ログオン後の画面

そうそう、MEBxで設定できなかった無線LANです。[Wireless Setting] の画面で無線LANの有効/無効やプロファイルを設定することができます。

Wireless Settingsの画面

まずはOSシャットダウン中でも無線LAN接続ができるように [Wireless Management] でEnabled in S0,SxACを選択してSubmitを押します。

無線LANを有効にした状態。Radio StateがOnになっている

無線LANの接続プロファイルを設定します。OSが動作していない時も接続できるようにAMT側にも接続設定が必要になります。
任意のプロファイル名やSSID、認証方式、暗号方式、パスフレーズを設定します。認証方式のRSN-PSKはWPA2パーソナルで、これ以外にWPA-PSKとWPA3-SAEが選択出来ます。802.1X認証のエンタープライズはここでは設定できません。また、暗号化方式は現在CCMP(AES)一択になっています。プロファイルは16個まで追加可能です。接続の優先度も変更可能です。

無線LANプロファイルの設定画面

プロファイルが追加されている

さて次回は

次回は後編として、固定IPアドレスをOSと同じにする方法や無線LANのプロファイルをOSと同期させる方法といった小ネタ、そしてAMTの設定をクリアするアンプロビジョニングをカバーしようと思います。