インテル® EMAでクライアントPCの管理を行う(設定編)
前回に引き続きEMA関連について書いていきます。前回はEMAサーバーの構築までを行いましたが今回はクライアントPCを管理するための設定を行っていきます。以下のような順番で行います。
TenantならびにTenant Administratorアカウントを作成
Endpoint Groupを作成し、クライアントPCにインストールするエージェント用のポリシーファイルを生成する
Intel® AMT Profileを作成し、Endpoint Groupに紐付ける
Tenantの作成
EMAで一番大きな管理の単位であるTenantはGlobal Administratorの権限でしか作成できないので、まず前回構築したEMAにGlobal Administratorアカウントでログオンします。このアカウントは構築の過程で作成しています。
Global AdministratorアカウントでログオンするとOverviewの画面にGetting startedが表示されてインストール後の手順が表示されます。[Create Tenant] ボタンを押してTenantを作成します。
新規作成の画面でTenantの名前と簡単な説明を入力します。両方入れないと先へ進めません。
Tenantの管理画面に作成したTenantが表示されます。この一覧は左の真ん中のアイコン(Users)を押して、Tenantのタブを選択する事でここに来られます。Tenantの追加や削除はここで行います。
続いて作成したTenantの管理者であるTenant Administratorアカウントを作成します。同じ画面でUsersタブを選択し、ユーザー管理画面へ移動します。
Manage users for this tenant: の所が作成したTenantである事を確認して [New User] ボタンを押します。
Tenant作成の時と似たような感じの作成画面が表示されます。今回も全ての項目が書かれていないと先に進めません。RoleはTenant Administratorを選択します。
アカウントを作成するとユーザー管理画面の一覧に追加されます。
Endpoint Groupの作成
Global Administratorのお仕事はここまでです。別途Tenantやユーザーを追加したい時には再び出番が来ますが、一旦ここでログアウトします。その後Tenant Administratorアカウントでログオンし直します。ログオン後の画面はGlobal Administratorでログオンした時の画面とは全く異なり、このアカウントが管理するTenantに関する情報が表示されます。
左側の上から4番目のアイコン(Endpoint Groups)を押してまず左側のNew endpoint groupのリンクを押します。
作成するグループ名、説明、パスワードを入力して、EMAで操作する機能を決めるGroup Policyを設定します。デフォルトでは一部にしかチェックが入っていないので使用したい項目にチェックを入れます。Select allを押して全部まとめてチェックを入れても良いかと思います。なお、後でポリシー設定を変更するためのパスワードを入れていますが、現時点では変更はできません。いつか変更できるように・・・なるのでしょうか。グループの削除は可能です。最後に [Generate agent installation files] ボタンを押してエージェントのダウンロード画面に進みます。
endpoint agent(EMAAgent.exe)とagent policy file(EMAAgent.msh)をダウンロードします。これら2つのファイルをクライアントPCにコピーして実行する事でEMAのエージェントプログラムをインストールしますが、今はまだ行わないで下さい。また、endpoint agentそのものは共通ですが、agent policy fileはTenant / Endpoint group毎に異なります。管理のためにagent policy fileのファイル名を一時的に変更しても構いませんが、クライアントPCで実行する際には必ずファイル名をEMAAgent.mshに戻して下さい。ファイル名が異なるとエージェントのインストールができません。最後に [Finished] ボタンを押して完了します。
次にIntel® AMT Profilesタブを選択してAMTのプロファイルの作成を行います。これは各クライアントPCのAMTをどのようにプロビジョニングするかを決めるためのプロファイルになります。
[New Intel® AMT Profile] ボタンを押してプロファイルの作成画面を開きます。
ここでEMA-クライアントPC間の通信モードを選択します。モードは2種類あって、TLS RelayとCIRA(Client Initiated Remote Access)です。
TLS Relayはオンプレミス専用で、EMAサーバーからターゲットとなるクライアントPCに対して操作を行う際に直接コマンドを発行するのではなく、他の動作中のクライアントPCを中継器としてそのPCに対してIn-Band、つまりOSのエージェントに対する通信を行います。コマンドを受け取ったPCはターゲットに対してOut-of-Band、つまりAMTのコマンドを使った操作を行います。ターゲットが見つからない場合は他のPCに対して転送を行います。
これに対してCIRAは各クライアントPCのAMTがEMAサーバーに対して定期的にVPNのようなトンネルセッションを張ります。管理者はこの接続を利用してEMAサーバーからクライアントPCにコマンドを送ります。クライアントPCからEMAサーバーに対する通信が可能であればEMAサーバーはどこに配置しても良いので、例えばクラウド上に置く事でNAT越しの管理も可能となります。逆にクラウド上に置いた場合は常にCIRAを使う必要があります。もちろんオンプレミス環境でも使用できます。
真ん中の選択肢はハイブリッド型で、社内にいる時はTLS Relay、社外に出た時はCIRAを使うというものです。これを選択した場合はCIRAを「使用しない」場合のドメインサフィックス、つまり社内ネットワークのドメインサフィックスを指定します。社内にいるのかそうでないのかはDHCPのOption15で渡されるドメインサフィックスで判断している(Intel AMTのEnvironment Detectionという機能です)のでDHCPが必須になります。
AMTプロファイルのつづきですが、Managemant InterfaceのタブでKVMやリダイレクションなどAMTで使用する機能を選択します。
IPアドレスはDHCPか固定IPをOSと同期させるかの2択です。
無線LANについてもインターフェースを有効にして無線LANプロファイルをOSと同期させるようにすれば概ね事が足りると思います。固定IPも無線LANもManual SetupやHost-based Setupの時の追加設定を考えるとウソのようにシンプルです。[Save] ボタンを押すと作成は完了です。
つぎに作成したAMTプロファイルをEndpoint Groupと連携させます。これによってクライアントPCにエージェントをインストールすると自動でプロビジョニングを開始させる事ができます。手動で1台1台プロビジョニングを開始させる事もできますが、PCの台数が増えると苦行にしかなりません。自動化できるところは自動化しましょう。
Endpoint Groupを選択し、ActionsのプルダウンメニューでView Configurationを選択します。
Intel® AMT autosetupが無効になっているのでリンクをクリックします。
Intel® AMT autosetupの画面でまず、Enabledにチェックを入れます。プロファイルが先ほど作成したものであるのを確認します。Activation MethodはHost Basedしか選択出来ません。市販のリモート構成用の証明書をEMAにインストールする事でCertificate Provisioning(TLS-PKI)が選択出来るようになります。
Administrator Password(いわゆるAMTの管理アカウントであるadminのパスワードです)はデフォルトではランダムになっています。EMAのデータベースに格納されているのでこの様な芸当ができるのですが、チェックを外して任意のパスワードを指定する事もできます。
Saveを押して完了します(いつもより少しだけ時間が掛かります)。
さて次回は
準備作業は以上で、次回はいよいよクライアントPCを接続します。エージェントをインストールしてプロビジョニングも自動的に行われる・・・はずです。
EMAに接続させるPCが以前紹介したManual SetupやHost-based Setupで既にプロビジョニングされている場合はアンプロビジョニングを行うか工場出荷状態に戻しておいて下さい。