インテル® EMAでクライアントPCの管理を行う(クライアントPC接続編)
年末年始や大人の事情などもあって前回から期間が空いてしまいましたが、今回はいよいよ構築したEMAサーバーにクライアントPCを接続します。
準備
クライアントPCをADに参加させておき、前回EMAサーバーからダウンロードしたendpoint agent (EMAAgent.exe) とagent policy file (EMAAgent.msh) を各クライアントPCの適当なフォルダーに配布します。資産管理ツールで配布しても良いですし、USBメモリーにコピーして手動で展開しても良いですし、共有フォルダーにでも置いておいてアクセス可能な状態にしておいても良いと思います。注意点は2つです。
1.endpoint agentとagent policy fileは同じフォルダーに置くこと
2.endpoint agentとagent policy fileは同じファイル名(拡張子だけが異なる)であること
またEMAはクライアントPCの操作だけでなく、AMTのプロビジョニングも行い、プロビジョニングの情報をDBに保持します。管理パスワードをランダムに設定できたりするのもこのおかげです。
このため、各クライアントPCはEMAでプロビジョニングを行う必要があります。他のアプリケーションやManual Provisioningなどでプロビジョニングを行った場合はEMAでAMTの操作を行う事はできません。EMAサーバーに接続させる場合は必ず予めアンプロビジョニングを行っておいて下さい。よくトラブルになるケースです。
EMAエージェントのインストール
各クライアントPCに配布したEMAAgent.exeを右クリックで管理者権限を指定して起動します。そのまま起動してしまってもUACの画面が出ずにエラーメッセージが表示されるだけなので気を付けて下さい(私もよく忘れます)。
起動すると下記のような画面が表示されます。
ここで[Install / Update]ボタンを押すとエージェントがインストールされ、自動的にインストーラーが終了します。コマンドプロンプトでインストールを行う場合は、 ファイルのパス\EmaAgent.exe -fullinstall でOKです。
ちなみに、クライアントPCを所属させるEndpoint Groupを変更したい場合は変更先のグループのagent policy fileのみを上書きコピーして再度インストーラを実行、[Install / Update]ボタンを押すことで変更が行われます。
コンソールでの確認
EMAのコンソールにアクセスすると作成したEndpoint Groupのカウントが0から1になっています。これが先ほどエージェントをインストールしたクライアントPCの分です。
同様にEndpointの一覧にも出てきます。AMTのプロビジョニングも既に終わっています。
一番右側のSummaryからクライアントPCのサマリー画面を表示できます。ここでPCに関する様々な情報を見たり操作を行ったりする事ができます。
サマリーを表示して一呼吸おくとIntel® MEの右側にDevice Pageというリンクが現れます。クリックするとお馴染みのWebUIへのログオン画面が表示されます。
EMAからのリモート操作
では実際のリモート操作をタブ毎に見ていきましょう。操作の機能はAMTを使用したものやエージェントの実装によるものとさまざまです。
General
クライアントPCのサマリー画面として表示されています。ここで[Actions]のプルダウンメニューから操作を行う事ができます。PCの起動やスリープ、再起動など電源操作の項目が主ですが、それ以外にもいくつかあります。
Alarm ClockはAMTの機能の1つで、指定した時刻に自動的に起動させる言わば「目覚まし時計」のような機能です。PC内蔵のリアルタイムクロックを使用するので、起動に際してネットワーク越しのトラフィックは発生しません。一度だけ起動させたり、繰り返して起動させるように登録する事もできます。ただ、時刻の指定がUTCとなっているので注意が必要です。
Send alertはクライアントPCの画面にメッセージを表示させる機能なのですが使用できる文字が半角のみで、アルファベット、数字、スペース、改行しか使えない(マイナスやアンダースコアなどの記号もダメ!)ので正直使い勝手は良くないです。
Mount an imageはAMTのIDEリダイレクション機能を使用してiso/imgのイメージをマウントさせる機能です。イメージファイルは予めEMAサーバーにアップロードしておく必要があります。
イメージファイルはStorageの画面でアップロードします。
Boot to Recovery ImageはIntel® One Click Recoveryという機能で、SSDの中にあるリカバリー(回復)イメージを使って壊れたOSを回復させます。EMAでは第12世代Core™プロセッサー搭載の機種以降でのサポートですが、UEFI(BIOS)側での対応も必要なので必ずしも全ての機種でサポートされているというわけでは無さそうです。新機種を導入する際には対応の可否を確認しておいた方が良いと思います。
Platform Erase(Intel® Remote Platform Erase)は更に強力で、SSDの消去に加えてCMOSクリア、BIOS設定の初期化、TPMのクリア、AMT設定のクリアまで行えます。LCM(Life Cycle Management)の最後の廃棄にあたってこれを実行する事で、あらゆる情報を残さずに廃棄できるようになっています。こちらも第12世代Core™プロセッサー搭載の機種以降でのサポートですが、UEFI(BIOS)側での対応も必要なので必ずしも全ての機種でサポートされているというわけでは無さそうです。新機種を導入する際にはこちらも対応の可否を確認しておいた方が良いと思います。
Hardware Manageability
AMT関連の設定内容を表示します。一部変更する事もできます。Remote DesktopはAMTのリモートKVMを使用したリモートコンソールです。
AMTがClient Control Modeでプロビジョニングされているため、クライアントPCの画面に表示される「ユーザー同意コード」というワンタイムパスワードの入力が必要です。
Desktop
ここから先はAMTを使用しない機能のため、AMTに対応したPCでなくとも利用出来ます。ただし、OSが起動してエージェントが動作している状態でしか使用できません。
今回の設定では接続に際し「User Consent」というPC利用ユーザーによるセッション接続への同意の操作が必要になっています。AMTのリモートKVMのようなワンタイムパスワードの入力は必要ありませんが、下記のようなダイアログで[はい]を押してもらうと管理者側に画面が表示されるようになります。リモートデスクトップとは異なり利用者も管理者も同じ画面を見る事になります。
なお、Endpoint Group作成時のGroup Policy設定画面でUser Consent for In-Band KVMのチェックを行わない事でユーザーの同意を得なくても接続出来るようになります。
Terminal
エージントに実装されたシェルのようなもので、電源操作などをコマンドで実行する事ができます。また、コマンドプロンプトを呼び出す事もできます。
Processes
クライアントPC上で実行されているプロセスの一覧が表示されます。プロセスを止めたり追加したりする事もできます。
WMI
WMIのクエリーを実行して情報を取得したり、メソッドの実行を行う事ができます。
さて次回は
今回の設定ではAMTはClient Control Modeとしてプロビジョニングされています。制限付きのモードではありますが、これだけでもかなりのリモート操作が行えているかと思います。
一方、無人で運用したい場合や夜間のメンテナンスなどクライアントPCの前に誰もいない場合、UEFI Setupの操作などフルリモートでの画面操作を行うためにはAdmin Control Modeでプロビジョニングする必要があります。
Client Control ModeやAdmin Control Modeに関しては第5回の記事中の「Host-based setup and configuration」の項目を参照して下さい。
次回はAdmin Control Modeでのプロビジョニングを行っていこうと思います。