インテル vPro プラットフォームの電源制御を検証する、というテーマで記事を掲載してきたが、今回は組織でvProを活用するのに便利なIntel Endpoint Management Assistant(Intel EMA)を紹介したい。
このツールは「クライアントPCの設定がとにかく簡単」なのも大きな特徴。その「簡単さ加減」も紹介していきたい。
「ルーター越え」も簡単なリモート管理ツール
Intel EMAは、インテルが無償配布しているサーバーソフトウェアで、複数のWindows 10搭載PCをリモート管理できるのが基本機能。
vPro搭載PCだけでなく、vProを搭載しないPCも管理でき、例えば、OS起動後の操作や動作プロセス/ファイルの状況確認、シャットダウンなどはvProのないPCでも行える。もちろん、vPro搭載PCなら、電源ONからBIOS設定まで全てコントロールできる。
内部処理としては「管理されるPCからアクセスを始める仕組み」になっているため、ルーターやファイアウォールを超えるのも容易で、例えば「社員の自宅にあるPCを管理する」なんてことも簡単。しかも、クライアントPCの設定は「実行ファイルをインストールするだけ」と極めて簡単だ。
また、多数のPCを管理することにフォーカスしているため、グループごと、あるいは複数台のPCを一括制御する機能もついており、「グループ全部を再起動」といった操作も一発でできる。
利用環境を整える必要があるとはいえ、これが「無償」というのはなかなかすごい。
では、その利用手順を紹介していこう。
【vProのツボ レビュー編 記事一覧】
EMAサーバーをどう用意するか?クラウドでもオンプレミスでも、サードパーティのサービスでも
さて、まずは「サーバーを用意する」ところからだ。
普通に手元にハードウェアを用意し、インストールしてもよいのだが、クラウドを使って以下のように用意する手もある。
Intel EMAのサーバーを動かすためには、Windows Server 2012以降とMicrosoft SQL Server(Enterprise推奨)が必要なので「小規模に導入したい」という場合は、「クラウド上にサーバーを用意する」または「サードパーティのサービスを利用する」のが手軽だろう。
クラウド上にサーバーを用意する
Microsoft AzureやAmazon Web Service(AWS)などのクラウドで、EMAサーバーを構築できる。
Azure上に構築できるツールやAWS上に構築するための日本語ガイドが用意されており、前者は月額80ドル程度からEMAサーバーを用意できる。
サードパーティのサービスを利用する
Intel EMAをクラウドベースで提供するサードパーティがある(Mogul TechnologiesのEMACLOUDなど)ので、それらのサービスを利用する。
メリットは、構築や管理の手間とコストが最小限になること。構築は「サービスを申し込むだけ」で終わりだし、PCの管理もしなくて済む。
ただし、PCのパフォーマンスが任意に調整できないため、管理台数が多い場合には向いていないだろう。例えば、インテルの資料では2万台のPCを管理するサーバーのスペックとして、「16スレッド以上に対応したIntel Xeonプロセッサ、24GBのメモリ、1TBのミラーリングされたストレージ」が必要としている。
Intel EMAを使ってみよう詳細な日本語マニュアルもアリ
では、Intel EMAのサーバーが準備できたとして、最初の手順と「できること」を紹介していこう。
なお、Intel EMAは日本語の詳しいドキュメントが用意されている。Intel EMAのWeb管理画面は英語だが、読みながら進めれば迷うことはないだろう。
初めにやること
Intel EMAを使い始めて最初の画面がこれだ。
やることが3ステップに分かれて書いてあるが、要するに「設定を準備する」「個々のPCに設定とエージェントをインストールする」「実際に操作する」という流れになる。
以下、順に説明していこう。
まずは「エンドポイント・グループ」の作成から
まずはEndpoint group(エンドポイント・グループ)の作成だ。左メニューにあるEndpoint groupを選び、その画面で右にある「New endpoint group…」をクリックする。
エンドポイント・グループは、「エンドポイント=管理される側のPC」をグループでまとめたもの。Intel EMAでは、単体での制御に加え、こうしたグループでまとめて制御が行える(デジタルサイネージなどでは便利そうだ)。
ここではグループポリシー、たとえば電源操作でどのような操作を許可するのか、リモート操作をどのような方法で行なうのかといったことを指定していく。
初期設定はウィザード形式で進むが、Endpoint group画面の2つ目のタブにあるIntel AMT ProfilesではvPro搭載PCのネットワーク設定などを指定できる。たとえばIPアドレスが固定なのかDHCPを利用しているのか、Wi-Fiの設定、IEEE802.1xの認証設定などだ。
そして、次のプロセスは、管理される側のPCで動作させるエージェントと、これまでの設定を記録した設定ファイルのダウンロードだ。
Intel EMAでは、このエージェントがOS上で動作するため、vPro非搭載機も管理できるし、エージェントのインストール時、設定ファイルをもとにしてIntel AMTの設定もされるため、vPro搭載機でもIntel EMBxなどによる個別PCの設定をしなくていい。もちろん、通信すべきEMAサーバーの設定なども設定される。多数のPCを設定するには便利な仕組みといえるだろう。
さて、上記の設定が完了すると、Generate Agent Installation Filesという画面になる。
ここにはWindows (32-bit) Service、Windows (64-bit) Serviceという2つのチェックボックスがあり、必要なものにチェックをして横に表示されるDownloadボタンを押し、「EMAAgent.exe」というファイルをダウンロードしよう。また、その下のAgent policy file横にもDownloadボタンがあるので「EMAAgent.msh」というファイルもダウンロードしておく。
管理対象PCの設定は、「エージェントをインストールするだけ」
次のプロセスは、「管理対象PC」へのエージェントのインストールだ。これは驚くべきほどの簡単さだ。
やるべきことは、「ダウンロードした2つのファイルを、同一フォルダ内に保存し、USBメモリなどを介して管理対象PCにコピー、管理者権限でEMAAgent.exeを実行する」。これだけだ。
これにより、Intel EMAのエージェントと通信先データなどがインストールされ、Intel AMTの設定も完了する。Intel AMTでは、先ほど説明した「管理されるPCからアクセスを開始する仕組み=Client Initiated Remote Access(CIRA)」も有効化され、ファイアウォール越え/ルータ越えでの制御が行えるようになる。なお、CIRAに関する設定は、Intel EMBxではできず、基本的にこの方法で行うので、混乱しないようにしておきたい。
初期設定終了後、数秒~1分程度待つと、Intel EMAの画面に登録したPCが表示される。
今回の検証は、「EMAサーバーはクラウド上」「管理対象PCは自宅LAN内」だが、CIRAの効果であっけなくサーバーへの登録が完了した。「ルーター越え」の設定は特に何もしていないが、これで使えるようになる。
Intel EMAで何ができるのか?
さて、最後に「Intel EMAでできること」を紹介しておこう。
基本的には、「Intel AMTでできること」と「Windows上でのプロセス確認/ファイル確認」が実施でき、さらに「シャットダウンなどは、PC単体だけでなく、複数台同時に制御できる(グループやフィルタリングで指定する)」と覚えておくといいだろう。
実際の手順としては、まず左のアイコン群から「Endpoint」を選択し、中央にあるボタン「Load all Endpoint」を押すと登録済みの管理対象PC(エンドポイント)が表示される。
複数台同時に制御する際は、チェックボックスを使用すればいい。フィルターや検索によって目的の端末を絞り込むこともできる。ここをチェックしたうえで右上のセレクトメニューから操作を行なうと、「複数台を一斉に起動/シャットダウンさせる」といったことも簡単だ。
また、個別のPCを詳細に見ていく場合は、端末名の右端にある「view」をクリックし画面を遷移させる。
この画面では、状態を示すGeneralのほか、Hardware Manageability、Desktop、Terminal、Files、Processes、WMIといったタブが表示されている。
Desktopを選んでConnectを押せばリモートデスクトップが利用できるし、OSが起動中であれば「Files」「Process」といった機能も利用できる。
なお、Intel EMAでは、一部の管理機能について「ローカルユーザーの同意なしで操作するには、PKI証明書を取得、設定しておく必要がある」というセキュリティ保護仕様が導入されている。具体的には、Intel AMTの機能を利用したリモートデスクトップなどが該当する。OS起動後のリモートデスクトップはPKI証明書なしでもユーザー同意不要に設定できるので、「無人環境でBIOS操作したい」といった使い方をしたい場合に限り、PKI証明書が必要になるというイメージだ。自由度が増しているだけに、しっかりしたセキュリティ保護機能があるのは安心だ。
なお、「PKI証明書を使わないで無人環境でBIOS操作したい」なら、前回までに紹介したIntel Manageability Commander(Intel MC)とVPNを組み合わせて実現するのも手だ。
「実行するだけ」で設定が終わる!多数のPCを管理できる強力ツール
以上、ざっと見てきたが、何よりのポイントは「EMAエージェントとプロファイルをPCにコピー→インストールするだけで、すぐに電源管理できる」という手軽さだ。
それだけで「ルーター越え」もできるから、VPNも不要だし、Wake On LANのような面倒な設定もない。また、vPro搭載PCだけでなく、vPro非搭載のPCもまとめて管理できるため「とにかく全PCを再起動」といったことも簡単だ。
ついでに言うと、「リモートデスクトップの設定を利用者にしてもらうのも一苦労」という場合もあると思うが、Intel EMAならエージェントさえインストールすれば、リモートデスクトップが利用できる。
ちなみに、Intel EMAは奥が深い。例えばvPro搭載PCの自動検出機能やEMAサーバー側のユーザー管理機能などもあったりする。今回は、そのすべてを紹介することはできなかったが、「大企業のシステム管理者はこのようなシステムを使うのか」と思いつつ、中小規模のシステム管理を効率化するのもいいと思う。
今後は、テレワークやフリーアドレスなど、新たなかたちでのPC運用が増えていくと思われる。そうした際に必要な、PC管理の柔軟性やセキュリティの確保などを考えると、Intel vProやIntel EMAによる効率化や安全性の確保は重要な要素になっていくのではないだろうか。
【vProのツボ レビュー編 記事一覧】
【vProのツボ:記事一覧】
【vProイベント開催のお知らせ】
インテルvProプラットフォームのオンラインイベントが11月12日13時より開催されます。主催はインテル株式会社で、参加費は無料。
イベントでは、インテル株式会社代表取締役の鈴木国正氏によるオープニングの後、セブン銀行などをはじめとするvPro活用事例の紹介や活用ポイントの紹介、さらには日本マイクロソフトによるWindows 11の紹介など、「最新の働き方」や「IT管理」に関するセッションが多数開催されます。
イベントの詳細はこちらを参照。参加希望者はウェブページから事前登録が必要です。
vProやその活用に興味のある方はふるってご参加ください。