• [アーティクル]

Configuration Manager の帯域外管理の概要

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager の帯域外管理には、Intel vPro チップ セットおよび Configuration Manager がサポートしている Intel Active Management Technology (Intel AMT) を搭載したコンピューターに対する強力な管理制御機能が備わっています。

帯域外管理を使用すると、コンピューターが電源オフや休止モードの場合、またはそれ以外の理由でオペレーティング システム経由で応答しなくなった場合にも、管理者はコンピューターの AMT 管理コントローラーに接続できます。これとは対照的に、帯域内管理は Configuration Manager およびそれ以前の製品で使用される従来の方法です。エージェントが管理対象コンピューターのフル オペレーティング システムで実行され、管理コントローラーは管理エージェントと通信することでタスクを実行します。

帯域外管理は帯域内管理を補います。帯域内管理はフル オペレーティング システム環境で実行されるので、より広範囲な操作をサポートしますが、オペレーティング システムが存在しない場合や稼動していない場合は機能しないことがあります。このような場合は、帯域外管理の補足機能を使用することで、管理者は対象コンピューターをローカルでアクセスしなくても管理できます。

帯域外管理には、次のタスクがあります。

  • 1 つまたは複数のコンピューターの電源投入 (営業時間外のコンピューター保守など)

  • 1 つまたは複数のコンピューターの電源切断 (オペレーティング システムの応答停止など)

  • 稼動していないコンピューターの再起動、またはローカルに接続されたデバイスや既知のブート イメージ ファイルからの起動

  • ネットワークにあるブート イメージ ファイルから起動するか、PXE サーバーを使用することにより、コンピューターを再イメージ化する。

  • 選択したコンピューターの BIOS 設定の再構成 (および BIOS 製造元によりサポートされている場合 BIOS パスワードの回避)

  • コマンドや修復ツール、診断アプリケーションを実行する (ファームウェアのアップグレードやディスク修復ツールの実行など) ために、コマンド ベースのオペレーティング システムを起動する。

  • 稼働前のコンピューターをウェイクアップするためにスケジュールされたソフトウェアの展開を構成する

こうした帯域外管理タスクは、認証のないワイヤード (有線) 接続、認証のある 802.1X ワイヤード接続およびワイヤレス接続でもサポートされます。帯域外管理ではまた、次の追加機能もサポートします。

  • 選択された AMT 機能の監査

  • 電力消費の節約および IT ポリシーへの遵守に役立つ、さまざまな電源状態のサポート

  • AMT のデータ ストレージ。管理コントローラーの不揮発性ランダム アクセス メモリ (NVRAM) に最大 4096 バイトまでの ASCII 文字を保存可能。

帯域管理を使用したシナリオ例は、「Configuration Manager の帯域外管理の使用のシナリオ例」を参照してください。

上記のタスクの一部は Configuration Manager コンソールから実行されますが、その他のタスクには Configuration Manager が提供する帯域外管理コンソールを実行する必要があります。帯域外管理では、Windows のリモート管理技術 (WS-MAN) を使用して、コンピューター上の AMT 管理コントローラーに接続します。

[!メモ]

帯域外管理は、インターネット ベースのクライアント管理によりインターネット経由で管理されるクライアントに対してはサポートされません。Configuration Manager がブロックしているか、承認していない Configuration Manager クライアントに対して、帯域外管理を行うことはできません。

次の表に、Configuration Manager で提供される帯域外管理のオプションと機能を示します。

機能またはシナリオ

説明

セキュリティ ベースの管理

帯域外管理は、次の証明書を使用して、内部公開キー基盤 (PKI) と統合します。

  • 帯域外サービス ポイントにインストールされるプロビジョニング証明書で、コンピューターを帯域外管理するために構成できるようにします。

  • 登録ポイントにインストールされる Web サーバー証明書で、プロビジョニング処理中に、帯域外サービス ポイントとのセキュリティ保護された通信用に使用します。

  • 帯域外で管理される各コンピューターにインストールされる Web サーバー証明書で、通信が認証され、TLS (Transport Layer Security) を使用して暗号化されるようにします。

  • 802.1X 認証用に必要な場合はクライアント証明書。

これらの証明書の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

帯域外管理コンソールでコンピューターを管理できるようにするには、事前に管理者が Kerberos を使用して承認される必要があります。

帯域外管理アクティビティは記録され、AMT ベースのコンピューターの監査ログを使って監査することができます。

802.1X 認証ワイヤード (有線) ネットワークおよびワイヤレス ネットワークのサポート。

  • 認証されたワイヤード (有線) 802.1 X サポート: EAP-TLS または TTLS/Eap-mschap v2 または PEAPv0/Eap-mschapv2 のクライアント認証オプション。

  • ワイヤレス サポート:WPA および WPA2 セキュリティ、AES または TKIP 暗号化、EAP-TLS、EAP-TTLS/MSCHAPv2、または PEAPv0/EAP-MSCHAPv2 のクライアント認証オプション。

AMT のプロビジョニング

Configuration Manager のクライアントを実行している Intel AMT ベースのコンピューターを有効にして構成する。

拡張されたインベントリ データ

資産タグ、BIOS UUID、電源状態、プロセッサ、メモリ、ドライブ情報など、AMT チップからハードウェア インベントリ データを提供します。

AMT 管理コントローラーの識別

AMT 管理コントローラーを備えたコンピューターを識別し、プロビジョニング ステータスを特定します。

この情報を使用して、クエリ ベースのコレクションを作成し、プロビジョニングや電源管理などの帯域外管理アクティビティ用にコンピューターをグループ化できます。

電源管理

1 つのコンピューター、選択した複数のコンピューター、またはコンピューターのグループに対して、電源オン、電源オフ、再起動などの機能を有効にします。

コンピューターは、期限のある、スケジュールされたソフトウェアの展開によってウェイクアップさせることもできます。

帯域外管理コンソール

Configuration Manager コンソールまたはコマンド プロンプトから実行される専用の管理コンソールは、IDE リダイレクトや Serial over LAN セッションなどの帯域外管理タスクを開始します。

[!メモ]

機能は管理対象コンピューターの製造元によって異なります。たとえば、IDE リダイレクトや Serial over LAN 機能が製造元によって無効にされていることがあります。

IDE リダイレクト

コンピューターを、ディスク IDE インターフェイスからではなく、ブート イメージ ファイルまたはローカルに接続されたデバイスから起動できるようにします。これは、ハード ディスク ドライブの診断、修復、またはイメージ化を行う際に役立ちます。

Serial over LAN

Serial over LAN 技術とは、仮想シリアル ポートからのデータをカプセル化し、帯域外管理コンソールで確立した既存のネットワークを介して送信するものです。

これにより、管理対象コンピューターのターミナル エミュレーション セッションを実行できるようになります。このセッションで、コマンドや文字ベースのアプリケーションを実行できます。たとえば、これに BIOS の再構成や IDE リダイレクトとの連携作業が含まれている場合は、ファームウェアを更新したり、診断ツールを実行したりできます。

Configuration Manager での帯域外管理の拡張

Configuration Manager での帯域外管理のサポートや拡張に関する情報の詳細については、Microsoft Pinpoint サイトで、 Intel のアプリケーション提供情報を参照してください。

Configuration Manager の新機能

[!メモ]

このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド

Configuration Manager 2007 以後、帯域外管理が次のように変更されています。

  • System Center 2012 Configuration Manager で Configuration Manager 2007 クライアントやオペレーティング システムがインストールされていない場合に行っていた帯域外プロビジョニングは、Configuration Manager で実施することはできません。System Center 2012 Configuration Manager で AMT 搭載コンピューターをプロビジョニングするには、コンピューターが Active Directory ドメインに属しており、System Center 2012 Configuration Manager クライアントがインストールされ、System Center 2012 Configuration Manager のプライマリ サイトに割り当てられている必要があります。

  • AMT 搭載コンピューターをプロビジョニングするには、帯域外サービス ポイントに加えて、登録ポイントという新しいサイト システムの役割をインストールする必要があります。両方のサイト システムの役割を、必ず、同じプライマリ サイトにインストールしてください。

  • 新しいアカウントがある、 AMT プロビジョニングの削除アカウント, に指定する、 の帯域外管理コンポーネントのプロパティ:プロビジョニング タブです。このアカウントに AMT ユーザー アカウントと同じ Windows アカウントを指定しておくと、サイトを回復しなければならなくなった場合に、このアカウントを使って AMT プロビジョニング情報を削除できます。クライアントが再割り当てされ、AMT プロビジョニング情報が古いサイトから削除されていない場合も、このアカウントを使用できることがあります。

  • Configuration Manager 不要になった、AMT プロビジョニング証明書の期限が有効期限が切れることを警告するステータス メッセージを生成します。そのため、有効期限を自分で確認して、期限が切れる前に証明書を更新してください。

  • AMT 搭載コンピューターを探索するときは、ポート TCP 16992 は使用されず、ポート TCP 16993 だけが使用されます。

  • AMT 搭載コンピューターをプロビジョニングするために、AMT 管理コントローラーを帯域外サービス ポイントに接続するときに、ポート TCP 9971 が使用されなくなりました。

  • 帯域外サービス ポイントは、HTTPS (既定は ポート TCP 443) を使用して登録ポイントに接続します。

  • WS-MAN トランスレーターはサポートされなくなりました。

  • "AMT コンピューター パスワードのリセット" というメンテナンス タスクが削除されました。

  • AMT ユーザー アカウントごとに、権限を付与しなくなりました。代わりに、すべての AMT ユーザー アカウントは自動的に構成、 PT 管理 (Configuration Manager 2007 SP1) または プラットフォーム管理 (Configuration Manager 2007 SP2) 右側で、すべての AMT 機能へのアクセス許可を付与します。

  • ユニバーサル セキュリティ グループを指定する必要があります、 帯域外管理コンポーネント プロパティのうち コンピューターでは、AMT を格納するアカウントを Configuration Manager 、AMT プロビジョニング プロセス中に作成します。

  • サイト サーバー コンピューターに、AMT プロビジョニングで使用される組織単位 (OU) のフル コントロール権限を付与する必要がなくなりました。代わりに、メンバーの読み取りとメンバーの書き込み権限 (つまり、このオブジェクトのみの権限) を付与します。

  • プライマリ サイト サーバー コンピューターではなく、登録ポイントが、発行元の証明機関 (CA) の "証明書の発行と管理" 権限を必要とするようになりました。この権限は、AMT 証明書を失効にするために必要です。Configuration Manager 2007 の場合と同様、このコンピューター アカウントには、発行元の CA と通信する DCOM 権限が必要です。この権限を構成するには、登録ポイントのサイト システム サーバーのコンピューター アカウントが、Certificate Service DCOM Access セキュリティ グループのメンバー (Windows Server 2008 の場合)、または発行元の CA があるドメインの CERTSVC_DCOM_ACCESS セキュリティ グループのメンバー (Windows Server 2003 SP1 以降の場合) でなければなりません。

  • AMT Web サーバー証明書と AMT 802.1X クライアント証明書のテンプレートで、"要求に含まれる" を使用しなくなりました。また、サイト サーバーのコンピューター アカウントは、次の証明書テンプレートの権限を必要としません。

    • AMT Web サーバー証明書テンプレートの場合: サブジェクト ] タブで [ Active Directory の情報から構築, 、クリックして 共通名サブジェクト名の形式です。セキュリティ ] タブで、付与 読み取り登録 で指定したユニバーサル セキュリティ グループにアクセス許可、 帯域外管理コンポーネント プロパティのうちです。

    • AMT 802.1X クライアント証明書テンプレートの場合: サブジェクト ] タブで [ Active Directory の情報から構築, 、クリックして 共通名サブジェクト名の形式です。クリア、 DNS 名 チェック ボックスをオンし、[ ユーザー プリンシパル名 (UPN) 代わりのサブジェクト名として。セキュリティ ] タブで、付与 読み取り登録 で指定したユニバーサル セキュリティ グループにアクセス許可 の帯域外管理ポイント コンポーネントのプロパティです。

  • AMT プロビジョニング証明書を使用するときに、秘密キーをエクスポートできなくてもよくなりました。

  • 既定では、帯域外サービス ポイントが、AMT プロビジョニング証明書が失効していないかどうかをチェックします。このチェックは、サイト システムを初めて実行したときと、AMT プロビジョニング証明書が変更されたときに行われます。このオプションは、[帯域外サービス ポイントのプロパティ] で無効にすることができます。

  • 帯域外管理コンソールで、AMT Web サーバー証明書の CRL チェックを有効または無効にすることができます。設定を変更するには、次のようにクリックします。、 ツール ] メニューの [と] をクリック オプションです。新しい設定は、次回、AMT 搭載コンピューターに接続するときに使用されます。

  • 失効理由がここでは、AMT ベース コンピュータ用の証明書が取り消されると、ときに 中止の の代わりに 優先です。

  • 同じ Configuration Manager サイトに AMT 搭載コンピューターを複数割り当てる場合は、これらのコンピューターが別々のドメインにあり、固有の FQDN を持っていても、それぞれ固有のコンピューター名が付いていなければなりません。

  • AMT 搭載コンピューターを、ある Configuration Manager サイトから別のサイトに割り当て直す場合は、まず AMT プロビジョニング情報を削除し、クライアントを再割り当てしてから、AMT クライアントを再プロビジョニングする必要があります。

  • セキュリティ権限 管理コントローラの表示管理コントローラの管理 で Configuration Manager 2007 という名前になりました AMT のプロビジョニングAMT の制御, 、それぞれします。AMT の制御 にアクセス許可が自動的に追加、 リモート ツール オペレーター セキュリティ ロール。管理ユーザーが割り当てられている場合、 リモート ツール オペレーター セキュリティの役割を AMT ベース コンピュータをプロビジョニングしたり、AMT 監査ログを制御したりするこの管理ユーザーをする必要がありますを追加する、 AMT のプロビジョニング このセキュリティ ロールの権限か、管理ユーザーがこのアクセス許可が含まれています。 別のセキュリティ ロールに属していることを確認します。