Granite River Labs Blog
Categories
Browse All Categories
By GRL Team on 7月 27, 2023
Thunderbolt

リモートワークの生産性を高める - Intel vPro®プラットフォームとThunderbolt™テストのご紹介

Granite River Labs, GRL
Reese Li

COVID-19の大流行は、世界の労働市場を大きく変化させ、従来の労働パターンを根底から覆し、その過程で「リモートワーク」や「ハイブリッドワーク」という概念を正常化しました。したがって、ソフトウェアとハードウェアの機能を提供することによって、この進化する労働環境の中で生産性レベルを高く維持する新しい方法を模索することは、リモートワークとハイブリッドワークを持続可能なものにするために経営陣が乗り越えなければならないハードルのひとつであると言うことができます。

 

Intel vPro®プラットフォームとは?

Intel vPro®の歴史は、Intelが進化するビジネス・ニーズを鋭く予測した2006年までさかのぼります。時代を先取りしたプラットフォームであるIntel vPro®は、パフォーマンス、セキュリティ、管理性、安定性という4つの重要な柱を通じてビジネスとITのニーズをサポートします。2011年までに、このプラットフォームはすでにインテルのクライアント・コンピュータに完全に導入されており、リモートワークの要件を満たすための基盤を築きました。

Intel vPro®は、Intel® Active Management Technology(AMT)を通じて帯域外(OOB)管理を提供することで、リモート・デバイス修理とPCフリートの効率的な管理を可能にしました。昨年リリースされた第12世代Alder LakeプロセッサーとIntel vPro®プラットフォームの組み合わせでは、コンピューターのパフォーマンスと生産性をさらに向上させるハイブリッド・アーキテクチャーの出現を目の当たりにしました。

Intel® vPro®プラットフォームの仕組み

Intelの第12世代プロセッサーAlder Lakeのハイブリッド・アーキテクチャは、パフォーマンス・コア(Pコア)とエフィシェント・コア(Eコア)の間でパフォーマンスと消費電力・発熱のバランスを取っています。これにより、ユーザーはマルチタスクに取り組み、より柔軟にITアプリケーションを使用することが可能になります。

Alder Lakeプロセッサーは、Intel vPro®プラットフォームで設計されたコンピューターと組み合わせることで、Intel® Wi-Fi 6/6EおよびThunderbolt™ 4テクノロジーを統合します。Thunderbolt™ 4テクノロジーは、クラウドやコラボレーション・アプリケーションの応答性を高めるだけでなく、複数の4Kディスプレイや周辺機器の拡張、ノートパソコンの充電を可能にします。リモートワーカーにとっては、マルチタスクに適した、整理整頓された作業環境を構築するのに役立ちます。

Intel vPro® プロセッサーの種類

Intelは、消費電力の最適化、グラフィックス性能、メモリー、フォームファクターなど、さまざまなニーズに対応する多様なプロセッサーを開発してきました。これらのプロセッサーは、企業にも個人ユーザーにも幅広い選択肢を提供しています。モバイル・デバイス向けの例として、インテルの第13世代プロセッサー、Raptor Lakeを詳しく見てみたいと思います。このラインナップの一部のプロセッサーは、Intel vPro®設計をサポートしています。その他のプロセッサーとIntel vPro®との互換性についての詳細と情報については、Intelのウェブサイトをご覧ください。

Table that shows the overview of Intel® Active Management Technology

表 1: Intel® Active Management Technologyの概要

Intel AMT は、オペレーティング・システムから独立して動作するIntel vPro® の機能であり、管理およびセキュリティ・アプリケーションのための幅広い組み込み機能およびアドオン・モジュールを提供します。そのおかげで、IT担当者はネットワーク化されたコンピューティング資産を発見、修復、保護することができます。コンピューターが電源オフの状態であっても、電源とネットワークに接続されている限り、IT担当者はIntel AMTにアクセスし、リモート管理と操作を行うことができます。

1. ポートの使用

Intel AMT は、4 つの定義済み IANA ネットワーク・ポートを使用してデータの送受信を行います:

  • 16992 - HTTP traffic
  • 16993 - TLS Secured HTTPS traffic
  • 16994 - Serial-over-LAN and IDE Redirect
  • 16995 - TLS Secured Serial-over-LAN and IDE Redirect

Intel AMT アプリケーションでは、セキュリティ証明書(TLS、Transport Layer Security)が設定されていない場合、データの送受信はポート 16992/16994 を介して行われます。セキュリティ証明書が設定されている場合は、ポート 16993/16995 が使用されます。セキュリティ証明書があっても、有効なネットワーク・トラフィックには影響しません。つまり、ポート16992と16993では、データ送受信のトラフィックは変わりません。この違いは、ポート16993を介したデータ送信にはセキュリティ証明書のネゴシエーションが必要であるという事実によるものです。これと同じ原理がポート16994/16995にも適用されていますが、これらのポートでは独自のバイナリ・プロトコルが採用されているため、使用には特別なソフトウェアが必要となります。
Diagram showing that OS accepts all data traffic except ports 16992 to 16995

図1:OSはポート16992~16995以外のすべてのデータトラフィックを受け入れます。(出典:Active Platform Management Demystified: Unleashing the Power of Intel VPro® Technology)

2. アイデンティティの認証と認可

Intel AMT が設定されると、2 つのポートが開放され、管理コンソールからの接続指示を受信できるようになります。これらの 2 つのポートでは、いつでも TCP (Transmission Control Protocol) 接続を確立できます。管理コンソールからのコマンドを受け付ける前に、Intel AMT は HTTP-Digest または Kerberos を使用して ID 認証と承認を行います。認証フェーズでは、どのエンティティが管理コンソールとして動作し、操作を実行するために必要な権限を持っているかどうかを判断します。この認証と承認のプロセスにより、データ伝送のセキュリティが確保され、サードパーティによる潜在的な外部攻撃から保護されます。

ここでは、TLS 設定を例に、Intel AMT 認証および承認プロセスの概要を簡単に説明します。:

  1. ポート16993 で接続を受信します。
  2. Intel AMT は認証のために管理コンソールに証明書を送信します。 (TLS が設定されていない場合、このステップは省略されます)。
  3. Intel AMT は、管理コンソールに有効で信頼できる証明書があるかどうかを確認します。 (TLS が設定されていない場合、このステップは省略されます)。
  4. HTTP-Digest または Kerberos を使用して ID 認証と承認を実行します。
  5. ユーザーがIntel AMT の認証リストに表示されていない場合、接続は拒否されます。
  6. ユーザーが要求された操作を実行する権限を持っていない場合、操作は拒否されます。
  7. 管理操作は実行されます。

 

Intel AMT のリモート操作について

では、Intel AMT を使用して、IT 管理者が実行できるリモート操作にはどのようなものがあるのでしょうか。一般的な操作の例をいくつかご紹介します:

  • リモートコントロールによるシステムの電源オン/オフや再起動を含む、デバイスのデバッグとメンテナンス。
  • システムのBIOS設定のリモート表示と変更。
  • システム保護のためのネットワーク・トラフィック・フィルタリングの設定。
  • システム上で実行されているアプリケーションの監視(ウイルス対策ソフトウェアが有効かどうかの確認など)。
  • ブートプロセスを IT 管理者のシステム内にあるイメージにリダイレクトし、リモートデバッグやメンテナンスを行う。
  • Intel AMT 管理機能にアクセスするためのネットワーク環境の設定。
  • UUID (Universal Unique Identifiers) によるユーザーシステムの識別
  • デバイスが企業ネットワーク外にある場合でも、CIRA (Client Initiated Remote Access) プロファイルを使用してシステムへのリモート接続の確立。

詳細およびその他のアプリケーションについては、Intel® Active Management Technologyのウェブサイトを参照してください。

 

Thunderbolt™ 4経由でIntel vPro®を実行する方法

Intelよりリリースされた Thunderbolt™ 3/4 Host Functional Compliance Test Specification 1.4 では、3.5.6 vPro® (AMT) の新しいテスト項目が導入されました。このテスト項目は、Intel vPro® をサポートし、Thunderbolt™ ケーブル経由で Intel AMT を使用できる機能である Ethernet over Thunderbolt™ を使用するデバイス向けに設計されています。

Thunderbolt™ インターフェースを介して Intel AMT を有効にするには、ノートパソコンのハードウェアが Intel vPro® プラットフォームをサポートしている必要があります。さらに、vPro® (AMT) をサポートする Thunderbolt™ 4 ドックが必要です。以下の説明では、Intel vPro® プラットフォームを活用し、Thunderbolt™ ケーブル経由でソフトウェアやハードウェアのリモートメンテナンスを行う方法をご案内します。

A. 環境設定

  1. Thunderbolt™ケーブルを使用して、vPro® (AMT)をサポートするThunderbolt™ 4ドックにThunderbolt™インターフェイスを搭載したvPro®プラットフォームのノートパソコンを接続します。
  2. イーサネットケーブルを使用して、Thunderbolt™ 4ドックをvPro® (AMT)対応の別のノートパソコンに接続します。

Schematic diagram of Intel vPro® (AMT) test environment setup

図2:vPro®(AMT)テスト環境のセットアップ概略図

B. 機械試験の構成

  1. BIOSのインストール
    1. BIOSセットアップインターフェイスにアクセスし、MEBx(Intel® Management Engine BIOS Extension)を見つけます。
    2. Intel AMT 機能オプションを有効にします。
    3. Intel AMT Configuration オプションを有効にします。
    4. Network Access State オプションを Network Active に設定します。

  2. スタティック IP アドレスの設定
    1. IPv4アドレスを設定し、TBTホスト1とホスト2が同じネットワークドメインに設定されていることを確認します。(例:TBTホスト1は192.168.1.151、ホスト2は192.168.1.150に設定)。
    2. 設定を保存し、OSに戻ります。

C. リモートコントロールの実行

  1. TBT Host1とHost2の両方でブラウザを開きます。
  2. TBT Host1 のブラウザでローカル IP アドレスを入力し、Host2 のブラウザで TBT Host1 の IP アドレスを入力します (たとえば、TBT Host1 は localhost:16992 と入力し、Host2 は 192.168.1.151:16993 と入力します)。
  3. 接続に成功すると、Intel® Active Management Technology ページが Web に表示され、TBT Host1 の System Status インターフェースで、設定されたローカル IP アドレスを確認できます。
  4. ホスト2のIntel® アクティブ・マネジメント・テクノロジー・ページには、TBTホスト1のシャットダウンや再起動などのリモート操作が可能なリモートコントロール・インターフェースが表示されます。
  5. 20秒のカウントダウン後、選択した操作がTBTホスト1で実行されます。

Screenshot of Intel AMT interface on TBT Host1, displaying the configured local IP address

図 3: TBT Host1 上の Intel AMT インターフェース、設定されたローカル IP アドレスの表示

Screenshot of Intel AMT interface on Host2, showing the options for Remote Control

図4:Host2上のIntel AMTインターフェース(リモートコントロールのオプションの表示

 

GRLでThunderbolt™ホストとデバイスをテストする

Intelによって認定された世界初の認証ラボとして、GRLはシステム、ドック、モニターなどの電気的検証や機能検証テストを含むThunderbolt™の包括的なテストサービスを提供しています。GRLのチームは豊富なテスト経験、深い専門知識、業界との強固なコネクションを有しており、お客様に卓越したサポートを提供することができます。

 

参考文献

 

著者
Reese Li, Test Engineer of GRL
ReeseはGRLのThunderbolt認証テストエンジニアです。Thunderboltのテスト仕様と原理を熟知しており、困難なテスト問題の解決と認証取得においてお客様をサポートいたします。
Published by GRL Team 7月 27, 2023
Read More
Read More
Read More

COPYRIGHT 2024 GRANITE RIVER LABS INC. ALL RIGHTS RESERVED.

Privacy Policy