遠距工作效率指南 - Intel vPro® Platform  介紹及其Thunderbolt測試

Granite River Labs, GRL
Reese Li

McKinsey Global Institute 的《The future of work after COVID-19》 報告指出，在2020年COVID-19肆虐全球期間，擾亂了全球勞工市場，影響了人們一直以來的工作型態。 「遠距辦公」、「分流辦公」成為了新常態。在這樣的情況下，如何讓員在異地辦公的情況下還能保有高效率？公司部門的IT資源，是否還有能力支援軟硬體管理及維修？這些課題將會是未來各大企業面臨的挑戰。 

簡單介紹Intel vPro^® Platform

在遠距辦公尚未形成常態的年代，2006年Intel^®推出了Intel vPro^®。 Intel vPro是什麼？他是一個專為商務與IT需求而打造的平台，標榜四大指標性功能「效能、安全、 管理、穩定」，為遠距離辦公的需求奠定了基礎，並且在 2011 年完成 Intel用戶端電腦上的Intel vPro部署。Intel vPro平台可透過 Intel主動管理技術 (Intel^® Active Management Technology，Inet AMT)以提供頻外的 (Out-Of-Band，OOB)管理，可以遠端執行設備修補， 有效的進行PC機群管理及維護。到了去年推出的第12代Alder Lake處理器搭配上Intel vPro平台，藉由第12代處理器的混合架構更加強化了電腦效能並且提高了生產力。 

Intel vPro® Platform所提供的益處

Intel第12代處理器Alder Lake的混合式架構，效能核心(Performance Core，P-Core)與效率核心(Efficient Core，E-Core)在高效能運算與功耗、發熱之間取得一個平衡，讓使用者可以更自由的執行多工協作以及應用在IT上。 

Alder Lake處理器加上Intel vPro platform設計的電腦，整合了Intel Wi-Fi 6/6E及Thunderbolt^™4技術；除了提升雲端與協作應用的回應能力，Thunderbolt^™4技術更可以延伸多個4K螢幕及周邊裝置，並能為筆電進行充電，建立簡潔多工的工作環境。

Intel vPro® Processors處理器的種類  

Intel開發了多種處理器，不管是在電源優化、圖形性能、內存以及外型尺寸的需 求上，都有不同的處理器可給企業及使用者做選擇使用，以下以Intel第13代處理器Rapt or Lake在行動裝置上舉例，哪些處理器上有支援Intel vPro設計，其他相關資訊請至Intel 網站查詢。

Intel^® Active Management Technology概述表

Intel主動管理技術(Active Management Technology，AMT)是Intel vPro的一項功能，他是獨立於作業系統之外運行，為管理和安全應用提供了廣泛的內置功能和外掛程式。 他的存在能讓IT人員能夠更好地發現、修復和保護網路計算資產。即使電腦在關機狀態下，只要仍然與電源線和網絡連接，IT人員仍可以存取Intel AMT，行使遠端操作管理的功能。 

1. 充電埠用途

Intel AMT會透過四個預先定義的 IANA 網路連接埠來傳送及接收資料；分別為16992至16995，以下為四個連接埠定義的功能： 

• 16992 – HTTP traffic 
• 16993 – TLS secured HTTPS traffic 
• 16994 – Serial-over-LAN and IDE Redirect
• 16995 – TLS Secured Serial-over-LAN and IDE Redirect 

在Intel AMT應用中，如果未置安全性憑證(Transport Layer Security，TLS)時，使用連接埠16992/16994來進行資料傳送及接收；如果配置了安全性憑證則使用連接埠16993/ 16995。安全性憑證並不會影響有效網路流量，換句話說，連接埠16992及16993在傳送及接收資料的流量是相同的，差別只在於使用連接埠16993來傳輸資料首先必須先經過安全性憑證協商。同樣的原理也適用在連接埠16994/16995，只是這兩個連接埠使用專有的二進制協議進行資料傳輸，因此必須透過特殊的軟體才能使用。 

圖1: OS接受除了連接埠16992至16995之外的所有數據流量

（來源：Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology）

2. 身分認證與授權

當Intel AMT設置之後，會開啟其中兩個連接埠並準備接收來自管理控制端的連接 指令，在這兩個連接埠上，傳輸控制協定(Transmission Control Protocol，TCP)可以隨時建立連線。在接受來自管理控制端的指令之前，Intel AMT會先使用HTTP-Digest或Kerbe ros來執行身分認證以及授權，授權階段會決定哪一方是管理端以及是否有合適權限執行操作，確保資料傳輸過程的安全，防止第三方外部攻擊。 

以下簡單介紹Intel AMT驗證及授權的過程，以配置TLS為例： 

1. 接收來自連接埠16993的連接 
2. Intel AMT發送認證到控制端(console)進行驗證 (若無配置TLS，則無此步驟)
3. Intel AMT檢查控制端是否具有有效且可信的證明 (若無配置TLS，則無此步驟)
4. 使用HTTP-Digest或Kerberos來執行身分認證及授權 
5. 如果該使用者不在Intel AMT的授權列表中，則拒絕連接 
6. 如果該使用者沒有執行操作的權限，則拒絕該項操作 
7. 執行管理操作 

Intel AMT有哪些操作功能 

那麼Intel AMT可允許獲得授權的IT管理員進行哪些遠端操作呢?以下舉例說明幾個身邊最常應用的例子： 

• 為設備進行Debug和維修，遠端控制設備開啟、關閉電源以及系統重啟。 ● 遠端查看及變更系統上的 BIOS 設定。 
• 透過設定篩選網路流量以保護系統。 
• 查看系統上執行的應用程式 (ex: 防毒軟體是否開啟執行)。 
• 將開機程序重新導向至位於IT 管理員系統內的映象，進行系統的遠端Debug 和維修。 
• 設定可存取 Intel AMT管理功能的網路環境。 
• 透過通用唯一辨識碼(UUID)辨識使用者系統。 
• 當設備在企業網路外，也能透過用戶端啟動遠端存取(CIRA)設定檔遠端連線 至系統。 

更多其他的應用，請參照Intel^® Active Management Technology網站。

透過 Thunderbolt 4 運行 Intel vPro®

在Intel發布的Thunderbolt3/4 Host Functional Compliance Test Specification 1.4  中也新增了關於主動管理技術的測項 ― 3.5.6 vPro (AMT)，此測項為針對支援vPro的機 台所設計，應用Ethernet over Thunderbolt的功能，通過Thunderbolt cable使用Intel 主動管 理技術。

想要透過Thunderbolt interface實現Intel主動管理技術，除了筆電硬體上必須支援Inte l vPro platform之外，我們還需要準備一支援vPro (AMT)的Thunderbolt 4 Dock。以下將介 紹如何透過一條Thunderbolt cable應用Intel vPro平台，進行遠端的軟硬體維護工作。 

A. 環境架設  

1. 將有TBT interface的vPro platform筆電使用TBT cable連接一支援vPro (AMT)的TBT4  Dock 
2. 再將TBT4 Dock使用Ethernat Cable連接至另一台支援vPro (AMT)的筆電 

圖2: vPro (AMT)測項環境架設示意圖 

B. 機台測試設定  

1. BIOS 安裝
   1. 進入BIOS設定介面，找到MEBx (Intel® Management Engine BIOS Extension)
   2. 啟用Intel AMT功能選項 
   3. 啟用Intel AMT Configuration功能選項 
   4. 將Network Access State選項調整至Network Active 
2. 設定靜態 IP 位址
   1. 設定IPv4 Address，將TBT Host1與Host2設定為相同網域 (ex: TBT Host1設定為192.168.1.151，Host2設定為192.168.1.150) 
   2. 儲存設定值並回到OS

C. 執行遠端操控

1. 在TBT Host1與Host2各自打開瀏覽器 
2. 在TBT Host1瀏覽器上輸入本機IP address，Host2瀏覽器上TBT Host1 IP address  (ex: TBT Host1輸入localhost:16992，Host2輸入192.168.1.151:16993) 
3. 成功連接上後，網頁上會出現Intel^® Active Management Technology頁面，在TB T Host1的System Status介面可查看設定的本機的IP address 
4. 在Host2的Intel^® Active Management Technology頁面上會有Remote Control介面， 可對TBT Host1執行遠端關機、重開機等操作 
5. 點選任一操作並按下Send Command，倒數20秒之後便會對TBT Host1執行該項操作 

圖3: TBT Host1的Intel AMT介面，可查看設定的本機的IP address

圖4: Host2的Intel AMT介面，可看到Remote Control的選項 

參考資料

• Active Platform Management Demystified - Chapter 11: Connecting and Communicating with Intel® Active Management Technology  
• Top 8 Reasons the Intel vPro® Platform Is Great for the Remote Workplace  
• What Is the Intel vPro® Platform?
• Intel^® Active Management Technology 
• 618475_Thunderbolt3_4 host certification collateral rev2.7.3