Intel AMT(インテル AMT)とは何か、どんな機能があるのか

Intel AMT(インテル AMT)とは何か、どんな機能があるのか

一部の ThinkPad ユーザーは、BIOS の中に Intel AMT という項目を見つけることがあるかもしれません。初めて目にすると、単なるハードウェアのスイッチだと思いがちですが、実際には Intel AMT は企業の運用管理シーンを想定したリモート管理技術です。

Intel AMT の正式名称は Intel Active Management Technology で、日本語では一般に「インテル アクティブ・マネジメント・テクノロジー」と訳されます。これは Intel vPro プラットフォームに関連する機能の一部であり、中心となる目的は、OS が正常に動作していない場合、さらには機器が電源に接続されたままシャットダウンしている場合でも、管理者が一定範囲のリモート管理を行えるようにすることです。

これがインテル アクティブ・マネジメント・テクノロジー

ソフトウェアソリューションがインテル アクティブ・マネジメント・テクノロジー(Intel AMT)をサポートできるよう、インテルはかつてソフトウェア開発者向けに、ソフトウェア開発キット(SDK)、リファレンス・デザイン・キット(RDK)、セットアップおよび構成サービス(SCS)などのツール群を提供していました。これらのツールは API、ライブラリ、サンプルコードを通じて、ソフトウェアベンダーが Intel AMT の管理機能をネットワーク管理製品に統合する手助けをしていました。

概要

Intel AMT は、ファームウェア内に常駐するハードウェアレベルの管理機能群です。ネットワーク管理アプリケーションは、対象デバイスの電源状態に異常がある場合、OS が破損している場合、あるいはシステムが正常に起動できない場合でも、AMT チャネルを通じて診断や保守を実行できる可能性があります。

その価値は主に次の点にあります。

  • リモート資産棚卸し:ハードウェア情報、デバイス状態、一部のプラットフォーム構成を読み取る。
  • リモート電源制御:電源オン、電源オフ、再起動などを実行する。
  • アウトオブバンド管理:OS が利用できない場合でも、ファームウェア層の管理チャネルを通じてデバイスへアクセスできる。
  • リモート診断と修復:シリアル・リダイレクション、IDE リダイレクション、KVM などの機能と組み合わせ、起動不能やシステム破損の問題対応を支援する。
  • 企業での集中管理:企業向け管理プラットフォームと連携し、パッチ配布、資産管理、障害調査、セキュリティ対応に利用する。

注意すべきなのは、Intel AMT が企業管理の場面を対象としていることです。個人ユーザーがリモート運用管理機能を使わないのであれば、通常は有効にする必要はありません。AMT を有効にする場合は、強力なパスワードを設定し、ネットワークアクセス方針とファームウェアバージョンがセキュリティ要件を満たしていることを確認するべきです。

インテルは、Intel AMT をネットワーク管理可能性アプリケーションに統合できるよう、ソフトウェアベンダー向けに以下のようなツールを提供していました。

  • Intel AMT ソフトウェア開発キット(SDK):低レベルのプログラミングインターフェースを提供し、開発者が Intel AMT を十分に活用する管理アプリケーションを構築できるようにする。
  • Intel AMT リファレンス・デザイン・キット(RDK):カスタマイズ可能なオープンソースのソフトウェア構成モジュール群を含み、開発者が Intel AMT コンソールアプリケーションを素早く構築できるようにする。
  • Intel AMT セットアップおよび構成サービス(SCS):資格情報と構成パラメータを用いて Intel AMT プラットフォームの展開と設定を自動化し、デバイスをリモート管理可能にする。

SDK は低レベルの Intel AMT プログラミング機能をサポートする

Intel AMT SDK はアプリケーション・プログラミング・インターフェース(API)とサンプルコードを提供し、開発者は自分のソリューションに Intel AMT 機能を組み込み、Microsoft Windows または Linux プラットフォーム上で動作させることができます。これらのツールにより、ソフトウェア開発会社は Intel AMT のプログラミング要件をより早く理解し、関連機能をネットワーク管理製品へ統合できます。

SDK のライブラリと API は、不揮発性ストレージへのアクセスに抽象化されたインターフェースを提供し、Intel AMT 関連データの保存と読み取りに使われます。「LAN 上のシリアル」(Serial over LAN)や「IDE リダイレクション」(IDE Redirection)などのセッション技術と組み合わせることで、管理者は Intel AMT デバイスをリモート管理できます。

SOAP ベースの Intel AMT ネットワークインターフェースは、かつて WSDL ファイル形式で提供されており、サンプルコードは開発者が自分の Intel AMT アプリケーションを書くための参考として使われました。理論上、SDK は SOAP 呼び出しをサポートする言語やツールチェーンから利用できます。

現在の環境で関連ツールを開発または保守する必要がある場合は、現行プラットフォームの公式ドキュメント、ファームウェアバージョン、チップセット対応リスト、企業管理プラットフォームの互換性を基準にすることを推奨します。年代によって AMT のバージョン、認証方式、インターフェースの対応状況が異なる可能性があるためです。

RDK は高度な Intel AMT ソリューションの構成モジュールを提供する

Intel AMT RDK の役割は、開発者がシンプルでカスタマイズ可能な Intel AMT コンソールソリューションを素早く構築できるよう支援することです。Java ベースのソフトウェア構成モジュール群を通じて、一部の低レベル実装の詳細を抽象化し、開発者が AMT 管理機能をより早く展開できるようにします。

RDK は完全なソースコードも提供しており、開発者はそれをもとに変更を加え、より複雑なカスタム機能を追加できます。また、ネットワークプラットフォーム内の各種 Intel AMT 機能をユーザーが理解しやすいよう、簡単なグラフィカルインターフェースのユーティリティも含まれていました。

RDK はかつて、個別にダウンロード可能な 3 つのソフトウェアパッケージで構成されていました。

  • RDK ユーティリティ・アプリケーション・パッケージ:開発者が Intel AMT プラットフォームの実際の操作に慣れ、ハードウェア情報をリモート収集し、管理機能を実行するのを支援する。
  • RDK 構成モジュール・パッケージ:各種 Intel AMT タスクを実行する Java バイナリと、それらのバイナリをアプリケーション内で使用する方法を説明するドキュメントを含む。
  • RDK ソースコード・パッケージ:構成モジュールの Java ソースコードと関連するビルドスクリプトを含み、開発者はこれを使って構成モジュールをカスタマイズしたり、機能を他の言語へ移植したりできる。

SCS は Intel AMT デバイスを企業インフラに接続する

Intel AMT SCS は、IT 部門に対して Intel AMT デバイスを企業管理インフラへ接続する方法を提供します。ソフトウェアベンダーも SCS の機能を利用して、デバイスの構成と展開プロセスを自社製品に統合できます。

SCS の中核機能は Windows サービスによって提供されます。パスワードやその他の資格情報を使って SOAP API を構成し、管理システムが Intel AMT デバイスと通信できるようにしたうえで、管理アプリケーションから呼び出されます。SCS は SQL Server データベースを使用して、システム操作に関連する構成データ、ストアドプロシージャ、ログを保存します。また、コンソールアプリケーションのサンプルも提供しており、ソフトウェア会社はそれを自社コンソール作成の参考にしたり、その上に付加価値機能を追加したりできます。

企業展開において、SCS の重点は単に「デバイスへ接続できる」ことだけではありません。一括構成、証明書と資格情報の管理、ポリシー配布、既存のディレクトリサービスや管理プラットフォームとの連携も含まれます。

Intel AMT と Microsoft SMS の違い

Intel AMT と Microsoft SMS は、異なる層の概念です。一方はハードウェアおよびファームウェアレベルの管理に寄っており、もう一方は OS およびソフトウェアレベルの管理に寄っています。

Microsoft SMS のようなソフトウェア管理ソリューションでは、通常、管理対象クライアントが電源オンの状態で、OS が正常に動作し、バックグラウンドのクライアントサービスが破損していないことが求められます。システムが正常に稼働しているときのソフトウェア配布、パッチ管理、資産インベントリ、ポリシー管理に適しています。

Intel AMT の強みはアウトオブバンド管理にあります。クライアントのハードウェアが AMT をサポートし、正しく構成され、電源に接続され、管理ネットワークから到達可能であれば、OS が破損していたり、マシンがシャットダウン状態であったりしても、管理者は電源制御、資産情報の読み取り、リモート診断、リダイレクト起動などを行える可能性があります。そのため AMT は、システムレベルの管理ツールを補完するものとしてより適しています。

両者を組み合わせれば、日常的な管理はソフトウェア管理プラットフォームで行い、システム異常時や起動不能時には Intel AMT がアウトオブバンド保守能力を提供する、より完全な企業端末管理ソリューションを形成できます。

使用とセキュリティに関する推奨事項

BIOS 内に Intel AMT の項目がある場合、必要性は次の考え方で判断できます。

  1. 個人用 PC、または企業で統一管理されていない PC では、通常は無効のままにしておいてよい。
  2. 企業デバイスでリモート運用管理が必要な場合は、IT 管理者が一元的に構成すべきであり、ユーザーが自分で有効化することは推奨されない。
  3. 有効化する前に、ファームウェアバージョン、管理エンジンのバージョン、ネットワークアクセス方針、認証方式を確認するべきである。
  4. 有効化後は必ず強力なパスワードを設定し、AMT 管理ポートへアクセスできるネットワーク範囲を制限する必要がある。
  5. デバイスが企業管理の対象外になった場合は、BIOS または管理ツールで AMT 構成を消去するべきである。

AMT の機能は強力です。OS を迂回して管理できるからこそ、権限、ネットワーク分離、ファームウェア更新を真剣に扱う必要があります。

結論

Intel AMT は、企業端末向けのハードウェアレベルのリモート管理技術です。OS が利用できない状況でも、資産管理、リモート電源制御、診断保守、アウトオブバンド管理の機能を提供できます。

インテルはかつて SDK、RDK、SCS などのツールを通じて、ソフトウェアベンダーによる Intel AMT の統合を支援していました。SDK は低レベル API とライブラリを提供し、RDK は再利用可能な構成モジュールと参考コンソールを提供し、SCS は企業が AMT デバイスのセットアップと構成を行うのを支援します。

一般ユーザーにとっては、BIOS 内の Intel AMT 項目の意味を理解しておけば十分です。企業のリモート管理が不要であれば、通常は無効のままにしておくほうが簡単です。企業 IT にとって AMT の価値は、OS レベルの管理ツールが届かない部分を補うことにあります。特に、システムが破損した場合、起動できない場合、またはリモート復旧が必要な場合に有用です。

原文アドレス:http://www.91bjb.com/bbs/thread-65406-1-1.html

Leave a Reply