Workspace ONE UEMで 遠隔地の電源の入っていないPCもリモート管理

Workspace ONE
Workspace ONE
Intel AMTIntel EMAIntel vProWindowsWorkspace ONE UEM

皆さんのWindows PCにインテル入ってますか?

インテルが無償で提供しているインテル エンドポイント・マネジメント・アシスタント (インテル EMA) を使うと、インテル vProプラットフォームに含まれるインテル アクティブ・マネジメント・テクノロジー (インテル AMT)機能と連携して、インテル vProプラットフォーム搭載PCをクラウド経由でリモート管理することができます。

VMware Workspace ONE UEMをインテル EMAと統合することにより、インテル vProプラットフォーム搭載PCをWorkspace ONE UEMコンソールから「共同管理」することができるようになります。

VMware Workspace ONE と Intel EMA による共同管理

[VMware Docs] General Availability Intel vPro Endpoint Management Assistant (EMA) Integration for Windows

企業IT部門は、リモートワーク先や遠隔地のWindows 10デバイスが電源オフになっていたりOSが応答しない場合でも、リモート電源オン/オフやリモートSSDワイプ、リモートKVMを行うことでデバイスを適切にリモート修復することができます (インテル EMA 帯域外管理 (OOB管理)) 。またデバイス起動後のOS構成管理やアプリ管理、シングルサインオン、デバイスコンプライアンス、ユーザーエクスペリエンスをリモート提供することができます (Workspace ONE モダンマネジメント)。

「共同管理」の実現により、IT管理者やヘルプデスク担当者は、通常のデバイス管理業務においては複数のツールを行ったり来たりすることなく、Workspace ONE UEMコンソール上でほとんどの管理作業を完結することができます。また必要に応じてEMAサーバーポータルに遷移し、リモートKVMなど高度なリモート管理操作を行うことができます。

これにより企業は現場でのサポート業務や出張サービスを削減し、全体的なIT効率を高めることができるほか、ユーザー体験の向上、ダウンタイムの削減などを実現することができます。

          

前提条件

  • Workspace ONE UEM 最新バージョン
    2022/7/8現在、インテル EMA統合はUAT環境をお持ちのお客様のみがテスト可能です
  • インテル EMAサーバー
  • インテル vProプラットフォーム搭載 Windows 10
    ※ EFIにてインテル AMTを有効化済みであること
    ※ インテル AMT ファームウェアバージョン11以上
  • インテル エンドポイント構成ツール (インテル ECT)

手順概要

インテル EMAサーバー

  • EMAサーバーの構築
  • クライアントIDおよびクライアントシークレットの生成
  • AMTプロファイルの作成など「帯域外管理」のための構成
  • エンドポイントグループの構成

Workspace ONE UEM

  • インテル ECTのアプリ配信を構成
  • インテル EMA統合を構成
  • エンドポイントグループ用アプリパッケージをデバイスに割り当て

EMAサーバーの構築

はじめに、インテル EMAサーバーを構築します。インテル EMAサーバーの解説およびデプロイについては、インテルの提供するドキュメントやYouTubeをご覧ください。クラウドWorkspace ONE UEMがREST APIを用いて通信を行うため、インターネットからEMAサーバーURLが名前解決できること、またHTTPSが着信可能な場所に設置ください。

インテル エンドポイント・マネジメント・アシスタント (インテル EMA)

インテル エンドポイント・マネジメント・アシスタント (インテル EMA) シングルサーバーのインストールおよびメンテナンス・ガイド

Amazon Web Services 向けインテル エンドポイント・マネジメント・アシスタント (インテル EMA) ウェブ導入ガイド

インテル エンドポイント・マネジメント・アシスタント (インテル EMA) Azure 向けクラウド・スタート・ツール

インテル EMA (解説編) |リモートワークの PC をクラウドで管理

インテル EMA (設定編) |リモートワークの PC をクラウドで管理

クライアントIDおよびクライアントシークレットの生成

Generating Client Credentials for System-to-System Authentication to Intel Endpoint Management Assistant (Intel EMA)を参照し、EMAサーバーからクライアントIDとクライアントシークレットを取得します。これらはWorkspace ONE UEMがREST APIを用いてEMAサーバーと通信する際に用いられます。

AMTプロファイルの作成など帯域外管理のための構成 / エンドポイントグループの構成

AMTプロファイルの作成など帯域外管理のための構成や、エンドポイントグループの構成を行います。インテル EMAドキュメントやYouTubeを参照ください。

インテル エンドポイント・マネジメント・アシスタント (インテル EMA) 管理と使用ガイド

インテル EMA (設定編) |リモートワークの PC をクラウドで管理

          

次はWorkspace ONE UEM側での構成です。

          

インテル ECTのアプリ配信を構成

Workspace ONE UEMのWin32アプリ配信機能にて、インテル ECTを加入デバイスに配信するよう構成します。

下記よりインテル ECTを入手します。
Intel Endpoint Management Assistant Configuration Tool (Intel EMA Configuration Tool)

Workspace ONE UEMコンソールにて、追加> 社内アプリケーション にてインテル ECTを追加します。

  • インストールコマンド:msiexec /q /i EMAConfigTool.msi
  • アンインストールコマンド:msiexec.exe /q /x EMAConfigTool.msi
  • インストールの完了を呼び出すタイミング:ファイルが存在しています – C:\Program Files (x86)\Intel\EMAConfigTool\EMAConfigTool.exe

適切な割り当て条件を指定し (例:All Corporate Dedicated Devices など)、アプリを加入デバイスに割り当てます。

加入デバイスにインテル ECTがインストールされると、Workspace ONE Intelligent HubはECTからインテル EMAの情報を取得し、Workspace ONE UEMと同期します。Workspace ONE UEMコンソールでは「Intel_EMA」および「Intel_{エンドポイントグループ名}」のタグが自動生成され、検出されたデバイスに付与されます。

インテル EMA統合を構成

Workspace ONE UEMコンソールにて、グループと設定> 構成をクリックします。
※ 2022/7/8現在、インテル EMA統合はUAT環境をお持ちのお客様のみがテスト可能です
Intel カードでセットアップをクリックし、統合を開始します。

ネットワーク パートナーの資格情報を選択し、現在の設定をオーバーライドに変更します。EMAサーバーURL、クライアントIDおよびクライアントシークレットを入力します。
接続のテストをクリックし、システムが通信していることを確認します。
資格情報の保存と接続をクリックします。

このアクションにより、Workspace ONE UEMはEMAサーバーとREST APIを通じて通信を行い、EMAサーバーで構成されているすべてのエンドポイントグループの詳細を取得します。このプロセスはIntel カードのデバイス検出で手動開始することもできます。

エンドポイントグループ用アプリパッケージをデバイスに割り当て

EMAサーバー統合が完了すると、Workspace ONE UEMにはエンドポイントグループ用アプリパッケージが自動生成されています。このアプリパッケージには、UEMコンソールがEMAサーバーから自動取得したEmaAgent.exeおよびEmaAgent.mshが含まれています。

Workspace ONE UEMコンソールにて、リソースをクリックします。

適切なエンドポイントグループ用アプリパッケージを選択し、デバイスに割り当てます。適切な割り当て条件を指定し (例:All Corporate Dedicated Devices など)、アプリを加入デバイスに割り当てます。

加入デバイスにてアプリパッケージのインストールが行われると、デバイスのインテル AMTがプロビジョニング (セットアップ) され、EMAサーバーに接続します。デバイスはEMAサーバーにて帯域外管理 (および帯域内管理) が行われるようになります。

          

Workspace ONE UEMコンソールでの「共同管理」

Workspace ONE UEMコンソールで デバイス> リスト表示に移動すると「Intel_EMA」タグにより、デバイスがインテル EMAに登録されているかどうか、「Intel_{エンドポイントグループ名}」タグによりデバイスがどのEMAエンドポイントグループに属しているかを確認することができます。

デバイスリストビューから、1つ以上複数のインテル EMA登録済みデバイスを選択して、その他のアクション メニューにリストされている操作を行うことができます。選択したデバイスが所属するエンドポイントグループの定義やデバイスのファームウェア設定により、操作可能なメニューが変化します。

  • OOB電源オン
  • OOB電源オフ
  • OOBハードパワーサイクル
  • OOBスリープ – ライト
  • OOBスリープ – ディープ
  • OOBリモートSSDワイプ
  • リモートKVM

          

リモートKVMを選択するとEMAサーバーポータルに移動します。このポータルからデバイスにリモートアクセスできます。リモートKVMの実行には、EMAサーバーのユーザーアカウントおよび適切なユーザーグループ権限が必要です。

          

「共同管理」の実現により、IT管理者やヘルプデスク担当者は、通常のデバイス管理業務においては複数のツールを行ったり来たりすることなく、Workspace ONE UEMコンソール上でほとんどの管理作業を完結することができます。また必要に応じてEMAサーバーポータルに遷移し、リモートKVMなど高度なリモート管理操作を行うことができます。

これにより企業は現場でのサポート業務や出張サービスを削減し、全体的なIT効率を高めることができるほか、ユーザー体験の向上、ダウンタイムの削減などを実現することができます。

VMware Workspace ONEにはリモート管理機能として、VMware Workspace ONE Assistのご用意があります。Windowsに加えiOS, Android, macOSに対応、リモートデバイス表示/制御、ファイル転送、タスク管理ツールを用いたトラブルシューティング、ホワイトボード、プライバシー保護、無人デバイスへのセキュアなアクセス、リモートセッション記録といった豊富なリモート管理機能を備えています。

インテル vPro搭載PCに限られるもののOOB電源オン/オフ、OOBパワーサイクル、SSDリモートワイプなど、インテル EMA統合によりWorkspace ONE Assistが持たない機能を補完することができます。

タイトルとURLをコピーしました