• [アーティクル]

Configuration Manager での帯域外管理の前提条件

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager の帯域外管理には、外部の依存関係と製品内の依存関係があります。

System_CAPS_important重要

Configuration Manager の帯域外管理には、Intel Active Management Technology (Intel AMT) および Microsoft 公開キー基盤 (PKI) テクノロジにおいて外部依存関係があります。これらの外部依存関係に関する正式な構成情報または技術情報については、関連するテクノロジの製品ドキュメントを参照してください。

Intel AMT、Intel のセットアップと構成のソフトウェアについては、Intel のドキュメントまたはコンピューターの製造元のドキュメントを参照してください。詳細については、を参照してください Intel vPro Expert Center:Microsoft vPro の管理です。

Microsoft 公開キー基盤 (PKI) テクノロジについては、「 Active Directory 証明書サービス」を参照してください。

Configuration Manager への外部の依存関係

次の表は、帯域外管理を実行する場合の外部の依存関係の一覧です。

依存関係

説明

帯域外管理に必要な証明書の展開と管理を行う Microsoft 企業証明機関 (CA) と証明書テンプレート。

発行元 CA は、AMT プロビジョニング プロセス中に Configuration Manager が Active Directory ドメイン サービスに作成する AMT コンピューター アカウントからの証明書の要求を、自動的に承認する必要があります。

AMT 証明書を失効にするためには、発行元 CA に、登録ポイント サイト システムの役割がインストールされるサーバーの "証明書の発行と管理" 権限が構成されている必要があります。

System_CAPS_important重要

AMT は、キーの長さが 2048 ビットを超える CA 証明書をサポートできません。

帯域外サービス ポイントと帯域外管理機能の管理対象となる各デスクトップ コンピューターまたは各ラップトップ コンピューターのは、Configuration Manager とは別に管理される特定の PKI 証明書を持つ必要があります。

証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

詳しい手順については、「AMT 用の証明書の展開」を参照してください。

登録ポイント サイト システム サーバーのコンピューター アカウントには、発行元の CA から AMT 用証明書を失効にするための DCOM アクセス許可が必要です。サイト システム コンピューターが発行元の CA が存在するドメインで、セキュリティ グループの Certificate Service DCOM Access (Windows Server 2008 の場合) または CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 以降の場合) のメンバーであることを確認してください。

次のように構成されたデスクトップ コンピューターまたはラップトップ コンピューター

  • Intel vPro テクノロジまたは Intel Centrino Pro テクノロジ。

  • PKI のプロビジョニング モードとともに、エンタープライズ モードに構成された Intel AMT がサポートされているバージョン

  • Intel HECI ドライバー

については、AMT のバージョンを Configuration Manager サポートされておりを参照してください、 セクション、 トピックです。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Intel の Web サイトから最新の HECI ドライバーをダウンロードして、Intel の要件についてコンピューターの製造元のドキュメントを参照してください。

Active Directory コンテナーとユニバーサル セキュリティ グループ

  • AMT ベースのコンピューターが存在するドメイン用の適切なセキュリティ アクセス許可が構成された Active Directory コンテナー。サイトで複数ドメインからの AMT ベースのコンピューターを管理する場合、そのすべてのドメインに対して同じコンテナー名とパスを使用する必要があります。

  • AMT ベースのコンピューター用のコンピューター アカウントを含むユニバーサル セキュリティ グループ。

[!メモ]

帯域外管理用に Active Directory スキーマを拡張する必要はありません。

AMT プロビジョニングプロセス中に、Configuration Manager は Active Directory コンテナーまたは組織単位 (OU) にコンピューター アカウントを作成して、アカウントをユニバーサル セキュリティ グループに追加します。

サイト サーバー コンピューターには、次のアクセス許可が必要です。

  • AMT プロビジョニング プロセス中に使用される OU に対して許可する すべての子オブジェクトの作成すべての子オブジェクトを削除する に適用 このオブジェクトのみです。

  • AMT プロビジョニング プロセス中に使用されるユニバーサル セキュリティ グループに対して許可 読み取り書き込み, に適用 このオブジェクトのみです。

以下のネットワーク サービス:

  • アクティブなスコープを持つ DHCP サーバー

  • 名前解決のための DNS サーバー

DHCP では、DHCP スコープ オプションに DNS サーバー (006) およびドメイン名 (015) が含まれ、DHCP サーバーがコンピューターのリソース レコードを使用して動的に DNS を更新していることを確認します。

コンピューター名の解決に WINS を使用することはできません。また、帯域外管理機能を使用するすべての接続に DNS が必要です。これには AMT プロビジョニングの他に、帯域外管理コンソールから AMT ベースのコンピューターへの接続が含まれます。

[!メモ]

AMT は DNS にホスト レコードを登録できないため、DHCP またはオペレーティング システムによって、AMT ベースのコンピューターの完全修飾ドメイン名 (FQDN) のホスト レコードで DNS を更新するようにする必要があります。または、必要に応じてこれらのレコードを DNS に手動で作成することもできます。ワイヤレス サポートでは、DNS に AMT ベースのコンピューターの完全修飾ドメイン名のワイヤレス IP アドレスを含むレコードが確実に存在するようにしてください。

登録ポイントおよび帯域外サービス ポイントのサイトシステムの役割を実行するコンピューターのサイト システムの役割の依存関係。

「」トピックの「」セクションを参照してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Windows XP を実行するコンピューターで帯域外管理コンソールを実行するには、Windows Remote Management (WinRM) 1.1 以降をインストールする必要があります。

WinRM のバージョンの詳細については、「Versions of Windows Remote Management (機械翻訳による日本語版が表示されます)」を参照してください。

帯域外管理コンソールを実行するコンピューターには、MSXML 6.0 が必要です。

Configuration Manager のセットアップの前提条件の確認には、Microsoft MSXML 6.0 の確認が含まれます。

コンピューターが帯域外管理コンソールを実行し、Serial over LAN コマンドを実行する場合、Windows 7、Windows Vista または Windows Server 2008 を実行するコンピューターに Windows の機能である Telnet クライアントをインストールする必要があります。

Serial over LAN では Telnet プロトコルを使用して管理対象コンピューターのターミナル エミュレーション セッションを実行します。ここでは、コマンドや文字ベースのアプリケーションを実行できます。詳細については、「Configuration Manager の帯域外管理の概要」をご覧ください。

帯域外管理の対象となるコンピューターは、帯域外管理サービス ポイントを実行するサイト システム サーバーと同じ Active Directory フォレストに所属する必要があり、同じ名前空間を共有する必要があります。

さらに、コンピューターは同じ名前空間を共有する必要があります。分離された名前空間はサポートされていません。

以下のシナリオでは、帯域外管理をサポートしていないコンピューターを識別します。AMT は以下のコンピューターでは無効にしてください。

  • ワークグループ コンピューター。

  • 帯域外サービス ポイントのシステムの役割および登録ポイントを実行するコンピューターとは異なる Active Directory フォレストにあるコンピューター。

  • 帯域外サービス ポイントと登録ポイントを実行するサイト システム サーバーと同じ Active Directory フォレストにあるが、同じ名前空間を共有していない (連続していない名前空間の) コンピューター。

    たとえば、FQDN が computer1.northwindtraders.com である AMT ベースのコンピューターは、同じ Active Directory フォレストに所属していても、FQDN が contoso.com である帯域外サービス ポイントのサイト システムを使用してプロビジョニングできません。

  • 帯域外サービス ポイントのサイト システム サーバーとして同じ Active Directory フォレストに存在し、分離された名前空間をもつコンピューター - たとえば、"computer1.corp.fabrikam.com" という DNS 名を持ち、"na.corp.fabrikam.com" という Active Directory ドメインに存在する AMT ベースのコンピューター。

ルータやファイアウォール、および該当する場合は Windows ファイアウォールなど、介在するネットワーク デバイスは、帯域外管理のアクティビティに関連付けられたトラフィックを許可する必要があります。

次のポートは、帯域外管理によって使用されます。

  • 帯域外サービス ポイントから登録ポイント:HTTPS (既定では、TCP ポート 443)。

  • 帯域外サービス ポイントのサイト システム サーバーから AMT 管理コントローラーへの Configuration Manager コンソールとスケジュールされたアクティビティによって開始される電源管理、プロビジョニング、探索:TCP 16993 します。

  • 帯域外管理コンソールを実行しているコンピューターから AMT 管理コントローラーへの帯域外管理コンソールによって開始されるすべての管理タスク (電源オン コマンドを含む):TCP 16993 します。

  • 帯域外管理コンソールを実行しているコンピューターから AMT 管理コントローラーへの Serial over LAN および IDE のリダイレクト:TCP 16995 します。

IPv4。

IPv6 はサポートされていません。帯域外管理では、IPv4 のみを使用します。

IPsec の完全な環境がサポートされていません。

IPsec ポリシーは、帯域外サービス ポイントのサイト システム サーバーと帯域外で管理されるコンピューターの間の AMT 通信用に構成しないでください。

802.1X 認証による有線ネットワークとワイヤレス ネットワーク用のインフラストラクチャ サポート:

  • 認証による有線 802.1X サポート:EAP-TLS、EAP-TTLS/MSCHAPv2、または PEAPv0/EAP-MSCHAPv2 のクライアント認証オプション。

  • ワイヤレス サポート:WPA および WPA2 セキュリティ、AES または TKIP 暗号化、EAP-TLS、EAP-TTLS/MSCHAPv2、または PEAPv0/EAP-MSCHAPv2 のクライアント認証オプション。

[!メモ]

RADIUS ソリューションが次の形式を使用して認証をサポートする必要がありますで TTLS/Eap-mschap v2 または EAP-TLS のクライアントの認証方法をクライアント証明書を使用する場合: domain \computer_accountです。

AMT ベースのコンピューターを 802.1X 認証による有線ネットワークまたはワイヤレス接続で帯域外管理するには、以下の環境をサポートするインフラストラクチャが必要です。Windows Server 2008 でのネットワーク ポリシー サーバーなどの Microsoft RADIUS ソリューションを使用して、これらのネットワークを構成することができます。802.1 X に対応しているし、認証されたワイヤード (有線) の 802.1 X サポートおよびワイヤレス サポートのサポートの構成オプションが一覧表示する場合、その他の RADIUS ソリューションを使用できます。

Windows Server 2008 のネットワーク ポリシー サーバーの詳細については、「Network Policy Server (ネットワーク ポリシー サーバー)」を参照してください。

その他の RADIUS ソリューションの詳細については、を参照してください Intel vPro Expert Center:Microsoft vPro の管理です。

Configuration Manager の依存関係

次の表は、帯域外管理を実行する Configuration Manager 内の依存関係の一覧です。

依存関係

説明

プライマリ サイトは System Center 2012 Configuration Manager を実行して、帯域外サービス ポイントと登録ポイントをインすルールする必要があります。

帯域外サービス ポイントは、サイト サーバーと同じ Active Directory フォレストにある必要があり、各プライマリ サイトには帯域外サービス ポイントを 1 つのみインストールすることができます。

手順 4:AMT プロビジョニング用の登録ポイントと 帯域外サービス ポイントの構成 

帯域外を管理するコンピューターは、Configuration Manager クライアントがインストールされ、プライマリ サイトに割り当てられている必要があります。

System_CAPS_important重要

同じ Configuration Manager サイトに Intel AMT 搭載コンピューターを複数割り当てる場合は、これらのコンピューターが別々のドメインにあり、固有の FQDN を持っていても、それぞれ固有のコンピューター名が付いていなければなりません。

 Configuration Manager で Windows ベースのコンピューターにクライアントをインストールする方法

帯域外管理を構成するには、次のセキュリティのアクセス許可が必要です。

  • サイト:読み取り変更

  • [モバイル デバイス登録プロファイル]:読み取り, 、作成, 、変更, 、メータリング サイト, 、および オペレーティング システムの展開証明書の管理

[完全な権限を持つ管理者] セキュリティ ロールには、これらのアクセス許可が含まれます。

帯域外管理をするには、コンピューターを含むコレクションに次のセキュリティのアクセス許可が必要です。

  • AMT のプロビジョニング:このセキュリティのアクセス許可によって、Configuration Manager コンソールから AMT コンピューターを管理することができます。これには、AMT 管理コントローラーのステータスの検出、AMT コンピューターのプロビジョニング、そして、監査ログ設定の有効化と適応、監査の無効化および監査ログの消去の監査操作が含まれます。

  • AMT の制御:このセキュリティのアクセス許可によって、帯域外管理コンソールを使用してコンピューターの表示と管理を行うことができ、Configuration Manager コンソールでは電源管理操作を開始することができます。リモート ツール セキュリティ ロールが含まれています、 AMT の制御 権限です。

  • 読み取りコレクション設定の変更 をコレクションの AMT プロビジョニングを有効にします。

  • AMT のプロビジョニング, 、読み取り, 、および リソースの読み取り プロビジョニング情報を削除し、AMT 管理コント ローラーを更新します。

セキュリティのアクセス許可を構成する方法の詳細については、次を参照してください。 役割に基づいた管理の構成です。

レポート サービス ポイント。

帯域外管理に Configuration Manager レポートを使用するには、レポート サービス ポイントのインストールと構成が必要です。

詳細については、「Configuration Manager のレポート」をご覧ください。