Configuration Manager での帯域外管理用の AMT プロビジョニング プロセス
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
次の一連のイベントは、AMT ベース コンピューターが System Center 2012 Configuration Manager によってプロビジョニングされる場合に発生します。
Configuration Manager クライアントは、AMT プロビジョニングを開始する指示を伴うクライアント ポリシーをダウンロードし、次のチェックを実行します。
Intel HECI ドライバーがインストールされていること。
AMT ステータスが「Not Provisioned」であること。これ以外のどのステータスもプロビジョニング処理を停止させます。
Configuration Manager クライアントは、ランダムの 1 回限りのパスワード (OTP) を生成し、ハッシュし、サイト サーバーにハッシュを送り、次に AMT ベース コンピューターにプロビジョニングの準備が整うように AMT ネットワーク インターフェイスを起動します。ワイヤレス ネットワーク接続をサポートする AMT ベースのコンピューターには、ワイヤード IP アドレスも送信し、AMT ベース コンピューターが複数のネットワーク インターフェイスを持っていても、これがプロビジョニング中に使用されます。
Configuration Manager クライアントは、状態メッセージを使ってサイト サーバーに AMT の製造情報を送信します。この情報には AMT のバージョン情報が含まれます。
サイト サーバーは OTP ハッシュを受け取り、構成済みの Active Directory コンテナー (または OU) に Active Directory アカウントを作成し、AMT ベース コンピューター用に SPN を設定します。サイト サーバーは、Configuration Manager クライアント用にプロビジョニングを開始する指示を帯域外サービス ポイントに送ります。
帯域外サービス ポイントはこの AMT ベース コンピューター用の OTP ハッシュをサイト サーバーから取得し、AMT ファームウェアからレポートされた OTP ハッシュと比較して、プロビジョニングされる AMT ベース コンピューターの ID を検証します。
帯域外サービスポイントは、サイト サーバーから Active Directory アカウントを取得し、AMT ベース コンピューター用に AMT Web サーバー証明書を要求するように、登録ポイントに指示を送ります。登録ポイントは、AMT ベース コンピューターになりすまし、AMT Web サーバー証明書を要求します。
帯域外サービス ポイントは、AMT プロビジョニング証明書およびセキュリティで保護されたチャネル (Schannel) セキュリティ サポート プロバイダー (SSP) を使用して、帯域外 TLS 接続を作成します。この接続では、AMT ベース コンピューターがサーバーで、帯域外サービス ポイントがクライアントです。このトランスポート層セッションは、TLS ハンドシェーキングによって確立されます。
帯域外サービス ポイントは、AMT ベース コンピューターにクライアント "Hello" メッセージを 送り、SHA1 の使用を要求します。
AMT ベース コンピューターは、帯域外サービス ポイントにサーバー "Hello" メッセージを送り、自己署名入り証明書付きの公開キーを送ります。
TLS チャネルの作成に Microsoft セキュリティ サポート プロバイダー インターフェイス (SSPI) が使用されます。
帯域外サービス ポイントはその AMT プロビジョニング証明書と完全な証明書チェーンを、AMT プロビジョニング オブジェクト識別子 (OID) または OU 属性 Intel(R) Client Setup Certificate と共に AMT ベース コンピューターに送ります。
AMT ベース コンピューターは、AMT プロビジョニング証明書に対して次の項目を確認し、これらが正常に一致すれば、TLS セッションを確立します。すなわち、サブジェクト名 (CN) とその DNS 名前空間の一致、OID と AMT プロビジョニング (または OU 属性) の一致、および証明書チェーンからのルート証明書の証明書拇印と AMT ファームウェア メモリに保管した証明書の拇印との一致です。
帯域外サービス ポイントは、HTTP Digest 認証を使用して、AMT ベース コンピューターとアプリケーション層接続を確立します。
SOAP 要求が、ユーザー名およびパスワード無しで帯域外サービス ポイントから AMT ベース コンピューターに送られます。
AMT ベース コンピューターは、"認証を必要とする" 応答と一緒に帯域外サービス ポイントに応答し、その結果 HTTP Digest 認証が発生します。
帯域外サービス ポイントは、今度は HTTP Digest 認証を使用して、同じペイロードで SOAP 要求を AMT ベース コンピューターに再送信します。
AMT ベース コンピューターは認証チャレンジを完了し、成否の応答を帯域外サービス ポイントに送ります。
アプリケーション層の接続中にHTTP Digest 認証が失敗すると、帯域外サービス ポイントは Configuration Manager に構成されている別のユーザー名とパスワードを使用して認証を再試行します。すべてのユーザー名とパスワードが、認証に成功するまで、または使用できるユーザー名とパスワードがなくなるまで順番に試されます。
AMT ベース コンピューターは、帯域外サービス ポイントからの SOAP 要求によって開始される第 1 段階のプロビジョニングを実行します。
AMT の時刻が帯域外サービス ポイントから Windows 時間と同期されます。
AMT ホスト名とドメインは、コンピューターのホスト名とドメインで構成されます。コンピューターのホストとドメイン名は、システム検索から取得されるか、クライアントがサイトに割り当てられるときはクライアント登録から取得される場合があります。
要求され、取得された証明書は AMT ファームウェア メモリに保存され、TLS 認証が有効にされます。
Configuration Manager によって AMT リモート管理アカウント用にランダムで強力なパスワードが作成され、その値が AMT に保存されます。
Configuration Manager は、AMT ベースのコンピューターおよび AMT のバージョンで MEBx パスワードが以前に変更されているかどうかによって、Configuration Manager コンソールで構成された強力なパスワードで MEBx パスワードを再構成する場合があります。
設定は AMT ファームウェアに保存され、AMT ファームウェアの状態はプロビジョニング後の動作モードに設定されます。
AMT ベース コンピューターは、帯域外サービス ポイントからの Windows Remote Management (WinRM) 要求によって開始される第 2 段階のプロビジョニングを実行します。
AMT ACL は、AMT ユーザー アカウントおよび権限に基づいて削除され、構成されます。
Kerberos が有効になっていると、し、[、 帯域外管理コンポーネント プロパティのうち ] ダイアログ ボックスの [、 AMT 設定 ] タブで、電源設定は、設定の値をに従って設定されて 管理の容易性は、[以下の電源の状態がです。さらに、その他の AMT 設定など を有効にする web インターフェイス, 、serial over LAN と IDE リダイレクトを有効にする, 、および ping に応答, 、構成値に基づいて設定されます、 AMT の詳細設定 ] ダイアログ ボックス。
802.1X オプションが構成してある場合は、次の追加アクションが発生します:。既存のワイヤレス プロファイルの削除、ワイヤレス プロファイルまたは 802.1X 有線ネットワーク構成に関連付けられたすべての証明書の削除、AMT の無線機能の検出。802.1X のサポートが要求される証明書では、帯域外サービス ポイントは、AMT ベース コンピューター用に証明書を要求するよう、登録ポイントに指示を送ります。登録ポイントは AMT ベース コンピューターになりすまし、これらの証明書を要求します。次に、ワイヤレス プロファイルと 802.1X 認証有線ネットワーク構成が AMT に保存されます。
帯域外サービス ポイントは、プロビジョニング プロセスの結果をサイト サーバーに送り、サイト サーバーは、AMT の状態、MEBx パスワード、AMT リモート管理のパスワードといった AMT ベース コンピューターに関する情報を使用するように、Configuration Manager を更新します。