まとめ
- インテル® Active Management Technology (インテル® AMT) には2つの管理モードが存在します
- ベーシックな管理機能のための CCM、そしてすべての機能が利用できる ACM の2種類です
- 弊社がお手伝いしている案件の多くでは CCM に含まれる機能のみで管理が行われています
Admin Control Mode(ACM)、Client Control Mode(CCM)、お聞きになったことはありますか?
Intel® AMT には ACM と CCM 2つの管理モードが存在します。「Admin」と付いているだけあって、ACM の方がより自由度が高い管理を行うことが可能ですが、その分最初の設定では、CCM では要求されない条件が存在します。またもし必要のない管理機能であれば、それが出来ない様にしておく、必要以上の扉の鍵を開けないことが情報セキュリティの観点からも望ましいですから、是非一度、目的の利用方法、管理方法にはどちらのモードが向いているか、ご検討ください。
Intel® AMT のご導入理由、ご利用用途で最も多い「リモート電源コントロール」はどちらのモードでも可能ですので、弊社がお手伝いしているお客様においても、CCM でお使いのケースが多い様にお見受けしています。
ACM と CCM で出来ることの違い
両者で出来ることの違いはいくつかありますが、実際の利用シナリオで最も大きな差分は、ハードウェア KVM 機能において、その機能を利用するのは管理される側の端末(PC、PoS 端末、デジタル・サイネージ端末)側の画面の前に誰か「人(ひと)」が存在していなければならないことではないでしょうか。
ACM では管理者側の意志により、即座に管理対象の PC に接続して OS 上で動作するリモートコントロール・アプリケーションに依存することなく、例えば BIOS の設定画面からシステムの動作を調整したり、ブルースクリーンが頻出する PC の画面表示を確認して再起動したり・・・ と言った、従来は PC の前にいなければ実施出来なかった作業を離れた場所から行うことが可能になります。
一方、CCM においてももちろんハードウェア KVM は利用可能ですが、「User Consent(ユーザーの同意」という過程が必要になります。
これは、管理される PC、サイネージ端末側にだけ表示される数字を管理する側に伝え、それを管理者が画面に入力することで初めて画面の転送や遠隔操作が可能になるというもので、実際には下記のような画面が表示されます。
管理される(遠隔操作される)側の PC にはランダムに変わる「ユーザー同意コード」が表示されます。これは OS を介さずハードウェアが直接描画するもので、この「コード」を何らかの形(電話、ショートメッセージ、etc.)などで管理者に伝え、それを管理者が自身の画面に入力することで初めてハードウェア KVM による画面表示や遠隔操作が可能になります。
管理者だけの意思や操作では、操作できなくなっているのが大きな特徴です。
その他に IDE-R と呼ばれる、管理者が自身の手許にある起動ディスクのイメージを管理対象 PC の起動ディスクとしてリモート・マウントする機能でも、この「ユーザー同意」が必要になります。
<その2へ続く>