I. Introduction▲
Intel® Active Management Technology(1) (Intel® AMT) fait partie de la technologie(2) vPro™ d'Intel. Les plates-formes équipées de processeurs Intel AMT peuvent être gérées à distance, même si le système d'exploitation n'est pas disponible ou que le système est éteint. Les systèmes compatibles Intel® AMT ont un accès spécial hors bande au réseau grâce à la connexion sans fil (ou filaire) d'Intel®, permettant aux applications de gestion de plates-formes à distance un accès sécurisé tant que la plate-forme en question est connectée au secteur et à un réseau. Les éditeurs de logiciels indépendants (ISV) peuvent créer des applications qui tirent parti des fonctionnalités d'Intel AMT en utilisant son SDK qui inclut l'API de haut niveau d'Intel AMT (Intel AMT HLAPI), qui fournit une API très simple et uniforme pour toutes les versions d'AMT et de SKU d'Intel. Pour plus d'informations, consultez la documentation de HLAPI dans le SDK. Le SDK contient également la plate-forme Intel vPro Solution Manager, qui est une console de contrôle à distance construite à partir de l'API de haut niveau d'Intel AMT.
Intel AMT utilise un certain nombre d'éléments dans l'architecture de la plate-forme Intel vPro, notamment le moteur de contrôle à distance d'Intel® (Intel® Management Engine), une partie du firmware (fourni par le fabricant du système avec le BIOS). Le firmware utilise une petite partie de la RAM du système, c'est pourquoi l'emplacement 0 doit être rempli et sous tension, afin que le firmware fonctionne. Il possède également son propre espace de stockage Flash qui contient, entre autres informations, les paramètres de configuration.
Pour utiliser Intel AMT sur la gestion de bande, le système doit disposer d'une connexion Intel® Ethernet ou d'un réseau sans fil Intel, qui prend en charge les connexions au firmware Intel ME. Notez que pour Intel AMT 10.0, la plate-forme aura besoin d'une version 10.x du firmware Intel ME et du pilote. L'ensemble des pilotes 10.0 peuvent être chargés sur les systèmes livrés avec les firmwares 8.x. 9.x ou 10.0. Vous devriez toujours utiliser le firmware fourni par le fabricant de votre système.
Intel AMT soutient les applications à distance fonctionnant sur Microsoft Windows* ou Linux*, mais supporte les applications locales basées uniquement sur Windows. Pour une liste complète des exigences du système, veuillez vous référer à la documentation disponible dans le dernier Intel® Software Development Kit AMT (SDK) et au Guide de référence et de mise en œuvre Intel® AMT situé dans le dossier Documents.
II. Ce qui est nouveau dans la version 10.0 Intel AMTÂ ▲
Intel AMT 10 est rétrocompatible avec les systèmes utilisant les chipsets des séries Intel® 7, 8, et 9.
- Le changement le plus important : OpenSSL* est maintenant mis en Å“uvre sans aucun indicateur de heartbeat. Donc, sur les systèmes mis à niveau vers AMT10, veuillez révoquer et réémettre les certificats et changer les mots de passe.Â
- L'effacement de l'écran du client Intel AMT (lors de l'accès à distance) a été ajouté dans HLAPI et l'application utilitaire KVM.
- Les fichiers MOF et XSL mis à jour, ainsi que la référence de classe sont désormais à la version 10.0.25.1048.
- La version de Real VNC* a été mise à jour vers la v1.2.5 sous Linux et KVM.
- Les mécanismes Windows Connected Standby*/Instant Go sont pris en charge dans Windows 7 et versions supérieures (également disponible dans la HLAPI).
- Les opérations d'alimentation progressive sont prises en charge sur Windows Vista, 7 et 8 utilisant les plates-formes 32 et 64 bits, comprenant, à partir de Windows 8, la veille connectée/reprise instantanée et les événements UNS générés. Cette possibilité a également été ajoutée dans la HLAPI.
- Le provisionnement dans les deux modes, Admin et Client Control, avec nom de domaine complètement qualifié (FQDN) est maintenant pris en charge. Pour plus d'informations, consultez les notes de version.
III. Préparation de votre client Intel AMT pour l'utilisation ▲
La configuration (l'approvisionnement) d'un client AMT implique de déplacer le client, à travers les modes d'installation et de configuration, en mode opérationnel. Pour entrer dans SetupMode, l'information initiale (qui varie selon les versions AMT) configurée par le fabricant du système est nécessaire. La capacité Intel AMT est activée en utilisant l'extension Intel® Manageability Engine BIOS (Intel® MEBx) implémentée par le fournisseur du système. Une application à distance peut être utilisée pour effectuer l'installation et la configuration de l'entreprise. Il existe diverses méthodes de configuration basées sur la version AMT. Pour plus d'informations, voir la documentation d'installation et de configuration.
Sorties AMT |
Méthodes d'installation |
---|---|
1.x; plus 2.x, 3.x en mode legacy |
Legacy |
2.x, 3.x, 4.x, 5.x |
SMB |
2.0 ou plus |
PSK |
2.2, 2.6, 3.0 ou plus |
PKI (Ã distance) |
6.0 ou plus |
Manuel |
7.0 ou plus |
|
01/10/00 |
FQDN sécurisé est pris en charge |
Le logiciel Intel® de configuration (Intel® SCS) est capable d'approvisionner les systèmes pour revenir à Intel AMT 2.X. Pour plus d'informations sur l'Intel SCS et les méthodes d'approvisionnement qui se rapportent aux différentes versions d'Intel AMT : téléchargez la dernière version du service d'installation et de configuration Intel® (Intel® SCS).
IV. Conseils de configuration manuelle▲
La configuration manuelle peut être réalisée en utilisant le menu Intel MEBx qui devrait être disponible juste après l'écran de démarrage du BIOS — habituellement en appuyant sur <Ctrl+P>. Certains BIOS offrent l'option pour masquer le raccourci <Ctrl+P>.
Pour configurer manuellement un client Intel AMT, procédez comme suit :
- Entrez le mot de passe par défaut d'Intel MEBx (« admin ») ;
- Changez le mot de passe par défaut Intel MEBx avec un nouveau mot de passe fort (requis). Il doit être d'au moins huit caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. Remarque : une application de console de gestion peut changer le mot de passe Intel AMT sans modifier le mot de passe Intel MEBx ;
- Sélectionnez la configuration Intel® AMT ;
- Sélectionnez Manageability Feature Selection puis sélectionnez ENABLED pour activer Intel® AMT ;
- Sélectionnez SOL/IDE-R/KVM et activez toutes ces fonctionnalités. L'activation du Legacy Redirection Mode assure la compatibilité avec les consoles de gestion créées pour travailler avec le mode legacy de SMB, qui n'avait pas mis en place un mécanisme pour activer le listener. Notez que si les fonctionnalités SOL/IDER/ KVM ne sont pas activées dans Intel MEBx, elles ne seront pas disponibles dans les consoles de gestion ;
- Sélectionnez User Consent et sélectionnez les options souhaitées pour les opérations KVM et informatiques à distance. Activer le User Consent signifie que chaque fois où le client Intel AMT est accédé à distance, l'utilisateur devra donner son accord ;
- Entrez Network Setup pour saisir les préférences du réseau pour l'Intel ME ;
- Entrez Activate Network Access pour activer Intel AMTÂ ;
- Sortez vers le menu principal ;
- Sélectionnez MEBx Exit pour continuer le démarrage de votre système.
La plate-forme est maintenant configurée. Vous pouvez définir des paramètres supplémentaires à l'aide de l'interface utilisateur Web (Web UI) ou d'une application de la console à distance.
V. Admin Control Mode(ACM) et Client Control Mode (CCM)▲
Quand une des méthodes d'installation s'achève, Intel AMT 7.0 et les versions ultérieures sont placées dans l'un des deux modes de contrôle :
Admin Control Mode - après avoir effectué l'installation en utilisant le menu Intel MEBx ou la configuration à distance, Intel AMT passe en mode Admin Control. Dans ce mode, il n'y a aucune limitation des fonctionnalités Intel AMT, grâce au niveau élevé de confiance associé à ces méthodes de configuration.
Client Control Mode - Intel AMT accède à ce mode après avoir effectué une configuration élémentaire basée sur l'hôte (local). Ce mode limite certaines des fonctionnalités Intel AMT, ce qui reflète le niveau de confiance inférieur nécessaire pour compléter une installation basée sur l'hôte. Les limitations suivantes s'appliquent :
- La fonctionnalité de défense du système n'est pas disponible ;
- Des actions de redirection (IDE-R et KVM, mais pas l'ouverture d'une session SOL) et des changements dans les options de démarrage (démarrage SOL y compris) exigent le consentement préalable de l'utilisateur. Cela permet toujours au personnel de support informatique de résoudre à distance les problèmes de l'utilisateur final à l'aide d'Intel AMT ;
- Si un vérificateur est défini, son autorisation n'est pas requise pour exécuter un désapprovisionnement ;
- L'exécution d'un certain nombre de fonctions est bloquée, afin d'empêcher un utilisateur non fiable de prendre le contrôle de la plate-forme.
Remarque : la possibilité de configurer à distance une plate-forme, sans que le consentement de l'utilisateur local soit nécessaire, a été ajoutée à partir d'AMT 9.0.
VI. Accéder à des clients Intel® AMT▲
Un administrateur avec des droits d'utilisateur peut se connecter à distance à un client Intel AMT via l'interface Web en entrant l'adresse IP ou le FQDN du client, suivi du numéro de port dans l'URL du navigateur : utilisez http et le port 16992 lorsque TLS n'est pas configuré et https et le port 16993 avec TLS :
par exemple : http://134.134.176.1:16992 ou https://amtsystem.domain.com:16993.
Pour accéder au client Intel AMT en utilisant SOL (Serial Over LAN), vous devez vous assurer que le pilote SOL est installé.
VII. Intel AMT Local Manageability Service (LMS) et le service de notification de l'utilisateur (UNS) ?▲
Le Local Manageability Service (LMS) s'exécute localement dans un périphérique Intel AMT et permet aux applications locales de gestion d'envoyer des demandes et de recevoir des réponses vers et depuis l'appareil. Le LMS écoute et intercepte les demandes adressées à l'hôte local Intel AMT et les achemine à l'Intel ME via le pilote Intel Interface ME.
Notez que dans le cas d'Intel AMT 9.0, le service de notification de l'utilisateur est combiné avec le service de gestion locale. Le UNS enregistre avec le périphérique Intel AMT afin de recevoir un ensemble d'alertes. Lorsque UNS reçoit une alerte, il l'enregistre dans le journal d'événements « Application » de Windows. La source de l'événement sera Intel® AMT.
VIII. L'outil Intel Management et Security Status (IMSS)▲
Il peut être accédé via l'icône « clef bleue » dans la barre de tâches de Windows.
L'onglet Général de l'outil IMSS montre l'état des services Intel vPro disponibles sur la plate-forme et un historique des événements. D'autres onglets fournissent des détails supplémentaires.
L'onglet Avancé de l'outil IMSS affiche des informations plus détaillées sur la configuration d'Intel AMT et ses caractéristiques. La capture d'écran suivante vérifie si Intel AMT a été configuré sur ce système.
IX. Intel AMT Software Development Kit (SDK)▲
Le kit de développement logiciel Intel® AMT Software Development Kit (SDK) fournit les capacités de programmation de bas niveau pour permettre aux développeurs de créer des applications de gestion du système qui tirent pleinement parti de la technologie Intel AMT.
Le kit de développement logiciel Intel AMT fournit des exemples de code et un ensemble d'API permettant aux développeurs d'intégrer facilement et rapidement la prise en charge d'Intel AMT dans leurs applications. Le SDK dispose également d'un ensemble complet de documentation. Il prend en charge le C++ et le C# sur des systèmes d'exploitation Microsoft Windows et Linux. Reportez-vous au Guide de l'utilisateur et aux fichiers Lisez-moi de chaque répertoire pour des informations importantes sur la compilation des échantillons.
Le SDK est livré comme un ensemble de répertoires qui peut être copié à un emplacement choisi par le développeur sur le système de développement. À cause des interdépendances entre les composants, la structure du répertoire doit être copiée dans son intégralité. Il y a trois dossiers au plus haut niveau : un appelé DOCS (documentation), et pour Linux et Windows respectivement (échantillons de code). Pour plus d'informations sur la façon de démarrer et comment utiliser le SDK, consultez : Intel® AMT Implementation and Reference Guide.
X. Autres ressources Intel AMT SDK▲
Le kit de développement logiciel AMT fournit les environnements logiciels et les échantillons qui simplifient le développement WS-Management et montre comment tirer parti des fonctionnalités avancées du produit. Pour plus d'informations, consultez les rubriques suivantes :
Il existe une diversité d'environnements de développement pour lesquels écrire des logiciels prenant en charge Intel AMT. Les outils d'activation d'Intel vPro sont disponibles uniquement en C++ (enveloppe C# dans le SDK) et nécessitent l'objet COM de Microsoft (et pas seulement le .NET). À noter également que la prise en charge de SOAP a été complètement supprimée du SDK a partir de AMT 9.0.
XI. À propos de l'auteure▲
Colleen Culbertson est une ingénieure d'applications chez Intel, en Oregon. Elle travaille pour Intel depuis plus de 15 ans. Elle a travaillé avec différentes équipes et différents clients, en aidant les développeurs à optimiser leur code.
Pour plus d'information, visitez les pages Intel Active Management Technology et Intel vPro
Visitez la Zone Windows des Développeurs Intel pour découvrir l'ensemble des outils et documentations mis à disposition pour vous aider dans le développement d'app.
XII. Information légale▲
Les informations fournies dans ce document concernent les produits Intel. Intel et le logo Intel sont des marques déposées par Intel Corporation aux États-Unis et/ou dans d'autres pays.
Copyright © 2014 Intel Corporation. Tous les droits sont réservés.
* Les autres noms et logos peuvent être revendiqués comme propriété d'autres personnes.