サイバー攻撃の多くは脆弱性を悪用して行われます。パッチや修正プログラムを適用して脆弱性を解消することは、サイバーセキュリティの基本ですが、リモートワークやハイブリッドワークを前提とした分散されたワークプレイスにおいて、インターネット経由してデバイスに対しOS、ドライバー、BIOSの修正プログラムの適用、各種設定を行うことは容易ではありません。“実践サイバーハイジーン”シリーズでは、このような環境下でHPのビジネスPCに対して効果的にパッチや修正プログラムを適用するノウハウを解説します。

HP Connect for Microsoft Endpoint Manager （HP Connect for MEM）は、サポートされているHPビジネスPC製品のUEFI BIOSの管理を容易にするように設計された、無償で利用可能なクラウド対応アプリケーションです。HP Connect for MEMは安全で保護されたHPクラウド環境からMicrosoft Endpoint Managerのデバイスグループに公開するBIOS管理ポリシーを作成するためのフレームワークを提供します。

HP Connect for MEMはクラウドベースの管理コンソールからIT管理者が作成したポリシーパッケージを、Microsoft Endpoint Manager（MEM）Intuneの標準のコンプライアンスプロセス（Intuneの「プロアクティブな修復」の機能）として展開します。 デバイスへの適用は、作成したポリシーを組織のMicrosoft Azureテナントのデバイスグループ（MEM Intuneのデバイスグループ）に割り当てる事でおこないます。各デバイスにソフトウェアをダウンロードまたはインストールする必要はありません。

注記：HP Connect for MEMには、Microsoft Azureおよび登録されたMDM(Mobile Device Management)としてEndpoint Manager (Intune)への適切なサブスクリプションが必要です。ライセンスはプロアクティブな修復の使用が許可されている必要があります。

HP Connect for Microsoft Endpoint Managerには以下の機能があります。

• BIOS更新

常に最新、クリティカルバージョンのみ、特定のバージョンの更新規則をサポート

• BIOS設定

プラットフォームごとの設定項目をサポート

• BIOS認証

HP Sure Adminまたはパスワードの認証設定

ユーザーガイド

HP Connect for Microsoft Endpoint Managerの詳細な使用方法は以下のユーザーガイドをご参照ください。

https://admin.hp.com/static/HPConnectUserGuide.pdf

HP Connect for MEM（https://admin.hp.com）に組織のIntuneの管理者権限のあるAzure ADアカウントでサインインして利用します。ここではBIOS管理のためのポリシーを作成し、作成したポリシーを組織のMicrosoft Azure Active Directoryのデバイスグループ（MEM Intuneのデバイスグループ）に割り当てます。

Homeタブ

Homeタブではポリシーやシークレット（BIOS認証情報）を作成できます。作成したポリシーやシークレットの概要、およびそれらのステータスが表示されます。Group Summaryカードには、組織のAzure Active Directoryから読み取られたデバイスグループと、それらに適用されるHP Connectのポリシーが表示されます。

Policiesタブ

Policiesタブには作成されたポリシーが一覧表示されます。リスト内の各ポリシーは、それが使用中（In Use）であるかどうかを示します。使用中のポリシーは編集できなくなります。

Groupsタブ

Groupsタブでは組織のAzure Active Directoryグループのリストが表示されます。検索フィールドを使用すると、管理者は名前で特定のグループをすばやく見つけることができます。リストからグループ名を選択すると、すでにそのグループに割り当てられたHP Connectポリシーのリストが表示されたサイドバーが表示されます。

Secretsタブ

Secretsタブは、HP Connect for MEMでBIOS認証シークレットを管理する場所です。これらのシークレットは安全なクラウドボールト（Vault）に保存されます。[New Secret]を選択すると、 HP Sure Adminが使用する証明書、またはBIOS管理/セットアップパスワードを管理するためのパスワードを追加するためのダイアログが表示されます。

HP Connect for MEMで作成したポリシーを組織のAzure Active Directoryグループに割り当てると、組織のMicrosoft Endpoint ManagerにHP Connectポリシーが自動的に作成されます。HP Connectポリシーは、[プロアクティブな修復]として公開されており、Microsoft Endpoint Manager管理センターの[レポート]→[エンドポイント分析]→[プロアクティブな修復]にあります。プロアクティブな修復のスクリプトパッケージ名は「HPConnectforMEM--device_group_name」です。

HP Connect for MEMを既存のAzureテナントに追加するにはどうすればよいですか？

HP Connectは、エンタープライズアプリケーションとして組織のAzureテナントに追加されます。これには、テナント管理者は、最初にadmin.hp.comにログインする必要があります。正しくオンボーディングされるとHP Connect for MEMとHP MEM Connector Serviceの2つのアプリケーションがテナントに追加されます。どちらのアプリケーションもhttps://admin.hp.comに接続します。

HP Connect for MEMにアクセスしてポリシーを作成するためにはどの権限が必要ですか？

Microsoft Azure Active Directoryテナントへの管理者権限を持つアカウントが必要です。

アカウントには以下のアクセス許可が必要です。

• Sign you in and read your profile
• Maintain access to data you have given it access to
• Read Microsoft Intune Device Configuration and Policies
• Read and write Microsoft Intune Device Configuration and Policies
• Read Microsoft Intune RBAC settings
• Read all groups
• Access the directory as you
• Read group memberships

HP Connect for MEMの使用には費用がかかりますか？

HP Connect for MEMは、BIOS管理操作のためにHPのお客様に無料でご利用いただけます。

HP Connect for MEMを使用するには、デバイスに何かをインストールする必要がありますか？

いいえ、デバイスへのインストールは不要です。HP Connect for MEMは、各デバイスのMicrosoft Endpoint Manager Intune MDMエージェントに依存してプロアクティブな修復として公開されたコンプライアンスポリシーを適用します。Intune MDMエージェントが検出スクリプトを実行します。条件を満たさなかった場合にはHP Connectのポリシーで定義された修復スクリプトを実行します。ポリシーは各管理対象デバイスにHP Client Management Script Library（CMSL）のコピーをインストールして管理します。

管理対象の各HP システムにHP Client Management Script Libraly（HPCMSL）をインストールする必要がありますか？

いいえ。 HP Connectポリシーは、BIOS管理タスクを実行するスクリプトでHPCMSLの個別のコピーを使用します。このバージョンは、デバイスにすでにインストールされて使用されている他のバージョンのCMSLと競合しません。

どのシステムがHP Connectでサポートされていますか？

サポートされている製品リストは、HP Connect for MEMユーザーガイドに付録として記載されています。

https://admin.hp.com/static/HPConnectUserGuide.pdf

管理者は、ポリシーの作成時にモデルを検索することで、モデルがサポートされているかどうかを確認することもできます。

Author : 日本HP