HPビジネスPCには多彩なセキュリティ機能が搭載されています。”Step by Step　HPビジネスPCのセキュリティを使ってみよう"シリーズでは、毎回1つのセキュリティ機能を取り上げ、設定方法や利用手順をStep by Stepで解説し、セキュリティ機能を実際に使っていただくことを支援いたします。

今回はHP Sure Adminを設定して、F10 BIOSセットアップ画面設定のQRコードを利用したワンタイムパスワード認証を検証するための手順を解説します。HP Sure Adminの設定にはHP Connect for Microsoft Endpoint Managerを使用します。HP Sure Admnについてはこの記事もご覧ください。HP Connect for Microsoft Endpoint Managerについてはこの記事もご覧ください。

• デバイスはIntuneに登録されていてる。
• Microsoft Azure Active Directoryテナントへの管理者権限でのアクセス権。
  
• Microsoft Endpoint Manager（Intune）のプロアクティブな修復の機能を利用可能な次のいずれかのライセンスがある。
  • Windows 10 Enterprise E3またはE5、またはMicrosoft 365 F3、E3、またはE5
  • Windows 10 Education A3またはA5、またはMicrosoft 365 A3またはA5
  • Windows Virtual Desktop Access E3またはE5

HP ConnectはサポートされているHPのビジネスPCで、暗号化キーによる非常に安全なBIOSアクセス技術であるHP Sure Adminを有効化します。HP Connectは組織が提供した証明書の内容を読み取り、この目的のために公開鍵と秘密鍵のペアを使用します。HP Connectは秘密鍵を使用しないとBIOS設定の変更ができないようにします。組織が作成して提供した証明書は、組織外に漏洩すると管理対象のデバイスのセキュリティが損なわれる可能性があるため、それを安全に保管することが非常に重要です。HP Connectは証明書をHPクラウドに保持しませんが、証明書に埋め込まれた公開鍵と秘密鍵をデバイス認証が要求されるポリシーで使用するためにHPクラウドに安全に保存します。

例として、ここではOpenSSLを使用して証明書を作成します。オープンソースソフトウェアであるOpenSSLは、正しくフォーマットされた証明書の作成をサポートします。埋め込まれた秘密鍵と公開鍵のペアが要件を満たしていれば、証明書がどのように作成されるかは関係ありません。組織の認証局を含む、証明書作成方法は次のようになります。OpenSSLコマンドを使用して、承認、署名、およびローカルアクセスキー証明書を作成できます。証明書には、HP ConnectがSecure Platform ManagementをプロビジョニングしてHP Sure Admin（EBAM）を有効化するために使用する秘密鍵と公開鍵のペアが含まれます。次の手順を使用して、必要な証明書を作成できます。例ではオープンソースのOpenSSLアプリケーションを使用して説明されていますが、証明書は組織内で利用可能な他の技術でも作成できます。

OpenSSLのインストール

公式のWin32ビルドがないため、https://slproweb.com/products/Win32OpenSSL.html からWin64 OpenSSL v3.0.1 Light、やWin64 OpenSSL v1.1.1m Lightをダウンロードしてインストールします。Win64 OpenSSLのインストール後、openssl.exeがインストールされたフォルダをシステム環境変数のPathに追加します。

エンドースメントキー証明書の作成

1-1.X.509自己署名証明書を作成します。

EKPriv.pemおよびEK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。

以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。

openssl req -x509 -nodes -newkey rsa:2048 -keyout EKpriv.pem -out EK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“

1-2.自己署名証明書をPKCS#12 pfxフォーマットに変換します。

以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。

openssl pkcs12  -inkey EKPriv.pem -in EK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out EK.pfx -name "HP Secure Platform Key Endorsement Certificate"  -passout pass:test

サイニングキー証明書の作成

1-3.X.509自己署名証明書の作成

SKPriv.pemおよびSK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。

以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。

openssl req -x509 -nodes -newkey rsa:2048 -keyout SKpriv.pem -out SK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“

1-4.自己署名証明書をPKCS#12 pfxフォーマットに変換

以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。

openssl pkcs12  -inkey SKPriv.pem -in SK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out SK.pfx -name "HP Secure Platform Key Signing Certificate"  -passout pass:test

ローカルアクセスキー（LAK）証明書の作成

1-5.X.509自己署名証明書の作成

LAK.pemおよびLAK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。

以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。

openssl req -x509 -nodes -newkey rsa:2048 -keyout LAK.pem -out LAK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“

1-6.自己署名証明書をPKCS#12 pfxフォーマットに変換

以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。

openssl pkcs12  -inkey LAK.pem -in LAK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out LAK.pfx -name "'EBAM Local Access Key Certificate"  -passout pass:test

注記：3つの.pfx証明書が作成されたら、その他のすべての一時ファイル（.pemと.crt）は必要ありませんので削除してください。

モダンブラウザ（Microsoft Edge、Google Chrome、Mozilla Firefoxなど）でhttps://admin.hp.com にアクセスして「Get Started」をクリックします。

Intuneの管理者権限のあるAzure ADアカウントでサインインします。組織のAzure ADのポリシーに応じて多要素認証が求められます。初回サインインの際には以下のアクセス許可を要求するMicrosoftのダイアログが表示されます。

• Sign you in and read your profile
• Maintain access to data you have given it access to
• Read Microsoft Intune Device Configuration and Policies
• Read and write Microsoft Intune Device Configuration and Policies
• Read Microsoft Intune RBAC settings
• Read all groups
• Access the directory as you
• Read group memberships

「組織の代理として同意する」にチェックを付けます。

「承諾」をクリックします。

サインインが完了するとHP Connect for MEMのHomeタブ画面が表示されます。

3-1.Secure Platform Management用のシークレットの作成

HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Secret」をクリックします。SECRET SETTINGS画面では、以下の情報を入力または選択し、「Save」をクリックします。

• Name：SPM Keys
• Type：Certificate
• Certificate Type：Secure Platform Management
• Tags：必要に応じてタグ名を入力して「Add Tag」をクリックするとシークレットを識別するためのタグを追加できます。
• Endorsment Key：「Upload file *」をクリックして、1-1で作成した「EK.pfx」を選択します。EK.pfxをパスワードで保護している場合は、Enter Certificate Passwordのダイアログが表示されますのでパスワードを入力して「OK」をクリックします。
• Signing Key：「Upload file *」をクリックして、1-2で作成した「SK.pfx」を選択します。SK.pfxをパスワードで保護している場合は、Enter Certificate Passwordのダイアログが表示されますのでパスワードを入力して「OK」をクリックします。

3-2.Local Access用のシークレットの作成

HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Secret」をクリックします。SECRET SETTINGS画面では、以下の情報を入力または選択し、「Save」をクリックします。

• Name：LAK Key
• Type：Certificate
• Certificate Type：Local Access
• Tags：必要に応じてタグ名を入力して「Add Tag」をクリックするとシークレットを識別するためのタグを追加できます。
• Local Access Key：「Upload file *」をクリックして、1-3で作成した「LAK.pfx」を選択します。LAK.pfxをパスワードで保護している場合は、Enter Certificate Passwordのダイアログが表示されますのでパスワードを入力して「OK」をクリックします。

HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Policy」をクリックします。Policy Information画面では、以下の情報を入力または選択して「Next」をクリックします。

• Name：HP Sure Admin（ポリシーを識別するためのポリシー名を入力します。）
• Type：BIOS Authentication
• Description：必要に応じてポリシーの説明を入力します。
• Tags：必要に応じてタグ名を入力して「Add Tag」をクリックするとポリシーを識別するためのタグを追加できます。

Policy Settings画面では、以下の情報を入力または選択して「Save」をクリックします。

• BIOS Authentication Type：HP Sure Admin(Recommended by HP)
• Secure Platform Management(SPM)：SPM Keys
• Local Access Key(LAK)：LAK key

HP Sure Adminのポリシーが作成され、引き続き作成したポリシーをAzure ADグループに公開するかどうかを確認するダイアログが表示されますので、「Apply」をクリックします。

注記：ここで「Close」をクリックすると作成したポリシーをAzure ADグループに公開せずにPoliciesタブ画面に戻ります。その場合はPolicy Listからポリシーを選択して「Add or Remove Groups」をクリックすればAzure ADグループにポリシーを公開できます。

Select Device Groups画面では作成したポリシーを公開するAzure ADグループを選択し「Next」をクリックします。

選択したAzure ADグループへのポリシーの公開を確認するダイアログが表示されますので「Apply」をクリックします。

ポリシー公開の通知が画面右下に表示されます。HP Connect for MEMのPolicy List画面ではポリシー名HP Sure AdminがIn Use（使用中）となっていることが確認できます。

HP Sure Adminのポリシーが適用された各PCではPCの起動時にHP Sure Adminを構成するために必要な、Secure Platform Managementを有効化するためのユーザー操作が求められます。PCの起動時に画面に表示される4桁の数字（パスコード）を入力するとSecure Platform Managementが有効になります。

HP Sure Adminが有効になると、BIOS F10セットアップ画面に入る前にHP Sure Adminによる認証が求められるようになります。

6-1.組織のAzure AD管理センターにサインインして、エンタープライズアプリケーションを開きます。

6-2.「HP MEM Connection Services」をクリックして、「ユーザーとグループの割り当て」をクリックします。

6-3.「ユーザーまたはグループの追加」をクリックします。

6-4.HP Sure Adminのローカルアクセス許可を与えるユーザーを選択し、ロールに「HP Sure Admin Local Access All Directory」を選択し、「割り当て」をクリックします。

6-5.追加したAzure ADユーザー（表示名：日本HPデモ用アカウント1）にHP Sure Adminのローカルアクセスが許可されます。

7-1.スマートフォンでPlayStoreやAppStoreにアクセスしてHP Sure Adminアプリをインストールします。

7-2.HP Sure Adminスマートフォンアプリを起動し、「QRコードのスキャン」をタップします。

7-3.HP Sure Adminが有効化されたPCでBIOS F10セットアップ画面に入る際に表示されるBIOS管理者資格情報画面のQRコードをHP Sure Adminスマートフォンアプリで読み取ります。

7-4.QRコードをスキャンすると、HP Sure AdminスマートフォンアプリがKMSサーバーに接続します。

7-5.Microsoftの認証画面が表示されるので、HP Sure Adminローカルアクセスを許可したAzure ADユーザーでサインインします。

7-6.HP Sure Adminスマートフォンアプリに6桁のPINが表示されるので、BIOS F10セットアップ画面に入りたいPCのBIOS管理者資格情報のレスポンスコードとしてその6桁のPINを入力します。

Author : 日本HP