掲載日:2022/04/08

実践サイバーハイジーン:HP Connect for Microsoft Endpoint ManagerによるBIOS更新

実践サイバーハイジーン

サイバー攻撃の多くは脆弱性を悪用して行われます。パッチや修正プログラムを適用して脆弱性を解消することは、サイバーセキュリティの基本ですが、リモートワークやハイブリッドワークを前提とした分散されたワークプレイスにおいて、インターネット経由してデバイスに対しOS、ドライバー、BIOSの修正プログラムの適用、各種設定を行うことは容易ではありません。“実践サイバーハイジーン”シリーズでは、このような環境下でHPのビジネスPCに対して効果的にパッチや修正プログラムを適用するノウハウを解説します。

 

はじめに

今回は、Microsoft Endpoint Manager(Intune)とHP Connect for Microsoft Endpoint Manager(HP Connect for MEM)を使用してHPビジネスPCのBIOSおよびシステムファームウェアの更新を自動化する方法を説明します。Intuneの「プロアクティブな修復」の機能を利用してデバイスのBIOSが最新かどうかチェックした後、BIOSおよびシステムファームウェアの更新をします。HP Connect for MEMの詳細についてはブログ記事「実践サイバーハイジーン:HP Connect for Microsoft Endpoint Managerのご紹介」をご覧ください。

 

前提条件

  • デバイスはIntuneに登録されていてる。
  • Microsoft Azure Active Directoryテナントへの管理者権限でのアクセス権。
  • Microsoft Endpoint Manager(Intune)のプロアクティブな修復の機能を利用可能な次のいずれかのライセンスがある。
    • Windows 10 Enterprise E3またはE5、またはMicrosoft 365 F3、E3、またはE5
    • Windows 10 Education A3またはA5、またはMicrosoft 365 A3またはA5
    • Windows Virtual Desktop Access E3またはE5
図1.プロアクティブな修復の条件 図1.プロアクティブな修復の条件

 

 

HP Connect for MEMの利用開始手順

モダンブラウザ(Microsoft Edge、Google Chrome、Mozilla Firefoxなど)でhttps://admin.hp.com にアクセスして「Get Started」をクリックします。

図2.HP Connect for Microsoft Endpoint Managerの初期画面 図2.HP Connect for Microsoft Endpoint Managerの初期画面

 

Intuneの管理者権限のあるAzure ADアカウントでサインインします。組織のAzure ADのポリシーに応じて多要素認証が求められます。初回サインインの際には以下のアクセス許可を要求するMicrosoftのダイアログが表示されます。

  • Sign you in and read your profile
  • Maintain access to data you have given it access to
  • Read Microsoft Intune Device Configuration and Policies
  • Read and write Microsoft Intune Device Configuration and Policies
  • Read Microsoft Intune RBAC settings
  • Read all groups
  • Access the directory as you
  • Read group memberships

「組織の代理として同意する」にチェックを付けます。

「承諾」をクリックします。

サインインが完了するとHP Connect for MEMのHomeタブ画面が表示されます。

図3.HP Connect for MEMのHomeタブ画面 図3.HP Connect for MEMのHomeタブ画面

 

 

HP Connect for MEMのBIOS更新ポリシーの設定

HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Policy」をクリックします。Policy Information画面では、以下の情報を入力または選択して「Next」をクリックします。

  • Name:ポリシーを識別するためのポリシー名を入力します。
  • Type:「BIOS Update」を選択します。
  • Description:ポリシーの説明を入力します。
  • Tags:必要に応じてタグ名を入力して「Add Tag」をクリックするとポリシーを識別するためのタグを追加できます。
図4.Policy Information画面 図4.Policy Information画面

 

Policy Settings画面では、BIOS更新方法を選択して「Save」をクリックします。

  • Keep BIOS of all devices always updated

サポートされているプラ​​ットフォームのグループに適用すると、Endpoint Managerはこのポリシーを選択したグループ内のすべてのデバイスを監視して、デバイスに対応したBIOSがリリースされるたびに更新するコンプライアンス項目として使用します。

  • Deploy only critical BIOS updates

このポリシーは、選択したすべてのデバイスにHPによって「クリティカル」とマークされている場合、選択したグループに新しいBIOSリリースを適用します。

  • Establish a rule for a specific device model

このポリシーは、定義された基準/ルールに基づいてBIOSアップデートをデバイスグループに適用します。ポリシーは特定のプラットフォーム(HPモデル)にのみ適用され、次のいずれかに構成できます。

・Keep BIOS updated to the latest version:最新のBIOSバージョンを維持します。

・Enforce a specific BIOS version:特定のBIOSバージョンに固定します。

注記:HP Connectはデバイスの既存のバージョンよりも古いBIOSのインストールをサポートしていません。

図5.Policy Settings画面 図5.Policy Settings画面

 

BIOS更新のポリシーが作成され、引き続き作成したポリシーをAzure ADグループに公開するかどうかを確認するダイアログが表示されますので、「Apply」をクリックします。

注記:ここで「Close」をクリックすると作成したポリシーをAzure ADグループに公開せずにPoliciesタブ画面に戻ります。その場合はPolicy Listからポリシーを選択して「Add or Remove Groups」をクリックすればAzure ADグループにポリシーを公開できます。

図6.ポリシー作成後のAzure ADグループへの公開を確認するダイアログ 図6.ポリシー作成後のAzure ADグループへの公開を確認するダイアログ

 

Select Device Groups画面では作成したポリシーを公開するAzure ADグループを選択し「Next」をクリックします。

図7.Select Device Groups画面 図7.Select Device Groups画面

 

Review and Publish画面では、ポリシー名と公開するAzure ADグループ名を確認し「Publish」をクリックします。

図8.Review and Publish画面 図8.Review and Publish画面

 

選択したAzure ADグループへのポリシーの公開を確認するダイアログが表示されますので「Apply」をクリックします。

図9.Azure ADグループへのポリシー公開の確認ダイアログ 図9.Azure ADグループへのポリシー公開の確認ダイアログ
図10.ポリシー公開の通知 図10.ポリシー公開の通知

 

作成したBIOS更新ポリシーが選択したAzure ADグループに公開されます。以上でHP Connect for MEMのBIOS更新ポリシー設定は完了です。

 

 

Azure ADグループに公開されたHP Connect for MEMのポリシーの確認

HP Connect for MEMで作成したポリシーを組織のAzure ADグループに割り当てると、組織のMicrosoft Endpoint ManagerにHP Connectポリシーが自動的に作成されます。HP Connectポリシーは、[プロアクティブな修復]として公開されており、Microsoft Endpoint Manager管理センターの[レポート]→[エンドポイント分析]→[プロアクティブな修復]にあります。プロアクティブな修復のスクリプトパッケージ名は「HPConnectforMEM--device_group_name」です。プロアクティブな修復のスクリプトパッケージでは、検出スクリプトによってデバイスでBIOS更新が必要かどうかをBIOS更新ポリシーに基づいてチェックされます。BIOS更新が必要と判断された場合、修復スクリプトによってデバイスでBIOSの更新が実行されます。

図11.Microsoft Endpoint Managerのプロアクティブな修復に作成されたHP Connectポリシー 図11.Microsoft Endpoint Managerのプロアクティブな修復に作成されたHP Connectポリシー

 

プロアクティブな修復のスクリプトパッケージ「HPConnectforMEM--device_group_name」のプロパティの説明欄にHP Connect for MEMのポリシー名が追加されます。

図12.プロアクティブな修復のスクリプトパッケージの説明欄 図12.プロアクティブな修復のスクリプトパッケージの説明欄

 

HP Connect for MEMのポリシーの確認頻度(更新頻度)はプロアクティブな修復のスクリプトパッケージ「HPConnectforMEM--device_group_name」のプロパティの割り当てから確認できます。また、割り当ての横の編集ボタンから設定できます。以下の例では1時間ごとにポリシーが確認されます。

 

図13.プロアクティブな修復のスクリプトパッケージの割り当て欄 図13.プロアクティブな修復のスクリプトパッケージの割り当て欄

 

 

HP Connect for MEMポリシーによるBIOS更新の動作

HP Connect for MEMのBIOS更新ポリシーの検出スクリプトによってBIOSの更新が必要と判断された場合、デバイスでは次の手順に従いBIOS更新が実行されます。

  • BIOSUEFIカプセルbinファイルがダウンロードされます
  • ファイルは展開され、デバイスのUEFIシステムパーティションにホストされます
  • デバイスのUEFIBIOSは、保留中の更新を認識します
  • 次回の再起動時に、UEFIBIOSが更新を実行します

 

BIOS更新ポリシーはデバイスを自動的に再起動しません。したがって、更新は次にデバイスを再起動するまで行われません。BIOS更新ポリシーが適用されると、デバイスは次のようなトースターメッセージを表示します。

図14.再起動を要求するメッセージ 図14.再起動を要求するメッセージ

 

デバイスを再起動すると次のような画面が表示されてBIOSが更新されます。表示される画面はBIOSバージョンによっても異なります。BIOSの更新が完了するまでに何度か再起動が発生する場合がありますが、その間PCの電源を切らないようにしてください。

図15.HP BIOS更新中の画面 図15.HP BIOS更新中の画面
HP WOLF SECURITY

Emotetにお悩みの方
(無料試用キャンペーン)