掲載日:2021/11/29

実践サイバーハイジーン:Microsoft Endpoint Manager(Intune)でHP Image Assistant(HPIA)を展開する

実践サイバーハイジーン

サイバー攻撃の多くは脆弱性を悪用して行われます。パッチや修正プログラムを適用して脆弱性を解消することは、サイバーセキュリティの基本ですが、リモートワークやハイブリッドワークを前提とした分散されたワークプレイスにおいて、インターネット経由してデバイスに対しOS、ドライバー、BIOSの修正プログラムの適用、各種設定を行うことは容易ではありません。“実践サイバーハイジーン”シリーズでは、このような環境下でHPのビジネスPCに対して効果的にパッチや修正プログラムを適用するノウハウを解説します。

 

はじめに

今回は、Microsoft Endpoint Manager(Intune)を使用してHP Image Assistant(HPIA)を展開する方法を説明します。HPIAはITシステム管理者に対して、Windows PCのOSイメージの品質とセキュリティの向上を提供するアプリケーションです。PCでHPIAを実行すると、そのPCのOSイメージ(BIOS、ドライバー、HPソフトウェアなど)をHPの工場イメージの良い構成と比較し、推奨するドライバーやソフトウェアをHP.COMからダウンロードしてインストールすることができます。また、それを単一のコマンドラインで実行することができるため、Microsoft Endpoint Manager(Intune)などを利用してリモートから実行する事も可能です。

 

前提条件

Microsoft Endpoint Manager(Intune)でWin32アプリの管理を使用するため、以下を満たす必要があります。

 

  • Windows 10バージョン1607以降(Enterprise、ProまたはEducationエディション)を使用している。
  • デバイスはAzure ADまたはハイブリッドAzure AD参加し、自動登録でIntuneがセットアップされている。

 

注記:自動登録にはAzure Active Directory Premium P2ライセンスが必要です。

図1.Intuneのデバイスの登録画面 図1.Intuneのデバイスの登録画面

 

 

事前準備

作業フォルダの作成

初めに以下のようなレイアウトの作業フォルダを作成します。フォルダの名前や場所は完全に同じでなくても構いません。

•C:\prep\bin\

•c:\prep\hpia\

•c:\prep\hpia\content\

•c:\prep\hpia\output\

 

HP Client Management Script Libraryインストーラのダウンロード

HPIAのダウンロードサイトからHPIAの最新バージョンのSoftPaq( spXXXXXX)をクリックしてダウンロードします。ファイル名「hp-hpia-X.X.X.exe」が使用しているブラウザで選択したダウンロードフォルダに保存されます。

※以下の手順ではsp121443(hp-hpia-5.1.2.exe)をダウンロードした場合想定となります。SP番号とファイル名は実際のバージョンに合わせて適宜変更してください。

 

•ダウンロードしたhp-hpia-5.1.2.exe をc:\prep\hpia\content\フォルダにコピーします。

 

Microsoft Win32 Content Prep Toolのダウンロード

• Microsoft Github repositoryからMicrosoft Win32 Content Prep Tool(IntuneWinAppUtil.exe)をc:\prep\bin\フォルダにダウンロードします。直リンクはこちらです。

https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/raw/master/IntuneWinAppUtil.exe

 

.intunewinファイルの作成

•コマンドプロンプトを起動してc:\prep\hpiaフォルダに移動し、以下のコマンドを実行します。

..\bin\IntuneWinAppUtil -c .\content\ -s hp-hpia-5.1.2.exe -o .\output\

 

•コマンドが正常に終了すると以下のメッセージが表示され、.\output\フォルダにhp-hpia-5.1.2.intunewin ファイルが作成されています。

図2.Intunewimファイルの作成画面 図2.Intunewimファイルの作成画面

 

 

Intuneの設定

IntuneにHP Image Assistantの展開を設定します

Microsoft Endpoint Manager admin center portalにサインインします。

•「アプリ」→「すべてのアプリ」を開き、「追加」をクリックします。

図3.Intuneのアプリの追加画面 図3.Intuneのアプリの追加画面

 

アプリケーションの種類の選択で、アプリの種類に「Windowsアプリ(Win32)」を選択します。

図4.Intuneのアプリケーションの種類の選択画面 図4.Intuneのアプリケーションの種類の選択画面

 

•アプリの追加のアプリ情報タブで「アプリパッケージファイルの選択」をクリックし、 hp-hpia-5.1.2.intunewinを選択します。

図5.Intuneのアプリの追加画面 図5.Intuneのアプリの追加画面

 

ファイルを選択すると追加の設定項目が表示されます。

*が付いている項目を入力します。それ以外は任意で情報を入力します。

「次へ」をクリックします。

 

図6.Intuneのアプリの追加画面(アプリ情報タブ) 図6.Intuneのアプリの追加画面(アプリ情報タブ)

 

プログラムタブで以下の値を入力します。

  • インストール コマンド

hp-hpia-1.5.2.exe /S

※1.5.2の部分は実際にダウンロードしたHPIAのバージョンを入力してください。

  • アンインストールコマンド

rd c:\SWSetup\SP121443 /S /Q

※SP121443の部分は実際にダウンロードしたHPIAのSP番号を入力してください。

  • インストールの処理に「システム」を選択します。
  • デバイスの再起動に「何もしない」を選択します。
  • リターンコードは0に「成功」を選択し、1~8にすべて「失敗」を選択します。
  • 「次へ」をクリックします。

 

図7.Intuneのアプリの追加画面(プログラムタブ) 図7.Intuneのアプリの追加画面(プログラムタブ)

 

必要条件タブで、以下の値を選択します。

  • オペレーティング システムのアーキテクチャに「64ビット」を選択します。
  • 最低限のオペレーティング システムに「Windows 10 1607」を選択します。

残りは空欄のまま「次へ」をクリックします。

 

図8.Intuneのアプリの追加画面(必要条件タブ) 図8.Intuneのアプリの追加画面(必要条件タブ)

 

検出規則タブで規則の形式に「検出規則を手動で構成する」を選択し、「追加」をクリックします。

検出規則で規則の種類に「ファイル」を選択し、次のように設定し、「OK」をクリックします。

  • パス:C:\SWSetup\SP121443

※SP121443の部分は実際にダウンロードしたHPIAのSP番号を入力してください。

  • ファイルまたはフォルダー:HPImageAssistant.exe
  • 検出方法:ファイルまたはフォルダーが存在する
  • 64ビットクライアント上で32ビットアプリに関連付ける:はい

「次へ」をクリックします。

 

図9.Intuneのアプリの追加画面(検出規則タブ) 図9.Intuneのアプリの追加画面(検出規則タブ)

 

  • 依存関係タブではそのまま「次へ」をクリックします。
  • 置き換え(プレビュー)タブではそのまま「次へ」をクリックします。
  • 割り当てタブでは、Requiredにこのアプリを割り当てるデバイスグループ(またはすべてのデバイス)を追加し、「次へ」をクリックします。
  • 確認および作成タブでは設定した内容を確認し、「作成」をクリックします。

 

アップロードが完了するとクライアントアプリ「HP Image Assistant 5.1.2」が作成されます。

これでこのアプリを割り当てたデバイスグループにHP Image Assistantが展開されます。

 

図10.Intuneに追加されたアプリ「HP Image Assistant 5.1.2」 図10.Intuneに追加されたアプリ「HP Image Assistant 5.1.2」

 

Intuneのすべてのアプリ画面で、「HP Image Assistant 5.1.2」をクリックするとアプリの概要とインストールの概要が確認できます。

※インストール結果が反映されるまで時間がかかります。

 

図11.HP Image Assistant 5.1.2アプリの概要 図11.HP Image Assistant 5.1.2アプリの概要

 

「デバイスのインストール状態」をクリックすると、デバイス名を含むインストール状態の詳細が確認できます。

 

図12.デバイスのインストール状態 図12.デバイスのインストール状態