Instrukcja obsługi
HP Sure Admin
© Copyright 2019 HP Development Company,
L.P.
Apple jest znakiem towarowym rmy Apple
Computer, Inc., zarejestrowanym w Stanach
Zjednoczonych i innych krajach.
Google Play jest znakiem towarowym rmy
Google LLC.
Poufne oprogramowanie komputerowe.
Posiadanie, użytkowanie i kopiowanie wymaga
uzyskania ważnej licencji od rmy HP. Zgodnie
z sekcjami FAR 12.211 i 12.212 licencja na
komercyjne oprogramowanie komputerowe,
dokumentację oprogramowania
komputerowego oraz dane techniczne dóbr
komercyjnych jest udzielona rządowi USA
w ramach standardowej licencji komercyjnej
dostawcy.
Informacje zawarte w niniejszym dokumencie
mogą zostać zmienione bez powiadomienia.
Jedyne warunki gwarancji na produkty i usługi
rmy HP są ujęte w odpowiednich informacjach
o gwarancji towarzyszących tym produktom
i usługom. Żadne z podanych tu informacji nie
powinny być uznawane za jakiekolwiek
gwarancje dodatkowe. Firma HP nie ponosi
odpowiedzialności za błędy techniczne lub
wydawnicze ani pominięcia, jakie mogą
wystąpić w tekście.
Wydanie pierwsze, grudzień 2019
Numer katalogowy dokumentu: L83995-241
Spis treści
1 Rozpoczęcie pracy ......................................................................................................................................... 1
Korzystanie z narzędzia HP Sure Admin ................................................................................................................ 1
Wyłączanie narzędzia HP Sure Admin ................................................................................................................... 1
2 Tworzenie kluczy i zarządzanie nimi ................................................................................................................ 2
Tworzenie i eksportowanie kluczy ........................................................................................................................ 2
3 Konguracja telefonu .................................................................................................................................... 5
Korzystanie z aplikacji na telefon HP Sure Admin w celu odblokowania systemu BIOS ...................................... 5
iii
iv
1 Rozpoczęcie pracy
HP Sure Admin pozwala administratorom IT bezpiecznie zarządzać poufnymi ustawieniami oprogramowania
układowego urządzeń przy użyciu certykatów i kryptograi z kluczem publicznym zamiast hasła — zarówno
w przypadku zdalnego, jak i lokalnego zarządzania ustawieniami.
Rozwiązanie HP Sure Admin składa się z następujących elementów:
● Komputer docelowy: platformy do zarządzania, które obsługują rozszerzony tryb uwierzytelniania
systemu BIOS.
● Narzędzie HP Manageability Integration Kit (MIK): wtyczka do programu System Center Conguration
Manager (SCCM) lub HP BIOS Conguration Utility (BCU) przeznaczona do zdalnego zarządzania
ustawieniami systemu BIOS.
● HP Sure Admin Local Access Authenticator: aplikacja na telefon, która zastępuje hasło, aby umożliwić
lokalny dostęp do konguracji systemu BIOS poprzez zeskanowanie kodu QR w celu uzyskania
jednorazowego kodu PIN.
Korzystanie z narzędzia HP Sure Admin
Proces korzystania z narzędzia HP Sure Admin jest następujący:
1. Otwórz wtyczkę HP Sure Admin wbudowaną we wtyczce narzędzia HP Manageability Integration Kit
(MIK) do programu System Conguration Manager (SCCM) lub Enhanced BIOS Conguration Utility (BCU).
2. Pobierz aplikację na telefon HP Sure Admin ze sklepu Google PlayTM lub App Store® rmy Apple.
3. Utwórz parę kluczy używaną przez urządzenie docelowe oraz aplikację na telefon HP Sure Admin w celu
uzyskania jednorazowego kodu PIN do odblokowania systemu BIOS.
Wyłączanie narzędzia HP Sure Admin
Poniżej przedstawiono opcje wyłączenia narzędzia HP Sure Admin:
● W ustawieniu F10 w systemie BIOS wybierz opcję Restore Security settings to Factory Defaults
(Przywróć fabryczne ustawienia zabezpieczeń).
UWAGA: Wymaga to zycznej obecności poprzez podanie kodu PIN uwierzytelniania za pomocą
aplikacji na telefon HP Sure Admin w celu uzyskania dostępu do ustawień F10.
● Użyj polecenia narzędzia BCU, aby zdalnie wywołać WMI dla opcji Restore Security settings to Factory
Defaults (Przywróć fabryczne ustawienia zabezpieczeń).
UWAGA: Więcej informacji na ten temat można znaleźć w instrukcji obsługi narzędzia HP BIOS
Conguration Utility (BCU).
● Na stronie MIK Security Provisioning wybierz opcję Deprovision (Anuluj przydzielanie).
Korzystanie z narzędzia HP Sure Admin 1
2 Tworzenie kluczy i zarządzanie nimi
Zakończ przydzielanie zabezpieczeń w MIK, zanim włączony zostanie rozszerzony tryb uwierzytelnienia
systemu BIOS (Enhanced BIOS Authentication Mode).
Aby można było utworzyć i wyeksportować klucze, należy włączyć rozszerzony tryb uwierzytelniania
systemu BIOS. Aby go włączyć:
▲ Otwórz wtyczkę HP Sure Admin i wybierz opcję Enhanced BIOS Authentication Mode (Rozszerzony tryb
uwierzytelniania systemu BIOS), aby utworzyć i wyeksportować klucze.
Tworzenie i eksportowanie kluczy
Wybierz jeden z następujących modeli, aby utworzyć pary kluczy dostępu lokalnego i włączyć aplikację na
telefon HP Sure Admin w celu uzyskania dostępu do tego klucza:
● Create and Export Key (Tworzenie i eksportowanie klucza) — Ta opcja umożliwia wyeksportowanie
klucza autoryzacji dostępu lokalnego, a następnie ręczne rozesłanie go do aplikacji na telefon HP Sure
Admin za pośrednictwem poczty e-mail lub innej metody.
UWAGA: Ta opcja nie wymaga, aby aplikacja na telefon HP Sure Admin miała dostęp do sieci w celu
uzyskania jednorazowego kodu PIN.
● Create and Export Key with Azure AD Revocation (Tworzenie i eksportowanie klucza za pomocą
odwołania usługi Azure AD) — Użyj tej opcji, aby połączyć klucz lokalnego dostępu z określoną grupą
Azure Active Directory i aby przed udostępnieniem kodu PIN lokalnego dostępu aplikacja na telefon HP
Sure Admin wymagała zarówno uwierzytelnienia użytkownika dla Azure Active Directory, jak
i potwierdzenia, że użytkownik jest członkiem określonej grupy. Ta metoda wymaga również ręcznej
dystrybucji klucza autoryzacji dostępu lokalnego do aplikacji na telefon za pośrednictwem poczty e-mail
lub innej metody.
UWAGA: Ta opcja wymaga, aby aplikacja na telefon HP Sure Admin miała dostęp do sieci w celu
uzyskania jednorazowego kodu PIN.
● Create and Send Key to Azure AD Group OneDrive (Tworzenie i wysyłanie klucza na dysk OneDrive
grupy Azure AD) — (Zalecane) Ta opcja pozwala uniknąć przechowywania klucza autoryzacji lokalnego
dostępu w telefonie. Po wybraniu tej opcji narzędzie MIK będzie przechowywać klucz autoryzacji
lokalnego dostępu w określonym folderze na dysku OneDrive, który to folder będzie dostępny tylko dla
autoryzowanej grupy. Za każdym razem, gdy wymagany będzie kod PIN, użytkownik aplikacji na telefon
HP Sure Admin będzie musiał uwierzytelnić się w Azure AD.
UWAGA: Ta opcja wymaga, aby aplikacja na telefon HP Sure Admin miała dostęp do sieci w celu
uzyskania jednorazowego kodu PIN.
Aby utworzyć i wyeksportować klucz:
1. Nazwij klucz w polu Key Name (Nazwa klucza).
2. Wprowadź hasło w polu Passphrase (Hasło).
UWAGA: Hasło jest używane do ochrony eksportowanego klucza i należy je podać, aby użytkownik
aplikacji HP Sure Admin mógł zaimportować ten klucz.
2 Rozdział 2 Tworzenie kluczy i zarządzanie nimi
3. Wybierz opcję Browse (Przeglądaj) i wybierz miejsce, do którego ma zostać wyeksportowana ścieżka
systemu.
4. Wybierz opcję Create Key (Utwórz klucz).
UWAGA: Twój klucz jest pomyślnie utworzony, gdy obok przycisku Create Key (Utwórz klucz) pojawi
się ikona z powiadomieniem Key successfully created (Pomyślnie utworzono klucz).
5. Wybierz opcję Next (Dalej). Na stronie podsumowania zostaną wyświetlone wprowadzone przez
użytkownika ustawienia narzędzia HP Sure Admin.
6. Wybierz opcję Save Policy (Zapisz zasadę).
UWAGA: Zasada zostaje zapisana, gdy pojawi się komunikat „Saved successfully” (Zapis zakończony
powodzeniem).
7. Przejdź do folderu, w którym został zapisany klucz, i przekaż go użytkownikowi aplikacji na telefon HP
Sure Admin przy użyciu metody, która jest dostępna dla tego użytkownika na tym urządzeniu, np. przez
wiadomość e-mail. Ten użytkownik będzie również potrzebował hasła w celu zaimportowania tego
klucza. Firma HP zaleca korzystanie z różnych mechanizmów dystrybucji klucza i hasła.
UWAGA: Wysyłając kod QR, prześlij go w oryginalnym rozmiarze. Aplikacja nie może prawidłowo
odczytać obrazów mniejszych niż 800 × 600.
Aby utworzyć i wyeksportować klucz za pomocą odwołania usługi Azure AD:
1. Nazwij klucz w polu Key Name (Nazwa klucza).
2. Wprowadź hasło w polu Passphrase (Hasło).
UWAGA: Hasło jest używane do ochrony eksportowanego klucza i należy je podać, aby użytkownik
aplikacji HP Sure Admin mógł zaimportować ten klucz.
3. Wybierz opcję Azure AD Login (Logowanie do Azure AD) i zaloguj się.
4. Wybierz nazwę grupy z listy rozwijanej Azure AD Group Name (Nazwa grupy Azure AD).
UWAGA: Aby uzyskać dostęp do klucza, musisz być członkiem grupy.
5. Wybierz opcję Browse (Przeglądaj) i wybierz miejsce, do którego ma zostać wyeksportowana ścieżka
systemu.
6. Wybierz opcję Create Key (Utwórz klucz).
UWAGA: Twój klucz jest pomyślnie utworzony, gdy obok przycisku Create Key (Utwórz klucz) pojawi
się ikona z powiadomieniem „Key successfully created” (Pomyślnie utworzono klucz).
7. Wybierz opcję Next (Dalej). Na stronie podsumowania zostaną wyświetlone wprowadzone przez
użytkownika ustawienia narzędzia HP Sure Admin.
8. Wybierz opcję Save Policy (Zapisz zasadę).
UWAGA: Zasada jest zapisana, gdy pojawi się komunikat Saved successfully (Zapis zakończony
powodzeniem).
9. Przejdź do folderu, w którym został zapisany klucz, i przekaż go użytkownikowi aplikacji na telefon HP
Sure Admin przy użyciu mechanizmu, który jest dostępny dla tego użytkownika na tym urządzeniu, np.
przez wiadomość e-mail. Ten użytkownik będzie również potrzebował hasła w celu zaimportowania
tego klucza. Zaleca się używanie różnych mechanizmów dystrybucji klucza i hasła.
Tworzenie i eksportowanie kluczy 3
UWAGA: Wysyłając kod QR, prześlij go w oryginalnym rozmiarze. Aplikacja nie może prawidłowo
odczytać obrazów mniejszych niż 800 × 600.
Aby utworzyć i wysłać klucz do grupy Azure AD na dysku OneDrive:
1. Nazwij klucz w polu Key Name (Nazwa klucza).
2. Wprowadź hasło w polu Passphrase (Hasło).
3. Wybierz opcję Azure AD Login (Logowanie do Azure AD) i zaloguj się.
4. Wybierz nazwę grupy z listy rozwijanej Azure AD Group Name (Nazwa grupy Azure AD).
UWAGA: Aby uzyskać dostęp do klucza, musisz być członkiem grupy.
5. W polu OneDrive wprowadź nazwę folderu na dysku OneDrive, w którym to folderze ma być zapisany
klucz.
6. Wybierz opcję Browse (Przeglądaj) i wybierz miejsce, do którego ma zostać wyeksportowana ścieżka
systemu.
7. Wybierz opcję Create Key (Utwórz klucz).
UWAGA: Klucz jest pomyślnie dodany do określonego folderu na dysku OneDrive i wyeksportowany do
określonego folderu lokalnego, gdy obok przycisku Create Key (Utwórz klucz) wyświetlany jest
komunikat Key successfully created (Tworzenie klucza zakończone powodzeniem).
8. Wybierz opcję Next (Dalej). Na stronie podsumowania zostaną wyświetlone wprowadzone przez
użytkownika ustawienia narzędzia HP Sure Admin.
9. Wybierz opcję Save Policy (Zapisz zasadę).
UWAGA: Zasada jest zapisana, gdy pojawi się komunikat Saved successfully (Zapis zakończony
powodzeniem).
W tym przypadku nie ma potrzeby wysyłania jakichkolwiek danych do aplikacji na telefon HP Sure Admin
w celu jej wstępnego przydzielenia. Komputery docelowe uzyskują możliwość wskazania lokalizacji na
dysku OneDrive ujętej w kodzie QR. Aplikacja na telefon HP Sure Admin korzysta z tego wskaźnika, aby
uzyskać dostęp do lokalizacji na dysku OneDrive, jeśli użytkownik jest członkiem autoryzowanej grupy
i pomyślnie się uwierzytelni.
4 Rozdział 2 Tworzenie kluczy i zarządzanie nimi
3 Konguracja telefonu
Pobierz aplikację na telefon HP Sure Admin ze sklepu Google Play lub App Store.
● W przypadku telefonów z systemem Android pobierz narzędzie HP Sure Admin ze sklepu Google Play.
● W przypadku telefonów z systemem iOS pobierz narzędzie HP Sure Admin ze sklepu App Store.
Korzystanie z aplikacji na telefon HP Sure Admin w celu odblokowania systemu BIOS
Aplikacja mobilna HP Sure Admin zastępuje użycie hasła systemu BIOS do lokalnego dostępu do konguracji
systemu BIOS poprzez podanie jednorazowego kodu PIN uzyskanego po zeskanowaniu kodu QR
wyświetlanego przez urządzenie docelowe.
Aby zarejestrować klucze w aplikacji na telefon HP Sure Admin:
Wykonaj poniższe czynności, aby zapisać klucz lokalnie w telefonie w sytuacji, w której klucz jest wysyłany do
użytkownika aplikacji na telefon. W poniższym przykładzie klucz jest wysłany pocztą e-mail do użytkownika
aplikacji na telefon HP Sure Admin, a użytkownik otworzy wiadomość e-mail w telefonie.
1. Otwórz wiadomość e-mail zawierającą ten klucz.
2. Gdy zostanie wyświetlona strona Enrollment (Rejestracja), wprowadź hasło w polu Enter passphrase
(Wprowadź hasło) i swój adres e-mail w polu Enter your email address (Wprowadź swój adres e-mail),
aby odszyfrować klucz i dodać go do aplikacji HP Sure Admin.
UWAGA: Ten krok zapisuje klucz na urządzeniu przenośnym i kończy rejestrację. W tym momencie
możesz skorzystać z aplikacji na telefon HP Sure Admin, aby uzyskać dostęp do dowolnego urządzenia,
do którego ustanowiono dostęp poprzez ten klucz. Adres e-mail jest wymagany tylko wtedy, gdy
wymaga tego administrator.
Odblokowujący kod PIN jest wyświetlany na stronie Your PIN (Twój kod PIN).
3. Wprowadź kod PIN w polu Enter Response Code (Wprowadź kod odpowiedzi) systemu BIOS.
Aby uzyskać dostęp do konguracji systemu BIOS na komputerze docelowym po rejestracji:
1. Przejdź do konguracji systemu BIOS przy rozruchu na komputerze docelowym.
2. Wybierz opcję Scan QR Code (Zeskanuj kod QR) w aplikacji telefonu i zeskanuj kod QR na komputerze
docelowym.
3. Jeśli zostanie wyświetlony monit o uwierzytelnienie użytkownika, należy podać dane uwierzytelniające.
4. Odblokowujący numer PIN zostanie wyświetlony na stronie Your PIN (Twój kod PIN).
5. Wprowadź kod PIN w polu Enter Response Code (Wprowadź kod odpowiedzi) systemu BIOS na
komputerze docelowym.
Aby użyć programu HP Sure Admin w celu odblokowania systemu BIOS za pomocą grupy Azure AD na dysku
OneDrive:
1. Wybierz opcję Scan QR Code (Zeskanuj kod QR), a następnie zeskanuj kod QR systemu BIOS.
Korzystanie z aplikacji na telefon HP Sure Admin w celu odblokowania systemu BIOS 5
UWAGA: Aplikacja HP Sure Admin wyświetla stronę logowania Azure AD.
2. Zaloguj się do konta Azure.
3. Wprowadź kod PIN w polu Enter Response Code (Wprowadź kod odpowiedzi) systemu BIOS.
UWAGA: W tym przypadku aplikacja HP Sure Admin nie zapisuje klucza lokalnie. Aplikacja na telefon
HP Sure Admin musi mieć dostęp do sieci, a użytkownik musi uwierzytelnić się za każdym razem, gdy
potrzebny jest jednorazowy kod PIN.
Tabela 3-1 Kody błędów
Kod błędu Opis
100
101
102
103
104
105
200
201
203
204
205
206
300
301
Błąd ogólny.
Nie można odczytać ciągu json kodu QR. Ciąg nie jest prawidłowym plikiem json lub
dane są nieprawidłowe.
Zeskanowany obraz kodu QR jest nieprawidłowy. Nie można odczytać pliku obrazu
kodu QR.
Zeskanowany obraz kodu QR jest nieprawidłowy. Plik obrazu nie ma ładunku json.
Nie można odczytać ciągu json kodu QR. Ciąg nie jest prawidłowym ciągiem json lub
dane w obrazie QR są nieprawidłowe.
Skrót klucza publicznego w ciągu json kodu QR nie jest zgodny ze skrótem klucza
publicznego pakietu rejestracji (dane KeyID).
Błąd ogólny.
Zalogowany użytkownik nie należy do żadnej grupy AD w Twojej organizacji.
Zalogowany użytkownik nie należy do przypisanej grupy AD dla tego klucza.
Plik klucza OneTime nie istnieje w folderze grupy AD na dysku OneDrive.
Plik klucza OneTime w folderze grupy AD na dysku OneDrive jest nieprawidłowy.
Plik klucza OneTime istnieje, ale nie można odczytać ładunku pliku.
Błąd ogólny.
Adres e-mail nie jest zgodny z nazwą domeny w obrazie kodu QR.
302
303
304
305
6 Rozdział 3 Konguracja telefonu
Wystąpił błąd podczas uzyskiwania tokena dostępu z Azure AD. Użytkownik nie może
zalogować się do Azure AD Twojej organizacji lub aplikacja nie ma wymaganych
uprawnień do nawiązywania połączeń z usługą AD Azure Twojej organizacji.
Aplikacja BEAM nie może uzyskać informacji o prolu użytkownika z usługi Azure AD
w Twojej organizacji.
Adres e-mail nie jest zgodny z główną nazwą zalogowanego użytkownika.
Zalogowany użytkownik nie należy do przypisanej grupy Azure AD dla tego klucza.
Loading...