用户指南 HP Sure Admin
© Copyright 2019 HP Development Company, L.P. Apple 是 Apple Computer, Inc. 在美国和 其他国家/地区的注册商标。 Google Play 是 Google LLC 公司的商标。 保密的计算机软件。 需要有 HP 颁发的 有效许可证才能拥有、使用或复制。 按 照 FAR 12.211 和 12.
目录 1 使用入门 ...................................................................................................................................................... 1 使用 HP Sure Admin ............................................................................................................................................... 1 禁用 HP Sure Admin ............................................................................................................................................... 1 2 创建和管理密钥 .............
iv
1 使用入门 HP Sure Admin 使 IT 管理员能够使用证书和公共密钥加密(而非密码)进行远程和本地设置管理,以安 全地管理敏感的设备固件设置。 HP Sure Admin 由以下部分组成: ● 目标 PC:支持增强型 BIOS 身份验证模式的管理平台。 ● HP Manageability Integration Kit (MIK):System Center Configuration Manager (SCCM) 或 HP BIOS Configuration Utility (BCU) 的插件,可用于远程管理 BIOS 设置。 ● HP Sure Admin Local Access Authenticator:一款手机应用程序,可通过扫描二维码获取一次性 PIN 来代替密码,以启用对 BIOS 设置的本地访问。 使用 HP Sure Admin HP Sure Admin 的使用过程如下所示: 1.
2 创建和管理密钥 在启用增强型 BIOS 身份验证模式之前,先在 MIK 中完成安全性配置。 要创建和导出密钥,必须启用增强型 BIOS 身份验证模式。要启用 BIOS 身份验证模式,请执行以下操 作: ▲ 打开 HP Sure Admin 插件,然后选择增强型 BIOS 身份验证模式以创建和导出密钥。 创建和导出密钥 选择下列模型之一创建本地访问密钥对,然后启用 HP Sure Admin 手机应用程序以访问密钥: ● 创建和导出密钥 —使用此选项导出本地访问授权密钥,然后通过电子邮件或其他途径将密钥手动 分发到 HP Sure Admin 手机应用程序。 注:此选项无需 HP Sure Admin 手机应用程序访问网络即可获取一次性 PIN。 ● 使用 Azure AD 吊销创建和导出密钥 —使用此选项不但可将本地访问密钥连接到指定的 Azure Active Directory 组,还需要使用 HP Sure Admin 手机应用程序向 Azure Active Directory 验证用户身份,并 在提供本地访问 PIN 之前确认用户为指定组成员。此方法还需要通过电子邮件或其他途径,将本
注:当显示“保存成功”的消息时,即表示策略已保存。 7. 导航至保存密钥的文件夹,使用 HP Sure Admin 手机应用程序用户在该设备上可以使用的方法(如 电子邮件),将密钥分发给该用户。此用户还需要密码才能导入密钥。HP 建议针对密钥和密码使 用不同的分发机制。 注:发送二维码时,请以其原始尺寸发送。如果图像尺寸小于 800 × 600,应用程序将无法正确读 取图像。 要使用 Azure AD 吊销创建和导出密钥,请执行以下操作: 1. 在密钥名称输入框中为密钥命名。 2. 在密码输入框中输入密码。 注:此密码可用于保护导出的密钥,HP Sure Admin 手机应用程序用户必须提供该密码才能导入密 钥。 3. 选择 Azure AD 登录,然后登录。 4. 从 Azure AD 组名称下拉框中选择您的组名。 注:您必须是组成员才能访问密钥。 5. 选择浏览,然后选择系统中的导出路径。 6. 选择创建密钥。 注:当创建密钥按钮旁边显示通知图标和“密钥创建成功”的消息时,即表示您的密钥创建成 功。 7.
注:当创建密钥按钮旁边显示通知图标和密钥创建成功的消息时,即表示您的密钥已成功添加到 指定 OneDrive 文件夹,并已导出到指定本地文件夹。 8. 选择下一步。摘要页面会显示您输入的 HP Sure Admin 设置。 9.
3 手机设置 从 Google Play 或 Apple Store 下载 HP Sure Admin 手机应用程序。 ● 从 Google 商店下载适用于 Android 手机的 HP Sure Admin。 ● 从 Apple Store 下载适用于 iOS 手机的 HP Sure Admin。 使用 HP Sure Admin 手机应用程序解锁 BIOS HP Sure Admin 手机应用程序可通过扫描目标机器所示的二维码获得一次性 PIN,并使用该一次性 PIN 代 替 BIOS 密码,方便您在本地访问 BIOS 设置。 要在 HP Sure Admin 手机应用程序中注册密钥,请执行以下操作: 对于发送给手机应用程序用户的密钥,请使用以下步骤将密钥保存在手机本地。在以下示例中,密钥 通过电子邮件发送给 HP Sure Admin 手机应用程序用户,而且用户在手机上打开电子邮件。 1. 打开包含密钥的电子邮件。 2.
表 3-1 错误代码 6 错误代码 说明 100 常规错误。 101 无法读取二维码 json。字符串并非有效 json,或数据无效。 102 扫描的二维码图像无效。无法读取二维码图像文件。 103 扫描的二维码图像无效。图像文件没有 json 负载。 104 无法读取二维码 json。字符串并非有效 json,或二维码图像中的数据无 效。 105 二维码 json 中的公共密钥哈希与注册程序包的公共密钥哈希(KeyID 数 据)不匹配。 200 常规错误。 201 已登录的用户不属于贵组织中的任何 AD 组。 203 已登录的用户不属于为此密钥分配的 AD 组。 204 AD 组的 OneDrive 文件夹中不存在该一次性密钥文件。 205 AD 组的 OneDrive 文件夹中的一次性密钥文件无效。 206 一次性密钥文件已存在,但无法读取文件负载。 300 常规错误。 301 电子邮件地址与二维码图像中的域名不匹配。 302 从 Azure AD 获取访问令牌时出错。用户无法登录到贵组织的 Azure AD, 或该应用程序没有连接贵组织
