UEFI セキュア ブートは、PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。

このタスクについて

UEFI セキュア ブートをサポートするオペレーティング システムでは、ブートローダー、オペレーティング システム カーネル、オペレーティング システムのドライバを含むブート ソフトウェアのそれぞれに署名が付与されています。仮想マシンのデフォルト構成には、いくつかのコード署名証明書が含まれます。

  • Windows のブートにのみ使用される Microsoft 証明書。

  • Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された Microsoft 証明書。

  • 仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。

仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。

ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。

UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 が提供されたら、仮想マシンをアップグレードできます。

Linux 仮想マシンのセキュア ブート モードでは、VMware Host-Guest Filesystem がサポートされません。VMware Tools から VMware Host-Guest Filesystem を削除してからセキュア ブートを有効にしてください。

注:

仮想マシンのセキュア ブートを有効にすると、ロードできるのは、その仮想マシンには署名されたドライバのみになります。

前提条件

セキュア ブートは、すべての前提条件を満たしている場合にのみ有効にできます。前提条件を満たしていない場合、vSphere Client にチェック ボックスは表示されません。

  • 仮想マシンのオペレーティング システムとファームウェアが UEFI ブートをサポートしていることを確認します。

    • EFI ファームウェア

    • 仮想ハードウェア バージョン 13 以降。

    • UEFI セキュア ブートをサポートするオペレーティング システム。

    注:

    BIOS ブートを使用する仮想マシンを UEFI ブートを使用する仮想マシンにアップグレードすることはできません。すでに UEFI ブートを使用している仮想マシンを UEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。

  • 仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスは淡色表示されます。

手順

  1. インベントリで仮想マシンを右クリックし、設定の編集 を選択します。
  2. 仮想マシン オプション タブをクリックし、起動オプション を展開します。
  3. 起動オプション で、ファームウェアが EFI に設定されていることを確認します。
  4. タスクを選択します。セキュア ブートを有効にする場合は、セキュア ブート チェック ボックスを選択し、OK をクリックします。
    • セキュア ブートを有効にする場合は、セキュア ブート チェック ボックスを選択し、

    • セキュア ブートを無効にするには、セキュア ブート チェック ボックスをオフにします。

タスクの結果

仮想マシンの起動時には、有効な署名があるコンポーネントのみが許可されます。署名がないコンポーネントまたは署名が無効なコンポーネントがあると、起動プロセスはエラーで停止します。