UEFI セキュア ブートは、PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。
UEFI セキュア ブートをサポートするオペレーティング システムでは、ブートローダー、オペレーティング システム カーネル、オペレーティング システムのドライバを含むブート ソフトウェアのそれぞれに署名が付与されています。仮想マシンのデフォルト構成には、いくつかのコード署名証明書が含まれます。
- Windows のブートにのみ使用される Microsoft 証明書。
- Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された Microsoft 証明書。
- 仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。
仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。
ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。
UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 が提供されたら、仮想マシンをアップグレードできます。
Linux 仮想マシンのセキュア ブート モードでは、VMware Host-Guest Filesystem がサポートされません。VMware Tools から VMware Host-Guest Filesystem を削除してからセキュア ブートを有効にしてください。
注: 仮想マシンのセキュア ブートを有効にすると、ロードできるのは、その仮想マシンには署名されたドライバのみになります。
前提条件
セキュア ブートは、すべての前提条件を満たしている場合にのみ有効にできます。前提条件を満たしていない場合、
vSphere Web Client にチェック ボックスは表示されません。
- 仮想マシンのオペレーティング システムとファームウェアが UEFI ブートをサポートしていることを確認します。
- EFI ファームウェア
- 仮想ハードウェア バージョン 13 以降。
- UEFI セキュア ブートをサポートするオペレーティング システム。
注: BIOS ブートを使用する仮想マシンを UEFI ブートを使用する仮想マシンにアップグレードすることはできません。すでに UEFI ブートを使用している仮想マシンを UEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。 - 仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスは淡色表示されます。
仮想マシンの UEFI セキュア ブートを有効または無効にするには、VirtualMachine.Config.Settings 権限が必要です。
手順
- vSphere Web Client にログインして仮想マシンを選択します。
- [設定の編集] ダイアログで、[起動オプション] を開き、ファームウェアが [EFI] に設定されていることを確認します。
- [セキュア ブートを有効にする] チェック ボックスをクリックし、[OK] をクリックします。
- 後でセキュア ブートを無効にする場合は、このチェック ボックスを再度クリックします。
結果
仮想マシンの起動時には、有効な署名があるコンポーネントのみが許可されます。署名がないコンポーネントまたは署名が無効なコンポーネントがあると、起動プロセスはエラーで停止します。
