UEFI セキュア ブートは、PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。

このタスクについて

UEFI セキュア ブートをサポートするオペレーティング システムでは、ブートローダー、オペレーティング システム カーネル、オペレーティング システムのドライバを含むブート ソフトウェアのそれぞれに署名が付与されています。仮想マシンのデフォルト構成には、いくつかのコード署名証明書が含まれます。

  • Windows のブートにのみ使用される Microsoft 証明書。

  • Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された Microsoft 証明書。

  • 仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。

仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。

ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。

UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 が提供されたら、仮想マシンをアップグレードできます。

Linux 仮想マシンのセキュア ブート モードでは、VMware Host-Guest Filesystem がサポートされません。VMware Tools から VMware Host-Guest Filesystem を削除してからセキュア ブートを有効にしてください。

注:

仮想マシンのセキュア ブートを有効にすると、ロードできるのは、その仮想マシンには署名されたドライバのみになります。

前提条件

セキュア ブートは、すべての前提条件を満たしている場合にのみ有効にできます。前提条件を満たしていない場合、vSphere Web Client にチェック ボックスは表示されません。

  • 仮想マシンのオペレーティング システムとファームウェアが UEFI ブートをサポートしていることを確認します。

    • EFI ファームウェア

    • 仮想ハードウェア バージョン 13 以降。

    • UEFI セキュア ブートをサポートするオペレーティング システム。

    注:

    BIOS ブートを使用する仮想マシンを UEFI ブートを使用する仮想マシンにアップグレードすることはできません。すでに UEFI ブートを使用している仮想マシンを UEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。

  • 仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスは淡色表示されます。

仮想マシンの UEFI セキュア ブートを有効または無効にするには、VirtualMachine.Config.Settings 権限が必要です。

手順

  1. vSphere Web Client にログインして仮想マシンを選択します。
  2. 設定の編集 ダイアログで、起動オプション を開き、ファームウェアが EFI に設定されていることを確認します。
  3. セキュア ブートを有効にする チェック ボックスをクリックし、OK をクリックします。
  4. 後でセキュア ブートを無効にする場合は、このチェック ボックスを再度クリックします。

タスクの結果

仮想マシンの起動時には、有効な署名があるコンポーネントのみが許可されます。署名がないコンポーネントまたは署名が無効なコンポーネントがあると、起動プロセスはエラーで停止します。