UEFI セキュア ブートは、PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。
- Windows のブートにのみ使用される Microsoft 証明書。
- Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された Microsoft 証明書。
- 仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。
仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。
ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。
UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 をインストールしたら、仮想マシンをアップグレードできます。
Linux 仮想マシンのセキュア ブート モードでは、VMware のホスト/ゲスト ファイルシステムがサポートされません。VMware Tools から VMware のホスト/ゲスト ファイルシステムを削除してからセキュア ブートを有効にしてください。
このタスクでは、vSphere Client を使用して仮想マシンのセキュア ブートを有効にする方法と無効にする方法について説明します。スクリプトを記述して、マシンの設定の管理に使用することもできます。たとえば、次の PowerCLI コードを使用することで仮想マシンの BIOS から EFI へのファームウェアの変更を自動化できます。
$vm = Get-VM TestVM $spec = New-Object VMware.Vim.VirtualMachineConfigSpec $spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi $vm.ExtensionData.ReconfigVM($spec)詳細については、『 VMware PowerCLI User's Guide』を参照してください。
前提条件
- 仮想マシンのオペレーティング システムとファームウェアが UEFI ブートをサポートしていることを確認します。
- EFI ファームウェア
- 仮想ハードウェア バージョン 13 以降。
- UEFI セキュア ブートをサポートするオペレーティング システム。
注: 一部のゲスト OS では、ゲスト OS を変更せずに、BIOS ブートから UEFI ブートへの変更を行うことはサポートされません。UEFI ブートへの変更前に、ゲスト OS のドキュメントを参照してください。すでに UEFI ブートを使用している仮想マシンを UEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。 - 仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスはグレーアウトされます。
手順
- vSphere Client インベントリで、仮想マシンを参照します。
- 仮想マシンを右クリックし、[設定の編集] を選択します。
- [仮想マシン オプション] タブをクリックし、[起動オプション] を展開します。
- [起動オプション] で、ファームウェアが [EFI] に設定されていることを確認します。
- タスクを選択します。
- セキュア ブートを有効にする場合は、[セキュア ブート] チェック ボックスを選択し、
- セキュア ブートを無効にするには、[セキュア ブート] チェック ボックスを選択解除します。
- [OK] をクリックします。
結果
仮想マシンの起動時には、有効な署名があるコンポーネントのみが許可されます。署名がないコンポーネントまたは署名が無効なコンポーネントがあると、起動プロセスはエラーで停止します。