vSphere 7.0 Update 2 以降で、ESXi ホストは TPM を使用して、プラットフォーム構成レジスタ (PCR) ポリシーに対してホストの構成をシールします。PCR ポリシーは、UEFI セキュア ブートなどの設定を強制するように構成できます。

TPM は、プラットフォーム構成レジスタ (PCR) 測定値を使用して、機密データへの不正アクセスを制限するポリシーを実装できます。TPM を使用する ESXi ホストを vSphere 7.0 Update 2 以降にインストールまたはアップグレードする場合、TPM はセキュア ブート設定を組み込んだポリシーを使用して機密情報をシールします。このポリシーは、データが TPM で最初にシーリングされた時にセキュア ブートが有効になっていた場合、後続のブートでデータをシーリングしようとするときにセキュアブートを有効にする必要があることを確認します。

セキュア ブートは、UEFI ファームウェア標準の一部です。UEFI セキュア ブートが有効な場合、オペレーティング システムのブートローダーに有効なデジタル署名がない限り、、ホストに UEFI ドライバまたはアプリケーションはロードされません。

UEFI セキュア ブートの強制適用を無効または有効にできます。セキュアな ESXi 構成のセキュア ブートの適用の有効化/無効化を参照してください。

注: vSphere 7.0 Update 2 以降をインストールまたは vSphere 7.0 Update 2 以降にアップグレードするときに TPM を有効にしない場合は、後で次のコマンドを使用して有効にできます。
esxcli system settings encryption set --mode=TPM
TPM を有効化すると、設定を取り消すことはできません。
TPM がホストで有効な場合でも、一部の TPM で esxcli system settings encryption set コマンドが失敗します。
  • vSphere 7.0 Update 2 の場合:NationZ (NTZ)、Infineon Technologies (IFX)、および Nuvoton Technologies Corporation (NTC) の特定の新しいモデル(NPCT75x など)からの TPM
  • vSphere 7.0 Update 3 の場合:NationZ (NTZ) からの TPM

vSphere 7.0 Update 2 以降の最初の起動中に TPM を使用できない場合、このインストールまたはアップグレードは続行され、モードはデフォルトで「なし」(--mode=NONE) になります。その結果、TPM がアクティブ化されていない場合と同様に動作します。

TPM は、シーリング ポリシーの execInstalledOnly 起動オプションの設定を適用することもできます。execInstalledOnly の強制適用は、VMkernel が VIB の一部として適切にパッケージ化され署名されたバイナリのみを実行する高度な ESXi 起動オプションです。execInstalledOnly 起動オプションは、セキュア ブート オプションに依存します。シーリング ポリシーで execInstalledOnly 起動オプションを強制適用する前に、セキュア ブートの強制適用を有効にする必要があります。セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化を参照してください。