セキュアな ESXi 構成のセキュアブートの適用の有効化/無効化

UEFI セキュアブートの適用を有効にするか、以前に有効にした UEFI セキュアブートの適用を無効にするかを選択できます。ESXi ホストの TPM の設定を変更するには、ESXCLI を使用する必要があります。

このタスクは、TPM を備えた ESXi ホストにのみ適用されます。UEFI セキュアブートは、ファームウェアによって起動されたソフトウェアが信頼できることを保証するためのファームウェア設定です。UEFI セキュアブートの有効化は、TPM を使用してすべてのブートで実行できます。

前提条件

ESXCLI コマンドセットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
ESXCLI スタンドアローンバージョンまたは PowerCLI を使用するために必要な権限：ホスト.構成.設定

手順

ESXi ホストの現在の設定を一覧表示します。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
セキュアブートの適用が有効になっている場合、[セキュアブートが必要] には「true」と表示されます。セキュアブートの適用が無効になっている場合、[セキュアブートが必要] には「false」と表示されます。
モードが NONE と表示される場合は、ホストのファームウェアで TPM を有効にし、次のコマンドを実行してモードを設定する必要があります。
```
esxcli system settings encryption set --mode=TPM
```

セキュアブートの適用を有効または無効にする

オプション	説明
有効化	ホストを正常にシャットダウンします。たとえば、vSphere Client の ESXi ホストを右クリックし、[電源] > [シャットダウン] を選択します。ホストのファームウェアでセキュアブートを有効にします。特定のベンダーのハードウェアドキュメントを参照してください。ホストを再起動します。次の ESXCLI コマンドを実行します。 esxcli system settings encryption set --require-secure-boot=T 変更を確認します。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [セキュアブートが必要] に「true」と表示されていることを確認します。設定を保存するには、次のコマンドを実行します。 /sbin/auto-backup.sh
無効化	次の ESXCLI コマンドを実行します。 esxcli system settings encryption set --require-secure-boot=F 変更を確認します。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: false [セキュアブートが必要] に「false」と表示されていることを確認します。設定を保存するには、次のコマンドを実行します。 /sbin/auto-backup.sh ホストのファームウェアでセキュアブートを無効にすることを選択できますが、この時点で、ファームウェア設定と TPM 適用の間の依存関係は設定されなくなります。

オプション

説明

有効化

ホストを正常にシャットダウンします。
たとえば、vSphere Client の ESXi ホストを右クリックし、[電源] > [シャットダウン] を選択します。
ホストのファームウェアでセキュアブートを有効にします。
特定のベンダーのハードウェアドキュメントを参照してください。
ホストを再起動します。

次の ESXCLI コマンドを実行します。

esxcli system settings encryption set --require-secure-boot=T

変更を確認します。

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

[セキュアブートが必要] に「true」と表示されていることを確認します。

設定を保存するには、次のコマンドを実行します。
```
/sbin/auto-backup.sh
```

無効化

次の ESXCLI コマンドを実行します。

esxcli system settings encryption set --require-secure-boot=F

変更を確認します。

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

[セキュアブートが必要] に「false」と表示されていることを確認します。

設定を保存するには、次のコマンドを実行します。
```
/sbin/auto-backup.sh
```
ホストのファームウェアでセキュアブートを無効にすることを選択できますが、この時点で、ファームウェア設定と TPM 適用の間の依存関係は設定されなくなります。

結果

ESXi ホストは、選択に応じて、セキュアブートの適用を有効または無効にして実行されます。

注：

vSphere 7.0 Update 2 以降をインストールまたは vSphere 7.0 Update 2 以降にアップグレードするときに TPM を有効にしない場合は、後で次のコマンドを使用して有効にできます。

esxcli system settings encryption set --mode=TPM

TPM を有効化すると、設定を取り消すことはできません。

TPM がホストで有効な場合でも、一部の TPM で esxcli system settings encryption set コマンドが失敗します。

vSphere 7.0 Update 2 の場合：NationZ (NTZ)、Infineon Technologies (IFX)、および Nuvoton Technologies Corporation (NTC) の特定の新しいモデル（NPCT75x など）からの TPM
vSphere 7.0 Update 3 の場合：NationZ (NTZ) からの TPM

vSphere 7.0 Update 2 以降の最初の起動中に TPM を使用できない場合、このインストールまたはアップグレードは続行され、モードはデフォルトで「なし」(--mode=NONE) になります。その結果、TPM がアクティブ化されていない場合と同様に動作します。