UEFI セキュア ブートは、PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。

UEFI セキュア ブートをサポートするオペレーティング システムでは、ブートローダー、オペレーティング システム カーネル、オペレーティング システムのドライバを含むブート ソフトウェアのそれぞれに署名が付与されています。仮想マシンのデフォルト構成には、いくつかのコード署名証明書が含まれます。
  • Windows のブートにのみ使用される Microsoft 証明書。
  • Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された Microsoft 証明書。
  • 仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。

仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。

ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。

UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 をインストールしたら、仮想マシンをアップグレードできます。

Linux 仮想マシンのセキュア ブート モードでは、VMware のホスト/ゲスト ファイルシステムがサポートされません。VMware Tools から VMware のホスト/ゲスト ファイルシステムを削除してからセキュア ブートを有効にしてください。

注: 仮想マシンのセキュア ブートを有効にすると、ロードできるのは、その仮想マシンには署名されたドライバのみになります。

このタスクでは、vSphere Client を使用して仮想マシンのセキュア ブートを有効にする方法と無効にする方法について説明します。スクリプトを記述して、マシンの設定の管理に使用することもできます。たとえば、次の PowerCLI コードを使用することで仮想マシンの BIOS から EFI へのファームウェアの変更を自動化できます。

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
詳細については、『 VMware PowerCLI User's Guide』を参照してください。

前提条件

セキュア ブートは、すべての前提条件が満たされている場合にのみ有効にできます。前提条件を満たしていない場合、 vSphere Client にチェック ボックスは表示されません。
  • 仮想マシンのオペレーティング システムとファームウェアが UEFI ブートをサポートしていることを確認します。
    • EFI ファームウェア
    • 仮想ハードウェア バージョン 13 以降。
    • UEFI セキュア ブートをサポートするオペレーティング システム。
    注: 一部のゲスト OS では、ゲスト OS を変更せずに、BIOS ブートから UEFI ブートへの変更を行うことはサポートされません。UEFI ブートへの変更前に、ゲスト OS のドキュメントを参照してください。すでに UEFI ブートを使用している仮想マシンを UEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。
  • 仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスはグレーアウトされます。

手順

  1. vSphere Client インベントリで、仮想マシンを参照します。
  2. 仮想マシンを右クリックし、[設定の編集] を選択します。
  3. [仮想マシン オプション] タブをクリックし、[起動オプション] を展開します。
  4. [起動オプション] で、ファームウェアが [EFI] に設定されていることを確認します。
  5. タスクを選択します。
    • セキュア ブートを有効にする場合は、[セキュア ブート] チェック ボックスを選択します。
    • セキュア ブートを無効にするには、[セキュア ブート] チェック ボックスを選択解除します。
  6. [OK] をクリックします。

結果

仮想マシンの起動時には、有効な署名があるコンポーネントのみが許可されます。署名がないコンポーネントまたは署名が無効なコンポーネントがあると、起動プロセスはエラーで停止します。