VMware ESXiでWindows 11をサポートするTPM 2.0を有効にするには、以下の設定が必要。
・VMware ESXiは、7.0u2a以上(ESXi単独では不可、vCenter必須)
・VMware vCenter 7.0.2以上が必要。
・vCenterでネイティブキープロバイダを有効にしてバックアップ済みであること。
・vCenter上でクラスタ(ESXiは1台でも可)を作成してその配下にESXiが配置されていること。
・仮想マシン(VM)は仮想マシンの暗号化が有効になっていること。
(暗号化の条件は、UEFIが有効になっていること)
上記の条件が揃っていると、VMに「Trusted Platform Module」というデバイスが追加可能となる。
vCenterのネイティブキープロバイダは標準機能、それをクラスタに割り当てると、配下のホストでVMが暗号化されていることを条件にTPMが追加可能となる。
(重要) VMのTPMは、ホストにTPMが実装されていなくとも有効にできるため、ESXiをインストールするPCに物理的なTPMを実装している必要はない。
TPM製造元はVMW
VMware Workstation ProでもTPMは追加可能で、バージョン14.x以上で仮想マシンの暗号化を有効にしていることを条件にTPMを追加することが可能である。
暗号化を有効にするためには、UEFIが必須だが、セキュアブートは任意(でもWindows 11側が必要)。
VMware Fusionも同様にバージョン12以上であれば、VMの暗号化を有効にすれば同じようにTrusted Platform Moduleを追加することが可能となる。
VMware Workstation Playerは、仮想マシンの暗号化とTPM追加ができないため単独では無理。
加えて書いておくと仮想マシンの暗号化は「共有仮想マシン(廃止予定)」に所属していないVMに限る(VMを暗号化してしまうと、共有に移行することができなくなる)。
それからもう一つ、仮想マシンを暗号化すると、ディスクのみならず構成ファイル(vmx)の中まで暗号化されてしまうのでエディタ等で直接編集することは出来なくなるので注意が必要(このページトップの画像内の最初の行を参照)。
さらに、VMの暗号化をしないとTPMが有効にできないということは、そのVMをどこかに移動したりする場合には、暗号化の解除を行わないとならないことになる。
暗号化の解除にはディスク容量見合の処理時間を要するようになる。つまりは使い勝手は確実に落ちることを念頭におく必要が出てくる。実際に100GB程度のWindows 11 Proを暗号化解除を行った場合、30分程度の解除時間がかかる。非暗号化のこのVMは起動できず、起動させるためには同じキープロバイダを持つVMクラスタに戻して、再暗号化が必要となる。
いまのところVMにWindows 11をインストールするなら、TPMを有効にするよりインストール時のチェックを回避(バイパス)した方が簡単で良い。現状ではTPMを積んでいないためにできないことが無いに等しいため(厳密に言えば、BitLockerが使えなかったり、PINコード、パスワードなどの生成メカニズムが変わるためセキュリティ面で弱くなるのだが、目に見えるところでの制限は今のところない)。
WM上のWindows 10をWindows 11にアップグレードするなら、
新規にVM上にWindows 11をインストールするなら、
上記のどちらのやり方でも、TPMをはじめ、CPU、メモリー、セキュアブート、ディスク容量などのシステム要件チェックが行われずWinfows 11にアップグレードもしくは新規インストールが可能。
vCenterの無いESXiでは、TPM2.0を有効にできないが、上記の記事でアップグレードか新規にインストールした後にWindows UpdateでさらにTPMチェックが走ってしまってアップグレードできないときは、以下の記事を参考にするとよい。
多少古いPCでも、Intel/AMDのCPUであればTPM2.0がなくても、問題なく最新のWindows 11(Dev版Insider Previewも含めて)にすることができている(多少手間はかかるが)。
コメント