[VMware vSphere]Native Key Provider を構成し、Windows11 をインストールする手順

Winodws11 をインストールする場合、TPM 2.0 の構成がインストール
要件となっています。

Windows 11 の仕様とシステム要件 - Microsoft
https://www.microsoft.com/ja-jp/windows/windows-11-specifications

vSphere 環境では仮想 TPM (vTPM) を仮想マシンに構成することにより、
TPM 2.0 を仮想デバイスとして使用することが可能です。

vTPM を仮想マシンに構成する場合、キープロバイダが必要となり、
vSphere 7.0 U2 未満のバージョンでは、外部キーサーバ(KMS) の用意
が必要となります。

しかし、vSphere 7.0 U2 以降のバージョンでは組み込みの
vSphere Native Key Provider が使用できるようになり、仮想 TPM (vTPM)
を簡単に仮想マシンに構成することが可能となりました。

本記事では vSphere Native Key Provider/vTPM を使用して、Windows11
をインストールする方法について詳細に記載していきます。

Native Key Provider/vTPM などを使用する際の vSphere のエディションについて
vSphere Native Key Provider を構成する
Winodws11 インストール手順
Windows11 上から TPM を確認
参考情報

Native Key Provider/vTPM などを使用する際の vSphere のエディションについて

vSphere 7.0 U2 以降のバージョンにおいて、Native Key Provider/vTPM などの
暗号化を使用する場合のエディション要件は以下となります。

Native Key Provider -> Essentials/Essentials Plus/Standard/Enterprise Plus で使用可能
vTPM -> Essentials/Essentials Plus/Standard/Enterprise Plus で使用可能
仮想マシン暗号化 -> Enterprise Plus で使用可能
vSAN 保存データの暗号化 -> vSAN Enterprise で使用可能

Windows11 は Native Key Provider/vTPM があれば、インストール可能なため、
全てのエディションでインストール可能となります。

vSphere Native Key Provider を構成する

まずは、vSphere Client の左ペインより、vCenter Server オブジェクト
を選択の上、[構成] → [キープロバイダ] を開きます。

次に、[追加 ▽] → [ネイティブキープロバイダの追加] を選択します。

キープロバイダの名前を決め、必要に応じて [キープロバイダをTPM で保護されている
ESXi ホストでのみ使用 (推奨)] へチェックを入れて [キープロバイダの追加] をクリック
します。
※ 私の自宅で使用しているサーバでは TPM 2.0 が搭載されていないため、チェックは
　入れません。

[キープロバイダをTPM で保護されている ESXi ホストでのみ使用 (推奨)]
へのチェックは、サーバに TPM 2.0 が搭載されたホストでのみ、
Native Key Provider を使用できるようにする場合にチェックを入れます。

サーバに TPM 2.0 が搭載されていないホストで上記チェックを入れて
いると、仮想マシンに vTPM を追加する際に、以下のようなエラーが
出力され、構成することができません。

vSphere Native Key Provider (NKP) Questions & Answers
https://core.vmware.com/native-key-provider-questions-answers#can-i-use-native-key-provider-with-vsan


Do I need a Trusted Platform Module 2.0 (TPM) for my ESXi hosts?

While we recommend a TPM, one is not required to use Native Key Provider. If a TPM 2.0 is available and configured on the host it will be used to store the Native Key Provider keys. If one is not configured, the Native Key Provider keys will be stored as part of the encrypted ESXi configuration data.

What happens if check “Use key provider only with TPM protected ESXi hosts” and I do not have a TPM on my host?

If you leave the default “Use key provider only with TPM protected ESXi hosts” option selected, hosts without TPMs will not participate in Native Key Provider. When you attempt cryptographic operations on a virtual machine on those hosts they will fail.

追加されたキープロバイダでは [バックアップされていません] と表示されるため、
作成したキープロバイダを選択し、[バックアップ] を実施してください。

バックアップをパスワードで保護する場合には、[ネイティブキープロバイダデータを
パスワードで保護 (推奨)] にチェックを入れ、[キープロバイダのバックアップ] を実行
してください。

vSphere 7.0 U2 を使用している場合、Native Key Provider の
バックアップに失敗する以下の既知問題があります。

・Backing up a Native Key Provider fails when accessing via IP (84068)
　https://kb.vmware.com/s/article/84068

以上で Native Key Provider の設定は完了です。

Winodws11 インストール手順

まず、仮想マシンの作成方法としては通常通りとなりますが、ハードウェア
バージョン 19 以下しか使用できない場合には、[ゲスト OS を選択] にて
Windows11 は項目に存在しないので、Windows10(64 ビット) を選択
しましょう。

・Windows 11 guest operating system option is not available during virtual machine creation (85665)
　https://kb.vmware.com/s/article/85665

[ハードウェアのカスタマイズ] 画面では、[新規デバイスを追加] → [Trusted Platform
Module (TPM)] を選択してください。

次に、[仮想マシンオプション] タブを開き、[暗号化] の項目から [暗号化された vMotion],
[暗号化された Fault Tolerance] を “必須” に変更する必要があります。

[暗号化された vMotion] を必須にしていないと、以下のようなエラーで
仮想マシンが作成できません。

無効な仮想マシン設定です。暗号化された仮想マシンでは、暗号化された vMotion の状態を変更できません。

・Failed to create a new Virtual Machine with virtual Trusted Platform Module (vTPM) device (85974)
　https://kb.vmware.com/s/article/85974

以上で Winodws11 仮想マシンの設定は完了です。

パワーオンして、インストールが開始できたら問題ありません。

vTPM を構成せずに Windows11 をインストールしようとした場合には、
以下のようなエラーでインストールできません。

この PC では Winodws 11 を実行できません。
この PC は、このバージョンの Windows をインストールするための
最小システム要件を満たしていません。
詳細については、https://aka.ms/WindowsSysReqを参照してください。