在 Parallels Desktop 中使用虛擬信賴平台模組 (TPM)

5 users found this article helpful

概觀

虛擬信賴平台模組 (TPM) 是一個加密元件,可透過 UEFI BIOS 新增至 Windows 10 和更新版 Windows 虛擬機器 (VM)。虛擬 TPM 是虛擬機器的一個選用安全層,可讓您保護資料不受未獲授權的存取,並使用其他的Windows安全性功能。

在將虛擬 TPM 晶片新增至 VM 後,Parallels Desktop 會在虛擬機器套件組合中建立加密的檔案,作為 TPM 儲存體。Parallels Desktop 使用金鑰長度為 128位元的進階加密標準 (AES) 來對此檔案進行加密,並將該密碼放在 Mac System Keychain,而 Mac System Keychain是加密的實體儲存體,且只有 Parallels Desktop (或Mac 管理員) 可以透過 Mac Keychain 讀取 TPM 密碼。 

請留意:新增 TPM 晶片會在 VM 中自動啟用安全開機。

Parallels Desktop 中的 TPM 可用性 

從 Parallels Desktop 17 開始,所有 Parallels Desktop for Mac Editions 都能夠取得虛擬信賴平台模組 (TPM) 2.0支援:StandardProBusiness。此外,在搭載 Apple M1 晶片的 Mac 電腦上,Parallels Desktop 17 新增了虛擬 TPM 的支援。

在 Intel 型 Mac 電腦的 Parallels Desktop 15 和 16 中,僅 Pro 和 Business Editions 能夠使用 vTPM 晶片。從 Parallels Desktop 16.5.2 開始,所有版本的 Parallels Desktop 16 都在搭載 Apple M1 晶片的 Mac 電腦上支援此功能。

升級至 Windows 11

在 2021 年 9 月 16 日,Microsoft 宣布以下變更:在虛擬機器 (VM) 上 Windows 11 系統需求的實施與實體 PC 的需求一致。

因此,虛擬 TPM 晶片是升級至 Windows 11的必備項目


附註:從 Parallels Desktop 17.1.0 開始,在新的 Windows 11 虛擬機器中已自動新增虛擬 TPM 晶片。 


啟用 TPM

重要:我們不建議在啟用TPM的情況下移動、複製虛擬機器。一律備份重要資訊,特別是復原金鑰。啟用 TPM 時,虛擬機器會受限,無法在其他Mac 電腦上執行。依預設,如果虛擬機器經複製或移動,就無法在另一台電腦上啟動。 

請留意:如果在按一下「硬體+ 後,在要新增的 Intel 型 Mac 上的裝置清單中沒有出現 vTPM 晶片,即表示您的 Windows 虛擬機器是基於舊版 BIOS。TPM 晶片僅能與 UEFI/EFI BIOS 搭配運作。若要確認 BIOS 類型,請遵循 KB 115815 中的步驟。

1. 關閉 Windows

2. 開啟虛擬機器的組態 >「硬體」> 按一下「+」> 選取「TPM 晶片」> 按一下「新增

3. 啟動 Windows。Windows 會自動偵測 TPM 晶片。您可以使用需要 TPM 的 Windows 功能和應用程式。

請留意:在新增 TPM 晶片後 Windows 11 的升級可供使用時,可能會出現延遲。根據 Microsoft,「升級推展計畫已定下,並安排在 2021 年末開始,並持續到 2022 年。具體時間會依裝置而異」。

將具有 TPM 的虛擬機器移到另一台 Mac

使用 iCloud 來移動具有 TPM 的 VM (建議)

依預設,從 Parallels Desktop 17.1.0 開始,如果您使用相同的 Apple ID,並在來源和目標 Mac 電腦設定 iCloud,Parallels Desktop 會使用 iCloud,自動為您的 VM 轉移各自的 Keychain Access.app 記錄。遵循以下步驟,來使用此選項:

1. 確保您在兩台 Mac 電腦上都已安裝最新 Parallels Desktop 版本。

2. 使用相同的 Apple ID 登入來源和目標 Mac的 iCloud 系統偏好設定,並確保在每一台電腦都啟用 Keychain 同步。

3. 兩台 Mac 都必須連線到網際網路。

4. 找到您想要移動的 VM,並將其複製到目標 Mac。在 KB 114118 中進一步了解。

5. 在目標 Mac 上按兩下複製的 VM 來將其啟動。

注意:從 Parallels Desktop 18 開始,如果 Parallels Desktop 在 Mac Keychain 中找不到 TPM 儲存體的 TPM 密碼,則會自動將遷移的儲存體重新命名為備份,並建立新的 TPM 儲存體、使用新密碼進行加密以及為其建立新的 Keychain 記錄。

手動移動具有 TPM 的 VM

注意:目前無法在 Parallels Desktop App Store Edition 中手動移動具有 TPM 的 VM。

1. 在來源 Mac 上開啟 Spotlight,並輸入「Keychain Access」。點擊 Enter,即可開啟 Keychain Access.app

2. 在上方的Mac功能表列上,按一下「檔案」>「新增 Keychain...」> 為新的 Keychain 建立名稱,並選取其儲存所在的資料夾,例如 Desktop。按一下「建立」。

3. 一旦出現視窗,要求您建立密碼,請設定新密碼和進行驗證。按一下「確定」。

4. 透過以滑鼠右鍵按一下 Keychain 並選取「解除鎖定 Keychain "name_of_the_keychain”」,來同時解除鎖定系統和建立的自訂 Keychain。

請留意:在解除鎖定系統 Keychain 時,系統會要求您使用 Mac 輸入密碼。請輸入密碼。在解除鎖定建立的自訂 Keychain 時,請輸入您為其設定的密碼。

5. 選取側邊欄上的「系統」。在搜尋欄位中輸入「TPM」並找到具有虛擬機器 UUID 的檔案。  

附註:您可以使用「終端機」(Finder > 應用程式 > 公用程式 > 終端機) 來尋找虛擬機器的 UUID。開啟終端機並執行以下命令:

prlctl list -a

命令的輸出會顯示您所有虛擬機器的名稱和其 UUID。

6. 以滑鼠右鍵按一下具有相同 UUID 的項目,並選取「複製 "Parallels.vTPM.{UUID_of_your_VM}"」 

 

7. 開啟建立的自訂Keychain,以滑鼠右鍵按一下右側的方塊,並選取該選項來貼上項目。

8. 將虛擬機器複製到目的地 Mac。在 KB 114118 中進一步瞭解。

9. 複製建立的自訂 Keychain,並將檔案轉移至目的地 Mac 的「Home」資料夾。

10. 按兩下轉移的自訂 Keychain,來將其新增至Keychain Access。 

11. 解除鎖定轉移的自訂 Keychain,並輸入您為其設定的密碼。

12. 對系統 Keychain 執行相同的操作。使用目的地 Mac 輸入密碼。

13. 以滑鼠右鍵按一下檔案 >「複製 "Parallels.vTPM.{UUID_of_your_VM}”」,從轉移的自訂 Keychain 複製檔案。

14. 開啟系統 Keychain,以滑鼠右鍵按一下右側的欄位,並選取該選項來貼上項目。Keychain Access 會要求您輸入系統 Keychain 的密碼。使用 Mac 輸入密碼,並按一下「修改 Keychain」。

請留意:如果您收到「錯誤已發生。無法在目前的 keychain 中新增項目」錯誤訊息,即表示您在系統 keychain 中具有這類記錄。在此情況下,請將現有記錄從系統 keychain 中移除,並重新啟動 Keychain Access.app。在此之後,請再次嘗試將記錄新增至系統 Keychain。

15. 透過在目的地 Mac 上按兩下虛擬機器來將其啟動。

故障排除

TPM 晶片不在清單上 

1) Parallels Desktop 16 在搭載 Apple M1 晶片的 Mac 電腦上不支援 TPM。升級至 Parallels Desktop 17 來使用此功能。

2) 較 Parallels Desktop 17 更舊的 Parallels Desktop 版本在搭載 Intel 處理器的 Standard Edition Mac 電腦上不支援 TPM,僅在 Pro 和 Business Editions 提供支援。

如果您在搭載 Intel 處理器的 Mac 上前往「硬體」>「+」,但該處沒有 TPM 晶片,則此問題的發生可能是出於您的 Windows 虛擬機器是基於舊版 BIOS。TPM 晶片僅能與 UEFI/EFI BIOS 搭配運作。

      0. 透過遵循 KB 115815 中的步驟,來確認您的虛擬機器是否具備舊版 BIOS。

  1. 如果已設定舊版請建立新的 Windows 虛擬機器
  2. 當您在建立機器時進入「名稱和地點」視窗,請啟用「安裝前自訂設定」。

  3. 在自動開啟的組態視窗中,前往「硬體」,按一下「+」> 選取「TPM晶片」>「新增」。

  4. 關閉組態視窗並繼續 Windows 安裝。

4) 請留意,如果您將 Parallels Desktop 設為從 BootCamp 磁碟分割執行 Windows,Parallels Desktop 不支援將 TPM 晶片新增至這類虛擬機器,因為這可能會導致某些問題,甚至造成 BootCamp 磁碟分割的損毀。這便是為何不提供將 TPM 晶片新增至這類虛擬機器的選項。若要將虛擬機器升級至 Windows 11,請如此處所述,匯入 BootCamp 虛擬機器。

PRL_ERR_TPM_SETUP_KEYCHAIN_FAILED 錯誤 (在嘗試新增 TPM 晶片後) 

此問題在 Parallels Desktop App Store Edition 1.7.1 中已修正。請確保您已安裝最新版本的 Parallels Desktop App Store Edition。

將 Windows 11 部署到使用者的電腦

從 Parallels Desktop 18 開始,您可以將 Windows 11 部署到使用者的電腦。將 Windows VM 遷移到新硬體後,Parallels Desktop 會自動建立新的 TPM 儲存體、使用新密碼進行加密,並為其建立新的 Keychain 記錄。

有一個可用選項是,您可以使用 My Account 中的佈建公司 VM 映像功能

Was this article helpful?

Tell us how we can improve it.