Parallels Desktop で仮想 Trusted Platform Module(TPM)を使用する

18 users found this article helpful

概要

仮想 Trusted Platform Module(TPM)は、UEFI BIOS を搭載した Windows 10 以降の Windows 仮想マシン(VM)に追加できる暗号化コンポーネントです。仮想 TPM は仮想マシンのセキュリティ用に追加できるオプションのレイヤーであり、 追加することで不正なアクセスからデータを保護するとともに、追加の Windows セキュリティ機能を使用できるようになります。

仮想 TPM チップを VM に追加すると、Parallels Desktop は TPM ストレージとして機能する暗号化ファイルを仮想マシンバンドル内に作成します。Parallels Desktop はこのファイルを AES(Advanced Encryption Standard)を使用して 128 ビット鍵長で暗号化し、パスワードを Mac システムキーチェーンに保存します。このキーチェーンは暗号化された物理ストレージであり、Parallels Desktop(または Mac 管理者)のみが Mac キーチェーンから TPM パスワードを読み取ることができます。 

: TPM チップを追加すると、VM でセキュアブートが自動的に有効になります。

Parallels Desktop での TPM の利用 

Parallels Desktop 17 以降の Parallels Desktop for Mac Editions のすべてのエディションで、仮想 Trusted Platform Module(TPM)2.0 をサポートしています。StandardProBusiness のすべてのエディションでサポートをご利用いただけます。さらに、Parallels Desktop 17 では、Apple M1 チップを搭載した Mac コンピューター上の仮想 TPM へのサポートが追加されています。

Intel ベースの Mac コンピューター用の Parallels Desktop 15 と 16 の場合、vTPM チップは Pro Edition と Business Edition でのみご利用いただけます。Parallels Desktop 16 のエディションはすべて、Parallels Desktop 16.5.2 以降の Apple M1 チップを搭載した Mac コンピューターでこの機能をサポートしています。

Windows 11 へのアップグレード

2021 年 9 月 16 日、Microsoft 社は、仮想マシン(VM)に物理 PC と同じ Windows 11 システム要件を適用するよう変更したと発表しました。

そのため、Windows 11 へのアップグレードには仮想 TPM チップが必要になります。


注: Parallels Desktop 17.1.0 以降では、新しい Windows 11 仮想マシンに仮想 TPM チップが自動的に追加されます。 


TPM を有効にする

重要: TPMを有効にした仮想マシンを移動、コピーまた複製することは推奨されていません。リカバリーキーなど、重要な情報についてはバックアップを取得しておいてください。TPM を有効にした場合、仮想マシンを他のMac コンピューターで実行しようとすると制限がかかり、デフォルトでコピーまたは移動したとしても他のコンピューターで起動できなくなっています。 

: Intel ベースの Mac で [ハードウェア] > [+] をクリックして追加するデバイスリストに vTPM チップが表示されない場合、お使いの Windows 仮想マシンではレガシー BIOS が使われていることを意味します。TPM チップは、UEFI/EFI BIOS でのみ動作します。BIOS の種類を確認するには、KB 115815 に記載されている手順を実行します。

1. Windows をシャットダウンします。

2. 仮想マシンの [構成] > [ハードウェア] を開き、 [+] をクリックして [TPM チップ] を選択、[追加] をクリックします。

3. Windows を起動します。Windows が自動的に TPM チップを検出します。これで TPM を必要とする Windows の機能およびアプリケーションを使用できるようになります。

: TPM チップを追加した後 Windows 11 へのアップグレードが可能になってから、遅延が発生することがあります。Microsoft 社によると、アップグレードのロールアウト計画は最終段階にあり、2021 年後半から 2022 年にかけて実施される予定です。具体的なスケジュールはデバイスによって異なります。

TPM を搭載した仮想マシンを別の Mac に移動

TPM を搭載した VM を iCloud を使って移動(推奨)

Parallels Desktop 17.1.0 以降の場合、デフォルトでは、ソース Mac コンピューターとターゲット Mac コンピューターとで同じ Apple ID を使用して iCloud が設定されていると、Parallels Desktop は iCloud を使用して VM の Keychain Access.app の記録を自動的に転送するようになっています。このオプションを使用するには、次の手順に従います。

1. 両方の Mac コンピューターに Parallels Desktop の最新バージョンがインストールされていることを確認します。

2. ソース Mac とターゲット Mac のシステム環境設定で同じ Apple ID を使用して iCloud にログインし、それぞれのコンピューターでキーチェーンの同期が有効になっていることを確認します。

3. 両方の Mac をインターネットに接続する必要があります。

4. 移動させたい VM を見つけてターゲット Mac にコピーします。詳しくは、KB 114118 をご覧ください。

5. ターゲット Mac にコピーした VM をダブルクリックして起動します。

: Parallels Desktop 18 以降、Mac キーチェーンで TPM ストレージ用の TPM パスワードが見つからない場合、移行したストレージの名前をバックアップとして自動的に変更し、新しい TPM ストレージを作成して新規パスワードで暗号化し、新しいキーチェーンレコードを作成するようになりました。

TPM を搭載した VM を手動で移動

: 現時点では、Parallels Desktop App Store Edition で、TPM を搭載した VM を手動で移動することはできません。

1. ソース Mac で Spotlight を開き、「Keychain Access」と入力します。Enter キーを押して、Keychain Access.app を開きます。

2. 上にある Mac のメニューバーで [File] > [New Keychain...] をクリックして、新しいキーチェーンの名前を作成し、保存するフォルダー(デスクトップなど)を選択します。[作成] をクリックします。

3. パスワードの作成を求めるウィンドウが表示されたら、新しいパスワードを設定し確定します。[OK] をクリックします。

4. キーチェーンを右クリックして [Unlock Keychain name_of_the_keychain] を選択し、システムと作成したカスタムキーチェーンの両方をロック解除します。

: システムキーチェーンのロックを解除する場合に、Mac のパスワードを入力するよう求められますので、入力してください。作成したカスタムキーチェーンのロックを解除する場合には、それ用に設定したパスワードを入力してください。

5. サイドバーの [System] を選択し、検索フィールドに「TPM」と入力して、仮想マシンの UUID を含むファイルを探します。  

: 仮想マシンの UUID は、[ターミナル]([Finder] > [Applications] > [Utilities] > [Terminal])を使用して見つけることができます。ターミナルを開き、以下のコマンドを実行します。

prlctl list -a

コマンドの出力には、すべての仮想マシンの名前とその UUID が表示されます。

6. UUID が同じエントリーを右クリックして、[Copy "Parallels.vTPM.{UUID_of_your_VM}"] を選択します。 

7. 作成したカスタムキーチェーンを開き、右側のボックスを右クリックして、項目をペーストするオプションを選択します。

8. 仮想マシンを転送先の Mac にコピーします。詳しくは、KB 114118 をご覧ください。

9. 作成したカスタムキーチェーンをコピーし、転送先の Mac のホームフォルダーにファイルを転送します。

10. 転送したカスタムキーチェーンをダブルクリックして、キーチェーンアクセスに追加します。 

11. 転送したカスタムキーチェーンのロックを解除し、設定したパスワードを入力します。

12. システムキーチェーンにも同じ操作を行います。転送先の Mac で設定したパスワードを入力します。

13. 転送したカスタムキーチェーンで [Copy "Parallels.vTPM.{UUID_of_your_VM}"] を右クリックして、ファイルをコピーします。

14. システムキーチェーンを開き、右側のフィールドを右クリックして、項目をペーストするオプションを選択します。キーチェーンアクセスでは、システムキーチェーンのパスワードの入力を求められます。Mac のパスワードを入力し、[ModifyKeychain] をクリックします。

: 「エラーが発生しました。現在のキーチェーンに項目を追加できません」というエラーメッセージが表示された場合は、システムキーチェーンにそのような記録があるということを意味します。この場合、システムキーチェーンから既存の記録を削除して、Keychain Access.app を再起動してください。その後もう一度、システムキーチェーンに記録を追加してみてください。

15. 転送先の Mac で仮想マシンをダブルクリックして起動してください。

トラブルシューティング

TPM チップがリストにない 

1) Parallels Desktop 16 は、Apple M1 チップを搭載した Mac コンピューターの TPM をサポートしていません。この機能を使用するには、Parallels Desktop 17 にアップグレードしてください。

2) Parallels Desktop 17 以前の Parallels Desktop の場合、Intel プロセッサーを搭載した Mac コンピューターの Standard Edition では TPM をサポートしていません。 Pro Edition と Business Edition のみサポートしています。

3) Intel プロセッサーを搭載した Mac で [ハードウェア] > [+]と移動した先に TPM チップがない場合、Windows 仮想マシンがレガシー BIOS を使っていることが原因である可能性があります。TPM チップは、UEFI/EFI BIOS でのみ動作します。

      0.KB 115815 にある手順に従って、仮想マシンにレガシーBIOSが使われているかどうかを確認します。

  1. レガシーに設定されている場合、新しい Windows 仮想マシンを作成します
  2. マシンを作成する際に [名前と場所] ウィンドウが表示される場合、[インストール前に設定をカスタマイズする] を有効にします。

  3. 自動的に開く構成ウィンドウで、[ハードウェア] に進み、[+] をクリックして [TPM チップ] を選択し [追加] します。

  4. 構成ウィンドウを閉じて、Windows のインストールに進みます。

4) Parallels Desktop で BootCampパーティションを使って Windowsを実行するように設定されている場合、Parallels Desktop はこうした仮想マシンへの TPM チップの追加に対応していないため、BootCamp パーティションに問題が発生したり、破損したりする恐れがあります。こうした仮想マシンに TPM チップを追加するオプションがないのはそのためです。仮想マシンを Windows 11 にアップグレードするには、こちらに記載されているル手順で BootCamp 仮想マシンをインポートしてください。

TMP チップを追加しようとすると、PRL_ERR_TPM_SETUP_KEYCHAIN_FAILED エラーが発生する 

この問題は、Parallels Desktop App Store Edition 1.7.1 では修正されています。最新の Parallels Desktop App Store Edition がインストールされていることを確認してください。

エンドユーザーのコンピューターに Windows 11 をデプロイする

Parallels Desktop 18 以降であれば、エンドユーザーのコンピューターに Windows 11 をデプロイすることができます。Windows VM を新しいハードウェアに移行すると、Parallels Desktop は自動的に新しい TPM ストレージを作成して新規パスワードで暗号化し、新しいキーチェーンレコードを作成します。

オプションの 1 つとして、My Account で社内 VM イメージのプロビジョニング機能を使用することができます。

Was this article helpful?

Tell us how we can improve it.