元の発行日: 2026 年 5 月 13 日
KB ID: 5085395
この記事には、次のガイダンスがあります。
-
セキュア ブートが有効になっている Windows を実行している信頼された起動Virtual Machines (TVM) と機密 VM (CVM) をAzureします。
-
サポートされている Windows オペレーティング システムの完全な一覧については、「Azure仮想マシンの信頼された起動」を参照してください。
この記事では、次の操作を行います。
概要
セキュア ブートは、デバイスのブート シーケンス中に信頼されたデジタル署名されたソフトウェアのみを確実に実行するのに役立つ UEFI ファームウェア セキュリティ機能です。 2011 年に発行された Microsoft セキュア ブート証明書は、2026 年 6 月に期限切れになります。
セキュア ブート保護を維持し、初期ブート プロセスの継続的なサービスを維持するには、信頼された起動と機密仮想マシンAzure次の両方で更新する必要があります。
-
仮想ファームウェアのセキュア ブート 2023 証明書
-
更新された証明書によって署名された Windows ブート マネージャー
これらのコンポーネントは連携します。証明書は仮想ファームウェアで信頼を確立し、その信頼によって署名されるようにブート マネージャーを更新する必要があります。
保護のギャップを防ぐために、両方のコンポーネントが更新されていることを確認し、必要に応じて更新を開始します。
有効期限が切れた後も VM が 2011 証明書に依存し続ける場合は、引き続き起動し、標準の Windows 更新プログラムを受け取ることができます。 ただし、Windows ブート マネージャー、セキュア ブート データベースと失効リストの更新、新しく検出されたブート レベルの脆弱性の軽減策など、初期ブート プロセスの新しいセキュリティ保護を受け取らなくなります。
詳細については、「 Windows デバイスでセキュア ブート証明書の有効期限が切れるタイミング」を参照してください。
アクションを必要とするシナリオを特定する
ほとんどの場合、Windows では、サポートされているAzureの信頼された起動やセキュア ブートが有効になっている機密 VM など、対象となるデバイスの毎月の更新プログラムを通じて、セキュア ブート 2023 証明書が自動的に適用されます。 十分な互換性信号が利用できない場合、一部の VM は自動デプロイの対象にならない可能性があります。 このような場合は、ゲスト オペレーティング システム内から更新を開始するために管理アクションが必要になる場合があります。 セキュア ブート証明書の更新プログラムを取得する方法の詳細については、「セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス」を参照してください。
信頼された起動と機密 VM Azureセキュリティで保護されたブート更新プログラムには、次の 2 つのコンポーネントが含まれます。
-
仮想ファームウェアに格納されているセキュア ブート証明書 (プラットフォームで管理)
-
Windows ブート マネージャー (ゲスト OS で管理)
2024 年 3 月以降に作成された仮想マシンには、通常、仮想ファームウェアに Secure Boot 2023 証明書が既に含まれています。 これらの VM では通常、Windows ブート マネージャーの更新プログラムのみが必要です。
2024 年 3 月より前に作成された実行時間の長い仮想マシンには、仮想ファームウェアに Secure Boot 2023 証明書が含まれていないため、セキュア ブート証明書と Windows ブート マネージャーの両方に更新が必要です。
更新操作は、Windows サービスを通じてゲスト オペレーティング システム内から開始され、仮想ファームウェアのセキュア ブート変数に認証された更新プログラムを適用するためにプラットフォームのサポートに依存します。
該当するシナリオを特定したら、環境をインベントリして、更新が必要な VM を特定します。
必要なアクション:
-
ゲスト VM が 2026 年 3 月の Windows 更新プログラム以降 (ホットパッチを使用している場合は 2026 年 4 月以降) で更新されていることを確認します。 詳細については、「ホットパッチ for Windows Server」を参照してください。
-
信頼された起動と機密 VM Azureすべて、Secure Boot 2023 証明書と更新された Windows ブート マネージャーがあることを確認します。
-
ゲスト オペレーティング システム内から更新プログラムを開始し、必要に応じてセキュア ブート証明書と Windows ブート マネージャーの更新プログラムを適用します。
-
Windows システム イベント ログ (イベント ID 1808 とイベント ID 1801) を監査するか、UEFICA2023Status レジストリ キーを監視して、更新されたセキュア ブート証明書が適用されているかどうかを確認し、Windows ブート マネージャーが更新されたかどうかを確認します。
これらの更新プログラムを適用していないデバイスの場合は、セキュア ブート プレイブック、2026 年に期限切れになる証明書のセキュア ブート プレイブックWindows Server、https://aka.ms/GetSecureBoot で説明されている監視方法と展開方法を使用して、完全なガイダンスを行います。
ゲスト VM のAzureに関する考慮事項
セッション ホストに対して次のシナリオと必要なアクションを確認します。
|
VM シナリオ |
セキュア ブートはアクティブですか? |
必要なアクション |
|
セキュア ブートが有効になっている TVM または CVM |
はい |
セキュア ブート証明書と Windows ブート マネージャーを更新する |
|
セキュア ブートが無効になっている TVM |
いいえ |
アクションは必要ありません |
|
第 1 世代 VM |
非サポート |
アクションは必要ありません |
注: セキュリティタイプの VM Standardセキュア ブートが有効になっていません。
ゴールデン イメージに関する考慮事項
イメージに対して次のシナリオと必要なアクションを確認します。
注: Azure Marketplace イメージには、事前に構成された開始点、バニラ、またはパブリッシャーの既定のイメージが用意されていますが、Azureコンピューティング ギャラリー イメージは、カスタマイズされたイメージを格納および配布するために使用されます。 どちらの場合も、イメージは Windows ブート マネージャーをキャプチャしますが、仮想マシン レベルで適用されるセキュア ブート ファームウェア変数は含まれません。
Azureコンピューティング ギャラリーとマネージド イメージは、オペレーティング システムとブート ローダーの状態 (Windows ブート マネージャーを含む) をキャプチャしますが、セキュア ブート ファームウェア変数は含まれません。 セキュア ブート データベース (DB) またはキー交換キー (KEK) の更新などのセキュア ブート証明書は、デプロイされた仮想マシンの仮想ファームウェアに格納され、イメージの一般化中にキャプチャされません。
ゴールデン イメージ内にセキュア ブート更新プログラムを適用すると、Windows ブート マネージャーが進みますが、そのイメージからプロビジョニングされた仮想マシンにセキュア ブート証明書は保持されません。 ただし、この更新プログラムを実行すると、イメージ内の Windows ブート マネージャーが進みます。
必要なアクション:
-
キャプチャする前に、セキュア ブート 2023 更新プログラムをゴールデン イメージに適用します。 注: これにより Windows ブート マネージャーが進みますが、展開された仮想マシンにセキュア ブート証明書は保持されません。
-
必要に応じて VM を再起動して、Boot Manager の更新プログラムを適用できるようにします。
-
次の PowerShell コマンドを実行し、値が [更新済み] に設定されていることを確認して、イメージを一般化する前に更新が完了したことを確認します。
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
ゴールデン イメージ内で Windows ブート マネージャーを更新すると、そのイメージを使用してデプロイまたは再デプロイされた仮想マシンに更新が適用されます。 新しくプロビジョニングされたAzure信頼できる起動および機密仮想マシンには、仮想ファームウェアに Secure Boot 2023 証明書が含まれており、更新された Windows ブート マネージャーでゴールデン イメージを安全に使用できます。
ただし、2024 年 3 月より前に作成された既存の仮想マシンへのイメージ ベースの再デプロイは、対応する Secure Boot 2023 証明書をまだ信頼していないファームウェアを持つ VM に更新された Windows ブート マネージャーを適用する可能性があります。 このような場合は、Windows ブート マネージャーを進める前に、ゲスト オペレーティング システム内でセキュア ブート証明書の更新プログラムを適用する必要があります。
その他のAzureリソースに関する考慮事項
|
リソースのAzure |
2024 年 4 月より前に作成されましたか? |
必要な操作: |
|---|---|---|
|
TVM または CVM のバックアップ/スナップショット |
はい |
VM を起動し、更新プログラムを適用してから、再キャプチャする |
|
TVM または CVM のバックアップ/スナップショット |
いいえ |
アクションは必要ありません |
|
Azureコンピューティング ギャラリーのイメージ キャプチャ (イメージ セキュリティの種類 = TL または CVM) で TVM または CVM からキャプチャ |
はい |
VM を起動し、更新プログラムを適用してから、再キャプチャする |
|
Azureコンピューティング ギャラリーのイメージ キャプチャ (イメージ セキュリティの種類 = TL または CVM) で TVM または CVM からキャプチャ |
いいえ |
アクションは必要ありません |
更新の状態を監視する
Azure信頼された起動と機密仮想マシンでのセキュア ブート証明書の更新プログラムの監視と展開は、物理および仮想化されたデバイスで使用されるのと同じ Windows サービス ガイダンスに従います。
デバイスのインベントリを作成する方法、ファームウェア変数の更新プログラムを確認する方法、更新プログラムの進行状況を追跡する方法など、詳細な監視ガイダンスについては、Windows Serverと https://aka.ms/GetSecureBoot のセキュア ブート プレイブックに関するページを参照してください。
更新プログラムを展開する
信頼された起動と機密仮想マシンAzureセキュア ブート証明書の更新は、Windows サービスを使用してゲスト オペレーティング システム内から開始されます。
Windows Server用のセキュア ブート プレイブックのデプロイ ガイダンスに従います。
-
Windows Updateによる自動デプロイ
-
IT によって開始されるデプロイ方法
-
サービス レジストリ キー
-
デプロイのシーケンシング
カスタムまたは再利用された仮想マシン イメージを使用する場合は、Windows ブート マネージャーを進める前に、この記事の「ゴールデン イメージに関する考慮事項」を参照してください。
リソース
-
この変更の詳細、セキュア ブート証明書の更新プログラムの管理に関する詳細なガイダンス、よく寄せられる質問への回答については、ブックマーク [セキュア ブートの取得] を参照してください。
-
イベント ログ イベントの詳細については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。
-
セキュア ブート レジストリ キーの詳細については、「Secure Boot のレジストリ キー更新プログラム: IT で管理された更新プログラムを含む Windows デバイス」を参照してください。
サポート プランがあり、技術的なヘルプが必要な場合は、サポート リクエストを送信してください。
変更ログ
|
日付の変更 |
説明を変更する |
|
2026 年 5 月 13 日 |
この記事に変更はありません |
