TPMとは

仮想TPM

MacがWindows 11に対応できない原因

AppleはIntel MacにWindows 10をインストールする「BootCamp」を正式にサポートしています。

MacのBootCamp(ブートキャンプ)でWindows10を使う
Intel Macのみ Windows 11はサポートされない Windows 10のISOファイル BootCampアシスタント Windowsインストーラー BootCampインストーラー Apple Software Update BootCamp用のAMDグラフィックスドライバ

しかし、BootCampはWindows 11には未対応です。

その原因はMacがTPM 2.0に対応していないためです。

TPM(Trusted Platform Module)とは以下のようなセキュリティ処理専用のハードウエアです。

  • 暗号化
  • 乱数生成
  • 暗号鍵生成
  • 暗号鍵保存
  • デジタル署名

最近のMacはT1チップやT2チップと呼ばれるセキュリティ処理専用ハードウエアを搭載していますが、TPM2.0(仕様はTrusted Computing Groupが公開しています)には対応していません。

最近発売されたWindows 10 PCでもTPM 2.0未対応のものは多く、TPMが原因でWindows 11にアップグレードできないことが問題になっています。

TPMの使い道

TPMはWindows 11でいきなり要求されたわけではなく、Windowsでは昔から使われています。

BitLocker

BitLockerとはMacのFileVaultのような内部ストレージ全体を暗号化する機能です(外部ストレージを暗号化するBitLocker To GoもありますがTPMは使われません)。

USBメモリや外付けSSDなどの外部ストレージを暗号化するのは理解できるが、ログインパスワードで保護されている内部ストレージを暗号化する意味はないのでは……と思う方もいるかもしれません。

たしかにログインパスワードがわからなければWindowsにログインして、内部ストレージの内容の読み出すことはできません。

しかし、Windows PCを分解して内部ストレージを取り出し、別のWindows PCに接続すればストレージの内容を読み出せてしまいます。

だからといってソフトウェアでドライブ全体を暗号化しようとすれば当然、処理速度や暗号鍵の保存場所(暗号鍵をストレージに保存するわけにはいかない)が問題になります。

そのため、TPM内部に暗号鍵を保存し、TPMのハードウエアエンジンで暗号化します。

ちなみにBitLockerはWindowsのProエディション(上位版)のみの機能です。

TPMが必須となったWindows 11でもHomeエディション(下位版)ではBitLockerは使えません。

TPMなしのPCでもソフトウェア処理でBitLockerを使うことはできます。
ただし、前述の処理速度と暗号鍵保存の問題はあります。
TPMのないMacのBootCampでBitLockerを使う場合も同様です。

プラットフォーム暗号化プロバイダー

2012年にリリースされたWindows 8からは「プラットフォーム暗号化プロバイダー」を介してTPMを利用できるようになっています。

Microsoft Storeアプリ

Windows 10までのMicrosoft StoreアプリでインストールできるのはほぼUWP(Universal Windows Platform)のみでした。

これはTPM非搭載のPCで安全にインストールできるのはUWPだからでした。

しかし、UWPに人気のアプリは少なく、Microsoft Storeアプリはあまり使われていませんでした。

Windows 11でTPMが必須となったことでMicrosoft Storeアプリから一般のWindowsアプリ(Win32アプリ)をインストールできるようになりました。

Microsoft Store(マイクロソフトストア)の支払い方法 ー コンビニでも
実店舗は閉店 Microsoft Storeアプリ オンラインのMicrosoft Store

Parallels Desktopの仮想TPM

TPMのないMacはWindows 11に対応できないはずなのに、Macの仮想化アプリであるParallels DesktopではWindows 11が使えてしまいます。

M1 Mac / M2 MacでWindows 11を使う
Windows 11を使える方法 Windows 365 Parallels Desktop

その理由はParallels DesktopがTPM 2.0をサポートする仮想TPMを提供するためです。

UEFI BIOSの仮想マシンを作成するとデフォルトで仮想TPMが有効になります。

仮想TPM

仮想マシンは仮想TPMで保護される

Windows 11ではPCを分解してSSDを取り出し、そのSSDを全く同じハードウエアのPCに接続してもWindowsは起動できません。

たとえ全く同じハードウエアでもTPMストレージの内容は一致しないためです。

それと同じことがParallels DesktopのWindows 11仮想マシンでも起こります。

仮想マシンファイル(拡張子pvm)を他のMacに移動しても仮想TPMストレージの内容が一致しなければ、起動できません。

仮想TPMストレージはMacのキーチェーンの保存されており、仮想マシンファイルの移動先で同じApple IDを使うのであれば簡単に話は移動できます。

「設定」アプリの「Apple ID」-「iCloud」の「キーチェーン」を有効にしておけば、iCloud経由で仮想TPMストレージが同期されます。

キーチェーン

コメント