11/6 更新 - 本不具合の修正を含む MECM 2006 ロールアップ
KB4578605 がリリースされました。
みなさま、こんにちは。Microsoft Endpoint Configuration Manager サポート チームです。
Microsoft Endpoint Configuration Manager (以下 MECM) にて、2020 年 10 月にリリースされた Windows の累積更新プログラムが適用されている環境において、Microsoft 365 Apps 更新プログラムをダウンロードした際に "証明書の署名が無効です" となり、ダウンロードがエラーとなる事象についてご案内いたします。
この事象は、自動展開規則 または MECM 管理コンソールより手動ダウンロードする際に発生します。
<手動操作でダウンロードした場合のエラー画面>

<自動展開規則でダウンロードした場合のエラー画面>
"自動展開規則をダウンロードできませんでした (0X87D20417)"
のエラーが発生します。
[原因]
本事象は 2020 年 10 月にリリースされた Windows の累積更新プログラムにおいて、.cat 拡張子に対する脆弱性の修正が行われたことに起因します。MECM 環境においては、Microsoft 365 Apps 更新プログラムのコンテンツの一部である .cat 拡張子のファイルをダウンロードした際に .cat ファイルの拡張子を .tmp ファイルに変更して、証明書の署名を検証しますが、脆弱性の修正により
.cat ファイルをリネームした .tmp ファイルの署名検証が失敗するようになりました。
そのため、サイト サーバーなど、MECM コンソールを動作させているコンピューター上に2020 年 10 月以降にリリースされた Windows の累積更新プログラムを適用されている場合、本エラーが発生します。
※2020 年 10 月以降にリリースされた Windows の累積更新プログラムが適用された、プライマリサイトサーバー以外のコンピューター上で MECM コンソールを起動し、Microsoft 365 Apps 更新プログラムの更新プログラムをダウンロードする場合も同様のエラーが発生します。
[対処方法]
対処方法としては以下の通りになります。
■暫定対策
2020 年 10 月以降にリリースされた Windows の累積更新プログラムを適用していないマシンで MECM コンソールを使用して、Microsoft 365 Apps 更新プログラムをダウンロードします。
もしくは 2020 年 10 月以降の Windows の累積更新プログラムをアンインストールし、2020 年 9 月のWindows の累積更新プログラムをインストールした状態でダウンロードします。
■恒久対策
今後リリース予定の MECM 2006 ロールアップ および MECM 2010 において修正予定となります。
お手数をおかけしますが、リリース後にアップグレードすることをご検討くださいますようお願いいたします。
[補足]
ログについては以下のようなログが出力されます。
<PatchDownloader.log>
Downloading content for ContentID = 16784019,
FileName = office\data\16.0.12527.21104\i320.cab.cat.
Proxy is enabled for download, using registry settings or defaults.
FileHash value is NULL. Hash verification for this file will not be performed.
Connecting - Adding file range by calling HttpAddRequestHeaders, range string = "Range: bytes=0-"
Download
http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat in progress: 29 percent complete
・・・
Download
http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat in progress: 100 percent complete
Download
http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat to C:\Windows\TEMP\CABE39E.tmp returns 0
Using machine settings for CRL checking.
Cert revocation check is disabled so cert revocation list will not be checked.
To enable cert revocation check use: UpdDwnldCfg.exe /checkrevocation
Verifying file trust C:\Windows\TEMP\CABE39E.tmp
Authentication of file C:\Windows\TEMP\CABE39E.tmp failed, error 0x800b0004
ERROR: DownloadUpdateContent() failed with hr=0x80073633
PatchDownloader.log
は自動展開規則の場合には <MECM インストールディレクトリ>\Logs
に保存され、
手動操作の場合には MECM
管理コンソールを実行しているコンピューター上の C:\Users\<UserName>\AppData\Local\Temp
に保存されます。