none
Microsoft Endpoint Configuration Manager において、 Microsoft 365 Apps 更新プログラムのダウンロードが「証明書の署名が無効です」エラーとなる事象について RRS feed

  • 質問

  • 11/6 更新 - 本不具合の修正を含む MECM 2006 ロールアップ KB4578605 がリリースされました。

    みなさま、こんにちは。Microsoft Endpoint Configuration Manager サポート チームです。

     

    Microsoft Endpoint Configuration Manager (以下 MECM) にて、2020 年 10 月にリリースされた Windows の累積更新プログラムが適用されている環境において、Microsoft 365 Apps 更新プログラムをダウンロードした際に "証明書の署名が無効です" となり、ダウンロードがエラーとなる事象についてご案内いたします。

    この事象は、自動展開規則 または MECM 管理コンソールより手動ダウンロードする際に発生します。

     

    <手動操作でダウンロードした場合のエラー画面> 

    <自動展開規則でダウンロードした場合のエラー画面>

    "自動展開規則をダウンロードできませんでした (0X87D20417)" のエラーが発生します。

    [原因]

    本事象は 2020 年 10 月にリリースされた Windows の累積更新プログラムにおいて、.cat 拡張子に対する脆弱性の修正が行われたことに起因します。MECM 環境においては、Microsoft 365 Apps 更新プログラムのコンテンツの一部である .cat 拡張子のファイルをダウンロードした際に .cat ファイルの拡張子を .tmp ファイルに変更して、証明書の署名を検証しますが、脆弱性の修正により .cat ファイルをリネームした .tmp ファイルの署名検証が失敗するようになりました。

     

    そのため、サイト サーバーなど、MECM コンソールを動作させているコンピューター上に2020 年 10 月以降にリリースされた Windows の累積更新プログラムを適用されている場合、本エラーが発生します。

    ※2020 年 10 月以降にリリースされた Windows の累積更新プログラムが適用された、プライマリサイトサーバー以外のコンピューター上で MECM コンソールを起動し、Microsoft 365 Apps 更新プログラムの更新プログラムをダウンロードする場合も同様のエラーが発生します。

     

    [対処方法]

    対処方法としては以下の通りになります。

     

    ■暫定対策

    2020 年 10 月以降にリリースされた Windows の累積更新プログラムを適用していないマシンで MECM コンソールを使用して、Microsoft 365 Apps 更新プログラムをダウンロードします。

    もしくは 2020 年 10 月以降の Windows の累積更新プログラムをアンインストールし、2020 年 9 月のWindows の累積更新プログラムをインストールした状態でダウンロードします。

     

    ■恒久対策

    今後リリース予定の MECM 2006 ロールアップ および MECM 2010 において修正予定となります。

    お手数をおかけしますが、リリース後にアップグレードすることをご検討くださいますようお願いいたします。


    [補足]

    ログについては以下のようなログが出力されます。

     

    <PatchDownloader.log>

    Downloading content for ContentID = 16784019,  FileName = office\data\16.0.12527.21104\i320.cab.cat.

    Proxy is enabled for download, using registry settings or defaults.

    FileHash value is NULL. Hash verification for this file will not be performed.

    Connecting - Adding file range by calling HttpAddRequestHeaders, range string = "Range: bytes=0-"

    Download http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat in progress: 29 percent complete

    ・・・

    Download http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat in progress: 100 percent complete

    Download http://officecdn.microsoft.com/pr/7ffbc6bf-bc32-4f92-8982-f9dd17fd3114/office/data/16.0.12527.21104/i320.cab.cat to C:\Windows\TEMP\CABE39E.tmp returns 0

    Using machine settings for CRL checking.

    Cert revocation check is disabled so cert revocation list will not be checked.

    To enable cert revocation check use: UpdDwnldCfg.exe /checkrevocation

    Verifying file trust C:\Windows\TEMP\CABE39E.tmp

    Authentication of file C:\Windows\TEMP\CABE39E.tmp failed, error 0x800b0004

    ERROR: DownloadUpdateContent() failed with hr=0x80073633

     

    PatchDownloader.log は自動展開規則の場合には <MECM インストールディレクトリ>\Logs に保存され、

    手動操作の場合には MECM 管理コンソールを実行しているコンピューター上の C:\Users\<UserName>\AppData\Local\Temp に保存されます。







    2020年10月30日 8:26
    所有者