Windows 10 バージョン 1809 以降の OS をアップグレードすると証明書が消失する場合がある事象について

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows プラットフォームサポートです。
今回はある特定の条件を満たした場合、OS アップグレード後に証明書が消失するという問題についてご紹介させていただきます。

発生する事象

以下の条件をすべて満たす場合、OS のインプレースアップグレード後に、証明書が消失するといった問題が報告されています。

アップグレード前は 2020 年 9 月 16 日の更新プログラム以降が適用されている状態となっている。(2020 年 9 月 16 日の更新プログラム以降が対象となりますので、2020 年 10 月 13 日の更新プログラムが適用されている状態も対象となります。)
Windows 10 バージョン 1809 からバージョン 2004 のコンピューターを、より上位の OS バージョンにアップグレードする。
OS アップグレードの際に用いるインストールメディアや機能更新プログラムに関して、更新プログラムの適用状態が 2020 年 9 月 16 日の更新プログラムよりも前の状態となっている。(例として、初期のリリースのインストールメディアを利用してアップグレードしたり、”updated Aug 2020” と記載されているような、更新プログラムが適用されているインストールメディアではあるものの、2020 年 9 月 16 日の更新プログラムよりも前のものしか適用されていないメディアを利用してアップグレードすることを指します。)

例えば、以下のようなシナリオでインプレースアップグレードする場合、上記の条件にすべて合致することとなりますので、本問題が発生します。

例 1:
2020 年 9 月 16 日の更新プログラムが適用されている Windows 10 バージョン 1909 を、更新プログラムが適用されていない Windows 10 バージョン 2004 のインストールメディアを利用してインプレースアップグレードする。

例 2:
2020 年 10 月 13 日の更新プログラムが適用されている Windows 10 バージョン 1809 から、2020 年 8 月 11 日の更新プログラムが適用されている (2020 年 9 月 16 日の更新プログラム以降は適用されていない) Windows 10 バージョン 1909 のインストールメディアを利用してインプレースアップグレードする。

※ ISO ファイルなどのインストールメディアを利用してアップグレードする場合以外にも、WSUS や SCCM をご利用の場合においても、上記の条件をすべて満たす場合は本問題が発生する可能性があります。
※ 後述の参考資料には、前述の 3 点目の条件として、”2020 年 10 月 13 日以降の更新プログラムが含まれていないメディアやインストレーションソースを利用した場合に、本事象が発生する” と記載されていますが、正確には “2020 年 9 月 16 日以降の更新プログラム” になります。2020 年 9 月 16 日の更新プログラムはプレビューであることから、後述の参考資料には “2020 年 10 月 13 日以降の更新プログラム” と記載されていますが、技術的には dism コマンドを用いてプレビューの更新プログラムをメディアに組み込むこともできますので、本ブログでは 3 点目の条件として “2020 年 9 月 16 日の更新プログラム” と表記しております。

本問題による影響

本問題が発生することにより、具体的に以下のような影響が発生することが報告されております。

ユーザーおよびコンピューターの [個人] ストアに格納されている証明書が消失する。
[信頼されたルート証明機関] ストアに格納されているルート証明書が消失する。
Azure AD に参加できていない状態になってしまう。
EFS を用いて暗号化されたファイルが開けなくなる。
その他、証明書が消失することによって、その証明書を利用していた VPN や無線 LAN において問題が発生する。

対処策

以下のいずれかの対処を実施することにより、本事象が発生せずに OS アップグレードを実施することができます。

動的更新 (Dynamic Update) が実施できる状況でアップグレードする。(動的更新とは、OS のセットアップ中に重要なドライバー、コンポーネントおよびセットアップの機能強化を取得し、適用する更新プログラムのことです。)
2020 年 9 月 16 日の更新プログラム以降が適用された状態のインストールメディアや機能更新プログラムを用いてアップグレードを実施する。
アップグレード前の状態において、2020 年 9 月 16 日以降の更新プログラムをアンインストールしてから、OS アップグレードを実施する。
(Windows 10 バージョン 1809 のみ) 事前に 2021 年 1 月 21 日の更新プログラムを適用した上で、OS アップグレードを実施する。

各アップグレードシナリオごとの対処策

本問題が発生しないようにするためには、前述のいずれかの対処策を実施する必要があります。
ですが、例えば WSUS を利用している場合、結局のところ具体的にどのようにすれば、前述の対処策を実施できることになるのかをご確認されたいお客様もいらっしゃるかもしれません。
以下では WSUS 環境と SCCM 環境のそれぞれにおきまして、具体的にどのようにすれば対処策を実施できるのかをご紹介いたします。

■ WSUS を用いてアップグレードする場合

□ WSUS 環境でアップグレード対象のコンピューターがインターネットに接続でき、動的更新もできる場合

アップグレード対象のコンピューターがインターネットに接続でき、かつ動的更新も実施できる場合は、対象のコンピューターでアップグレード処理を実施している際に動的更新が行われ、自動的に本問題への対処が実施されます。
そのため、WSUS 側では OS をアップグレードするための機能更新プログラムを承認するだけで問題ありません。

□ WSUS 環境でアップグレード対象のコンピューターが、何らかの理由でインターネットに接続して動的更新ができない場合

環境によっては、以下のような理由でインターネットに接続して動的更新が実施できない場合もあると存じます。

そもそもインターネットに接続できない環境である。
インターネットには接続できるものの、後述の動的更新を実施するための条件を満たしていない。

その場合は、以下の 2 通りの対処方法が存在します。

- 2020 年 11 月 10 日にリリースされた新しい機能更新プログラムを利用する方法
2020 年 11 月 10 日に 2020 年 10 月 13 日の更新プログラムが適用された状態の機能更新プログラムがリリースされましたので、そちらをご利用いただいてアップグレードをお願いいたします。
なお、この 2020 年 10 月 13 日の更新プログラムが適用された状態の機能更新プログラムについては、Windows 10 バージョン 1909 からバージョン 20H2 に関してリリースされており、バージョン 1903 に関してはリリースされておりません。

- [Windows 10 GDR-DU] を利用する方法
WSUS 側の [オプション] - [製品と分類] から、[Windows 10 GDR-DU] をオンにし、同期を実施します。
すると、[2020-10 Dynamic Cumulative Update for Windows 10 Version XXXX for XXX-based Systems (KBXXXXXXX)] という更新プログラムが表示されるようになります。
機能更新プログラムと併せて、上記の更新プログラムも承認した上で OS をアップグレードすることにより、インターネット経由で動的更新が実施できない場合でも、本事象に対処できます。
なお、バージョン 20H2 に関しては、[2020-12 Dynamic Cumulative Update for Windows 10 Version 20H2 for XXX-based Systems (KB4592438)] 以降をご利用ください。

■ SCCM を用いてアップグレードする場合

□ SCCM 環境でアップグレード対象のコンピューターがインターネットに接続でき、動的更新もできる場合

アップグレード対象のコンピューターがインターネットに接続でき、かつ動的更新も実施できる場合は、対象のコンピューターでアップグレード処理を実施している際に動的更新が行われ、自動的に本問題への対処が実施されます。
そのため、SCCM 側では特に何も意識することなく対処が可能です。

□ SCCM 環境でアップグレード対象のコンピューターが、何らかの理由でインターネットに接続して動的更新できない場合

前述の WSUS 環境の場合と同様に、何らかの理由でインターネットに接続して動的更新が実施できない場合もあると存じます。
その場合は、以下の 2 通りの対処方法が存在します。

- 2020 年 11 月 10 日にリリースされた新しい機能更新プログラムを利用する方法
前述の WSUS 環境の場合と同様に、2020 年 11 月 10 日にリリースされた、2020 年 10 月 13 日の更新プログラムが適用された状態の機能更新プログラムを利用してアップグレードを実施します。

- タスクシーケンスで 2020 年 9 月 16 日以降の更新プログラムが適用されたインストールメディアを利用する方法
タスクシーケンスを用いてアップグレード対象のコンピューターにインストールメディアを配布し、OS をアップグレードします。
この時、使用するインストールメディアとして、2020 年 9 月 16 日以降の更新プログラムが適用されているものを利用します。

2020 年 9 月 16 日以降の更新プログラムが適用されたインストールメディアの入手方法についてですが、ボリュームライセンスをご利用のお客様に関しましては、VLSC より “updated Oct 2020” と記載された ISO ファイルをダウンロードいただくことによって入手することができます。
Visual Studio サブスクリプションをご契約いただいておりますお客様につきましては、Visual Studio サブスクリプションのダウンロードサイトより、”updated Oct 2020” と記載された ISO ファイルをダウンロードいただくことによって入手することができます。

もし、お手元にインストールメディアをお持ちの場合には、以下の方法でお持ちの ISO ファイルに対して 2020 年 9 月 16 日以降の更新プログラムを組み込むことができます。

Windows イメージへの更新の追加
https://docs.microsoft.com/ja-jp/windows-hardware/manufacture/desktop/servicing-the-image-with-windows-updates-sxs