Windows 11: HP OneAgent Update löscht Zertifikate (Okt. 2025)

Der Anbieter HP hat seinem HP OneAgent für AI-PCs im Oktober 2025 ein Software-Update "mit Nebenwirkungen" verpasst. Ein Script löscht bei der Installation Zertifikate aus dem Windows 11 Zertifikatsspeicher. Dadurch bricht "Entra Trust" und die Maschine kann sich nicht mehr bei Microsoft Entra ID anmelden. Das Update wurde inzwischen zurückgezogen. Betroffene Maschinen müssen manuell repariert werden.

Was ist der HP OneAgent?

Der HP OneAgent wird mit Windows-PCs von HP ausgeliefert. Es ist eine Software, die für die Systemverwaltung und Updates zuständig ist. Allerdings scheint der HP One Agent durchaus für Probleme gut zu sein. Es gibt bei HP einen Post, in dem erklärt wird, was man beim Problem, dass der OneAgent ständig neu konfiguriert wird und sich auf die Zuverlässigkeitsgrafik des Systems auswirkt, tun kann. Es finden sich auch Hinweise, die Software zu deinstallieren. Rudy Ooms gibt in diesem Artikel noch einige tiefergehende Hinweise auf diese Software.

Microsoft Entra ID-Nutzeranmeldung scheitert

MVP Rudy Ooms warnte zum 22. Oktober 2025 auf X in nachfolgendem Tweet, dass einige der neuesten Next Gen AI-PCs von HP, darunter das EliteBook X Flip G1i, ein Update auf den OneAgent 1.2.50.9581 Build erhalten hätten.

Das Update erfolgt still im Hintergrund und führt dazu, bei der Installation des HP OneAgent-Update (Version 1.2.50.9581) das MS-Organization-Access-Zertifikat gelöscht wird. Dadurch verlieren die Geräte die Verbindung zu Entra ID.

Im Artikel HP OneAgent Update Broke Entra Trust on HP AI Devices berichtete er davon, dass alles damit begann, dass sich eine Gruppe von Benutzern meldete, die sich nicht mehr bei Microsoft Entra ID anmelden konnten. Nach einem Neustart des Windows 11-Systems zeigte die Anmeldeseite nur noch das lokale LAPS-Konto an.

Schnell war klar, dass nur HP-Geräte, die das Update auf den HP OneAgent Version 1.2.50.9581 bekommen hatten, betroffen waren. Ein Blick in das Installationsverzeichnis der Software offenbarte eine Datei install.cmd, die für die Probleme verantwortlich war. Die Batchdatei hatte den Zweck, die Komponente "1E Performance Assist" von HP zu entfernen. Das ist wohl ein mittlerweile veraltetes Optimierungstool, schreibt Ooms.

Anstatt jedoch ein Produkt sicher zu deinstallieren, enthielt die Datei eine Sequenz an PowerShell-Befehlen zur Bereinigung übrig gebliebener 1E-bezogenen Zertifikate des alten alten Performance Assist-Diensts zu entfernen.

Die Logik des Skripts war aber so geschrieben (fast als hätte KI dieses Skript geschrieben, merkt Ooms an), dass einfach alle 1E-Zertifikate gelöscht wurden. Dummerweise enthielt das MS-Organization-Access-Zertifikat, das die Entra-Beziehung eines Geräts definiert, genau dieses 1E-Muster in seinem Betreff, und wurde mit gelöscht.

Prompt konnten die Maschinen sich nicht mehr an Microsoft Entra ID anmelden. Nachdem das Problem bestätigt worden war, hat HP das betroffene SoftPaq, das mit HP OneAgent 1.2.50.9581 verknüpft war, schnell zurückgezogen. Das Paket, das das fehlerhafte Bereinigungsskript enthielt, wird nicht mehr verteilt.

Neue Geräte erhalten das fehlerhafte Update also nicht mehr. Geräte, die vom Problem betroffen sind, müssen dagegen manuell von Administratoren durch Installation des gelöschten Zertifikats repariert werden. Die Ansätze wurden von Ooms in seinem Artikel beschrieben. (via)