Rozšířený protokol HTTP
Platí pro: Configuration Manager (Current Branch)
Microsoft doporučuje používat komunikaci HTTPS pro všechny Configuration Manager komunikační cesty, ale pro některé zákazníky je to náročné kvůli režijním nákladům na správu certifikátů PKI. S vylepšeným protokolem HTTP může Configuration Manager poskytovat zabezpečenou komunikaci vydáváním certifikátů podepsaných svým držitelem konkrétním systémům lokality.
Tato konfigurace má dva hlavní cíle:
Citlivou komunikaci klientů můžete zabezpečit bez nutnosti ověřovacích certifikátů serveru PKI.
Klienti mohou bezpečně přistupovat k obsahu z distribučních bodů, aniž by potřebovali účet pro přístup k síti, certifikát PKI klienta nebo ověřování systému Windows.
Veškerá ostatní komunikace klientů probíhá přes protokol HTTP. Rozšířený protokol HTTP není totéž jako povolení PROTOKOLU HTTPS pro komunikaci klientů nebo systém lokality.
Poznámka
Certifikáty PKI jsou stále platnou možností pro zákazníky s následujícími požadavky:
- Veškerá komunikace klienta probíhá přes PROTOKOL HTTPS.
- Pokročilé řízení podpisové infrastruktury
Pokud už používáte infrastrukturu veřejných klíčů, systémy lokality používají certifikát PKI vázaný ve službě IIS, i když povolíte rozšířený protokol HTTP.
Scénáře
Následující scénáře těží z rozšířeného protokolu HTTP:
Scénář 1: Klient do bodu správy
Microsoft Entra zařízení připojenák Configuration Manager vystaveným tokenem můžou komunikovat s bodem správy nakonfigurovaným pro protokol HTTP, pokud pro lokalitu povolíte rozšířený protokol HTTP. S povoleným rozšířeným protokolem HTTP vygeneruje server lokality certifikát pro bod správy, který mu umožní komunikovat prostřednictvím zabezpečeného kanálu.
Poznámka
Tento scénář nevyžaduje použití bodu správy s povoleným protokolem HTTPS, ale podporuje se jako alternativa k použití rozšířeného protokolu HTTP. Další informace o používání bodu správy s povoleným protokolem HTTPS najdete v tématu Povolení bodu správy pro protokol HTTPS.
Scénář 2: Klient do distribučního bodu
Pracovní skupina nebo klient připojený k Microsoft Entra může ověřovat a stahovat obsah přes zabezpečený kanál z distribučního bodu nakonfigurovaného pro protokol HTTP. Tyto typy zařízení také můžou ověřovat a stahovat obsah z distribučního bodu nakonfigurovaného pro PROTOKOL HTTPS, aniž by se v klientovi vyžadoval certifikát PKI. Přidání ověřovacího certifikátu klienta do pracovní skupiny nebo klienta připojeného k Microsoft Entra je obtížné.
Toto chování zahrnuje scénáře nasazení operačního systému se pořadím úkolů spuštěným ze spouštěcího média, technologie PXE nebo Centra softwaru. Další informace najdete v tématu Účet pro přístup k síti.
Scénář 3: Microsoft Entra identity zařízení
Zařízení Microsoft Entra připojené nebo hybridní Microsoft Entra zařízení bez Microsoft Entra přihlášeného uživatele může bezpečně komunikovat s přiřazenou lokalitou. Cloudová identita zařízení je teď dostatečná k ověření pomocí cmg a bodu správy pro scénáře zaměřené na zařízení. (Token uživatele se stále vyžaduje pro scénáře zaměřené na uživatele.)
Funkce
Následující Configuration Manager funkce podporují nebo vyžadují rozšířený protokol HTTP:
- Brána pro správu cloudu
- Nasazení operačního systému bez účtu pro přístup k síti
- Povolení spolusprávy pro nová internetová zařízení s Windows
- Schválení aplikací prostřednictvím e-mailu
- Služba správy
- Zobrazení naposledy připojených konzol
- Obnovení klíče pro správu nástroje BitLocker (verze 2103 a novější)
- Aplikace Centra softwaru dostupné uživateli (verze 2107 a novější)
- Portál společnosti na společně spravovaných zařízeních (verze 2107 a novější)
Poznámka
Bod aktualizace softwaru a související scénáře vždy podporovaly zabezpečený provoz HTTP s klienty i bránou pro správu cloudu. Používá mechanismus s bodem správy, který se liší od ověřování založeného na certifikátu nebo tokenu.
Nepodporované scénáře
Vylepšený protokol HTTP v současné době nezabezpečuje veškerou komunikaci v Configuration Manager. Následující seznam shrnuje některé klíčové funkce, které jsou stále http.
- Komunikace mezi dvěma účastníky klienta pro obsah
- Bod migrace stavu
- Vzdálené nástroje
- Bod služby Reporting Services
Poznámka
Tento seznam není vyčerpávající.
Požadavky
Bod správy nakonfigurovaný pro klientská připojení HTTP. Tuto možnost nastavte na kartě Obecné ve vlastnostech role bodu správy.
Distribuční bod nakonfigurovaný pro připojení klientů HTTP. Tuto možnost nastavte na kartě Komunikace vlastností role distribučního bodu. Nepovolujte možnost Povolit klientům anonymní připojení.
V případě scénářů, které vyžadují ověřování Microsoft Entra, připojte lokalitu tak, aby Microsoft Entra ID pro správu cloudu. Pokud web nezapojujete na Microsoft Entra ID, můžete přesto povolit rozšířený protokol HTTP.
Pouze pro scénář 3: Klient s podporovanou verzí Windows 10 nebo novější a připojený k ID Microsoft Entra. Klient vyžaduje tuto konfiguraci pro Microsoft Entra ověřování zařízení.
Poznámka
Neexistují žádné požadavky na verzi operačního systému kromě toho, co klient Configuration Manager podporuje.
Konfigurace lokality
V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality. Vyberte web a na pásu karet zvolte Vlastnosti .
Přepněte na kartu Zabezpečení komunikace . Vyberte možnost pro HTTPS nebo HTTP. Pak povolte možnost Použít certifikáty vygenerované Configuration Manager pro systémy lokality HTTP.
Tip
Počkejte až 30 minut, než bod správy přijme a nakonfiguruje nový certifikát z lokality.
Můžete také povolit rozšířený protokol HTTP pro lokalitu centrální správy (CAS). Použijte stejný postup a otevřete vlastnosti cas. Tato akce povolí pouze rozšířený protokol HTTP pro roli poskytovatele serveru SMS v CAS. Nejedná se o globální nastavení, které se vztahuje na všechny lokality v hierarchii.
Další informace o tom, jak klient komunikuje s bodem správy a distribučním bodem s touto konfigurací, najdete v tématu Komunikace mezi klienty a systémy a službami lokality.
Ověření certifikátu
Tyto certifikáty se zobrazí v konzole Configuration Manager. Přejděte do pracovního prostoru Správa , rozbalte zabezpečení a vyberte uzel Certifikáty . Vyhledejte kořenový certifikát vydávající server SMS a certifikáty role serveru lokality vydané kořenovým certifikátem vydávajícím sms.
Když povolíte rozšířený protokol HTTP, server lokality vygeneruje certifikát podepsaný svým držitelem s názvem Certifikát SSL role SMS. Tento certifikát je vystaven kořenovým certifikátem vydávajícím sms . Bod správy přidá tento certifikát na výchozí web služby IIS vázaný na port 443.
Pokud chcete zobrazit stav konfigurace, projděte si soubor mpcontrol.log.
Koncepční diagram
Tento diagram shrnuje a vizualizuje některé hlavní aspekty rozšířených funkcí HTTP v Configuration Manager.
Připojení s ID Microsoft Entra se doporučuje, ale volitelné. Umožňuje scénáře, které vyžadují Microsoft Entra ověřování.
Když povolíte možnost lokality pro rozšířený protokol HTTP, vydá lokalita certifikáty podepsané svým držitelem systémům lokality, jako jsou například role bodu správy a distribučního bodu.
Systémy lokality jsou stále nakonfigurované pro připojení HTTP a klienti s nimi komunikují přes protokol HTTPS.
Nejčastější dotazy
Jaké jsou výhody rozšířeného protokolu HTTP?
Hlavní výhodou je snížení využití čistého protokolu HTTP, což je nezabezpečený protokol. Configuration Manager se ve výchozím nastavení snaží být zabezpečená a Microsoft chce, aby vám usnadnil zabezpečení vašich zařízení. Povolení https založeného na infrastruktuře infrastruktury veřejných klíčů je bezpečnější konfigurace, ale pro mnoho zákazníků to může být složité. Pokud https nemůžete udělat, povolte rozšířený protokol HTTP. Microsoft tuto konfiguraci doporučuje, i když vaše prostředí aktuálně nepoužívá žádné funkce, které ji podporují.
Důležité
Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.
Musím použít id Microsoft Entra, aby bylo možné povolit rozšířený protokol HTTP?
Ne. Mnoho scénářů a funkcí, které těží z rozšířeného protokolu HTTP, závisí na Microsoft Entra ověřování. Rozšířený protokol HTTP můžete povolit, aniž byste web onboardingu Microsoft Entra ID. Pak podporuje funkce, jako je služba správy a omezená potřeba účtu síťového přístupu. ID Microsoft Entra potřebujete jenom tehdy, když to vyžaduje některá z podpůrných funkcí.
Poznámka
I když rozhraní REST API služby pro správu přímo nepoužíváte, některé Configuration Manager funkce ho používají nativně, včetně částí konzoly Configuration Manager.
Jak klienti komunikují se systémy lokality?
Když povolíte rozšířený protokol HTTP, vydá lokalita certifikáty systémům lokality. Například bod správy a distribuční bod. Tyto systémy lokality pak můžou podporovat zabezpečenou komunikaci v aktuálně podporovaných scénářích.
Z hlediska klienta vydává bod správy každému klientovi token. Klient používá tento token k zabezpečení komunikace se systémy lokality. Toto chování je nezávislé na verzi operačního systému, jiné než to, co klient Configuration Manager podporuje.
Pokud některé systémy lokality už protokol HTTPS mají, můžu povolit rozšířený protokol HTTP?
Ano. Systémy lokality vždy preferují certifikát PKI. Například jeden bod správy už certifikát PKI má, ale jiný certifikát už nemá. Když pro lokalitu povolíte rozšířený protokol HTTP, bude bod správy HTTPS dál používat certifikát PKI. Ostatní body správy používají certifikát vystavený lokalitou pro rozšířený protokol HTTP.