Erweitertes HTTP

Gilt für: Configuration Manager (Current Branch)

Microsoft empfiehlt die Verwendung von HTTPS-Kommunikation für alle Configuration Manager Kommunikationspfade, aber dies ist für einige Kunden aufgrund des Mehraufwands für die Verwaltung von PKI-Zertifikaten eine Herausforderung. Mit erweitertem HTTP können Configuration Manager eine sichere Kommunikation ermöglichen, indem sie selbstsignierte Zertifikate für bestimmte Standortsysteme ausstellen.

Für diese Konfiguration gibt es zwei Hauptziele:

• Sie können die kommunikation mit sensiblen Clients schützen, ohne dass PKI-Serverauthentifizierungszertifikate erforderlich sind.

• Clients können sicher auf Inhalte von Verteilungspunkten zugreifen, ohne dass ein Netzwerkzugriffskonto, clientbasiertes PKI-Zertifikat oder Windows-Authentifizierung erforderlich ist.

Die gesamte andere Clientkommunikation erfolgt über HTTP. Erweitertes HTTP ist nicht dasselbe wie die Aktivierung von HTTPS für die Clientkommunikation oder ein Standortsystem.

Hinweis

PKI-Zertifikate sind weiterhin eine gültige Option für Kunden mit den folgenden Anforderungen:

• Die gesamte Clientkommunikation erfolgt über HTTPS.
• Erweiterte Steuerung der Signaturinfrastruktur

Wenn Sie bereits PKI verwenden, verwenden Standortsysteme das an IIS gebundene PKI-Zertifikat, auch wenn Sie erweitertes HTTP aktivieren.

Szenarien

Die folgenden Szenarien profitieren von erweitertem HTTP:

Szenario 1: Client zu Verwaltungspunkt

Microsoft Entra eingebundene Geräte und Geräte mit einem Configuration Manager ausgestellten Token können mit einem für HTTP konfigurierten Verwaltungspunkt kommunizieren, wenn Sie erweitertes HTTP für die Website aktivieren. Wenn erweitertes HTTP aktiviert ist, generiert der Standortserver ein Zertifikat für den Verwaltungspunkt, sodass er über einen sicheren Kanal kommunizieren kann.

Hinweis

Für dieses Szenario ist die Verwendung eines HTTPS-fähigen Verwaltungspunkts nicht erforderlich, wird aber als Alternative zur Verwendung von erweitertem HTTP unterstützt. Weitere Informationen zur Verwendung eines HTTPS-fähigen Verwaltungspunkts finden Sie unter Aktivieren des Verwaltungspunkts für HTTPS.

Szenario 2: Client zu Verteilungspunkt

Eine Arbeitsgruppe oder Microsoft Entra eingebundener Client kann Inhalte über einen sicheren Kanal von einem für HTTP konfigurierten Verteilungspunkt authentifizieren und herunterladen. Diese Gerätetypen können auch Inhalte von einem für HTTPS konfigurierten Verteilungspunkt authentifizieren und herunterladen, ohne dass ein PKI-Zertifikat auf dem Client erforderlich ist. Es ist schwierig, ein Clientauthentifizierungszertifikat zu einer Arbeitsgruppe oder Microsoft Entra hinzugefügten Client hinzuzufügen.

Dieses Verhalten umfasst Betriebssystembereitstellungsszenarien mit einer Tasksequenz, die über Startmedien, PXE oder Softwarecenter ausgeführt wird. Weitere Informationen finden Sie unter Netzwerkzugriffskonto.

Szenario 3: Microsoft Entra Geräteidentität

Ein Microsoft Entra verbundenes oder hybrides Microsoft Entra Gerät ohne angemeldeten Microsoft Entra Benutzer kann sicher mit dem zugewiesenen Standort kommunizieren. Die cloudbasierte Geräteidentität reicht jetzt für die Authentifizierung beim CMG und Verwaltungspunkt für geräteorientierte Szenarien aus. (Für benutzerorientierte Szenarien ist weiterhin ein Benutzertoken erforderlich.)

Features

Die folgenden Configuration Manager Features unterstützen oder erfordern erweitertes HTTP:

• Cloudverwaltungsgateway
• Betriebssystembereitstellung ohne Netzwerkzugriffskonto
• Aktivieren der Co-Verwaltung für neue internetbasierte Windows-Geräte
• App-Genehmigungen per E-Mail
• Verwaltungsdienst
• Anzeigen kürzlich verbundener Konsolen
• BitLocker-Verwaltungsschlüsselwiederherstellung (Version 2103 und höher)
• Für Benutzer verfügbare Anwendungen im Softwarecenter (Version 2107 und höher)
• Unternehmensportal auf gemeinsam verwalteten Geräten (Version 2107 und höher)

Hinweis

Der Softwareupdatepunkt und verwandte Szenarien haben immer sicheren HTTP-Datenverkehr mit Clients sowie dem Cloudverwaltungsgateway unterstützt. Es wird ein Mechanismus mit dem Verwaltungspunkt verwendet, der sich von der zertifikat- oder tokenbasierten Authentifizierung unterscheidet.

Nicht unterstützte Szenarien

Erweitertes HTTP sichert derzeit nicht die gesamte Kommunikation in Configuration Manager. In der folgenden Liste sind einige wichtige Funktionen zusammengefasst, die immer noch HTTP sind.

• Clientpeer-zu-Peer-Kommunikation für Inhalte
• Zustandsmigrationspunkt
• Remotetools
• Reporting Services-Punkt

Hinweis

Diese Liste ist nicht vollständig.

Voraussetzungen

• Ein Verwaltungspunkt, der für HTTP-Clientverbindungen konfiguriert ist. Legen Sie diese Option auf der Registerkarte Allgemein der Rolleneigenschaften des Verwaltungspunkts fest.

• Ein Verteilungspunkt, der für HTTP-Clientverbindungen konfiguriert ist. Legen Sie diese Option auf der Registerkarte Kommunikation der Rolleneigenschaften des Verteilungspunkts fest. Aktivieren Sie nicht die Option Zulassen, dass Clients eine anonyme Verbindung herstellen.

• Für Szenarien, die Microsoft Entra Authentifizierung erfordern, integrieren Sie den Standort in Microsoft Entra ID für die Cloudverwaltung. Wenn Sie die Website nicht in Microsoft Entra-ID integrieren, können Sie dennoch erweitertes HTTP aktivieren.

• Nur für Szenario 3: Ein Client, der eine unterstützte Version von Windows 10 oder höher ausführt und mit Microsoft Entra ID verknüpft ist. Der Client erfordert diese Konfiguration für Microsoft Entra Geräteauthentifizierung.

Hinweis

Es gibt keine Betriebssystemversionsanforderungen, abgesehen davon, was der Configuration Manager-Client unterstützt.

Konfigurieren des Standorts

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus. Wählen Sie die Website aus, und wählen Sie im Menüband Eigenschaften aus.

2. Wechseln Sie zur Registerkarte Kommunikationssicherheit . Wählen Sie die Option für HTTPS oder HTTP aus. Aktivieren Sie dann die Option Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwenden.

Tipp

Warten Sie bis zu 30 Minuten, bis der Verwaltungspunkt das neue Zertifikat vom Standort erhält und konfiguriert.

Sie können auch erweitertes HTTP für den Standort der zentralen Verwaltung (CAS) aktivieren. Verwenden Sie denselben Prozess, und öffnen Sie die Eigenschaften des Cas. Diese Aktion aktiviert nur erweitertes HTTP für die SMS-Anbieterrolle am CAS. Es handelt sich nicht um eine globale Einstellung, die für alle Standorte in der Hierarchie gilt.

Weitere Informationen dazu, wie der Client mit dieser Konfiguration mit dem Verwaltungspunkt und dem Verteilungspunkt kommuniziert, finden Sie unter Kommunikation von Clients zu Standortsystemen und -diensten.

Überprüfen des Zertifikats

Diese Zertifikate werden in der Configuration Manager-Konsole angezeigt. Wechseln Sie zum Arbeitsbereich Verwaltung , erweitern Sie Sicherheit, und wählen Sie den Knoten Zertifikate aus. Suchen Sie nach dem SMS-Ausstellenden Stammzertifikat und den Standortserverrollenzertifikaten, die vom SMS-Ausgabestamm ausgestellt wurden.

Wenn Sie erweitertes HTTP aktivieren, generiert der Standortserver ein selbstsigniertes Zertifikat mit dem Namen SMS Role SSL Certificate. Dieses Zertifikat wird vom Sms-Stammzertifikat ausgestellt. Der Verwaltungspunkt fügt dieses Zertifikat der IIS-Standardwebsite hinzu, die an Port 443 gebunden ist.

Die status der Konfiguration finden Sie unter mpcontrol.log.

Konzeptionelles Diagramm

In diesem Diagramm werden einige der Standard Aspekte der erweiterten HTTP-Funktionalität in Configuration Manager zusammengefasst und visualisiert.

• Die Verbindung mit Microsoft Entra-ID wird empfohlen, ist jedoch optional. Es ermöglicht Szenarien, die Microsoft Entra Authentifizierung erfordern.

• Wenn Sie die Standortoption für erweitertes HTTP aktivieren, stellt der Standort selbstsignierte Zertifikate für Standortsysteme aus, z. B. die Rollen "Verwaltungspunkt" und "Verteilungspunkt".

• Wenn die Standortsysteme weiterhin für HTTP-Verbindungen konfiguriert sind, kommunizieren Clients mit ihnen über HTTPS.

Häufig gestellte Fragen

Welche Vorteile bietet erweitertes HTTP?

Der Standard Vorteil besteht darin, die Verwendung von reinem HTTP zu reduzieren, bei dem es sich um ein unsicheres Protokoll handelt. Configuration Manager versucht, standardmäßig sicher zu sein, und Microsoft möchte es Ihnen leicht machen, Ihre Geräte zu schützen. Die Aktivierung von PKI-basiertem HTTPS ist eine sicherere Konfiguration, die für viele Kunden jedoch komplex sein kann. Wenn Https nicht möglich ist, aktivieren Sie erweitertes HTTP. Microsoft empfiehlt diese Konfiguration, auch wenn Ihre Umgebung derzeit keines der Features verwendet, die sie unterstützen.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Muss ich Microsoft Entra-ID verwenden, um erweitertes HTTP zu aktivieren?

Nein Viele der Szenarien und Features, die von erweitertem HTTP profitieren, basieren auf Microsoft Entra Authentifizierung. Sie können erweitertes HTTP aktivieren, ohne das Onboarding der Website in Microsoft Entra ID durchzuführen. Es unterstützt dann Features wie den Verwaltungsdienst und den reduzierten Bedarf für das Netzwerkzugriffskonto. Sie benötigen Microsoft Entra-ID nur, wenn eine der unterstützenden Features dies erfordert.

Hinweis

Auch wenn Sie die REST-API des Verwaltungsdiensts nicht direkt verwenden, verwenden einige Configuration Manager Features sie nativ, einschließlich Teilen der Configuration Manager-Konsole.

Wie kommunizieren Clients mit Standortsystemen?

Wenn Sie erweitertes HTTP aktivieren, stellt der Standort Zertifikate für Standortsysteme aus. Beispielsweise der Verwaltungspunkt und der Verteilungspunkt. Diese Standortsysteme können dann die sichere Kommunikation in derzeit unterstützten Szenarien unterstützen.

Aus Clientsicht stellt der Verwaltungspunkt jedem Client ein Token aus. Der Client verwendet dieses Token, um die Kommunikation mit den Standortsystemen zu sichern. Dieses Verhalten ist unabhängig von der Betriebssystemversion, die nicht vom Configuration Manager-Client unterstützt wird.

Kann ich erweitertes HTTP aktivieren, wenn einige Standortsysteme bereits ÜBER HTTPS verfügen?

Ja Standortsysteme bevorzugen immer ein PKI-Zertifikat. Beispielsweise verfügt ein Verwaltungspunkt bereits über ein PKI-Zertifikat, andere hingegen nicht. Wenn Sie erweitertes HTTP für den Standort aktivieren, verwendet der HTTPS-Verwaltungspunkt weiterhin das PKI-Zertifikat. Die anderen Verwaltungspunkte verwenden das vom Standort ausgestellte Zertifikat für erweitertes HTTP.

Nächste Schritte

• Plan für die Sicherheit

• Sicherheit und Datenschutz für Configuration Manager Clients

• Konfigurieren der Sicherheit

• Kommunikation zwischen Endpunkten