HTTP amélioré
S’applique à : Configuration Manager (branche actuelle)
Microsoft recommande d’utiliser la communication HTTPS pour tous les chemins de communication Configuration Manager, mais cela est difficile pour certains clients en raison de la surcharge liée à la gestion des certificats PKI. Avec le protocole HTTP amélioré, Configuration Manager peut fournir une communication sécurisée en émettant des certificats auto-signés à des systèmes de site spécifiques.
Il existe deux objectifs principaux pour cette configuration :
Vous pouvez sécuriser les communications sensibles des clients sans avoir besoin de certificats d’authentification de serveur PKI.
Les clients peuvent accéder en toute sécurité au contenu à partir de points de distribution sans avoir besoin d’un compte d’accès réseau, d’un certificat PKI client ou d’un Authentification Windows.
Toutes les autres communications clientes sont via HTTP. Le protocole HTTP amélioré n’est pas identique à l’activation du protocole HTTPS pour la communication cliente ou un système de site.
Remarque
Les certificats PKI sont toujours une option valide pour les clients ayant les exigences suivantes :
- Toutes les communications clientes sont via HTTPS
- Contrôle avancé de l’infrastructure de signature
Si vous utilisez déjà l’infrastructure à clé publique, les systèmes de site utilisent le certificat PKI lié dans IIS, même si vous activez http amélioré.
Scénarios
Les scénarios suivants tirent parti du protocole HTTP amélioré :
Scénario 1 : Client vers point de gestion
Microsoft Entra appareils joints et les appareils avec un jeton Configuration Manager émis peuvent communiquer avec un point de gestion configuré pour HTTP si vous activez le protocole HTTP amélioré pour le site. Avec http amélioré activé, le serveur de site génère un certificat pour le point de gestion lui permettant de communiquer via un canal sécurisé.
Remarque
Ce scénario ne nécessite pas l’utilisation d’un point de gestion https, mais il est pris en charge comme alternative à l’utilisation de HTTP amélioré. Pour plus d’informations sur l’utilisation d’un point de gestion https, consultez Activer le point de gestion pour HTTPS.
Scénario 2 : Client vers point de distribution
Un client joint à un groupe de travail ou Microsoft Entra peut authentifier et télécharger du contenu sur un canal sécurisé à partir d’un point de distribution configuré pour HTTP. Ces types d’appareils peuvent également authentifier et télécharger du contenu à partir d’un point de distribution configuré pour HTTPS sans nécessiter de certificat PKI sur le client. Il est difficile d’ajouter un certificat d’authentification client à un groupe de travail ou Microsoft Entra client joint.
Ce comportement inclut des scénarios de déploiement de système d’exploitation avec une séquence de tâches s’exécutant à partir du support de démarrage, de PXE ou du Centre logiciel. Pour plus d’informations, consultez Compte d’accès réseau.
Scénario 3 : identité de l’appareil Microsoft Entra
Un appareil Microsoft Entra joint ou hybride Microsoft Entra sans Microsoft Entra utilisateur connecté peut communiquer en toute sécurité avec son site attribué. L’identité d’appareil basée sur le cloud est désormais suffisante pour s’authentifier auprès de la passerelle de gestion cloud et du point de gestion pour les scénarios centrés sur l’appareil. (Un jeton utilisateur est toujours nécessaire pour les scénarios centrés sur l’utilisateur.)
Fonctionnalités
Les fonctionnalités de Configuration Manager suivantes prennent en charge ou nécessitent une amélioration du protocole HTTP :
- Passerelle de gestion cloud
- Déploiement du système d’exploitation sans compte d’accès réseau
- Activer la cogestion pour les nouveaux appareils Windows basés sur Internet
- Approbations d’applications par e-mail
- Service d’administration
- Afficher les consoles récemment connectées
- Récupération de clé de gestion BitLocker (version 2103 et ultérieure)
- Applications du Centre logiciel disponibles pour l’utilisateur (version 2107 et ultérieures)
- Portail d'entreprise sur les appareils cogérés (version 2107 et ultérieures)
Remarque
Le point de mise à jour logicielle et les scénarios associés ont toujours pris en charge le trafic HTTP sécurisé avec les clients, ainsi que la passerelle de gestion cloud. Il utilise un mécanisme avec le point de gestion différent de l’authentification basée sur un certificat ou un jeton.
Scénarios non pris en charge
Le protocole HTTP amélioré ne sécurise actuellement pas toutes les communications dans Configuration Manager. La liste suivante récapitule certaines fonctionnalités clés qui sont toujours http.
- Communication d’égal à égal client pour le contenu
- Point de migration d’état
- Outils de contrôle à distance
- Point Reporting Services
Remarque
Cette liste n’est pas exhaustive.
Conditions préalables
Point de gestion configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Général des propriétés du rôle de point de gestion.
Point de distribution configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Communication des propriétés du rôle de point de distribution. N’activez pas l’option Autoriser les clients à se connecter anonymement.
Pour les scénarios qui nécessitent une authentification Microsoft Entra, intégrez le site à Microsoft Entra ID pour la gestion cloud. Si vous n’intégrez pas le site à Microsoft Entra ID, vous pouvez toujours activer http amélioré.
Pour le scénario 3 uniquement : un client exécutant une version prise en charge de Windows 10 ou ultérieure et joint à Microsoft Entra ID. Le client a besoin de cette configuration pour Microsoft Entra’authentification de l’appareil.
Remarque
Il n’existe aucune configuration requise pour la version du système d’exploitation, autre que celle prise en charge par le client Configuration Manager.
Configurer le site
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Sélectionnez le site et choisissez Propriétés dans le ruban.
Basculez vers l’onglet Sécurité des communications . Sélectionnez l’option HTTPS ou HTTP. Activez ensuite l’option Utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP.
Conseil
Attendez jusqu’à 30 minutes que le point de gestion reçoive et configure le nouveau certificat à partir du site.
Vous pouvez également activer le protocole HTTP amélioré pour le site d’administration centrale (CAS). Utilisez ce même processus et ouvrez les propriétés du site d’administration centrale. Cette action active uniquement le protocole HTTP amélioré pour le rôle Fournisseur SMS au niveau du site d’administration centrale. Il ne s’agit pas d’un paramètre global qui s’applique à tous les sites de la hiérarchie.
Pour plus d’informations sur la façon dont le client communique avec le point de gestion et le point de distribution avec cette configuration, consultez Communications des clients aux systèmes et services de site.
Valider le certificat
Vous pouvez voir ces certificats dans la console Configuration Manager. Accédez à l’espace de travail Administration , développez Sécurité, puis sélectionnez le nœud Certificats . Recherchez le certificat racine d’émission de SMS et les certificats de rôle de serveur de site émis par la racine d’émission de SMS.
Lorsque vous activez http amélioré, le serveur de site génère un certificat auto-signé nommé CERTIFICAT SSL de rôle SMS. Ce certificat est émis par le certificat d’émission SMS racine. Le point de gestion ajoute ce certificat au site web IIS par défaut lié au port 443.
Pour voir les status de la configuration, consultez mpcontrol.log.
Diagramme conceptuel
Ce diagramme résume et visualise certains des aspects main de la fonctionnalité HTTP améliorée dans Configuration Manager.
La connexion avec l’ID de Microsoft Entra est recommandée, mais facultative. Il permet des scénarios qui nécessitent une authentification Microsoft Entra.
Lorsque vous activez l’option de site pour le protocole HTTP amélioré, le site émet des certificats auto-signés pour les systèmes de site, tels que les rôles de point de gestion et de point de distribution.
Les systèmes de site étant toujours configurés pour les connexions HTTP, les clients communiquent avec eux via HTTPS.
Forum aux questions
Quels sont les avantages du protocole HTTP amélioré ?
L’avantage main est de réduire l’utilisation du protocole HTTP pur, qui est un protocole non sécurisé. Configuration Manager tente d’être sécurisé par défaut, et Microsoft souhaite faciliter la sécurisation de vos appareils. L’activation du protocole HTTPS basé sur pKI est une configuration plus sécurisée, mais qui peut être complexe pour de nombreux clients. Si vous ne pouvez pas effectuer le protocole HTTPS, activez http amélioré. Microsoft recommande cette configuration, même si votre environnement n’utilise actuellement aucune des fonctionnalités qui la prennent en charge.
Importante
À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.
Dois-je utiliser l’ID Microsoft Entra pour activer http amélioré ?
Non. La plupart des scénarios et fonctionnalités qui tirent parti du protocole HTTP amélioré reposent sur l’authentification Microsoft Entra. Vous pouvez activer le protocole HTTP amélioré sans intégrer le site à Microsoft Entra ID. Il prend ensuite en charge des fonctionnalités telles que le service d’administration et le besoin réduit pour le compte d’accès réseau. Vous n’avez besoin de Microsoft Entra ID que lorsque l’une des fonctionnalités de prise en charge l’exige.
Remarque
Même si vous n’utilisez pas directement l’API REST du service d’administration, certaines fonctionnalités Configuration Manager l’utilisent en mode natif, notamment des parties de la console Configuration Manager.
Comment les clients communiquent-ils avec les systèmes de site ?
Lorsque vous activez le protocole HTTP amélioré, le site émet des certificats pour les systèmes de site. Par exemple, le point de gestion et le point de distribution. Ensuite, ces systèmes de site peuvent prendre en charge la communication sécurisée dans les scénarios actuellement pris en charge.
Du point de vue du client, le point de gestion émet un jeton pour chaque client. Le client utilise ce jeton pour sécuriser la communication avec les systèmes de site. Ce comportement est indépendant de la version du système d’exploitation, autre que ce que le client Configuration Manager prend en charge.
Si certains systèmes de site sont déjà https, puis-je activer le protocole HTTP amélioré ?
Oui. Les systèmes de site préfèrent toujours un certificat PKI. Par exemple, un point de gestion a déjà un certificat PKI, mais pas d’autres. Lorsque vous activez le protocole HTTP amélioré pour le site, le point de gestion HTTPS continue d’utiliser le certificat PKI. Les autres points de gestion utilisent le certificat émis par le site pour le protocole HTTP amélioré.