HTTP amélioré

S’applique à : Gestionnaire de Configuration (branche actuelle)

Microsoft recommande d’utiliser la communication HTTPS pour tous les chemins de communication Configuration Manager, mais cela est difficile pour certains clients en raison de la surcharge liée à la gestion des certificats PKI. Avec le protocole HTTP amélioré, Configuration Manager peut fournir une communication sécurisée en émettant des certificats auto-signés à des systèmes de site spécifiques.

Il existe deux objectifs principaux pour cette configuration :

  • Vous pouvez sécuriser les communications sensibles des clients sans avoir besoin de certificats d’authentification de serveur PKI.

  • Les clients peuvent accéder en toute sécurité au contenu à partir de points de distribution sans avoir besoin d’un compte d’accès réseau, d’un certificat PKI client ou d’un Authentification Windows.

Toutes les autres communications clientes sont via HTTP. Le protocole HTTP amélioré n’est pas identique à l’activation du protocole HTTPS pour la communication cliente ou un système de site.

Remarque

Les certificats PKI sont toujours une option valide pour les clients ayant les exigences suivantes :

  • Toutes les communications clientes sont via HTTPS
  • Contrôle avancé de l’infrastructure de signature

Si vous utilisez déjà l’infrastructure à clé publique, les systèmes de site utilisent le certificat PKI lié dans IIS, même si vous activez http amélioré.

Scénarios

Les scénarios suivants tirent parti du protocole HTTP amélioré :

Scénario 1 : Client vers point de gestion

Les appareils joints à Azure Active Directory (Azure AD) et avec un jeton Configuration Manager émis peuvent communiquer avec un point de gestion configuré pour HTTP si vous activez le protocole HTTP amélioré pour le site. Avec http amélioré activé, le serveur de site génère un certificat pour le point de gestion lui permettant de communiquer via un canal sécurisé.

Remarque

Ce scénario ne nécessite pas l’utilisation d’un point de gestion https, mais il est pris en charge comme alternative à l’utilisation de HTTP amélioré. Pour plus d’informations sur l’utilisation d’un point de gestion https, consultez Activer le point de gestion pour HTTPS.

Scénario 2 : Client vers point de distribution

Un client de groupe de travail ou joint à Azure AD peut authentifier et télécharger du contenu sur un canal sécurisé à partir d’un point de distribution configuré pour HTTP. Ces types d’appareils peuvent également authentifier et télécharger du contenu à partir d’un point de distribution configuré pour HTTPS sans nécessiter de certificat PKI sur le client. Il est difficile d’ajouter un certificat d’authentification client à un groupe de travail ou à un client joint à Azure AD.

Ce comportement inclut des scénarios de déploiement de système d’exploitation avec une séquence de tâches s’exécutant à partir du support de démarrage, de PXE ou du Centre logiciel. Pour plus d’informations, consultez Compte d’accès réseau.

Scénario 3 : Identité d’appareil Azure AD

Un appareil Azure AD joint ou hybride Azure AD sans utilisateur Azure AD connecté peut communiquer en toute sécurité avec son site attribué. L’identité d’appareil basée sur le cloud est désormais suffisante pour s’authentifier auprès de la passerelle de gestion cloud et du point de gestion pour les scénarios centrés sur l’appareil. (Un jeton utilisateur est toujours nécessaire pour les scénarios centrés sur l’utilisateur.)

Fonctionnalités

Les fonctionnalités de Configuration Manager suivantes prennent en charge ou nécessitent une amélioration du protocole HTTP :

Remarque

Le point de mise à jour logicielle et les scénarios associés ont toujours pris en charge le trafic HTTP sécurisé avec les clients, ainsi que la passerelle de gestion cloud. Il utilise un mécanisme avec le point de gestion différent de l’authentification basée sur un certificat ou un jeton.

Scénarios non pris en charge

Le protocole HTTP amélioré ne sécurise actuellement pas toutes les communications dans Configuration Manager. La liste suivante récapitule certaines fonctionnalités clés qui sont toujours http.

  • Communication d’égal à égal client pour le contenu
  • Point de migration d’état
  • Outils de contrôle à distance
  • Point Reporting Services

Remarque

Cette liste n’est pas exhaustive.

Conditions préalables

  • Point de gestion configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Général des propriétés du rôle de point de gestion.

  • Point de distribution configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Communication des propriétés du rôle de point de distribution. N’activez pas l’option Autoriser les clients à se connecter anonymement.

  • Pour les scénarios qui nécessitent l’authentification Azure AD, intégrez le site à Azure AD pour la gestion cloud. Si vous n’intégrez pas le site à Azure AD, vous pouvez toujours activer http amélioré.

  • Pour le scénario 3 uniquement : un client exécutant une version prise en charge de Windows 10 ou une version ultérieure et joint à Azure AD. Le client a besoin de cette configuration pour l’authentification de l’appareil Azure AD.

Remarque

Il n’existe aucune configuration requise pour la version du système d’exploitation, autre que celle prise en charge par le client Configuration Manager.

Configurer le site

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Sélectionnez le site et choisissez Propriétés dans le ruban.

  2. Basculez vers l’onglet Sécurité des communications . Sélectionnez l’option HTTPS ou HTTP. Activez ensuite l’option Utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP.

Conseil

Attendez jusqu’à 30 minutes que le point de gestion reçoive et configure le nouveau certificat à partir du site.

Vous pouvez également activer le protocole HTTP amélioré pour le site d’administration centrale (CAS). Utilisez ce même processus et ouvrez les propriétés du site d’administration centrale. Cette action active uniquement le protocole HTTP amélioré pour le rôle Fournisseur SMS au niveau du site d’administration centrale. Il ne s’agit pas d’un paramètre global qui s’applique à tous les sites de la hiérarchie.

Pour plus d’informations sur la façon dont le client communique avec le point de gestion et le point de distribution avec cette configuration, consultez Communications des clients aux systèmes et services de site.

Valider le certificat

Vous pouvez voir ces certificats dans la console Configuration Manager. Accédez à l’espace de travail Administration , développez Sécurité, puis sélectionnez le nœud Certificats . Recherchez le certificat racine d’émission de SMS et les certificats de rôle de serveur de site émis par la racine d’émission de SMS.

Lorsque vous activez http amélioré, le serveur de site génère un certificat auto-signé nommé CERTIFICAT SSL de rôle SMS. Ce certificat est émis par le certificat d’émission SMS racine. Le point de gestion ajoute ce certificat au site web IIS par défaut lié au port 443.

Pour voir l’état de la configuration, consultez mpcontrol.log.

Diagramme conceptuel

Ce diagramme résume et visualise certains des principaux aspects de la fonctionnalité HTTP améliorée dans Configuration Manager.

Diagramme conceptuel des fonctionnalités HTTP améliorées.

  • La connexion avec Azure AD est recommandée, mais facultative. Il permet les scénarios qui nécessitent l’authentification Azure AD.

  • Lorsque vous activez l’option de site pour le protocole HTTP amélioré, le site émet des certificats auto-signés pour les systèmes de site tels que les rôles de point de gestion et de point de distribution.

  • Les systèmes de site étant toujours configurés pour les connexions HTTP, les clients communiquent avec eux via HTTPS.

Questions fréquemment posées

Quels sont les avantages du protocole HTTP amélioré ?

Le principal avantage est de réduire l’utilisation du protocole HTTP pur, qui est un protocole non sécurisé. Configuration Manager tente d’être sécurisé par défaut et Microsoft souhaite faciliter la sécurisation de vos appareils. L’activation du protocole HTTPS basé sur pKI est une configuration plus sécurisée, mais qui peut être complexe pour de nombreux clients. Si vous ne pouvez pas effectuer le protocole HTTPS, activez http amélioré. Microsoft recommande cette configuration, même si votre environnement n’utilise actuellement aucune des fonctionnalités qui la prennent en charge.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Dois-je utiliser Azure AD pour activer http amélioré ?

Non. La plupart des scénarios et fonctionnalités qui tirent parti du protocole HTTP amélioré s’appuient sur l’authentification Azure AD. Vous pouvez activer le protocole HTTP amélioré sans intégrer le site à Azure AD. Il prend ensuite en charge des fonctionnalités telles que le service d’administration et le besoin réduit pour le compte d’accès réseau. Vous avez besoin d’Azure AD uniquement lorsque l’une des fonctionnalités de prise en charge l’exige.

Remarque

Même si vous n’utilisez pas directement l’API REST du service d’administration, certaines fonctionnalités Configuration Manager l’utilisent en mode natif, notamment des parties de la console Configuration Manager.

Comment les clients communiquent-ils avec les systèmes de site ?

Lorsque vous activez le protocole HTTP amélioré, le site émet des certificats pour les systèmes de site. Par exemple, le point de gestion et le point de distribution. Ensuite, ces systèmes de site peuvent prendre en charge la communication sécurisée dans les scénarios actuellement pris en charge.

Du point de vue du client, le point de gestion émet un jeton pour chaque client. Le client utilise ce jeton pour sécuriser la communication avec les systèmes de site. Ce comportement est indépendant de la version du système d’exploitation, autre que ce que le client Configuration Manager prend en charge.

Si certains systèmes de site sont déjà https, puis-je activer le protocole HTTP amélioré ?

Oui. Les systèmes de site préfèrent toujours un certificat PKI. Par exemple, un point de gestion a déjà un certificat PKI, mais pas d’autres. Lorsque vous activez le protocole HTTP amélioré pour le site, le point de gestion HTTPS continue d’utiliser le certificat PKI. Les autres points de gestion utilisent le certificat émis par le site pour le protocole HTTP amélioré.

Prochaines étapes