拡張 HTTP
Configuration Manager (現在のブランチ) に適用
Microsoft では、すべてのConfiguration Manager通信パスに HTTPS 通信を使用することをお勧めしますが、PKI 証明書を管理するオーバーヘッドのため、一部のお客様にとっては困難です。 拡張 HTTP を使用すると、Configuration Managerは、自己署名証明書を特定のサイト システムに発行することで、セキュリティで保護された通信を提供できます。
この構成には、次の 2 つの主な目標があります。
PKI サーバー認証証明書を必要とせずに、機密性の高いクライアント通信をセキュリティで保護できます。
クライアントは、ネットワーク アクセス アカウント、クライアント PKI 証明書、またはWindows 認証を必要とせずに、配布ポイントからコンテンツに安全にアクセスできます。
その他のすべてのクライアント通信は HTTP 経由です。 拡張 HTTP は、クライアント通信またはサイト システムで HTTPS を有効にした場合と同じではありません。
注:
PKI 証明書は、次の要件を満たすお客様にとって引き続き有効なオプションです。
- すべてのクライアント通信が HTTPS 経由である
- 署名インフラストラクチャの高度な制御
PKI を既に使用している場合、拡張 HTTP を有効にした場合でも、サイト システムは IIS でバインドされた PKI 証明書を使用します。
シナリオ
次のシナリオでは、拡張 HTTP の利点があります。
シナリオ 1: クライアントから管理ポイントへ
Configuration Manager発行されたトークンを持つ参加済みデバイスとデバイスMicrosoft Entra、サイトの拡張 HTTP を有効にした場合、HTTP 用に構成された管理ポイントと通信できます。 拡張 HTTP が有効になっている場合、サイト サーバーは管理ポイントの証明書を生成し、セキュリティで保護されたチャネル経由で通信できるようにします。
注:
このシナリオでは、HTTPS 対応管理ポイントを使用する必要はありませんが、拡張 HTTP を使用する代わりにサポートされます。 HTTPS 対応管理ポイントの使用の詳細については、「HTTPS の 管理ポイントを有効にする」を参照してください。
シナリオ 2: クライアントから配布ポイントへ
ワークグループまたはMicrosoft Entra参加しているクライアントは、HTTP 用に構成された配布ポイントからセキュリティで保護されたチャネル経由でコンテンツを認証およびダウンロードできます。 これらの種類のデバイスは、クライアントで PKI 証明書を必要とせずに、HTTPS 用に構成された配布ポイントからコンテンツを認証およびダウンロードすることもできます。 ワークグループまたは参加しているクライアントにクライアント認証証明書を追加Microsoft Entra困難です。
この動作には、ブート メディア、PXE、またはソフトウェア センターから実行されるタスク シーケンスを含む OS 展開シナリオが含まれます。 詳細については、「 ネットワーク アクセス アカウント」を参照してください。
シナリオ 3: デバイス ID をMicrosoft Entraする
Microsoft Entra ユーザーがサインインしていないMicrosoft Entra参加済みまたはハイブリッド Microsoft Entra デバイスは、割り当てられたサイトと安全に通信できます。 クラウドベースのデバイス ID は、デバイス中心のシナリオで CMG と管理ポイントで認証するのに十分になりました。 (ユーザー中心のシナリオでは、ユーザー トークンが引き続き必要です)。
機能
次のConfiguration Manager機能では、拡張 HTTP がサポートされているか、または必要です。
- クラウド管理ゲートウェイ
- ネットワーク アクセス アカウントを使用しない OS の展開
- 新しいインターネット ベースの Windows デバイスの共同管理を有効にする
- メールによるアプリの承認
- Administration Services
- 最近接続した本体を表示する
- BitLocker 管理キーの回復 (バージョン 2103 以降)
- ソフトウェア センター のユーザーが使用できるアプリケーション (バージョン 2107 以降)
- 共同管理デバイス上のポータル サイト (バージョン 2107 以降)
注:
ソフトウェアの更新ポイントと関連するシナリオでは、クライアントとクラウド管理ゲートウェイを使用したセキュリティで保護された HTTP トラフィックが常にサポートされています。 証明書またはトークン ベースの認証とは異なる管理ポイントを持つメカニズムを使用します。
対象外のシナリオ
拡張 HTTP では、現在、Configuration Managerのすべての通信がセキュリティで保護されているわけではありません。 次の一覧は、まだ HTTP であるいくつかの重要な機能をまとめたものです。
- コンテンツのクライアント ピア ツー ピア通信
- 状態移行ポイント
- リモート ツール
- Reporting Services ポイント
注:
このリストは網羅的ではありません。
前提条件
HTTP クライアント接続用に構成された管理ポイント。 管理ポイントロールのプロパティの [ 全般 ] タブで、このオプションを設定します。
HTTP クライアント接続用に構成された配布ポイント。 配布ポイントロールのプロパティの [ 通信 ] タブで、このオプションを設定します。 [ クライアントの匿名接続を許可する] オプションを有効にしないでください。
Microsoft Entra認証が必要なシナリオでは、クラウド管理の ID をMicrosoft Entraするためにサイトをオンボードします。 サイトを Microsoft Entra ID にオンボードしていない場合でも、拡張 HTTP を有効にできます。
シナリオ 3 のみ: サポートされているバージョンのWindows 10以降を実行し、Microsoft Entra ID に参加しているクライアント。 クライアントでは、Microsoft Entraデバイス認証にこの構成が必要です。
注:
Configuration Manager クライアントがサポートする以外に、OS のバージョン要件はありません。
サイトを構成する
Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。 サイトを選択し、リボンの [プロパティ ] を選択します。
[ 通信セキュリティ ] タブに切り替えます。 HTTPS または HTTP のオプションを選択します。 次に、[HTTP サイト システムにConfiguration Manager生成された証明書を使用する] オプションを有効にします。
ヒント
管理ポイントがサイトから新しい証明書を受信して構成するまで最大 30 分待ちます。
中央管理サイト (CAS) に対して拡張 HTTP を有効にすることもできます。 この同じプロセスを使用し、CAS のプロパティを開きます。 このアクションでは、CAS での SMS プロバイダー ロールの拡張 HTTP のみが有効になります。 階層内のすべてのサイトに適用されるグローバル設定ではありません。
クライアントがこの構成を使用して管理ポイントと配布ポイントと通信する方法の詳細については、「 クライアントからサイト システムおよびサービスへの通信」を参照してください。
証明書を検証する
これらの証明書は、Configuration Manager コンソールで確認できます。 [管理] ワークスペースに移動し、[セキュリティ] を展開し、[証明書] ノードを選択します。 SMS 発行元ルート証明書と、 SMS 発行元 ルートによって発行されたサイト サーバーロール証明書を探します。
拡張 HTTP を有効にすると、サイト サーバーは SMS ロール SSL 証明書という名前の自己署名証明書を生成します。 この証明書は、ルート SMS 発行元 証明書によって発行されます。 管理ポイントは、この証明書を、ポート 443 にバインドされた IIS の既定の Web サイトに追加します。
構成の状態を確認するには、 mpcontrol.log を確認します。
概念図
この図では、Configuration Managerの強化された HTTP 機能のメイン側面の一部を要約して視覚化します。
Microsoft Entra ID を使用した接続をお勧めしますが、省略可能です。 これにより、Microsoft Entra認証を必要とするシナリオが可能になります。
拡張 HTTP のサイト オプションを有効にすると、サイトは、管理ポイントや配布ポイントの役割などのサイト システムに自己署名証明書を発行します。
サイト システムは引き続き HTTP 接続用に構成された状態で、クライアントは HTTPS 経由で通信します。
よく寄せられる質問
拡張 HTTP の利点は何ですか?
メインの利点は、安全でないプロトコルである純粋な HTTP の使用を減らすことです。 Configuration Managerは既定でセキュリティ保護を試み、Microsoft はデバイスを安全に保つことを容易にしたいと考えています。 PKI ベースの HTTPS の有効化は、より安全な構成ですが、多くのお客様にとって複雑になる可能性があります。 HTTPS を実行できない場合は、拡張 HTTP を有効にします。 現在、環境でサポートされている機能が使用されていない場合でも、この構成をお勧めします。
重要
バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。
拡張 HTTP を有効にするには、Microsoft Entra ID を使用する必要がありますか?
いいえ。 拡張 HTTP の恩恵を受けるシナリオと機能の多くは、Microsoft Entra認証に依存しています。 サイトを MICROSOFT ENTRA ID にオンボードすることなく、拡張 HTTP を有効にすることができます。 その後、管理サービスやネットワーク アクセス アカウントの必要性の軽減などの機能がサポートされます。 Microsoft Entra ID は、サポート機能のいずれかが必要な場合にのみ必要です。
注:
管理サービス REST API を直接使用しない場合でも、Configuration Manager コンソールの一部を含む一部のConfiguration Manager機能でネイティブに使用されます。
クライアントはサイト システムとどのように通信しますか?
拡張 HTTP を有効にすると、サイトはサイト システムに証明書を発行します。 たとえば、管理ポイントと配布ポイントなどです。 その後、これらのサイト システムは、現在サポートされているシナリオでセキュリティで保護された通信をサポートできます。
クライアントの観点から、管理ポイントは各クライアントにトークンを発行します。 クライアントはこのトークンを使用して、サイト システムとの通信をセキュリティで保護します。 この動作は OS バージョンに依存せず、Configuration Manager クライアントがサポートする動作を除きます。
一部のサイト システムが既に HTTPS である場合、拡張 HTTP を有効にできますか?
はい。 サイト システムでは、常に PKI 証明書が優先されます。 たとえば、1 つの管理ポイントには PKI 証明書が既に含まれますが、他の管理ポイントには PKI 証明書がありません。 サイトに対して拡張 HTTP を有効にすると、HTTPS 管理ポイントは引き続き PKI 証明書を使用します。 他の管理ポイントでは、サイト発行の証明書を使用して拡張 HTTP を行います。