향상된 HTTP
적용 대상: Configuration Manager(현재 분기)
Microsoft는 모든 Configuration Manager 통신 경로에 HTTPS 통신을 사용하는 것이 좋지만 PKI 인증서 관리 오버헤드로 인해 일부 고객에게는 어려운 일입니다. 향상된 HTTP를 사용하면 Configuration Manager 특정 사이트 시스템에 자체 서명된 인증서를 발급하여 보안 통신을 제공할 수 있습니다.
이 구성에는 두 가지 주요 목표가 있습니다.
PKI 서버 인증 인증서 없이 중요한 클라이언트 통신을 보호할 수 있습니다.
클라이언트는 네트워크 액세스 계정, 클라이언트 PKI 인증서 또는 Windows 인증 필요 없이 배포 지점에서 콘텐츠에 안전하게 액세스할 수 있습니다.
다른 모든 클라이언트 통신은 HTTP를 통해서입니다. 향상된 HTTP는 클라이언트 통신 또는 사이트 시스템에 HTTPS를 사용하도록 설정하는 것과 동일하지 않습니다.
참고
PKI 인증서는 다음 요구 사항이 있는 고객에게 여전히 유효한 옵션입니다.
- 모든 클라이언트 통신은 HTTPS를 통해
- 서명 인프라의 고급 제어
PKI를 이미 사용하는 경우 사이트 시스템은 향상된 HTTP를 사용하도록 설정하더라도 IIS에 바인딩된 PKI 인증서를 사용합니다.
시나리오
다음 시나리오에서는 향상된 HTTP를 활용할 수 있습니다.
시나리오 1: 클라이언트에서 관리 지점으로
Microsoft Entra 연결된 디바이스 및 Configuration Manager 발급된 토큰이 있는 디바이스는 사이트에 대해 향상된 HTTP를 사용하도록 설정하는 경우 HTTP에 대해 구성된 관리 지점과 통신할 수 있습니다. 향상된 HTTP를 사용하도록 설정하면 사이트 서버는 보안 채널을 통해 통신할 수 있도록 관리 지점에 대한 인증서를 생성합니다.
참고
이 시나리오에서는 HTTPS 사용 관리 지점을 사용할 필요가 없지만 향상된 HTTP를 사용하는 대신 지원됩니다. HTTPS 사용 관리 지점 사용에 대한 자세한 내용은 HTTPS 에 대한 관리 지점 사용을 참조하세요.
시나리오 2: 클라이언트에서 배포 지점으로
작업 그룹 또는 Microsoft Entra 조인된 클라이언트는 HTTP용으로 구성된 배포 지점에서 보안 채널을 통해 콘텐츠를 인증하고 다운로드할 수 있습니다. 이러한 유형의 디바이스는 클라이언트에서 PKI 인증서를 요구하지 않고 HTTPS에 대해 구성된 배포 지점에서 콘텐츠를 인증하고 다운로드할 수도 있습니다. 클라이언트 인증 인증서를 작업 그룹 또는 Microsoft Entra 조인된 클라이언트에 추가하는 것은 어려운 일입니다.
이 동작에는 부팅 미디어, PXE 또는 소프트웨어 센터에서 실행되는 작업 순서가 있는 OS 배포 시나리오가 포함됩니다. 자세한 내용은 네트워크 액세스 계정을 참조하세요.
시나리오 3: 디바이스 ID Microsoft Entra
Microsoft Entra 사용자가 로그인하지 않은 Microsoft Entra 조인 또는 하이브리드 Microsoft Entra 디바이스는 할당된 사이트와 안전하게 통신할 수 있습니다. 클라우드 기반 디바이스 ID는 이제 디바이스 중심 시나리오에 대한 CMG 및 관리 지점으로 인증하기에 충분합니다. (사용자 중심 시나리오에는 사용자 토큰이 여전히 필요합니다.)
기능
다음 Configuration Manager 기능은 향상된 HTTP를 지원하거나 요구합니다.
- 클라우드 관리 게이트웨이
- 네트워크 액세스 계정이 없는 OS 배포
- 새 인터넷 기반 Windows 디바이스에 대한 공동 관리 사용
- 전자 메일을 통한 앱 승인
- 관리 서비스
- 최근에 연결된 콘솔 보기
- BitLocker 관리 키 복구 (버전 2103 이상)
- 소프트웨어 센터 사용자 사용 가능한 애플리케이션(버전 2107 이상)
- 공동 관리 디바이스에서 회사 포털(버전 2107 이상)
참고
소프트웨어 업데이트 지점 및 관련 시나리오는 항상 클라우드 관리 게이트웨이뿐만 아니라 클라이언트와의 보안 HTTP 트래픽을 지원합니다. 인증서 또는 토큰 기반 인증과 다른 관리 지점이 있는 메커니즘을 사용합니다.
지원되지 않는 시나리오
향상된 HTTP는 현재 Configuration Manager 모든 통신을 보호하지 않습니다. 다음 목록에는 여전히 HTTP인 몇 가지 주요 기능이 요약되어 있습니다.
- 콘텐츠에 대한 클라이언트 피어 투 피어 통신
- 상태 마이그레이션 지점
- 원격 도구
- 보고 서비스 지점
참고
이 목록은 완전하지 않습니다.
필수 구성 요소
HTTP 클라이언트 연결에 대해 구성된 관리 지점입니다. 관리 지점 역할 속성의 일반 탭에서 이 옵션을 설정합니다.
HTTP 클라이언트 연결에 대해 구성된 배포 지점입니다. 배포 지점 역할 속성의 통신 탭에서 이 옵션을 설정합니다. 클라이언트가 익명으로 연결하도록 허용하는 옵션을 사용하도록 설정하지 마세요.
Microsoft Entra 인증이 필요한 시나리오의 경우 클라우드 관리를 위해 Microsoft Entra ID에 사이트를 온보딩합니다. 사이트를 Microsoft Entra ID에 온보딩하지 않은 경우에도 향상된 HTTP를 사용하도록 설정할 수 있습니다.
시나리오 3에만 해당: 지원되는 버전의 Windows 10 이상을 실행하고 Microsoft Entra ID에 조인된 클라이언트입니다. 클라이언트는 Microsoft Entra 디바이스 인증을 위해 이 구성이 필요합니다.
참고
Configuration Manager 클라이언트가 지원하는 것 외에는 OS 버전 요구 사항이 없습니다.
사이트 구성
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다. 사이트를 선택하고 리본에서 속성을 선택합니다.
통신 보안 탭으로 전환합니다. HTTPS 또는 HTTP에 대한 옵션을 선택합니다. 그런 다음 HTTP 사이트 시스템에 Configuration Manager 생성된 인증서 사용 옵션을 사용하도록 설정합니다.
팁
관리 지점이 사이트에서 새 인증서를 받고 구성할 때까지 최대 30분 정도 기다립니다.
CAS(중앙 관리 사이트)에 대해 향상된 HTTP를 사용하도록 설정할 수도 있습니다. 이 동일한 프로세스를 사용하고 CAS의 속성을 엽니다. 이 작업은 CAS에서 SMS 공급자 역할에 대해서만 향상된 HTTP를 사용하도록 설정합니다. 계층 구조의 모든 사이트에 적용되는 전역 설정이 아닙니다.
클라이언트가 이 구성을 사용하여 관리 지점 및 배포 지점과 통신하는 방법에 대한 자세한 내용은 클라이언트에서 사이트 시스템 및 서비스로의 통신을 참조하세요.
인증서 유효성 검사
Configuration Manager 콘솔에서 이러한 인증서를 볼 수 있습니다. 관리 작업 영역으로 이동하여 보안을 확장하고 인증서 노드를 선택합니다. SMS 발급 루트 인증서 및 SMS 발급 루트에서 발급한 사이트 서버 역할 인증서를 찾습니다.
향상된 HTTP를 사용하도록 설정하면 사이트 서버는 SMS 역할 SSL 인증서라는 자체 서명된 인증서를 생성합니다. 이 인증서는 루트 SMS 발급 인증서에서 발급됩니다 . 관리 지점에서 이 인증서를 포트 443에 바인딩된 IIS 기본 웹 사이트에 추가합니다.
구성의 상태 보려면 mpcontrol.log를 검토합니다.
개념 다이어그램
이 다이어그램은 Configuration Manager 향상된 HTTP 기능의 기본 측면을 요약하고 시각화합니다.
Microsoft Entra ID와의 연결은 권장되지만 선택 사항입니다. Microsoft Entra 인증이 필요한 시나리오를 사용할 수 있습니다.
향상된 HTTP에 사이트 옵션을 사용하도록 설정하면 사이트에서 관리 지점 및 배포 지점 역할과 같은 사이트 시스템에 자체 서명된 인증서를 발급합니다.
사이트 시스템이 여전히 HTTP 연결에 대해 구성된 상태에서 클라이언트는 HTTPS를 통해 통신합니다.
질문과 대답
향상된 HTTP의 이점은 무엇인가요?
기본 이점은 안전하지 않은 프로토콜인 순수 HTTP의 사용을 줄이는 것입니다. Configuration Manager 기본적으로 보안을 유지하려고 하며, Microsoft는 사용자가 디바이스를 안전하게 쉽게 유지할 수 있도록 하려고 합니다. PKI 기반 HTTPS를 사용하도록 설정하는 것은 더 안전한 구성이지만 많은 고객에게 복잡할 수 있습니다. HTTPS를 수행할 수 없는 경우 향상된 HTTP를 사용하도록 설정합니다. 환경이 현재 해당 구성을 지원하는 기능을 사용하지 않는 경우에도 이 구성을 권장합니다.
중요
Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.
Microsoft Entra ID를 사용하여 향상된 HTTP를 사용하도록 설정해야 하나요?
아니요. 향상된 HTTP의 이점을 활용하는 많은 시나리오와 기능은 Microsoft Entra 인증에 의존합니다. 사이트를 Microsoft Entra ID로 온보딩하지 않고도 향상된 HTTP를 사용하도록 설정할 수 있습니다. 그런 다음 관리 서비스와 같은 기능과 네트워크 액세스 계정에 대한 필요성 감소를 지원합니다. 지원 기능 중 하나에 필요한 경우에만 Microsoft Entra ID가 필요합니다.
참고
관리 서비스 REST API를 직접 사용하지 않더라도 일부 Configuration Manager 기능은 기본적으로 Configuration Manager 콘솔의 일부를 포함하여 이 API를 사용합니다.
클라이언트는 사이트 시스템과 어떻게 통신합니까?
향상된 HTTP를 사용하도록 설정하면 사이트에서 사이트 시스템에 인증서를 발급합니다. 예를 들어 관리 지점 및 배포 지점입니다. 그런 다음 이러한 사이트 시스템은 현재 지원되는 시나리오에서 보안 통신을 지원할 수 있습니다.
클라이언트 관점에서 관리 지점은 각 클라이언트에 토큰을 발급합니다. 클라이언트는 이 토큰을 사용하여 사이트 시스템과의 통신을 보호합니다. 이 동작은 Configuration Manager 클라이언트가 지원하는 것 외에는 OS 버전에 구애받지 않습니다.
일부 사이트 시스템이 이미 HTTPS인 경우 향상된 HTTP를 사용하도록 설정할 수 있나요?
예. 사이트 시스템은 항상 PKI 인증서를 선호합니다. 예를 들어 한 관리 지점에는 이미 PKI 인증서가 있지만 다른 관리 지점은 그렇지 않습니다. 사이트에 대해 향상된 HTTP를 사용하도록 설정하면 HTTPS 관리 지점에서 PKI 인증서를 계속 사용합니다. 다른 관리 지점은 향상된 HTTP에 대해 사이트 발급 인증서를 사용합니다.