HTTP melhorado
Aplica-se a: Configuration Manager (ramo atual)
A Microsoft recomenda a utilização de comunicações HTTPS para todos os caminhos de comunicação do Gestor de Configuração, mas é um desafio para alguns clientes devido à sobrecarga de gestão de certificados PKI. Com https melhorado, o Gestor de Configuração pode fornecer comunicação segura através da emissão de certificados auto-assinados para sistemas de sites específicos.
Existem dois objetivos principais para esta configuração:
Pode garantir uma comunicação sensível ao cliente sem a necessidade de certificados de autenticação de servidores PKI.
Os clientes podem aceder de forma segura ao conteúdo a partir de pontos de distribuição sem a necessidade de uma conta de acesso à rede, certificado PKI do cliente ou Windows autenticação.
Toda a comunicação do cliente está em HTTP. HTTP melhorado não é o mesmo que permitir HTTPS para comunicação com clientes ou um sistema de site.
Nota
Os certificados PKI ainda são uma opção válida para clientes com os seguintes requisitos:
- Toda a comunicação do cliente está sobre HTTPS
- Controlo avançado da infraestrutura de assinatura
Se já estiver a utilizar o PKI, os sistemas de site utilizam o certificado PKI vinculado no IIS mesmo que ative HTTP melhorado.
Cenários
Os seguintes cenários beneficiam de HTTP reforçado:
Cenário 1: Cliente ao ponto de gestão
Azure Ative Directory (Azure AD)-joined devices and devices with a Configuration Manager issueed token pode comunicar com um ponto de gestão configurado para HTTP se você ativar HTTP melhorado para o site. Com o HTTP melhorado ativado, o servidor do site gera um certificado para o ponto de gestão permitindo-lhe comunicar através de um canal seguro.
Nota
Este cenário não requer a utilização de um ponto de gestão via HTTPS, mas é suportado como uma alternativa à utilização de HTTP melhorado. Para obter mais informações sobre a utilização de um ponto de gestão via HTTPS, consulte o ponto de gestão de Enable for HTTPS.
Cenário 2: Cliente ao ponto de distribuição
Um grupo de trabalho ou um cliente aderido a Ad Azure pode autenticar e transferir conteúdo sobre um canal seguro a partir de um ponto de distribuição configurado para HTTP. Estes tipos de dispositivos também podem autenticar e transferir conteúdo a partir de um ponto de distribuição configurado para HTTPS sem necessitar de um certificado PKI no cliente. É um desafio adicionar um certificado de autenticação do cliente a um grupo de trabalho ou a um cliente aderido à Azure.
Este comportamento inclui cenários de implementação de SO com uma sequência de tarefas a partir de suportes de arranque, PXE ou Software Center. Para mais informações, consulte a conta de acesso à Rede.
Cenário 3: Identidade do dispositivo AD Azure
Um dispositivo Azure AD ou híbrido Azure AD sem um utilizador AD Azure assinado pode comunicar de forma segura com o seu site designado. A identidade do dispositivo baseado na nuvem é agora suficiente para autenticar com o CMG e o ponto de gestão para cenários centrados no dispositivo. (Um símbolo do utilizador ainda é necessário para cenários centrados no utilizador.)
Funcionalidades
O seguinte Gestor de Configuração apresenta suporte ou requer um HTTP melhorado:
- Gateway de gestão da cloud
- Implementação de SO sem conta de acesso à rede
- Permitir a cogestão de novos dispositivos de Windows 10 baseados na Internet
- Aprovações de aplicativos via e-mail
- Serviço de administração
- Ver consolas recentemente conectadas
- Recuperação chave de gestão BitLocker (versão 2103 e posterior)
- Aplicações disponíveis para o Software Center (versão 2107 e posterior)
- Portal da Empresa em dispositivos cogeridos (versão 2107 e posterior)
Nota
O ponto de atualização de software e cenários relacionados sempre suportaram tráfego HTTP seguro com os clientes, bem como o portal de gestão de nuvem. Usa um mecanismo com o ponto de gestão que é diferente da autenticação baseada em certificados ou fichas.
Cenários não suportados
HTTP melhorado não é atualmente seguro toda a comunicação no Gestor de Configuração. A lista seguinte resume algumas funcionalidades chave que ainda são HTTP.
- Comunicação entre clientes para conteúdo
- Ponto de Migração de Estado
- Remote tools (Ferramentas remotas)
- Ponto do Reporting Services
Nota
Esta lista não é exaustiva.
Pré-requisitos
Um ponto de gestão configurado para ligações ao cliente HTTP. Desaponte esta opção no separador Geral das propriedades de função de ponto de gestão.
Um ponto de distribuição configurado para ligações ao cliente HTTP. Desaponte esta opção no separador comunicação das propriedades da função de ponto de distribuição. Não ative a opção de permitir que os clientes se conectem de forma anónima.
Para cenários que exijam autenticação AZURE AD, a bordo do site para Azure AD para gestão de nuvem. Se não estiver a bordo do site para Azure AD, ainda pode ativar HTTP melhorado.
Apenas para o Cenário 3: Um cliente que executa uma versão suportada de Windows 10 e juntou-se ao Azure AD. O cliente requer esta configuração para a autenticação do dispositivo Azure.
Nota
Não existem requisitos de versão OS, para além do que o cliente do Gestor de Configuração suporta.
Configure o site
Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'. Selecione o site e escolha Propriedades na fita.
Mude para o separador de Segurança da Comunicação. Selecione a opção HTTPS ou HTTP. Em seguida, ative a opção de utilizar certificados gerados pelo Gestor de Configuração para sistemas de sites HTTP.
Dica
Aguarde até 30 minutos para que o ponto de gestão receba e configuure o novo certificado do site.
Também pode ativar HTTP melhorado para o site da administração central (CAS). Use este mesmo processo e abra as propriedades do CAS. Esta ação apenas permite um HTTP reforçado para a função de Fornecedor de SMS no CAS. Não é um cenário global que se aplica a todos os sites da hierarquia.
Para obter mais informações sobre como o cliente comunica com o ponto de gestão e ponto de distribuição com esta configuração, consulte Comunicações de clientes para sistemas e serviços de site.
Validar o certificado
Pode ver estes certificados na consola Do Gestor de Configuração. Vá ao espaço de trabalho da Administração, expanda a Segurança e selecione o nó certificados. Procure o certificado raiz de emissão de SMS e os certificados de função do servidor do site emitidos pela raiz de emissão de SMS.
Quando ativa http melhorado, o servidor do site gera um certificado auto-assinado denominado Certificado SMS Role SSL. Este certificado é emitido pelo certificado de emissão de SMS de raiz. O ponto de gestão adiciona este certificado ao web site padrão IIS vinculado à porta 443.
Para ver o estado da configuração, reveja o controlo de mp.log. .
Diagrama conceptual
Este diagrama resume e visualiza alguns dos principais aspetos da funcionalidade HTTP melhorada no Gestor de Configuração.
A ligação com a Azure AD é recomendada, mas opcional. Permite cenários que requerem autenticação AZure AD.
Quando ativa a opção do site para HTTP melhorado, o site emite certificados auto-assinados para sistemas de site, tais como as funções de ponto de gestão e ponto de distribuição.
Com os sistemas do site ainda configurados para ligações HTTP, os clientes comunicam com eles através de HTTPS.
Perguntas mais frequentes
Quais são os benefícios do HTTP melhorado?
O principal benefício é reduzir o uso de HTTP puro, que é um protocolo inseguro. O Gestor de Configuração tenta ser seguro por defeito e a Microsoft quer facilitar-lhe a manutenção dos seus dispositivos. Permitir o HTTPS baseado em PKI é uma configuração mais segura, mas que pode ser complexa para muitos clientes. Se não conseguir fazer HTTPS, então ative HTTP melhorado. A Microsoft recomenda esta configuração, mesmo que o seu ambiente não utilize atualmente nenhuma das funcionalidades que a suportam.
Importante
A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.
Preciso de utilizar o Azure AD para ativar http melhorado?
N.º Muitos dos cenários e funcionalidades que beneficiam de HTTP melhorado dependem da autenticação AD Azure. Pode ativar HTTP melhorado sem embarcar no site para Azure AD. Em seguida, suporta funcionalidades como o serviço de administração e a necessidade reduzida da conta de acesso à rede. Só precisa do Azure AD quando uma das funcionalidades de suporte o necessita.
Nota
Mesmo que não utilize diretamente o serviço de administração REST API, alguns recursos do Gestor de Configuração utilizam-no de forma nativa, incluindo partes da consola Do Gestor de Configuração.
Como é que os clientes comunicam com os sistemas de site?
Quando ativa o HTTP melhorado, o site emite certificados para os sistemas de site. Por exemplo, o ponto de gestão e o ponto de distribuição. Em seguida, estes sistemas de site podem suportar comunicação segura em cenários atualmente suportados.
Do ponto de vista do cliente, o ponto de gestão emite a cada cliente um símbolo. O cliente usa este token para garantir a comunicação com os sistemas do site. Este comportamento é agnóstico da versão OS, para além do que o cliente do Gestor de Configuração suporta.
Se alguns sistemas de sites já estiverem HTTPS, posso ativar HTTP melhorado?
Sim. Os sistemas do site preferem sempre um certificado PKI. Por exemplo, um ponto de gestão já tem um certificado PKI, mas outros não. Quando ativa o HTTP melhorado para o site, o ponto de gestão HTTPS continua a utilizar o certificado PKI. Os outros pontos de gestão utilizam o certificado emitido pelo site para HTTP melhorado.