Förbättrad HTTP
Gäller för: Configuration Manager (aktuell gren)
Microsoft rekommenderar att du använder HTTPS-kommunikation för alla Configuration Manager kommunikationsvägar, men det är svårt för vissa kunder på grund av arbetet med att hantera PKI-certifikat. Med förbättrad HTTP kan Configuration Manager tillhandahålla säker kommunikation genom att utfärda självsignerade certifikat till specifika platssystem.
Det finns två huvudsakliga mål för den här konfigurationen:
Du kan skydda känslig klientkommunikation utan att behöva PKI-serverautentiseringscertifikat.
Klienter kan på ett säkert sätt komma åt innehåll från distributionsplatser utan att behöva ett nätverksåtkomstkonto, PKI-klientcertifikat eller Windows-autentisering.
All annan klientkommunikation sker via HTTP. Förbättrad HTTP är inte samma sak som att aktivera HTTPS för klientkommunikation eller ett platssystem.
Obs!
PKI-certifikat är fortfarande ett giltigt alternativ för kunder med följande krav:
- All klientkommunikation sker via HTTPS
- Avancerad kontroll över signeringsinfrastrukturen
Om du redan använder PKI använder platssystem det PKI-certifikat som är bundet i IIS även om du aktiverar utökad HTTP.
Scenarier
Följande scenarier drar nytta av förbättrad HTTP:
Scenario 1: Klient till hanteringsplats
Microsoft Entra anslutna enheter och enheter med en Configuration Manager utfärdad token kan kommunicera med en hanteringsplats som konfigurerats för HTTP om du aktiverar förbättrad HTTP för webbplatsen. När förbättrad HTTP är aktiverat genererar platsservern ett certifikat för hanteringsplatsen så att den kan kommunicera via en säker kanal.
Obs!
Det här scenariot kräver inte användning av en HTTPS-aktiverad hanteringsplats, men det stöds som ett alternativ till att använda förbättrad HTTP. Mer information om hur du använder en HTTPS-aktiverad hanteringsplats finns i Aktivera hanteringsplats för HTTPS.
Scenario 2: Klient till distributionsplats
En arbetsgrupp eller Microsoft Entra ansluten klient kan autentisera och ladda ned innehåll via en säker kanal från en distributionsplats som konfigurerats för HTTP. Dessa typer av enheter kan också autentisera och ladda ned innehåll från en distributionsplats som konfigurerats för HTTPS utan att kräva ett PKI-certifikat på klienten. Det är svårt att lägga till ett klientautentiseringscertifikat till en arbetsgrupp eller Microsoft Entra ansluten klient.
Det här beteendet omfattar distributionsscenarier för operativsystem med en aktivitetssekvens som körs från startmedia, PXE eller Software Center. Mer information finns i Nätverksåtkomstkonto.
Scenario 3: Microsoft Entra enhetsidentitet
En Microsoft Entra ansluten eller hybrid Microsoft Entra enhet utan en Microsoft Entra användare som är inloggad kan kommunicera säkert med sin tilldelade webbplats. Den molnbaserade enhetsidentiteten räcker nu för att autentisera med CMG och hanteringsplatsen för enhetscentrerade scenarier. (En användartoken krävs fortfarande för användarcentrerade scenarier.)
Funktioner
Följande Configuration Manager funktioner stöder eller kräver förbättrad HTTP:
- Molnhanteringsgateway
- OS-distribution utan ett konto för nätverksåtkomst
- Aktivera samhantering för nya Internetbaserade Windows-enheter
- Appgodkännanden via e-post
- Administrationstjänst
- Visa nyligen anslutna konsoler
- Återställning av BitLocker-hanteringsnyckel (version 2103 och senare)
- Software Center-användartillgängliga program (version 2107 och senare)
- Företagsportal på samhanterade enheter (version 2107 och senare)
Obs!
Programuppdateringsplatsen och relaterade scenarier har alltid stöd för säker HTTP-trafik med klienter samt molnhanteringsgatewayen. Den använder en mekanism med hanteringsplatsen som skiljer sig från certifikat- eller tokenbaserad autentisering.
Scenarier som inte stöds
Förbättrad HTTP skyddar för närvarande inte all kommunikation i Configuration Manager. I följande lista sammanfattas några viktiga funktioner som fortfarande är HTTP.
- Peer-to-peer-kommunikation för innehåll
- Tillståndsmigreringsplats
- Fjärrverktyg
- Reporting Services-plats
Obs!
Den här listan är inte fullständig.
Förutsättningar
En hanteringsplats som konfigurerats för HTTP-klientanslutningar. Ange det här alternativet på fliken Allmänt för rollegenskaperna för hanteringsplatser.
En distributionsplats som konfigurerats för HTTP-klientanslutningar. Ange det här alternativet på fliken Kommunikation för rollegenskaperna för distributionsplatser. Aktivera inte alternativet Tillåt klienter att ansluta anonymt.
För scenarier som kräver Microsoft Entra autentisering registrerar du webbplatsen för att Microsoft Entra ID för molnhantering. Om du inte registrerar webbplatsen för att Microsoft Entra ID kan du fortfarande aktivera utökad HTTP.
Endast för scenario 3: En klient som kör en version av Windows 10 eller senare som stöds och som är ansluten till Microsoft Entra-ID. Klienten kräver den här konfigurationen för Microsoft Entra enhetsautentisering.
Obs!
Det finns inga krav på operativsystemversion, förutom vad Configuration Manager-klienten stöder.
Konfigurera webbplatsen
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser. Välj webbplatsen och välj Egenskaper i menyfliksområdet.
Växla till fliken Kommunikationssäkerhet . Välj alternativet för HTTPS eller HTTP. Aktivera sedan alternativet Använd Configuration Manager-genererade certifikat för HTTP-platssystem.
Tips
Vänta upp till 30 minuter tills hanteringsplatsen tar emot och konfigurera det nya certifikatet från platsen.
Du kan också aktivera förbättrad HTTP för den centrala administrationswebbplatsen (CAS). Använd samma process och öppna egenskaperna för CAS. Den här åtgärden aktiverar endast förbättrad HTTP för SMS-providerrollen i CAS. Det är inte en global inställning som gäller för alla platser i hierarkin.
Mer information om hur klienten kommunicerar med hanteringsplatsen och distributionsplatsen med den här konfigurationen finns i Kommunikation från klienter till platssystem och -tjänster.
Verifiera certifikatet
Du kan se dessa certifikat i Configuration Manager-konsolen. Gå till arbetsytan Administration , expandera Säkerhet och välj noden Certifikat . Leta efter DET SMS-utfärdande rotcertifikatet och platsserverrollcertifikaten som utfärdats av SMS-roten.
När du aktiverar förbättrad HTTP genererar platsservern ett självsignerat certifikat med namnet SMS Role SSL Certificate. Det här certifikatet utfärdas av det utfärdande rotcertifikatet för SMS. Hanteringsplatsen lägger till det här certifikatet på IIS-standardwebbplatsen som är bunden till port 443.
Om du vill se status för konfigurationen läser du mpcontrol.log.
Konceptuellt diagram
Det här diagrammet sammanfattar och visualiserar några av de viktigaste aspekterna av de förbättrade HTTP-funktionerna i Configuration Manager.
Anslutningen med Microsoft Entra-ID rekommenderas men är valfri. Det möjliggör scenarier som kräver Microsoft Entra autentisering.
När du aktiverar platsalternativet för utökad HTTP utfärdar platsen självsignerade certifikat till platssystem som hanteringsplats- och distributionsplatsroller.
När platssystemen fortfarande är konfigurerade för HTTP-anslutningar kommunicerar klienterna med dem via HTTPS.
Vanliga frågor och svar
Vilka är fördelarna med förbättrad HTTP?
Den största fördelen är att minska användningen av ren HTTP, vilket är ett osäkert protokoll. Configuration Manager försöker vara säker som standard och Microsoft vill göra det enkelt för dig att skydda dina enheter. Att aktivera PKI-baserad HTTPS är en säkrare konfiguration, men det kan vara komplext för många kunder. Om du inte kan göra HTTPS aktiverar du utökad HTTP. Microsoft rekommenderar den här konfigurationen, även om din miljö för närvarande inte använder någon av de funktioner som stöder den.
Viktigt
Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.
Behöver jag använda Microsoft Entra-ID för att aktivera utökad HTTP?
Nej. Många av de scenarier och funktioner som drar nytta av förbättrad HTTP är beroende av Microsoft Entra autentisering. Du kan aktivera utökad HTTP utan att registrera webbplatsen för att Microsoft Entra ID. Den stöder sedan funktioner som administrationstjänsten och det minskade behovet av nätverksåtkomstkontot. Du behöver bara Microsoft Entra-ID när en av de stödjande funktionerna kräver det.
Obs!
Även om du inte direkt använder administrationstjänstens REST API använder vissa Configuration Manager funktioner det internt, inklusive delar av Configuration Manager-konsolen.
Hur kommunicerar klienter med platssystem?
När du aktiverar utökad HTTP utfärdar platsen certifikat till platssystem. Till exempel hanteringsplatsen och distributionsplatsen. Sedan kan dessa platssystem stödja säker kommunikation i scenarier som stöds för närvarande.
Från ett klientperspektiv utfärdar hanteringsplatsen varje klient en token. Klienten använder denna token för att skydda kommunikationen med platssystemen. Det beteendet är os-versionsberoende, förutom vad Configuration Manager-klienten stöder.
Kan jag aktivera förbättrad HTTP om vissa platssystem redan är HTTPS?
Ja. Platssystem föredrar alltid ett PKI-certifikat. En hanteringsplats har till exempel redan ett PKI-certifikat, men andra har det inte. När du aktiverar utökad HTTP för platsen fortsätter HTTPS-hanteringsplatsen att använda PKI-certifikatet. De andra hanteringsplatserna använder det platsutfärdade certifikatet för utökad HTTP.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för