Geliştirilmiş HTTP
Uygulama hedefi: Configuration Manager (güncel dalı)
Microsoft, tüm Configuration Manager iletişim yolları için HTTPS iletişiminin kullanılmasını önerir, ancak PKI sertifikalarını yönetme yükü nedeniyle bazı müşteriler için zorlayıcıdır. Gelişmiş HTTP ile Configuration Manager, belirli site sistemlerine otomatik olarak imzalanan sertifikalar vererek güvenli iletişim sağlayabilir.
Bu yapılandırma için iki birincil hedef vardır:
PKI sunucusu kimlik doğrulama sertifikalarına gerek kalmadan hassas istemci iletişiminin güvenliğini sağlayabilirsiniz.
İstemciler ağ erişim hesabına, istemci PKI sertifikasına veya Windows kimlik doğrulamasına gerek kalmadan dağıtım noktalarından içeriğe güvenli bir şekilde erişebilir.
Diğer tüm istemci iletişimi HTTP üzerinden yapılır. Gelişmiş HTTP, istemci iletişimi veya site sistemi için HTTPS'yi etkinleştirmekle aynı değildir.
Not
PKI sertifikaları, aşağıdaki gereksinimlere sahip müşteriler için hala geçerli bir seçenektir:
- Tüm istemci iletişimi HTTPS üzerinden yapılır
- İmza altyapısının gelişmiş denetimi
Zaten PKI kullanıyorsanız, gelişmiş HTTP'yi etkinleştirseniz bile site sistemleri IIS'ye bağlı PKI sertifikasını kullanır.
Senaryo
Aşağıdaki senaryolar gelişmiş HTTP'den yararlanıyor:
Senaryo 1: İstemciden yönetim noktasına
Microsoft Entra katılmış cihazlar ve Configuration Manager verilmiş belirteci olan cihazlar, site için gelişmiş HTTP'yi etkinleştirirseniz HTTP için yapılandırılmış bir yönetim noktasıyla iletişim kurabilir. Gelişmiş HTTP etkinleştirildiğinde, site sunucusu yönetim noktası için güvenli bir kanal üzerinden iletişim kurmasını sağlayan bir sertifika oluşturur.
Not
Bu senaryo, HTTPS özellikli bir yönetim noktası kullanmayı gerektirmez, ancak gelişmiş HTTP kullanımına alternatif olarak desteklenir. HTTPS özellikli bir yönetim noktası kullanma hakkında daha fazla bilgi için bkz. HTTPS için yönetim noktasını etkinleştirme.
Senaryo 2: İstemciden dağıtım noktasına
Çalışma grubu veya Microsoft Entra katılmış istemci, HTTP için yapılandırılmış bir dağıtım noktasından güvenli bir kanal üzerinden içerik doğrulayabilir ve indirebilir. Bu tür cihazlar, istemcide PKI sertifikası gerektirmeden HTTPS için yapılandırılmış bir dağıtım noktasından içerik doğrulaması yapabilir ve indirebilir. Bir çalışma grubuna veya Microsoft Entra katılmış istemciye istemci kimlik doğrulama sertifikası eklemek zordur.
Bu davranış, önyükleme medyasından, PXE'den veya Yazılım Merkezi'nden çalıştırılan bir görev dizisiyle işletim sistemi dağıtım senaryolarını içerir. Daha fazla bilgi için bkz . Ağ erişim hesabı.
Senaryo 3: cihaz kimliğini Microsoft Entra
Microsoft Entra kullanıcısı olmayan bir Microsoft Entra katılmış veya karma Microsoft Entra cihazı, atanmış sitesiyle güvenli bir şekilde iletişim kurabilir. Bulut tabanlı cihaz kimliği artık cihaz merkezli senaryolar için CMG ve yönetim noktasıyla kimlik doğrulaması yapmak için yeterlidir. (Kullanıcı merkezli senaryolar için yine de kullanıcı belirteci gereklidir.)
Özellikler
Aşağıdaki Configuration Manager özellikleri gelişmiş HTTP'yi destekler veya gerektirir:
- Bulut yönetimi ağ geçidi
- Ağ erişim hesabı olmadan işletim sistemi dağıtımı
- Yeni internet tabanlı Windows cihazları için ortak yönetimi etkinleştirme
- E-posta yoluyla uygulama onayları
- Yönetim hizmeti
- Son bağlanan konsolları görüntüleme
- BitLocker yönetim anahtarı kurtarma (sürüm 2103 ve üzeri)
- Yazılım Merkezi kullanıcı tarafından kullanılabilen uygulamalar (sürüm 2107 ve üzeri)
- Ortak yönetilen cihazlarda Şirket Portalı (sürüm 2107 ve üzeri)
Not
Yazılım güncelleştirme noktası ve ilgili senaryolar her zaman hem istemcilerle hem de bulut yönetimi ağ geçidiyle güvenli HTTP trafiğini desteklemektedir. Yönetim noktasıyla sertifika veya belirteç tabanlı kimlik doğrulamasından farklı bir mekanizma kullanır.
Desteklenmeyen senaryolar
Gelişmiş HTTP şu anda Configuration Manager'daki tüm iletişimlerin güvenliğini sağlamaz. Aşağıdaki listede hala HTTP olan bazı önemli işlevler özetlemektedir.
- İçerik için istemci eşler arası iletişim
- Durum geçiş noktası
- Uzak araçlar
- Raporlama hizmetleri noktası
Not
Bu liste kapsamlı değil.
Önkoşullar
HTTP istemci bağlantıları için yapılandırılmış bir yönetim noktası. Yönetim noktası rol özelliklerinin Genel sekmesinde bu seçeneği ayarlayın.
HTTP istemci bağlantıları için yapılandırılmış bir dağıtım noktası. Dağıtım noktası rol özelliklerinin İletişim sekmesinde bu seçeneği ayarlayın. İstemcilerin anonim olarak bağlanmasına izin ver seçeneğini etkinleştirmeyin.
Microsoft Entra kimlik doğrulaması gerektiren senaryolar için, siteyi bulut yönetimi için Microsoft Entra kimliğine ekleyin. Siteyi Microsoft Entra kimliğine eklemediyseniz gelişmiş HTTP'yi etkinleştirmeye devam edebilirsiniz.
Yalnızca Senaryo 3 için: Desteklenen bir Windows 10 veya sonraki sürümünü çalıştıran ve Microsoft Entra kimliğine katılmış bir istemci. İstemci, Microsoft Entra cihaz kimlik doğrulaması için bu yapılandırmayı gerektirir.
Not
Configuration Manager istemcisinin desteklediğinden başka işletim sistemi sürümü gereksinimi yoktur.
Siteyi yapılandırma
Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin. Siteyi seçin ve şeritte Özellikler'i seçin.
İletişim Güvenliği sekmesine geçin. HTTPS veya HTTP seçeneğini belirleyin. Ardından HTTP site sistemleri için Configuration Manager tarafından oluşturulan sertifikaları kullanma seçeneğini etkinleştirin.
İpucu
Yönetim noktasının siteden yeni sertifikayı alması ve yapılandırması için 30 dakika kadar bekleyin.
Merkezi yönetim sitesi (CAS) için gelişmiş HTTP'yi de etkinleştirebilirsiniz. Aynı işlemi kullanın ve CAS'nin özelliklerini açın. Bu eylem yalnızca CAS'deki SMS Sağlayıcısı rolü için gelişmiş HTTP'yi etkinleştirir. Hiyerarşideki tüm siteler için geçerli olan genel bir ayar değildir.
İstemcinin bu yapılandırmayla yönetim noktası ve dağıtım noktasıyla nasıl iletişim kuracakları hakkında daha fazla bilgi için bkz. İstemcilerden site sistemlerine ve hizmetlerine iletişim.
Sertifikayı doğrulama
Bu sertifikaları Configuration Manager konsolunda görebilirsiniz. Yönetim çalışma alanına gidin, Güvenlik'i genişletin ve Sertifikalar düğümünü seçin. SMS Veren kök sertifikasını ve SMS Veren kökü tarafından verilen site sunucusu rol sertifikalarını arayın.
Gelişmiş HTTP'yi etkinleştirdiğinizde, site sunucusu SMS Rolü SSL Sertifikası adlı otomatik olarak imzalanan bir sertifika oluşturur. Bu sertifika, kök SMS Veren sertifikası tarafından verilir. Yönetim noktası bu sertifikayı 443 numaralı bağlantı noktasına bağlı iis varsayılan web sitesine ekler.
Yapılandırmanın durumunu görmek için mpcontrol.log dosyasını gözden geçirin.
Kavramsal diyagram
Bu diyagram, Configuration Manager'daki gelişmiş HTTP işlevselliğinin bazı ana yönlerini özetler ve görselleştirir.
Microsoft Entra kimliğine sahip bağlantı önerilir ancak isteğe bağlıdır. Microsoft Entra kimlik doğrulaması gerektiren senaryoları etkinleştirir.
Gelişmiş HTTP için site seçeneğini etkinleştirdiğinizde, site yönetim noktası ve dağıtım noktası rolleri gibi site sistemlerine otomatik olarak imzalanan sertifikalar sağlar.
Site sistemleri HALA HTTP bağlantıları için yapılandırıldığında, istemciler https üzerinden onlarla iletişim kurar.
Sık sorulan sorular
Gelişmiş HTTP'nin avantajları nelerdir?
Temel avantaj, güvenli olmayan bir protokol olan saf HTTP kullanımını azaltmaktır. Configuration Manager varsayılan olarak güvenli olmaya çalışır ve Microsoft, cihazlarınızı güvenli tutmanızı kolaylaştırmak istiyor. PKI tabanlı HTTPS'nin etkinleştirilmesi daha güvenli bir yapılandırmadır, ancak bu birçok müşteri için karmaşık olabilir. HTTPS'yi yapamazsanız gelişmiş HTTP'yi etkinleştirin. Ortamınız şu anda onu destekleyen özelliklerden herhangi birini kullanmasa bile Microsoft bu yapılandırmayı önerir.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
Gelişmiş HTTP'yi etkinleştirmek için Microsoft Entra kimliği kullanmam gerekiyor mu?
Hayır. Gelişmiş HTTP'den yararlanan senaryoların ve özelliklerin çoğu Microsoft Entra kimlik doğrulamasını kullanır. Siteyi Microsoft Entra kimliğine eklemeden gelişmiş HTTP'yi etkinleştirebilirsiniz. Daha sonra yönetim hizmeti ve ağ erişim hesabı için daha az ihtiyaç gibi özellikleri destekler. Yalnızca destekleyici özelliklerden biri gerektirdiğinde Microsoft Entra kimliğiniz olması gerekir.
Not
Yönetim hizmeti REST API'sini doğrudan kullanmasanız bile, Configuration Manager konsolunun bölümleri dahil olmak üzere bazı Configuration Manager özellikleri bunu yerel olarak kullanır.
İstemciler site sistemleriyle nasıl iletişim kurar?
Gelişmiş HTTP'yi etkinleştirdiğinizde, site site sistemlerine sertifikalar sağlar. Örneğin, yönetim noktası ve dağıtım noktası. Ardından bu site sistemleri şu anda desteklenen senaryolarda güvenli iletişimi destekleyebilir.
İstemci açısından bakıldığında, yönetim noktası her istemciye bir belirteç oluşturur. İstemci, site sistemleriyle iletişimin güvenliğini sağlamak için bu belirteci kullanır. Bu davranış, Configuration Manager istemcisinin desteklediğinden farklı olarak işletim sistemi sürümü belirsizdir.
Bazı site sistemleri zaten HTTPS ise gelişmiş HTTP'yi etkinleştirebilir miyim?
Evet. Site sistemleri her zaman PKI sertifikalarını tercih eder. Örneğin, bir yönetim noktasının zaten bir PKI sertifikası vardır, ancak diğerleri yoktur. Site için gelişmiş HTTP'yi etkinleştirdiğinizde, HTTPS yönetim noktası PKI sertifikasını kullanmaya devam eder. Diğer yönetim noktaları gelişmiş HTTP için site tarafından verilen sertifikayı kullanır.