增強的 HTTP

  • 文章

適用於:Configuration Manager (目前的分支)

Microsoft 建議針對所有Configuration Manager通訊路徑使用 HTTPS 通訊,但因為管理 PKI 憑證的額外負荷,對某些客戶來說卻是一項挑戰。 透過增強的 HTTP,Configuration Manager可以向特定月臺系統發出自我簽署憑證,以提供安全的通訊。

此設定有兩個主要目標:

  • 您可以保護敏感性用戶端通訊,而不需要 PKI 伺服器驗證憑證。

  • 用戶端可以安全地從發佈點存取內容,而不需要網路存取帳戶、用戶端 PKI 憑證或Windows 驗證。

所有其他用戶端通訊都是透過 HTTP 進行。 增強的 HTTP 與啟用用戶端通訊或月臺系統的 HTTPS 不同。

注意事項

對於具有下列需求的客戶而言,PKI 憑證仍是一個有效的選項:

  • 所有用戶端通訊都是透過 HTTPS
  • 簽署基礎結構的進階控制

如果您已經在使用 PKI,月臺系統會使用在 IIS 中系結的 PKI 憑證,即使您啟用增強的 HTTP 也一樣。

案例

下列案例受益于增強的 HTTP:

案例 1:用戶端到管理點

如果您為月臺啟用增強式 HTTP,Microsoft Entra已加入且具有Configuration Manager核發令牌的裝置可以與針對 HTTP 設定的管理點通訊。 啟用增強的 HTTP 後,月臺伺服器會產生管理點的憑證,使其能夠透過安全通道進行通訊。

注意事項

此案例不需要使用已啟用 HTTPS 的管理點,但支援它作為使用增強 HTTP 的替代方案。 如需使用已啟用 HTTPS 的管理點的詳細資訊,請參閱 啟用 HTTPS 的管理點

案例 2:用戶端到發佈點

工作組或已加入Microsoft Entra用戶端可以從為 HTTP 設定的發佈點,透過安全通道來驗證和下載內容。 這些類型的裝置也可以從針對 HTTPS 設定的發佈點驗證和下載內容,而不需要用戶端上的 PKI 憑證。 將用戶端驗證憑證新增至工作組或已加入Microsoft Entra用戶端是一項挑戰。

此行為包括作業系統部署案例,其工作順序是從開機媒體、PXE 或軟體中心執行。 如需詳細資訊,請參閱 網路存取帳戶

案例 3:Microsoft Entra裝置身分識別

未登入Microsoft Entra使用者的Microsoft Entra加入或混合式Microsoft Entra裝置可以安全地與其指派的網站通訊。 雲端式裝置身分識別現在足以向 CMG 和管理點進行驗證,以進行以裝置為中心的案例。 (使用者中心案例仍然需要使用者權杖。)

功能

下列Configuration Manager功能支援或需要增強的 HTTP:

注意事項

軟體更新點和相關案例一律支援用戶端和雲端管理閘道的安全 HTTP 流量。 它會使用與憑證或權杖型驗證不同的管理點機制。

不支持的案例

增強的 HTTP 目前不會保護Configuration Manager中的所有通訊。 下列清單摘要說明一些仍為 HTTP 的重要功能。

  • 內容的用戶端對點通訊
  • 狀態移轉點
  • 遠端工具
  • Reporting Services 點

注意事項

這份清單並不詳盡。

必要條件

  • 為 HTTP 用戶端連線設定的管理點。 在管理點角色屬性的 [ 一般 ] 索引標籤上設定此選項。

  • 為 HTTP 用戶端連線設定的發佈點。 在發佈點角色屬性的 [ 通訊 ] 索引標籤上設定此選項。 請勿啟用 [ 允許用戶端匿名連線] 選項。

  • 針對需要Microsoft Entra驗證的案例,請將月臺上線以Microsoft Entra識別碼以進行雲端管理。 如果您未將網站上線以Microsoft Entra識別碼,您仍然可以啟用增強的 HTTP。

  • 僅適用于案例 3:執行支援版本Windows 10或更新版本並加入Microsoft Entra識別碼的用戶端。 用戶端需要此設定才能Microsoft Entra裝置驗證。

注意事項

除了Configuration Manager用戶端支援之外,沒有作業系統版本需求。

設定網站

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 選取網站,然後選擇功能區中的 [ 屬性 ]。

  2. 切換至 [ 通訊安全性] 索引 標籤。選取 HTTPS 或 HTTP 的選項。 然後啟用 [針對 HTTP 月臺系統使用Configuration Manager產生的憑證] 選項。

提示

請等候最多 30 分鐘,讓管理點從月臺接收並設定新的憑證。

您也可以為管理中心網站啟用增強式 HTTP (CAS) 。 使用這個相同的程式,並開啟 CAS 的屬性。 此動作只會啟用 CAS 上 SMS 提供者角色的增強 HTTP。 它不是套用至階層中所有月臺的全域設定。

如需用戶端如何使用此設定與管理點和發佈點通訊的詳細資訊,請參閱 從用戶端到月臺系統和服務的通訊

驗證憑證

您可以在 Configuration Manager 主控台中看到這些憑證。 移至 [ 系統管理] 工作區,展開 [ 安全性],然後選取 [ 憑證 ] 節點。 尋找 SMS 發行 根憑證以及 SMS 發行根目錄所發行的月臺伺服器角色憑證。

當您啟用增強 HTTP 時,月臺伺服器會產生名為 SMS 角色 SSL 憑證的自我簽署憑證。 此憑證是由根 SMS 發行 憑證所發行。 管理點會將此憑證新增至系結至埠 443 的 IIS 預設網站。

若要查看設定的狀態,請檢閱 mpcontrol.log

概念圖表

此圖表摘要說明並視覺化Configuration Manager中增強型 HTTP 功能的一些主要層面。

增強型 HTTP 功能的概念圖。

  • 建議使用Microsoft Entra識別碼的連線,但為選擇性。 它會啟用需要Microsoft Entra驗證的案例。

  • 當您啟用增強 HTTP 的月臺選項時,月臺會向管理點和發佈點角色等月臺系統發出自我簽署憑證。

  • 由於月臺系統仍設定為 HTTP 連線,因此用戶端會透過 HTTPS 與其通訊。

常見問題集

增強 HTTP 有哪些優點?

主要優點是減少純 HTTP 的使用量,這是不安全的通訊協定。 Configuration Manager預設會嘗試保持安全,而 Microsoft 想要讓您輕鬆地保護裝置的安全。 啟用 PKI 型 HTTPS 是更安全的組態,但對於許多客戶而言可能很複雜。 如果您無法執行 HTTPS,請啟用增強式 HTTP。 即使您的環境目前未使用任何支援此設定的功能,Microsoft 仍建議使用此設定。

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

我需要使用Microsoft Entra識別碼來啟用增強式 HTTP 嗎?

不能。 許多受益于增強式 HTTP 的案例和功能都依賴Microsoft Entra驗證。 您可以啟用增強式 HTTP,而不需要將網站上線以Microsoft Entra識別碼。 然後支援系統管理服務等功能,並減少對網路存取帳戶的需求。 只有當其中一個支援功能需要時,您才需要Microsoft Entra識別碼。

注意事項

即使您未直接使用管理服務 REST API,某些Configuration Manager功能仍會以原生方式使用,包括Configuration Manager主控台的一部分。

用戶端如何與月臺系統通訊?

當您啟用增強式 HTTP 時,月臺會對月臺系統發出憑證。 例如,管理點和發佈點。 然後,這些月臺系統可以在目前支援的案例中支援安全通訊。

從用戶端的觀點來看,管理點會向每個用戶端發出權杖。 用戶端會使用此權杖來保護與月臺系統的通訊。 除了Configuration Manager用戶端支援的行為之外,該行為與 OS 版本無關。

如果某些月臺系統已經是 HTTPS,我可以啟用增強的 HTTP 嗎?

是的。 月臺系統一律偏好使用 PKI 憑證。 例如,一個管理點已經有 PKI 憑證,但其他管理點則沒有。 當您為月臺啟用增強式 HTTP 時,HTTPS 管理點會繼續使用 PKI 憑證。 其他管理點會使用月臺發行的憑證來增強 HTTP。

後續步驟