HTTP mejoradoEnhanced HTTP

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Sugerencia

Esta característica se introdujo por primera vez en la versión 1806 como una característica de versión preliminar.This feature was first introduced in version 1806 as a pre-release feature. A partir de la versión 1810, ya no es una característica de versión preliminar.Beginning with version 1810, this feature is no longer a pre-release feature.

Microsoft recomienda usar la comunicación HTTPS para todas las vías de comunicación de Configuration Manager, pero es un reto para algunos clientes debido a la sobrecarga de administración de los certificados PKI.Microsoft recommends using HTTPS communication for all Configuration Manager communication paths, but it's challenging for some customers due to the overhead of managing PKI certificates.

En la versión 1806 de Configuration Manager se incluyen mejoras en la forma en que los clientes se comunican con los sistemas de sitio.Configuration Manager version 1806 includes improvements to how clients communicate with site systems. Hay dos objetivos principales para estas mejoras:There are two primary goals for these improvements:

  • Puede proteger la comunicación de cliente confidencial sin necesidad de certificados de autenticación de servidor PKI.You can secure sensitive client communication without the need for PKI server authentication certificates.

  • Los clientes pueden acceder de forma segura a contenido desde puntos de distribución sin necesidad de una cuenta de acceso a la red, un certificado PKI de cliente y autenticación de Windows.Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.

Todas las comunicaciones de cliente se realizan a través de HTTP.All other client communication is over HTTP. HTTP mejorado no es lo mismo que habilitar HTTPS para la comunicación del cliente o un sistema de sitio.Enhanced HTTP isn't the same as enabling HTTPS for client communication or a site system.

Nota

Los certificados PKI siguen siendo una opción válida para los clientes con los requisitos siguientes:PKI certificates are still a valid option for customers with the following requirements:

  • Todas las comunicaciones de cliente se realizan a través de HTTPSAll client communication is over HTTPS
  • Control avanzado de la infraestructura de firmaAdvanced control of the signing infrastructure

EscenariosScenarios

Los siguientes escenarios aprovechan estas mejoras:The following scenarios benefit from these improvements:

Escenario 1: Cliente a punto de administraciónScenario 1: Client to management point

Los dispositivos unidos a Azure Active Directory (Azure AD) se pueden comunicar con un punto de administración configurado para HTTP.Azure Active Directory (Azure AD)-joined devices can communicate with a management point configured for HTTP. El servidor de sitio genera un certificado para el punto de administración para que pueda comunicarse a través de un canal seguro.The site server generates a certificate for the management point allowing it to communicate via a secure channel.

Nota

Este comportamiento se ha cambiado a partir de la versión 1802 de la rama actual de Configuration Manager, que requiere un punto de administración habilitado para HTTPS para los clientes unidos a Azure AD que se comunican a través de una instancia de Cloud Management Gateway.This behavior is changed from Configuration Manager current branch version 1802, which requires an HTTPS-enabled management point for Azure AD-joined clients communicating through a cloud management gateway. Para obtener más información, vea Enable management point for HTTPS (Habilitar el punto de administración para HTTPS).For more information, see Enable management point for HTTPS.

Escenario 2: Cliente a punto de distribuciónScenario 2: Client to distribution point

Un grupo de trabajo o un cliente unido a Azure AD se puede autenticar y descargar contenido a través de un canal seguro desde un punto de distribución configurado para HTTP.A workgroup or Azure AD-joined client can authenticate and download content over a secure channel from a distribution point configured for HTTP. Estos tipos de dispositivos también se pueden autenticar y descargar contenido desde un punto de distribución configurado para HTTPS sin necesidad de un certificado PKI en el cliente.These types of devices can also authenticate and download content from a distribution point configured for HTTPS without requiring a PKI certificate on the client. Agregar un certificado de autenticación de cliente a un grupo de trabajo o un cliente unido a Azure AD es un desafío.It's challenging to add a client authentication certificate to a workgroup or Azure AD-joined client.

Este comportamiento incluye escenarios de implementación de sistema operativo con una secuencia de tareas que se ejecuta desde el medios de arranque, PXE o el Centro de software.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Para obtener más información, vea Cuenta de acceso a la red.For more information, see Network access account.

Escenario 3: Identidad del dispositivo de Azure ADScenario 3: Azure AD device identity

Un dispositivo unido a Azure AD o un dispositivo de Azure AD híbrido sin un usuario de Azure AD con sesión iniciada se puede comunicar de forma segura con su sitio asignado.An Azure AD-joined or hybrid Azure AD device without an Azure AD user signed in can securely communicate with its assigned site. La identidad del dispositivo basado en la nube ahora es suficiente para autenticarse con el punto de administración y CMG en escenarios centrados en el dispositivo.The cloud-based device identity is now sufficient to authenticate with the CMG and management point for device-centric scenarios. (Un token de usuario sigue siendo necesario para los escenarios centrados en el usuario).(A user token is still required for user-centric scenarios.)

FuncionesFeatures

Las características siguientes de Configuration Manager admiten o requieren HTTP mejorado:The following Configuration Manager features support or require enhanced HTTP:

Nota

El punto de actualización de software y los escenarios relacionados siempre han admitido el tráfico HTTP seguro con clientes, así como también Cloud Management Gateway.The software update point and related scenarios have always supported secure HTTP traffic with clients as well as the cloud management gateway. Usa un mecanismo con el punto de administración que es distinto de la autenticación basada en certificados o basada en tokens.It uses a mechanism with the management point that's different from certificate- or token-based authentication.

Requisitos previosPrerequisites

  • Un punto de administración configurado para conexiones de cliente HTTP.A management point configured for HTTP client connections. Establezca esta opción en la pestaña General de las propiedades del rol de sistema de sitio.Set this option on the General tab of the site system role properties.

  • Un punto de distribución configurado para conexiones de cliente HTTP.A distribution point configured for HTTP client connections. Establezca esta opción en la pestaña General de las propiedades del rol de sistema de sitio.Set this option on the General tab of the site system role properties. No habilite la opción Permitir a los clientes conectarse de forma anónima.Don't enable the option to Allow clients to connect anonymously.

  • Incorpore el sitio a Azure AD para administración en la nube.Onboard the site to Azure AD for cloud management.

    • Si ya se ha cumplido este requisito previo para el sitio, debe actualizar la aplicación de Azure AD.If you've already met this prerequisite for your site, you need to update the Azure AD application. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione Inquilinos de Azure Active Directory.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select Azure Active Directory Tenants. Seleccione el inquilino de Azure AD, seleccione la aplicación web en el panel Aplicaciones y luego haga clic en Actualizar configuración de la aplicación en la cinta.Select the Azure AD tenant, select the web application in the Applications pane, and then select Update application setting in the ribbon.
  • Solo para el escenario 3 : Un cliente con Windows 10 versión 1803 o posterior y unido a Azure AD.For Scenario 3 only: A client running Windows 10 version 1803 or later, and joined to Azure AD. El cliente requiere esta configuración para la autenticación de dispositivos de Azure AD.The client requires this configuration for Azure AD device authentication.

Configuración del sitioConfigure the site

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y haga clic en el nodo Sitios.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Seleccione el sitio y haga clic en Propiedades en la cinta.Select the site and choose Properties in the ribbon.

  2. Cambie a la pestaña Comunicación de equipo cliente.Switch to the Client Computer Communication tab.

    Nota

    A partir de la versión 1906, esta pestaña se denomina Communication Security (Seguridad de la comunicación).Starting in version 1906, this tab is called Communication Security.

    Seleccione la opción para HTTPS o HTTP.Select the option for HTTPS or HTTP. A continuación, habilite la opción Usar los certificados generados por Configuration Manager para sistemas de sitios HTTP.Then enable the option to Use Configuration Manager-generated certificates for HTTP site systems.

Sugerencia

Espere hasta 30 minutos para que el punto de administración reciba y configure el nuevo certificado desde el sitio.Wait up to 30 minutes for the management point to receive and configure the new certificate from the site.

A partir de la versión 1902, también puede habilitar HTTP mejorado para el sitio de administración central.Starting in version 1902, you can also enable enhanced HTTP for the central administration site. Use este mismo proceso y abra las propiedades del sitio de administración central.Use this same process, and open the properties of the central administration site. Esta acción solo habilita HTTP mejorado para los roles de proveedor de SMS en el sitio de administración central.This action only enables enhanced HTTP for the SMS Provider roles at the central administration site. No es una configuración global que se aplica a todos los sitios de la jerarquía.It's not a global setting that applies to all sites in the hierarchy.

Puede ver estos certificados en la consola de Configuration Manager.You can see these certificates in the Configuration Manager console. Vaya al área de trabajo Administración, expanda Seguridad y seleccione el nodo Certificados.Go to the Administration workspace, expand Security, and select the Certificates node. Busque el certificado raíz SMS Issuing (Emisión de SMS), así como los certificados de rol del servidor de sitio emitidos por la raíz SMS Issuing (Emisión de SMS).Look for the SMS Issuing root certificate, as well as the site server role certificates issued by the SMS Issuing root.

Para obtener más información sobre cómo se comunica el cliente con el punto de administración y punto de distribución con esta configuración, vea Comunicaciones desde los clientes a los sistemas de sitio y servicios.For more information on how the client communicates with the management point and distribution point with this configuration, see Communications from clients to site systems and services.

Consulte tambiénSee also