HTTP amélioré

S’applique à : Gestionnaire de Configuration (branche actuelle)

Microsoft recommande d’utiliser la communication HTTPS pour tous les chemins de communication Configuration Manager, mais il s’agit d’un défi pour certains clients en raison de la surcharge de gestion des certificats pKI. Avec le protocole HTTP amélioré, Configuration Manager peut assurer une communication sécurisée en émettant des certificats auto-signés à des systèmes de site spécifiques.

Cette configuration a deux objectifs principaux :

  • Vous pouvez sécuriser les communications client sensibles sans avoir besoin de certificats d’authentification de serveur PKI.

  • Les clients peuvent accéder en toute sécurité au contenu à partir de points de distribution sans avoir besoin d’un compte d’accès réseau, d’un certificat PKI client ou d’une authentification Windows client.

Toutes les autres communications clientes sont sur HTTP. Le protocole HTTP amélioré n’est pas identique à l’activation du protocole HTTPS pour la communication client ou un système de site.

Notes

Les certificats pKI sont toujours une option valide pour les clients ayant les conditions suivantes :

  • Toutes les communications client sont sur HTTPS
  • Contrôle avancé de l’infrastructure de signature

Si vous utilisez déjà pKI, les systèmes de site utilisent le certificat PKI lié dans IIS, même si vous activez le protocole HTTP amélioré.

Scénarios

Les scénarios suivants bénéficient du protocole HTTP amélioré :

Scénario 1 : client au point de gestion

Azure Active Directory (Azure AD) joints à des appareils et appareils avec un jeton émis par Configuration Manager peuvent communiquer avec un point de gestion configuré pour HTTP si vous activez le protocole HTTP amélioré pour le site. Avec l’amélioration du protocole HTTP activé, le serveur de site génère un certificat pour le point de gestion lui permettant de communiquer via un canal sécurisé.

Notes

Ce scénario ne nécessite pas l’utilisation d’un point de gestion httpS, mais il est pris en charge comme alternative à l’utilisation du protocole HTTP amélioré. Pour plus d’informations sur l’utilisation d’un point de gestion httpS, voir Activer le point de gestion pour HTTPS.

Scénario 2 : Client au point de distribution

Un groupe de travail ou un client Azure AD peut authentifier et télécharger du contenu sur un canal sécurisé à partir d’un point de distribution configuré pour HTTP. Ces types d’appareils peuvent également authentifier et télécharger du contenu à partir d’un point de distribution configuré pour HTTPS sans nécessiter de certificat pKI sur le client. Il est difficile d’ajouter un certificat d’authentification client à un groupe de travail ou Azure AD client joint.

Ce comportement inclut les scénarios de déploiement de système d’exploitation avec une séquence de tâches en cours d’exécution à partir du support de démarrage, de PXE ou du Centre logiciel. Pour plus d’informations, voir Compte d’accès réseau.

Scénario 3 : identité Azure AD’appareil

Un Azure AD ou un appareil Azure AD hybride sans utilisateur Azure AD connecté peut communiquer en toute sécurité avec son site affecté. L’identité de l’appareil basé sur le cloud est maintenant suffisante pour s’authentifier auprès de CMG et du point de gestion pour les scénarios centrées sur les appareils. (Un jeton utilisateur est toujours requis pour les scénarios centrées sur l’utilisateur.)

Fonctionnalités

Les fonctionnalités Configuration Manager suivantes sont prise en charge ou nécessitent une amélioration du protocole HTTP :

Notes

Le point de mise à jour logicielle et les scénarios associés ont toujours pris en charge le trafic HTTP sécurisé avec les clients, ainsi que la passerelle de gestion cloud. Il utilise un mécanisme avec le point de gestion différent de l’authentification basée sur les certificats ou les jetons.

Scénarios non pris en charge

Le protocole HTTP amélioré ne sécurisation actuellement pas toutes les communications dans Configuration Manager. La liste suivante récapitule certaines fonctionnalités clés qui restent http.

  • Communication pair à pair client pour le contenu
  • Point de migration d’état
  • Outils de contrôle à distance
  • Point reporting services

Notes

Cette liste n’est pas exhaustive.

Configuration requise

  • Point de gestion configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Général des propriétés du rôle de point de gestion.

  • Point de distribution configuré pour les connexions client HTTP. Définissez cette option sous l’onglet Communication des propriétés du rôle de point de distribution. N’activez pas l’option autoriser les clients à se connecter de manière anonyme.

  • Pour les scénarios qui nécessitent une authentification Azure AD, intégrer le site à Azure AD pour la gestion cloud. Si vous n’intégrerez pas le site à Azure AD, vous pouvez toujours activer le protocole HTTP amélioré.

  • Pour le scénario 3 uniquement : un client exécutant une version prise en charge de Windows 10 ou version ultérieure et joint à Azure AD. Le client requiert cette configuration pour l’authentification Azure AD’appareil.

Notes

Il n’existe aucune configuration requise pour la version du système d’exploitation, autre que celle que le client Configuration Manager prend en charge.

Configurer le site

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration, développez Configuration du site et sélectionnez le nœud Sites. Sélectionnez le site et choisissez Propriétés dans le ruban.

  2. Basculez vers l’onglet Sécurité des communications. Sélectionnez l’option POUR HTTPS ou HTTP. Activez ensuite l’option d’utilisation des certificats générés par Configuration Manager pour les systèmes de site HTTP.

Conseil

Patientez jusqu’à 30 minutes pour que le point de gestion reçoine et configure le nouveau certificat à partir du site.

Vous pouvez également activer le protocole HTTP amélioré pour le site d’administration centrale (CAS). Utilisez ce même processus et ouvrez les propriétés du CAS. Cette action active uniquement le protocole HTTP amélioré pour le rôle de fournisseur DE SMS sur le CAS. Il ne s’agit pas d’un paramètre global qui s’applique à tous les sites de la hiérarchie.

Pour plus d’informations sur la façon dont le client communique avec le point de gestion et le point de distribution avec cette configuration, voir Communications des clients aux systèmes et services de site.

Valider le certificat

Vous pouvez voir ces certificats dans la console Configuration Manager. Go to the Administration workspace, expand Security, and select the Certificates node. Recherchez le certificat racine d’émission de SMS et les certificats de rôle serveur de site émis par la racine d’émission de SMS.

Lorsque vous activez le protocole HTTP amélioré, le serveur de site génère un certificat auto-signé nommé certificat SSL de rôle SMS. Ce certificat est émis par le certificat d’émission de SMS racine. Le point de gestion ajoute ce certificat au site web IIS par défaut lié au port 443.

Pour voir l’état de la configuration, consultez mpcontrol.log.

Diagramme conceptuel

Ce diagramme résume et visualise certains des principaux aspects de la fonctionnalité HTTP améliorée dans Configuration Manager.

Diagramme conceptuel des fonctionnalités HTTP améliorées.

  • La connexion avec Azure AD est recommandée, mais facultative. Il active les scénarios qui nécessitent une authentification Azure AD’utilisateur.

  • Lorsque vous activez l’option de site pour le protocole HTTP amélioré, le site émettra des certificats auto-signés pour les systèmes de site tels que les rôles de point de gestion et de point de distribution.

  • Une fois que les systèmes de site sont toujours configurés pour les connexions HTTP, les clients communiquent avec eux sur HTTPS.

Foire aux questions

Quels sont les avantages de l’amélioration du protocole HTTP ?

Le principal avantage est de réduire l’utilisation du protocole HTTP pur, qui est un protocole non sécurisé. Configuration Manager tente d’être sécurisé par défaut et Microsoft souhaite faciliter la sécurisation de vos appareils. L’activation du protocole HTTPS basé sur une PKI est une configuration plus sécurisée, mais qui peut être complexe pour de nombreux clients. Si vous ne pouvez pas utiliser HTTPS, activez le protocole HTTP amélioré. Microsoft recommande cette configuration, même si votre environnement n’utilise actuellement aucune des fonctionnalités qui la prend en charge.

Important

À compter de configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont supprimés. Configurez le site pour HTTPS ou Http amélioré. Pour plus d’informations, voir Activer le site pour HTTPS uniquement ou HTTP amélioré.

Dois-je utiliser Azure AD pour activer le protocole HTTP amélioré ?

Non. De nombreux scénarios et fonctionnalités qui bénéficient d’une authentification HTTP améliorée reposent sur Azure AD’authentification. Vous pouvez activer le protocole HTTP amélioré sans intégrer le site à Azure AD. Il prend ensuite en charge des fonctionnalités telles que le service d’administration et le besoin réduit pour le compte d’accès réseau. Vous n’avez besoin Azure AD uniquement lorsque l’une des fonctionnalités de prise en charge l’exige.

Notes

Même si vous n’utilisez pas directement l’API REST du service d’administration, certaines fonctionnalités configuration Manager l’utilisent en natif, y compris des parties de la console Configuration Manager.

Comment les clients communiquent-ils avec les systèmes de site ?

Lorsque vous activez le protocole HTTP amélioré, le site émettra des certificats pour les systèmes de site. Par exemple, le point de gestion et le point de distribution. Ensuite, ces systèmes de site peuvent prendre en charge la communication sécurisée dans les scénarios actuellement pris en charge.

Du point de vue du client, le point de gestion émettra un jeton pour chaque client. Le client utilise ce jeton pour sécuriser la communication avec les systèmes de site. Ce comportement n’est pas propre à la version du système d’exploitation, autre que ce que le client Configuration Manager prend en charge.

Si certains systèmes de site sont déjà HTTPS, puis-je activer le protocole HTTP amélioré ?

Oui. Les systèmes de site préfèrent toujours un certificat PKI. Par exemple, un point de gestion possède déjà un certificat PKI, mais pas d’autres. Lorsque vous activez le protocole HTTP amélioré pour le site, le point de gestion HTTPS continue d’utiliser le certificat PKI. Les autres points de gestion utilisent le certificat émis par le site pour le protocole HTTP amélioré.

Prochaines étapes