HTTP avanzatoEnhanced HTTP

Si applica a: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Suggerimento

Questa funzionalità è stata introdotta per la prima volta nella versione 1806 come funzionalità di una versione non definitiva.This feature was first introduced in version 1806 as a pre-release feature. A partire dalla versione 1810, questa funzionalità non è più in versione non definitiva.Beginning with version 1810, this feature is no longer a pre-release feature.

Microsoft consiglia l'uso delle comunicazioni HTTPS per tutti i percorsi di comunicazione di Configuration Manager, ma alcuni clienti possono avere difficoltà a causa del sovraccarico di gestione dei certificati PKI.Microsoft recommends using HTTPS communication for all Configuration Manager communication paths, but it's challenging for some customers due to the overhead of managing PKI certificates.

Configuration Manager versione 1806 include miglioramenti per le modalità di comunicazione dei client con i sistemi del sito.Configuration Manager version 1806 includes improvements to how clients communicate with site systems. Questi miglioramenti hanno due obiettivi principali:There are two primary goals for these improvements:

  • Proteggere le comunicazioni client sensibili senza dover usare certificati di autenticazione server PKI.You can secure sensitive client communication without the need for PKI server authentication certificates.

  • I client possono accedere in modo sicuro al contenuto dai punti di distribuzione senza la necessità di un account di accesso alla rete, di un certificato PKI del client e dell'autenticazione di Windows.Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.

Tutte le altre comunicazioni client sono su HTTP.All other client communication is over HTTP. Usare HTTP avanzato non è come abilitare HTTPS per la comunicazione client o un sistema del sito.Enhanced HTTP isn't the same as enabling HTTPS for client communication or a site system.

Nota

I certificati PKI rimangono un'opzione valida per i clienti con i requisiti seguenti:PKI certificates are still a valid option for customers with the following requirements:

  • Tutte le comunicazioni client sono su HTTPSAll client communication is over HTTPS
  • Controllo avanzato dell'infrastruttura di firmaAdvanced control of the signing infrastructure

ScenariScenarios

Gli scenari seguenti traggono vantaggio da questi miglioramenti:The following scenarios benefit from these improvements:

Scenario 1: Da client a punto di gestioneScenario 1: Client to management point

I dispositivi aggiunti ad Azure Active Directory (Azure AD) possono comunicare usando un punto di gestione configurato per HTTP.Azure Active Directory (Azure AD)-joined devices can communicate with a management point configured for HTTP. Il server del sito genera un certificato per il punto di gestione in modo che possa comunicare tramite un canale sicuro.The site server generates a certificate for the management point allowing it to communicate via a secure channel.

Nota

Questo comportamento è cambiato rispetto a Configuration Manager Current Branch versione 1802, che richiede un punto di gestione abilitato per HTTPS per i client aggiunti ad Azure AD che comunicano attraverso un gateway di gestione cloud.This behavior is changed from Configuration Manager current branch version 1802, which requires an HTTPS-enabled management point for Azure AD-joined clients communicating through a cloud management gateway. Per altre informazioni, vedere Abilitare i punti di gestione per HTTPS.For more information, see Enable management point for HTTPS.

Scenario 2: Da client a punto di distribuzioneScenario 2: Client to distribution point

Un gruppo di lavoro o un client aggiunto ad Azure AD può eseguire l'autenticazione e scaricare contenuto usando un canale sicuro da un punto di distribuzione configurato per HTTP.A workgroup or Azure AD-joined client can authenticate and download content over a secure channel from a distribution point configured for HTTP. Questi tipi di dispositivi possono eseguire l'autenticazione e scaricare contenuto anche da un punto di distribuzione configurato per HTTPS senza richiedere un certificato PKI sul client.These types of devices can also authenticate and download content from a distribution point configured for HTTPS without requiring a PKI certificate on the client. L'aggiunta di un certificato di autenticazione client a un gruppo di lavoro o un client aggiunto ad Azure AD è un'operazione complessa.It's challenging to add a client authentication certificate to a workgroup or Azure AD-joined client.

Questo comportamento comprende gli scenari di distribuzione del sistema operativo con una sequenza di attività eseguita da supporti di avvio, PXE o Software Center.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Per altre informazioni, vedere Account di accesso alla rete.For more information, see Network access account.

Scenario 3: Identità del dispositivo di Azure ADScenario 3: Azure AD device identity

Un dispositivo aggiunto ad Azure AD o un dispositivo di Azure AD ibrido senza un utente di Azure AD connesso può comunicare in modo sicuro con il relativo sito assegnato.An Azure AD-joined or hybrid Azure AD device without an Azure AD user signed in can securely communicate with its assigned site. L'identità del dispositivo basata sul cloud è ora sufficiente per l'autenticazione con il gateway di gestione cloud e il punto di gestione negli scenari incentrati sui dispositivi.The cloud-based device identity is now sufficient to authenticate with the CMG and management point for device-centric scenarios. Un token utente è comunque necessario negli scenari incentrati sull'utente.(A user token is still required for user-centric scenarios.)

CaratteristicheFeatures

Le seguenti funzionalità di Configuration Manager supportano o richiedono HTTP avanzato:The following Configuration Manager features support or require enhanced HTTP:

Nota

Il punto di aggiornamento software e gli scenari correlati hanno sempre supportato il traffico HTTP sicuro con i client, nonché con il gateway di gestione cloud.The software update point and related scenarios have always supported secure HTTP traffic with clients as well as the cloud management gateway. Usano un meccanismo con il punto di gestione diverso dall'autenticazione basata sui certificati o sui token.It uses a mechanism with the management point that's different from certificate- or token-based authentication.

PrerequisitiPrerequisites

  • Un punto di gestione configurato per connessioni client HTTP.A management point configured for HTTP client connections. Impostare questa opzione nella scheda Generale delle proprietà del ruolo del sistema del sito.Set this option on the General tab of the site system role properties.

  • Un punto di distribuzione configurato per connessioni client HTTP.A distribution point configured for HTTP client connections. Impostare questa opzione nella scheda Generale delle proprietà del ruolo del sistema del sito.Set this option on the General tab of the site system role properties. Non abilitare l'opzione Consenti connessione anonima dei client.Don't enable the option to Allow clients to connect anonymously.

  • Eseguire l'onboarding del sito in Azure AD per la gestione del cloud.Onboard the site to Azure AD for cloud management.

    • Se questo prerequisito per il sito è già soddisfatto, è necessario aggiornare l'applicazione Azure AD.If you've already met this prerequisite for your site, you need to update the Azure AD application. Nell'area di lavoro Amministrazione della console di Configuration Manager espandere Servizi cloud e selezionare Tenant di Azure Active Directory.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select Azure Active Directory Tenants. Selezionare il tenant di Azure AD, selezionare l'applicazione Web nel riquadro Applicazioni e quindi selezionare Aggiornare le impostazioni dell'applicazione nella barra multifunzione.Select the Azure AD tenant, select the web application in the Applications pane, and then select Update application setting in the ribbon.
  • Solo per lo scenario 3 : un client che esegue Windows 10 versione 1803 o successiva e aggiunto ad Azure AD.For Scenario 3 only: A client running Windows 10 version 1803 or later, and joined to Azure AD. Il client richiede questa configurazione per l'autenticazione del dispositivo Azure AD.The client requires this configuration for Azure AD device authentication.

Configurare il sitoConfigure the site

  1. Nella console di Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione del sito e selezionare il nodo Siti.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Selezionare il sito e scegliere Proprietà nella barra multifunzione.Select the site and choose Properties in the ribbon.

  2. Passare alla scheda Comunicazione computer client.Switch to the Client Computer Communication tab.

    Nota

    A partire dalla versione 1906, questa scheda è denominata Communication Security (Sicurezza comunicazione).Starting in version 1906, this tab is called Communication Security.

    Selezionare l'opzione HTTPS o HTTP.Select the option for HTTPS or HTTP. Quindi abilitare l'opzione Usa i certificati generati da Configuration Manager per sistemi del sito HTTP.Then enable the option to Use Configuration Manager-generated certificates for HTTP site systems.

Suggerimento

Attendere fino a 30 minuti che il punto di gestione riceva e configuri il nuovo certificato del sito.Wait up to 30 minutes for the management point to receive and configure the new certificate from the site.

A partire dalla versione 1902, è anche possibile abilitare HTTP avanzato per il sito di amministrazione centrale.Starting in version 1902, you can also enable enhanced HTTP for the central administration site. Usare lo stesso processo e aprire le proprietà del sito di amministrazione centrale.Use this same process, and open the properties of the central administration site. Questa azione HTTP avanzato solo per i ruoli Provider SMS nel sito di amministrazione centrale.This action only enables enhanced HTTP for the SMS Provider roles at the central administration site. Non è un'impostazione globale valida per tutti i siti nella gerarchia.It's not a global setting that applies to all sites in the hierarchy.

È possibile visualizzare questi certificati nella console di Configuration Manager.You can see these certificates in the Configuration Manager console. Nell'area di lavoro Amministrazione espandere Sicurezza e selezionare il nodo Certificati.Go to the Administration workspace, expand Security, and select the Certificates node. Cercare il certificato radice Emissione SMS, nonché i certificati di ruolo del server del sito emessi dalla radice di emissione SMS.Look for the SMS Issuing root certificate, as well as the site server role certificates issued by the SMS Issuing root.

Per altre informazioni sul modo in cui il client comunica con il punto di gestione e il punto di distribuzione in questa configurazione, vedere Comunicazioni da client a sistemi e servizi del sito.For more information on how the client communicates with the management point and distribution point with this configuration, see Communications from clients to site systems and services.

Vedere ancheSee also