拡張 HTTP

適用対象: Configuration Manager (Current Branch)

Microsoft では、すべての Configuration Manager 通信パスに HTTPS 通信を使用するようにお勧めしますが、PKI 証明書を管理するオーバーヘッドのために、一部のお客様にとって困難です。 拡張 HTTP を使用すると、Configuration Manager は、特定のサイト システムに自己署名証明書を発行することで、セキュリティで保護された通信を提供できます。

この構成には、主に 2 つの目標があります。

  • PKI サーバー認証証明書を必要とせずに、機密性の高いクライアント通信をセキュリティで保護できます。

  • クライアントは、ネットワーク アクセス アカウント、クライアント PKI 証明書、またはセキュリティ認証を必要とせずに、配布ポイントからコンテンツWindowsできます。

他のすべてのクライアント通信は HTTP を超える。 拡張 HTTP は、クライアント通信またはサイト システムで HTTPS を有効にした場合と同じではありません。

注意

PKI 証明書は、次の要件を満たすお客様に有効なオプションです。

  • すべてのクライアント通信が HTTPS 経由
  • 署名インフラストラクチャの高度な制御

PKI を既に使用している場合、拡張 HTTP を有効にした場合でも、サイト システムは IIS でバインドされた PKI 証明書を使用します。

シナリオ

次のシナリオは、拡張 HTTP のメリットです。

シナリオ 1: クライアントから管理ポイント

Azure Active Directory (Azure AD)に参加しているデバイスと、Configuration Manager発行トークンを持つデバイスは、サイトの拡張 HTTP を有効にした場合、HTTP 用に構成された管理ポイントと通信できます。 拡張 HTTP が有効になっていると、サイト サーバーは管理ポイントの証明書を生成し、セキュリティで保護されたチャネルを介して通信できます。

注意

このシナリオでは、HTTPS が有効な管理ポイントを使用する必要はありませんが、拡張 HTTP を使用する代わりにサポートされています。 HTTPS が有効な管理ポイントの使用の詳細については、「HTTPS の管理 ポイントを有効にする」を参照してください

シナリオ 2: クライアントから配布ポイント

ワークグループまたは Azure AD参加しているクライアントは、HTTP 用に構成された配布ポイントからセキュリティで保護されたチャネルを使用してコンテンツを認証およびダウンロードできます。 これらの種類のデバイスは、クライアントで PKI 証明書を必要とせずに HTTPS 用に構成された配布ポイントからコンテンツを認証およびダウンロードすることもできます。 ワークグループまたは参加しているクライアントにクライアント認証証明書を追加Azure ADは困難です。

この動作には、ブート メディア、PXE、またはソフトウェア センターから実行されるタスク シーケンスを含む OS 展開シナリオが含まれます。 詳細については、「ネットワーク アクセス アカウント 」を参照してください

シナリオ 3: Azure AD ID

ユーザー Azure ADがサインインしていないAzure ADまたはハイブリッドAzure ADデバイスは、割り当てられたサイトと安全に通信できます。 クラウドベースのデバイス ID は、デバイス中心のシナリオで CMG と管理ポイントで認証するのに十分です。 (ユーザー中心のシナリオでは、ユーザー トークンが引き続き必要です)。

機能

次の Configuration Manager 機能は、拡張 HTTP をサポートまたは必要とします。

注意

ソフトウェアの更新ポイントと関連するシナリオでは、クライアントとクラウド管理ゲートウェイのセキュリティで保護された HTTP トラフィックが常にサポートされています。 これは、証明書ベースまたはトークンベースの認証とは異なる管理ポイントを持つメカニズムを使用します。

対象外のシナリオ

拡張 HTTP は現在、Configuration Manager のすべての通信をセキュリティで保護しているという意味ではありません。 次の一覧は、HTTP の主要な機能の概要を示しています。

  • コンテンツのクライアント ピアツーピア通信
  • 状態移行ポイント
  • リモート ツール
  • レポート サービス ポイント

注意

このリストは網羅的ではありません。

前提条件

  • HTTP クライアント接続用に構成された管理ポイント。 管理ポイントの役割プロパティの [全般 ] タブで、このオプションを設定します。

  • HTTP クライアント接続用に構成された配布ポイント。 配布ポイントの役割プロパティの [通信 ] タブで、このオプションを設定します。 [クライアントが匿名で接続を 許可する] オプションを有効にしません

  • 認証を必要とするシナリオAzure AD、クラウド管理のためにサイトをAzure ADをオンにします。 サイトをオンボーディングしてサイトをAzure AD場合でも、拡張 HTTP を有効にできます。

  • シナリオ 3の場合のみ: サポートされているバージョンの Windows 10以降を実行し、Azure AD。 クライアントは、デバイス認証を実行するためにAzure AD必要です。

注意

Configuration Manager クライアントがサポートする以外に 、OSのバージョン要件はありません。

サイトを構成する

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[サイト構成] を 展開 し、[サイト] ノード を選択 します。 サイトを選択し、リボンの [プロパティ] を選択します。

  2. [通信セキュリティ] タブに切り替 えます。HTTPS または HTTP のオプション を選択します。 次に、[HTTP サイト システム に Configuration Manager で生成された証明書を使用する] オプションを有効にします

ヒント

管理ポイントがサイトから新しい証明書を受信して構成するまで、最大 30 分待ちます。

サーバーの全体管理サイト (CAS) で拡張 HTTP を有効にできます。 この同じプロセスを使用し、CAS のプロパティを開きます。 このアクションでは、CAS での SMS プロバイダーロールの拡張 HTTP のみを有効にできます。 階層内のすべてのサイトに適用されるグローバル設定ではありません。

クライアントが管理ポイントおよび配布ポイントとこの構成で通信する方法の詳細については、「クライアントからサイト システムおよびサービスへの通信」 を参照してください

証明書の検証

これらの証明書は、Configuration Manager コンソールで確認できます。 [管理] ワークスペース に移動し 、[セキュリティ] を展開 し、[証明書] ノードを選択 します。 SMS 発行ルート 証明書と、SMS 発行ルートによって発行されたサイト サーバーの役割証明書を探します。

拡張 HTTP を有効にした場合、サイト サーバーは SMS Role SSL 証明書という名前の自己署名証明書 を生成します。 この証明書は、ルート SMS 発行 証明書によって発行 されます。 管理ポイントは、この証明書をポート 443 にバインドされた IIS の既定の Web サイトに追加します。

構成の状態を確認するには 、mpcontrol.log を確認してください

概念図

次の図は、Configuration Manager の拡張 HTTP 機能の主な側面の一部を要約し、視覚化します。

拡張 HTTP 機能の概念図。

  • ユーザーとの接続Azure AD推奨されますが、オプションです。 これにより、認証を必要とするAzure ADできます。

  • 拡張 HTTP のサイト オプションを有効にすると、サイトは管理ポイントや配布ポイントの役割などのサイト システムに自己署名証明書を発行します。

  • サイト システムが HTTP 接続用に構成された状態で、クライアントは HTTPS 経由で通信します。

よく寄せられる質問

拡張 HTTP の利点は何ですか?

主な利点は、安全でないプロトコルである純粋な HTTP の使用を減らすことです。 Configuration Manager は既定でセキュリティ保護を試み、Microsoft はデバイスを安全に保ちやすくしたいと思っています。 PKI ベースの HTTPS の有効化は、より安全な構成ですが、多くのお客様には複雑な場合があります。 HTTPS を実行できない場合は、拡張 HTTP を有効にしてください。 Microsoft では、環境で現在サポートされている機能が使用されていない場合でも、この構成をお勧めします。

重要

Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については 、「HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください

拡張 HTTP を有効にするには、Azure ADを使用する必要がありますか?

いいえ。 拡張 HTTP のメリットを受けるシナリオと機能の多くは、認証のAzure ADしています。 サイトをオンボーディングせずに拡張 HTTP を有効にAzure AD。 次に、管理サービスやネットワーク アクセス アカウントの必要性の軽減など、機能をサポートします。 サポート機能の 1 Azure AD必要な場合にのみ、この機能を使用する必要があります。

注意

管理サービス REST API を直接使用しない場合でも、Configuration Manager の一部の機能は、Configuration Manager コンソールの一部を含め、ネイティブに使用します。

クライアントはサイト システムとどのように通信しますか?

拡張 HTTP を有効にした場合、サイトはサイト システムに証明書を発行します。 たとえば、管理ポイントと配布ポイントです。 次に、これらのサイト システムは、現在サポートされているシナリオでセキュリティで保護された通信をサポートできます。

クライアントの観点から、管理ポイントは各クライアントにトークンを発行します。 クライアントは、このトークンを使用してサイト システムとの通信をセキュリティで保護します。 この動作は OS バージョンに依存しません。Configuration Manager クライアントがサポート する動作以外の動作です

一部のサイト システムが既に HTTPS である場合、拡張 HTTP を有効にできますか?

はい。 サイト システムは常に PKI 証明書を優先します。 たとえば、1 つの管理ポイントには既に PKI 証明書がありますが、他の管理ポイントには PKI 証明書がありません。 サイトの拡張 HTTP を有効にした場合、HTTPS 管理ポイントは PKI 証明書を引き続き使用します。 その他の管理ポイントは、拡張 HTTP に対してサイト発行の証明書を使用します。

次の手順