拡張 HTTPEnhanced HTTP

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

ヒント

この機能はバージョン 1806 でプレリリース機能として初めて導入されました。This feature was first introduced in version 1806 as a pre-release feature. バージョン 1810 からは、この機能はプレリリース機能ではなくなりました。Beginning with version 1810, this feature is no longer a pre-release feature.

すべての Configuration Manager 通信パスで HTTPS 通信を使用することが推奨されていますが、PKI 証明書の管理のオーバーヘッドが原因で、一部の顧客にとっては、この使用が困難な課題になります。Microsoft recommends using HTTPS communication for all Configuration Manager communication paths, but it's challenging for some customers due to the overhead of managing PKI certificates.

Configuration Manager バージョン 1806 では、クライアントがシステム クライアントと通信する方法を強化しました。Configuration Manager version 1806 includes improvements to how clients communicate with site systems. これらの強化の主な目的は、以下の 2 つです。There are two primary goals for these improvements:

  • PKI サーバー認証証明書を必要とせずに機密性のクライアント通信を保護できる。You can secure sensitive client communication without the need for PKI server authentication certificates.

  • クライアントは、ネットワーク アクセス アカウント、クライアント PKI 証明書、Windows 認証を必要とせずに、配布ポイントからコンテンツに安全にアクセスできる。Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.

他のすべてのクライアント通信は HTTP 経由で行われます。All other client communication is over HTTP. 拡張 HTTP は、クライアント通信またはサイト システムで HTTPS を有効にすることと同じではありません。Enhanced HTTP isn't the same as enabling HTTPS for client communication or a site system.

注意

PKI 証明書は、以下の要件がある顧客にとっては引き続き有効なオプションです。PKI certificates are still a valid option for customers with the following requirements:

  • すべてのクライアント通信が HTTPS 経由で行われるAll client communication is over HTTPS
  • 署名インフラストラクチャの高度な制御Advanced control of the signing infrastructure

また、既に PKI を使用している場合は、拡張 HTTP が有効になっている場合でも、IIS にバインドされている PKI 証明書が使用されます。Also, If you're already using PKI, the PKI cert bound in IIS will be used even if enhanced HTTP is turned on.

シナリオScenarios

これらの強化によって、次のシナリオでの動作が向上しました。The following scenarios benefit from these improvements:

シナリオ 1:管理ポイントに対するクライアントScenario 1: Client to management point

サイトに対して拡張 HTTP を有効にすると、Azure Active Directory (Azure AD) に参加しているデバイスと、Configuration Manager によって発行されたトークンを持つデバイスが、HTTP 用に構成された管理ポイントと通信できるようになります。Azure Active Directory (Azure AD)-joined devices and devices with a Configuration Manager issued token can communicate with a management point configured for HTTP if you enable enhanced HTTP for the site. 拡張 HTTP が有効になっていると、サイト サーバーによって管理ポイントに対する証明書が生成され、安全なチャネル経由での通信が可能になります。With enhanced HTTP enabled, the site server generates a certificate for the management point allowing it to communicate via a secure channel.

注意

HTTPS 対応の管理ポイントは、このシナリオで使用する必要はありませんが、拡張 HTTP の使用に代わる手段としてサポートされています。This scenario does not require using an HTTPS-enabled management point but it is supported as an alternative to using enhanced HTTP. HTTPS 対応の管理ポイントの使い方の詳細については、「HTTPS 用の管理ポイントを有効にする」を参照してください。For more information on using an HTTPS-enabled management point, see Enable management point for HTTPS.

シナリオ 2:配布ポイントに対するクライアントScenario 2: Client to distribution point

ワークグループまたは Azure AD 参加済みクライアントは、HTTP 用に構成されている配布ポイントから安全なチャネル経由で、認証やコンテンツのダウンロードを行うことができます。A workgroup or Azure AD-joined client can authenticate and download content over a secure channel from a distribution point configured for HTTP. これらの種類のデバイスは、クライアント上の PKI 証明書を必要とせずに、HTTPS 用に構成された配布ポイントを使用して、認証やコンテンツのダウンロードを行うこともできます。These types of devices can also authenticate and download content from a distribution point configured for HTTPS without requiring a PKI certificate on the client. ワークグループまたは Azure AD 参加済みクライアントにクライアント認証証明書を追加するのは簡単ではありません。It's challenging to add a client authentication certificate to a workgroup or Azure AD-joined client.

この動作には、タスク シーケンスがブート メディア、PXE、またはソフトウェア センターから実行されている OS 展開シナリオが含まれます。This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. 詳細については、「ネットワーク アクセス アカウント」を参照してください。For more information, see Network access account.

シナリオ 3:Azure AD デバイス IDScenario 3: Azure AD device identity

Azure AD 参加済みデバイスまたはハイブリッド Azure AD デバイスは、サインインしている Azure AD ユーザーがいない場合、割り当てられているサイトと安全に通信できます。An Azure AD-joined or hybrid Azure AD device without an Azure AD user signed in can securely communicate with its assigned site. 現在は、デバイス中心のシナリオで CMG および管理ポイントを使用して認証を行うには、クラウドベースのデバイス ID で十分になりました。The cloud-based device identity is now sufficient to authenticate with the CMG and management point for device-centric scenarios. (ユーザー中心のシナリオでは、ユーザー トークンがまだ必要です。)(A user token is still required for user-centric scenarios.)

機能Features

次の Configuration Manager 機能は、拡張 HTTP をサポートしているか、必要としています。The following Configuration Manager features support or require enhanced HTTP:

注意

ソフトウェアの更新ポイントとそれに関連するシナリオでは、クライアントだけでなくクラウド管理ゲートウェイとのセキュリティで保護された HTTP トラフィックを常にサポートしてきました。The software update point and related scenarios have always supported secure HTTP traffic with clients as well as the cloud management gateway. これには、証明書またはトークンベースの認証とは異なる管理ポイントによるメカニズムが使用されます。It uses a mechanism with the management point that's different from certificate- or token-based authentication.

[前提条件]Prerequisites

  • HTTP クライアント接続用に構成された管理ポイント。A management point configured for HTTP client connections. 管理ポイントのロール プロパティの [全般] タブで、このオプションを設定します。Set this option on the General tab of the management point role properties.

  • HTTP クライアント接続用に構成された配布ポイント。A distribution point configured for HTTP client connections. 配布ポイントのロール プロパティの [通信] タブで、このオプションを設定します。Set this option on the Communication tab of the distribution point role properties. [クライアントに匿名接続を許可する] オプションを有効にしないでください。Don't enable the option to Allow clients to connect anonymously.

  • クラウド管理のために、サイトを Azure AD にオンボードします。Onboard the site to Azure AD for cloud management.

  • " シナリオ 3 のみ":Windows 10 バージョン 1803 以降を実行していて、Azure AD に参加しているクライアント。For Scenario 3 only: A client running Windows 10 version 1803 or later, and joined to Azure AD. このクライアントでは Azure AD デバイス認証にこの構成が必要です。The client requires this configuration for Azure AD device authentication.

サイトを構成するConfigure the site

  1. Configuration Manager コンソールで、 [管理] ワークスペースに移動し、 [サイトの構成] を展開して [サイト] ノードを選択します。In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. サイトを選択して、リボンの [プロパティ] を選択します。Select the site and choose Properties in the ribbon.

  2. [Communication Security](通信のセキュリティ) タブに切り替えます。 [HTTPS] または [HTTP] のオプションを選択します。Switch to the Communication Security tab. Select the option for HTTPS or HTTP. [HTTP サイト システムには Configuration Manager によって生成された証明書を使用する] オプションを有効にします。Then enable the option to Use Configuration Manager-generated certificates for HTTP site systems.

ヒント

管理ポイントがサイトから新しい証明書を受信して構成するまで、最大 30 分待機します。Wait up to 30 minutes for the management point to receive and configure the new certificate from the site.

バージョン 1902 以降では、中央管理サイトに対して拡張 HTTP を有効にすることもできます。Starting in version 1902, you can also enable enhanced HTTP for the central administration site. これと同じプロセスを使用して、中央管理サイトのプロパティを開きます。Use this same process, and open the properties of the central administration site. このアクションでは、中央管理サイトの SMS プロバイダーの役割に対してのみ拡張 HTTP が有効になります。This action only enables enhanced HTTP for the SMS Provider roles at the central administration site. 階層内のすべてのサイトに適用されるグローバルな設定ではありません。It's not a global setting that applies to all sites in the hierarchy.

Configuration Manager コンソールでこれらの証明書を確認できます。You can see these certificates in the Configuration Manager console. [管理] ワークスペースに移動して、 [セキュリティ] を展開し、 [証明書] ノードを選択します。Go to the Administration workspace, expand Security, and select the Certificates node. SMS 発行ルートによって発行されたサイト サーバー ロール証明書と共に、SMS 発行 ルート証明書を検索します。Look for the SMS Issuing root certificate, as well as the site server role certificates issued by the SMS Issuing root.

この構成でクライアントが管理ポイントおよび配布ポイントと通信する方法の詳細については、「クライアントからサイト システムとサービスへの通信」をご覧ください。For more information on how the client communicates with the management point and distribution point with this configuration, see Communications from clients to site systems and services.

証明書を検証するValidate the certificate

拡張 HTTP を有効にすると、サイト サーバーによって SMS ロール SSL 証明書 という名前の自己署名証明書が生成されます。When you enable enhanced HTTP, the site server generates a self-signed certificate named SMS Role SSL Certificate. この証明書は、ルート SMS 発行 証明書によって発行されます。This certificate is issued by the root SMS Issuing certificate. 管理ポイントによって、この証明書は、ポート 443 にバインドされている IIS の既定の Web サイトに追加されます。The management point adds this certificate to the IIS default web site bound to port 443.

構成の状態を確認するには、mpcontrol.log を確認します。To see the status of the configuration, review mpcontrol.log.

関連項目See also