Verbeterde HTTP

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Microsoft raadt het gebruik van HTTPS-communicatie aan voor alle Configuration Manager communicatiepaden, maar dit is lastig voor sommige klanten vanwege de overhead bij het beheren van PKI-certificaten. Met verbeterde HTTP kunt Configuration Manager beveiligde communicatie bieden door zelfondertekende certificaten uit te geven aan specifieke sitesystemen.

Er zijn twee primaire doelen voor deze configuratie:

  • U kunt gevoelige clientcommunicatie beveiligen zonder dat U PKI-serververificatiecertificaten nodig hebt.

  • Clients kunnen veilig toegang krijgen tot inhoud van distributiepunten zonder dat hiervoor een netwerktoegangsaccount, client PKI-certificaat of Windows-verificatie nodig is.

Alle andere clientcommunicatie verloopt via HTTP. Verbeterde HTTP is niet hetzelfde als het inschakelen van HTTPS voor clientcommunicatie of een sitesysteem.

Opmerking

PKI-certificaten zijn nog steeds een geldige optie voor klanten met de volgende vereisten:

  • Alle clientcommunicatie verloopt via HTTPS
  • Geavanceerd beheer van de ondertekeningsinfrastructuur

Als u al PKI gebruikt, gebruiken sitesystemen het PKI-certificaat dat is gebonden in IIS, zelfs als u verbeterde HTTP inschakelt.

Scenario's

De volgende scenario's profiteren van verbeterde HTTP:

Scenario 1: client naar beheerpunt

Microsoft Entra gekoppelde apparaten en apparaten met een Configuration Manager uitgegeven token kunnen communiceren met een beheerpunt dat is geconfigureerd voor HTTP als u verbeterde HTTP inschakelt voor de site. Als verbeterde HTTP is ingeschakeld, genereert de siteserver een certificaat voor het beheerpunt, zodat deze kan communiceren via een beveiligd kanaal.

Opmerking

Voor dit scenario is geen HTTPS-beheerpunt vereist, maar het wordt ondersteund als alternatief voor het gebruik van verbeterde HTTP. Zie Beheerpunt inschakelen voor HTTPS voor meer informatie over het gebruik van een HTTPS-beheerpunt.

Scenario 2: client naar distributiepunt

Een werkgroep of Microsoft Entra gekoppelde client kan inhoud verifiëren en downloaden via een beveiligd kanaal vanaf een distributiepunt dat is geconfigureerd voor HTTP. Met deze typen apparaten kunnen ook inhoud worden geverifieerd en gedownload van een distributiepunt dat is geconfigureerd voor HTTPS zonder dat hiervoor een PKI-certificaat op de client nodig is. Het is lastig om een certificaat voor clientverificatie toe te voegen aan een werkgroep of Microsoft Entra gekoppelde client.

Dit gedrag omvat besturingssysteemimplementatiescenario's met een takenreeks die wordt uitgevoerd vanaf opstartmedia, PXE of Software Center. Zie Netwerktoegangsaccount voor meer informatie.

Scenario 3: Microsoft Entra apparaat-id

Een Microsoft Entra gekoppeld of hybride Microsoft Entra apparaat zonder een Microsoft Entra gebruiker is aangemeld, kan veilig communiceren met de toegewezen site. De apparaat-id in de cloud is nu voldoende om te verifiëren bij de CMG en het beheerpunt voor apparaatgerichte scenario's. (Er is nog steeds een gebruikerstoken vereist voor gebruikersgerichte scenario's.)

Kenmerken

De volgende Configuration Manager functies ondersteunen of vereisen verbeterde HTTP:

Opmerking

Het software-updatepunt en gerelateerde scenario's bieden altijd ondersteuning voor beveiligd HTTP-verkeer met clients en de cloudbeheergateway. Het maakt gebruik van een mechanisme met het beheerpunt dat verschilt van verificatie op basis van certificaten of tokens.

Niet-ondersteunde scenario's

Verbeterde HTTP beveiligt momenteel niet alle communicatie in Configuration Manager. De volgende lijst bevat een overzicht van enkele belangrijke functies die nog steeds HTTP zijn.

  • Client peer-to-peercommunicatie voor inhoud
  • Statusmigratiepunt
  • Externe hulpprogramma's
  • Reporting Services-punt

Opmerking

Deze lijst is niet volledig.

Vereisten

  • Een beheerpunt dat is geconfigureerd voor HTTP-clientverbindingen. Stel deze optie in op het tabblad Algemeen van de eigenschappen van de beheerpuntrol.

  • Een distributiepunt dat is geconfigureerd voor HTTP-clientverbindingen. Stel deze optie in op het tabblad Communicatie van de eigenschappen van de distributiepuntrol. Schakel de optie Clients toestaan anoniem verbinding te maken niet in.

  • Voor scenario's waarvoor Microsoft Entra-verificatie is vereist, onboardt u de site naar Microsoft Entra-id voor cloudbeheer. Als u de site niet onboardt naar Microsoft Entra-id, kunt u nog steeds verbeterde HTTP inschakelen.

  • Alleen voor scenario 3: een client met een ondersteunde versie van Windows 10 of hoger en gekoppeld aan Microsoft Entra-id. De client vereist deze configuratie voor Microsoft Entra apparaatverificatie.

Opmerking

Er zijn geen vereisten voor de versie van het besturingssysteem, behalve wat de Configuration Manager-client ondersteunt.

De site configureren

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites. Selecteer de site en kies Eigenschappen op het lint.

  2. Ga naar het tabblad Communicatiebeveiliging . Selecteer de optie voor HTTPS of HTTP. Schakel vervolgens de optie Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen gebruiken in.

Tip

Wacht maximaal 30 minuten totdat het beheerpunt het nieuwe certificaat van de site heeft ontvangen en geconfigureerd.

U kunt ook verbeterde HTTP inschakelen voor de centrale beheersite (CAS). Gebruik hetzelfde proces en open de eigenschappen van de CAS. Met deze actie wordt alleen verbeterde HTTP ingeschakeld voor de sms-providerrol op de CAS. Het is geen globale instelling die van toepassing is op alle sites in de hiërarchie.

Zie Communicatie van clients naar sitesystemen en services voor meer informatie over hoe de client communiceert met het beheerpunt en het distributiepunt met deze configuratie.

Het certificaat valideren

U kunt deze certificaten zien in de Configuration Manager-console. Ga naar de werkruimte Beheer , vouw Beveiliging uit en selecteer het knooppunt Certificaten . Zoek naar het SMS Issuing-basiscertificaat en de siteserverfunctiecertificaten die zijn uitgegeven door de SMS Issuing-hoofdmap.

Wanneer u verbeterde HTTP inschakelt, genereert de siteserver een zelfondertekend certificaat met de naam SMS-rol SSL-certificaat. Dit certificaat wordt uitgegeven door het certificaat van de hoofd-SMS-uitgifte . Het beheerpunt voegt dit certificaat toe aan de STANDAARD IIS-website die is gebonden aan poort 443.

Als u de status van de configuratie wilt zien, raadpleegt u mpcontrol.log.

Conceptueel diagram

In dit diagram worden enkele van de belangrijkste aspecten van de verbeterde HTTP-functionaliteit in Configuration Manager samengevat en gevisualiseerd.

Conceptueel diagram van verbeterde HTTP-functionaliteit.

  • De verbinding met Microsoft Entra-id wordt aanbevolen, maar is optioneel. Het maakt scenario's mogelijk waarvoor Microsoft Entra verificatie is vereist.

  • Wanneer u de siteoptie voor verbeterde HTTP inschakelt, geeft de site zelfondertekende certificaten uit aan sitesystemen zoals de beheerpunt- en distributiepuntrollen.

  • Nu de sitesystemen nog steeds zijn geconfigureerd voor HTTP-verbindingen, communiceren clients ermee via HTTPS.

Veelgestelde vragen

Wat zijn de voordelen van verbeterde HTTP?

Het belangrijkste voordeel is het verminderen van het gebruik van pure HTTP, een onveilig protocol. Configuration Manager probeert standaard veilig te zijn en Microsoft wil het u gemakkelijk maken om uw apparaten veilig te houden. Het inschakelen van op PKI gebaseerde HTTPS is een veiligere configuratie, maar dat kan voor veel klanten complex zijn. Als u HTTPS niet kunt uitvoeren, schakelt u verbeterde HTTP in. Microsoft raadt deze configuratie aan, zelfs als uw omgeving momenteel geen van de functies gebruikt die deze ondersteunen.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

Moet ik Microsoft Entra id gebruiken om verbeterde HTTP in te schakelen?

Nee. Veel van de scenario's en functies die profiteren van verbeterde HTTP zijn afhankelijk van Microsoft Entra verificatie. U kunt verbeterde HTTP inschakelen zonder de site te onboarden voor Microsoft Entra-id. Het ondersteunt vervolgens functies zoals de beheerservice en de verminderde behoefte aan het netwerktoegangsaccount. U hebt alleen Microsoft Entra-id nodig wanneer dit is vereist voor een van de ondersteunende functies.

Opmerking

Zelfs als u de REST API van de beheerservice niet rechtstreeks gebruikt, wordt deze door sommige Configuration Manager-functies systeemeigen gebruikt, waaronder onderdelen van de Configuration Manager-console.

Hoe communiceren clients met sitesystemen?

Wanneer u verbeterde HTTP inschakelt, geeft de site certificaten uit aan sitesystemen. Bijvoorbeeld het beheerpunt en het distributiepunt. Vervolgens kunnen deze sitesystemen beveiligde communicatie ondersteunen in momenteel ondersteunde scenario's.

Vanuit clientperspectief geeft het beheerpunt elke client een token uit. De client gebruikt dit token om de communicatie met de sitesystemen te beveiligen. Dat gedrag is versie-agnostisch van het besturingssysteem, anders dan wat de Configuration Manager-client ondersteunt.

Kan ik verbeterde HTTP inschakelen als sommige sitesystemen al HTTPS zijn?

Ja. Sitesystemen geven altijd de voorkeur aan een PKI-certificaat. Eén beheerpunt heeft bijvoorbeeld al een PKI-certificaat, maar andere niet. Wanneer u verbeterde HTTP voor de site inschakelt, blijft het HTTPS-beheerpunt het PKI-certificaat gebruiken. De andere beheerpunten gebruiken het door de site uitgegeven certificaat voor verbeterde HTTP.

Volgende stappen