HTTP aprimoradoEnhanced HTTP

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

Dica

Esse recurso foi introduzido pela primeira vez na versão 1806 como um recurso de pré-lançamento.This feature was first introduced in version 1806 as a pre-release feature. Na versão 1810, esse recurso deixou de ser um recurso de pré-lançamento.Beginning with version 1810, this feature is no longer a pre-release feature.

A Microsoft recomenda usar comunicação HTTPS para todos os caminhos de comunicação do Configuration Manager, mas pode ser um desafio para alguns clientes devido à sobrecarga de gerenciamento de certificados PKI.Microsoft recommends using HTTPS communication for all Configuration Manager communication paths, but it's challenging for some customers due to the overhead of managing PKI certificates.

O Configuration Manager versão 1806 inclui melhorias em como os clientes se comunicam com sistemas de site.Configuration Manager version 1806 includes improvements to how clients communicate with site systems. Há dois objetivos principais para essas melhorias:There are two primary goals for these improvements:

  • Você pode proteger comunicação confidencial do cliente sem necessidade de certificados de autenticação do servidor PKI.You can secure sensitive client communication without the need for PKI server authentication certificates.

  • Os clientes podem acessar com segurança o conteúdo dos pontos de distribuição sem necessidade de uma conta de acesso à rede, certificado PKI de cliente nem autenticação do Windows.Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.

Todas as outras comunicações com cliente são feitas por HTTP.All other client communication is over HTTP. Aprimorar o HTTP não significa habilitar HTTPS para comunicação com cliente ou sistema de sites.Enhanced HTTP isn't the same as enabling HTTPS for client communication or a site system.

Observação

Certificados PKI ainda são uma opção válida para clientes com os seguintes requisitos:PKI certificates are still a valid option for customers with the following requirements:

  • Toda a comunicação de cliente é por HTTPSAll client communication is over HTTPS
  • Controle avançado da infraestrutura de assinaturaAdvanced control of the signing infrastructure

CenáriosScenarios

Os cenários a seguir se beneficiam dessas melhorias:The following scenarios benefit from these improvements:

Cenário 1: cliente para o ponto de gerenciamentoScenario 1: Client to management point

Os dispositivos que ingressaram no Azure AD (Azure Active Directory) podem se comunicar com um ponto de gerenciamento configurado para HTTP.Azure Active Directory (Azure AD)-joined devices can communicate with a management point configured for HTTP. O servidor do site gera um certificado para o ponto de gerenciamento, permitindo que ele se comunique por meio de um canal seguro.The site server generates a certificate for the management point allowing it to communicate via a secure channel.

Observação

Esse comportamento mudou com relação à atual branch do Configuration Manager versão 1802, que exige um ponto de gerenciamento habilitado para HTTPS para clientes que ingressaram no Azure AD se comunicarem por meio de um gateway de gerenciamento de nuvem.This behavior is changed from Configuration Manager current branch version 1802, which requires an HTTPS-enabled management point for Azure AD-joined clients communicating through a cloud management gateway. Para obter mais informações, consulte Habilitar ponto de gerenciamento para HTTPS.For more information, see Enable management point for HTTPS.

Cenário 2: cliente para o ponto de distribuiçãoScenario 2: Client to distribution point

Um cliente que ingressou no Azure AD ou no grupo de trabalho pode autenticar-se e baixar o conteúdo por meio de um canal seguro de um ponto de distribuição configurado para HTTP.A workgroup or Azure AD-joined client can authenticate and download content over a secure channel from a distribution point configured for HTTP. Esses tipos de dispositivos também podem autenticar e baixar conteúdo de um ponto de distribuição configurado para HTTPS sem necessidade de um certificado PKI no cliente.These types of devices can also authenticate and download content from a distribution point configured for HTTPS without requiring a PKI certificate on the client. É um desafio adicionar um certificado de autenticação de cliente a um grupo de trabalho ou um cliente que ingressou no Azure AD.It's challenging to add a client authentication certificate to a workgroup or Azure AD-joined client.

Esse comportamento inclui cenários de implantação de sistema operacional com uma sequência de tarefas em execução no Centro de Software, PXE ou mídia de inicialização.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Para obter mais informações, confira Conta de acesso à rede.For more information, see Network access account.

Cenário 3: Identidade do dispositivo do Azure ADScenario 3: Azure AD device identity

Um dispositivo do Azure AD híbrido ou que ingressou no Azure AD sem um usuário do Azure AD conectado pode se comunicar com segurança com o site atribuído.An Azure AD-joined or hybrid Azure AD device without an Azure AD user signed in can securely communicate with its assigned site. A identidade do dispositivo baseado em nuvem agora é suficiente para autenticar com o CMG e o ponto de gerenciamento para cenários centrados em dispositivo.The cloud-based device identity is now sufficient to authenticate with the CMG and management point for device-centric scenarios. (Um token de usuário ainda é necessário para cenários centrados no usuário.)(A user token is still required for user-centric scenarios.)

RecursosFeatures

Os seguintes recursos do Configuration Manager têm suporte ou exigem HTTP aprimorado:The following Configuration Manager features support or require enhanced HTTP:

Observação

O ponto de atualização de software e os cenários relacionados são sempre compatíveis com o tráfego HTTP seguro com clientes, bem como com o Gateway de Gerenciamento de Nuvem.The software update point and related scenarios have always supported secure HTTP traffic with clients as well as the cloud management gateway. Ele usa um mecanismo com o ponto de gerenciamento, que é diferente da autenticação baseada em certificado ou token.It uses a mechanism with the management point that's different from certificate- or token-based authentication.

Pré-requisitosPrerequisites

  • Um ponto de gerenciamento configurado para conexões de cliente HTTP.A management point configured for HTTP client connections. Defina essa opção na guia Geral das propriedades da função do sistema de sites.Set this option on the General tab of the site system role properties.

  • Um ponto de distribuição configurado para conexões de cliente HTTP.A distribution point configured for HTTP client connections. Defina essa opção na guia Geral das propriedades da função do sistema de sites.Set this option on the General tab of the site system role properties. Não habilite a opção para Permitir que os clientes se conectem anonimamente.Don't enable the option to Allow clients to connect anonymously.

  • Integrar o site ao Azure AD para gerenciamento de nuvem.Onboard the site to Azure AD for cloud management.

    • Se você já tiver cumprido esse pré-requisito para o seu site, precisará atualizar o aplicativo do Azure AD.If you've already met this prerequisite for your site, you need to update the Azure AD application. No console do Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione Locatários do Azure Active Directory.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select Azure Active Directory Tenants. Selecione o locatário do Azure AD, selecione o aplicativo Web no painel ​​Aplicativos e selecione em Atualizar configuração de aplicativo na faixa de opções.Select the Azure AD tenant, select the web application in the Applications pane, and then select Update application setting in the ribbon.
  • Somente para o Cenário 3 : Um cliente com Windows 10 versão 1803 ou posterior e que esteja associado ao Microsoft Azure AD.For Scenario 3 only: A client running Windows 10 version 1803 or later, and joined to Azure AD. O cliente exige essa configuração para a autenticação de dispositivo do Microsoft Azure AD.The client requires this configuration for Azure AD device authentication.

Configurar o siteConfigure the site

  1. No console do Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Selecione o site e escolha em Propriedades na faixa de opções.Select the site and choose Properties in the ribbon.

  2. Alterne para a guia Comunicação do Computador Cliente.Switch to the Client Computer Communication tab.

    Observação

    A partir da versão 1906, essa guia é chamada Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

    Selecione a opção para HTTPS ou HTTP.Select the option for HTTPS or HTTP. Em seguida, habilite a opção para Usar certificados gerados pelo Configuration Manager para sistemas de site HTTP.Then enable the option to Use Configuration Manager-generated certificates for HTTP site systems.

Dica

Aguarde até 30 minutos para o ponto de gerenciamento receber e configurar o novo certificado do site.Wait up to 30 minutes for the management point to receive and configure the new certificate from the site.

A partir da versão 1902, é possível também habilitar o HTTP aprimorado para o site de administração central.Starting in version 1902, you can also enable enhanced HTTP for the central administration site. Use esse mesmo processo e abra as propriedades do site de administração central.Use this same process, and open the properties of the central administration site. Essa ação permite somente HTTP aprimorado para as funções do provedor de SMS no site de administração central.This action only enables enhanced HTTP for the SMS Provider roles at the central administration site. Essa não é uma configuração global que se aplica a todos os sites na hierarquia.It's not a global setting that applies to all sites in the hierarchy.

Você pode ver esses certificados no console do Configuration Manager.You can see these certificates in the Configuration Manager console. Acesse o workspace Administração, expanda Segurança e selecione o nó Certificados.Go to the Administration workspace, expand Security, and select the Certificates node. Procure o certificado raiz Emissão de SMS, bem como os certificados de função de servidor do site emitidos pela raiz de emissão do SMS.Look for the SMS Issuing root certificate, as well as the site server role certificates issued by the SMS Issuing root.

Para obter mais informações sobre como o cliente se comunica com o ponto de gerenciamento e o ponto de distribuição com essa configuração, confira Comunicações de clientes para sistemas de sites e serviços.For more information on how the client communicates with the management point and distribution point with this configuration, see Communications from clients to site systems and services.

Consulte tambémSee also