HTTP melhoradoEnhanced HTTP

Aplica-se a: Gestor de Configuração (ramo atual)Applies to: Configuration Manager (current branch)

Dica

Esta funcionalidade foi introduzida pela primeira vez na versão 1806 como uma funcionalidade de pré-lançamento.This feature was first introduced in version 1806 as a pre-release feature. A partir da versão 1810, esta funcionalidade já não é uma funcionalidade de pré-lançamento.Beginning with version 1810, this feature is no longer a pre-release feature.

A Microsoft recomenda a utilização da comunicação HTTPS para todos os caminhos de comunicação do Gestor de Configuração, mas é um desafio para alguns clientes devido à sobrecarga de gestão de certificados PKI.Microsoft recommends using HTTPS communication for all Configuration Manager communication paths, but it's challenging for some customers due to the overhead of managing PKI certificates.

A versão 1806 do Gestor de Configuração inclui melhorias na forma como os clientes comunicam com os sistemas do site.Configuration Manager version 1806 includes improvements to how clients communicate with site systems. Há dois objetivos primários para estas melhorias:There are two primary goals for these improvements:

  • Pode garantir uma comunicação sensível do cliente sem a necessidade de certificados de autenticação do servidor PKI.You can secure sensitive client communication without the need for PKI server authentication certificates.

  • Os clientes podem aceder de forma segura a conteúdos a partir de pontos de distribuição sem a necessidade de uma conta de acesso à rede, certificado PKI cliente e autenticação do Windows.Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.

Toda a comunicação do cliente está acima de HTTP.All other client communication is over HTTP. O HTTP melhorado não é o mesmo que permitir https para comunicação do cliente ou um sistema de site.Enhanced HTTP isn't the same as enabling HTTPS for client communication or a site system.

Nota

Os certificados PKI continuam a ser uma opção válida para os clientes com os seguintes requisitos:PKI certificates are still a valid option for customers with the following requirements:

  • Toda a comunicação do cliente está sobre HTTPSAll client communication is over HTTPS
  • Controlo avançado da infraestrutura de assinaturaAdvanced control of the signing infrastructure

Além disso, Se já estiver a utilizar o PKI, o certificado PKI ligado ao IIS será utilizado mesmo que o HTTP melhorado seja ligado.Also, If you're already using PKI, the PKI cert bound in IIS will be used even if enhanced HTTP is turned on.

CenáriosScenarios

Os seguintes cenários beneficiam destas melhorias:The following scenarios benefit from these improvements:

Cenário 1: Cliente para ponto de gestãoScenario 1: Client to management point

Os dispositivos unidos pelo Azure Ative Directory (Azure AD) podem comunicar com um ponto de gestão configurado para HTTP.Azure Active Directory (Azure AD)-joined devices can communicate with a management point configured for HTTP. O servidor do site gera um certificado para o ponto de gestão que lhe permite comunicar através de um canal seguro.The site server generates a certificate for the management point allowing it to communicate via a secure channel.

Nota

Este comportamento é alterado a partir da versão atual do Gerente de Configuração 1802, que requer um ponto de gestão ativado por HTTPS para clientes unidos pela AD azure comunicando através de um gateway de gestão de nuvem.This behavior is changed from Configuration Manager current branch version 1802, which requires an HTTPS-enabled management point for Azure AD-joined clients communicating through a cloud management gateway. Para mais informações, consulte O ponto de gestão enable para HTTPS.For more information, see Enable management point for HTTPS.

Cenário 2: Cliente para ponto de distribuiçãoScenario 2: Client to distribution point

Um grupo de trabalho ou um cliente azure ad-join-join pode autenticar e transferir conteúdo em um canal seguro a partir de um ponto de distribuição configurado para HTTP.A workgroup or Azure AD-joined client can authenticate and download content over a secure channel from a distribution point configured for HTTP. Este tipo de dispositivos também pode autenticar e descarregar conteúdo a partir de um ponto de distribuição configurado para HTTPS sem necessitar de um certificado PKI no cliente.These types of devices can also authenticate and download content from a distribution point configured for HTTPS without requiring a PKI certificate on the client. É um desafio adicionar um certificado de autenticação de cliente a um grupo de trabalho ou cliente azure ad-join.It's challenging to add a client authentication certificate to a workgroup or Azure AD-joined client.

Este comportamento inclui cenários de implementação de OS com uma sequência de tarefas que funciona a partir de suportes de arranque, PXE ou Software Center.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Para mais informações, consulte a contade acesso à Rede .For more information, see Network access account.

Cenário 3: Identidade do dispositivo Azure ADScenario 3: Azure AD device identity

Um dispositivo Azure Azure AD filiado ou híbrido azure sem um utilizador Azure AD assinado pode comunicar com segurança com o seu site atribuído.An Azure AD-joined or hybrid Azure AD device without an Azure AD user signed in can securely communicate with its assigned site. A identidade do dispositivo baseado na nuvem é agora suficiente para autenticar com o CMG e ponto de gestão para cenários centrados no dispositivo.The cloud-based device identity is now sufficient to authenticate with the CMG and management point for device-centric scenarios. (Ainda é necessário um sinal de utilizador para cenários centrados no utilizador.)(A user token is still required for user-centric scenarios.)

FuncionalidadesFeatures

O seguinte Gestor de Configuração apresenta suporte ou requer HTTP melhorado:The following Configuration Manager features support or require enhanced HTTP:

Nota

O ponto de atualização de software e cenários relacionados sempre apoiaram o tráfego http seguro com os clientes, bem como o gateway de gestão de nuvem.The software update point and related scenarios have always supported secure HTTP traffic with clients as well as the cloud management gateway. Usa um mecanismo com o ponto de gestão diferente da autenticação baseada em certificados ou tokens.It uses a mechanism with the management point that's different from certificate- or token-based authentication.

Pré-requisitosPrerequisites

  • Um ponto de gestão configurado para ligações ao cliente HTTP.A management point configured for HTTP client connections. Descoloque esta opção no separador Geral das propriedades do ponto de gestão.Set this option on the General tab of the management point role properties.

  • Um ponto de distribuição configurado para ligações ao cliente HTTP.A distribution point configured for HTTP client connections. Descoloque esta opção no separador comunicação das propriedades do ponto de distribuição.Set this option on the Communication tab of the distribution point role properties. Não permita que os clientes se conectem de forma anónima.Don't enable the option to Allow clients to connect anonymously.

  • A bordo do site para Azure AD para gestão de nuvens.Onboard the site to Azure AD for cloud management.

    • Se já preencheu este pré-requisito para o seu site, precisa de atualizar a aplicação Azure AD.If you've already met this prerequisite for your site, you need to update the Azure AD application. Na consola de Configuração Manager, vá ao espaço de trabalho da Administração, expanda os Serviços cloud, e selecione Azure Ative Directory Tenants.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select Azure Active Directory Tenants. Selecione o inquilino Azure AD, selecione a aplicação web no painel de aplicações e, em seguida, selecione a definição de aplicação Update na fita.Select the Azure AD tenant, select the web application in the Applications pane, and then select Update application setting in the ribbon.
  • *Apenas para o Cenário 3: *Um cliente que executa a versão 1803 do Windows 10 ou mais tarde, e juntou-se ao Azure AD.For Scenario 3 only: A client running Windows 10 version 1803 or later, and joined to Azure AD. O cliente requer esta configuração para autenticação do dispositivo Azure AD.The client requires this configuration for Azure AD device authentication.

Configure o siteConfigure the site

  1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda a Configuração do Sitee selecione o nó de Sites.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Selecione o site e escolha Propriedades na fita.Select the site and choose Properties in the ribbon.

  2. Mude para o separador comunicação do computador cliente.Switch to the Client Computer Communication tab.

    Nota

    A partir da versão 1906, este separador chama-se Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

    Selecione a opção para HTTPS ou HTTP.Select the option for HTTPS or HTTP. Em seguida, ative a opção de utilizar certificados gerados pelo Gestor de Configuração para sistemas de site HTTP.Then enable the option to Use Configuration Manager-generated certificates for HTTP site systems.

Dica

Aguarde até 30 minutos para que o ponto de gestão receba e configure o novo certificado a partir do site.Wait up to 30 minutes for the management point to receive and configure the new certificate from the site.

A partir da versão 1902, também pode ativar http melhorado para o site da administração central.Starting in version 1902, you can also enable enhanced HTTP for the central administration site. Use este mesmo processo e abra as propriedades do site da administração central.Use this same process, and open the properties of the central administration site. Esta ação apenas permite um HTTP reforçado para as funções de Provedor de SMS no site da administração central.This action only enables enhanced HTTP for the SMS Provider roles at the central administration site. Não é um cenário global que se aplica a todos os sites da hierarquia.It's not a global setting that applies to all sites in the hierarchy.

Pode ver estes certificados na consola 'Gestor de Configuração'.You can see these certificates in the Configuration Manager console. Vá ao espaço de trabalho da Administração, expanda a Segurançae selecione o nó de Certificados.Go to the Administration workspace, expand Security, and select the Certificates node. Procure o certificado raiz de emissão SMS, bem como os certificados de função do servidor do site emitidos pela raiz de emissão SMS.Look for the SMS Issuing root certificate, as well as the site server role certificates issued by the SMS Issuing root.

Para obter mais informações sobre como o cliente comunica com o ponto de gestão e ponto de distribuição com esta configuração, consulte comunicações de clientes para sistemas e serviços do site.For more information on how the client communicates with the management point and distribution point with this configuration, see Communications from clients to site systems and services.

Consulte tambémSee also