HTTP aprimorado

Aplica-se a: Configuration Manager (branch atual)

A Microsoft recomenda usar a comunicação HTTPS para todos os Configuration Manager caminhos de comunicação, mas é desafiador para alguns clientes devido à sobrecarga do gerenciamento de certificados PKI. Com HTTP aprimorado, Configuration Manager pode fornecer comunicação segura emitindo certificados autoassinados para sistemas de site específicos.

Há duas metas primárias para essa configuração:

  • Você pode proteger a comunicação confidencial do cliente sem a necessidade de certificados de autenticação de servidor PKI.

  • Os clientes podem acessar com segurança o conteúdo de pontos de distribuição sem a necessidade de uma conta de acesso à rede, certificado PKI do cliente ou autenticação do Windows.

Todas as outras comunicações do cliente são por http. HTTP aprimorado não é o mesmo que habilitar HTTPS para comunicação do cliente ou um sistema de site.

Observação

Os certificados PKI ainda são uma opção válida para clientes com os seguintes requisitos:

  • Toda a comunicação do cliente é sobre HTTPS
  • Controle avançado da infraestrutura de assinatura

Se você já estiver usando pki, os sistemas de site usam o certificado PKI vinculado no IIS mesmo se você habilitar HTTP aprimorado.

Cenários

Os seguintes cenários se beneficiam de HTTP aprimorado:

Cenário 1: ponto de gerenciamento cliente a

Microsoft Entra dispositivos e dispositivos ingressados com um token emitido Configuration Manager podem se comunicar com um ponto de gerenciamento configurado para HTTP se você habilitar HTTP aprimorado para o site. Com HTTP aprimorado habilitado, o servidor do site gera um certificado para o ponto de gerenciamento que permite que ele se comunique por meio de um canal seguro.

Observação

Esse cenário não requer o uso de um ponto de gerenciamento habilitado para HTTPS, mas tem suporte como alternativa ao uso de HTTP aprimorado. Para obter mais informações sobre como usar um ponto de gerenciamento habilitado para HTTPS, consulte Habilitar ponto de gerenciamento para HTTPS.

Cenário 2: ponto de distribuição cliente a

Um grupo de trabalho ou Microsoft Entra cliente ingressado pode autenticar e baixar conteúdo em um canal seguro de um ponto de distribuição configurado para HTTP. Esses tipos de dispositivos também podem autenticar e baixar conteúdo de um ponto de distribuição configurado para HTTPS sem exigir um certificado PKI no cliente. É desafiador adicionar um certificado de autenticação do cliente a um grupo de trabalho ou Microsoft Entra cliente ingressado.

Esse comportamento inclui cenários de implantação do sistema operacional com uma sequência de tarefas em execução de mídia de inicialização, PXE ou Centro de Software. Para obter mais informações, consulte Conta de acesso à rede.

Cenário 3: Microsoft Entra identidade do dispositivo

Um Microsoft Entra dispositivo de Microsoft Entra híbrido ou ingressado sem um Microsoft Entra usuário conectado pode se comunicar com segurança com seu site atribuído. A identidade do dispositivo baseada em nuvem agora é suficiente para se autenticar com o CMG e o ponto de gerenciamento para cenários centrados no dispositivo. (Um token de usuário ainda é necessário para cenários centrados no usuário.)

Recursos

Os seguintes recursos de Configuration Manager dão suporte ou exigem HTTP aprimorado:

Observação

O ponto de atualização de software e cenários relacionados sempre deram suporte ao tráfego HTTP seguro com clientes, bem como ao gateway de gerenciamento de nuvem. Ele usa um mecanismo com o ponto de gerenciamento diferente da autenticação baseada em certificado ou token.

Cenários não suportados

No momento, o HTTP aprimorado não protege toda a comunicação no Configuration Manager. A lista a seguir resume algumas funcionalidades principais que ainda são HTTP.

  • Comunicação ponto a ponto do cliente para conteúdo
  • Ponto de migração de estado
  • Ferramentas remotas
  • Ponto de serviços de relatório

Observação

Esta lista não é exaustiva.

Pré-requisitos

  • Um ponto de gerenciamento configurado para conexões de cliente HTTP. Defina essa opção na guia Geral das propriedades da função de ponto de gerenciamento.

  • Um ponto de distribuição configurado para conexões de cliente HTTP. Defina essa opção na guia Comunicação das propriedades da função do ponto de distribuição. Não habilite a opção para permitir que os clientes se conectem anonimamente.

  • Para cenários que exigem Microsoft Entra autenticação, integre o site para Microsoft Entra ID para gerenciamento de nuvem. Se você não integrar o site para Microsoft Entra ID, ainda poderá habilitar HTTP aprimorado.

  • Somente para o Cenário 3: um cliente que executa uma versão com suporte de Windows 10 ou posterior e ingressou no Microsoft Entra ID. O cliente requer essa configuração para Microsoft Entra autenticação do dispositivo.

Observação

Não há requisitos de versão do sistema operacional, além do que o cliente Configuration Manager dá suporte.

Configurar o site

  1. No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites. Selecione o site e escolha Propriedades na faixa de opções.

  2. Alterne para a guia Segurança de Comunicação . Selecione a opção para HTTPS ou HTTP. Em seguida, habilite a opção usar certificados gerados por Configuration Manager para sistemas de sites HTTP.

Dica

Aguarde até 30 minutos para que o ponto de gerenciamento receba e configure o novo certificado do site.

Você também pode habilitar HTTP aprimorado para o CAS (site de administração central). Use esse mesmo processo e abra as propriedades do CAS. Essa ação só permite HTTP aprimorado para a função provedor de SMS no CAS. Não é uma configuração global que se aplica a todos os sites na hierarquia.

Para obter mais informações sobre como o cliente se comunica com o ponto de gerenciamento e o ponto de distribuição com essa configuração, consulte Comunicações de clientes para sistemas e serviços de site.

Validar o certificado

Você pode ver esses certificados no console Configuration Manager. Acesse o workspace Administração , expanda Segurança e selecione o nó Certificados . Procure o certificado raiz de emissão de SMS e os certificados de função do servidor de site emitidos pela raiz de emissão de SMS.

Quando você habilita HTTP aprimorado, o servidor do site gera um certificado autoassinado chamado Certificado SSL de Função SMS. Esse certificado é emitido pelo certificado de emissão de SMS raiz. O ponto de gerenciamento adiciona esse certificado ao site padrão do IIS vinculado à porta 443.

Para ver o status da configuração, examine mpcontrol.log.

Diagrama conceitual

Este diagrama resume e visualiza alguns dos aspectos main da funcionalidade HTTP aprimorada no Configuration Manager.

Diagrama conceitual da funcionalidade HTTP aprimorada.

  • A conexão com Microsoft Entra ID é recomendada, mas opcional. Ele habilita cenários que exigem Microsoft Entra autenticação.

  • Quando você habilita a opção de site para HTTP aprimorado, o site emite certificados autoassinados para sistemas de site, como o ponto de gerenciamento e as funções de ponto de distribuição.

  • Com os sistemas de site ainda configurados para conexões HTTP, os clientes se comunicam com eles por HTTPS.

Perguntas frequentes

Quais são os benefícios do HTTP aprimorado?

O main benefício é reduzir o uso de HTTP puro, que é um protocolo inseguro. Configuration Manager tenta ser segura por padrão, e a Microsoft quer facilitar a segurança de seus dispositivos. Habilitar o HTTPS baseado em PKI é uma configuração mais segura, mas que pode ser complexa para muitos clientes. Se você não puder fazer HTTPS, habilite HTTP aprimorado. A Microsoft recomenda essa configuração, mesmo que seu ambiente não use nenhum dos recursos compatíveis com ele no momento.

Importante

A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.

Preciso usar Microsoft Entra ID para habilitar HTTP aprimorado?

Não. Muitos dos cenários e recursos que se beneficiam do HTTP aprimorado dependem da autenticação Microsoft Entra. Você pode habilitar HTTP aprimorado sem integrar o site para Microsoft Entra ID. Em seguida, ele dá suporte a recursos como o serviço de administração e a necessidade reduzida da conta de acesso à rede. Você só precisa Microsoft Entra ID quando um dos recursos de suporte exige isso.

Observação

Mesmo que você não use diretamente a API REST do serviço de administração, alguns recursos Configuration Manager a usam nativamente, incluindo partes do console Configuration Manager.

Como os clientes se comunicam com sistemas de sites?

Quando você habilita HTTP aprimorado, o site emite certificados para sistemas de site. Por exemplo, o ponto de gerenciamento e o ponto de distribuição. Em seguida, esses sistemas de site podem dar suporte à comunicação segura em cenários com suporte no momento.

Do ponto de vista do cliente, o ponto de gerenciamento emite um token a cada cliente. O cliente usa esse token para proteger a comunicação com os sistemas do site. Esse comportamento é agnóstico de versão do sistema operacional, diferente do que o cliente Configuration Manager dá suporte.

Se alguns sistemas de site já estiverem HTTPS, posso habilitar HTTP aprimorado?

Sim. Os sistemas de site sempre preferem um certificado PKI. Por exemplo, um ponto de gerenciamento já tem um certificado PKI, mas outros não. Quando você habilita HTTP aprimorado para o site, o ponto de gerenciamento HTTPS continua a usar o certificado PKI. Os outros pontos de gerenciamento usam o certificado emitido pelo site para HTTP aprimorado.

Próximas etapas