HTTP mejorado
Se aplica a: Configuration Manager (rama actual)
Microsoft recomienda usar la comunicación HTTPS para todas las rutas de comunicación Configuration Manager, pero es un desafío para algunos clientes debido a la sobrecarga de administración de certificados PKI. Con HTTP mejorado, Configuration Manager puede proporcionar una comunicación segura mediante la emisión de certificados autofirmados a sistemas de sitio específicos.
Hay dos objetivos principales para esta configuración:
Puede proteger la comunicación confidencial del cliente sin necesidad de certificados de autenticación de servidor PKI.
Los clientes pueden acceder de forma segura al contenido desde puntos de distribución sin necesidad de una cuenta de acceso de red, un certificado PKI de cliente o autenticación de Windows.
El resto de la comunicación de cliente se realiza a través de HTTP. HTTP mejorado no es lo mismo que habilitar HTTPS para la comunicación de cliente o un sistema de sitio.
Nota:
Los certificados PKI siguen siendo una opción válida para los clientes con los siguientes requisitos:
- Toda la comunicación del cliente se realiza a través de HTTPS
- Control avanzado de la infraestructura de firma
Si ya usa PKI, los sistemas de sitio usan el certificado PKI enlazado en IIS aunque habilite HTTP mejorado.
Escenarios
Los siguientes escenarios se benefician de HTTP mejorado:
Escenario 1: De cliente a punto de administración
Microsoft Entra dispositivos unidos con un token emitido Configuration Manager pueden comunicarse con un punto de administración configurado para HTTP si habilita HTTP mejorado para el sitio. Con HTTP mejorado habilitado, el servidor de sitio genera un certificado para el punto de administración que le permite comunicarse a través de un canal seguro.
Nota:
Este escenario no requiere el uso de un punto de administración habilitado para HTTPS, pero se admite como alternativa al uso de HTTP mejorado. Para obtener más información sobre el uso de un punto de administración habilitado para HTTPS, consulte Habilitación del punto de administración para HTTPS.
Escenario 2: De cliente a punto de distribución
Un grupo de trabajo o Microsoft Entra cliente unido puede autenticar y descargar contenido a través de un canal seguro desde un punto de distribución configurado para HTTP. Estos tipos de dispositivos también pueden autenticar y descargar contenido desde un punto de distribución configurado para HTTPS sin necesidad de un certificado PKI en el cliente. Es difícil agregar un certificado de autenticación de cliente a un grupo de trabajo o Microsoft Entra cliente unido.
Este comportamiento incluye escenarios de implementación del sistema operativo con una secuencia de tareas que se ejecuta desde medios de arranque, PXE o centro de software. Para obtener más información, consulte Cuenta de acceso de red.
Escenario 3: Microsoft Entra identidad del dispositivo
Un dispositivo Microsoft Entra unido o híbrido Microsoft Entra sin que un usuario Microsoft Entra haya iniciado sesión pueda comunicarse de forma segura con su sitio asignado. La identidad de dispositivo basada en la nube ahora es suficiente para autenticarse con CMG y el punto de administración para escenarios centrados en dispositivos. (Sigue siendo necesario un token de usuario para escenarios centrados en el usuario).
Características
Las siguientes características Configuration Manager admiten o requieren HTTP mejorado:
- Puerta de enlace de administración en la nube
- Implementación del sistema operativo sin una cuenta de acceso de red
- Habilitación de la administración conjunta para nuevos dispositivos Windows basados en Internet
- Aprobaciones de aplicaciones por correo electrónico
- Servicio de administración
- Visualización de las consolas conectadas recientemente
- Recuperación de claves de administración de BitLocker (versión 2103 y posteriores)
- Aplicaciones disponibles para el usuario del Centro de software (versión 2107 y posteriores)
- Portal de empresa en dispositivos administrados conjuntamente (versión 2107 y posteriores)
Nota:
El punto de actualización de software y los escenarios relacionados siempre han admitido el tráfico HTTP seguro con clientes, así como la puerta de enlace de administración en la nube. Usa un mecanismo con el punto de administración diferente de la autenticación basada en certificados o tokens.
Escenarios no admitidos
Http mejorado no protege actualmente toda la comunicación en Configuration Manager. En la lista siguiente se resumen algunas funciones clave que siguen siendo HTTP.
- Comunicación punto a punto de cliente para el contenido
- Punto de migración de estado
- Herramientas remotas
- Punto de Reporting Services
Nota:
Esta lista no es exhaustiva.
Requisitos previos
Punto de administración configurado para las conexiones de cliente HTTP. Establezca esta opción en la pestaña General de las propiedades del rol de punto de administración.
Punto de distribución configurado para conexiones de cliente HTTP. Establezca esta opción en la pestaña Comunicación de las propiedades del rol de punto de distribución. No habilite la opción Permitir que los clientes se conecten de forma anónima.
Para escenarios que requieren Microsoft Entra autenticación, incorpore el sitio a Microsoft Entra identificador para la administración en la nube. Si no incorpora el sitio a Microsoft Entra identificador, todavía puede habilitar HTTP mejorado.
Solo para el escenario 3: un cliente que ejecuta una versión compatible de Windows 10 o posterior y se ha unido a Microsoft Entra identificador. El cliente requiere esta configuración para la autenticación de Microsoft Entra dispositivo.
Nota:
No hay ningún requisito de versión del sistema operativo, aparte de lo que admite el cliente Configuration Manager.
Configuración del sitio
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios. Seleccione el sitio y elija Propiedades en la cinta de opciones.
Cambie a la pestaña Seguridad de la comunicación . Seleccione la opción HTTPS o HTTP. A continuación, habilite la opción Usar certificados generados por Configuration Manager para sistemas de sitio HTTP.
Sugerencia
Espere hasta 30 minutos para que el punto de administración reciba y configure el nuevo certificado desde el sitio.
También puede habilitar HTTP mejorado para el sitio de administración central (CAS). Use este mismo proceso y abra las propiedades del CAS. Esta acción solo habilita HTTP mejorado para el rol Proveedor de SMS en el CAS. No es una configuración global que se aplica a todos los sitios de la jerarquía.
Para obtener más información sobre cómo el cliente se comunica con el punto de administración y el punto de distribución con esta configuración, vea Comunicaciones de clientes a sistemas y servicios de sitio.
Validación del certificado
Puede ver estos certificados en la consola de Configuration Manager. Vaya al área de trabajo Administración , expanda Seguridad y seleccione el nodo Certificados . Busque el certificado raíz de emisión de SMS y los certificados de rol de servidor de sitio emitidos por la raíz emisora de SMS.
Al habilitar HTTP mejorado, el servidor de sitio genera un certificado autofirmado denominado Certificado SSL de rol SMS. Este certificado lo emite el certificado raíz de emisión de SMS . El punto de administración agrega este certificado al sitio web predeterminado de IIS enlazado al puerto 443.
Para ver el estado de la configuración, revise mpcontrol.log.
Diagrama conceptual
En este diagrama se resumen y visualizan algunos de los aspectos principales de la funcionalidad HTTP mejorada en Configuration Manager.
Se recomienda la conexión con el identificador de Microsoft Entra, pero es opcional. Permite escenarios que requieren Microsoft Entra autenticación.
Al habilitar la opción de sitio para HTTP mejorado, el sitio emite certificados autofirmados a sistemas de sitio, como los roles de punto de administración y punto de distribución.
Con los sistemas de sitio todavía configurados para las conexiones HTTP, los clientes se comunican con ellos a través de HTTPS.
Preguntas más frecuentes
¿Cuáles son las ventajas de HTTP mejorado?
La principal ventaja es reducir el uso de HTTP puro, que es un protocolo inseguro. Configuration Manager intenta ser seguro de forma predeterminada y Microsoft quiere facilitar la protección de los dispositivos. Habilitar HTTPS basado en PKI es una configuración más segura, pero puede ser compleja para muchos clientes. Si no puede hacer HTTPS, habilite HTTP mejorado. Microsoft recomienda esta configuración, incluso si el entorno no usa actualmente ninguna de las características que la admiten.
Importante
A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.
¿Necesito usar Microsoft Entra id. para habilitar HTTP mejorado?
No. Muchos de los escenarios y características que se benefician de HTTP mejorado se basan en la autenticación Microsoft Entra. Puede habilitar HTTP mejorado sin incorporar el sitio a Microsoft Entra identificador. A continuación, admite características como el servicio de administración y la necesidad reducida de la cuenta de acceso a la red. Solo necesita Microsoft Entra identificador cuando una de las características auxiliares lo requiera.
Nota:
Incluso si no usa directamente la API REST del servicio de administración, algunas características de Configuration Manager la usan de forma nativa, incluidas las partes de la consola de Configuration Manager.
¿Cómo se comunican los clientes con los sistemas de sitio?
Al habilitar HTTP mejorado, el sitio emite certificados a los sistemas de sitio. Por ejemplo, el punto de administración y el punto de distribución. A continuación, estos sistemas de sitio pueden admitir la comunicación segura en escenarios admitidos actualmente.
Desde la perspectiva del cliente, el punto de administración emite a cada cliente un token. El cliente usa este token para proteger la comunicación con los sistemas de sitio. Ese comportamiento es independiente de la versión del sistema operativo, aparte de lo que admite el cliente Configuration Manager.
Si algunos sistemas de sitio ya son HTTPS, ¿puedo habilitar HTTP mejorado?
Sí. Los sistemas de sitio siempre prefieren un certificado PKI. Por ejemplo, un punto de administración ya tiene un certificado PKI, pero otros no. Al habilitar HTTP mejorado para el sitio, el punto de administración HTTPS sigue usando el certificado PKI. Los demás puntos de administración usan el certificado emitido por el sitio para HTTP mejorado.