HTTP avanzato
Si applica a: Configuration Manager (Current Branch)
Microsoft consiglia di usare la comunicazione HTTPS per tutti i percorsi di comunicazione Configuration Manager, ma è difficile per alcuni clienti a causa del sovraccarico di gestione dei certificati PKI. Con HTTP avanzato, Configuration Manager può fornire comunicazioni sicure rilasciando certificati autofirmati a sistemi del sito specifici.
Per questa configurazione sono previsti due obiettivi principali:
È possibile proteggere le comunicazioni client sensibili senza la necessità di certificati di autenticazione del server PKI.
I client possono accedere in modo sicuro al contenuto dai punti di distribuzione senza la necessità di un account di accesso alla rete, un certificato PKI client o autenticazione di Windows.
Tutte le altre comunicazioni client sono su HTTP. Il protocollo HTTP avanzato non equivale all'abilitazione di HTTPS per la comunicazione client o un sistema del sito.
Nota
I certificati PKI sono ancora un'opzione valida per i clienti con i requisiti seguenti:
- Tutte le comunicazioni client sono su HTTPS
- Controllo avanzato dell'infrastruttura di firma
Se si usa già l'infrastruttura a chiave pubblica, i sistemi del sito usano il certificato PKI associato in IIS anche se si abilita HTTP avanzato.
Scenari
Gli scenari seguenti traggono vantaggio da HTTP avanzato:
Scenario 1: da client a punto di gestione
Microsoft Entra dispositivi e dispositivi aggiunti con un token emesso Configuration Manager possono comunicare con un punto di gestione configurato per HTTP se si abilita HTTP avanzato per il sito. Con http avanzato abilitato, il server del sito genera un certificato per il punto di gestione che consente di comunicare tramite un canale sicuro.
Nota
Questo scenario non richiede l'uso di un punto di gestione abilitato per HTTPS, ma è supportato come alternativa all'uso di HTTP avanzato. Per altre informazioni sull'uso di un punto di gestione abilitato per HTTPS, vedere Abilitare il punto di gestione per HTTPS.
Scenario 2: da client a punto di distribuzione
Un gruppo di lavoro o Microsoft Entra client aggiunto può autenticare e scaricare il contenuto tramite un canale sicuro da un punto di distribuzione configurato per HTTP. Questi tipi di dispositivi possono anche autenticare e scaricare il contenuto da un punto di distribuzione configurato per HTTPS senza richiedere un certificato PKI nel client. È difficile aggiungere un certificato di autenticazione client a un gruppo di lavoro o Microsoft Entra client aggiunto.
Questo comportamento include scenari di distribuzione del sistema operativo con una sequenza di attività in esecuzione da supporti di avvio, PXE o Software Center. Per altre informazioni, vedere Account di accesso alla rete.
Scenario 3: Microsoft Entra l'identità del dispositivo
Un Microsoft Entra dispositivo Microsoft Entra aggiunto o ibrido senza un utente Microsoft Entra connesso può comunicare in modo sicuro con il sito assegnato. L'identità del dispositivo basata sul cloud è ora sufficiente per eseguire l'autenticazione con il cmg e il punto di gestione per gli scenari incentrati sul dispositivo. Per gli scenari incentrati sull'utente è ancora necessario un token utente.
Funzionalità
Le funzionalità di Configuration Manager seguenti supportano o richiedono http avanzato:
- Gateway di gestione cloud
- Distribuzione del sistema operativo senza un account di accesso alla rete
- Abilitare la co-gestione per i nuovi dispositivi Windows basati su Internet
- Approvazioni dell'app tramite posta elettronica
- Administration
- Visualizzare le console connesse di recente
- Ripristino delle chiavi di gestione di BitLocker (versione 2103 e successive)
- Applicazioni disponibili per l'utente di Software Center (versione 2107 e successive)
- Portale aziendale nei dispositivi co-gestiti (versione 2107 e successive)
Nota
Il punto di aggiornamento software e gli scenari correlati hanno sempre supportato il traffico HTTP sicuro con i client e il gateway di gestione cloud. Usa un meccanismo con il punto di gestione diverso dall'autenticazione basata su certificato o token.
Scenari non supportati
HTTP avanzato attualmente non protegge tutte le comunicazioni in Configuration Manager. L'elenco seguente riepiloga alcune funzionalità chiave che sono ancora HTTP.
- Comunicazione peer-to-peer client per il contenuto
- Punto di migrazione stato
- Rimuovi strumenti
- Punto di Reporting Services
Nota
Questo elenco non è esaustivo.
Prerequisiti
Punto di gestione configurato per le connessioni client HTTP. Impostare questa opzione nella scheda Generale delle proprietà del ruolo del punto di gestione.
Punto di distribuzione configurato per le connessioni client HTTP. Impostare questa opzione nella scheda Comunicazione delle proprietà del ruolo del punto di distribuzione. Non abilitare l'opzione Consenti ai client di connettersi in modo anonimo.
Per gli scenari che richiedono l'autenticazione Microsoft Entra, eseguire l'onboarding del sito per Microsoft Entra ID per la gestione cloud. Se non si esegue l'onboarding del sito in Microsoft Entra ID, è comunque possibile abilitare HTTP avanzato.
Solo per lo scenario 3: un client che esegue una versione supportata di Windows 10 o versioni successive e aggiunto all'ID Microsoft Entra. Il client richiede questa configurazione per l'autenticazione del dispositivo Microsoft Entra.
Nota
Non sono previsti requisiti di versione del sistema operativo, oltre a quelli supportati dal client Configuration Manager.
Configurare il sito
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti. Selezionare il sito e scegliere Proprietà nella barra multifunzione.
Passare alla scheda Sicurezza delle comunicazioni . Selezionare l'opzione HTTPS o HTTP. Abilitare quindi l'opzione Usa certificati generati da Configuration Manager per i sistemi del sito HTTP.
Consiglio
Attendere fino a 30 minuti affinché il punto di gestione riceva e configuri il nuovo certificato dal sito.
È anche possibile abilitare HTTP avanzato per il sito di amministrazione centrale.You can also enable enhanced HTTP for the central administration site (CAS). Usare questo stesso processo e aprire le proprietà del server di amministrazione centrale. Questa azione consente solo http avanzato per il ruolo del provider SMS nel server di amministrazione centrale. Non si tratta di un'impostazione globale che si applica a tutti i siti nella gerarchia.
Per altre informazioni sul modo in cui il client comunica con il punto di gestione e il punto di distribuzione con questa configurazione, vedere Comunicazioni dai client ai sistemi e ai servizi del sito.
Convalidare il certificato
È possibile visualizzare questi certificati nella console di Configuration Manager. Passare all'area di lavoro Amministrazione , espandere Sicurezza e selezionare il nodo Certificati . Cercare il certificato radice di emissione SMS e i certificati del ruolo del server del sito emessi dalla radice di emissione SMS.
Quando si abilita HTTP avanzato, il server del sito genera un certificato autofirma denominato certificato SSL del ruolo SMS. Questo certificato viene emesso dal certificato di emissione SMS radice. Il punto di gestione aggiunge questo certificato al sito Web predefinito IIS associato alla porta 443.
Per visualizzare lo stato della configurazione, vedere mpcontrol.log.
Diagramma concettuale
Questo diagramma riepiloga e visualizza alcuni degli aspetti principali delle funzionalità HTTP avanzate in Configuration Manager.
La connessione con MICROSOFT ENTRA ID è consigliata ma facoltativa. Consente scenari che richiedono l'autenticazione Microsoft Entra.
Quando si abilita l'opzione del sito per HTTP avanzato, il sito rilascia certificati autofirmati ai sistemi del sito, ad esempio i ruoli del punto di gestione e del punto di distribuzione.
Con i sistemi del sito ancora configurati per le connessioni HTTP, i client comunicano con loro tramite HTTPS.
Domande frequenti
Quali sono i vantaggi di HTTP avanzato?
Il vantaggio principale consiste nel ridurre l'utilizzo di HTTP puro, ovvero un protocollo non sicuro. Configuration Manager cerca di essere sicuro per impostazione predefinita e Microsoft vuole semplificare la protezione dei dispositivi. L'abilitazione di HTTPS basato su PKI è una configurazione più sicura, ma può essere complessa per molti clienti. Se non è possibile eseguire HTTPS, abilitare HTTP avanzato. Microsoft consiglia questa configurazione, anche se l'ambiente non usa attualmente alcuna delle funzionalità che la supportano.
Importante
A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.
È necessario usare Microsoft Entra ID per abilitare HTTP avanzato?
No. Molti degli scenari e delle funzionalità che traggono vantaggio da HTTP avanzato si basano sull'autenticazione Microsoft Entra. È possibile abilitare HTTP avanzato senza eseguire l'onboarding del sito per Microsoft Entra ID. Supporta quindi funzionalità come il servizio di amministrazione e la riduzione della necessità dell'account di accesso alla rete. È necessario Microsoft Entra ID solo quando una delle funzionalità di supporto lo richiede.
Nota
Anche se non si usa direttamente l'API REST del servizio di amministrazione, alcune funzionalità Configuration Manager la usano in modo nativo, incluse parti della console Configuration Manager.
Come comunicano i client con i sistemi del sito?
Quando si abilita HTTP avanzato, il sito rilascia certificati ai sistemi del sito. Ad esempio, il punto di gestione e il punto di distribuzione. Questi sistemi del sito possono quindi supportare la comunicazione sicura negli scenari attualmente supportati.
Dal punto di vista del client, il punto di gestione rilascia un token a ogni client. Il client usa questo token per proteggere la comunicazione con i sistemi del sito. Tale comportamento è indipendente dalla versione del sistema operativo, diverso da quello supportato dal client Configuration Manager.
Se alcuni sistemi del sito sono già HTTPS, è possibile abilitare HTTP avanzato?
Sì. I sistemi del sito preferiscono sempre un certificato PKI. Ad esempio, un punto di gestione ha già un certificato PKI, ma altri no. Quando si abilita HTTP avanzato per il sito, il punto di gestione HTTPS continua a usare il certificato PKI. Gli altri punti di gestione usano il certificato rilasciato dal sito per HTTP avanzato.