HTTP aprimorado
Aplica-se a: Configuration Manager (branch atual)
A Microsoft recomenda a utilização da comunicação HTTPS para todos os caminhos de comunicação Configuration Manager, mas é um desafio para alguns clientes devido à sobrecarga da gestão de certificados PKI. Com HTTP melhorado, Configuration Manager pode fornecer comunicação segura ao emitir certificados autoassinados para sistemas de sites específicos.
Existem dois objetivos principais para esta configuração:
Pode proteger a comunicação de cliente confidencial sem a necessidade de certificados de autenticação de servidor PKI.
Os clientes podem aceder de forma segura ao conteúdo a partir de pontos de distribuição sem a necessidade de uma conta de acesso à rede, certificado PKI de cliente ou autenticação do Windows.
Toda a comunicação do cliente é através de HTTP. O HTTP avançado não é o mesmo que ativar HTTPS para comunicação de cliente ou sistema de sites.
Observação
Os certificados PKI ainda são uma opção válida para os clientes com os seguintes requisitos:
- Toda a comunicação do cliente é através de HTTPS
- Controlo avançado da infraestrutura de assinatura
Se já estiver a utilizar a PKI, os sistemas de sites utilizam o certificado PKI vinculado no IIS, mesmo que ative HTTP melhorado.
Cenários
Os seguintes cenários beneficiam de HTTP melhorado:
Cenário 1: cliente para ponto de gestão
Microsoft Entra dispositivos e dispositivos associados com um token emitido Configuration Manager podem comunicar com um ponto de gestão configurado para HTTP se ativar HTTP melhorado para o site. Com HTTP melhorado ativado, o servidor do site gera um certificado para o ponto de gestão que lhe permite comunicar através de um canal seguro.
Observação
Este cenário não requer a utilização de um ponto de gestão compatível com HTTPS, mas é suportado como alternativa à utilização de HTTP melhorado. Para obter mais informações sobre como utilizar um ponto de gestão compatível com HTTPS, veja Ativar o ponto de gestão para HTTPS.
Cenário 2: cliente para ponto de distribuição
Um grupo de trabalho ou Microsoft Entra cliente associado pode autenticar e transferir conteúdos através de um canal seguro a partir de um ponto de distribuição configurado para HTTP. Estes tipos de dispositivos também podem autenticar e transferir conteúdos a partir de um ponto de distribuição configurado para HTTPS sem que seja necessário um certificado PKI no cliente. É difícil adicionar um certificado de autenticação de cliente a um grupo de trabalho ou Microsoft Entra cliente associado.
Este comportamento inclui cenários de implementação do SO com uma sequência de tarefas em execução a partir do suporte de dados de arranque, PXE ou Centro de Software. Para obter mais informações, veja Conta de acesso à rede.
Cenário 3: Microsoft Entra identidade do dispositivo
Uma Microsoft Entra dispositivo de Microsoft Entra associado ou híbrido sem um Microsoft Entra utilizador com sessão iniciada pode comunicar de forma segura com o respetivo site atribuído. A identidade do dispositivo com base na cloud é agora suficiente para autenticar com o CMG e o ponto de gestão para cenários centrados no dispositivo. (Ainda é necessário um token de utilizador para cenários centrados no utilizador.)
Recursos
As seguintes funcionalidades de Configuration Manager suportam ou requerem HTTP melhorado:
- Gateway de gestão da cloud
- Implementação do SO sem uma conta de acesso à rede
- Ativar a cogestão para novos dispositivos Windows baseados na Internet
- Aprovações de aplicações por e-mail
- Serviço de administração
- Ver consolas ligadas recentemente
- Recuperação da chave de gestão do BitLocker (versão 2103 e posterior)
- Aplicações disponíveis para o utilizador do Centro de Software (versão 2107 e posterior)
- Portal da Empresa em dispositivos cogeridos (versão 2107 e posterior)
Observação
O ponto de atualização de software e os cenários relacionados sempre suportaram tráfego HTTP seguro com clientes, bem como com o gateway de gestão da cloud. Utiliza um mecanismo com o ponto de gestão diferente da autenticação baseada em certificados ou tokens.
Cenários não suportados
Atualmente, o HTTP avançado não protege todas as comunicações no Configuration Manager. A lista seguinte resume algumas funcionalidades-chave que ainda são HTTP.
- Comunicação ponto a ponto cliente para conteúdo
- Ponto de migração de estado
- Ferramentas remotas
- Ponto do Reporting Services
Observação
Essa lista não é exaustiva.
Pré-requisitos
Um ponto de gestão configurado para ligações de cliente HTTP. Defina esta opção no separador Geral das propriedades da função do ponto de gestão.
Um ponto de distribuição configurado para ligações de cliente HTTP. Defina esta opção no separador Comunicação das propriedades da função do ponto de distribuição. Não ative a opção para Permitir que os clientes se liguem anonimamente.
Para cenários que requerem autenticação Microsoft Entra, integre o site para Microsoft Entra ID para a gestão da cloud. Se não integrar o site para Microsoft Entra ID, ainda pode ativar HTTP melhorado.
Apenas para o Cenário 3: um cliente a executar uma versão suportada do Windows 10 ou posterior e associado ao Microsoft Entra ID. O cliente requer esta configuração para Microsoft Entra autenticação do dispositivo.
Observação
Não existem requisitos de versão do SO, para além do que o cliente Configuration Manager suporta.
Configurar o site
Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Configuração do Site e selecione o nó Sites. Selecione o site e selecione Propriedades no friso .
Mude para o separador Segurança de Comunicação . Selecione a opção para HTTPS ou HTTP. Em seguida, ative a opção Utilizar certificados gerados Configuration Manager para sistemas de sites HTTP.
Dica
Aguarde até 30 minutos para que o ponto de gestão receba e configure o novo certificado a partir do site.
Também pode ativar HTTP melhorado para o site de administração central (CAS). Utilize este mesmo processo e abra as propriedades do CAS. Esta ação só permite HTTP melhorado para a função fornecedor de SMS no CAS. Não é uma definição global que se aplica a todos os sites na hierarquia.
Para obter mais informações sobre como o cliente comunica com o ponto de gestão e o ponto de distribuição com esta configuração, veja Comunicações de clientes para sistemas e serviços de sites.
Validar o certificado
Pode ver estes certificados na consola do Configuration Manager. Aceda à área de trabalho Administração , expanda Segurança e selecione o nó Certificados . Procure o certificado de raiz Emissão de SMS e os certificados de função de servidor do site emitidos pela raiz de Emissão de SMS.
Quando ativa http avançado, o servidor do site gera um certificado autoassinado com o nome Certificado SSL da Função SMS. Este certificado é emitido pelo certificado de emissão de SMS de raiz. O ponto de gestão adiciona este certificado ao web site predefinido do IIS vinculado à porta 443.
Para ver o status da configuração, reveja mpcontrol.log.
Diagrama conceptual
Este diagrama resume e visualiza alguns dos aspetos main da funcionalidade HTTP melhorada no Configuration Manager.
A ligação com Microsoft Entra ID é recomendada, mas opcional. Permite cenários que requerem autenticação Microsoft Entra.
Quando ativa a opção de site para HTTP melhorado, o site emite certificados autoassinados para sistemas de sites, como o ponto de gestão e as funções de ponto de distribuição.
Com os sistemas de sites ainda configurados para ligações HTTP, os clientes comunicam com eles através de HTTPS.
Perguntas frequentes
Quais são as vantagens do HTTP melhorado?
O benefício main é reduzir a utilização de HTTP puro, que é um protocolo inseguro. Configuration Manager tenta ser seguro por predefinição e a Microsoft quer facilitar-lhe a segurança dos seus dispositivos. Ativar o HTTPS baseado em PKI é uma configuração mais segura, mas que pode ser complexa para muitos clientes. Se não conseguir fazer HTTPS, ative HTTP melhorado. A Microsoft recomenda esta configuração, mesmo que o seu ambiente não utilize atualmente nenhuma das funcionalidades que a suportam.
Importante
A partir do Configuration Manager versão 2103, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.
Preciso de utilizar Microsoft Entra ID para ativar HTTP melhorado?
Não. Muitos dos cenários e funcionalidades que beneficiam de HTTP melhorado dependem Microsoft Entra autenticação. Pode ativar o HTTP melhorado sem integrar o site para Microsoft Entra ID. Em seguida, suporta funcionalidades como o serviço de administração e a necessidade reduzida da conta de acesso à rede. Só precisa de Microsoft Entra ID quando uma das funcionalidades de suporte o exigir.
Observação
Mesmo que não utilize diretamente a API REST do serviço de administração, algumas funcionalidades Configuration Manager utilizam-na nativamente, incluindo partes da consola Configuration Manager.
Como é que os clientes comunicam com sistemas de sites?
Quando ativa http avançado, o site emite certificados para sistemas de sites. Por exemplo, o ponto de gestão e o ponto de distribuição. Em seguida, estes sistemas de sites podem suportar a comunicação segura em cenários atualmente suportados.
Do ponto de vista do cliente, o ponto de gestão emite um token a cada cliente. O cliente utiliza este token para proteger a comunicação com os sistemas de sites. Esse comportamento é agnóstico da versão do SO, para além do que o cliente Configuration Manager suporta.
Se alguns sistemas de sites já forem HTTPS, posso ativar HTTP melhorado?
Sim. Os sistemas de sites preferem sempre um certificado PKI. Por exemplo, um ponto de gestão já tem um certificado PKI, mas outros não. Quando ativa o HTTP melhorado para o site, o ponto de gestão HTTPS continua a utilizar o certificado PKI. Os outros pontos de gestão utilizam o certificado emitido pelo site para HTTP avançado.