增強的 HTTP
適用於:Configuration Manager (目前的分支)
Microsoft建議針對所有 Configuration Manager 通訊路徑使用 HTTPS 通訊,但由於管理 PKI 憑證的額外負荷,對某些客戶而言是一項挑戰。 透過增強的 HTTP,Configuration Manager 可以向特定站台系統發出自我簽署憑證,以提供安全的通訊。
此設定有兩個主要目標:
您可以保護敏感性客戶端通訊,而不需要 PKI 伺服器驗證憑證。
用戶端可以安全地從發佈點存取內容,而不需要網路存取帳戶、用戶端 PKI 憑證或 Windows 驗證。
所有其他客戶端通訊都是透過 HTTP 進行。 增強的 HTTP 與啟用用戶端通訊或站台系統的 HTTPS 不同。
注意事項
對於具有下列需求的客戶而言,PKI 憑證仍是一個有效的選項:
- 所有客戶端通訊都是透過 HTTPS
- 簽署基礎結構的進階控制
如果您已經在使用 PKI,站台系統會使用在 IIS 中系結的 PKI 憑證,即使您啟用增強的 HTTP 也一樣。
案例
下列案例受益於增強的 HTTP:
案例 1:用戶端到管理點
如果您為月臺啟用增強式 HTTP,Microsoft Entra 已加入且具有 Configuration Manager 核發令牌的裝置可以與針對 HTTP 設定的管理點通訊。 啟用增強的 HTTP 後,站台伺服器會產生管理點的憑證,使其能夠透過安全通道進行通訊。
注意事項
此案例不需要使用已啟用 HTTPS 的管理點,但支援它作為使用增強 HTTP 的替代方案。 如需使用已啟用 HTTPS 的管理點的詳細資訊,請參閱 啟用 HTTPS 的管理點。
案例 2:用戶端到發佈點
工作組或已加入 Microsoft Entra 用戶端可以從為 HTTP 設定的發布點,透過安全通道來驗證和下載內容。 這些類型的裝置也可以從針對 HTTPS 設定的發布點驗證和下載內容,而不需要用戶端上的 PKI 憑證。 將客戶端驗證憑證新增至工作組或 Microsoft Entra 加入的用戶端是一項挑戰。
此行為包括作系統部署案例,其工作順序是從開機媒體、PXE 或軟體中心執行。 如需詳細資訊,請參閱 網路存取帳戶。
案例 3:Microsoft Entra 裝置身分識別
未登入 Microsoft Entra 使用者的 Microsoft Entra 加入或混合式 Microsoft Entra 裝置可以安全地與其指派的網站通訊。 雲端式裝置身分識別現在足以向 CMG 和管理點進行驗證,以進行以裝置為中心的案例。 (使用者中心案例仍然需要使用者令牌。)
功能
下列 Configuration Manager 功能支援或需要增強的 HTTP:
- 雲端管理閘道
- 沒有網路存取帳戶的OS部署
- 為新的以因特網為基礎的 Windows 裝置啟用共同管理
- 透過電子郵件核准應用程式
- 系統管理服務
- 檢視最近連線的控制台
- BitLocker 管理金鑰復原 (2103 版和更新版本)
- 軟體中心 2107 版和更新版本 (使用者可用的應用程式)
- 在 2107 版和更新版本 (共同管理的裝置上 公司入口網站)
注意事項
軟體更新點和相關案例一律支援用戶端和雲端管理網關的安全 HTTP 流量。 它會使用與憑證或令牌型驗證不同的管理點機制。
不支持的案例
增強的 HTTP 目前不會保護 Configuration Manager 中的所有通訊。 下列清單摘要說明一些仍為 HTTP 的重要功能。
- 內容的客戶端對點通訊
- 狀態移轉點
- 遠端工具
- Reporting Services 點
注意事項
這份清單並不詳盡。
必要條件
為 HTTP 用戶端連線設定的管理點。 在管理點角色屬性的 [ 一般 ] 索引標籤上設定此選項。
為 HTTP 用戶端連線設定的發佈點。 在發佈點角色屬性的 [ 通訊 ] 索引標籤上設定此選項。 請勿啟用 [ 允許用戶端匿名連線] 選項。
針對需要 Microsoft Entra 驗證的案例,請將站臺上線以 Microsoft Entra ID 進行雲端管理。 如果您未將網站上線以 Microsoft Entra ID,您仍然可以啟用增強的 HTTP。
僅適用於案例 3:執行支援版本 Windows 10 或更新版本並加入 Microsoft Entra ID 的用戶端。 用戶端需要此設定 Microsoft Entra 裝置驗證。
注意事項
除了 Configuration Manager 客戶端支援之外,沒有作系統版本需求。
設定網站
在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 選取網站,然後選擇功能區中的 [ 屬性 ]。
切換至 [ 通訊安全性] 索引 標籤。選取 HTTPS 或 HTTP 的選項。 然後啟用 [針對 HTTP 月台系統使用 Configuration Manager 產生的憑證] 選項。
提示
請等候最多 30 分鐘,讓管理點從月臺接收並設定新的憑證。
您也可以為管理中心網站啟用增強式 HTTP (CAS) 。 使用這個相同的程式,並開啟 CAS 的屬性。 此動作只會啟用 CAS 上 SMS 提供者角色的增強 HTTP。 它不是套用至階層中所有月臺的全域設定。
如需用戶端如何使用此設定與管理點和發佈點通訊的詳細資訊,請參閱 從用戶端到月臺系統和服務的通訊。
驗證憑證
您可以在 Configuration Manager 控制台中看到這些憑證。 移至 [ 系統管理] 工作區,展開 [ 安全性],然後選取 [ 憑證 ] 節點。 尋找 SMS發行 跟證書以及SMS發行根目錄所發行的月臺伺服器角色憑證。
當您啟用增強 HTTP 時,月臺伺服器會產生名為 SMS角色 SSL 憑證的自我簽署憑證。 此憑證是由根 SMS 發行 憑證所發行。 管理點會將此憑證新增至系結至埠 443 的 IIS 默認網站。
若要查看設定的狀態,請檢閱 mpcontrol.log。
概念圖表
此圖表摘要說明並可視化 Configuration Manager 中增強 HTTP 功能的一些主要層面。
建議使用 Microsoft Entra ID 的連線,但為選擇性。 它會啟用需要 Microsoft Entra 驗證的案例。
當您啟用增強 HTTP 的站臺選項時,月臺會向管理點和發布點角色等站台系統發出自我簽署憑證。
由於站台系統仍設定為 HTTP 連線,因此用戶端會透過 HTTPS 與其通訊。
常見問題集
增強 HTTP 有哪些優點?
主要優點是減少純 HTTP 的使用量,這是不安全的通訊協定。 Configuration Manager 預設會嘗試保持安全,Microsoft想要讓您輕鬆地保護裝置的安全。 啟用 PKI 型 HTTPS 是更安全的組態,但對於許多客戶而言可能很複雜。 如果您無法執行 HTTPS,請啟用增強式 HTTP。 Microsoft建議此設定,即使您的環境目前未使用任何支援此設定的功能。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
我需要使用 Microsoft Entra ID 來啟用增強式 HTTP 嗎?
不能。 許多受益於增強 HTTP 的案例和功能都依賴 Microsoft Entra 驗證。 您可以啟用增強式 HTTP,而不需要將網站上線以 Microsoft Entra ID。 然後支持系統管理服務等功能,並減少對網路存取帳戶的需求。 您只需要在其中一個支援功能需要時 Microsoft Entra ID。
注意事項
即使您未直接使用系統管理服務 REST API,某些 Configuration Manager 功能會原生使用它,包括 Configuration Manager 控制台的一部分。
用戶端如何與月台系統通訊?
當您啟用增強式 HTTP 時,月臺會對月臺系統發出憑證。 例如,管理點和發佈點。 然後,這些站台系統可以在目前支援的案例中支援安全通訊。
從客戶端的觀點來看,管理點會向每個用戶端發出令牌。 用戶端會使用此令牌來保護與月臺系統的通訊。 除了 Configuration Manager 用戶端所支援的作系統版本之外,該行為是無從驗證的 OS 版本。
如果某些月台系統已經是 HTTPS,我可以啟用增強的 HTTP 嗎?
是。 月台系統一律偏好使用 PKI 憑證。 例如,一個管理點已經有 PKI 憑證,但其他管理點則沒有。 當您為月臺啟用增強式 HTTP 時,HTTPS 管理點會繼續使用 PKI 憑證。 其他管理點會使用月台發行的憑證來增強 HTTP。