SCCM 增强型 HTTP 功能

增强型 HTTP

• 2020/08/07
  • 
  • 

适用范围：Configuration Manager (Current Branch)

 提示

此功能在版本 1806 中作为预发行功能首次引入。 从版本 1810 开始，此功能不再属于预发行功能。

Microsoft 建议对于所有 Configuration Manager 通信路径使用 HTTPS 通信，但由于管理 PKI 证书的开销，对一些客户来说可能是一个挑战。

Configuration Manager 版本 1806 包括对客户端与站点系统之间的通信方式的改进。 这些改进有两个主要目标：

• 可保护敏感客户端通信，而无需提供 PKI 服务器身份验证证书。

• 客户端可安全地从分发点访问内容，而无需网络访问帐户、客户端 PKI 证书和 Windows 身份验证。

所有其他客户端通信均通过 HTTP 进行。 增强型 HTTP 并不等同于为客户端通信或站点系统启用 HTTPS。

 备注

对于具有以下要求的客户，PKI 证书仍然是有效选项：

• 所有客户端通信均通过 HTTPS 进行
• 对签名基础架构的高级控制

另外，如果你已在使用 PKI，那么即使启用了增强型 HTTP，也将使用绑定在 IIS 中的 PKI 证书。

方案

以下方案受益于这些改进：

方案 1：客户端到管理点

如果为站点启用了增强型 HTTP，则已加入 Azure Active Directory (Azure AD) 的设备和具有 Configuration Manager 颁发的令牌的设备可以与为 HTTP 配置的管理点通信。 启用增强型 HTTP 后，站点服务器会为管理点生成证书，使其能够通过安全通道进行通信。

 备注

此方案不需要使用启用了 HTTPS 的管理点，但作为一种使用增强型 HTTP 的替代方法，也受到了支持。 有关使用启用了 HTTPS 的管理点的详细信息，请参阅为 HTTPS 启用管理点。

方案 2：客户端到分发点

工作组或已加入 Azure AD 的客户端可通过安全通道从为 HTTP 配置的分发点进行身份验证及下载内容。 这些类型的设备还可从为 HTTPS 配置的分发点进行身份验证和下载内容，而无需在客户端上使用 PKI 证书。 将客户端身份验证证书添加到工作组或已加入 Azure AD 的客户端，这颇具挑战性。

此行为包括 OS 部署方案，其中任务序列从启动媒体、PXE 或软件中心运行。 有关详细信息，请参阅网络访问帐户。

方案 3：Azure AD 设备标识

没有 Azure AD 用户登录的已加入 Azure AD 的设备或混合 Azure AD 设备可安全地与其分配的站点进行通信。 现在，对于以设备为中心的方案，基于云的设备标识足以通过 CMG 和管理点进行身份验证。 （以用户为中心的方案仍然需要用户令牌。）

功能

以下 Configuration Manager 功能支持或要求增强型 HTTP：

• 云管理网关
• 没有网络访问帐户的 OS 部署
• 为基于 Internet 的新 Windows 10 设备启用共同管理
• 通过电子邮件批准应用程序
• 管理服务
• 查看最近连接的控制台

 备注

软件更新点和相关方案始终支持与客户端以及云管理网关的安全 HTTP 通信。 它使用的管理点机制与基于证书或令牌的身份验证不同。

必备条件

• 针对 HTTP 客户端连接配置的管理点。 在管理点角色属性的“常规”选项卡上设置此选项。

• 针对 HTTP 客户端连接配置的分发点。 在管理点角色属性的“通信”选项卡上设置此选项。 请勿启用选项“允许客户端进行匿名连接”。

• 将站点载入 Azure AD 以便进行云管理。

• 仅适用于方案 3：运行 Windows 10 版本 1803 或更高版本且已加入 Azure AD 的客户端。 客户端需要此配置来进行 Azure AD 设备身份验证。

配置站点

1. 在 Configuration Manager 控制台中，转到“管理”工作区，展开“站点配置”，然后选择“站点”节点 。 选择一个站点，然后选择功能区中的“属性”。

2. 切换到“通信安全”选项卡。选择“HTTPS 或 HTTP”的选项。 然后启用“将 Configuration Manager 生成的证书用于 HTTP 站点系统”选项。

 提示

请等待 30 分钟以便管理点从站点接收并配置新证书。

从版本 1902 开始，还可以启用管理中心站点的增强型 HTTP。 使用此相同流程，并打开管理中心站点的属性。 此操作仅为管理中心站点上的 SMS 提供程序角色启用增强型 HTTP。 它不是适用于层次结构中所有站点的全局设置。

可以在 Configuration Manager 控制台中查看这些证书。 转到“管理”工作区，展开“安全”，然后选择“证书”节点。 查找“SMS 发证”根证书，以及由 SMS 发证根颁发的站点服务器角色证书。

有关客户端如何使用此配置与管理点和分发点进行通信的详细信息，请参阅从客户端到站点系统和服务的通信。

验证证书

如果你启用增强型 HTTP，站点服务器会生成名为“SMS 角色 SSL 证书”的自签名证书。 此证书由根“SMS 颁发”证书颁发。 管理点将此证书添加到与端口 443 绑定的 IIS 默认网站。

若要查看配置的状态，请查阅 mpcontrol.log。

另请参阅

• 规划安全性

• Configuration Manager 客户端的安全和隐私

• 配置安全性

• 终结点之间的通信