Framtvinga en lägsta nödvändig version av TLS (Transport Layer Security) för begäranden till ett Service Bus-namnområde

Kommunikationen mellan ett klientprogram och ett Azure Service Bus-namnområde krypteras med hjälp av TLS (Transport Layer Security). TLS är ett kryptografiskt standardprotokoll som säkerställer sekretess och dataintegritet mellan klienter och tjänster via Internet. Mer information om TLS finns i Transport Layer Security.

Azure Service Bus har stöd för att välja en specifik TLS-version för namnrymder. För närvarande använder Azure Service Bus TLS 1.2 på offentliga slutpunkter som standard, men TLS 1.0 och TLS 1.1 stöds fortfarande för bakåtkompatibilitet.

Azure Service Bus-namnrymder tillåter att klienter skickar och tar emot data med TLS 1.0 och senare. Om du vill tillämpa strängare säkerhetsåtgärder kan du konfigurera Service Bus-namnrymden så att klienterna måste skicka och ta emot data med en nyare version av TLS. Om en Service Bus-namnrymd kräver en lägsta version av TLS misslyckas alla begäranden som görs med en äldre version.

Viktigt!

Om du använder en tjänst som ansluter till Azure Service Bus kontrollerar du att tjänsten använder rätt version av TLS för att skicka begäranden till Azure Service Bus innan du anger den lägsta version som krävs för ett Service Bus-namnområde.

Behörigheter som krävs för att kräva en lägsta version av TLS

Om du vill ange MinimumTlsVersion egenskapen för Service Bus-namnområdet måste en användare ha behörighet att skapa och hantera Service Bus-namnområden. Rollbaserade Azure-åtkomstkontrollroller (Azure RBAC) som ger dessa behörigheter inkluderar åtgärden Microsoft.ServiceBus/namespaces/write eller Microsoft.ServiceBus/namespaces/* . Inbyggda roller med den här åtgärden är:

• Rollen Som Azure Resource Manager-ägare
• Rollen Azure Resource Manager-deltagare
• Rollen Som Azure Service Bus-dataägare

Rolltilldelningar måste begränsas till nivån för Service Bus-namnområdet eller högre för att en användare ska kunna kräva en lägsta version av TLS för Service Bus-namnområdet. Mer information om rollomfång finns i Förstå omfånget för Azure RBAC.

Var noga med att begränsa tilldelningen av dessa roller endast till dem som behöver möjligheten att skapa ett Service Bus-namnområde eller uppdatera dess egenskaper. Använd principen om minsta behörighet för att se till att användarna har minst behörighet att utföra sina uppgifter. Mer information om hur du hanterar åtkomst med Azure RBAC finns i Metodtips för Azure RBAC.

Kommentar

De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till rollen Azure Resource Manager-ägare. Rollen Ägare innehåller alla åtgärder, så att en användare med någon av dessa administrativa roller också kan skapa och hantera Service Bus-namnområden. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.

Nätverksöverväganden

När en klient skickar en begäran till Service Bus-namnområdet upprättar klienten först en anslutning till Service Bus-namnområdets slutpunkt innan någon begäran bearbetas. Inställningen för lägsta TLS-version kontrolleras när TLS-anslutningen har upprättats. Om begäran använder en tidigare version av TLS än den som anges i inställningen fortsätter anslutningen att lyckas, men begäran misslyckas till slut.

Kommentar

På grund av bakåtkompatibilitet, namnområden som inte har angett inställningen MinimumTlsVersion eller har angett detta som 1.0, gör vi inga TLS-kontroller när du ansluter via SBMP-protokollet.

Den 30 september 2026 drar vi tillbaka stödet för SBMP-protokollet för Azure Service Bus, så att du inte längre kan använda det här protokollet efter den 30 september 2026. Migrera till de senaste Azure Service Bus SDK-biblioteken med hjälp av AMQP-protokollet, som erbjuder kritiska säkerhetsuppdateringar och förbättrade funktioner, före det datumet.

Mer information finns i meddelandet om supportavgång.

Här är några viktiga saker att tänka på:

• En nätverksspårning skulle visa en lyckad etablering av en TCP-anslutning och lyckad TLS-förhandling innan en 401 returneras om den TLS-version som används är mindre än den minsta TLS-version som har konfigurerats.
• Intrång eller slutpunktsgenomsökning på yournamespace.servicebus.windows.net indikerar stöd för TLS 1.0, TLS 1.1 och TLS 1.2, eftersom tjänsten fortsätter att stödja alla dessa protokoll. Den lägsta TLS-versionen, som tillämpas på namnområdesnivå, anger vilken lägsta TLS-version som namnområdet stöder.

Nästa steg

Mer information finns i följande dokumentation.

• Konfigurera den lägsta TLS-versionen för ett Service Bus-namnområde
• Konfigurera TLS (Transport Layer Security) för ett Service Bus-klientprogram
• Använda Azure Policy för att granska efterlevnad av lägsta TLS-version för ett Service Bus-namnområde