Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für Anforderungen an einen Service Bus-Namespace

Die Kommunikation zwischen einer Clientanwendung und einem Azure Service Bus-Namespace wird mithilfe von TLS (Transport Layer Security) verschlüsselt. Die TLS ist ein kryptografisches Standardprotokoll, mit dem Datenschutz und Datenintegrität zwischen Clients und Diensten über das Internet sichergestellt werden. Weitere Informationen zur TLS finden Sie unter Transport Layer Security.

Azure Service Bus unterstützt die Auswahl einer bestimmten TLS-Version für Namespaces. Derzeit verwendet Azure Service Bus standardmäßig TLS 1.2 für öffentliche Endpunkte, aber TLS 1.0 und TLS 1.1 werden aus Gründen der Abwärtskompatibilität weiterhin unterstützt.

Azure Service Bus-Namespaces ermöglichen Clients das Senden und Empfangen von Daten mit TLS 1.0 und höher. Wenn Sie strengere Sicherheitsmaßnahmen durchsetzen möchten, können Sie Ihren Service Bus-Namespace so konfigurieren, dass Clients Daten mit einer neueren TLS-Version senden und empfangen müssen. Wenn für einen Service Bus-Namespace eine TLS-Mindestversion erforderlich ist, verursachen alle Anforderungen mit einer älteren Version einen Fehler.

Wichtig

Wenn Sie einen Dienst nutzen, der eine Verbindung mit Azure Service Bus herstellt, stellen Sie sicher, dass der Dienst die entsprechende Version von TLS zum Senden von Anforderungen an Azure Service Bus verwendet, bevor Sie die erforderliche Mindestversion für einen Service Bus-Namespace festlegen.

Erforderliche Berechtigungen zum Anfordern einer Mindestversion von TLS

Um die MinimumTlsVersion-Eigenschaft für den Service Bus-Namespace festzulegen, muss ein Benutzer über Berechtigungen zum Erstellen und Verwalten von Service Bus Namespaces verfügen. Azure RBAC-Rollen (rollenbasierte Zugriffssteuerung in Azure), die diese Berechtigungen bereitstellen, beinhalten die Aktion Microsoft.ServiceBus/namespaces/write oder Microsoft.ServiceBus/namespaces/*. In diese Aktion sind folgende Rollen integriert:

• Die Azure Resource Manager-Rolle Besitzer
• Die Azure Resource Manager-Rolle Mitwirkender
• Die Rolle Azure Service Bus-Datenbesitzer

Rollenzuweisungen müssen auf die Ebene des Service Bus-Namespace oder höher eingeschränkt werden, damit ein Benutzer eine Mindestversion von TLS für den Service Bus-Namespace anfordern darf. Weitere Informationen zum Rollenbereich finden Sie unter Grundlegendes zum Bereich für Azure RBAC.

Beschränken Sie die Zuweisung dieser Rollen unbedingt auf diejenigen Benutzer, denen es möglich sein muss, einen Service Bus-Namespace zu erstellen oder dessen Eigenschaften zu aktualisieren. Verwenden Sie das Prinzip der geringsten Rechte, um sicherzustellen, dass Benutzer die geringsten Berechtigungen haben, die sie zum Ausführen ihrer Aufgaben benötigen. Weitere Informationen zum Verwalten des Zugriffs mit Azure RBAC finden Sie unter Bewährte Methoden für Azure RBAC.

Hinweis

Die zu „Administrator für klassisches Abonnement“ gehörigen Rollen „Dienstadministrator“ und „Co-Administrator“ schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Weil die Rolle Besitzer alle Aktionen einschließt, kann ein Benutzer mit einer dieser administrativen Rollen auch Service Bus-Namespaces erstellen und verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.

Überlegungen zu Netzwerken

Wenn ein Client eine Anforderung an einen Service Bus-Namespace sendet, stellt der Client zunächst eine Verbindung mit dem Endpunkt des Service Bus-Namespace her, ehe Anforderungen bearbeitet werden. Die Einstellung der TLS-Mindestversion wird nach dem Herstellen der TLS-Verbindung überprüft. Wenn für die Anforderung eine frühere Version von TLS als die durch die Einstellung angegebene verwendet wird, ist die Verbindung weiterhin erfolgreich, aber die Anforderung schlägt letztendlich fehl.

Hinweis

Aus Gründen der Abwärtskompatibilität werden in Namespaces, in denen die Einstellung MinimumTlsVersion nicht festgelegt ist oder als 1.0 angegeben wurde, bei Verbindungen über das SBMP-Protokoll keine TLS-Überprüfungen durchgeführt.

Am 30. September 2026 wird die Unterstützung des SBMP-Protokolls für Azure Service Bus eingestellt, sodass Sie dieses Protokoll nach dem 30. September 2026 nicht mehr verwenden können. Migrieren Sie vor diesem Datum mithilfe des AMQP-Protokolls zu den neuesten Azure Service Bus SDK-Bibliotheken, die wichtige Sicherheitsupdates und verbesserte Funktionen bieten.

Weitere Informationen finden Sie in der Ankündigung der Supporteinstellung.

Einige wichtige zu berücksichtigende Punkte:

• Eine Netzwerkablaufverfolgung zeigt die erfolgreiche Einrichtung einer TCP-Verbindung und eine erfolgreiche TLS-Aushandlung, bevor der Fehlercode 401 zurückgegeben wird, wenn die verwendete TLS-Version niedriger als die konfigurierte TLS-Mindestversion ist.
• Eine Penetrations- oder Endpunktüberprüfung für yournamespace.servicebus.windows.net gibt an, dass TLS 1.0, TLS 1.1 und TLS 1.2 unterstützt werden, da der Dienst alle diese Protokolle weiterhin unterstützt. Die TLS-Mindestversion, die auf Namespaceebene erzwungen wird, gibt die niedrigste Version an, die der Namespace unterstützt.

Nächste Schritte

Weitere Informationen finden Sie in der folgenden Dokumentation.

• Konfigurieren der TLS-Mindestversion für einen Service Bus-Namespace
• Konfigurieren von TLS (Transport Layer Security) für eine Service Bus-Clientanwendung
• Verwenden von Azure Policy zum Überwachen der Einhaltung der TLS-Mindestversion für einen Service Bus-Namespace