Appliquer une version minimale requise du protocole TLS (Transport Layer Security) pour des demandes adressées à un espace de noms Service Bus

La communication entre une application cliente et un espace de noms Azure Service Bus est chiffrée à l’aide du protocole TLS (Transport Layer Security). Le protocole TLS est un protocole de chiffrement standard qui garantit la confidentialité et l’intégrité des données entre les clients et les services via Internet. Pour plus d’informations sur le protocole TLS , consultez TLS.

Azure Service Bus prend en charge le choix d’une version TLS spécifique pour les espaces de noms. Actuellement, Azure Service Bus utilise le protocole TLS 1.2 sur les points de terminaison publics par défaut, mais les protocoles TLS 1.0 et TLS 1.1 sont toujours pris en charge à des fins de compatibilité descendante.

Les espaces de noms Azure Service Bus permettent aux clients d’envoyer et de recevoir des données avec TLS 1.0 et versions ultérieures. Pour appliquer des mesures de sécurité plus strictes, vous pouvez configurer votre espace de noms Service Bus afin d’exiger que les clients envoient et reçoivent des données avec une version plus récente du protocole TLS. Si un espace de noms Service Bus nécessite une version minimale du protocole TLS, les demandes effectuées avec une version antérieure échouent.

Important

Si vous utilisez un service qui se connecte à Azure Service Bus, vérifiez qu’il utilise la bonne version du protocole TLS pour envoyer des demandes à Azure Service Bus avant de définir la version minimale requise pour un espace de noms Service Bus.

Autorisations nécessaires pour exiger une version minimale du protocole TLS

Pour définir la propriété MinimumTlsVersion de l’espace de noms Service Bus, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des espaces de noms Service Bus. Les rôles de contrôle d’accès en fonction du rôle Azure (Azure RBAC) qui fournissent ces autorisations incluent l’action Microsoft.EventHub/namespaces/write ou l’action Microsoft.EventHub/namespaces/*. Parmi les rôles intégrés comportant cette action figurent :

• Le rôle Propriétaire d’Azure Resource Manager
• Le rôle Contributeur d’Azure Resource Manager
• Le rôle Propriétaire de données Azure Service Bus

Les attributions de rôles doivent être définies au niveau de l’espace de noms Service Bus ou à un niveau supérieur pour permettre à un utilisateur d’exiger une version minimale du protocole TLS pour l’espace de noms Service Bus. Pour plus d’informations sur l’étendue des rôles, consultez Comprendre l’étendue pour Azure RBAC.

Veillez à limiter l’attribution de ces rôles aux seules personnes qui ont besoin de créer un espace de noms Service Bus ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.

Notes

Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des espaces de noms Service Bus. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Considérations relatives au réseau

Quand un client envoie une demande à un espace de noms Service Bus, il établit une connexion avec le point de terminaison public de cet espace de noms, puis la demande est traitée. Le paramètre de version TLS minimale est vérifié après l’établissement de la connexion TLS. Si la demande utilise une version de TLS antérieure à celle spécifiée par le paramètre, la connexion continue, mais la demande finit par échouer.

Notes

Pour des raisons de compatibilité descendante, les espaces de noms dont le paramètre MinimumTlsVersion n’est pas spécifié ou spécifié sur 1.0 ne font l’objet d’aucune vérification TLS lors de la connexion via le protocole SBMP.

Le 30 septembre 2026, nous mettrons hors service la prise en charge du protocole SBMP pour Azure Service Bus. Vous ne pourrez donc plus utiliser ce protocole après le 30 septembre 2026. Migrez vers les dernières bibliothèques du SDK Azure Service Bus utilisant le protocole AMQP, qui offre des mises à jour de sécurité critiques et des fonctionnalités améliorées, avant cette date.

Pour plus d’informations, consultez l’annonce concernant l’arrêt de la prise en charge.

Voici quelques points importants à prendre en compte :

• Une trace réseau indique la réussite de l’établissement d’une connexion TCP et d’une négociation TLS, avant qu’une erreur 401 soit retournée si la version TLS utilisée est inférieure à la version TLS minimale configurée.
• L’analyse de la pénétration ou du point de terminaison sur yournamespace.servicebus.windows.net indique la prise en charge de TLS 1.0, TLS 1.1 et TLS 1.2, car le service continue de prendre en charge tous ces protocoles. La version TLS minimale, appliquée au niveau de l’espace de noms, indique la version TLS la plus basse prise en charge par l’espace de noms.

Étapes suivantes

Pour plus d’informations, consultez la documentation suivante.

• Configurer la version TLS minimale pour un espace de noms Service Bus
• Configurer le protocole TLS (Transport Layer Security) pour une application cliente Service Bus
• Utilisez Azure Policy pour auditer la conformité en ce qui concerne la version TLS minimale pour un espace de noms Service Bus