Impor uma versão mínima necessária do protocolo TLS para solicitações a um namespace do Barramento de Serviço

A comunicação entre um aplicativo cliente e um namespace do Barramento de Serviço do Azure é criptografada usando o protocolo TLS. O TLS é um protocolo criptográfico padrão que garante a privacidade e a integridade dos dados entre clientes e serviços pela Internet. Para obter mais informações sobre TLS, confira Protocolo TLS.

O Barramento de Serviço do Azure dá suporte à escolha de uma versão específica do TLS para namespaces. Atualmente, o Barramento de Serviço do Azure usa o TLS 1.2 em pontos de extremidade públicos por padrão, mas ainda há suporte para TLS 1.0 e TLS 1.1 para compatibilidade com versões anteriores.

Os namespaces do Barramento de Serviço do Azure permitem que os clientes enviem e recebam dados com o TLS 1.0 e superior. Para impor medidas de segurança mais estritas, você pode configurar seu namespace do Barramento de Serviço para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um namespace do Barramento de Serviço exigir uma versão mínima do TLS, todas as solicitações feitas com uma versão mais antiga falharão.

Importante

Se você estiver usando um serviço que se conecta ao Barramento de Serviço do Azure, verifique se o serviço está usando a versão apropriada do TLS para enviar solicitações ao Barramento de Serviço do Azure antes de definir a versão mínima necessária para um namespace do Barramento de Serviço.

Permissões necessárias para exigir uma versão mínima do TLS

Para definir a propriedade MinimumTlsVersion para o namespace do Barramento de Serviço, um usuário deve ter permissões para criar e gerenciar os namespaces do Barramento de Serviço. As funções de RBAC (controle de acesso baseado em função) do Azure que fornecem essas permissões incluem a ação Microsoft.ServiceBus/namespaces/write ou Microsoft.ServiceBus/namespaces/*. As funções internas com essa ação incluem:

• A função de Proprietário do Azure Resource Manager
• A função de Colaborador do Azure Resource Manager
• A função Proprietário de dados do Barramento de Serviço do Azure

As atribuições de função devem ser delimitadas ao nível namespace do Barramento de Serviço ou superior para permitir que um usuário exija uma versão mínima do TLS para o namespace do Barramento de Serviço. Para obter mais informações sobre o escopo da função, confira Entender o escopo do RBAC do Azure.

Tenha cuidado para restringir a atribuição dessas funções somente aos que exigem a capacidade de criar um namespace do Barramento de Serviço ou atualizar suas propriedades. Use o princípio de privilégios mínimos para garantir que os usuários tenham as menores permissões necessárias para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Melhores práticas para o RBAC do Azure.

Observação

O administrador de serviços de funções de administrador de assinatura clássica e coadministrator incluem o equivalente da função de proprietário do Azure Resource Manager. A função de Proprietário inclui todas as ações, de modo que um usuário com uma dessas funções administrativas também pode criar e gerenciar namespaces do Barramento de Serviço. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.

Considerações de rede

Quando um cliente enviar uma solicitação para o namespace do Barramento de Serviço, o cliente estabelecerá uma conexão com o ponto de extremidade do namespace do Barramento de Serviço primeiro, antes de processar qualquer solicitação. A configuração mínima da versão TLS será verificada depois que a conexão TLS for estabelecida. Se a solicitação usar uma versão anterior do TLS do que a especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação eventualmente falhará.

Observação

Devido à compatibilidade com versões anteriores, namespaces que não têm a configuração MinimumTlsVersion especificada ou especificaram isso como 1.0, não fazemos nenhuma verificação do TLS ao fazer uma conexão por meio do protocolo SBMP.

Em 30 de setembro de 2026, desativaremos o suporte do protocolo SBMP para o Barramento de Serviço do Azure, para que você não possa mais usar esse protocolo após 30 de setembro de 2026. Migre para as bibliotecas mais recentes do SDK do Barramento de Serviço do Azure usando o protocolo AMQP, que oferece atualizações de segurança críticas e funcionalidades aprimoradas, antes dessa data.

Para obter mais informações, confira o anúncio de desativação do suporte.

Veja alguns pontos importantes a serem considerados:

• Um rastreamento de rede mostrará o estabelecimento com êxito de uma conexão TCP e uma negociação TLS com êxito, antes que um 401 seja retornado se a versão TLS utilizada for menor que a versão TLS mínima configurada.
• A verificação de ponto de extremidade e de penetração em yournamespace.servicebus.windows.net indicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, pois o serviço continuará dando suporte a todos esses protocolos. A versão TLS mínima, aplicada no nível do namespace, indica qual a versão TLS mais baixa que o namespace dará suporte.

Próximas etapas

Para saber mais, confira a seguinte documentação.

• Configurar a versão mínima do TLS para um namespace do Barramento de Serviço
• Configurar o TLS para um aplicativo cliente do Barramento de Serviço
• Usar o Azure Policy para auditar a conformidade da versão mínima do TLS para um namespace do Barramento de Serviço