Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kommunikation zwischen einer Clientanwendung und einem Azure Service Bus-Namespace wird mit Transport Layer Security (TLS) verschlüsselt. Die TLS ist ein kryptografisches Standardprotokoll, mit dem Datenschutz und Datenintegrität zwischen Clients und Diensten über das Internet sichergestellt werden. Weitere Informationen zur TLS finden Sie unter Transport Layer Security.
Azure Service Bus unterstützt die Auswahl einer bestimmten TLS-Version für Namespaces. Derzeit verwendet Azure Service Bus TLS 1.3 standardmäßig für öffentliche Endpunkte, tls 1.2 wird jedoch weiterhin aus Gründen der Abwärtskompatibilität unterstützt.
Mit Azure Service Bus-Namespaces können Clients Daten mit TLS 1.2 und höher senden und empfangen. Wenn Sie strengere Sicherheitsmaßnahmen durchsetzen möchten, können Sie Ihren Service Bus-Namespace so konfigurieren, dass Clients Daten mit einer neueren TLS-Version senden und empfangen müssen. Wenn für einen Service Bus-Namespace eine TLS-Mindestversion erforderlich ist, verursachen alle Anforderungen mit einer älteren Version einen Fehler.
Von Bedeutung
Wenn Sie einen Dienst verwenden, der eine Verbindung mit Azure Service Bus herstellt, stellen Sie sicher, dass der Dienst die entsprechende Version von TLS verwendet, um Anforderungen an Azure Service Bus zu senden, bevor Sie die erforderliche Mindestversion für einen Service Bus-Namespace festlegen.
Erforderliche Berechtigungen zum Anfordern einer Mindestversion von TLS
Um die MinimumTlsVersion Eigenschaft für den Service Bus-Namespace festzulegen, muss ein Benutzer über Berechtigungen zum Erstellen und Verwalten von Service Bus-Namespaces verfügen. Rollenbasierte Azure-Zugriffssteuerungsrollen (Azure RBAC), die diese Berechtigungen bereitstellen, umfassen die Aktion "Microsoft.ServiceBus/namespaces/write " oder "Microsoft.ServiceBus/namespaces/* ". In diese Aktion sind folgende Rollen integriert:
- Die Azure Resource Manager-Rolle Besitzer
- Die Rolle des Azure Resource Managers Mitwirkender
- Rolle " Azure Service Bus Data Owner "
Rollenzuweisungen müssen auf die Ebene des Service Bus-Namespaces oder höher ausgerichtet sein, damit ein Benutzer eine Mindestversion von TLS für den Service Bus-Namespace erfordert. Weitere Informationen zum Rollenbereich finden Sie unter Grundlegendes zum Bereich für Azure RBAC.
Achten Sie darauf, die Zuweisung dieser Rollen nur auf diejenigen einzuschränken, die die Möglichkeit benötigen, einen Service Bus-Namespace zu erstellen oder seine Eigenschaften zu aktualisieren. Verwenden Sie das Prinzip der geringsten Rechte, um sicherzustellen, dass Benutzer die geringsten Berechtigungen haben, die sie zum Ausführen ihrer Aufgaben benötigen. Weitere Informationen zum Verwalten des Zugriffs mit Azure RBAC finden Sie unter Bewährte Methoden für Azure RBAC.
Hinweis
Die zu „Administrator für klassisches Abonnement“ gehörigen Rollen „Dienstadministrator“ und „Co-Administrator“ schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Die Rolle " Besitzer " enthält alle Aktionen, sodass ein Benutzer mit einer dieser Administrativen Rollen auch Service Bus-Namespaces erstellen und verwalten kann. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.
Überlegungen zu Netzwerken
Wenn ein Client eine Anforderung an den Service Bus-Namespace sendet, stellt der Client zuerst eine Verbindung mit dem ServiceBus-Namespaceendpunkt her, bevor Anforderungen verarbeitet werden. Die Einstellung der TLS-Mindestversion wird nach dem Herstellen der TLS-Verbindung überprüft. Wenn für die Anforderung eine frühere Version von TLS als die durch die Einstellung angegebene verwendet wird, ist die Verbindung weiterhin erfolgreich, aber die Anforderung schlägt letztendlich fehl.
Hinweis
Aufgrund der Abwärtskompatibilität führen Namespaces, die die MinimumTlsVersion Einstellung nicht angeben oder als 1.0 angegeben haben, keine TLS-Überprüfungen beim Herstellen einer Verbindung über das SBMP-Protokoll durch.
Am 30. September 2026 wird die Unterstützung des SBMP-Protokolls für Azure Service Bus eingestellt, sodass Sie dieses Protokoll nach dem 30. September 2026 nicht mehr verwenden können. Migrieren Sie vor diesem Datum mithilfe des AMQP-Protokolls zu den neuesten Azure Service Bus SDK-Bibliotheken, die wichtige Sicherheitsupdates und verbesserte Funktionen bieten.
Weitere Informationen finden Sie in der Ankündigung zur Beendigung des Supports.
Einige wichtige zu berücksichtigende Punkte:
- Eine Netzwerkablaufverfolgung zeigt die erfolgreiche Einrichtung einer TCP-Verbindung und eine erfolgreiche TLS-Aushandlung, bevor der Fehlercode 401 zurückgegeben wird, wenn die verwendete TLS-Version niedriger als die konfigurierte TLS-Mindestversion ist.
- Penetrationstests oder Endpunktüberprüfungen von
yournamespace.servicebus.windows.netzeigen die Unterstützung von TLS 1.2 und TLS 1.3 an, da der Dienst diese Protokolle weiterhin unterstützt. Die TLS-Mindestversion, die auf Namespaceebene erzwungen wird, gibt die niedrigste Version an, die der Namespace unterstützt.
Nächste Schritte
Weitere Informationen finden Sie in der folgenden Dokumentation.