你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
客户端应用程序与 Azure 服务总线命名空间之间的通信使用传输层安全性(TLS)进行加密。 TLS 是一种标准的加密协议,可确保通过 Internet 进行通信的客户端与服务之间的隐私和数据完整性。 有关 TLS 的详细信息,请参阅传输层安全性。
Azure 服务总线支持为命名空间选择特定的 TLS 版本。 目前,Azure 服务总线在公共终结点上默认使用 TLS 1.3,但仍支持 TLS 1.2 以实现向后兼容性。
Azure 服务总线命名空间允许客户端使用 TLS 1.2 及更高版本发送和接收数据。 若要强制实施更严格的安全措施,可以将服务总线命名空间配置为要求客户端使用较新版本的 TLS 发送和接收数据。 如果服务总线命名空间需要最低版本的 TLS,则使用较旧版本发出的任何请求都会失败。
重要
如果使用连接到 Azure 服务总线的服务,请确保服务使用适当的 TLS 版本将请求发送到 Azure 服务总线,然后再为服务总线命名空间设置所需的最低版本。
需要最低版本的 TLS 所需的权限
若要设置 MinimumTlsVersion 服务总线命名空间的属性,用户必须有权创建和管理服务总线命名空间。 提供这些权限的 Azure 基于角色的访问控制(Azure RBAC)角色包括 Microsoft.ServiceBus/namespaces/write 或 Microsoft.ServiceBus/namespaces/* 操作。 具有此操作的内置角色包括:
- Azure 资源管理器所有者角色
- Azure 资源管理器贡献者角色
- Azure 服务总线数据所有者角色
角色分配的范围必须限定为服务总线命名空间或更高级别的级别,才能允许用户要求服务总线命名空间的最低 TLS 版本。 有关角色范围的详细信息,请参阅了解 Azure RBAC 的范围。
请注意,仅将这些角色的分配限制为需要创建服务总线命名空间或更新其属性的人员。 使用最小特权原则确保用户拥有完成任务所需的最少权限。 有关使用 Azure RBAC 管理访问权限的详细信息,请参阅 Azure RBAC 最佳做法。
注释
经典订阅管理员角色“服务管理员”和“共同管理员”具有 Azure 资源管理器所有者角色的等效权限。 所有者角色包括所有作,因此具有其中一个管理角色的用户还可以创建和管理服务总线命名空间。 有关详细信息,请参阅 Azure 角色、Microsoft Entra 角色和经典订阅管理员角色。
网络注意事项
当客户端向服务总线命名空间发送请求时,客户端先与服务总线命名空间终结点建立连接,然后再处理任何请求。 建立 TLS 连接后,将检查最低 TLS 版本设置。 如果请求使用的 TLS 版本比设置指定的版本低,则连接仍会成功,但是请求最终会失败。
注释
由于向后兼容性,对于未指定 MinimumTlsVersion 设置或已将其指定为 1.0 的命名空间,在通过 SBMP 协议连接时,我们不会进行任何 TLS 检查。
2026 年 9 月 30 日,我们将不再支持 Azure 服务总线的 SBMP 协议,因此在 2026 年 9 月 30 日之后,你将无法再使用此协议。 请在该日期之前迁移到最新的使用 AMQP 协议的 Azure 服务总线 SDK 库,新库提供了关键安全更新和改进功能。
有关详细信息,请参阅支持停用公告。
以下是要考虑的几个要点:
- 如果使用的 TLS 版本低于配置的最低 TLS 版本,则网络跟踪将显示已成功建立 TCP 连接且已成功进行了 TLS 协商,然后返回 401。
- 通过对
yournamespace.servicebus.windows.net进行渗透或终端扫描,将显示对 TLS 1.2 和 TLS 1.3 的支持,因为该服务将继续支持所有这些协议。 在命名空间级别强制要求的最低 TLS 版本指示命名空间将支持的最低 TLS 版本。
后续步骤
有关详细信息,请参阅以下文档。