Service Bus 名前空間への要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) の適用

  • [アーティクル]

クライアント アプリケーションと Azure Service Bus 名前空間の間の通信は、トランスポート層セキュリティ (TLS) を使用して暗号化されます。 TLS は、インターネットを介してクライアントとサービスの間のプライバシーおよびデータ整合性を確保する標準の暗号化プロトコルです。 TLS の詳細については、「Transport Layer Security」を参照してください。

Azure Service Bus は、名前空間に対する特定の TLS バージョンの選択をサポートします。 現在、Azure Service Bus では、パブリック エンドポインに既定で TLS 1.2 が使用されますが、下位互換性を確保するために、TLS 1.0 と TLS 1.1 も引き続きサポートされます。

Azure Service Bus 名前空間では、クライアントが TLS 1.0 以降を使用してデータを送受信できます。 より厳密なセキュリティ対策を実施するために、クライアントで新しいバージョンの TLS を使用してデータを送受信することを要求するように、Service Bus 名前空間を構成することができます。 Service Bus 名前空間で最小バージョンの TLS が要求されている場合、それより古いバージョンで行われた要求はすべて失敗します。

重要

Azure Service Bus に接続するサービスを使用している場合は、Service Bus 名前空間に必要な最低バージョンを設定する前に、そのサービスが適切なバージョンの TLS を使用して Azure Service Bus に要求を送信していることを確認してください。

最低バージョンの TLS を要求するために必要なアクセス許可

Service Bus 名前空間の MinimumTlsVersion プロパティを設定するには、Service Bus 名前空間を作成および管理するためのアクセス許可がユーザーに必要です。 これらのアクセス許可を提供する Azure RBAC (Azure ロールベースのアクセス制御) ロールには、Microsoft.ServiceBus/namespaces/write または Microsoft.ServiceBus/namespaces/* アクションが含まれます。 このアクションの組み込みロールには、次のようなロールがあります。

ユーザーが Service Bus 名前空間に対する最低バージョンの TLS を要求できるようにするには、ロール割り当てのスコープを Service Bus 名前空間以上のレベルにする必要があります。 ロール スコープの詳細については、「Azure RBAC のスコープについて」を参照してください。

これらのロールを割り当てる際には、Service Bus 名前空間を作成したり、そのプロパティを更新したりする機能を必要とするユーザーにのみ割り当てるように、注意してください。 最小限の特権の原則を使用して、ユーザーに、それぞれのタスクを実行するのに必要な最小限のアクセス許可を割り当てるようにします。 Azure RBAC でアクセスを管理する方法の詳細については、「Azure RBAC のベスト プラクティス」を参照してください。

Note

従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールにはすべてのアクションが含まれているため、これらの管理者ロールのいずれかを持つユーザーも、Service Bus 名前空間を作成および管理できます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。

ネットワークに関する考慮事項

クライアントが Service Bus 名前空間に要求を送信すると、クライアントは、最初に Service Bus 名前空間エンドポイントとの接続を確立してから、要求を処理します。 TLS の最小バージョンの設定は、TLS 接続が確立された後にチェックされます。 設定で指定されたものよりも前のバージョンの TLS が要求で使用されている場合、接続は引き続き成功しますが、要求は最終的に失敗します。

Note

下位互換性のため、MinimumTlsVersion 設定が指定されていない名前空間や、これが 1.0 として指定されている名前空間では、SBMP プロトコルで接続する際の TLS チェックは実行されません。

2026 年 9 月 30 日に Azure Service Bus 用の SBMP プロトコルのサポートを終了するため、2026 年 9 月 30 日以降、このプロトコルを使用できなくなります。 その日付より前に、(重要なセキュリティ更新プログラムと強化された機能が提供される) AMQP プロトコルを使った最新の Azure Service Bus SDK ライブラリに移行してください。

詳細については、サポート廃止のお知らせに関するページを参照してください。

考慮すべき重要な点をいくつか示します。

  • 使用されている TLS バージョンが、構成されている最小 TLS バージョン未満の場合に、401 が返される前に、TCP 接続の正常な確立と正常な TLS ネゴシエーションがネットワーク トレースに示されます。
  • yournamespace.servicebus.windows.net での侵入またはエンドポイントのスキャンに、TLS 1.0、TLS 1.1、TLS 1.2 のサポートが示されます。サービスは引き続きこれらのプロトコルをすべてサポートするためです。 名前空間レベルで適用される TLS の最小バージョンは、名前空間でサポートされる最も低い TLS バージョンを示します。

次のステップ

詳細については、次のドキュメントを参照してください。