Konfigurieren der minimalen TLS-Version in azure SQL Managed Instance
Wichtig
Bevorstehende Altersänderungen
Azure hat angekündigt, dass die Unterstützung für ältere TLS-Versionen (TLS 1.0 und 1.1) am 31. August 2025 endet. Weitere Informationen finden Sie in der Außerkraftsetzung von TLS 1.0 und 1.1. Ab November 2024 können Sie die minimale TLS-Version für Azure SQL Managed Instance-Clientverbindungen unter TLS 1.2 nicht mehr festlegen.
Mit der Einstellung "Minimale Transport Layer Security (TLS) Version" können Kunden die Version von TLS steuern, die in ihrer Azure SQL Managed Instance verwendet wird.
Derzeit unterstützen wir TLS 1.0, 1.1 und 1.2. Durch Festlegen einer minimalen TLS-Version wird sichergestellt, dass nachfolgende neuere TLS-Versionen unterstützt werden. Beispiel: Auswählen einer TLS-Version größer als 1.1. bedeutet, dass nur Verbindungen mit TLS 1.1 und 1.2 akzeptiert werden und TLS 1.0 abgelehnt wird. Nach dem Testen, ob Ihre Anwendungen sie unterstützen, empfehlen wir, minimale TLS-Version auf 1.2 festzulegen, da sie Korrekturen für Sicherheitsrisiken enthält, die in früheren Versionen gefunden wurden und die höchste Version von TLS ist, die in der von Azure SQL verwalteten Instanz unterstützt wird.
Für Kunden mit Anwendungen, die auf älteren Versionen von TLS basieren, empfehlen wir das Festlegen der minimalen TLS-Version gemäß den Anforderungen Ihrer Anwendungen. Kunden, die auf Anwendungen angewiesen sind, um eine Verbindung mit einer unverschlüsselten Verbindung herzustellen, empfehlen wir, keine minimale TLS-Version festzulegen.
Weitere Informationen finden Sie unter TLS-Überlegungen für die SQL-Datenbankkonnektivität.
Nach dem Festlegen der minimalen TLS-Version schlagen Anmeldeversuche von Clients, die eine TLS-Version unterhalb der minimalen TLS-Version des Servers verwenden, mit folgendem Fehler fehl:
Error 47072
Login failed with invalid TLS version
Anmerkung
Wenn Sie eine TLS-Mindestversion konfigurieren, wird diese Mindestversion auf der Anwendungsebene erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt für den Endpunkt der verwalteten Instanz ausgeführt werden.
Festlegen der minimalen TLS-Version über PowerShell
Anmerkung
In diesem Artikel wird das Azure Az PowerShell-Modul verwendet, das das empfohlene PowerShell-Modul für die Interaktion mit Azure ist. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zu Az.
Wichtig
Das PowerShell-Modul Azure Resource Manager (AzureRM) wurde am 29. Februar 2024 nicht mehr unterstützt. Alle zukünftigen Entwicklungen sollten das Az.Sql-Modul verwenden. Benutzern wird empfohlen, von AzureRM zum Az PowerShell-Modul zu migrieren, um fortgesetzte Unterstützung und Updates sicherzustellen. Das AzureRM-Modul wird nicht mehr verwaltet oder unterstützt. Die Argumente für die Befehle im Az PowerShell-Modul und in den AzureRM-Modulen sind wesentlich identisch. Weitere Informationen zur Kompatibilität finden Sie unter Einführung in das neue Az PowerShell-Modul.
Für das folgende Skript ist das Azure PowerShell-Modulerforderlich.
Das folgende PowerShell-Skript zeigt, wie Sie die Eigenschaft Minimale TLS-Version auf Instanzebene Get und Set können.
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Festlegen der minimalen TLS-Version über Azure CLI
Wichtig
Alle Skripts in diesem Abschnitt erfordern Azure CLI.
Azure CLI in einer Bash-Shell
Das folgende CLI-Skript zeigt, wie Sie die einstellung Minimale TLS-Version in einer Bash-Shell ändern:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"