Freigeben über


Konfigurieren der minimalen TLS-Version in Azure SQL Managed Instance

Die Einstellung der Mindestversion für Transport Layer Security (TLS) ermöglicht Kunden die Steuerung der TLS-Version, die von Azure SQL Managed Instance verwendet wird.

Derzeit unterstützen wir TLS 1.0, 1.1 und 1.2. Durch Festlegen einer TLS-Mindestversion wird sichergestellt, dass nachfolgende neuere TLS-Versionen unterstützt werden. Beispiel: Die Wahl einer TLS-Version, die höher als 1.1 ist, bedeutet, dass nur Verbindungen mit TLS 1.1 und 1.2 akzeptiert werden. Verbindungen mit TLS 1.0 werden abgelehnt. Wenn Sie überprüft haben, ob Ihre Anwendung TLS-Version 1.2 unterstützt, empfiehlt es sich, die Mindestversion auf 1.2 festzulegen, da diese Version Fehlerbehebungen für Sicherheitsrisiken enthält, die in früheren Versionen gefunden wurden. Gleichzeitig ist 1.2 die höchste TLS-Version, die derzeit in Azure SQL Managed Instance unterstützt wird.

Kunden mit Anwendungen, die ältere TLS-Versionen erfordern, wird empfohlen, die TLS-Mindestversion gemäß den Anforderungen der Anwendungen festzulegen. Kunden, die Anwendungen mit unverschlüsselten Verbindungen verwenden, wird empfohlen, keine TLS-Mindestversion festzulegen.

Weitere Informationen finden Sie unter Überlegungen zu TLS für Verbindungen mit einer SQL-Datenbank.

Nachdem Sie eine TLS-Mindestversion für den Server festgelegt haben, tritt bei Anmeldeversuchen von Clients, die eine niedrigere TLS-Version verwenden, folgender Fehler auf:

Error 47072
Login failed with invalid TLS version

Hinweis

Wenn Sie eine TLS-Mindestversion konfigurieren, wird diese Mindestversion auf Anwendungsebene erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt auf dem Endpunkt der verwalteten Instanz ausgeführt werden.

Festlegen einer TLS-Mindestversion über PowerShell

Hinweis

In diesem Artikel wird das Azure Az PowerShell-Modul verwendet. Dieses PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wichtig

Das PowerShell Azure Resource Manager-Modul wird von Azure SQL-Datenbank weiterhin unterstützt, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch. Das folgende Skript erfordert das Azure PowerShell-Modul.

Das folgende PowerShell-Skript zeigt, wie Sie die Eigenschaft TLS-Mindestversion auf Instanzebene mit Get und Set abrufen und festlegen können:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Festlegen einer TLS-Mindestversion über die Azure CLI

Wichtig

Für alle Skripts in diesem Abschnitt ist die Azure CLI erforderlich.

Azure CLI in einer Bash-Shell

Das folgende CLI-Skript veranschaulicht, wie Sie die Einstellung TLS-Mindestversion in einer Bash-Shell ändern:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"