Configurer un version TLS minimale dans Azure SQL Managed Instance
Le paramètre de version minimale TLS (Transport Layer Security) permet aux clients de contrôler la version de TLS utilisée par leur instance Azure SQL Managed Instance.
À l’heure actuelle, nous prenons en charge TLS 1.0, 1.1 et 1.2. La définition d’une version TLS minimale garantit que les versions TLS ultérieures plus récentes sont prises en charge. Par exemple, si le choix se porte sur une version TLS supérieure à 1.1, seules les connexions avec TLS 1.1 et 1.2 sont acceptées et TLS 1.0 est rejeté. Après le test pour confirmer que vos applications la prennent en charge, nous vous recommandons de définir la version TLS minimale sur 1.2, car elle comprend des correctifs pour les vulnérabilités détectées dans les versions précédentes et est la version la plus récente de TLS prise en charge dans Azure SQL Managed Instance.
Pour les clients disposant d’applications qui reposent sur des versions antérieures de TLS, nous vous recommandons de définir la version TLS minimale conformément aux exigences de vos applications. Pour les clients qui s’appuient sur des applications pour se connecter à l’aide d’une connexion non chiffrée, nous vous recommandons de ne pas définir de version TLS minimale.
Pour plus d’informations, consultez Considérations relatives au protocole TLS pour la connectivité de SQL Database.
Une fois définie la version TLS minimale, les tentatives de connexion à partir de clients qui utilisent une version TLS inférieure à la version TLS minimale du serveur échouent avec l’erreur suivante :
Error 47072
Login failed with invalid TLS version
Notes
Quand vous configurez une version TLS minimale, cette version minimale est appliquée au niveau de l’application. Les outils qui tentent de déterminer la prise en charge du protocole TLS au niveau de la couche de protocole peuvent renvoyer les versions du protocole TLS en plus de la version minimale requise quand elles s’exécutent directement sur le point de terminaison de l’instance gérée.
Définir la version TLS minimale par le biais de PowerShell
Notes
Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Important
Le module PowerShell Azure Resource Manager est toujours pris en charge par Azure SQL Database, mais tous les développements futurs sont destinés au module Az.Sql. Pour ces cmdlets, voir AzureRM.Sql. Les arguments des commandes dans le module Az sont sensiblement identiques à ceux des modules AzureRm. Le script suivant nécessite le module Azure PowerShell.
Le script PowerShell suivant montre comment Get
et Set
la propriété Version TLS minimale au niveau de l’instance :
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Définir la version TLS minimale par le biais d’Azure CLI
Important
Tous les scripts de cette section nécessitent Azure CLI.
Azure CLI dans un interpréteur de commandes Bash
Le script CLI suivant montre comment changer le paramètre Version TLS minimale dans un interpréteur de commandes Bash :
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"