Configurar a versão mínima do TLS na Instância Gerenciada SQL do Azure
A configuração Minimal Transport Layer Security (TLS) Version permite que os clientes controlem a versão do TLS utilizada pelas suas Instâncias Gerenciadas SQL do Azure.
Atualmente, suportamos TLS 1.0, 1.1 e 1.2. Definir uma versão mínima do TLS garante que as versões mais recentes do TLS sejam suportadas. Por exemplo, escolher uma versão TLS maior que 1.1. significa que apenas conexões com TLS 1.1 e 1.2 são aceitas e TLS 1.0 é rejeitado. Depois de testar para confirmar se seus aplicativos oferecem suporte a ele, recomendamos definir a versão mínima do TLS como 1.2, pois inclui correções para vulnerabilidades encontradas em versões anteriores e é a versão mais alta do TLS com suporte na Instância Gerenciada SQL do Azure.
Para clientes com aplicativos que dependem de versões mais antigas do TLS, recomendamos definir a Versão Mínima do TLS de acordo com os requisitos de seus aplicativos. Para clientes que dependem de aplicativos para se conectar usando uma conexão não criptografada, recomendamos não definir nenhuma versão mínima de TLS.
Para obter mais informações, consulte considerações sobre TLS para a conectividade da base de dados SQL.
Depois de definir a Versão Mínima de TLS, as tentativas de login de clientes que estão usando uma versão TLS inferior à Versão Mínima de TLS do servidor falharão com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
Quando você configura uma versão mínima do TLS, essa versão mínima é imposta na camada do aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade da instância gerenciada.
Definir versão mínima do TLS via PowerShell
Observação
Este artigo usa o módulo Azure Az PowerShell, que é o módulo PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, consulte Migrar o Azure PowerShell do AzureRM para o Az.
Importante
O módulo PowerShell Azure Resource Manager (AzureRM) foi preterido em 29 de fevereiro de 2024. Todo o desenvolvimento futuro deve usar o módulo Az.Sql. Os usuários são aconselhados a migrar do AzureRM para o módulo Az PowerShell para garantir suporte e atualizações contínuos. O módulo AzureRM não é mais mantido ou suportado. Os argumentos para os comandos no módulo Az PowerShell e nos módulos AzureRM são substancialmente idênticos. Para obter mais informações sobre sua compatibilidade, consulte Apresentando o novo módulo do Az PowerShell.
O script a seguir requer o módulo Azure PowerShell.
O script PowerShell a seguir mostra como Get e Set a propriedade Versão Mínima do TLS no nível da instância:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Definir versão mínima do TLS por meio da CLI do Azure
Importante
Todos os scripts nesta seção necessitam da CLI do Azure
CLI do Azure em um shell bash
O script CLI a seguir mostra como alterar a configuração Minimal TLS Version em um shell bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"