Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Rentenänderungen
Azure hat angekündigt, dass die Unterstützung für ältere TLS-Versionen (TLS 1.0 und 1.1) am 31. August 2025 endet. Für weitere Informationen siehe TLS 1.0 und 1.1 veraltet. Ab November 2024 können Sie die minimale TLS-Version für Azure SQL Managed Instance-Clientverbindungen unter TLS 1.2 nicht mehr festlegen.
Mit der Mindestversionseinstellung transport Layer Security (TLS) können Kunden die Version von TLS steuern, die von ihrer azure SQL Managed Instance verwendet wird.
Das Festlegen der mindesten TLS-Version auf 1.2 wird derzeit für die verwaltete SQL-Instanz erzwungen. Durch festlegen einer mindesten TLS-Version wird sichergestellt, dass nachfolgende neuere TLS-Versionen unterstützt werden. Es werden nur Verbindungen mit TLS 1.2 oder höher akzeptiert.
Weitere Informationen finden Sie unter TLS-Überlegungen für die SQL-Datenbankkonnektivität.
Nach dem Festlegen der Mindest-TLS-Version treten Anmeldeversuche von Clients mit einer TLS-Version unter der mindesten TLS-Version des Servers mit folgendem Fehler auf:
Error 47072
Login failed with invalid TLS version
Anmerkung
- Wenn Sie eine TLS-Mindestversion konfigurieren, wird diese Mindestversion auf der Anwendungsebene erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt für den Endpunkt der verwalteten Instanz ausgeführt werden.
- TLS 1.0 und 1.1 werden eingestellt und sind nicht mehr verfügbar.
Festlegen der minimalen TLS-Version über PowerShell
Anmerkung
In diesem Artikel wird das Azure Az PowerShell-Modul verwendet, das das empfohlene PowerShell-Modul für die Interaktion mit Azure ist. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zu Az.
Wichtig
Das PowerShell-Modul Azure Resource Manager (AzureRM) wurde am 29. Februar 2024 nicht mehr unterstützt. Alle zukünftigen Entwicklungen sollten das Az.Sql-Modul verwenden. Benutzern wird empfohlen, von AzureRM zum Az PowerShell-Modul zu migrieren, um fortgesetzte Unterstützung und Updates sicherzustellen. Das AzureRM-Modul wird nicht mehr verwaltet oder unterstützt. Die Argumente für die Befehle im Az PowerShell-Modul und in den AzureRM-Modulen sind wesentlich identisch. Weitere Informationen zur Kompatibilität finden Sie unter Einführung in das neue Az PowerShell-Modul.
Für das folgende Skript ist das Azure PowerShell-Modulerforderlich.
Das folgende PowerShell-Skript zeigt, wie Sie die Eigenschaft Get auf Instanzebene mit Set und abrufen und festlegen können:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Festlegen der minimalen TLS-Version über Azure CLI
Wichtig
Alle Skripts in diesem Abschnitt erfordern Azure CLI.
Azure CLI in einer Bash-Shell
Das folgende CLI-Skript zeigt, wie Sie die einstellung Minimale TLS-Version in einer Bash-Shell ändern:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Bevorstehende Änderungen an TLS 1.0 und 1.1 – Häufig gestellte Fragen zur Einstellung
Azure hat angekündigt, dass die Unterstützung für ältere TLS-Versionen (TLS 1.0 und 1.1) am 31. August 2025 endet. Für weitere Informationen siehe TLS 1.0 und 1.1 veraltet.
Ab November 2024 können Sie die minimale TLS-Version für Azure SQL-Datenbank- und Azure SQL Managed Instance-Clientverbindungen unter TLS 1.2 nicht mehr festlegen.
Warum wird TLS 1.0 und 1.1 eingestellt?
TLS-Versionen 1.0 und 1.1 sind veraltet und erfüllen keine modernen Sicherheitsstandards mehr. Sie werden eingestellt an:
- Verringern Sie die Gefährdung bekannter Sicherheitsrisiken.
- Richten Sie sich an bewährte Methoden und Complianceanforderungen der Branche.
- Stellen Sie sicher, dass Clients stärkere Verschlüsselungsprotokolle wie TLS 1.2 oder TLS 1.3 verwenden.
Was geschieht, wenn TLS 1.0 und 1.1 nach dem 31. August 2025 verwendet werden?
Nach dem 31. August 2025 werden TLS 1.0 und 1.1 nicht mehr unterstützt, und Verbindungen mit TLS 1.0 und 1.1 schlagen wahrscheinlich fehl. Es ist wichtig, vor dem Stichtag auf ein Minimum von TLS 1.2 oder höher umzusteigen.
Wie kann ich überprüfen, ob meine SQL-Datenbank, meine SQL Managed Instance, Cosmos DB oder MySQL-Instanzen TLS 1.0/1.1 verwenden?
Um Clients zu identifizieren, die eine Verbindung mit Ihrer Azure SQL-Datenbank mit TLS 1.0 und 1.1 herstellen, müssen SQL-Überwachungsprotokolle aktiviert sein. Wenn die Überwachung aktiviert ist, können Sie Clientverbindungen anzeigen.
Um Clients zu identifizieren, die eine Verbindung mit Ihrer azure SQL Managed Instance mit TLS 1.0 und 1.1 herstellen, muss die Überwachung aktiviert sein. Mit aktivierter Überwachung können Sie Überwachungsprotokolle mit Azure Storage, Event Hubs oder Azure Monitor Logs nutzen, um Clientverbindungen anzuzeigen.
Um die minimale TLS-Version Ihrer Azure Cosmos DB zu überprüfen, rufen Sie den aktuellen Wert der
minimalTlsVersionEigenschaft mit Azure CLI oder Azure PowerShell ab.Um die für Ihre Azure-Datenbank für MySQL Server konfigurierte Mindest-TLS-Version zu überprüfen, überprüfen Sie den Wert des
tls_versionServerparameters mithilfe der Befehlszeilenschnittstelle MySQL, um zu verstehen, welche Protokolle konfiguriert sind.
Warum wurde mein Dienst gekennzeichnet, wenn ich TLS 1.2 bereits konfiguriert habe?
Dienste sind möglicherweise aufgrund von:
- Intermittierende Fallbacks auf ältere TLS-Versionen von Legacyclients.
- Falsch konfigurierte Clientbibliotheken oder Verbindungszeichenfolgen, die TLS 1.2 nicht erzwingen.
- Telemetrieverzögerung oder falsch positive Ergebnisse in erkennungslogik.
Was sollte ich tun, wenn ich eine Benachrichtigung über die Einstellung im Fehler erhalten habe?
Wenn Ihr Server oder Ihre Datenbank bereits mit minimalem TLS 1.2 konfiguriert oder ohne minimales TLS konfiguriert ist (die Standardeinstellung in SQL-Datenbank und SQL Managed Instance minimalTLSVersion , die zugeordnet 0ist) und eine Verbindung mit 1.2 hergestellt wird, ist keine Aktion erforderlich.
Was geschieht, wenn meine Anwendung oder Clientbibliothek TLS 1.2 nicht unterstützt?
Verbindungen schlagen fehl, sobald TLS 1.0/1.1 deaktiviert ist. Sie müssen Ihre Clientbibliotheken, Treiber oder Frameworks auf Versionen aktualisieren, die TLS 1.2 unterstützen.
Was geschieht, wenn mein Server ohne minimale TLS-Version konfiguriert ist?
Server, die ohne minimale TLS-Version konfiguriert sind und eine Verbindung mit TLS 1.0/1.1 hergestellt wird, sollten auf die mindeste TLS-Version 1.2 aktualisiert werden. Für Server, die ohne minimale TLS-Version konfiguriert sind und eine Verbindung mit 1.2 hergestellt wird, ist keine Aktion erforderlich. Für Server, die ohne minimale TLS-Version konfiguriert sind und verschlüsselte Verbindungen verwenden, ist keine Aktion erforderlich.
Wie wird ich über die Einstellung von TLS für meine Ressourcen benachrichtigt?
E-Mail-Erinnerungen werden im August bis zur Einstellung von TLS 1.0 und 1.1 fortgesetzt.
Wer kann ich kontaktieren, wenn ich Hilfe bei der Überprüfung oder beim Aktualisieren meiner TLS-Einstellungen benötige?
Wenn Sie Hilfe beim Überprüfen oder Aktualisieren Ihrer TLS-Einstellungen benötigen, wenden Sie sich an Microsoft Q&A , oder öffnen Sie ein Supportticket über das Azure-Portal, wenn Sie über einen Supportplan verfügen.