Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Changements liés à la mise hors service
Azure a annoncé que la prise en charge des anciennes versions TLS (TLS 1.0 et 1.1) prendra fin le 31 août 2025. Pour plus d’informations, consultez Obsolescence de TLS 1.0 et 1.1. À compter de novembre 2024, vous ne pourrez plus définir la version TLS minimale pour les connexions clientes Azure SQL Managed Instance inférieures à TLS 1.2.
Le paramètre de version TLS (Transport Layer Security) minimal permet aux clients de contrôler la version de TLS utilisée par leur instance managée Azure SQL.
La définition de la version TLS minimale sur la version 1.2 est actuellement appliquée pour SQL Managed Instance. La définition d’une version TLS minimale garantit que les versions ultérieures de TLS sont prises en charge. Seules les connexions utilisant TLS 1.2 ou version ultérieure sont acceptées.
Pour plus d’informations, consultez Considérations relatives au protocole TLS pour la connectivité de SQL Database.
Après avoir défini la version TLS minimale, les tentatives de connexion des clients qui utilisent une version TLS inférieure à la version TLS minimale du serveur échouent avec l’erreur suivante :
Error 47072
Login failed with invalid TLS version
Note
- Quand vous configurez une version TLS minimale, cette version minimale est appliquée au niveau de l’application. Les outils qui tentent de déterminer la prise en charge tls au niveau de la couche de protocole peuvent retourner des versions TLS en plus de la version minimale requise lors de l’exécution directement sur le point de terminaison de l’instance managée.
- TLS 1.0 et 1.1 est mis hors service et n’est plus disponible.
Définir la version TLS minimale via PowerShell
Note
Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour bien démarrer avec le module Az PowerShell, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Importante
Le module PowerShell Azure Resource Manager (AzureRM) a été déconseillé le 29 février 2024. Tout le développement futur doit utiliser le module Az.Sql. Les utilisateurs sont invités à migrer d’AzureRM vers le module Az PowerShell afin de garantir une prise en charge et des mises à jour continues. Le module AzureRM n’est plus géré ou pris en charge. Les arguments des commandes dans le module Az PowerShell et dans les modules AzureRM sont sensiblement identiques. Pour plus d’informations sur leur compatibilité, consultez Présentation du nouveau module Az PowerShell.
Le script suivant nécessite le module Azure PowerShell .
Le script PowerShell suivant montre comment Get et Set la propriété Version TLS minimale au niveau de l’instance :
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Définir la version TLS minimale via Azure CLI
Importante
Tous les scripts de cette section nécessitent Azure CLI.
Azure CLI dans un interpréteur de commandes Bash
Le script CLI suivant montre comment changer le paramètre Version TLS minimale dans un interpréteur de commandes Bash :
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Faq sur les changements de mise hors service TLS 1.0 et 1.1 à venir
Azure a annoncé que la prise en charge des anciennes versions TLS (TLS 1.0 et 1.1) prendra fin le 31 août 2025. Pour plus d’informations, consultez Obsolescence de TLS 1.0 et 1.1.
À compter de novembre 2024, vous ne pourrez plus définir la version TLS minimale pour les connexions clientEs Azure SQL Database et Azure SQL Managed Instance inférieures à TLS 1.2.
Pourquoi TLS 1.0 et 1.1 sont-ils mis hors service ?
Les versions TLS 1.0 et 1.1 sont obsolètes et ne répondent plus aux normes de sécurité modernes. Ils sont mis hors service :
- Réduisez l’exposition aux vulnérabilités connues.
- Aligner sur les meilleures pratiques du secteur et les exigences de conformité.
- Assurez-vous que les clients utilisent des protocoles de chiffrement plus forts comme TLS 1.2 ou TLS 1.3.
Que se passe-t-il si TLS 1.0 et 1.1 sont utilisés après le 31 août 2025 ?
Après le 31 août 2025, TLS 1.0 et 1.1 ne seront plus pris en charge, et les connexions utilisant TLS 1.0 et 1.1 échoueront probablement. Il est essentiel de passer à un minimum de TLS 1.2 ou supérieur avant l’échéance.
Comment puis-je vérifier si mes instances SQL Database, SQL Managed Instance, Cosmos DB ou MySQL utilisent TLS 1.0/1.1 ?
Pour identifier les clients qui se connectent à votre base de données Azure SQL à l’aide de TLS 1.0 et 1.1, les journaux d’audit SQL doivent être activés . Une fois l’audit activé, vous pouvez afficher les connexions clientes.
Pour identifier les clients qui se connectent à votre instance managée Azure SQL à l’aide de TLS 1.0 et 1.1, l’audit doit être activé. Avec l’audit activé, vous pouvez utiliser les journaux d’audit avec Azure Storage, Event Hubs ou journaux Azure Monitor afin d’afficher les connexions des clients.
Pour vérifier la version TLS minimale de votre azure Cosmos DB, obtenez la valeur actuelle de la propriété à l’aide
minimalTlsVersiond’Azure CLI ou d’Azure PowerShell.Pour vérifier la version TLS minimale configurée pour votre serveur Azure Database pour MySQL, vérifiez la valeur du paramètre de
tls_versionserveur à l’aide de l’interface de ligne de commande MySQL pour comprendre les protocoles configurés.
Pourquoi mon service a-t-il été marqué si j’ai déjà configuré TLS 1.2 ?
Les services peuvent être marqués de manière incorrecte en raison des éléments suivants :
- Basculement intermittent vers les anciennes versions de TLS par les anciens clients.
- Bibliothèques clientes mal configurées ou chaînes de connexion qui n’appliquent pas TLS 1.2.
- Décalage de télémétrie ou faux positifs dans la logique de détection.
Que dois-je faire si j’ai reçu un avis de retraite en erreur ?
Si votre serveur ou votre base de données est déjà configuré avec TLS 1.2 minimum, ou configuré sans exigence de version minimale de TLS (le paramètre par défaut dans SQL Database et SQL Managed Instance minimalTLSVersion qui correspond à 0), et qu'il se connecte avec 1.2, aucune action n’est requise.
Que se passe-t-il si mon application ou bibliothèque cliente ne prend pas en charge TLS 1.2 ?
Les connexions échouent une fois que TLS 1.0/1.1 sont désactivés. Vous devez mettre à niveau vos bibliothèques clientes, pilotes ou frameworks vers des versions qui prennent en charge TLS 1.2.
Que se passe-t-il si mon serveur est configuré sans version MINIMALE de TLS ?
Les serveurs configurés sans version minimale de TLS et se connectant avec TLS 1.0/1.1 doivent être mis à niveau vers la version minimale de TLS 1.2. Pour les serveurs configurés sans version MINIMALE de TLS et la connexion avec la version 1.2, aucune action n’est requise. Pour les serveurs configurés sans version TLS minimale et à l’aide de connexions chiffrées, aucune action n’est requise.
Comment serai-je informé de la mise hors service TLS pour mes ressources ?
Les rappels par e-mail continueront jusqu'au retrait de TLS 1.0 et 1.1 en août.
Qui puis-je contacter si j’ai besoin d’aide pour valider ou mettre à jour mes paramètres TLS ?
Si vous avez besoin d’aide pour valider ou mettre à jour vos paramètres TLS, contactez Microsoft Q&A ou ouvrez un ticket de support à l’aide du portail Azure si vous disposez d’un plan de support.
Contenu connexe
- architecture de connectivité pour Azure SQL Managed Instance