Partager via

Paramètres de connectivité

S’applique à :Base de données Azure SQLBase de données SQL dans Fabric

Cet article présente les paramètres qui contrôlent la connectivité au serveur pour Azure SQL Database et sql Database dans Microsoft Fabric.

Réseau et connectivité

Vous pouvez modifier ces paramètres dans votre serveur logique :

Modifier l’accès au réseau public

Il est possible de modifier l’accès au réseau public pour votre base de données Azure SQL Par le biais du portail Azure, d’Azure PowerShell et d’Azure CLI.

Remarque

Ces paramètres prennent effet immédiatement après leur application. Vos clients risquent de perdre la connexion s’ils ne satisfont pas aux exigences de chaque paramètre.

Pour activer l'accès au réseau public pour le serveur logique hébergeant vos bases de données :

Capture d’écran des paramètres de pare-feu et de réseaux virtuels dans le portail Azure pour un serveur SQL logique.

  1. Accédez au Portail Azure et au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l'onglet Accès public, puis réglez l'accès au réseau public sur Sélectionner les réseaux.

À partir de cette page, vous pouvez ajouter une règle de réseau virtuel et configurer des règles de pare-feu pour votre point de terminaison public.

Choisissez l’onglet Accès privé pour configurer un point de terminaison privé.

Refuser l’accès au réseau public

La valeur par défaut du paramètre Accès au réseau public est Désactivé. Les clients peuvent choisir de se connecter à une base de données via des points de terminaison publics (avec des règles de pare-feu au niveau du serveur basées sur l’adresse IP ou sur un réseau virtuel) ou des points de terminaison privés (avec Azure Private Link), comme décrit dans la vue d’ensemble de l’accès réseau.

Quand le paramètre Accès au réseau public est défini sur Désactivé, seules les connexions à partir de points de terminaison privés sont autorisées. Toutes les connexions à partir de points de terminaison publics sont refusées avec un message d’erreur semblable au message suivant :

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quand le paramètre Refuser l’accès au réseau public est défini sur Oui, toute tentative d’ajout, de suppression ou de modification des règles de pare-feu est refusée avec un message d’erreur semblable au message suivant :

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Vérifiez que l’accès au réseau public est défini sur Réseaux sélectionnés pour pouvoir ajouter, supprimer ou modifier des règles de pare-feu pour Azure SQL Database.

Version TLS minimale

Le paramètre de version de TLS (Transport Layer Security) minimale permet aux clients de contrôler la version de TLS que leur base de données SQL utilise. Il est possible de modifier la version TLS minimale à l’aide du Portail Azure, d’Azure PowerShell et d’Azure CLI.

Actuellement, Azure SQL Database prend en charge TLS 1.0, 1.1, 1.2 et 1.3. La définition d’une version minimale de TLS garantit que les versions de TLS plus récentes sont prises en charge. Par exemple, le choix de la version TLS 1.1 signifie que seules les connexions avec les versions TLS 1.1 et 1.2 sont acceptées, les connexions avec la version TLS 1.0 étant rejetées. Après avoir testé pour confirmer que vos applications la prennent en charge, nous vous recommandons de définir la version TLS minimale sur la version 1.3. Cette version comprend des correctifs de vulnérabilités des versions précédentes et est la version la plus récente de TLS prise en charge dans Azure SQL Database.

Mises hors service à venir

Azure a annoncé que la prise en charge des anciennes versions de TLS (TLS 1.0 et 1.1) prendra fin le 31 août 2025. Pour plus d’informations, consultez Dépréciation de TLS 1.0 et TLS 1.1.

À compter de novembre 2024, vous ne pourrez plus définir la version TLS minimale pour les connexions clientes Azure SQL Database inférieures à TLS 1.2.

Configurer la version minimale de TLS

Vous pouvez configurer la version TLS minimale pour les connexions clientes à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Attention

  • Par défaut, la version minimale de TLS autorise toutes les versions. Une fois que vous avez appliqué une version de TLS, il n’est plus possible de rétablir le paramétrage par défaut.
  • L’application d’un minimum de TLS 1.3 peut entraîner des problèmes pour les connexions des clients qui ne prennent pas en charge TLS 1.3, car tous les pilotes et systèmes d’exploitation ne prennent pas en charge TLS 1.3.

Pour les clients disposant d’applications qui reposent sur des versions antérieures de TLS, nous vous recommandons de définir la version minimale de TLS en fonction des exigences de vos applications. Si les exigences de l’application sont inconnues ou si les charges de travail dépendent de pilotes plus anciens qui ne sont plus gérés, nous vous recommandons de ne pas définir de version TLS minimale.

Pour plus d’informations, consultez Considérations relatives au protocole TLS pour la connectivité de SQL Database.

Une fois la version minimale de TLS définie, les tentatives de connexion de clients qui utilisent une version de TLS inférieure à la version minimale du serveur échouent avec l’erreur suivante :

Error 47072
Login failed with invalid TLS version

Remarque

La version minimale de TLS est appliquée au niveau de la couche Application. Les outils qui tentent de déterminer la prise en charge du protocole TLS au niveau de la couche de protocole peuvent renvoyer les versions du protocole TLS en plus de la version minimale requise quand elles s’exécutent directement sur le point de terminaison SQL Database.

  1. Accédez au Portail Azure et au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l’onglet Connectivité. Sélectionnez la Version TLS minimale souhaitée pour toutes les bases de données associées au serveur, puis sélectionnez Enregistrer.

Identifier les connexions clientes

Vous pouvez utiliser le Portail Azure et les journaux d’audit SQL pour identifier les clients qui se connectent à l’aide de TLS 1.0 et 1.1.

Dans le Portail Azure, accédez à Métriques sous Surveillance pour votre ressource de base de données, puis filtrez par Connexions réussies, et Versions de TLS = 1.0 et 1.1 :

Capture d’écran de la page de surveillance de la ressource de base de données dans le portail Azure avec des connexions T L S 1.0 et 1.1 filtrées.

Vous pouvez également interroger directement sys.fn_get_audit_file dans votre base de données pour afficher client_tls_version_name dans le fichier d’audit, en recherchant des événements nommés audit_event.

Capture d’écran d’un résultat de requête du fichier d’audit montrant les connexions de version T L S.

Modifier la stratégie de connexion

La stratégie de connexion détermine la manière dont les clients se connectent. Nous vous recommandons la stratégie de connexion Redirect sur la stratégie de connexion Proxy pour bénéficier d’une plus faible latence et d’un débit plus élevé.

Il est possible de modifier la stratégie de connexion à l’aide du Portail Azure, d’Azure PowerShell et d’Azure CLI.

Il est possible de modifier la stratégie de connexion pour votre serveur logique à l’aide du Portail Azure.

  1. Accédez au portail Azure. Accédez au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l’onglet Connectivité. Sélectionnez la stratégie de connexion souhaitée, puis sélectionnez Enregistrer.

Capture d’écran de l’onglet Connectivité de la page Mise en réseau, option Stratégie de connexion sélectionnée.

Contenu connexe