Configurare la versione minima di TLS in Istanza gestita di SQL di Azure

L'impostazione Versione minima TLS (Transport Layer Security) consente ai clienti di controllare la versione di TLS usata dalla loro istanza gestita di SQL di Azure.

Al momento sono supportati TLS 1.0, 1.1 e TLS 1.2. L'impostazione Versione minima TLS assicura il supporto delle nuove versioni di TLS. Ad esempio, la scelta di una versione di TLS successiva a 1.1. indica che vengono accettate solo le connessioni con TLS 1.1 e 1.2, mentre quelle con TLS 1.0 vengono rifiutate. Dopo aver verificato che le applicazioni la supportano, è consigliabile impostare la versione minima di TLS su 1.2, perché include gli aggiornamenti per le vulnerabilità rilevati nelle versioni precedenti ed è la versione più recente di TLS supportata in Istanza gestita di SQL di Azure.

Per i clienti con applicazioni che si basano su versioni precedenti di TLS, è consigliabile impostare la versione minima di TLS in base ai requisiti delle applicazioni. Per i clienti le cui applicazioni usano connessioni non crittografate, è consigliabile non impostare una versione minima di TLS.

Per altre informazioni, vedere Considerazioni su TLS per la connettività a Database SQL.

Dopo aver impostato la versione minima di TLS, i tentativi di accesso dei client che usano una versione di TLS inferiore a quella minima del server avranno esito negativo, con l'errore seguente:

Error 47072
Login failed with invalid TLS version

Nota

Quando si configura una versione minima di TLS, tale versione minima viene applicata a livello di applicazione. Gli strumenti che tentano di determinare il supporto TLS a livello di protocollo possono restituire versioni TLS oltre alla versione minima richiesta quando vengono eseguiti direttamente sull'endpoint dell'istanza gestita.

Impostare la versione minima di TLS tramite PowerShell

Nota

Questo articolo si serve del modulo Azure Az di PowerShell, ossia il modulo di PowerShell consigliato per l'interazione con Azure. Per iniziare a usare il modulo Az PowerShell, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Importante

Il modulo Azure Resource Manager di PowerShell è ancora supportato da Database SQL di Azure, ma tutte le attività di sviluppo future sono incentrate sul modulo Az.Sql. Per informazioni su questi cmdlet, vedere AzureRM.Sql. Gli argomenti per i comandi nei moduli Az e AzureRm sono sostanzialmente identici. Per lo script seguente è necessario il modulo di Azure PowerShell.

Lo script di PowerShell seguente illustra come usare Get e Set per ottenere e impostare la proprietà Versione minima TLS a livello di istanza:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Impostare la versione minima di TLS tramite l'interfaccia della riga di comando di Azure

Importante

Tutti gli script di questa sezione richiedono l'interfaccia della riga di comando di Azure.

Interfaccia della riga di comando di Azure in una shell Bash

Il seguente script dell'interfaccia della riga di comando mostra come cambiare l'impostazione Versione minima TLS in una shell Bash:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"