Paramètres de connectivité pour Azure SQL Database et Azure Synapse Analytics

S’applique à : Azure SQL Database Azure Synapse Analytics (pools SQL dédiés uniquement)

Cet article présente les paramètres qui contrôlent la connectivité au serveur pour Azure SQL Database et le pool SQL dédié (anciennement SQL DW) dans Azure Synapse Analytics.

  • Pour plus d’informations sur les différents composants qui dirigent le trafic réseau et les stratégies de connexion, consultez l’architecture de connectivité.
  • Cet article ne s’applique pas à Azure SQL Managed Instance, mais consultez Connecter votre application à Azure SQL Managed Instance.
  • Cet article ne s’applique pas non plus aux pools SQL dédiés dans les espaces de travail Azure Synapse Analytics. Pour obtenir de l’aide sur la façon de configurer des règles de pare-feu IP pour Azure Synapse Analytics avec des espaces de travail, consultez Règles de pare-feu IP Azure Synapse Analytics.

Réseau et connectivité

Vous pouvez modifier ces paramètres dans votre serveur logique : Un serveur SQL logique peut héberger des bases de données Azure SQL et des pools SQL dédiés autonomes qui ne se trouvent pas dans un espace de travail Azure Synapse Analytics.

Remarque

Ces paramètres s’appliquent aux bases de données Azure SQL et aux pools SQL dédiés (anciennement SQL DW) associées au serveur logique. Ces instructions s’appliquent pas aux pools SQL dédiés dans un espace de travail Azure Synapse Analytics.

Capture d’écran des paramètres de pare-feu et de réseaux virtuels dans Portail Azure pour SQL server.

Modifier l’accès au réseau public

Il est possible de modifier l'accès au réseau public pour votre base de données Azure SQL ou votre pool SQL dédié autonome via le portail Azure, Azure PowerShell et Azure CLI.

Remarque

Ces paramètres prennent effet immédiatement après leur application. Vos clients risquent de perdre la connexion s’ils ne satisfont pas aux exigences de chaque paramètre.

Pour activer l'accès au réseau public pour le serveur logique hébergeant vos bases de données :

  1. Accédez au Portail Azure et au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l'onglet Accès public, puis réglez l'accès au réseau public sur Sélectionner les réseaux.

À partir de cette page, vous pouvez ajouter une règle de réseau virtuel et configurer des règles de pare-feu pour votre point de terminaison public.

Choisissez l’onglet Accès privé pour configurer un point de terminaison privé.

Refuser l’accès au réseau public

La valeur par défaut du paramètre Accès au réseau public est Désactivé. Les clients peuvent choisir de se connecter à une base de données via des points de terminaison publics (avec des règles de pare-feu au niveau du serveur basées sur l’adresse IP ou sur un réseau virtuel) ou des points de terminaison privés (avec Azure Private Link), comme décrit dans la vue d’ensemble de l’accès réseau.

Quand le paramètre Accès au réseau public est défini sur Désactivé, seules les connexions à partir de points de terminaison privés sont autorisées. Toutes les connexions à partir de points de terminaison publics sont refusées avec un message d’erreur semblable au message suivant :

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quand le paramètre Refuser l’accès au réseau public est défini sur Oui, toute tentative d’ajout, de suppression ou de modification des règles de pare-feu est refusée avec un message d’erreur semblable au message suivant :

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Assurez-vous que le paramètre Accès au réseau public est défini sur Réseaux sélectionnés pour pouvoir ajouter, supprimer ou modifier des règles de pare-feu pour Azure SQL Database et Azure Synapse Analytics.

Version TLS minimale

Le paramètre de version de TLS (Transport Layer Security) minimale permet aux clients de contrôler la version de TLS que leur base de données SQL utilise. Il est possible de modifier la version TLS minimale à l’aide du Portail Azure, d’Azure PowerShell et d’Azure CLI.

Actuellement, Azure SQL Database prend en charge TLS 1.0, 1.1, 1.2 et 1.3. La définition d’une version minimale de TLS garantit que les versions de TLS plus récentes sont prises en charge. Par exemple, le choix de la version TLS 1.1 signifie que seules les connexions avec les versions TLS 1.1 et 1.2 sont acceptées, les connexions avec la version TLS 1.0 étant rejetées. Après avoir effectué un test pour vérifier que vos applications prennent en charge la version de TLS 1.2, nous vous recommandons de la définir comme version minimale. Cette version comprend des correctifs de vulnérabilités des versions précédentes et est la version la plus récente de TLS prise en charge dans Azure SQL Database.

Mises hors service à venir

Azure a annoncé que la prise en charge des anciennes versions de TLS (TLS 1.0 et 1.1) prendra fin le 31 août 2025. Pour plus d’informations, consultez Dépréciation de TLS 1.0 et TLS 1.1.

À compter de novembre 2024, vous ne pourrez plus définir la version TLS minimale pour Azure SQL Database et Azure Synapse Analytique connexions clientes sur une version antérieure à TLS 1.2.

Configurer la version minimale de TLS

Vous pouvez configurer la version TLS minimale pour les connexions clientes à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Attention

  • Par défaut, la version minimale de TLS autorise toutes les versions. Une fois que vous avez appliqué une version de TLS, il n’est plus possible de rétablir le paramétrage par défaut.
  • L’application d’un minimum de TLS 1.3 peut entraîner des problèmes pour les connexions des clients qui ne prennent pas en charge TLS 1.3, car tous les pilotes et systèmes d’exploitation ne prennent pas en charge TLS 1.3.

Pour les clients disposant d’applications qui reposent sur des versions antérieures de TLS, nous vous recommandons de définir la version minimale de TLS en fonction des exigences de vos applications. Si les exigences de l’application sont inconnues ou si les charges de travail dépendent de pilotes plus anciens qui ne sont plus gérés, nous vous recommandons de ne pas définir de version TLS minimale.

Pour plus d’informations, consultez Considérations relatives au protocole TLS pour la connectivité de SQL Database.

Une fois la version minimale de TLS définie, les tentatives de connexion de clients qui utilisent une version de TLS inférieure à la version minimale du serveur échouent avec l’erreur suivante :

Error 47072
Login failed with invalid TLS version

Remarque

La version minimale de TLS est appliquée au niveau de la couche Application. Les outils qui tentent de déterminer la prise en charge du protocole TLS au niveau de la couche de protocole peuvent renvoyer les versions du protocole TLS en plus de la version minimale requise quand elles s’exécutent directement sur le point de terminaison SQL Database.

  1. Accédez au Portail Azure et au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l’onglet Connectivité. Sélectionnez la Version TLS minimale souhaitée pour toutes les bases de données associées au serveur, puis sélectionnez Enregistrer.

Capture d’écran de l’onglet Connectivité des paramètres Mise en réseau pour votre serveur logique, avec la liste déroulante de version TLS minimale sélectionnée.

Identifier les connexions clientes

Vous pouvez utiliser le Portail Azure et les journaux d’audit SQL pour identifier les clients qui se connectent à l’aide de TLS 1.0 et 1.1.

Dans le Portail Azure, accédez à Métriques sous Surveillance pour votre ressource de base de données, puis filtrez par Connexions réussies, et Versions de TLS = 1.0 et 1.1 :

Capture d’écran de la page de surveillance de la ressource de base de données dans le Portail Azure avec des connexions TLS 1.0 et 1.1 réussies filtrées.

Vous pouvez également interroger sys.fn_get_audit_file directement dans votre base de données pour afficher le fichier d’audit client_tls_version_name :

Capture d’écran d’un résultat de requête du fichier d’audit montrant les connexions avec version de TLS.

Modifier la stratégie de connexion

La stratégie de connexion détermine la manière dont les clients se connectent. Nous vous recommandons la stratégie de connexion Redirect sur la stratégie de connexion Proxy pour bénéficier d’une plus faible latence et d’un débit plus élevé.

Il est possible de modifier la stratégie de connexion à l’aide du Portail Azure, d’Azure PowerShell et d’Azure CLI.

Il est possible de modifier la stratégie de connexion pour votre serveur logique à l’aide du Portail Azure.

  1. Accédez au portail Azure. Accédez au serveur logique dans Azure.
  2. Sous Sécurité, sélectionnez la page Mise en réseau.
  3. Sélectionnez l’onglet Connectivité. Sélectionnez la stratégie de connexion souhaitée, puis sélectionnez Enregistrer.

Capture d’écran de l’onglet Connectivité de la page Mise en réseau, option Stratégie de connexion sélectionnée.