Azure SQL Managed Instance で最小 TLS バージョンを構成する

トランスポート 層セキュリティ (TLS) の最小バージョン設定を使用すると、お客様は Azure SQL Managed Instance で使用される TLS のバージョンを制御できます。

現在、SQL Managed Instance に対して TLS の最小バージョン を 1.2 に設定します。 TLS の最小バージョンを設定すると、以降の新しい TLS バージョンがサポートされます。 TLS 1.2 以降を使用する接続のみが受け入れられます。

詳細については、「SQL Database の接続に関する TLS の考慮事項」を参照してください。

最小 TLS バージョンを設定した後、サーバーの最小 TLS バージョンより低い TLS バージョンを使用しているクライアントからのログイン試行は、次のエラーで失敗します。

Error 47072
Login failed with invalid TLS version

PowerShell を使用して最小 TLS バージョンを設定する

次のスクリプトは Azure PowerShell モジュールを必要とします。

次の PowerShell スクリプトは、インスタンス レベルでGet プロパティをSetしてする方法を示しています。

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Azure CLI を使用して最小 TLS バージョンを設定する

bash シェルでの Azure CLI

次の CLI スクリプトは、bash シェルで [最小 TLS バージョン ] 設定を変更する方法を示しています。

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"

今後の TLS 1.0 および 1.1 の提供終了の変更に関する FAQ

Azure は、古い TLS バージョン (TLS 1.0 および 1.1) のサポートが 2025 年 8 月 31 日に終了することを発表しました。 詳細については、「TLS 1.0 および TLS 1.1 の非推奨化」を参照してください。

2024 年 11 月以降、Azure SQL Database および Azure SQL Managed Instance クライアント接続の最小 TLS バージョンを TLS 1.2 より下に設定できなくなります。

TLS 1.0 と 1.1 が廃止されるのはなぜですか?

TLS バージョン 1.0 と 1.1 は古く、最新のセキュリティ標準を満たしません。 これらは、次の場合に廃止されます。

• 既知の脆弱性への露出を減らします。
• 業界のベスト プラクティスとコンプライアンス要件に合わせます。
• クライアントが TLS 1.2 や TLS 1.3 などのより強力な暗号化プロトコルを使用していることを確認します。

TLS 1.0 と 1.1 が 2025 年 8 月 31 日以降に使用された場合はどうなりますか?

2025 年 8 月 31 日以降、TLS 1.0 と 1.1 はサポートされなくなり、TLS 1.0 と 1.1 を使用した接続は失敗する可能性があります。 期限の前に TLS 1.2 以上に移行することが重要です。

SQL Database、SQL Managed Instance、Cosmos DB、または MySQL インスタンスが TLS 1.0/1.1 を使用しているかどうかを確認するにはどうすればよいですか?

• TLS 1.0 と 1.1 を使用して Azure SQL Database に接続しているクライアントを特定するには、 SQL 監査ログ を有効にする必要があります。 監査を有効にすると、クライアント接続を表示できます。

• TLS 1.0 と 1.1 を使用して Azure SQL Managed Instance に接続しているクライアントを特定するには、 監査を 有効にする必要があります。 監査を有効にすると、Azure Storage、Event Hubs、または Azure Monitor ログを使用して 監査ログを使用 して、クライアント接続を表示できます。

• Azure Cosmos DB の最小 TLS バージョンを確認するには、Azure CLI または Azure PowerShell を使用して 、 minimalTlsVersion プロパティの現在の値を取得 します。

• Azure Database for MySQL サーバー用に構成されている TLS の最小バージョンを確認するには、MySQL コマンド ライン インターフェイスを使用して tls_version サーバー パラメーターの値を確認して、構成されているプロトコルを理解します。

TLS 1.2 を既に構成している場合、サービスにフラグが設定されたのはなぜですか?

次の理由により、サービスのフラグが正しく設定されていない可能性があります。

• レガシ クライアントによる古い TLS バージョンへの断続的なフォールバック。
• TLS 1.2 を適用しないクライアント ライブラリまたは接続文字列が正しく構成されていません。
• 検出ロジックでのテレメトリの遅延または誤検知。

エラーで提供終了通知を受け取った場合はどうすればよいですか?

サーバーまたはデータベースが既に最小 TLS 1.2 で構成されているか、最小 TLS (minimalTLSVersionにマップされる SQL Database と SQL Managed Instance 0の既定の設定) なしで構成されており、1.2 で接続している場合、操作は必要ありません。

アプリケーションまたはクライアント ライブラリが TLS 1.2 をサポートしていない場合はどうなりますか?

TLS 1.0/1.1 が無効になると、接続は失敗します。 クライアント ライブラリ、ドライバー、またはフレームワークを TLS 1.2 をサポートするバージョンにアップグレードする必要があります。

サーバーが最小 TLS バージョンなしで構成されている場合はどうしますか?

TLS の最小バージョンなしで構成され、TLS 1.0/1.1 で接続するサーバーは、TLS バージョン 1.2 以降にアップグレードする必要があります。 TLS の最小バージョンが構成されておらず、1.2 で接続されているサーバーの場合、アクションは必要ありません。 TLS の最小バージョンを使用せず、暗号化された接続を使用して構成されたサーバーの場合、アクションは必要ありません。

リソースの TLS の提供終了に関する通知を受け取る方法

メール リマインダーは、8 月に TLS 1.0 と 1.1 の廃止に至るまで引き続き行われます。

TLS 設定の検証または更新に関するヘルプが必要な場合は、誰に連絡できますか?

TLS 設定の検証または更新に関するヘルプが必要な場合は、 Microsoft Q&A に問い合わせるか、サポート プランがある場合は Azure portal を使用してサポート チケットを開いてください。

関連コンテンツ

• Azure SQL Managed Instance の 接続アーキテクチャ