Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
Banco de Dados SQL do AzureBanco de dados SQL no Fabric
Este artigo apresenta configurações que controlam a conectividade com o servidor para o Banco de Dados SQL do Azure e o Banco de Dados SQL no Microsoft Fabric.
- Para obter mais informações sobre vários componentes que direcionam o tráfego de rede e as políticas de conexão, consulte Arquitetura de conectividade.
- Este artigo não se aplica à Instância Gerenciada de SQL do Azure, consulte Conectar seu aplicativo à Instância Gerenciada de SQL do Azure.
- Este artigo não se aplica ao Azure Synapse Analytics.
- Para obter configurações que controlam a conectividade com pools de SQL dedicados no Azure Synapse Analytics, consulte as configurações de conectividade do Azure Synapse Analytics.
- Para obter cadeias de conexão para os pools do Azure Synapse Analytics, consulte Conectar-se ao SQL do Synapse.
- Confira Regras de firewall de IP do Azure Synapse Analytics para obter diretrizes sobre como configurar regras de firewall de IP para o Azure Synapse Analytics com espaços de trabalho.
Rede e conectividade
Você pode alterar essas configurações no seu servidor lógico.
Alterar o acesso à rede pública
É possível alterar o acesso à rede pública para o Banco de Dados SQL do Azure por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.
Observação
Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes poderão enfrentar perda de conexão se não atenderem aos requisitos de cada configuração.
Para habilitar o acesso à rede pública para o servidor lógico que hospeda seus bancos de dados:
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- Em Segurança, selecione a página Rede.
- Escolha a guia Acesso Público e defina Acesso à rede pública como Redes selecionadas.
Nessa página, você pode adicionar uma regra de rede virtual, bem como configurar as regras de firewall para seu endpoint público.
Escolha a guia Acesso privado para configurar um ponto de extremidade privado.
Negar acesso à rede pública
O padrão de configuração de Acesso à rede pública é Desabilitar. Os clientes podem optar por se conectar a um banco de dados usando pontos de extremidade públicos (com regras de firewall em nível de servidor baseadas em IP ou com regras de firewall de rede virtual) ou pontos de extremidade privados (usando o Link Privado do Azure), conforme descrito na visão geral do acesso à rede.
Quando o Acesso à rede pública está definido como Desativar, somente conexões de pontos de extremidade privados são permitidas. Todas as conexões dos pontos de extremidade públicos serão negadas com uma mensagem de erro semelhante a:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Quando o Acesso à rede pública estiver definido como Desativar, qualquer tentativa de adicionar, remover ou editar uma regra de firewall será negada com uma mensagem de erro semelhante a:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Verifique se o acesso à rede pública está definido como redes selecionadas para poder adicionar, remover ou editar quaisquer regras de firewall para o Banco de Dados SQL do Azure.
Versão mínima do TLS
A configuração da versão mínima do protocolo TLS permite que os clientes escolham qual versão do TLS será usada pelo banco de dados SQL. O TLS é um protocolo criptográfico usado para proteger as comunicações cliente-servidor em uma rede. Isso garante que informações confidenciais, como credenciais de autenticação e consultas de banco de dados, sejam protegidas contra interceptação e adulteração. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
Definir uma versão mínima do TLS garante um nível de linha de base de conformidade e garante suporte para protocolos TLS mais recentes. Por exemplo, escolher o TLS 1.2 significa que somente conexões com TLS 1.2 ou TLS 1.3 são aceitas, enquanto as conexões que usam o TLS 1.1 ou inferior são rejeitadas.
Atualmente, a versão mínima mínima do TLS compatível com o Banco de Dados SQL do Azure é o TLS 1.2. Essa versão aborda vulnerabilidades encontradas em versões anteriores. É recomendável definir a versão mínima do TLS como TLS 1.2 após o teste para confirmar se seus aplicativos são compatíveis.
Observação
O TLS 1.0 e o 1.1 estão desativados e não estão mais disponíveis.
Configurar a versão mínima do TLS
Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Cuidado
- O padrão para a versão mínima do TLS é permitir todas as versões TLS 1.2 e superiores. Após aplicar uma versão do TLS, não é possível voltar ao padrão.
- Impor no mínimo a versão TLS 1.3 pode causar problemas para as conexões de clientes que não forem compatíveis com o TLS 1.3, pois nem todos os drivers e sistemas operacionais são compatíveis com essa versão.
Para clientes com aplicativos que dependem de versões anteriores do TLS, é recomendável definir a versão mínima do TLS de acordo com os requisitos dos aplicativos. Se os requisitos de aplicativo são desconhecidos ou se as cargas de trabalho dependem de drivers mais antigos que deixaram de receber manutenção, recomendamos não definir nenhuma versão mínima do TLS.
Para obter mais informações, confira Considerações sobre TLS para conectividade do Banco de Dados SQL.
Após você definir a versão mínima do TLS, ocorrerá falha na autenticação de clientes que estão usando uma versão do TLS inferior à versão mínima do TLS do servidor com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
A versão mínima de TLS é imposta na camada de aplicação. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões de TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade do Banco de Dados SQL.
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- Em Segurança, selecione a página Rede.
- Escolha a guia Conectividade. Selecione a Versão mínima do TLS desejada para todos os bancos de dados associados ao servidor e selecione Salvar.
Identificar conexões de cliente
Use o portal do Azure e os logs de auditoria do SQL para identificar clientes que estiverem se conectando pelo TLS 1.0 e 1.0.
No portal do Azure, acesse Métricas em Monitoramento para o recurso de banco de dados e filtre por Conexões bem-sucedidas e Versões do TLS = 1.0 e 1.1:
Você também pode consultar sys.fn_get_audit_file diretamente no banco de dados para exibir o client_tls_version_name arquivo de auditoria, procurando eventos nomeados audit_event.
Alterar a política de conexão
Política de conexão determina como os clientes se conectam. É altamente recomendável usar a política de conexão Redirect em relação à política de conexão Proxy para a menor latência e maior taxa de transferência.
É possível alterar a política de conexão usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
É possível alterar a política de conexão para o servidor lógico usando o portal do Azure.
- Acesse o portal do Azure. Acesse o servidor lógico no Azure.
- Em Segurança, selecione a página Rede.
- Escolha a guia Conectividade. Escolha a política de conexão desejada e selecione Salvar.
Perguntas frequentes sobre alterações de aposentadoria do TLS 1.0 e 1.1
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, confira Preterição do TLS 1.0 e TLS 1.1.
A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para o Banco de Dados SQL do Azure e as conexões de cliente da Instância Gerenciada de SQL do Azure abaixo do TLS 1.2.
Por que o TLS 1.0 e o 1.1 estão sendo desativados?
As versões 1.0 e 1.1 do TLS estão desatualizadas e não atendem mais aos padrões de segurança modernos. Eles estão sendo aposentados para:
- Reduza a exposição a vulnerabilidades conhecidas.
- Alinhe-se com as práticas recomendadas do setor e os requisitos de conformidade.
- Verifique se os clientes estão usando protocolos de criptografia mais fortes, como TLS 1.2 ou TLS 1.3.
O que acontece se o TLS 1.0 e o 1.1 forem usados após 31 de agosto de 2025?
Após 31 de agosto de 2025, o TLS 1.0 e o 1.1 não terão mais suporte e as conexões usando o TLS 1.0 e 1.1 provavelmente falharão. É essencial fazer a transição para um mínimo de TLS 1.2 ou superior antes do prazo final.
Como posso verificar se minhas instâncias do Banco de Dados SQL, da Instância Gerenciada de SQL, do Cosmos DB ou do MySQL estão usando o TLS 1.0/1.1?
Para identificar clientes que estão se conectando ao Banco de Dados SQL do Azure usando o TLS 1.0 e 1.1, os logs de auditoria do SQL devem estar habilitados. Com a auditoria habilitada, você pode exibir conexões de cliente.
Para identificar clientes que estão se conectando à Instância Gerenciada de SQL do Azure usando o TLS 1.0 e 1.1, a auditoria deve ser habilitada. Com a auditoria habilitada, você pode consumir logs de auditoria com o Armazenamento do Azure, hubs de eventos ou logs do Azure Monitor para exibir conexões de cliente.
Para verificar a versão mínima do TLS do Azure Cosmos DB, obtenha o valor atual da propriedade usando a
minimalTlsVersionCLI do Azure ou o Azure PowerShell.Para verificar a versão mínima do TLS configurada para o Servidor do Banco de Dados do Azure para MySQL, verifique o valor do parâmetro de
tls_versionservidor usando a interface de linha de comando MySQL para entender quais protocolos estão configurados.
Por que meu serviço foi sinalizado se eu já configurei o TLS 1.2?
Os serviços podem ser sinalizados incorretamente devido a:
- Fallback intermitente para versões TLS mais antigas por clientes herdados.
- Bibliotecas de cliente configuradas incorretamente ou cadeias de conexão que não impõem o TLS 1.2.
- Retardo de telemetria ou falsos positivos na lógica de detecção.
O que devo fazer se receber um aviso de aposentadoria por engano?
Se o servidor ou banco de dados já estiver configurado com o TLS 1.2 mínimo ou configurado sem nenhum TLS mínimo (a configuração padrão no Banco de Dados SQL e na Instância minimalTLSVersion Gerenciada de SQL que é mapeada 0para) e se conectar com 1.2, nenhuma ação será necessária.
O que acontece se meu aplicativo ou biblioteca de clientes não der suporte ao TLS 1.2?
As conexões falharão quando o TLS 1.0/1.1 estiver desabilitado. Você deve atualizar suas bibliotecas de clientes, drivers ou estruturas para versões que dão suporte ao TLS 1.2.
E se meu servidor estiver configurado sem uma versão mínima do TLS?
Os servidores configurados sem a versão mínima do TLS e a conexão com o TLS 1.0/1.1 devem ser atualizados para o TLS mínimo versão 1.2. Para servidores configurados sem versão mínima do TLS e conectando-se com 1.2, nenhuma ação é necessária. Para servidores configurados sem versão mínima do TLS e usando conexões criptografadas, nenhuma ação é necessária.
Como serei notificado sobre a aposentadoria do TLS para meus recursos?
Os lembretes de email continuarão levando à desativação do TLS 1.0 e 1.1 em agosto.
Quem posso contatar se precisar de ajuda para validar ou atualizar minhas configurações do TLS?
Se precisar de ajuda para validar ou atualizar as configurações do TLS, entre em contato com o Microsoft Q&A ou abra um tíquete de suporte usando o portal do Azure se você tiver um plano de suporte.