Definições de conectividade do Azure Synapse Analytics

Este artigo explica como configurar as definições de conectividade no Azure Synapse Analytics, incluindo tanto pools SQL dedicados como pools SQL serverless, quando aplicável.

Para obter strings de conexão com pools do Azure Synapse Analytics, consulte Connect to Synapse SQL.

As definições de conectividade e a experiência do portal Azure para pools SQL dedicados diferem dependendo se o pool está implementado num pool SQL dedicado independente (anteriormente SQL DW) ou num espaço de trabalho Azure Synapse Analytics. Em contraste, os pools SQL serverless estão disponíveis apenas nos espaços de trabalho Synapse e seguem as mesmas definições de conectividade que os pools SQL dedicados criados num espaço de trabalho.

Pools SQL dedicados e serverless numa área de trabalho
Pools SQL dedicados autónomos (anteriormente SQL DW)

Acesso à rede pública

Observação

Estas definições aplicam-se a pools SQL dedicados e pools SQL serverless criados num espaço de trabalho Azure Synapse. Estas instruções não se aplicam a pools SQL dedicados associados a pools SQL dedicados autónomos independentes (anteriormente SQL DW).

Pode utilizar a funcionalidade de acesso à rede pública para permitir a conectividade da rede pública recebida à área de trabalho do Azure Synapse.

Quando o acesso à rede pública é desativado, só poderá ligar-se à área de trabalho através de pontos finais privados.
Quando o acesso à rede pública está ativado, poderá ligar-se à área de trabalho também a partir de redes públicas. Pode gerir esta funcionalidade durante e após a criação da área de trabalho.

Importante

Esta funcionalidade de acesso à rede pública só está disponível para áreas de trabalho do Azure Synapse associadas à Rede Virtual Gerida do Azure Synapse Analytics. No entanto, continua a poder abrir as áreas de trabalho do Synapse à rede pública, independentemente de a mesma estar ou não associada à VNet gerida.

Quando o acesso à rede pública estiver desativado, o acesso ao modo GIT no Synapse Studio e as alterações de confirmação não serão bloqueados, desde que o usuário tenha permissão suficiente para acessar o repositório Git integrado ou a ramificação Git correspondente. No entanto, o botão de publicação não funcionará porque o acesso ao modo Live está bloqueado pelas configurações do firewall. Quando o acesso à rede pública é desativado, o tempo de execução de integração auto-hospedado ainda pode se comunicar com o Synapse. Atualmente, não suportamos o estabelecimento de um link privado entre um tempo de execução de integração auto-hospedado e o plano de controle Synapse.

Selecionar a opção Desativar não aplicará nenhuma regra de firewall que você possa configurar. Além disso, as regras de firewall aparecerão acinzentadas na configuração Rede no portal Sinapse. As configurações de firewall são reaplicadas quando você habilita o acesso à rede pública novamente.

Gorjeta

Quando reverter para ativar, aguarde algum tempo antes de editar as regras da firewall.

Configurar o acesso à rede pública quando criar a área de trabalho

Selecione o separador Rede quando criar a área de trabalho no portal do Azure.
Em Rede virtual gerida, selecione Ativar para associar a área de trabalho à rede virtual gerida e permitir o acesso à rede pública.
Em Acesso à rede pública, selecione Desativar para negar o acesso público à área de trabalho. Selecione Ativar se quiser permitir o acesso público à área de trabalho.
Conclua o resto do fluxo de criação da área de trabalho.

Configurar o acesso à rede pública depois de criar a área de trabalho

Selecione a área de trabalho do Synapse no portal do Azure.
Selecione Rede na navegação à esquerda.
Selecione Desativado para negar o acesso público à área de trabalho. Selecione Ativado se quiser permitir o acesso público à área de trabalho.
Quando desativadas, as Regras da Firewall ficam a cinzento para indicar que as regras de firewall não estão a ser aplicadas. As configurações de regras de firewall serão retidas.
Selecione Guardar para guardar as alterações. Uma notificação confirmará que a definição de rede foi guardada com êxito.

Versão mínima do TLS

O ponto final de SQL sem servidor e o ponto final de desenvolvimento só aceitam o TLS 1.2 e superior.

Desde dezembro de 2021, um nível mínimo de TLS 1.2 é necessário para pools SQL dedicados gerenciados por espaço de trabalho em novos espaços de trabalho Synapse. Você pode aumentar ou diminuir esse requisito usando a API REST TLS mínima para novos espaços de trabalho Synapse ou espaços de trabalho existentes, para que os usuários que não podem usar uma versão de cliente TLS mais alta nos espaços de trabalho possam se conectar. Os clientes também podem aumentar a versão mínima do TLS para satisfazer as suas necessidades de segurança.

Importante

O Azure começará a desativar as versões mais antigas do TLS (TLS 1.0 e 1.1) a partir de novembro de 2024. Use TLS 1.2 ou superior. Após 31 de março de 2025, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Azure Synapse Analytics abaixo do TLS 1.2. Após essa data, as tentativas de entrada de conexões usando uma versão TLS inferior a 1.2 falharão. Para obter mais informações, consulte Anúncio: O suporte do Azure para TLS 1.0 e TLS 1.1 será encerrado.

Azure Policy

A política do Azure para impedir modificações nas configurações de rede no Synapse Workspace não está disponível no momento.

Rede e conectividade

Você pode alterar essas configurações no servidor lógico . Um servidor SQL lógico pode hospedar bancos de dados SQL do Azure e pools SQL dedicados autônomos que não estão em um espaço de trabalho do Azure Synapse Analytics.

Importante

Essas configurações se aplicam a pools SQL dedicados autônomos (anteriormente SQL DW) associados ao servidor lógico, não em um espaço de trabalho do Azure Synapse Analytics. Estas instruções não se aplicam a pools SQL dedicados em um espaço de trabalho de análise do Azure Synapse.

Alterar o acesso à rede pública

É possível alterar o acesso à rede pública para seu pool SQL dedicado autônomo por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.

Observação

Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes podem sofrer perda de conexão se não atenderem aos requisitos de cada configuração.

Configurar o acesso público no portal do Azure

Para habilitar o acesso à rede pública para o servidor lógico que hospeda seu pool SQL dedicado autônomo:

Vá para o portal do Azure e vá para o servidor lógico no Azure.
No separador Segurança, selecione a página Rede.
Escolha o separador Acesso público e, em seguida, defina o Acesso à rede pública como Selecionar redes.

Nesta página, você pode adicionar uma regra de rede virtual, bem como configurar regras de firewall para seu ponto de extremidade público.

Escolha a guia de acesso privado para configurar um ponto de extremidade privado .

Configurar o acesso público no PowerShell

É possível alterar o acesso à rede pública usando o Azure PowerShell.

Importante

O módulo Az substitui AzureRM. Todo o desenvolvimento futuro é para o módulo Az.Sql. O script a seguir requer o módulo Azure PowerShell.

O script PowerShell a seguir mostra como Get e Set a propriedade Acesso à Rede Pública ao nível do servidor. Forneça uma senha forte para substituir <strong password> no seguinte script de exemplo do PowerShell.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Configurar o acesso público na CLI do Azure

É possível alterar as configurações de rede pública usando o da CLI do Azure.

O script CLI a seguir mostra como alterar a configuração Public Network Access em um shell Bash:


# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Negar acesso à rede pública

O padrão para a configuração de acesso à rede pública é Desativar. Os clientes podem escolher conectar-se a uma base de dados utilizando pontos de extremidade públicos (com regras de firewall ao nível do servidor baseadas em IP ou com regras de firewall de rede virtual), ou pontos de extremidade privados (utilizando o Azure Private Link), conforme descrito na visão geral do acesso à rede .

Quando acesso à rede pública estiver definido como Desativar, só são permitidas ligações a partir de pontos de extremidade privados. Todas as conexões de pontos de extremidade públicos serão recusadas com uma mensagem de erro semelhante a:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quando o acesso à rede pública estiver definido como Desativar, todas as tentativas de adicionar, remover ou editar quaisquer regras de firewall serão negadas com uma mensagem de erro semelhante a:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Certifique-se de que o acesso à rede pública está definido como Redes selecionadas para poder adicionar, remover ou editar quaisquer regras de firewall para o Azure Synapse Analytics.

Versão mínima do TLS

A configuração de versão mínima do Transport Layer Security (TLS) permite que os clientes escolham qual versão do TLS está em uso. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Depois de testar para confirmar se seus aplicativos o suportam, recomendamos definir a versão mínima do TLS como 1.3. Esta versão inclui correções para vulnerabilidades em versões anteriores e é a versão com maior suporte do TLS para pools SQL dedicados autônomos.

Próximas mudanças na aposentadoria

O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, consulte a descontinuação do TLS 1.0 e 1.1.

A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Azure Synapse Analytics abaixo do TLS 1.2.

Configurar a versão mínima do TLS

Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Atenção

O padrão para a versão mínima do TLS é permitir todas as versões. Depois de impor uma versão do TLS, não é possível reverter para o padrão.
Impor um mínimo de TLS 1.3 pode causar problemas para conexões de clientes que não suportam TLS 1.3, já que nem todos os drivers e sistemas operacionais suportam TLS 1.3.

Para clientes com aplicativos que dependem de versões mais antigas do TLS, recomendamos definir a versão mínima do TLS de acordo com os requisitos de seus aplicativos. Se os requisitos do aplicativo forem desconhecidos ou as cargas de trabalho dependerem de drivers mais antigos que não são mais mantidos, recomendamos não definir nenhuma versão mínima do TLS.

Para obter mais informações, consulte Considerações sobre TLS para conectividade de banco de dados.

Depois de definir a versão mínima do TLS, os clientes que estiverem usando uma versão TLS inferior à versão mínima do TLS do servidor não conseguirão se autenticar, com o seguinte erro:

Error 47072
Login failed with invalid TLS version

Observação

A versão mínima do TLS é imposta na camada de aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade.

Configurar a versão mínima do TLS no portal do Azure

Vá para o portal do Azure e vá para o servidor lógico no Azure.
No separador Segurança, selecione a página Rede.
Escolha a guia Conectividade . Selecione a Versão Mínima de TLS desejada para todos os bancos de dados associados ao servidor e selecione Guardar .

Configurar a versão mínima do TLS no PowerShell

É possível alterar a versão mínima do TLS usando o Azure PowerShell.

Importante

O módulo Az substitui AzureRM. Todo o desenvolvimento futuro é para o módulo Az.Sql. O script a seguir requer o módulo Azure PowerShell.

O seguinte script do PowerShell mostra como configurar a propriedade Get no nível do servidor lógico.

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Para Set a propriedade Minimal TLS Version no nível do servidor lógico, substitua a sua senha de Administrador SQL por <strong_password_here_password>e execute:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Configurar a versão mínima do TLS na CLI do Azure

É possível alterar as configurações mínimas de TLS usando a CLI do Azure.

Importante

Todos os scripts nesta seção exigem a CLI do Azure .

O script CLI a seguir mostra como alterar a configuração Minimal TLS Version em um shell Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identificar conexões de clientes

Você pode usar o portal do Azure e os logs de auditoria do SQL para identificar clientes que estão se conectando usando o TLS 1.0 e 1.0.

No portal do Azure, vá para Métricas em Monitorização para o recurso de base de dados e filtre por Conexões bem-sucedidase versões TLS = 1.0 e 1.1:

Você também pode consultar sys.fn_get_audit_file diretamente em seu banco de dados para exibir o client_tls_version_name no arquivo de auditoria.

Política de ligação

A política de ligação do Synapse SQL no Azure Synapse Analytics está definida como Predefinição. Não pode alterar a política de ligação para pools SQL dedicados ou serverless no Azure Synapse Analytics.

Os logins para pools SQL no Azure Synapse Analytics podem conectar-se a qualquer um dos endereços IP individuais de Gateway ou sub-redes de endereços IP de Gateway numa região. Para uma conectividade consistente, permita o tráfego de rede para e de todos os endereços IP de gateway individuais e sub-redes dos endereços IP de gateway numa região. Consulte o Azure IP Ranges and Service Tags - Public Cloud para obter uma lista dos endereços IP da sua região a permitir.

Padrão: Esta é a diretiva de conexão em vigor em todos os servidores após a criação, a menos que você altere explicitamente a diretiva de conexão para Proxy ou Redirect. A política padrão é:
- Redirect para todas as conexões de cliente originadas dentro do Azure (por exemplo, de uma Máquina Virtual do Azure).
- Proxy para todas as conexões de cliente originadas do exterior (como, por exemplo, a partir da sua estação de trabalho local).
Redirecionamento: Os clientes estabelecem conexões diretamente com o nó que hospeda o banco de dados, levando à redução da latência e à melhoria da taxa de transferência. Para que as conexões usem esse modo, os clientes precisam:
- Permitir a comunicação de saída do cliente para todos os endereços IP SQL do Azure na região nas portas compreendidas entre 11000 e 11999. Use as etiquetas de serviço do SQL para ajudar a facilitar o gerenciamento. Se estiver a usar o Private Link, consulte Use Redirect Connection Policy com pontos de extremidade privados para saber os intervalos de portas a permitir.
- Permitir a comunicação de saída do cliente para os endereços IP de gateway do Azure SQL Database na porta 1433.
- Ao usar a política de conexão de redirecionamento, consulte o Azure IP Ranges and Service Tags – Public Cloud para obter uma lista dos endereços IP da sua região a serem permitidos.
Proxy: Nesse modo, todas as conexões são intermediadas por proxy por meio dos gateways do Banco de Dados SQL do Azure, levando ao aumento da latência e à redução da taxa de transferência. Para que as conexões usem esse modo, os clientes precisam permitir a comunicação de saída do cliente para os endereços IP do gateway do Banco de Dados SQL do Azure na porta 1433.
- Ao usar a política de conexão Proxy, permita os endereços IP da sua região na lista de endereços IP do Gateway.

Feedback

Esta página foi útil?

Last updated on 2025-11-24

Partilhar via

Definições de conectividade do Azure Synapse Analytics

Acesso à rede pública

Configurar o acesso à rede pública quando criar a área de trabalho

Configurar o acesso à rede pública depois de criar a área de trabalho

Versão mínima do TLS

Azure Policy

Política de ligação

Conteúdos relacionados

Feedback

Recursos adicionais