Azure Synapse Analytics の接続設定

パブリック ネットワーク アクセス

パブリック ネットワーク アクセス機能を使用して、パブリック ネットワークから Azure Synapse ワークスペースへの着信接続を許可できます。

• パブリック ネットワーク アクセスが無効のときは、プライベート エンドポイント経由でのみ、ワークスペースに接続できます。
• パブリック ネットワーク アクセスが有効のときは、パブリック ネットワークからもワークスペースに接続できます。 この機能の管理は、ワークスペース作成時でも後からでもできます。

[無効] オプションを選んだ場合、構成したファイアウォール規則は適用されません。 さらに、ファイアウォール規則が Synapse portal のネットワーク設定でグレー表示されます。 パブリック ネットワーク アクセスを再び有効にすると、ファイアウォールの構成が再適用されます。

ワークスペースの作成時にパブリック ネットワーク アクセスを構成する

1. Azure portal でワークスペースを作成するときに、 [ネットワーク] タブを選択します。

2. [Managed virtual network](マネージド仮想ネットワーク) で、 [Enable](有効にする) を選択して、ワークスペースをマネージド仮想ネットワークに関連付け、パブリック ネットワーク アクセスを許可します。

3. [公衆ネットワーク アクセス] で、 [Disable](無効にする) を選択してワークスペースへのパブリック アクセスを拒否します。 ワークスペースへのパブリック アクセスを許可する場合は、 [Enable](有効にする) を選択します。

   

4. 残りのワークスペース作成フローを完了します。

ワークスペースを作成した後でパブリック ネットワーク アクセスを構成する

1. Azure portal で Synapse ワークスペースを選択します。

2. 左側のナビゲーションで [ネットワーク] を選択します。

3. [Disable](無効にする) を選択してワークスペースへのパブリック アクセスを拒否します。 ワークスペースへのパブリック アクセスを許可する場合は、 [Enable](有効にする) を選択します。

   

4. 無効になっている場合、ファイアウォール規則はグレーで表示されます。これは、ファイアウォール規則が無効であることを示します。 ファイアウォール規則の構成は保持されます。

5. [保存] を選択して変更を保存します。 ネットワーク設定が正常に保存されたことを通知するメッセージが表示されます。

TLS の最小バージョン

サーバーレス SQL エンドポイントと開発エンドポイントは、TLS 1.2 以降のみを受け入れます。

2021 年 12 月以降、新しい Synapse ワークスペース内のワークスペースで管理される専用 SQL プールには、TLS 1.2 以降のレベルが必要です。 新しい Synapse ワークスペースまたは既存のワークスペースの両方に対して、minimal TLS REST API を使ってこの要件を上下できるので、ワークスペースで新しい TLS クライアント バージョンを使用できないユーザーも接続できます。 また、お客様はセキュリティ ニーズに合わせて TLS の最小バージョンを上げることもできます。

Azure Policy

Synapse ワークスペースのネットワーク設定への変更を防ぐ Azure ポリシーは、現在使用できません。

Azure ネットワークと接続性

これらの設定は、お使いの論理サーバーで変更できます。 論理 SQL Server は、Azure Synapse Analytics ワークスペースにない Azure SQL データベースとスタンドアロン専用 SQL プールの両方をホストできます。

パブリック ネットワーク アクセスの変更

Azure portal、Azure PowerShell、Azure CLI を使用して、スタンドアロン専用 SQL プールのパブリック ネットワーク アクセスを変更できます。

Azure portal でパブリック アクセスを構成する

スタンドアロン専用 SQL プールをホストしている論理サーバーのパブリック ネットワーク アクセスを有効にするには:

1. Azure portal に移動し、Azure の論理サーバーに移動します。
2. [セキュリティ] で [ネットワーク] ページを選択します。
3. [パブリック アクセス] タブを選択したら、[公衆ネットワーク アクセス] を [選択されたネットワーク] に選択します。

このページで、仮想ネットワーク規則を追加したり、パブリック エンドポイントのファイアウォール規則を構成したりすることができます。

[プライベート アクセス] タブを選択して、プライベート エンドポイントを構成します。

PowerShell でパブリック アクセスを構成する

Azure PowerShell を使用してパブリック ネットワーク アクセスを変更することができます。

次の PowerShell スクリプトは、サーバー レベルでGet プロパティをSetしてする方法を示しています。 次の PowerShell サンプル スクリプトの <strong password> を置き換える強力なパスワードを指定します。

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI でパブリック アクセスを構成する

Azure CLI を使用してパブリック ネットワーク設定を変更できます。

次の CLI スクリプトは、Bash シェルでのパブリック ネットワーク アクセス設定の変更方法を示しています。

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

パブリック ネットワーク アクセスの拒否

[パブリック ネットワーク アクセス] 設定の既定値は [無効] です。 ネットワーク アクセスの概要に記載されているように、お客様はデータベースへの接続に、パブリック エンドポイント (IP ベースのサーバー レベルのファイアウォール規則、または仮想ネットワークのファイアウォール規則を使用) またはプライベート エンドポイント (Azure Private Link を使用) のいずれかを使用できます。

[パブリック ネットワーク アクセス] が [無効] に設定されている場合は、プライベート エンドポイントからの接続のみが許可されます。 パブリック エンドポイントからの接続はすべて拒否され、次のようなエラー メッセージが表示されます。

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

[パブリック ネットワーク アクセス] を [無効] に設定すると、ファイアウォール規則の追加、削除、編集を行おうとする試みはすべて拒否され、次のようなエラー メッセージが表示されます。

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Azure Synapse Analytics のファイアウォール規則を追加、削除、または編集できるように、 パブリック ネットワーク アクセス が 選択されたネットワーク に設定されていることを確認します。

TLS の最小バージョン

トランスポート 層セキュリティ (TLS) の最小バージョン設定を使用すると、使用している TLS のバージョンを選択できます。 最小 TLS バージョンは、Azure portal、Azure PowerShell、Azure CLI を使用して変更することができます。

アプリケーションでサポートされていることを確認するためにテストした後、最小 TLS バージョンを 1.3 に設定することをお勧めします。 このバージョンには、以前のバージョンの脆弱性の修正プログラムが含まれており、スタンドアロン専用 SQL プールでサポートされている TLS の最も高いバージョンです。

今後の廃止に関連する変更点

Azure は、古い TLS バージョン (TLS 1.0 および 1.1) のサポートが 2025 年 8 月 31 日に終了することを発表しました。 詳細については、「TLS 1.0 および TLS 1.1 の非推奨化」を参照してください。

2024 年 11 月以降、Azure Synapse Analytics クライアント接続の最小 TLS バージョンを TLS 1.2 より下に設定できなくなります。

最小 TLS バージョンを構成する

Azure portal、Azure PowerShell、Azure CLI を使用し、クライアント接続に最小の TLS バージョンを構成できます。

以前のバージョンの TLS に依存するアプリケーションを使用しているお客様には、アプリケーションの要件に従って最小 TLS バージョンを設定することをお勧めします。 アプリケーションの要件がわからない場合、または保守されなくなった古いドライバーにワークロードが依存している場合は、TLS の最小バージョンを設定しないことをお勧めします。

詳細については、 データベース接続に関する TLS に関する考慮事項を参照してください。

最小 TLS バージョンを設定すると、サーバーの最小 TLS バージョンより低い TLS バージョンを使用しているお客様は、次のエラーで認証に失敗します。

Error 47072
Login failed with invalid TLS version

Azure portal で最小 TLS バージョンを構成する

1. Azure portal に移動し、Azure の論理サーバーに移動します。
2. [セキュリティ] で [ネットワーク] ページを選択します。
3. [接続] タブを選択します。サーバーに関連付けられているすべてのデータベースに必要な [最小 TLS バージョン] を選択し、[保存] を選択します。

PowerShell で最小 TLS バージョンを構成する

Azure PowerShell を使用して、最小 TLS バージョンを変更できます。

次の PowerShell スクリプトは、Get プロパティを論理サーバー レベルで、およびする方法を示しています。

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Set論理サーバー レベルで [最小 TLS バージョン] プロパティに Sql 管理者 のパスワード<strong_password_here_password>を置き換え、次のように実行します。

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI で最小 TLS バージョンを構成する

Azure CLI を使用して最小 TLS 設定を変更できます。

次の CLI スクリプトは、Bash シェルでの最少 TLS バージョンの変更方法を示しています。

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

クライアント接続を特定する

Azure portal と SQL 監査ログを使用して、TLS 1.0 と TLS 1.1 を使用して接続しているクライアントを特定できます。

Azure portal で、データベース リソースの 監視 の下の指標 に移動し、正常な接続、TLS バージョン = 1.0および 1.1 でフィルター処理します。

また、データベース内 sys.fn_get_audit_file 直接クエリを実行して、監査ファイル内の client_tls_version_name を表示することもできます。