Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
Mudanças na aposentadoria
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, consulte a descontinuação do TLS 1.0 e 1.1. A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para conexões de cliente da Instância Gerenciada SQL do Azure abaixo do TLS 1.2.
A configuração de versão mínima do TLS (Transport Layer Security) permite que os clientes controlem a versão do TLS usada pela Instância Gerenciada SQL do Azure.
A configuração da versão mínima do TLS como 1.2 é atualmente imposta para a instância gerenciada do SQL. Definir uma versão mínima do TLS garante que as versões mais recentes do TLS sejam suportadas. Somente conexões usando TLS 1.2 ou superior são aceitas.
Para obter mais informações, consulte considerações sobre TLS para a conectividade da base de dados SQL.
Depois de definir a versão mínima do TLS, as tentativas de login de clientes que estão usando uma versão TLS inferior à versão mínima do TLS do servidor falharão com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
- Quando você configura uma versão mínima do TLS, essa versão mínima é imposta na camada do aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade da instância gerenciada.
- O TLS 1.0 e 1.1 foi desativado e não está mais disponível.
Definir versão mínima do TLS via PowerShell
Observação
Este artigo usa o módulo Azure Az PowerShell, que é o módulo PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, consulte Migrar o Azure PowerShell do AzureRM para o Az.
Importante
O módulo PowerShell Azure Resource Manager (AzureRM) foi preterido em 29 de fevereiro de 2024. Todo o desenvolvimento futuro deve usar o módulo Az.Sql. Os usuários são aconselhados a migrar do AzureRM para o módulo Az PowerShell para garantir suporte e atualizações contínuos. O módulo AzureRM não é mais mantido ou suportado. Os argumentos para os comandos no módulo Az PowerShell e nos módulos AzureRM são substancialmente idênticos. Para obter mais informações sobre sua compatibilidade, consulte Apresentando o novo módulo do Az PowerShell.
O script a seguir requer o módulo Azure PowerShell.
O script PowerShell a seguir mostra como Get e Set a propriedade Versão Mínima do TLS no nível da instância:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Definir versão mínima do TLS por meio da CLI do Azure
Importante
Todos os scripts nesta seção exigem a CLI do Azure.
CLI do Azure em um shell bash
O script CLI a seguir mostra como alterar a configuração Minimal TLS Version em um shell bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Próximas perguntas frequentes sobre alterações de aposentadoria do TLS 1.0 e 1.1
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, consulte a descontinuação do TLS 1.0 e 1.1.
A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para o Banco de Dados SQL do Azure e as conexões de cliente da Instância Gerenciada SQL do Azure abaixo do TLS 1.2.
Por que o TLS 1.0 e 1.1 está sendo aposentado?
As versões 1.0 e 1.1 do TLS estão desatualizadas e não atendem mais aos padrões de segurança modernos. Eles estão sendo aposentados para:
- Reduza a exposição a vulnerabilidades conhecidas.
- Alinhe-se com as práticas recomendadas do setor e os requisitos de conformidade.
- Verifique se os clientes estão usando protocolos de criptografia mais fortes, como TLS 1.2 ou TLS 1.3.
O que acontece se o TLS 1.0 e 1.1 forem usados após 31 de agosto de 2025?
Após 31 de agosto de 2025, o TLS 1.0 e 1.1 não será mais suportado e as conexões usando TLS 1.0 e 1.1 provavelmente falharão. É fundamental fazer a transição para um mínimo de TLS 1.2 ou superior antes do prazo.
Como posso verificar se meu Banco de Dados SQL, Instância Gerenciada SQL, Cosmos DB ou instâncias MySQL estão usando TLS 1.0/1.1?
Para identificar clientes que estão se conectando ao Banco de Dados SQL do Azure usando TLS 1.0 e 1.1, os logs de auditoria do SQL devem ser habilitados. Com a auditoria habilitada, você pode visualizar conexões de cliente.
Para identificar clientes que estão se conectando à sua Instância Gerenciada SQL do Azure usando TLS 1.0 e 1.1, a auditoria deve ser habilitada . Com a auditoria habilitada, você pode consumir logs de auditoria com o Armazenamento do Azure, Hubs de Eventos ou Logs do Azure Monitor para exibir conexões de cliente.
Para verificar a versão mínima do TLS do seu Azure Cosmos DB, obtenha o valor atual da propriedade usando a CLI do Azure ou o
minimalTlsVersionAzure PowerShell.Para verificar a versão mínima do TLS configurada para seu Banco de Dados do Azure para o MySQL Server, verifique o
tls_versionvalor do parâmetro do servidor usando a interface de linha de comando do MySQL para entender quais protocolos estão configurados.
Por que meu serviço foi sinalizado se eu já configurei o TLS 1.2?
Os serviços podem estar sinalizados incorretamente devido a:
- Fallback intermitente para versões TLS mais antigas por clientes herdados.
- Bibliotecas de cliente ou cadeias de conexão mal configuradas que não impõem o TLS 1.2.
- Atraso de telemetria ou falsos positivos na lógica de deteção.
O que devo fazer se receber um aviso de aposentadoria por engano?
Se seu servidor ou banco de dados já estiver configurado com TLS mínimo 1.2 ou configurado sem TLS mínimo (a configuração padrão no Banco de dados SQL e na Instância minimalTLSVersion Gerenciada SQL que mapeia para 0) e se conectar com 1.2, nenhuma ação será necessária.
O que acontece se meu aplicativo ou biblioteca de cliente não suportar TLS 1.2?
As conexões falharão quando o TLS 1.0/1.1 estiver desativado. Você deve atualizar suas bibliotecas de cliente, drivers ou estruturas para versões que suportem TLS 1.2.
E se o meu servidor estiver configurado sem uma versão mínima de TLS?
Os servidores configurados sem versão mínima do TLS e conectando-se ao TLS 1.0/1.1 devem ser atualizados para a versão mínima do TLS 1.2. Para servidores configurados sem versão mínima de TLS e conectando-se com 1.2, nenhuma ação é necessária. Para servidores configurados sem versão mínima de TLS e usando conexões criptografadas, nenhuma ação é necessária.
Como serei notificado sobre a aposentadoria do TLS para meus recursos?
Os lembretes por e-mail continuarão até a aposentadoria do TLS 1.0 e 1.1 em agosto.
Quem posso contatar se precisar de ajuda para validar ou atualizar minhas configurações de TLS?
Se precisar de ajuda para validar ou atualizar suas configurações de TLS, entre em contato com as Perguntas e Respostas da Microsoft ou abra um tíquete de suporte usando o portal do Azure se tiver um plano de suporte.