Aposentadoria da conectividade de serviço confiável (março de 2026)

APLICA-SE A: todas as camadas do Gerenciamento de API

A partir de 15 de março de 2026, o Gerenciamento de API do Azure está desativando a conectividade de serviço confiável pelo gateway de Gerenciamento de API para serviços do Azure com suporte – Armazenamento do Azure, Key Vault, HSM Gerenciado do Key Vault, Barramento de Serviço, Hubs de Eventos e Registro de Contêiner. Se o gateway de Gerenciamento de API depender desse recurso para se comunicar com esses serviços após 15 de março de 2026, a comunicação falhará. Use opções alternativas de rede para se conectar com segurança a esses serviços.

O gateway nos serviços de Gerenciamento de API criados em ou após 1º de dezembro de 2025 não dá mais suporte à conectividade de serviço confiável. Entre em contato com o suporte da Azure se precisar habilitar conectividade confiável desses serviços até a data de aposentadoria.

Meu serviço é afetado por essa mudança?

A desativação da conectividade de serviço confiável afeta cenários em que o gateway de Gerenciamento de API depende desse recurso e da identidade gerenciada para se comunicar com os serviços do Azure , como Armazenamento, Key Vault, HSM Gerenciado do Key Vault, Barramento de Serviço, Hubs de Eventos ou Registro de Contêiner. Isso se aplica quando esses serviços são configurados como back-ends ou acessados por meio de políticas como send-request ou send-one-way-request.

Primeiro, verifique se há uma recomendação do Azure Advisor:

1. No portal do Azure, acesse o Assistente.
2. Selecione a categoria Recomendações > de Excelência Operacional .
3. Procure por "Desabilitar conectividade de serviço confiável no Gerenciamento de APIs".

Se você não vir uma recomendação, o gateway de Gerenciamento de API não será afetado pela alteração.

Se você vir uma recomendação, o gateway de Gerenciamento de API já enviou tráfego para os serviços listados do Azure. Por isso, ela é considerada afetada pela alteração significativa e você precisa tomar medidas:

1. Determine se o gateway de Gerenciamento de API depende da conectividade de serviço confiável com os serviços do Azure.
2. Se isso acontecer, atualize a configuração da rede para eliminar a dependência da conectividade confiável dos serviços. Se não funcionar, prossiga para o próximo passo.
3. Desabilite a conectividade de serviço confiável no gateway de Gerenciamento de API.

Observação

A recomendação do Assistente do Azure mostra os serviços de back-end do Azure para os quais sua instância de Gerenciamento de API enviou solicitações de saída nas últimas 24 horas, independentemente do método de autenticação usado. Use isso para identificar os back-ends dos quais sua instância de Gerenciamento de API depende e validar sua configuração.

Se nenhum tráfego for relatado, continue monitorando por alguns dias e desabilite o recurso se os resultados forem consistentes.

Cenários que não são afetados pela alteração interruptiva

Todos os cenários que envolvem operações de plano de controle que usam conectividade de serviço confiável permanecem compatíveis e não são afetados pela alteração significativa, incluindo o acesso:

• Azure Key Vault para valores nomeados, certificados de cliente e certificados de nome de host personalizados
• Armazenamento do Azure para backup e restauração

Se o serviço de Gerenciamento de API tiver uma linha de visão de rede estabelecida para o cofre de chaves usado para valores nomeados e certificados de cliente, você pode, mas não precisa remover a configuração de conectividade confiável no cofre de chaves.

Para backup e restauração e certificados de nome de host personalizados, você precisa garantir que o cofre de chaves de destino ou a conta de armazenamento esteja acessível publicamente ou se você precisa preservar sua configuração de conectividade confiável para permitir o tráfego dos recursos de Gerenciamento de API, mesmo que seu serviço de Gerenciamento de API tenha uma linha de visão de rede estabelecida com ele.

As APIs em workspaces não são afetadas por essa alteração, pois não dão suporte à identidade gerenciada.

Etapa 1: meu gateway de Gerenciamento de API depende da conectividade de serviço confiável?

Seu gateway de Gerenciamento de API não deve mais depender da conectividade de serviço confiável com os serviços do Azure. Em vez disso, deve estabelecer uma linha de visão de rede.

Dica

Você pode obter uma visão geral detalhada por meio de "Diagnosticar e resolver problemas > de disponibilidade e desempenho" no Portal do Azure em sua instância de Gerenciamento de API para saber mais sobre solicitações de saída, tokens de ID do Entra necessários e se novas ações são necessárias.

Para verificar se o gateway de Gerenciamento de API depende da conectividade confiável com os serviços do Azure, verifique a configuração de rede de todos os recursos do Armazenamento do Azure, do Key Vault, do HSM Gerenciado do Key Vault, do Barramento de Serviço, dos Hubs de Eventos e do Registro de Contêiner aos quais o gateway de Gerenciamento de API se conecta:

Para contas de armazenamento

1. Vá para Redes em Segurança + Redes.
2. Selecione Gerenciar na aba de acesso à rede pública.
3. O Gerenciamento de API pode depender da conectividade de serviços confiáveis se for selecionado Permitir que serviços confiáveis da Microsoft acessem esse recurso se:
   • O acesso à rede pública está configurado para Desativar, ou
   • O acesso à rede pública está configurado para Habilitar e o escopo de acesso à rede pública está configurado para Habilitar a partir de redes selecionadas.
4. O Gerenciamento de API pode depender da conectividade de serviços confiáveis se o Gerenciamento de API estiver configurado em instâncias de Recursos, se o acesso à rede pública estiver configurado para Habilitar e o escopo de acesso à rede pública estiver configurado para Habilitar a partir de redes selecionadas.

Para Hubs de Eventos e Key Vault gerenciado HSM

1. Vá em Rede em Configurações.
2. Selecione Gerenciar na aba de acesso público.
3. O gerenciamento de API pode depender da conectividade de serviços confiáveis se for selecionado Permitir que o serviço confiável da Microsoft acesse esse recurso se:
   • O acesso à rede pública está configurado para Desativar, ou
   • O acesso à rede pública está configurado para Habilitar e a ação padrão está configurada para Habilitar a partir de redes selecionadas.

Para Service Bus (apenas Premium) e Key Vault

1. Vá em Rede em Configurações.
2. O gerenciamento de API pode depender da conectividade de serviços confiáveis se permitir que serviços Microsoft confiáveis contornem esse firewall estiver selecionado se você estiver usando as opções Permitir acesso público de redes virtuais específicas e endereços IP ou Desativar acesso público .

Para o Container Registry (apenas plano de preços premium)

1. Vá em Rede em Configurações.
2. O gerenciamento de API pode depender da conectividade de serviços confiáveis se permitir que serviços Microsoft confiáveis acessem esse registro de contêineres estiver marcado sob exceção de Firewall se o acesso à rede pública estiver configurado para Redes selecionadas ou desativado.

Passo 2: Eliminar a dependência da conectividade de serviços confiáveis

Se você verificou que o gateway de Gerenciamento de API depende da conectividade confiável com os recursos do Azure, será necessário eliminar essa dependência estabelecendo uma linha de visão de rede para comunicação do Gerenciamento de API com os serviços listados.

Você pode configurar a rede dos recursos alvo para uma das seguintes opções:

• Permita a conectividade pública de todas as redes.

• Defina uma regra de segurança de rede para permitir o tráfego de Gerenciamento de API com base no endereço IP ou na conectividade de rede virtual.

• Proteger o tráfego do Gerenciamento de API com conectividade de Link Privado.

• Use o Perímetro de Segurança de Rede para proteger seus backends Azure e permitir o tráfego do API Management, se for suportado (por exemplo, para Azure Storage). Saiba mais sobre o Perímetro de Segurança de Rede:

  • O que é um perímetro de segurança de rede?

  • Transição para um Perímetro de Segurança de Rede no Azure

  • Como executar um recurso do Azure protegido por perímetro de segurança de rede com o Gerenciamento de API do Azure

Importante

Os clientes podem continuar usando serviços confiáveis no serviço do Azure de destino para cenários de Gerenciamento de API não Azure. No entanto, o Gerenciamento de API do Azure não dará mais suporte a ele, portanto, o gateway precisa de maneiras alternativas para se comunicar e ter uma linha de visão de rede.

Por exemplo, você pode habilitar a conectividade de serviço confiável para um recurso de Armazenamento do Azure e usar o Perímetro de Segurança de Rede para acessá-lo no gateway do Gerenciamento de API.

Etapa 3: Desabilitar conectividade de serviço confiável no gateway de Gerenciamento de API

Depois de garantir que o gateway de Gerenciamento de API não acesse outros serviços do Azure usando conectividade de serviço confiável, você deve desabilitar explicitamente a conectividade confiável em seu gateway para reconhecer que você verificou que o serviço não depende mais da conectividade confiável.

Para fazer isso, defina uma propriedade Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess personalizada para "True" o serviço de Gerenciamento de API. Por exemplo:

{
  "type": "Microsoft.ApiManagement/service",
  "apiVersion": "2025-03-01-preview",
  "name": "string",
  "identity": {
    "type": "SystemAssigned"
  },
  "location": "string",
  "properties": {
    "customProperties": {
      // Existing custom properties defined on the service
      "Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess": "True"
    }
  },
  "sku": {
    "capacity": "1",
    "name": "Developer"
  }
}

Observação

Propriedades personalizadas existentes, como criptografias, devem ser adicionadas à chamada PATCH, pois de outra forma seriam removidas do serviço.

A recomendação do Assistente do Azure deve desaparecer dentro de um ou dois dias após desabilitar a conectividade confiável no gateway de Gerenciamento de API.

Qual é o prazo para a mudança?

Após 15 de março de 2026, a conectividade confiável do gateway de Gerenciamento de API para serviços do Azure com suporte – Armazenamento do Azure, Key Vault, HSM Gerenciado do Key Vault, Barramento de Serviço, Hubs de Eventos e Registro de Contêiner – será desativada. Se o gateway de Gerenciamento de API depender desse recurso para estabelecer a comunicação com esses serviços, a comunicação começará a falhar após essa data.

Ajuda e suporte

Em caso de dúvidas, fale com os especialistas da comunidade no Microsoft Q&A. Se tiver um plano de suporte e precisar de ajuda técnica, crie uma solicitação de suporte.

1. Em Tipo de problema, selecione Técnico.
2. Em Assinatura, selecione sua assinatura.
3. Em Serviço, selecione Meus serviços e, em seguida, Serviço de Gerenciamento de API.
4. Em Recurso, selecione o recurso do Azure para o qual você está criando uma solicitação de suporte.
5. Para resumo, digite uma descrição do seu problema, por exemplo, "Conectividade de serviço confiável".

Conteúdo relacionado

Confira todas as próximas mudanças impactantes e descontinuações de funcionalidades.