Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Mudanças na aposentadoria
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, confira Preterimento do TLS 1.0 e TLS 1.1. A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para conexões de cliente da Instância Gerenciada de SQL do Azure abaixo do TLS 1.2.
A configuração de versão mínima do TLS (Transport Layer Security) permite que os clientes controlem a versão do TLS usada pela Instância Gerenciada de SQL do Azure.
No momento, a definição da versão mínima do TLS como 1.2 é imposta para a Instância Gerenciada de SQL. Definir uma versão mínima do TLS garante que as versões posteriores e mais recentes do TLS sejam compatíveis. Somente conexões que usam o TLS 1.2 ou superior são aceitas.
Para obter mais informações, confira Considerações sobre TLS para conectividade do Banco de Dados SQL.
Depois de definir a versão mínima do TLS, as tentativas de logon de clientes que estão usando uma versão TLS inferior à versão mínima do TLS do servidor falharão com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
- Quando você configura uma versão mínima do TLS, essa versão mínima é imposta na camada do aplicativo. As ferramentas que tentam determinar o suporte do TLS na camada de protocolo podem retornar versões do TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade da instância gerenciada.
- O TLS 1.0 e 1.1 está desativado e não está mais disponível.
Definir a versão mínima do TLS por meio do PowerShell
Observação
Este artigo usa o módulo do PowerShell Azure Az, que é o módulo do PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Importante
O módulo AzureRM (Azure Resource Manager) do PowerShell foi preterido em 29 de fevereiro de 2024. Todo o desenvolvimento futuro deve usar o módulo Az.Sql. Recomendamos que os usuários migrem do AzureRM para o módulo do Az PowerShell para garantir o suporte e as atualizações contínuas. O módulo AzureRM não é mais mantido nem tem suporte. Os argumentos para os comandos no módulo do Az PowerShell e nos módulos do AzureRM são substancialmente idênticos. Para saber mais sobre compatibilidade, confira Conheça o novo módulo do Az PowerShell.
O script a seguir exige o módulo do Azure PowerShell.
O script do PowerShell a seguir mostra como usar Get e Set na propriedade Versão mínima do TLS no nível da instância:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Definir a versão mínima do TLS por meio da CLI do Azure
Importante
Todos os scripts nesta seção exigem a CLI do Azure.
CLI do Azure em um shell bash
O script de CLI a seguir mostra como alterar a configuração da versão mínima do TLS em um shell bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Perguntas frequentes sobre alterações de aposentadoria do TLS 1.0 e 1.1
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, confira Preterimento do TLS 1.0 e TLS 1.1.
A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para o Banco de Dados SQL do Azure e as conexões de cliente da Instância Gerenciada de SQL do Azure abaixo do TLS 1.2.
Por que o TLS 1.0 e o 1.1 estão sendo desativados?
As versões 1.0 e 1.1 do TLS estão desatualizadas e não atendem mais aos padrões de segurança modernos. Eles estão sendo aposentados para:
- Reduza a exposição a vulnerabilidades conhecidas.
- Alinhe-se com as práticas recomendadas do setor e os requisitos de conformidade.
- Verifique se os clientes estão usando protocolos de criptografia mais fortes, como TLS 1.2 ou TLS 1.3.
O que acontece se o TLS 1.0 e o 1.1 forem usados após 31 de agosto de 2025?
Após 31 de agosto de 2025, o TLS 1.0 e o 1.1 não terão mais suporte e as conexões usando o TLS 1.0 e 1.1 provavelmente falharão. É essencial fazer a transição para um mínimo de TLS 1.2 ou superior antes do prazo final.
Como posso verificar se minhas instâncias do Banco de Dados SQL, da Instância Gerenciada de SQL, do Cosmos DB ou do MySQL estão usando o TLS 1.0/1.1?
Para identificar clientes que estão se conectando ao Banco de Dados SQL do Azure usando o TLS 1.0 e 1.1, os logs de auditoria do SQL devem estar habilitados. Com a auditoria habilitada, você pode exibir conexões de cliente.
Para identificar clientes que estão se conectando à Instância Gerenciada de SQL do Azure usando o TLS 1.0 e 1.1, a auditoria deve ser habilitada. Com a auditoria habilitada, você pode consumir logs de auditoria com o Armazenamento do Azure, hubs de eventos ou logs do Azure Monitor para exibir conexões de cliente.
Para verificar a versão mínima do TLS do Azure Cosmos DB, obtenha o valor atual da propriedade usando a
minimalTlsVersionCLI do Azure ou o Azure PowerShell.Para verificar a versão mínima do TLS configurada para o Servidor do Banco de Dados do Azure para MySQL, verifique o valor do parâmetro de
tls_versionservidor usando a interface de linha de comando MySQL para entender quais protocolos estão configurados.
Por que meu serviço foi sinalizado se eu já configurei o TLS 1.2?
Os serviços podem ser sinalizados incorretamente devido a:
- Fallback intermitente para versões TLS mais antigas por clientes herdados.
- Bibliotecas de cliente configuradas incorretamente ou cadeias de conexão que não impõem o TLS 1.2.
- Retardo de telemetria ou falsos positivos na lógica de detecção.
O que devo fazer se receber um aviso de aposentadoria por engano?
Se o servidor ou banco de dados já estiver configurado com o TLS 1.2 mínimo ou configurado sem nenhum TLS mínimo (a configuração padrão no Banco de Dados SQL e na Instância minimalTLSVersion Gerenciada de SQL que é mapeada 0para) e se conectar com 1.2, nenhuma ação será necessária.
O que acontece se meu aplicativo ou biblioteca de clientes não der suporte ao TLS 1.2?
As conexões falharão quando o TLS 1.0/1.1 estiver desabilitado. Você deve atualizar suas bibliotecas de clientes, drivers ou estruturas para versões que dão suporte ao TLS 1.2.
E se meu servidor estiver configurado sem uma versão mínima do TLS?
Os servidores configurados sem a versão mínima do TLS e a conexão com o TLS 1.0/1.1 devem ser atualizados para o TLS mínimo versão 1.2. Para servidores configurados sem versão mínima do TLS e conectando-se com 1.2, nenhuma ação é necessária. Para servidores configurados sem versão mínima do TLS e usando conexões criptografadas, nenhuma ação é necessária.
Como serei notificado sobre a aposentadoria do TLS para meus recursos?
Os lembretes de email continuarão levando à desativação do TLS 1.0 e 1.1 em agosto.
Posso solicitar uma exceção ou extensão se não conseguir cumprir o prazo de 31 de agosto de 2025?
A desativação do TLS 1.0 e 1.1 até 31 de agosto é um prazo para todo o Azure. Se você não puder atualizar seus recursos de banco de dados para usar o TLS mínimo versão 1.2 até o prazo de desativação e exigir suporte para seu cenário, envie uma solicitação aos Bancos de Dados do Azure explicando seu bloqueador de migração.
Quem posso contatar se precisar de ajuda para validar ou atualizar minhas configurações do TLS?
Se precisar de ajuda para validar ou atualizar as configurações do TLS, entre em contato com o Microsoft Q&A ou abra um tíquete de suporte usando o portal do Azure se você tiver um plano de suporte.
Conteúdo relacionado
- arquitetura de conectividade para a Instância Gerenciada de SQL do Azure