Anslutningsinställningar

gäller för:Azure SQL DatabaseSQL-databas i Fabric

I den här artikeln beskrivs inställningar som styr anslutningen till servern för Azure SQL Database och SQL Database i Microsoft Fabric.

• Mer information om olika komponenter som dirigerar nätverkstrafik och anslutningsprinciper finns i anslutningsarkitektur.
• Den här artikeln gäller inte för Azure SQL Managed Instance, i stället kan du läsa Ansluta ditt program till Azure SQL Managed Instance.
• Den här artikeln gäller inte för Azure Synapse Analytics.
  • Inställningar som styr anslutningen till dedikerade SQL-pooler i Azure Synapse Analytics finns i Anslutningsinställningar för Azure Synapse Analytics.
  • Anslutningssträngar till Azure Synapse Analytics-pooler finns i Anslut till Synapse SQL.
  • Se IP-brandväggsregler för vägledning om hur du konfigurerar IP-brandväggsregler för Azure Synapse Analytics med arbetsytor.

Nätverk och anslutning

Du kan ändra de här inställningarna i din logiska server.

Ändra åtkomst till offentligt nätverk

Det går att ändra åtkomsten till det offentliga nätverket för din Azure SQL Database via Azure-portalen, Azure PowerShell och Azure CLI.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Neka åtkomst till offentligt nätverk

Standardinställningen för offentlig nätverksåtkomst är Inaktivera. Kunder kan välja att ansluta till en databas med antingen offentliga slutpunkter (med IP-baserade brandväggsregler på servernivå eller med brandväggsregler för virtuella nätverk) eller privata slutpunkter (med hjälp av Azure Private Link), enligt beskrivningen i översikt över nätverksåtkomst.

När åtkomst till offentligt nätverk är inställd på Inaktiveratillåts endast anslutningar från privata slutpunkter. Alla anslutningar från offentliga slutpunkter nekas med ett felmeddelande som liknar:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.

När åtkomst till offentligt nätverk har angetts till Inaktiveranekas alla försök att lägga till, ta bort eller redigera brandväggsregler med ett felmeddelande som liknar:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.

Kontrollera att åtkomst till offentligt nätverk är inställt på Valda nätverk för att kunna lägga till, ta bort eller redigera brandväggsregler för Azure SQL Database.

Lägsta TLS-version

Den minsta TLS(Transport Layer Security) version gör att kunderna kan välja vilken version av TLS deras SQL-databas använder. TLS är ett kryptografiskt protokoll som används för att skydda klient-serverkommunikation över ett nätverk. Detta säkerställer att känslig information, till exempel autentiseringsuppgifter och databasfrågor, är säker från avlyssning och manipulering. Du kan ändra den lägsta TLS-versionen med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

Om du anger en lägsta TLS-version säkerställs en baslinjenivå för efterlevnad och garanterar stöd för nyare TLS-protokoll. Om du till exempel väljer TLS 1.2 innebär det att endast anslutningar med TLS 1.2 eller TLS 1.3 accepteras, medan anslutningar med TLS 1.1 eller lägre avvisas.

För närvarande är den lägsta lägsta TLS-versionen som stöds av Azure SQL Database TLS 1.2. Den här versionen åtgärdar sårbarheter som finns i tidigare versioner. Vi rekommenderar att du anger den lägsta TLS-versionen till TLS 1.2 efter testningen för att bekräfta att dina program är kompatibla.

Konfigurera lägsta TLS-version

Du kan konfigurera den lägsta TLS-versionen för klientanslutningar med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

För kunder med program som förlitar sig på äldre versioner av TLS rekommenderar vi att du ställer in den lägsta TLS-versionen enligt kraven i dina program. Om programkraven är okända eller om arbetsbelastningar förlitar sig på äldre drivrutiner som inte längre underhålls rekommenderar vi att du inte anger någon minimal TLS-version.

Mer information finns i TLS-överväganden för SQL Database-anslutning.

När du har angett den lägsta TLS-versionen kan kunder som använder en TLS-version som är lägre än den lägsta TLS-versionen av servern inte autentiseras, med följande fel:

Error 47072
Login failed with invalid TLS version

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identifiera klientanslutningar

Du kan använda Azure-portalen och SQL-granskningsloggar för att identifiera klienter som ansluter med TLS 1.0 och 1.0.

I Azure-portalen går du till Mått under Övervakning för databasresursen och filtrerar sedan efter Lyckade anslutningaroch TLS-versioner = 1.0 och 1.1:

Du kan också fråga sys.fn_get_audit_file direkt i databasen för att visa client_tls_version_name i granskningsfilen och leta efter händelser med namnet audit_event.

Ändra anslutningsprincipen

Anslutningsprincip avgör hur kunder ansluter. Vi rekommenderar starkt Redirect anslutningsprincip över Proxy-anslutningsprincipen för lägsta svarstid och högsta dataflöde.

Det går att ändra anslutningsprincipen med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Vanliga frågor och svar om kommande TLS 1.0- och 1.1-pensionsändringar

Azure har meddelat att stödet för äldre TLS-versioner (TLS 1.0 och 1.1) slutar den 31 augusti 2025. För mer information, se utfasning av TLS 1.0 och 1.1.

Från och med november 2024 kommer du inte längre att kunna ange den lägsta TLS-versionen för Azure SQL Database- och Azure SQL Managed Instance-klientanslutningar under TLS 1.2.

Varför dras TLS 1.0 och 1.1 tillbaka?

TLS-versionerna 1.0 och 1.1 är inaktuella och uppfyller inte längre moderna säkerhetsstandarder. De dras tillbaka till:

• Minska exponeringen för kända sårbarheter.
• Anpassa till branschens regelverk och efterlevnadskrav.
• Se till att klienter använder starkare krypteringsprotokoll som TLS 1.2 eller TLS 1.3.

Vad händer om TLS 1.0 och 1.1 används efter den 31 augusti 2025?

Efter den 31 augusti 2025 kommer TLS 1.0 och 1.1 inte längre att stödjas, och anslutningar med TLS 1.0 och 1.1 kommer sannolikt att misslyckas. Det är viktigt att övergå till minst TLS 1.2 eller senare före tidsgränsen.

Hur kontrollerar jag om mina SQL Database-, SQL Managed Instance-, Cosmos DB- eller MySQL-instanser använder TLS 1.0/1.1?

• För att identifiera klienter som ansluter till din Azure SQL Database med TLS 1.0 och 1.1 måste SQL-granskningsloggar vara aktiverade. När granskning är aktiverat kan du visa klientanslutningar.

• Granskning måste vara aktiverat för att identifiera klienter som ansluter till din Azure SQL Managed Instance med TLS 1.0 och 1.1. När granskning är aktiverat kan du använda granskningsloggar med Azure Storage, Event Hubs eller Azure Monitor-loggar för att visa klientanslutningar.

• Om du vill verifiera den lägsta TLS-versionen av din Azure Cosmos DB hämtar du det aktuella värdet för minimalTlsVersion egenskapen med hjälp av Azure CLI eller Azure PowerShell.

• Kontrollera den lägsta TLS-version som konfigurerats för din Azure Database for MySQL-server genom att kontrollera värdet för serverparametern med hjälp av tls_version kommandoradsgränssnittet MySQL för att förstå vilka protokoll som har konfigurerats.

Varför flaggades min tjänst om jag redan har konfigurerat TLS 1.2?

Tjänsterna kan vara felaktigt flaggade på grund av:

• Tillfällig återställning till äldre TLS-versioner av äldre klienter.
• Felkonfigurerade klientbibliotek eller anslutningssträngar som inte tillämpar TLS 1.2.
• Telemetrifördröjning eller falska positiva identifieringar i identifieringslogik.

Vad ska jag göra om jag får ett meddelande om att jag har fått ett meddelande om uppsägning av misstag?

Om servern eller databasen redan har konfigurerats med minst TLS 1.2 eller konfigurerats utan minsta TLS (standardinställningen i SQL Database och SQL Managed Instance minimalTLSVersion som mappar till 0) och ansluter med 1.2 krävs ingen åtgärd.

Vad händer om mitt program eller klientbibliotek inte stöder TLS 1.2?

Anslutningar misslyckas när TLS 1.0/1.1 har inaktiverats. Du måste uppgradera klientbibliotek, drivrutiner eller ramverk till versioner som stöder TLS 1.2.

Vad händer om min server är konfigurerad utan minsta TLS-version?

Servrar som konfigurerats utan minsta TLS-version och som ansluter med TLS 1.0/1.1 ska uppgraderas till lägsta TLS-version 1.2. För servrar som har konfigurerats utan minsta TLS-version och som ansluter med 1.2 krävs ingen åtgärd. För servrar som har konfigurerats utan minsta TLS-version och med krypterade anslutningar krävs ingen åtgärd.

Hur meddelas jag om TLS-pensionering för mina resurser?

E-postpåminnelser fortsätter fram till att TLS 1.0 och 1.1 dras tillbaka i augusti.

Vem kan jag kontakta om jag behöver hjälp med att validera eller uppdatera mina TLS-inställningar?

Om du behöver hjälp med att verifiera eller uppdatera dina TLS-inställningar kan du kontakta MicrosoftS Q&A eller öppna ett supportärende med hjälp av Azure-portalen om du har en supportplan.

Relaterat innehåll

• Anslutningsarkitektur