接続の設定

適用対象:Azure SQL DatabaseFabric の SQL データベース

この記事では、Microsoft Fabric の Azure SQL Database と SQL Database のサーバーへの接続を制御する設定について説明します。

• ネットワーク トラフィックと接続ポリシーを指示するさまざまなコンポーネントの詳細については、接続アーキテクチャを参照してください。
• この記事は Azure SQL Managed Instance には適用されません。代わりに、アプリケーションの Azure SQL Managed Instance への接続に関するページを参照してください。
• この記事は、Azure Synapse Analytics には適用されません 。
  • Azure Synapse Analytics の専用 SQL プールへの接続を制御する設定については、「Azure Synapse Analytics の接続設定 を参照してください。
  • Azure Synapse Analytics プールへの接続文字列については、「Synapse SQL への接続」を参照してください。
  • ワークスペースを使用する Azure Synapse Analytics のために IP ファイアウォール規則を構成する方法のガイダンスについては、「Azure Synapse Analytics の IP ファイアウォール規則」を参照してください。

Azure ネットワークと接続性

これらの設定は、お使いの論理サーバーで変更できます。

パブリック ネットワーク アクセスの変更

Azure portal、Azure PowerShell、Azure CLI を使用して、Azure SQL Database のパブリック ネットワーク アクセスを変更できます。

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

パブリック ネットワーク アクセスの拒否

[パブリック ネットワーク アクセス] 設定の既定値は [無効] です。 ネットワーク アクセスの概要に記載されているように、お客様はデータベースへの接続に、パブリック エンドポイント (IP ベースのサーバー レベルのファイアウォール規則、または仮想ネットワークのファイアウォール規則を使用) またはプライベート エンドポイント (Azure Private Link を使用) のいずれかを使用できます。

[パブリック ネットワーク アクセス] が [無効] に設定されている場合は、プライベート エンドポイントからの接続のみが許可されます。 パブリック エンドポイントからの接続はすべて拒否され、次のようなエラー メッセージが表示されます。

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.

[パブリック ネットワーク アクセス] を [無効] に設定すると、ファイアウォール規則の追加、削除、編集を行おうとする試みはすべて拒否され、次のようなエラー メッセージが表示されます。

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.

Azure SQL Database のファイアウォール規則を追加、削除、または編集できるように、 パブリック ネットワーク アクセス が 選択されたネットワーク に設定されていることを確認します。

TLS の最小バージョン

最小トランスポート層セキュリティ (TLS) バージョン設定を使用すると、顧客が自身の SQL データベースで使用する TLS のバージョンを選択することができます。 TLS は、ネットワーク経由でクライアントとサーバー間の通信をセキュリティで保護するために使用される暗号化プロトコルです。 これにより、認証資格情報やデータベース クエリなどの機密情報が傍受や改ざんから保護されます。 最小 TLS バージョンは、Azure portal、Azure PowerShell、Azure CLI を使用して変更することができます。

現在、Azure SQL Database では TLS 1.2 と 1.3 がサポートされています。 最小 TLS バージョンを設定すると、それより新しい TLS バージョンは確実にサポートされます。 たとえば、TLS バージョン 1.2 を選択すると、TLS 1.2 と 1.3 の接続のみが受け入れられ、TLS 1.1 以前の接続は拒否されます。 アプリケーションでサポートされていることを確認するためにテストした後、最小 TLS バージョンを 1.3 に設定することをお勧めします。 このバージョンには、以前のバージョンの脆弱性に対する修正プログラムが含まれており、Azure SQL Database でサポートされている TLS の最上位バージョンです。

最小 TLS バージョンを構成する

Azure portal、Azure PowerShell、Azure CLI を使用し、クライアント接続に最小の TLS バージョンを構成できます。

以前のバージョンの TLS に依存するアプリケーションを使用しているお客様には、アプリケーションの要件に従って最小 TLS バージョンを設定することをお勧めします。 アプリケーションの要件がわからない場合、または保守されなくなった古いドライバーにワークロードが依存している場合は、TLS の最小バージョンを設定しないことをお勧めします。

詳細については、「SQL Database の接続に関する TLS の考慮事項」を参照してください。

最小 TLS バージョンを設定すると、サーバーの最小 TLS バージョンより低い TLS バージョンを使用しているお客様は、次のエラーで認証に失敗します。

Error 47072
Login failed with invalid TLS version

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

クライアント接続を特定する

Azure portal と SQL 監査ログを使用して、TLS 1.0 と TLS 1.1 を使用して接続しているクライアントを特定できます。

Azure portal で、データベース リソースの 監視 の下の指標 に移動し、正常な接続、TLS バージョン = 1.0および 1.1 でフィルター処理します。

データベース内 sys.fn_get_audit_file 直接クエリを実行して、監査ファイル内の client_tls_version_name を表示し、 audit_eventという名前のイベントを探すこともできます。

接続ポリシーを変更する

接続ポリシーは顧客が接続する方法を決定します。 最短の待機時間と最高のスループットを実現するために、Redirect 接続ポリシーではなく Proxy 接続ポリシーを強くお勧めします。

接続ポリシーは、Azure portal、Azure PowerShell、Azure CLI を使用して変更することができます。

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

今後の TLS 1.0 および 1.1 の提供終了の変更に関する FAQ

Azure は、古い TLS バージョン (TLS 1.0 および 1.1) のサポートが 2025 年 8 月 31 日に終了することを発表しました。 詳細については、「TLS 1.0 および TLS 1.1 の非推奨化」を参照してください。

2024 年 11 月以降、Azure SQL Database および Azure SQL Managed Instance クライアント接続の最小 TLS バージョンを TLS 1.2 より下に設定できなくなります。

TLS 1.0 と 1.1 が廃止されるのはなぜですか?

TLS バージョン 1.0 と 1.1 は古く、最新のセキュリティ標準を満たしません。 これらは、次の場合に廃止されます。

• 既知の脆弱性への露出を減らします。
• 業界のベスト プラクティスとコンプライアンス要件に合わせます。
• クライアントが TLS 1.2 や TLS 1.3 などのより強力な暗号化プロトコルを使用していることを確認します。

TLS 1.0 と 1.1 が 2025 年 8 月 31 日以降に使用された場合はどうなりますか?

2025 年 8 月 31 日以降、TLS 1.0 と 1.1 はサポートされなくなり、TLS 1.0 と 1.1 を使用した接続は失敗する可能性があります。 期限の前に TLS 1.2 以上に移行することが重要です。

SQL Database、SQL Managed Instance、Cosmos DB、または MySQL インスタンスが TLS 1.0/1.1 を使用しているかどうかを確認するにはどうすればよいですか?

• TLS 1.0 と 1.1 を使用して Azure SQL Database に接続しているクライアントを特定するには、 SQL 監査ログ を有効にする必要があります。 監査を有効にすると、クライアント接続を表示できます。

• TLS 1.0 と 1.1 を使用して Azure SQL Managed Instance に接続しているクライアントを特定するには、 監査を 有効にする必要があります。 監査を有効にすると、Azure Storage、Event Hubs、または Azure Monitor ログを使用して 監査ログを使用 して、クライアント接続を表示できます。

• Azure Cosmos DB の最小 TLS バージョンを確認するには、Azure CLI または Azure PowerShell を使用して 、 minimalTlsVersion プロパティの現在の値を取得 します。

• Azure Database for MySQL サーバー用に構成されている TLS の最小バージョンを確認するには、MySQL コマンド ライン インターフェイスを使用して tls_version サーバー パラメーターの値を確認して、構成されているプロトコルを理解します。

TLS 1.2 を既に構成している場合、サービスにフラグが設定されたのはなぜですか?

次の理由により、サービスのフラグが正しく設定されていない可能性があります。

• レガシ クライアントによる古い TLS バージョンへの断続的なフォールバック。
• TLS 1.2 を適用しないクライアント ライブラリまたは接続文字列が正しく構成されていません。
• 検出ロジックでのテレメトリの遅延または誤検知。

エラーで提供終了通知を受け取った場合はどうすればよいですか?

サーバーまたはデータベースが既に最小 TLS 1.2 で構成されているか、最小 TLS (minimalTLSVersionにマップされる SQL Database と SQL Managed Instance 0の既定の設定) なしで構成されており、1.2 で接続している場合、操作は必要ありません。

アプリケーションまたはクライアント ライブラリが TLS 1.2 をサポートしていない場合はどうなりますか?

TLS 1.0/1.1 が無効になると、接続は失敗します。 クライアント ライブラリ、ドライバー、またはフレームワークを TLS 1.2 をサポートするバージョンにアップグレードする必要があります。

サーバーが最小 TLS バージョンなしで構成されている場合はどうしますか?

TLS の最小バージョンなしで構成され、TLS 1.0/1.1 で接続するサーバーは、TLS バージョン 1.2 以降にアップグレードする必要があります。 TLS の最小バージョンが構成されておらず、1.2 で接続されているサーバーの場合、アクションは必要ありません。 TLS の最小バージョンを使用せず、暗号化された接続を使用して構成されたサーバーの場合、アクションは必要ありません。

リソースの TLS の提供終了に関する通知を受け取る方法

メール リマインダーは、8 月に TLS 1.0 と 1.1 の廃止に至るまで引き続き行われます。

TLS 設定の検証または更新に関するヘルプが必要な場合は、誰に連絡できますか?

TLS 設定の検証または更新に関するヘルプが必要な場合は、 Microsoft Q&A に問い合わせるか、サポート プランがある場合は Azure portal を使用してサポート チケットを開いてください。

関連するコンテンツ

• 接続アーキテクチャ