Partilhas de ficheiros SMB Azure

Aplica-se a: ✔️ partilhas de ficheiros SMB

O Ficheiros do Azure oferece partilhas de ficheiros de nível empresarial que podem escalar para satisfazer as suas necessidades de armazenamento e podem ser acedidas simultaneamente por milhares de clientes. Ficheiros do Azure oferece dois protocolos padrão da indústria para montar Azure partilhas de ficheiros: o protocolo Server Message Block (SMB) e o protocolo Network File System (NFS). Escolhe o protocolo que melhor se adequa à tua carga de trabalho. O Ficheiros do Azure não suporta o acesso a uma partilha individual de ficheiros Azure com os protocolos SMB e NFS, embora possas criar partilhas de ficheiros SMB e NFS classic dentro da mesma conta de armazenamento.

Este artigo aborda as partilhas de ficheiros SMB Azure. Para informações sobre NFS Azure partilhas de ficheiros, veja NFS Azure partilhas de ficheiros.

Cenários comuns

Utilize partilhas de ficheiros SMB para muitas aplicações, incluindo partilhas de ficheiros para utilizadores finais e partilhas de ficheiros que apoiam bases de dados e aplicações. Use partilhas de ficheiros SMB nos seguintes cenários:

Partilhas de ficheiros para utilizadores finais, como partilhas de equipas e diretórios iniciais
Armazenamento de backup para aplicações baseadas em Windows, como bases de dados SQL Server ou aplicações de linha de negócio
Desenvolvimento de novas aplicações e serviços, especialmente se necessitar de E/S aleatória e armazenamento hierárquico

Funcionalidades

O Ficheiros do Azure suporta as principais funcionalidades do SMB e do Azure necessárias para implementações em produção de partilhas de ficheiros SMB:

Disponibilidade Contínua (CA) para PME
Junção ao domínio AD e listas de controlo de acesso discricionário (DACLs)
Backup sem servidor integrado com o Azure Backup
Isolamento de rede com endpoints privados do Azure
Alto débito de rede com o uso de SMB Multichannel (partilhas de ficheiros SSD apenas)
Encriptação de canais SMB incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM
Suporte a versões anteriores através dos snapshots de partilha integrados ao VSS
Eliminação automática e suave em partilhas de ficheiros do Azure para evitar eliminações acidentais
Partilhas de ficheiros, opcionalmente acessíveis pela Internet, seguras com o SMB 3.0+ na Internet

Pode montar partilhas de ficheiros SMB diretamente ou armazená-las em cache localmente com o Azure File Sync.

Suporte para SMB do Windows e funcionalidades do Ficheiros do Azure

A tabela seguinte mostra o suporte do Windows para a versão SMB, o SMB Multichannel¹ e a encriptação de canais SMB ao montar partilhas de ficheiros do Azure. Use esta tabela para determinar o suporte de funcionalidades e os requisitos de segurança para os sistemas operativos clientes que acedem à sua partilha de ficheiros Azure. Utilize a KB mais recente para a sua versão do Windows.

Versão Windows	Versão do SMB	SMB Multicanal (apenas SSD)	Encriptação de canal SMB máxima
Windows Server 2025	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 24H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 23H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 22H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 22H2	SMB 3.1.1	Sim	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 21H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 21H2	SMB 3.1.1	Sim	AES-128-GCM
Windows 10, versão 21H1	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows 10, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows 10, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sim, com KB5003703 ou mais recente	AES-128-GCM
Windows 10, versão 1809	SMB 3.1.1	Sim, com KB5003703 ou mais recente	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sim, com KB5004238 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows 10, versão 1607	SMB 3.1.1	Sim, com KB5004238 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows 10, versão 1507	SMB 3.1.1	Sim, com KB5004249 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows Server 2012 R2²	SMB 3,0	No	AES-128-CCM
Windows Server 2012²	SMB 3,0	No	AES-128-CCM
Windows ^8.13	SMB 3,0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2,1	No	Não suportado
Windows 7³	SMB 2,1	No	Não suportado

¹Ficheiros do Azure suporta SMB Multicanal apenas em partilhas de ficheiros SSD (premium).

²O suporte regular de Microsoft para Windows Server 2012 e Windows Server 2012 R2 terminou. Pode adquirir suporte adicional para atualizações de segurança apenas através do programa Extended Security Update (ESU).

³Microsoft suporte para Windows 7, Windows 8.1 e Windows Server 2008 R2 terminou. Migra para fora destes sistemas operativos.

Configurações do protocolo SMB

O Ficheiros do Azure oferece múltiplas definições que afetam o comportamento, desempenho e segurança do protocolo SMB. Estas são configuradas para todas as partilhas de ficheiros Azure classic dentro de uma conta de armazenamento Azure.

Disponibilidade Contínua para PME

O Ficheiros do Azure suporta Disponibilidade Contínua (CA) para SMB para ajudar as aplicações a manterem-se disponíveis durante eventos de infraestrutura transitórios. A disponibilidade contínua é uma capacidade do protocolo SMB que mantém os controladores de ficheiros abertos ativos durante interrupções breves, como failovers de servidor ou pequenas interrupções de rede. Todas as partilhas de ficheiros SMB Azure estão continuamente disponíveis por padrão. Não podes desativar esta definição.

O que a disponibilidade contínua proporciona

A disponibilidade contínua proporciona os seguintes benefícios:

Handles persistentes de ficheiros que sobrevivem a falhas transitórias
Recuperação transparente das operações de I/O após failover
Consistência de dados durante transições de infraestrutura
Risco reduzido de perturbação da aplicação

Se ocorrer uma breve interrupção de conectividade, os clientes SMB tentam automaticamente as operações e restabelecem o acesso a ficheiros abertos sem que a aplicação os reabra. Este comportamento é particularmente importante para cargas de trabalho que mantêm sessões de ficheiros de longa duração.

Como funciona a disponibilidade contínua

A disponibilidade contínua depende de handles persistentes do SMB. Durante uma interrupção transitória, que normalmente dura vários minutos, aplicam-se as seguintes instruções:

Os handles de ficheiros abertos mantêm-se válidos.
O cliente SMB tenta novamente as operações de I/O pendentes.
O Ficheiros do Azure retoma as operações de forma transparente assim que a conectividade é restabelecida.

Como o Ficheiros do Azure prioriza a correção e a durabilidade, o cliente espera e tenta novamente em vez de falhar imediatamente a operação.

Comportamento de timeout durante a perda de conectividade

Devido ao comportamento de retentativas que a disponibilidade contínua exige, as operações da SMB podem demorar mais tempo a expirar durante interrupções de rede.

Por exemplo, pode experienciar o seguinte:

Os clientes SMB do Windows podem tentar novamente as operações durante vários minutos antes de devolverem um erro.
As aplicações podem parecer pausar temporariamente enquanto a ligação é restabelecida.

Este comportamento é intencional porque ajuda a preservar a integridade dos manetes e a prevenir a corrupção dos dados. Cargas de trabalho que se desconectam frequentemente, como portáteis em roaming ou ligações de rede instáveis, podem apresentar tempos de espera mais longos antes de as falhas serem retornadas.

SMB Multicanal

O SMB Multicanal permite que um cliente SMB 3.x estabeleça várias ligações de rede a uma partilha de ficheiros SMB. O Ficheiros do Azure suporta apenas partilhas de ficheiros SMB Multichannel em SSD (premium). Para clientes do Windows, o SMB Multichannel está ativado por predefinição em todas as regiões do Azure. Na maioria dos cenários, particularmente em cargas de trabalho multi-threaded, os clientes veem um desempenho aprimorado com o SMB Multichannel. No entanto, para alguns cenários específicos, como cargas de trabalho de thread único ou para fins de teste, convém desabilitar o SMB Multichannel. Consulte SMB Multichannel para mais detalhes.

Segurança

O Ficheiros do Azure encripta todos os dados em repouso usando a encriptação do serviço de armazenamento Azure (SSE). Também pode optar por encriptar dados durante o trânsito.

Encriptação em repouso

A encriptação dos serviços de armazenamento funciona de forma semelhante ao BitLocker no Windows: encripta os dados abaixo do nível do sistema de ficheiros. Como os dados são encriptados sob o sistema de ficheiros da partilha de ficheiros Azure enquanto são codificados para disco, não precisas de acesso à chave subjacente no cliente para ler ou escrever na partilha de ficheiros Azure.

Encriptação em trânsito

O Ficheiros do Azure fornece uma definição dedicada Exigir encriptação em trânsito para SMB que pode utilizar para controlar de forma independente se a encriptação é necessária para o acesso SMB às partilhas de ficheiros do Azure. Esta configuração por protocolo oferece um controlo mais granular do que a definição Secure Transfer required a nível de conta de armazenamento, que agora se aplica apenas ao tráfego REST/HTTPS. Para novas contas de armazenamento criadas através do portal Azure, Require Encryption in Transit for SMB está ativado por defeito, pelo que apenas são permitidas montagens SMB que usem SMB 3.x com encriptação. Montagens de clientes que não suportam SMB 3.x com encriptação de canal SMB são rejeitadas quando a encriptação em trânsito está ativada. Contas de armazenamento criadas usando Azure PowerShell, CLI do Azure ou a API FileREST têm Exigir Encriptação em Trânsito para SMB configurada como Não selecionado para garantir compatibilidade retroativa.

Para contas de armazenamento existentes, Exigir Encriptação em Trânsito para SMB aparece inicialmente como Não selecionado. Apesar de não estar selecionada, a definição Requerimento de Transferência Segura continua a governar o comportamento da encriptação SMB. Depois de configurar explicitamente Requerer Encriptação em Trânsito para SMB, essa definição tem prioridade para o acesso SMB, independentemente do valor Requer transferências seguras.

O Ficheiros do Azure suporta AES-256-GCM com SMB 3.1.1 quando utilizado com Windows Server 2022 ou Windows 11. SMB 3.1.1 também suporta AES-128-GCM, e SMB 3.0 suporta AES-128-CCM. O AES-128-GCM é negociado por predefinição no Windows 10, versão 21H1, por razões de desempenho.

Pode desativar a encriptação durante o trânsito para uma partilha de ficheiros do Azure. Quando a encriptação está desativada, o Ficheiros do Azure permite SMB 2.1 e SMB 3.x sem encriptação. A principal razão para desativar a encriptação durante o trânsito é suportar uma aplicação legada que deve correr num sistema operativo mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. O Ficheiros do Azure só permite ligações SMB 2.1 dentro da mesma região do Azure que a partilha de ficheiros do Azure. Um cliente SMB 2.1 fora da região Azure da partilha de ficheiros Azure, como on-premises ou noutra região Azure, não consegue aceder à partilha de ficheiros.

Configurações de segurança SMB

O Ficheiros do Azure revela definições que pode alternar para tornar o protocolo SMB mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por defeito, o Ficheiros do Azure está configurado para ser o mais compatível possível, por isso tenha em mente que restringir estas definições pode impedir alguns clientes de ligar.

O Ficheiros do Azure expõe as seguintes definições:

Versões SMB: Que versões do SMB são permitidas. As versões de protocolo suportadas são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por defeito, todas as versões SMB são permitidas, embora o SMB 2.1 seja proibido se o Exigir Encriptação em Trânsito para SMB estiver ativado (ou se a definição Secure transfer required regir o comportamento do SMB), porque o SMB 2.1 não suporta encriptação em trânsito.
Métodos de autenticação: quais métodos de autenticação SMB são permitidos. Os métodos de autenticação suportados são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. Remover o NTLMv2 impede o uso da chave da conta de armazenamento para montar a partilha de ficheiros do Azure. O Ficheiros do Azure não suporta autenticação NTLM para credenciais de domínio.
Criptografia de bilhete Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de encriptação suportados são AES-256 (fortemente recomendado) e RC4-HMAC.
Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de encriptação suportados são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se selecionar apenas AES-256-GCM, tem de indicar aos clientes de ligação que o utilizem, abrindo uma consola do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. O uso do AES-256-GCM não é suportado em clientes Windows mais antigos que o Windows 11/Windows Server 2022.

Pode visualizar e alterar as definições de segurança das PME usando o portal Azure, Azure PowerShell ou CLI do Azure. Selecione a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança SMB. Note que estas definições são verificadas quando uma sessão SMB é estabelecida e, se não for cumprida, a configuração da sessão SMB falha com o erro STATUS_ACCESS_DENIED.

Para visualizar ou alterar as definições de segurança da SMB usando o portal Azure, siga estes passos:

Inicie sessão no portal Azure e pesquise por Storage accounts. Selecione a conta de armazenamento para a qual você deseja exibir ou alterar as configurações de segurança SMB.
No menu de serviço, selecione Armazenamento de dados>Partilhas de ficheiros clássicas.
Em Configurações de compartilhamento de arquivos, selecione o valor associado à Segurança.
Pode ativar ou desativar explicitamente Exigir Encriptação em Trânsito para SMB. Para novas contas de armazenamento criadas através do portal Azure, esta definição está ativada por defeito.
Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite criar um perfil personalizado para versões do protocolo SMB, criptografia de canal SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

Importante

Selecionar Segurança máxima ou usar definições personalizadas pode fazer com que alguns clientes não consigam ligar-se. Por exemplo, o AES-256-GCM foi introduzido como uma opção para encriptação de canais SMB a partir do Windows Server 2022 e Windows 11. Isto significa que os clientes mais antigos que não suportam AES-256-GCM não conseguem ligar-se. Se selecionares apenas AES-256-GCM, tens de dizer aos clientes Windows Server 2022 e Windows 11 para usarem apenas AES-256-GCM, abrindo um terminal PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Depois de introduzir as definições de segurança desejadas, selecione Guardar.

Para obter as configurações do protocolo SMB, use o Get-AzStorageFileServiceProperty cmdlet. Substitua <resource-group> e <storage-account> com os valores para o seu ambiente. Se definir alguma das definições de segurança SMB para nulo, por exemplo, desativando a encriptação do canal SMB, consulte as instruções no script sobre como comentar determinadas linhas.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, convém modificar as configurações do protocolo SMB. O comando PowerShell a seguir restringe seus compartilhamentos de arquivos SMB apenas às opções mais seguras.

Importante

Restringir as partilhas de ficheiros SMB Azure apenas às opções mais seguras pode resultar em alguns clientes não conseguirem ligar-se. Por exemplo, o AES-256-GCM foi introduzido como uma opção para encriptação de canais SMB a partir do Windows Server 2022 e Windows 11. Esta restrição significa que os clientes mais antigos que não suportam AES-256-GCM não podem ligar-se. Se selecionares apenas AES-256-GCM, tens de dizer aos clientes Windows Server 2022 e Windows 11 para usarem apenas AES-256-GCM, abrindo um terminal PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Dependendo dos seus requisitos de segurança, pode querer ativar ou desativar a opção Exigir Encriptação em Trânsito para a definição SMB .

Para ativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Para desativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Para obter o status das configurações de segurança SMB, use o az storage account file-service-properties show comando. Antes de executar estes comandos Bash, substitua <resource-group> e <storage-account> pelos valores apropriados para o seu ambiente. Se definires deliberadamente alguma das tuas definições de segurança SMB para null, por exemplo, ao desativar a encriptação do canal SMB, consulta as instruções no script sobre como comentar determinadas linhas.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, convém modificar as configurações do protocolo SMB. O seguinte comando CLI do Azure restringe as suas partilhas de ficheiros SMB apenas às opções mais seguras.

Importante

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Dependendo dos seus requisitos de segurança, pode querer ativar ou desativar a opção Exigir Encriptação em Trânsito para a definição SMB .

Para ativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Para desativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Limitações

As partilhas de ficheiros SMB Azure suportam um subconjunto de funcionalidades suportadas pelo protocolo SMB e pelo sistema de ficheiros NTFS. Embora a maioria dos casos de uso e aplicações não exija estas funcionalidades, algumas aplicações podem não funcionar corretamente com o Ficheiros do Azure se dependerem de funcionalidades não suportadas. As seguintes caraterísticas não são suportadas:

SMB Direto
Aluguer de diretórios SMB
VSS para partilhas de ficheiros SMB (esta funcionalidade permite aos fornecedores VSS despejar os seus dados para a partilha de ficheiros SMB antes de ser tirada uma captura instantânea)
Fluxos de dados alternativos
Atributos expandidos
Identificadores de objeto
Ligações rígidas
Ligações suaves
Pontos de reanálise
Arquivos esparsos
Nomes de arquivo curtos (pseudónimo 8.3)
Compression

Disponibilidade regional

As partilhas de ficheiros SMB Azure estão disponíveis em todas as regiões Azure, incluindo todas as regiões públicas e soberanas. As partilhas de ficheiros SSD estão disponíveis num subconjunto de regiões.

Próximos passos

Plano para uma implantação Ficheiros do Azure
Criar uma partilha de ficheiros Azure
Monte compartilhamentos de arquivos SMB em seu sistema operacional preferido:

Comentários

Esta página foi útil?

Last updated on 2026-05-26