Compartilhamentos de arquivos SMB do Azure

Aplica-se a: ✔️ compartilhamentos de arquivos SMB

Arquivos do Azure oferece dois protocolos padrão do setor para montar Azure compartilhamento de arquivos: o protocolo Server Message Block (SMB) e o protocolo Network File System (NFS). Arquivos do Azure permite que você escolha o protocolo do sistema de arquivos que é o mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não dão suporte ao acesso a um compartilhamento de arquivo Azure individual com os protocolos SMB e NFS simultaneamente, embora seja possível criar compartilhamentos de arquivos SMB e NFS dentro da mesma conta de armazenamento. Para todos os compartilhamentos de arquivos, Arquivos do Azure oferece compartilhamentos de arquivos de nível empresarial que podem ser dimensionados verticalmente para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.

Este artigo aborda compartilhamentos de arquivos de Azure SMB. Para obter informações sobre compartilhamentos de arquivos Azure NFS, consulte NFS Azure compartilhamentos de arquivos.

Cenários comuns

Os compartilhamentos de arquivos SMB são usados para muitos aplicativos, incluindo compartilhamentos de arquivos de usuário final e compartilhamentos de arquivos que fazem backup de bancos de dados e aplicativos. Os compartilhamentos de arquivo SMB geralmente são usados nos seguintes cenários:

Compartilhamentos de arquivos de usuário final, como compartilhamentos de equipe e diretórios domésticos
Suporte ao armazenamento para aplicativos baseados no Windows, como bancos de dados SQL Server ou aplicativos de linha de negócios escritos para APIs de sistema de arquivos locais Win32 ou .NET
Novo desenvolvimento de aplicativos e serviços, especialmente se esse aplicativo ou serviço tiver um requisito para E/S aleatória e armazenamento hierárquico

Recursos

Arquivos do Azure dá suporte aos principais recursos de SMB e Azure necessários para implantações de produção de compartilhamentos de arquivos SMB:

Disponibilidade contínua (CA) para pequenas e médias empresas
Ingresso no domínio do AD e listas de controle de acesso discricionário (DACLs)
Backup integrado sem servidor com Backup do Azure
Isolamento de rede com pontos finais privados do Azure
Alta taxa de transferência de rede usando SMB Multichannel (somente compartilhamentos de arquivos SSD)
Criptografia de canal SMB, incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM
Suporte à versão anterior por meio de instantâneos de compartilhamento integrados do VSS
Exclusão suave automática em compartilhamentos de arquivos do Azure para evitar exclusões acidentais
Compartilhamentos de arquivos acessíveis à Internet de forma opcional com SMB 3.0+ seguro para acesso pela Internet

Os compartilhamentos de arquivo SMB podem ser montados diretamente no local ou também podem ser armazenados em cache localmente com Sincronização de Arquivos do Azure.

Suporte Windows SMB e recursos do Arquivos do Azure

A tabela a seguir mostra o suporte do Windows para a versão SMB, SMB Multichannel¹ e a criptografia de canal SMB ao montar compartilhamentos de arquivos do Azure. Use esta tabela para determinar os requisitos de suporte e segurança de recursos para os sistemas operacionais cliente que acessam seu compartilhamento de arquivos Azure. Recomendamos usar o KB mais recente para sua versão do Windows.

Windows versão	Versão do SMB	SMB Multichannel (somente SSD)	Criptografia máxima do canal SMB
Windows Server 2025	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 24H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 23H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 22H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 22H2	SMB 3.1.1	Sim	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 21H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 21H2	SMB 3.1.1	Sim	AES-128-GCM
Windows 10, versão 21H1	SMB 3.1.1	Sim, com KB5003690 ou mais novo	AES-128-GCM
Windows Server, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais novo	AES-128-GCM
Windows 10, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais novo	AES-128-GCM
Windows Server, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais novo	AES-128-GCM
Windows 10, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais novo	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sim, com KB5003703 ou mais novo	AES-128-GCM
Windows 10, versão 1809	SMB 3.1.1	Sim, com KB5003703 ou mais novo	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sim, com o KB5004238 ou mais recente e a chave do Registro aplicada	AES-128-GCM
Windows 10, versão 1607	SMB 3.1.1	Sim, com o KB5004238 ou mais recente e a chave do Registro aplicada	AES-128-GCM
Windows 10, versão 1507	SMB 3.1.1	Sim, com o KB5004249 ou mais recente e a chave do Registro aplicada	AES-128-GCM
Windows Server 2012 R2²	SMB 3.0	No	AES-128-CCM
Windows Server 2012²	SMB 3.0	No	AES-128-CCM
Windows 8.1³	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2.1	No	Sem suporte
Windows 7³	SMB 2.1	No	Sem suporte

¹Arquivos do Azure dá suporte apenas a SMB Multichannel somente em compartilhamentos de arquivos SSD.

O suporte ²Regular Microsoft para Windows Server 2012 e Windows Server 2012 R2 foi encerrado. Você pode comprar suporte adicional para atualizações de segurança somente por meio do programa ESU (Atualização de Segurança Estendida).

O suporte da Microsoft para Windows 7, Windows 8 e Windows Server 2008 R2 terminou. É altamente recomendável migrar desses sistemas operacionais.

Configurações de protocolo SMB

Arquivos do Azure oferece várias configurações que afetam o comportamento, o desempenho e a segurança do protocolo SMB. Eles são configurados para todos os compartilhamentos de arquivos Azure em uma conta de armazenamento.

Disponibilidade contínua do SMB

Arquivos do Azure dá suporte à AC (Disponibilidade Contínua) SMB para ajudar os aplicativos a permanecerem disponíveis durante eventos transitórios de infraestrutura. A disponibilidade contínua é um recurso do protocolo SMB que permite que os identificadores de arquivos abertos sobrevivam a breves interrupções, como failovers de servidor ou interrupções curtas de rede. Todos os compartilhamentos de arquivos Azure SMB estão continuamente disponíveis por padrão. Essa configuração não pode ser desabilitada.

O que a disponibilidade contínua fornece

A disponibilidade contínua fornece os seguintes benefícios:

Identificadores de arquivos persistentes que sobrevivem a falhas transitórias
Recuperação transparente de operações de E/S após failover
Consistência de dados durante transições de infraestrutura
Risco reduzido de interrupção do aplicativo

Se ocorrer uma breve interrupção de conectividade, os clientes SMB repetirão automaticamente as operações e restabelecerão o acesso a arquivos abertos sem exigir que o aplicativo as reabra. Esse comportamento é particularmente importante para cargas de trabalho que mantêm sessões de arquivo de execução prolongada.

Como funciona a disponibilidade contínua

A disponibilidade contínua depende de identificadores SMB persistentes. Durante uma interrupção transitória, que normalmente dura até vários minutos, as seguintes instruções se aplicam:

Os identificadores de arquivo abertos permanecem válidos.
O cliente SMB tenta novamente operações de E/S pendentes.
Arquivos do Azure retoma de forma transparente as operações depois que a conectividade é restaurada.

Como Arquivos do Azure prioriza a correção e a durabilidade, o cliente aguarda e tenta novamente em vez de falhar imediatamente na operação.

Comportamento do timeout durante a perda de conectividade

Devido ao comportamento de repetição exigido pela disponibilidade contínua, as operações SMB podem levar mais tempo durante interrupções de rede.

Por exemplo, você pode experimentar o seguinte:

Clientes SMB do Windows podem repetir as operações por vários minutos antes de mostrar um erro.
Os aplicativos podem parecer pausar temporariamente enquanto a conexão é restabelecida.

Esse comportamento é por design porque ajuda a preservar a integridade e evitar a corrupção de dados. Cargas de trabalho que frequentemente se desconectam, como laptops em roaming ou conexões de rede instáveis, podem enfrentar tempos de espera mais longos antes que sejam retornadas falhas.

SMB Multichannel

O SMB Multichannel habilita que um cliente SMB 3.x estabeleça múltiplas conexões de rede para um compartilhamento de arquivo SMB. Arquivos do Azure dá suporte ao SMB Multichannel em compartilhamentos de arquivos SSD. Para clientes Windows, o SMB Multichannel agora está habilitado por padrão em todas as regiões Azure.

Para exibir o status do SMB Multichannel, navegue até a conta de armazenamento que contém seus compartilhamentos de arquivos SSD e selecione Compartilhamentos de arquivos no título armazenamento de dados no sumário da conta de armazenamento. Você deverá ver o status do SMB Multichannel na seção Configurações de compartilhamento de arquivos. Se você não vê-lo, verifique se sua conta de armazenamento é do tipo de conta FileStorage.

Para habilitar ou desabilitar o SMB Multichannel, selecione o status atual (Habilitado ou Desabilitado, dependendo do status). A caixa de diálogo resultante fornece uma alternância para habilitar ou desabilitar o SMB Multichannel. Escolha o valor desejado e selecione Salvar.

Uma captura de tela da caixa de diálogo para habilitar/desabilitar o recurso do SMB Multichannel.

Para obter o status do SMB Multichannel, use o cmdlet Get-AzStorageFileServiceProperty. Substitua <resource-group> e <storage-account> pelos valores apropriados para seu ambiente antes de executar esses comandos do PowerShell.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Para habilitar/desabilitar o status do SMB Multichannel, use o cmdlet Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Para obter o status do SMB Multichannel, use o comando az storage account file-service-properties show. Substitua <resource-group> e <storage-account> pelos valores apropriados para seu ambiente antes de executar esses comandos.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Para habilitar/desabilitar o status do SMB Multichannel, use o comando az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Habilitar o SMB Multichannel em sistemas operacionais mais antigos

O suporte para SMB Multichannel no Arquivos do Azure requer garantir que Windows tenha todos os patches relevantes aplicados. Várias versões de Windows mais antigas, incluindo Windows Server 2016, Windows 10 versão 1607 e Windows 10 versão 1507, exigem que chaves adicionais do Registro sejam definidas para que todas as correções SMB Multichannel relevantes sejam aplicadas em instalações totalmente corrigidas. Se você estiver executando uma versão do Windows mais recente que essas três versões, nenhuma ação adicional será necessária.

Windows Server 2016 e Windows 10 versão 1607

Para habilitar todas as correções do SMB Multichannel para Windows Server 2016 e Windows 10 versão 1607, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versão 1507

Para habilitar todas as correções multicanais SMB para Windows 10 versão 1507, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Segurança

Todos os dados armazenados em Arquivos do Azure são criptografados em repouso usando Azure SSE (criptografia de serviço de armazenamento). Você também pode optar por criptografar dados em trânsito.

Criptografia em repouso

A criptografia do serviço de armazenamento funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados no sistema de arquivos do compartilhamento de arquivos do Azure enquanto são codificados em disco, você não precisa ter acesso à chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure.

Criptografia em trânsito

Arquivos do Azure fornece uma configuração dedicada Require Encryption in Transit for SMB que permite controlar independentemente se a criptografia é necessária para o acesso SMB a compartilhamentos de arquivos Azure. Essa configuração por protocolo fornece um controle mais granular do que a configuração necessária de transferência segura no nível da conta de armazenamento, que agora se aplica apenas ao tráfego REST/HTTPS. Para novas contas de armazenamento criadas usando o portal Azure, Require Encryption in Transit for SMB está habilitado por padrão, portanto, somente as montagens SMB usando SMB 3.x com criptografia são permitidas. As montagens feitas por clientes que não oferecem suporte ao SMB 3.x com criptografia de canais SMB são rejeitadas quando a criptografia em trânsito está habilitada. Contas de armazenamento criadas usando Azure PowerShell, CLI do Azure ou a API FileREST configuram Require Encryption in Transit for SMB como Not selected para garantir a compatibilidade retroativa.

Para contas de armazenamento existentes, Exigir Criptografia em Trânsito para SMB aparece inicialmente como Não selecionado. Embora não esteja selecionada, a configuração necessária de transferência segura continua a controlar o comportamento de criptografia SMB. Depois de configurar explicitamente Exigir criptografia em trânsito para SMB, essa configuração terá precedência para o acesso SMB, independentemente do valor de Transferência segura necessária.

Arquivos do Azure dá suporte ao AES-256-GCM com SMB 3.1.1 quando usado com Windows Server 2022 ou Windows 11. O SMB 3.1.1 também oferece compatibilidade com o AES-128-GCM, e o SMB 3.0 oferece compatibilidade com o AES-128-CCM. O AES-128-GCM é negociado por padrão em Windows 10, versão 21H1 por motivos de desempenho.

Você pode desabilitar a criptografia em trânsito para um compartilhamento de arquivos do Azure. Quando a criptografia é desabilitada, Arquivos do Azure permite SMB 2.1 e SMB 3.x sem criptografia. O principal motivo para desabilitar a criptografia em trânsito é dar suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. Arquivos do Azure só permite conexões SMB 2.1 na mesma região do Azure que o compartilhamento de arquivos do Azure, e um cliente SMB 2.1 fora dessa região do Azure, como no local ou em uma região diferente do Azure, não pode acessar o compartilhamento de arquivos.

Configurações de segurança do SMB

Arquivos do Azure expõe as configurações que permitem que você alterne o protocolo SMB para ser mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, Arquivos do Azure está configurado para ser compatível com o máximo, portanto, tenha em mente que restringir essas configurações pode fazer com que alguns clientes não possam se conectar.

Arquivos do Azure expõe as seguintes configurações:

Versões do SMB: quais versões do SMB são permitidas. As versões de protocolo compatíveis são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por padrão, todas as versões SMB são permitidas, embora o SMB 2.1 não seja permitido se a Criptografia Necessária em Trânsito para SMB estiver habilitada (ou se a configuração necessária de transferência segura reger o comportamento do SMB), porque o SMB 2.1 não dá suporte à criptografia em trânsito.
Métodos de autenticação: quais métodos de autenticação do SMB são permitidos. Os métodos de autenticação com suporte são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. Remover o NTLMv2 não permite usar a chave da conta de armazenamento para montar o compartilhamento de arquivos Azure. Arquivos do Azure não dá suporte ao uso da autenticação NTLM para credenciais de domínio.
Criptografia de tíquetes do Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de criptografia com suporte são AES-256 (altamente recomendado) e RC4-HMAC.
Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de criptografia compatíveis são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se você selecionar apenas o AES-256-GCM, precisará instruir os clientes que se conectam a usá-lo abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Não há suporte para o uso do AES-256-GCM em clientes Windows com mais de Windows 11/Windows Server 2022.

Você pode exibir e alterar as configurações de segurança SMB usando o portal Azure, Azure PowerShell ou o CLI do Azure. Escolha a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança do SMB. Observe que essas configurações são verificadas quando uma sessão SMB é estabelecida e, se não atendida, a instalação da sessão SMB falha com o erro STATUS_ACCESS_DENIED.

Para exibir ou alterar as configurações de segurança do SMB usando o portal Azure, siga estas etapas:

Entre no portal do Azure e pesquise contas Storage. Selecione a conta de armazenamento para a qual você deseja exibir ou alterar as configurações de segurança SMB.
No menu de serviço, selecione Armazenamento de Dados>Compartilhamentos de Arquivo.
Nas Configurações de compartilhamento de arquivos, selecione o valor associado a Segurança.
Você pode habilitar ou desabilitar explicitamente Exigir Criptografia em Trânsito para SMB. Para novas contas de armazenamento criadas usando o portal Azure, essa configuração é habilitada por padrão.
Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite que você crie um perfil personalizado para versões do protocolo SMB, criptografia de canal do SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

Importante

Selecionar a segurança máxima ou usar configurações personalizadas pode fazer com que alguns clientes não consigam se conectar. Por exemplo, o AES-256-GCM foi introduzido como uma opção para criptografia de canal SMB a partir de Windows Server 2022 e Windows 11. Isso significa que clientes mais antigos que não são compatíveis com AES-256-GCM não poderão se conectar. Se você selecionar apenas o AES-256-GCM, precisará informar aos clientes do Windows Server 2022 e Windows 11 para usarem apenas o AES-256-GCM abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Depois de inserir as configurações de segurança desejadas, selecione Salvar.

Para obter as configurações de protocolo SMB, use o cmdlet Get-AzStorageFileServiceProperty. Substitua <resource-group> e <storage-account> pelos valores apropriados para seu ambiente. Se você definiu deliberadamente qualquer uma das configurações de segurança do SMB como nula, por exemplo, desabilitando a criptografia de canal do SMB, confira as instruções no script sobre como comentar determinadas linhas.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, o ideal é modificar as configurações do protocolo SMB. O comando do PowerShell a seguir restringe seus compartilhamentos de arquivo SMB apenas às opções mais seguras.

Importante

Restringir os compartilhamentos de arquivos do SMB Azure apenas para as opções mais seguras pode resultar na incapacidade de conexão de alguns clientes. Por exemplo, o AES-256-GCM foi introduzido como uma opção para criptografia de canal SMB a partir de Windows Server 2022 e Windows 11. Isso significa que clientes mais antigos que não são compatíveis com AES-256-GCM não poderão se conectar. Se você selecionar apenas o AES-256-GCM, precisará informar aos clientes do Windows Server 2022 e Windows 11 para usarem apenas o AES-256-GCM abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Dependendo dos requisitos de segurança, talvez você queira habilitar ou desabilitar a configuração Exigir Criptografia em Trânsito para SMB .

Para habilitar Exigir Criptografia em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Para desabilitar Exigir Criptografia em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Para obter o status das configurações de segurança do SMB, use o comando az storage account file-service-properties show. Lembre-se de substituir <resource-group> e <storage-account> pelos valores adequados para o seu ambiente antes de executar os comandos do Bash. Se você definiu deliberadamente qualquer uma das configurações de segurança do SMB como nula, por exemplo, desabilitando a criptografia de canal do SMB, confira as instruções no script sobre como comentar determinadas linhas.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, talvez você queira mudar as configurações do protocolo SMB. O comando CLI do Azure a seguir restringe seus compartilhamentos de arquivos SMB apenas às opções mais seguras.

Importante

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Dependendo dos requisitos de segurança, talvez você queira habilitar ou desabilitar a configuração Exigir Criptografia em Trânsito para SMB .

Para habilitar Exigir Criptografia em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Para desabilitar Exigir Criptografia em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Limitações

Compartilhamentos de arquivos SMB Azure dão suporte a um subconjunto de recursos suportados pelo protocolo SMB e pelo sistema de arquivos NTFS. Embora a maioria dos casos de uso e aplicativos não exija esses recursos, alguns aplicativos podem não funcionar corretamente com Arquivos do Azure se dependerem de recursos sem suporte. Não há suporte aos seguintes recursos:

SMB Direct
Concessão de diretório do SMB
VSS para compartilhamentos de arquivos SMB (isto permite que os provedores de VSS liberem seus dados para o compartilhamento de arquivos SMB antes que um instantâneo seja obtido)
Fluxos de dados alternativos
Atributos estendidos
Identificadores de objeto
Links rígidos
Links flexíveis
Pontos de nova análise
Arquivos esparsos
Nomes de arquivo curtos (alias 8.3)
Compactação

Disponibilidade regional

Os compartilhamentos de arquivos SMB do Azure estão disponíveis em todas as regiões do Azure, incluindo todas as regiões públicas e soberanas. Os compartilhamentos de arquivos SSD estão disponíveis em um subconjunto de regiões.

Próximas etapas

Plano para uma implantação de Arquivos do Azure
Criar um compartilhamento de arquivos Azure
Monte compartilhamentos de arquivo SMB em seu sistema operacional preferido:

Comentários

Esta página foi útil?

Last updated on 2026-04-09