Partilhas de ficheiros SMB Azure

Aplica-se a: ✔️ partilhas de ficheiros SMB

Ficheiros do Azure oferece dois protocolos padrão da indústria para montar Azure partilha de ficheiros: o protocolo Server Message Block (SMB) e o protocolo Network File System (NFS). O Ficheiros do Azure permite-lhe escolher o protocolo do sistema de ficheiros que melhor se adequa à sua carga de trabalho. As partilhas de ficheiros Azure não suportam aceder a uma partilha individual de ficheiros Azure com os protocolos SMB e NFS, embora possas criar partilhas de ficheiros SMB e NFS dentro da mesma conta de armazenamento. Para todas as partilhas de ficheiros, o Ficheiros do Azure oferece partilhas de ficheiros de nível empresarial que podem escalar para satisfazer as suas necessidades de armazenamento e podem ser acedidas simultaneamente por milhares de clientes.

Este artigo aborda as partilhas de ficheiros SMB Azure. Para informações sobre NFS Azure partilhas de ficheiros, veja NFS Azure partilhas de ficheiros.

Cenários comuns

Os compartilhamentos de arquivos SMB são usados para muitos aplicativos, incluindo compartilhamentos de arquivos de usuários finais e compartilhamentos de arquivos que apoiam bancos de dados e aplicativos. Os compartilhamentos de arquivos SMB geralmente são usados nos seguintes cenários:

Partilhas de ficheiros para utilizadores finais, como partilhas de equipas e diretórios iniciais
Armazenamento de backup para aplicações baseadas em Windows, como bases de dados SQL Server ou aplicações de linha de negócio escritas para APIs de sistemas de ficheiros locais Win32 ou .NET
Desenvolvimento de novas aplicações e serviços, especialmente se essa aplicação ou serviço exigir E/S aleatória e armazenamento hierárquico

Funcionalidades

O Ficheiros do Azure suporta as principais funcionalidades do SMB e do Azure necessárias para implementações em produção de partilhas de ficheiros SMB:

Disponibilidade Contínua (CA) para PME
Junção ao domínio AD e listas de controlo de acesso discricionário (DACLs)
Backup sem servidor integrado com o Azure Backup
Isolamento de rede com endpoints privados do Azure
Alto débito de rede com o uso de SMB Multichannel (partilhas de ficheiros SSD apenas)
Encriptação de canais SMB incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM
Suporte a versões anteriores através dos snapshots de partilha integrados ao VSS
Eliminação automática e suave em partilhas de ficheiros do Azure para evitar eliminações acidentais
Partilhas de ficheiros, opcionalmente acessíveis pela Internet, seguras com o SMB 3.0+ na Internet

Partilhas de ficheiros SMB podem ser montadas diretamente localmente ou também podem ser em cache localmente com Azure File Sync.

Suporte para SMB do Windows e funcionalidades do Ficheiros do Azure

A tabela seguinte mostra o suporte do Windows para a versão SMB, o SMB Multichannel¹ e a encriptação de canais SMB ao montar partilhas de ficheiros do Azure. Use esta tabela para determinar o suporte de funcionalidades e os requisitos de segurança para os sistemas operativos clientes que acedem à sua partilha de ficheiros Azure. Recomendamos instalar a atualização KB mais recente da sua versão do Windows.

Versão Windows	Versão do SMB	SMB Multicanal (apenas SSD)	Encriptação de canal SMB máxima
Windows Server 2025	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 24H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 23H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 22H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 22H2	SMB 3.1.1	Sim	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sim	AES-256-GCM
Windows 11, versão 21H2	SMB 3.1.1	Sim	AES-256-GCM
Windows 10, versão 21H2	SMB 3.1.1	Sim	AES-128-GCM
Windows 10, versão 21H1	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows 10, versão 20H2	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows 10, versão 2004	SMB 3.1.1	Sim, com KB5003690 ou mais recente	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sim, com KB5003703 ou mais recente	AES-128-GCM
Windows 10, versão 1809	SMB 3.1.1	Sim, com KB5003703 ou mais recente	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sim, com KB5004238 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows 10, versão 1607	SMB 3.1.1	Sim, com KB5004238 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows 10, versão 1507	SMB 3.1.1	Sim, com KB5004249 ou mais recente e a chave do Registo aplicada	AES-128-GCM
Windows Server 2012 R2²	SMB 3,0	No	AES-128-CCM
Windows Server 2012²	SMB 3,0	No	AES-128-CCM
Windows 8.1³	SMB 3,0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2,1	No	Não suportado
Windows 7³	SMB 2,1	No	Não suportado

¹Ficheiros do Azure suporta SMB Multicanal apenas em partilhas de ficheiros SSD.

²O suporte regular de Microsoft para Windows Server 2012 e Windows Server 2012 R2 terminou. Pode adquirir suporte adicional para atualizações de segurança apenas através do programa Extended Security Update (ESU).

³O suporte da Microsoft para o Windows 7, Windows 8 e Windows Server 2008 R2 foi descontinuado. É altamente recomendável migrar desses sistemas operacionais.

Configurações do protocolo SMB

O Ficheiros do Azure oferece múltiplas definições que afetam o comportamento, desempenho e segurança do protocolo SMB. Estas são configuradas para todas as partilhas de ficheiros Azure dentro de uma conta de armazenamento.

Disponibilidade Contínua para PME

O Ficheiros do Azure suporta a Disponibilidade Contínua (CA) SMB para ajudar as aplicações a manterem-se disponíveis durante eventos transitórios de infraestrutura. A disponibilidade contínua é uma capacidade do protocolo SMB que permite que os manipuladores de ficheiros abertos sobrevivam a interrupções breves, como falhas de servidor ou interrupções curtas da rede. Todas as partilhas de ficheiros SMB Azure estão continuamente disponíveis por padrão. Esta configuração não pode ser desativada.

O que a disponibilidade contínua proporciona

A disponibilidade contínua proporciona os seguintes benefícios:

Handles persistentes de ficheiros que sobrevivem a falhas transitórias
Recuperação transparente das operações de I/O após failover
Consistência de dados durante transições de infraestrutura
Risco reduzido de perturbação da aplicação

Se ocorrer uma breve interrupção de conectividade, os clientes SMB tentam automaticamente as operações e restabelecem o acesso a ficheiros abertos sem que a aplicação os reabra. Este comportamento é particularmente importante para cargas de trabalho que mantêm sessões de ficheiros de longa duração.

Como funciona a disponibilidade contínua

A disponibilidade contínua depende de handles persistentes do SMB. Durante uma interrupção transitória, que normalmente dura vários minutos, aplicam-se as seguintes instruções:

Os handles de ficheiros abertos mantêm-se válidos.
O cliente SMB tenta novamente as operações de I/O pendentes.
O Ficheiros do Azure retoma as operações de forma transparente assim que a conectividade é restabelecida.

Como o Ficheiros do Azure prioriza a correção e a durabilidade, o cliente espera e tenta novamente em vez de falhar imediatamente a operação.

Comportamento de timeout durante a perda de conectividade

Devido ao comportamento de retentativas que a disponibilidade contínua exige, as operações da SMB podem demorar mais tempo a expirar durante interrupções de rede.

Por exemplo, pode experienciar o seguinte:

Os clientes SMB do Windows podem tentar novamente as operações durante vários minutos antes de devolverem um erro.
As aplicações podem parecer pausar temporariamente enquanto a ligação é restabelecida.

Este comportamento é intencional porque ajuda a preservar a integridade dos manetes e a prevenir a corrupção dos dados. Cargas de trabalho que se desconectam frequentemente, como portáteis em roaming ou ligações de rede instáveis, podem apresentar tempos de espera mais longos antes de as falhas serem retornadas.

SMB Multicanal

O SMB Multicanal permite que um cliente SMB 3.x estabeleça várias ligações de rede a uma partilha de ficheiros SMB. O Ficheiros do Azure suporta SMB Multichannel em partilhas de ficheiros SSD. Para clientes Windows, SMB Multichannel agora está ativado por padrão em todas as regiões do Azure.

Para visualizar o status do SMB Multichannel, navegue até a conta de armazenamento que contém seus compartilhamentos de arquivos SSD e selecione Compartilhamentos de arquivos no título Armazenamento de dados no sumário da conta de armazenamento. Você deve ver o status do SMB Multichannel na seção Configurações de compartilhamento de arquivos . Se não a encontrar, certifique-se de que a sua conta de armazenamento é do tipo de conta FileStorage.

Para ativar ou desativar o SMB Multichannel, selecione o estado atual (Ativado ou Desativado, dependendo do estado). A caixa de diálogo resultante fornece uma alternância para habilitar ou desabilitar o SMB Multichannel. Selecione o estado desejado e selecione Salvar.

Uma captura de tela da caixa de diálogo para ativar/desativar o recurso SMB Multichannel.

Para obter o status de SMB Multichannel, use o Get-AzStorageFileServiceProperty cmdlet. Substitua <resource-group> e <storage-account> pelos valores apropriados para o seu ambiente antes de executar estes comandos PowerShell.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Para ativar/desativar o SMB Multichannel, utilize o Update-AzStorageFileServiceProperty cmdlet.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Para obter o status de SMB Multichannel, use o az storage account file-service-properties show comando. Substitua <resource-group> e <storage-account> pelos valores apropriados para o seu ambiente antes de executar estes comandos.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Para ativar/desativar o SMB Multichannel, use o az storage account file-service-properties update comando.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Habilite o SMB Multichannel em sistemas operacionais mais antigos

O suporte para SMB Multichannel no Ficheiros do Azure exige garantir que o Windows tem todos os patches relevantes aplicados. Várias versões antigas do Windows, incluindo Windows Server 2016, Windows 10 versão 1607 e Windows 10 versão 1507, exigem a definição de chaves adicionais de registo para que todas as correções relevantes do SMB Multichannel sejam aplicadas em instalações totalmente atualizadas. Se estiver a usar uma versão do Windows mais recente do que estas três versões, não é necessária qualquer ação adicional.

Windows Server 2016 e Windows 10 versão 1607

Para ativar todas as correções SMB Multichannel para Windows Server 2016 e Windows 10 versão 1607, execute o seguinte comando PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versão 1507

Para ativar todas as correções SMB Multichannel para Windows 10 versão 1507, execute o seguinte comando PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Segurança

Todos os dados armazenados no Ficheiros do Azure são encriptados em repouso usando a encriptação do serviço de armazenamento Azure (SSE). Também pode optar por encriptar dados durante o trânsito.

Encriptação em repouso

A encriptação dos serviços de armazenamento funciona de forma semelhante ao BitLocker no Windows: os dados são encriptados abaixo do nível do sistema de ficheiros. Como os dados são encriptados sob o sistema de ficheiros da partilha de ficheiros do Azure, ao serem codificados para disco, não precisas de ter acesso à chave subjacente do cliente para ler ou escrever na partilha de ficheiros do Azure.

Encriptação em trânsito

Ficheiros do Azure proporciona uma definição dedicada Exige Encriptação em Trânsito para SMB que permite controlar de forma independente se a encriptação é necessária para o acesso SMB às partilhas de ficheiros Azure. Esta configuração por protocolo oferece um controlo mais granular do que a definição Secure Transfer required a nível de conta de armazenamento, que agora se aplica apenas ao tráfego REST/HTTPS. Para novas contas de armazenamento criadas através do portal Azure, Exigir Encriptação em Trânsito para SMB está ativado por defeito, pelo que apenas montagens SMB usando SMB 3.x com encriptação são permitidas. Montagens de clientes que não suportam SMB 3.x com encriptação de canal SMB são rejeitadas quando a encriptação em trânsito está ativada. Contas de armazenamento criadas usando Azure PowerShell, CLI do Azure ou a API FileREST têm Exigir Encriptação em Trânsito para SMB configurada como Não selecionado para garantir compatibilidade retroativa.

Para contas de armazenamento existentes, Exigir Encriptação em Trânsito para SMB aparece inicialmente como Não selecionado. Apesar de não estar selecionada, a definição Requerimento de Transferência Segura continua a governar o comportamento da encriptação SMB. Depois de configurar explicitamente Requerer Encriptação em Trânsito para SMB, essa definição tem prioridade para o acesso SMB, independentemente do valor Requer transferências seguras.

O Ficheiros do Azure suporta AES-256-GCM com SMB 3.1.1 quando utilizado com Windows Server 2022 ou Windows 11. SMB 3.1.1 também suporta AES-128-GCM e SMB 3.0 suporta AES-128-CCM. O AES-128-GCM é negociado por predefinição no Windows 10, versão 21H1, por razões de desempenho.

Pode desativar a encriptação durante o trânsito para uma partilha de ficheiros do Azure. Quando a encriptação está desativada, o Ficheiros do Azure permite SMB 2.1 e SMB 3.x sem encriptação. A principal razão para desativar a encriptação durante o trânsito é suportar uma aplicação legada que deve ser executada num sistema operativo mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. O Ficheiros do Azure só permite ligações SMB 2.1 dentro da mesma região Azure que a partilha de ficheiros Azure; um cliente SMB 2.1 fora da região Azure da partilha de ficheiros Azure, como on-premises ou noutra região Azure, não pode aceder à partilha de ficheiros.

Configurações de segurança SMB

O Ficheiros do Azure expõe definições que permitem alternar o protocolo SMB para ser mais compatível ou seguro, dependendo dos requisitos da sua organização. Por defeito, o Ficheiros do Azure está configurado para ser o mais compatível possível, por isso tenha em mente que restringir estas definições pode impedir alguns clientes de ligar.

O Ficheiros do Azure expõe as seguintes definições:

Versões SMB: Que versões do SMB são permitidas. As versões de protocolo suportadas são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por defeito, todas as versões SMB são permitidas, embora o SMB 2.1 seja proibido se o Exigir Encriptação em Trânsito para SMB estiver ativado (ou se a definição Secure transfer required regir o comportamento do SMB), porque o SMB 2.1 não suporta encriptação em trânsito.
Métodos de autenticação: quais métodos de autenticação SMB são permitidos. Os métodos de autenticação suportados são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. Remover o NTLMv2 impede o uso da chave da conta de armazenamento para montar a partilha de ficheiros do Azure. O Ficheiros do Azure não suporta autenticação NTLM para credenciais de domínio.
Criptografia de bilhete Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de encriptação suportados são AES-256 (fortemente recomendado) e RC4-HMAC.
Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de encriptação suportados são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se selecionar apenas AES-256-GCM, precisará informar os clientes conectados para o utilizarem, abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. O uso do AES-256-GCM não é suportado em clientes Windows mais antigos que o Windows 11/Windows Server 2022.

Pode visualizar e alterar as definições de segurança da SMB usando o portal Azure, Azure PowerShell ou a CLI do Azure. Selecione a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança SMB. Note que estas definições são verificadas quando uma sessão SMB é estabelecida e, se não for cumprida, a configuração da sessão SMB falha com o erro STATUS_ACCESS_DENIED.

Para visualizar ou alterar as definições de segurança da SMB usando o portal Azure, siga estes passos:

Inicie sessão no portal Azure e pesquise por Storage accounts. Selecione a conta de armazenamento para a qual você deseja exibir ou alterar as configurações de segurança SMB.
No menu de serviço, selecione Armazenamento de dados>Partilhas de ficheiros.
Em Configurações de compartilhamento de arquivos, selecione o valor associado à Segurança.
Pode ativar ou desativar explicitamente Exigir Encriptação em Trânsito para SMB. Para novas contas de armazenamento criadas através do portal Azure, esta definição está ativada por defeito.
Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite criar um perfil personalizado para versões do protocolo SMB, criptografia de canal SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

Importante

Selecionar Segurança máxima ou usar definições personalizadas pode fazer com que alguns clientes não consigam ligar-se. Por exemplo, o AES-256-GCM foi introduzido como uma opção para encriptação de canais SMB a partir do Windows Server 2022 e Windows 11. Isso significa que os clientes mais antigos que não suportam AES-256-GCM não poderão se conectar. Se selecionares apenas AES-256-GCM, tens de dizer aos clientes Windows Server 2022 e Windows 11 para usarem apenas AES-256-GCM, abrindo um terminal PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Depois de inserir as configurações de segurança desejadas, selecione Salvar.

Para obter as configurações do protocolo SMB, use o Get-AzStorageFileServiceProperty cmdlet. Substitua <resource-group> e <storage-account> com os valores adequados ao seu ambiente. Se você definiu deliberadamente qualquer uma das configurações de segurança SMB como nula, por exemplo, desativando a criptografia de canal SMB, consulte as instruções no script sobre como comentar determinadas linhas.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, convém modificar as configurações do protocolo SMB. O comando PowerShell a seguir restringe seus compartilhamentos de arquivos SMB apenas às opções mais seguras.

Importante

Restringir as partilhas de ficheiros SMB Azure apenas às opções mais seguras pode resultar em alguns clientes não conseguirem ligar-se. Por exemplo, o AES-256-GCM foi introduzido como uma opção para encriptação de canais SMB a partir do Windows Server 2022 e Windows 11. Isso significa que os clientes mais antigos que não suportam AES-256-GCM não poderão se conectar. Se selecionares apenas AES-256-GCM, tens de dizer aos clientes Windows Server 2022 e Windows 11 para usarem apenas AES-256-GCM, abrindo um terminal PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Dependendo dos seus requisitos de segurança, pode querer ativar ou desativar a opção Exigir Encriptação em Trânsito para a definição SMB .

Para ativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Para desativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte cmdlet:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Para obter o status das configurações de segurança SMB, use o az storage account file-service-properties show comando. Lembre-se de substituir <resource-group> e <storage-account> com os valores apropriados para o seu ambiente antes de executar esses comandos Bash. Se você definiu deliberadamente qualquer uma das configurações de segurança SMB como nula, por exemplo, desativando a criptografia de canal SMB, consulte as instruções no script sobre como comentar determinadas linhas.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, convém modificar as configurações do protocolo SMB. O seguinte comando CLI do Azure restringe as suas partilhas de ficheiros SMB apenas às opções mais seguras.

Importante

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Dependendo dos seus requisitos de segurança, pode querer ativar ou desativar a opção Exigir Encriptação em Trânsito para a definição SMB .

Para ativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Para desativar o Exigir Encriptação em Trânsito para SMB na conta de armazenamento, execute o seguinte comando:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Limitações

As partilhas de ficheiros SMB Azure suportam um subconjunto de funcionalidades suportadas pelo protocolo SMB e pelo sistema de ficheiros NTFS. Embora a maioria dos casos de uso e aplicações não exija estas funcionalidades, algumas aplicações podem não funcionar corretamente com o Ficheiros do Azure se dependerem de funcionalidades não suportadas. As seguintes caraterísticas não são suportadas:

SMB Direto
Aluguer de diretórios SMB
VSS para compartilhamentos de arquivos SMB (isso permite que os provedores VSS liberem seus dados para o compartilhamento de arquivos SMB antes que um instantâneo seja tirado)
Fluxos de dados alternativos
Atributos expandidos
Identificadores de objeto
Ligações rígidas
Ligações suaves
Pontos de reanálise
Arquivos esparsos
Nomes de arquivo curtos (pseudónimo 8.3)
Compression

Disponibilidade regional

As partilhas de ficheiros SMB Azure estão disponíveis em todas as regiões Azure, incluindo todas as regiões públicas e soberanas. As partilhas de ficheiros SSD estão disponíveis num subconjunto de regiões.

Próximos passos

Plano para uma implantação Ficheiros do Azure
Criar uma partilha de ficheiros Azure
Monte compartilhamentos de arquivos SMB em seu sistema operacional preferido:

Comentários

Esta página foi útil?

Last updated on 2026-04-09