Condivisioni file SMB Azure

Si applica a: ✔️ condivisioni file SMB

File di Azure offre condivisioni file di livello aziendale che possono aumentare le prestazioni per soddisfare le esigenze di archiviazione e possono essere accessibili simultaneamente da migliaia di client. File di Azure offre due protocolli standard di settore per il montaggio di condivisioni file Azure: il protocollo Server Message Block (SMB) e il protocollo Network File System (NFS). Scegliere il protocollo più adatto al carico di lavoro. File di Azure non supporta l'accesso a una singola condivisione file Azure con i protocolli SMB e NFS, anche se è possibile creare condivisioni file SMB e NFS classiche all'interno dello stesso account di archiviazione.

Questo articolo illustra le condivisioni di file SMB di Azure. Per informazioni sulle condivisioni file NFS Azure, vedere NFS Azure file shares.

Scenari comuni

Usare le condivisioni di file SMB per molte applicazioni, incluse le condivisioni di file per gli utenti finali e le condivisioni di file che supportano database e applicazioni. Usare condivisioni file SMB negli scenari seguenti:

Condivisioni file dell'utente finale, ad esempio condivisioni del team e directory personali
Archiviazione di backup per applicazioni basate su Windows, ad esempio database SQL Server o applicazioni line-of-business
Sviluppo di nuove applicazioni e servizi, in particolare se sono necessarie operazioni di I/O casuali e archiviazione gerarchica

Funzionalità

File di Azure supporta le principali funzionalità di SMB e Azure necessarie per le distribuzioni di produzione di condivisioni file SMB:

Disponibilità continua SMB (CA)
Unione al dominio AD e liste di controllo di accesso discrezionale (DACL)
Backup serverless integrato con Backup di Azure
Isolamento della rete con gli endpoint privati di Azure
Velocità effettiva di rete elevata con SMB multicanale (solo condivisioni file SSD)
Crittografia del canale SMB, tra cui AES-256-GCM, AES-128-GCM e AES-128-CCM
Supporto delle versioni precedenti tramite snapshot di condivisione integrata VSS
Eliminazione reversibile automatica sui file condivisi su Azure per evitare eliminazioni accidentali
Opzionalmente, condivisioni di file accessibili via Internet con SMB 3.0+ sicuro per Internet

È possibile montare direttamente le condivisioni di file SMB oppure memorizzarle nella cache in locale con Sincronizzazione file di Azure.

Supporto SMB per Windows e funzionalità di File di Azure

La tabella seguente illustra il supporto di Windows per la versione SMB, SMB multicanale¹ e la crittografia del canale SMB quando si montano le condivisioni file di Azure. Usare questa tabella per determinare i requisiti di supporto e sicurezza delle funzionalità per i sistemi operativi client che accedono alla condivisione file Azure. Usare il KB più aggiornato relativo alla propria versione di Windows.

Windows versione	Versione di SMB	SMB multicanale (solo SSD)	Crittografia del canale SMB massima
Windows Server 2025	SMB 3.1.1	Sì	AES-256-GCM
Windows 11 versione 24H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 11 versione 23H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 11 versione 22H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 10 versione 22H2	SMB 3.1.1	Sì	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sì	AES-256-GCM
Windows 11 versione 21H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 10 versione 21H2	SMB 3.1.1	Sì	AES-128-GCM
Windows 10 versione 21H1	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server versione 20H2	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows 10 versione 20H2	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server versione 2004	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows 10 versione 2004	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sì, con KB5003703 o una versione più recente	AES-128-GCM
Windows 10 versione 1809	SMB 3.1.1	Sì, con KB5003703 o una versione più recente	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sì, con KB5004238 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows 10 versione 1607	SMB 3.1.1	Sì, con KB5004238 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows 10 versione 1507	SMB 3.1.1	Sì, con KB5004249 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows Server 2012 R2²	SMB 3.0	No	AES-128-CCM
Windows Server 2012 ²	SMB 3.0	No	AES-128-CCM
Windows 8.1³	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2.1	No	Non supportato
Windows 7³	SMB 2.1	No	Non supportato

¹File di Azure supporta solo SMB multicanale solo nelle condivisioni file SSD (Premium).

² Supporto di Microsoft regulare per Windows Server 2012 e Windows Server 2012 R2 è terminato. È possibile acquistare supporto aggiuntivo per gli aggiornamenti della sicurezza solo tramite il programma ESU (Extended Security Update).

³Microsoft è terminato il supporto per Windows 7, Windows 8.1 e Windows Server 2008 R2. Eseguire la migrazione da questi sistemi operativi.

Impostazioni del protocollo SMB

File di Azure offre più impostazioni che influiscono sul comportamento, sulle prestazioni e sulla sicurezza del protocollo SMB. Questi elementi sono configurati per tutte le condivisioni file classiche Azure in un account di archiviazione Azure.

Disponibilità continua di SMB

File di Azure supporta la disponibilità continua SMB per consentire alle applicazioni di rimanere disponibili durante gli eventi di infrastruttura temporanei. La disponibilità continua è una funzionalità del protocollo SMB che mantiene attivi gli handle di file aperti durante brevi interruzioni, ad esempio i failover del server o brevi interruzioni di rete. Tutte le condivisioni file SMB Azure sono continuamente disponibili per impostazione predefinita. Non è possibile disabilitare questa impostazione.

Quali sono le funzionalità di disponibilità continua

La disponibilità continua offre i vantaggi seguenti:

Gestori di file persistenti che sopravvivono a errori transitori
Ripristino trasparente delle operazioni di I/O dopo il failover
Coerenza dei dati durante le transizioni dell'infrastruttura
Riduzione del rischio di interruzione dell'applicazione

Se si verifica una breve interruzione della connettività, i client SMB ritentano automaticamente le operazioni e ripristinano l'accesso ai file aperti senza richiedere all'applicazione di riaprirli. Questo comportamento è particolarmente importante per i carichi di lavoro che gestiscono sessioni di file a esecuzione prolungata.

Funzionamento della disponibilità continua

La disponibilità continua si basa su handle SMB permanenti. Durante un'interruzione temporanea, che in genere dura fino a diversi minuti, si applicano le istruzioni seguenti:

Gli handle di file aperti rimangono validi.
Il client SMB ritenta le operazioni di I/O in sospeso.
File di Azure riprende le operazioni in modo trasparente dopo il ripristino della connettività.

Poiché File di Azure assegna priorità alla correttezza e alla durabilità, il client attende e ritenta anziché eseguire immediatamente l'operazione.

Comportamento di timeout durante la perdita di connettività

A causa del comportamento di ripetizione dei tentativi richiesto dalla disponibilità continua, le operazioni SMB potrebbero impiegare più tempo a generare un timeout durante le interruzioni di rete.

Ad esempio, è possibile che si verifichi quanto segue:

I client SMB di Windows potrebbero ritentare le operazioni per diversi minuti prima di restituire un errore.
Le applicazioni potrebbero sembrare sospese temporaneamente mentre la connessione viene ristabilita.

Questo comportamento è progettato perché consente di mantenere l'integrità e prevenire il danneggiamento dei dati. I carichi di lavoro che si disconnettono frequentemente, come i portatili in roaming o le connessioni di rete instabili, potrebbero osservare tempi di attesa più lunghi prima che vengano restituiti errori.

SMB multicanale

SMB multicanale consente a un client SMB 3.x di stabilire più connessioni di rete con una condivisione file SMB. File di Azure supporta SMB Multichannel solo nelle condivisioni file SSD (premium). Per i client Windows, SMB multicanale è abilitato per impostazione predefinita in tutte le aree Azure. Nella maggior parte degli scenari, in particolare con i carichi di lavoro multi-thread, i client vedono prestazioni migliorate con SMB Multichannel. Tuttavia, per alcuni scenari specifici, ad esempio carichi di lavoro a thread singolo o a scopo di test, è possibile disabilitare SMB multicanale. Per altri dettagli, vedere SMB multicanale .

Security

File di Azure crittografa tutti i dati inattivi usando la crittografia del servizio di archiviazione di Azure. È anche possibile scegliere di crittografare i dati in transito.

Crittografia di dati inattivi

La crittografia del servizio di archiviazione funziona in modo analogo a BitLocker in Windows: crittografa i dati sotto il livello del file system. Poiché i dati vengono crittografati sotto il file system della condivisione file Azure mentre sono codificati su disco, non è necessario accedere alla chiave sottostante nel client per leggere o scrivere nella condivisione file Azure.

Crittografia dei dati in transito

File di Azure offre un'impostazione dedicata Richiedi la crittografia durante il transito per SMB che è possibile usare per controllare separatamente se è necessaria la crittografia per l'accesso SMB alle condivisioni file di Azure. Questa impostazione per protocollo offre un controllo più granulare rispetto all'impostazione di trasferimento sicuro richiesto a livello di account di archiviazione, che si applica ora soltanto al traffico REST/HTTPS. Per i nuovi account di archiviazione creati tramite il portale di Azure, Require la crittografia in transito per SMB è abilitata per impostazione predefinita, quindi sono consentiti solo i montaggi SMB che usano SMB 3.x con crittografia. I montaggi dai client che non supportano SMB 3.x con la crittografia del canale SMB vengono rifiutati quando la crittografia in transito è abilitata. Gli account di archiviazione creati utilizzando Azure PowerShell, interfaccia della riga di comando di Azure o l'API FileREST impostano l'opzione Richiedi crittografia durante il transito per SMB su Non selezionato, per assicurare la compatibilità con le versioni precedenti.

Per gli account di archiviazione esistenti, l'opzione Richiedi crittografia in transito per SMB viene inizialmente visualizzata come Non selezionata. Anche se non è selezionata, l'impostazione Trasferimento sicuro obbligatorio continua a gestire il comportamento di crittografia SMB. Dopo aver configurato in modo esplicito Richiedi crittografia in transito per SMB, tale impostazione ha la precedenza per l'accesso SMB, indipendentemente dal valore trasferimento sicuro richiesto .

File di Azure supporta AES-256-GCM con SMB 3.1.1 se usato con Windows Server 2022 o Windows 11. SMB 3.1.1 supporta anche AES-128-GCM e SMB 3.0 supporta AES-128-CCM. AES-128-GCM viene negoziato per impostazione predefinita in Windows 10, versione 21H1 per motivi di prestazioni.

È possibile disabilitare la crittografia in transito per una condivisione file Azure. Quando la crittografia è disabilitata, File di Azure consente SMB 2.1 e SMB 3.x senza crittografia. Il motivo principale per disabilitare la crittografia in transito consiste nel supportare un'applicazione legacy che deve essere eseguita in un sistema operativo precedente, ad esempio Windows Server 2008 R2 o una distribuzione Linux precedente. File di Azure consente solo connessioni SMB 2.1 all'interno della stessa area Azure della condivisione file Azure. Un client SMB 2.1 all'esterno dell'area Azure della condivisione file Azure, ad esempio in locale o in un'area Azure diversa, non può accedere alla condivisione file.

Impostazioni di sicurezza SMB

File di Azure espone le impostazioni che è possibile attivare o disattivare per rendere il protocollo SMB più compatibile o più sicuro, a seconda dei requisiti dell'organizzazione. Per impostazione predefinita, File di Azure è configurato per essere compatibile al massimo, quindi tenere presente che la limitazione di queste impostazioni potrebbe causare la mancata connessione di alcuni client.

File di Azure espone le impostazioni seguenti:

Versioni SMB: versioni di SMB consentite. Le versioni del protocollo supportate sono SMB 3.1.1, SMB 3.0 e SMB 2.1. Per impostazione predefinita, tutte le versioni SMB sono consentite, anche se SMB 2.1 non è consentito se è abilitata l'opzione Richiedi crittografia in transito per SMB (o se l'impostazione Trasferimento sicuro richiesto regola il comportamento SMB), perché SMB 2.1 non supporta la crittografia in transito.
Metodi di autenticazione: metodi di autenticazione SMB consentiti. I metodi di autenticazione supportati sono NTLMv2 (solo chiave dell'account di archiviazione) e Kerberos. Per impostazione predefinita, sono consentiti tutti i metodi di autenticazione. La rimozione di NTLMv2 non consente l'uso della chiave dell'account di archiviazione per montare la condivisione file Azure. File di Azure non supporta l'uso dell'autenticazione NTLM per le credenziali di dominio.
Crittografia ticket Kerberos: algoritmi di crittografia consentiti. Gli algoritmi di crittografia supportati sono AES-256 (fortemente consigliato) e RC4-HMAC.
Crittografia del canale SMB: algoritmi di crittografia del canale SMB consentiti. Gli algoritmi di crittografia supportati sono AES-256-GCM, AES-128-GCM e AES-128-CCM. Se si seleziona solo AES-256-GCM, è necessario indicare ai client di connessione di usarlo aprendo un terminale di PowerShell come amministratore in ogni client ed eseguendo Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. L'uso di AES-256-GCM non è supportato nei client Windows precedenti a Windows 11/Windows Server 2022.

È possibile visualizzare e modificare le impostazioni di sicurezza SMB usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. Selezionare la scheda desiderata per visualizzare i passaggi su come ottenere e specificare le impostazioni di sicurezza SMB. Si noti che queste impostazioni vengono controllate quando viene stabilita una sessione SMB e, se non viene soddisfatta, l'installazione della sessione SMB non riesce con l'errore STATUS_ACCESS_DENIED.

Per visualizzare o modificare le impostazioni di sicurezza SMB tramite il portale di Azure, seguire questa procedura:

Accedere al portale di Azure e cercare Account di archiviazione. Selezionare l'account di archiviazione per cui si desidera visualizzare o modificare le impostazioni di sicurezza SMB.
Dal menu del servizio, selezionare archiviazione dati>condivisioni file.
In Impostazioni condivisione fileselezionare il valore associato a Sicurezza.
È possibile abilitare o disabilitare in modo esplicito Richiedi crittografia in transito per SMB. Per i nuovi account di archiviazione creati usando il portale di Azure, questa impostazione è abilitata per impostazione predefinita.
In Profiloselezionare Compatibilità massima, Massima sicurezza o Personalizzato. Se si seleziona Personalizzato, è possibile creare un profilo personalizzato per le versioni del protocollo SMB, la crittografia del canale SMB, i meccanismi di autenticazione e la crittografia dei ticket Kerberos.

Importante

Se si seleziona Massima sicurezza o si usano impostazioni personalizzate, alcuni client potrebbero non essere in grado di connettersi. Ad esempio, AES-256-GCM è stata introdotta come opzione per la crittografia del canale SMB a partire da Windows Server 2022 e Windows 11. Ciò significa che i client meno recenti che non supportano AES-256-GCM non possono connettersi. Se si seleziona solo AES-256-GCM, è necessario indicare ai client Windows Server 2022 e Windows 11 di usare solo AES-256-GCM aprendo un terminale di PowerShell come amministratore in ogni client ed eseguendo Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Dopo aver immesso le impostazioni di sicurezza desiderate, selezionare Salva.

Per ottenere le impostazioni del protocollo SMB, usare il cmdlet Get-AzStorageFileServiceProperty. Sostituire <resource-group> e <storage-account> con i valori del proprio ambiente. Se si imposta una qualsiasi delle impostazioni di sicurezza SMB su null, ad esempio disabilitando la crittografia del canale SMB, consultare le istruzioni nello script su come commentare determinate righe.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

A seconda dei requisiti di sicurezza, prestazioni e compatibilità dell'organizzazione, è opportuno modificare le impostazioni del protocollo SMB. Il comando PowerShell seguente limita le condivisioni file SMB solo alle opzioni più sicure.

Importante

Limitare le condivisioni file SMB di Azure solo alle opzioni più sicure potrebbe impedire ad alcuni client di connettersi. Ad esempio, AES-256-GCM è stata introdotta come opzione per la crittografia del canale SMB a partire da Windows Server 2022 e Windows 11. Questa restrizione significa che i client meno recenti che non supportano AES-256-GCM non possono connettersi. Se si seleziona solo AES-256-GCM, è necessario indicare ai client Windows Server 2022 e Windows 11 di usare solo AES-256-GCM aprendo un terminale di PowerShell come amministratore in ogni client ed eseguendo Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

A seconda dei requisiti di sicurezza, è possibile abilitare o disabilitare l'impostazione Richiedi crittografia in transito per SMB .

Per abilitare Richiedi crittografia in transito per SMB nell'account di archiviazione, eseguire il cmdlet seguente:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Per disabilitare Richiedi crittografia in transito per SMB nell'account di archiviazione, eseguire il cmdlet seguente:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Per ottenere lo stato delle impostazioni di sicurezza SMB, usare il comando az storage account file-service-properties show. Prima di eseguire questi comandi Bash, sostituire <resource-group> e <storage-account> con i valori appropriati per l'ambiente. Se si imposta deliberatamente una delle impostazioni di sicurezza SMB su Null, ad esempio disabilitando la crittografia del canale SMB, vedere le istruzioni nello script sull'inserimento di commenti su determinate righe.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

A seconda dei requisiti di sicurezza, prestazioni e compatibilità dell'organizzazione, è opportuno modificare le impostazioni del protocollo SMB. Il comando interfaccia della riga di comando di Azure seguente limita le condivisioni file SMB solo alle opzioni più sicure.

Importante

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

A seconda dei requisiti di sicurezza, è possibile abilitare o disabilitare l'impostazione Richiedi crittografia in transito per SMB .

Per abilitare Richiedi crittografia in transito per SMB nell'account di archiviazione, eseguire il comando seguente:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Per disabilitare Richiedi crittografia in transito per SMB nell'account di archiviazione, eseguire il comando seguente:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Limitazioni

Le condivisioni file SMB di Azure supportano un sottoinsieme delle funzionalità supportate dal protocollo SMB e dal file system NTFS. Sebbene la maggior parte dei casi d'uso e delle applicazioni non richieda queste funzionalità, alcune applicazioni potrebbero non funzionare correttamente con File di Azure se si basano su funzionalità non supportate. Le funzionalità seguenti non sono supportate:

SMB diretto
Leasing di directory SMB
VSS per condivisioni file SMB (questa funzionalità consente ai provider vss di scaricare i dati nella condivisione file SMB prima di creare uno snapshot)
Flussi dei dati alternativi
Attributi estesi
Identificatori di oggetto
Collegamenti reali
Collegamenti temporanei
Reparse point
File sparse
Nomi di file brevi (alias 8.3)
Compression

Disponibilità a livello di area

Le condivisioni file SMB Azure sono disponibili in ogni area Azure, incluse tutte le aree pubbliche e sovrane. Le condivisioni file SSD sono disponibili in un sottoinsieme di regioni.

Passaggi successivi

Plan per una distribuzione File di Azure
Creare una condivisione file Azure
Montare condivisioni file SMB nel sistema operativo preferito:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-26