Partilhar via

Monte o compartilhamento de arquivos do Azure SMB no Windows

Aplica-se a: ✔️ Compartilhamentos de arquivos do Azure SMB

Ficheiros do Azure é o sistema de ficheiros na cloud fácil de utilizar da Microsoft. Este artigo mostra como montar um compartilhamento de arquivos do Azure SMB no Windows e no Windows Server.

O Azure Files suporta SMB Multichannel apenas em partilhas de ficheiros SSD.

Versão do Windows Versão do SMB Ficheiros do Azure Multicanal SMB Encriptação de canal SMB máxima
Windows Server 2025 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 24H2 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 23H2 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 22H2 SMB 3.1.1 Sim AES-256-GCM
Windows 10, versão 22H2 SMB 3.1.1 Sim AES-128-GCM
Windows Server 2022 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 21H2 SMB 3.1.1 Sim AES-256-GCM
Windows 10, versão 21H2 SMB 3.1.1 Sim AES-128-GCM
Windows 10, versão 21H1 SMB 3.1.1 Sim, com KB5003690 ou mais recente AES-128-GCM
Windows Server, versão 20H2 SMB 3.1.1 Sim, com KB5003690 ou mais recente AES-128-GCM
Windows 10, versão 20H2 SMB 3.1.1 Sim, com KB5003690 ou mais recente AES-128-GCM
Windows Server, versão 2004 SMB 3.1.1 Sim, com KB5003690 ou mais recente AES-128-GCM
Windows 10, versão 2004 SMB 3.1.1 Sim, com KB5003690 ou mais recente AES-128-GCM
Windows Server 2019 SMB 3.1.1 Sim, com KB5003703 ou mais recente AES-128-GCM
Windows 10, versão 1809 SMB 3.1.1 Sim, com KB5003703 ou mais recente AES-128-GCM
Windows Server 2016 SMB 3.1.1 Sim, com KB5004238 ou mais recente e a chave do Registo aplicada AES-128-GCM
Windows 10, versão 1607 SMB 3.1.1 Sim, com KB5004238 ou mais recente e a chave do Registo aplicada AES-128-GCM
Windows 10, versão 1507 SMB 3.1.1 Sim, com KB5004249 ou mais recente e a chave do Registo aplicada AES-128-GCM
Windows Server 2012 R21 SMB 3,0 Não AES-128-CCM
Windows Server 20121 SMB 3,0 Não AES-128-CCM
Windows 8.12 SMB 3,0 Não AES-128-CCM
Windows Server 2008 R22 SMB 2,1 Não Não suportado
Janelas 72 SMB 2,1 Não Não suportado

1 O suporte regular da Microsoft para Windows Server 2012 e Windows Server 2012 R2 terminou. É possível adquirir suporte adicional para atualizações de segurança apenas através do programa Extended Security Update (ESU).

2 O suporte da Microsoft para Windows 7, Windows 8 e Windows Server 2008 R2 terminou. É altamente recomendável migrar desses sistemas operacionais.

Nota

Recomendamos que tome o KB mais recente para a sua versão do Windows.

Verifique se a porta 445 está aberta

O protocolo SMB requer que a porta TCP 445 esteja aberta. As conexões falharão se a porta 445 estiver bloqueada. Você pode verificar se seu firewall ou ISP está bloqueando a porta 445 usando o Test-NetConnection cmdlet do PowerShell. Para obter mais informações, consulte A porta 445 está bloqueada.

Se quiser montar seu compartilhamento de arquivos do Azure sobre SMB de fora do Azure sem abrir a porta 445, você pode usar uma VPN ponto a site.

Para usar um compartilhamento de arquivos do Azure por meio do ponto de extremidade público fora da região do Azure em que está hospedado, como no local ou em uma região diferente do Azure, o sistema operacional deve oferecer suporte ao SMB 3.x. As versões mais antigas do Windows que suportam apenas o SMB 2.1 não podem montar partilhas de ficheiros do Azure através do ponto de extremidade público.

Usar autenticação baseada em identidade

Para melhorar a segurança e o controlo de acesso, pode configurar a autenticação baseada em identidade e adicionar ao domínio os seus clientes. Isso permite que você use sua identidade do Ative Directory ou do Microsoft Entra para acessar o compartilhamento de arquivos em vez de usar uma chave de conta de armazenamento.

Antes de montar um compartilhamento de arquivos do Azure usando a autenticação baseada em identidade, você deve concluir o seguinte:

  • Atribua permissões de nível de compartilhamento e configure permissões de nível de diretório e arquivo. Lembre-se de que a atribuição de papéis no nível de compartilhamento pode demorar algum tempo para ter efeito.
  • Se estiver a montar o compartilhamento de ficheiros a partir de um cliente que se conectou anteriormente ao compartilhamento de ficheiros usando a chave da sua conta de armazenamento, certifique-se de primeiro desmontar o compartilhamento e remover as credenciais persistentes dessa chave de conta de armazenamento. Para obter instruções sobre como remover credenciais armazenadas em cache e excluir conexões SMB existentes antes de inicializar uma nova conexão com os Serviços de Domínio Ative Directory (AD DS) ou credenciais do Microsoft Entra, siga o processo de duas etapas nas Perguntas frequentes.
  • Se a origem do AD for AD DS ou Microsoft Entra Kerberos, o cliente deverá ter conectividade de rede desimpedida com o AD DS. Se sua máquina ou VM estiver fora da rede gerenciada pelo AD DS, você precisará habilitar a VPN para acessar o AD DS para autenticação.
  • Entre no cliente usando as credenciais da identidade AD DS ou Microsoft Entra para a qual você concedeu permissões.

Se você tiver problemas, consulte Não é possível montar compartilhamentos de arquivos do Azure com credenciais do AD.

Usar um compartilhamento de arquivos do Azure com o Windows

Para utilizar uma partilha de ficheiros do Azure com o Windows, tem de montá-la, o que significa atribuir uma letra de unidade ou um caminho de ponto de montagem, ou aceder a ela através do respetivo caminho UNC. Atualmente, não há suporte para tokens de assinatura de acesso compartilhado (SAS) para montagem de compartilhamentos de arquivos do Azure.

Nota

Um padrão comum para levantar e deslocar aplicativos de linha de negócios (LOB) que esperam um compartilhamento de arquivos SMB para o Azure é usar um compartilhamento de arquivos do Azure como uma alternativa para executar um servidor de arquivos dedicado do Windows em uma máquina virtual (VM) do Azure. Uma consideração importante para migrar com êxito um aplicativo LOB para usar um compartilhamento de arquivos do Azure é que muitos aplicativos são executados no contexto de uma conta de serviço dedicada com permissões limitadas do sistema, em vez da conta administrativa da VM. Por esse motivo, tem de garantir que monta/guarda as credenciais da partilha de ficheiros do Azure no contexto da conta de serviço em vez da conta administrativa.

Monte o compartilhamento de arquivos do Azure

Você pode montar um compartilhamento de arquivos do Azure SMB no Windows usando o portal do Azure ou o Azure PowerShell.

Para montar um compartilhamento de arquivos do Azure usando o portal do Azure, siga estas etapas:

  1. Inicie sessão no portal do Azure.

  2. Navegue até à conta de armazenamento que contém a partilha de ficheiros que pretende montar.

  3. Selecione Partilhas de ficheiros.

  4. Selecione a partilha de ficheiros que pretende montar.

    Captura de ecrã do painel de partilhas de ficheiros, a partilha de ficheiros está realçada.

  5. Selecione Ligar.

    Captura de ecrã do ícone de ligação para a partilha de ficheiros.

  6. Selecione a letra da unidade na qual montar o compartilhamento.

  7. Em Método de autenticação, selecione Ative Directory ou Microsoft Entra. Se você vir uma mensagem informando que a autenticação baseada em identidade não está configurada para sua conta de armazenamento, configure-a com base em um dos métodos descritos em Visão geral da autenticação baseada em identidade e tente montar o compartilhamento novamente.

  8. Selecione Mostrar script e copie o script fornecido.

    Imagem do ecrã do painel de conexão, botão de cópia no script está destacado.

  9. Cole o script em um shell no host no qual você deseja montar o compartilhamento de arquivos e execute-o.

Agora você montou seu compartilhamento de arquivos do Azure.

Monte o compartilhamento de arquivos do Azure usando a linha de comando do Windows

Você também pode usar o net use comando de um prompt do Windows para montar o compartilhamento de arquivos.

Monte o compartilhamento de arquivos a partir de uma VM associada a um domínio

Para montar o compartilhamento de arquivos a partir de uma VM associada a um domínio, execute o seguinte comando em um prompt de comando do Windows. Lembre-se de substituir <YourStorageAccountName> e <FileShareName> com seus próprios valores.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Monte o compartilhamento de arquivos de uma VM não associada ao domínio ou de uma VM ingressada em um domínio do AD diferente

Se a origem do AD for o AD DS local, as VMs ou VMs não associadas ao domínio que ingressaram em um domínio do AD diferente da conta de armazenamento poderão acessar os compartilhamentos de arquivos do Azure se tiverem conectividade de rede desimpedida com os controladores de domínio do AD e fornecerem credenciais explícitas. O usuário que acessa o compartilhamento de arquivos deve ter uma identidade e credenciais no domínio do AD ao qual a conta de armazenamento está associada.

Se a origem do AD for os Serviços de Domínio Microsoft Entra, o cliente deverá ter conectividade de rede desimpedida com os controladores de domínio dos Serviços de Domínio Microsoft Entra, o que requer a configuração de uma VPN site a site ou ponto a site. O utilizador que acede à partilha de ficheiros deve ter uma identidade (uma identidade da Microsoft Entra sincronizada do Microsoft Entra ID com os Microsoft Entra Domain Services) no domínio gerido dos Microsoft Entra Domain Services.

Para montar um compartilhamento de ficheiros de uma VM não associada a um domínio, use a notação username@domainFQDN, em que domainFQDN é o nome de domínio totalmente qualificado, para permitir que o cliente entre em contacto com o controlador de domínio para solicitar e receber tickets Kerberos. Você pode obter o valor de domainFQDN executando (Get-ADDomain).Dnsroot no Ative Directory PowerShell.

Por exemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Se a origem do AD for os serviços de Domínio Microsoft Entra, você também poderá fornecer credenciais como DOMAINNAME\username , onde DOMAINNAME é o domínio dos Serviços de Domínio Microsoft Entra e username é o nome de usuário da identidade nos Serviços de Domínio Microsoft Entra:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

O portal do Azure fornece um script do PowerShell que você pode usar para montar seu compartilhamento de arquivos diretamente em um host usando a chave da conta de armazenamento. No entanto, recomendamos o uso da autenticação baseada em identidade em vez da chave da conta de armazenamento por motivos de segurança. Se você precisar usar a chave da conta de armazenamento, siga as instruções de montagem, mas em Método de autenticação, selecione Chave da conta de armazenamento.

Uma chave de conta de armazenamento é uma chave de administrador para uma conta de armazenamento, incluindo permissões de administrador para todos os arquivos e pastas dentro do compartilhamento de arquivos que você está acessando e para todos os compartilhamentos de arquivos e outros recursos de armazenamento (blobs, filas, tabelas, etc.) contidos em sua conta de armazenamento. Você pode encontrar sua chave de conta de armazenamento no portal do Azure navegando até a conta de armazenamento e selecionando Segurança + chaves> de rede, ou pode usar o Get-AzStorageAccountKey cmdlet do PowerShell.

Montar a partilha de ficheiros do Azure com o Explorador de Ficheiros

  1. Abra o Explorador de Ficheiros abrindo-o a partir do Menu Iniciar ou premindo o atalho Win+E.

  2. Navegue até Este PC no lado esquerdo da janela. Esta ação altera os menus disponíveis no friso. No menu Computador, selecione Mapear unidade de rede.

    Captura de ecrã do menu suspenso Mapear unidade de rede.

  3. Selecione a letra da unidade e insira o caminho UNC para o seu compartilhamento de arquivos do Azure. O formato de caminho UNC é \\<storageAccountName>.file.core.windows.net\<fileShareName>. Por exemplo: \\anexampleaccountname.file.core.windows.net\file-share-name. Marque a caixa de seleção Conectar usando credenciais diferentes. Selecione Concluir.

    Captura de ecrã da caixa de diálogo Mapear Unidade de Rede.

  4. Selecione Mais opções>Usar uma conta diferente. Em Endereço de email, use o nome da conta de armazenamento e use uma chave de conta de armazenamento como senha. Selecione OK.

    Captura de tela da caixa de diálogo de credenciais de rede selecionando usar uma conta diferente.

  5. Utilize a partilha de ficheiros do Azure conforme pretendido.

    Captura de ecrã a mostrar que a partilha de ficheiros do Azure está agora montada.

  6. Quando estiver pronto para desmontar o compartilhamento de arquivos do Azure, clique com o botão direito do mouse na entrada do compartilhamento em Locais de rede no Explorador de Arquivos e selecione Desconectar.

Nota

Os Arquivos do Azure não oferecem suporte à conversão de SID para UPN para utilizadores e grupos de uma VM não associada ao domínio ou de uma VM associada a um domínio diferente através do Explorador de Ficheiros do Windows. Se pretender visualizar proprietários de ficheiros/diretórios ou visualizar/modificar permissões NTFS através do Explorador de Ficheiros do Windows, pode fazê-lo apenas a partir de VMs associadas a domínios.

Aceder a uma partilha de ficheiros do Azure através do seu caminho UNC

Você não precisa montar o compartilhamento de arquivos do Azure numa letra de unidade para usá-lo. Você pode aceder diretamente o seu compartilhamento de ficheiros do Azure usando o caminho UNC inserindo o seguinte no Explorador de Ficheiros. Certifique-se de substituir storageaccountname pelo nome da conta de armazenamento e myfileshare pelo nome do compartilhamento de arquivos:

\\storageaccountname.file.core.windows.net\myfileshare

Ser-lhe-á pedido para iniciar sessão com as suas credenciais de rede. Entre com a assinatura do Azure sob a qual você criou a conta de armazenamento e o compartilhamento de arquivos. Se você não for solicitado a fornecer credenciais, poderá adicioná-las usando o seguinte comando:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Para o Azure Government Cloud, altere o nome do servidor para:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Montar compartilhamentos de arquivos usando nomes de domínio personalizados

Se não quiser montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, você pode modificar o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivos do Azure e adicionar um registro de nome canônico (CNAME) para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. As instruções a seguir são apenas para ambientes de floresta única. Para saber como configurar ambientes com duas ou mais florestas, consulte Usar arquivos do Azure com várias florestas do Ative Directory.

Nota

Os Arquivos do Azure dão suporte apenas à configuração de CNAMES usando o nome da conta de armazenamento como um prefixo de domínio. Se você não quiser usar o nome da conta de armazenamento como um prefixo, considere usar namespaces DFS.

Neste exemplo, temos o domínio do Ative Directory onpremad1.com e temos uma conta de armazenamento chamada mystorageaccount que contém compartilhamentos de arquivos do Azure SMB. Primeiro, precisamos modificar o sufixo SPN da conta de armazenamento para mapear mystorageaccount.onpremad1.com para mystorageaccount.file.core.windows.net.

Você pode montar o compartilhamento de arquivos com net use \\mystorageaccount.onpremad1.com porque os clientes em onpremad1 sabem pesquisar onpremad1.com para encontrar o recurso adequado para essa conta de armazenamento.

Para usar esse método, conclua as seguintes etapas:

  1. Certifique-se de configurar a autenticação baseada em identidade. Se a origem do AD for AD DS ou Microsoft Entra Kerberos, certifique-se de que sincronizou as suas contas de utilizador do AD com o Microsoft Entra ID.

  2. Modifique o SPN da conta de armazenamento usando a setspn ferramenta. Você pode encontrar <DomainDnsRoot> executando o seguinte comando do PowerShell do Ative Directory: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Adicione uma entrada CNAME usando o Gerenciador de DNS do Ative Directory. Se você estiver usando um ponto de extremidade privado, adicione a entrada CNAME para mapear para o nome do ponto de extremidade privado.

    1. Abra o Gerenciador de DNS do Ative Directory.
    2. Aceda ao seu domínio (por exemplo, onpremad1.com).
    3. Vá para "Zonas de pesquisa direta".
    4. Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).
    5. Para o nome do alias, insira o nome da sua conta de armazenamento.
    6. Para o nome de domínio totalmente qualificado (FQDN), digite <storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. A parte do nome do host do FQDN deve corresponder ao nome da conta de armazenamento. Se o nome do host não corresponder ao nome da conta de armazenamento, a montagem falhará com um erro de acesso negado.
    7. Para o FQDN do host de destino, digite <storage-account-name>.file.core.windows.net
    8. Selecione OK.

Agora você deve ser capaz de montar o compartilhamento de arquivos usando storageaccount.domainname.com.

Próximos passos

Veja estas ligações para obter mais informações sobre os Ficheiros do Azure:

  • Last updated on