Файловые ресурсы SMB Azure

Область применения: ✔️ общие папки SMB

Azure Files предлагает два стандартных протокола для подключения файлового ресурса Azure: протокол Server Message Block (SMB) и протокол Network File System (NFS). Azure Files позволяет выбрать протокол файловой системы, который лучше всего подходит для рабочей нагрузки. Файловые ресурсы Azure не поддерживают доступ к отдельному файловому ресурсу Azure с помощью протоколов SMB и NFS, хотя вы можете создавать файловые ресурсы SMB и NFS в одном аккаунте хранения. Для всех общих ресурсов Azure Files предлагает файловые ресурсы корпоративного уровня, которые могут увеличиваться в зависимости от ваших потребностей в объеме хранилища и к которым могут одновременно получать доступ тысячи пользователей.

В этой статье рассматриваются файловые ресурсы SMB Azure. Сведения о файловых ресурсах NFS Azure см. в разделе NFS Azure файловые ресурсы.

Распространенные сценарии

Общие папки SMB используются для многих приложений, включая общие папки конечных пользователей и общие папки, которые возвращают базы данных и приложения. Общие папки SMB часто используются в следующих сценариях:

Общие папки конечных пользователей, такие как общие папки группы и домашние каталоги
Резервное хранилище для приложений на основе Windows, таких как базы данных SQL Server или бизнес-приложения, написанные с использованием интерфейсов API локальной файловой системы Win32 или .NET.
Разработка новых приложений и служб, особенно если это приложение или служба имеют требование для случайного ввода-вывода и иерархического хранилища

Функции

Azure Files поддерживает основные функции SMB и Azure, необходимые для производственных развертываний общих папок SMB:

Непрерывная доступность SMB (CA)
Присоединение к домену AD и дискреционные списки управления доступом (DACLs)
Интегрированное бессерверное резервное копирование с Azure Backup
Сетевая изоляция с помощью частных конечных точек Azure
Высокая пропускная способность сети с помощью SMB Multichannel (только общие папки SSD)
Шифрование каналов SMB, включая AES-256-GCM, AES-128-GCM и AES-128-CCM
Поддержка предыдущих версий с помощью моментальных снимков интегрированной общей папки VSS
Автоматическое обратимое удаление в общих папках Azure, чтобы предотвратить случайное удаление
По выбору доступные через Интернет общие папки с интернет-сейфом SMB 3.0+

Общие папки SMB можно подключить непосредственно в локальной среде или кэшировать локально с помощью Azure File Sync.

Поддержка SMB в Windows и возможности Azure Files

В следующей таблице показана поддержка Windows для версии SMB, функции SMB Multichannel¹ и шифрования каналов SMB при подключении файловых хранилищ Azure. Эта таблица позволяет определить требования к поддержке функций и безопасности для клиентских операционных систем, обращаюющихся к Azure общей папке. Мы рекомендуем установить самое последнее обновление KB для вашей версии Windows.

версия Windows	Версия SMB	SMB Multichannel (только SSD)	Максимальное шифрование канала SMB
Windows Server 2025 г.	SMB 3.1.1	Да	AES-256-GCM.
Windows 11 версии 24H2	SMB 3.1.1	Да	AES-256-GCM.
Windows 11 версии 23H2	SMB 3.1.1	Да	AES-256-GCM.
Windows 11 версии 22H2	SMB 3.1.1	Да	AES-256-GCM.
Windows 10 версии 22H2	SMB 3.1.1	Да	AES-128-GCM;
Windows Server 2022	SMB 3.1.1	Да	AES-256-GCM.
Windows 11 версии 21H2	SMB 3.1.1	Да	AES-256-GCM.
Windows 10 версии 21H2	SMB 3.1.1	Да	AES-128-GCM;
Windows 10 версии 21H1	SMB 3.1.1	Да, с KB5003690 или более поздней версией	AES-128-GCM;
Windows Server версии 20H2	SMB 3.1.1	Да, с KB5003690 или более поздней версией	AES-128-GCM;
Windows 10 версии 20H2	SMB 3.1.1	Да, с KB5003690 или более поздней версией	AES-128-GCM;
Windows Server версии 2004	SMB 3.1.1	Да, с KB5003690 или более поздней версией	AES-128-GCM;
Windows 10 версии 2004	SMB 3.1.1	Да, с KB5003690 или более поздней версией	AES-128-GCM;
Windows Server 2019	SMB 3.1.1	Да, с KB5003703 или более поздней версией	AES-128-GCM;
Windows 10 версии 1809	SMB 3.1.1	Да, с KB5003703 или более поздней версией	AES-128-GCM;
Windows Server 2016	SMB 3.1.1	Да, с KB5004238 или новой версией и примененным ключом реестра	AES-128-GCM;
Windows 10 версии 1607	SMB 3.1.1	Да, с KB5004238 или новой версией и примененным ключом реестра	AES-128-GCM;
Windows 10 версии 1507	SMB 3.1.1	Да, с обновлением KB5004249 или более новым и применённым ключом реестра	AES-128-GCM;
Windows Server 2012 R2²	SMB 3.0	Нет	AES-128-CCM
Windows Server 2012²	SMB 3.0	Нет	AES-128-CCM
Windows 8.1³	SMB 3.0	Нет	AES-128-CCM
Windows Server 2008 R2³	SMB 2.1	Нет	Не поддерживаются
Windows 7³	SMB 2.1	Нет	Не поддерживаются

¹Azure Files поддерживает SMB Multichannel только на файловых ресурсах SSD.

²Обычная поддержка Microsoft для Windows Server 2012 и Windows Server 2012 R2 окончена. Вы можете приобрести дополнительную поддержку обновлений безопасности только в программе расширенного обновления безопасности (ESU).

³Microsoft поддержка Windows 7, Windows 8 и Windows Server 2008 R2 закончилась. Мы настоятельно рекомендуем отказаться от этих операционных систем.

Параметры протокола SMB

Azure Files предлагает несколько параметров, влияющих на поведение, производительность и безопасность протокола SMB. Они настроены для всех файловых ресурсов Azure в учетной записи для хранения данных.

Непрерывная доступность SMB

Azure Files поддерживает непрерывную доступность SMB (CA), чтобы приложения оставались доступными в период временных событий инфраструктуры. Непрерывная доступность — это возможность протокола SMB, который позволяет открытым дескрипторам файлов переживать кратковременные прерывания, такие как переключение на резервный сервер или короткие перебои в сети. Все общие папки SMB Azure по умолчанию постоянно доступны. Этот параметр не может быть отключен.

Что обеспечивает непрерывная доступность

Непрерывная доступность обеспечивает следующие преимущества:

Постоянные дескрипторы файлов, которые устойчивы к временным сбоям
Прозрачное восстановление операций ввода-вывода после переключения на резервную систему
Согласованность данных во время переходов инфраструктуры
Снижение риска нарушения работы приложений

Если происходит краткое прерывание подключения, клиенты SMB автоматически повторяют операции и повторно получают доступ к открытым файлам, не требуя повторного открытия приложений. Это поведение особенно важно для рабочих нагрузок, которые поддерживают длительное использование файловых сессий.

Принцип работы непрерывной доступности

Непрерывная доступность зависит от постоянных дескрипторов SMB. Во время временного прерывания, который обычно длится до нескольких минут, применяются следующие инструкции:

Открытые дескрипторы файлов остаются допустимыми.
Клиент SMB повторно пытается выполнить ожидающие операции ввода-вывода.
Azure Files прозрачно возобновляет операции после восстановления подключения.

Поскольку Azure Files ставит приоритет на правильность и долговечность, клиент ожидает и повторяет попытку вместо того, чтобы немедленно завершить операцию сбоем.

Поведение времени ожидания во время потери подключения

Из-за поведения повторных попыток, требуемого для обеспечения непрерывной доступности, операции SMB могут занимать больше времени для завершения во время сетевых сбоев.

Например, может возникнуть следующее:

Windows клиенты SMB могут повторить операции в течение нескольких минут, прежде чем возвращать ошибку.
Приложения могут временно приостановиться при повторном подключении.

Это поведение является запланированным, так как оно помогает сохранить целостность дескрипторов и предотвратить повреждение данных. Рабочие нагрузки, которые часто отключаются, например перемещаемые ноутбуки или неустойчивые сетевые подключения, могут испытывать более длительные задержки прежде чем произойдут сбои.

SMB Multichannel

Функция SMB Multichannel позволяет клиенту SMB 3.x устанавливать несколько сетевых подключений к общей папке SMB. Azure Files поддерживает SMB Multichannel в общих папках SSD. Для клиентов Windows SMB Multichannel теперь включен по умолчанию во всех Azure регионах.

Чтобы просмотреть состояние SMB Multichannel, перейдите к учетной записи хранения, содержащей общие папки SSD, и выберите общие папки в заголовке хранилища данных в оглавлении учетной записи хранения. Состояние SMB Multichannel должно отображаться в разделе параметров общей папки . Если вы этого не видите, убедитесь, что учетная запись хранения имеет тип учетной записи FileStorage.

Чтобы включить или отключить SMB Multichannel, выберите текущее состояние (Включено или Отключено). Диалоговое окно предоставляет возможность включения или отключения SMB Multichannel. Выберите нужное значение и нажмите Сохранить.

Снимок экрана диалогового окна для включения и отключения функции SMB Multichannel.

Чтобы получить состояние SMB Multichannel, используйте командлет Get-AzStorageFileServiceProperty. Замените <resource-group> и <storage-account> соответствующими значениями среды перед выполнением этих команд PowerShell.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Чтобы включить или отключить SMB Multichannel, используйте командлет Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Чтобы получить состояние SMB Multichannel, используйте команду az storage account file-service-properties show. Перед выполнением этих команд замените <resource-group> и <storage-account> соответствующими значениями среды.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Чтобы включить или отключить SMB Multichannel, используйте команду az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Включение SMB Multichannel в старых операционных системах

Поддержка SMB Multichannel в Azure Files требует убедиться, что на Windows установлены все соответствующие исправления. Несколько старых версий Windows, включая Windows Server 2016, Windows 10 версии 1607 и Windows 10 версии 1507, требуют установки дополнительных ключей реестра для применения всех соответствующих исправлений SMB Multichannel на полностью обновленных установках. Если вы используете версию Windows, которая является более новой, чем эти три версии, никаких дополнительных действий не требуется.

Windows Server 2016 и Windows 10 версии 1607

Чтобы включить все исправления SMB Multichannel для Windows Server 2016 и Windows 10 версии 1607, выполните следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 версии 1507

Чтобы включить все исправления SMB Multichannel для Windows 10 версии 1507, выполните следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Безопасность

Все данные, хранящиеся в Azure Files, шифруются при хранении с помощью шифрования службы хранилища Azure (SSE). Вы также можете зашифровать данные во время передачи.

Шифрование данных в состоянии покоя

Шифрование службы хранилища работает аналогично BitLocker на Windows: данные шифруются под уровнем файловой системы. Поскольку данные шифруются на уровне файловой системы Azure в процессе записи на диск, вам не требуется доступ к базовым ключам на клиенте для чтения или записи в файловый ресурс Azure.

Шифрование при передаче

Azure Files предоставляет выделенный параметр Require Encryption in Transit for SMB, который позволяет независимо контролировать необходимость шифрования для доступа SMB к Azure файловым ресурсам. Этот параметр для каждого протокола обеспечивает более детализированный контроль, чем обязательный параметр безопасной передачи на уровне учетной записи хранения, который теперь применяется только к трафику REST/HTTPS. Для новых учетных записей хранения, созданных с помощью портала Azure, Require Encryption in Transit for SMB включен по умолчанию, поэтому разрешены только подключения SMB 3.x с шифрованием. Подключения от клиентов, которые не поддерживают шифрование канала SMB 3.x, отклоняются при включении шифрования при передаче. Учетные записи хранения, созданные с помощью Azure PowerShell, Azure CLI или API FileREST, устанавливают транзитное шифрование для SMB как Не выбрано для обеспечения обратной совместимости.

Для существующих учетных записей хранения функция Требовать шифрование при передаче для SMB изначально отображается как Не выбрано. Хотя это не выбрано, параметр безопасной передачи продолжает управлять поведением шифрования SMB. После явной настройки обязательного шифрования в транзитном режиме для SMB этот параметр имеет приоритет для доступа SMB независимо от требуемого значения безопасной передачи .

Azure Files поддерживает AES-256-GCM с SMB 3.1.1 при использовании с Windows Server 2022 или Windows 11. Протокол SMB 3.1.1 также поддерживает алгоритм AES-128-GCM, а протокол SMB 3.0 — алгоритм AES-128-CCM. По умолчанию AES-128-GCM согласован в Windows 10, версии 21H1, по соображениям производительности.

Вы можете отключить шифрование в процессе передачи для файлового хранилища Azure. При отключении шифрования Azure Files разрешает SMB 2.1 и SMB 3.x без шифрования. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в старой операционной системе, например Windows Server 2008 R2 или более старой версии дистрибутива Linux. Azure Files разрешает подключения SMB 2.1 только в том же регионе Azure, что и файловый ресурс Azure; клиент SMB 2.1 из-за пределов региона Azure файлового ресурса, например, из локальной сети или из другого Azure региона, не может получить доступ к файловому ресурсу.

Параметры безопасности SMB

Azure Files предоставляет параметры, позволяющие переключать протокол SMB на более совместимый или более безопасный режим в зависимости от требований вашей организации. По умолчанию Azure Files настроены на максимальную совместимость, поэтому помните, что ограничение этих параметров может привести к тому, что некоторые клиенты не смогут подключаться.

Azure Files предоставляет следующие параметры:

Версии SMB. Разрешенные версии протокола SMB. Поддерживаются следующие версии этого протокола: SMB 3.1.1, SMB 3.0 и SMB 2.1. По умолчанию разрешены все версии SMB, хотя SMB 2.1 запрещено, если включено шифрование при передаче для SMB (или если требуемый параметр безопасной передачи управляет поведением SMB), так как SMB 2.1 не поддерживает шифрование при передаче.
Методы проверки подлинности. Разрешенные методы проверки подлинности для протокола SMB. Поддерживаемые методы проверки подлинности: NTLMv2 (только ключ учетной записи хранилища) и Kerberos. По умолчанию разрешены все методы проверки подлинности. Удаление NTLMv2 запрещает использование ключа учетной записи хранения для монтирования файлового ресурса Azure. Azure Files не поддерживает проверку подлинности NTLM для учетных данных домена.
Шифрование билета Kerberos. Разрешенные алгоритмы шифрования. Поддерживаемые алгоритмы шифрования : AES-256 (настоятельно рекомендуется) и RC4-HMAC.
Шифрование канала SMB. Разрешенные алгоритмы шифрования канала SMB. Поддерживаются алгоритмы шифрования AES-256-GCM, AES-128-GCM и AES-128-CCM. Если выбрать только AES-256-GCM, вам потребуется сообщить подключающимся клиентам, что нужно его использовать, открыв терминал PowerShell с правами администратора на каждом клиенте и введя Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Использование AES-256-GCM не поддерживается для клиентов Windows старше Windows 11/Windows Server 2022.

Вы можете просматривать и изменять параметры безопасности SMB с помощью портала Azure, Azure PowerShell или Azure CLI. Выберите нужную вкладку, чтобы узнать, как получить и задать параметры безопасности SMB. Обратите внимание, что эти параметры проверяются при установке сеанса SMB и, если он не выполнен, установка сеанса SMB завершается ошибкой STATUS_ACCESS_DENIED.

Чтобы просмотреть или изменить параметры безопасности SMB с помощью портала Azure, выполните следующие действия:

Войдите на портал Azure и найдите учетные записи Storage. Выберите учетную запись хранения, для которой вы хотите просмотреть или изменить параметры безопасности SMB.
В меню службы выберите хранилище данных>общие папки.
В разделе Параметры общей папки выберите значение, связанное с безопасностью.
Вы можете явно включить или отключить требование шифрования в транзитном режиме для SMB. Для новых учетных записей хранения, созданных с помощью портала Azure, этот параметр включен по умолчанию.
В разделе Профиль выберите Максимальная совместимость, Максимальная безопасность или Пользовательский. Выбор значения Пользовательский позволяет вам создать пользовательский профиль для версий протокола SMB, шифрования каналов SMB, механизмов проверки подлинности и шифрования билетов Kerberos.

Внимание

Выбор максимальной безопасности или использование пользовательских параметров может привести к тому, что некоторые клиенты не смогут подключаться. Например, AES-256-GCM был представлен как вариант шифрования каналов SMB, начиная с Windows Server 2022 и Windows 11. Это означает, что старые клиенты, не поддерживающие AES-256-GCM, не смогут подключаться. Если выбрать только AES-256-GCM, необходимо сообщить Windows Server 2022 и Windows 11 клиентам использовать только AES-256-GCM, открыв терминал PowerShell в качестве администратора на каждом клиенте и выполнив Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

После ввода необходимых параметров безопасности нажмите кнопку Сохранить.

Чтобы получить значения параметров протокола SMB, используйте командлет Get-AzStorageFileServiceProperty. Замените <resource-group> и <storage-account> соответствующими значениями для вашей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда PowerShell позволяет применить к общим папкам SMB наиболее строгие параметры безопасности.

Внимание

Ограничивая общие папки SMB Azure только самыми безопасными вариантами, можно столкнуться с тем, что некоторые клиенты не смогут подключиться. Например, AES-256-GCM был представлен как вариант шифрования каналов SMB, начиная с Windows Server 2022 и Windows 11. Это означает, что старые клиенты, не поддерживающие AES-256-GCM, не смогут подключаться. Если выбрать только AES-256-GCM, необходимо сообщить Windows Server 2022 и Windows 11 клиентам использовать только AES-256-GCM, открыв терминал PowerShell в качестве администратора на каждом клиенте и выполнив Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

В зависимости от требований безопасности может потребоваться включить или отключить шифрование в транзитном режиме для параметра SMB .

Чтобы включить требование шифрования в транзитном режиме для SMB в учетной записи хранения, выполните следующий командлет:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Чтобы отключить требование шифрования при передаче данных для SMB в учетной записи хранения, выполните следующий командлет:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Чтобы получить состояние параметров безопасности SMB, используйте команду az storage account file-service-properties show. Перед выполнением этих команд Bash не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда Azure CLI ограничивает общие папки SMB только самыми безопасными вариантами.

Внимание

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Чтобы включить требование шифрования в транзитном режиме для SMB в учетной записи хранения, выполните следующую команду:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Чтобы отключить требование шифрования в транзитном режиме для SMB в учетной записи хранения, выполните следующую команду:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Ограничения

Общие папки SMB Azure поддерживают подмножество функций, поддерживаемых протоколом SMB и файловой системой NTFS. Хотя большинство вариантов использования и приложений не требуют этих функций, некоторые приложения могут работать неправильно с Azure Files если они используют неподдерживаемые функции. Следующие функции не поддерживаются:

SMB Direct
Аренда каталогов SMB
VSS для общих папок SMB (позволяет поставщикам VSS сбрасывать свои данные в общую папку SMB перед созданием моментального снимка)
Альтернативные потоки данных.
Дополнительные атрибуты.
Идентификаторы объектов
Жесткие связи
Мягкие ссылки
Точки повторного анализа
Разреженные файлы
Короткие имена файлов (псевдонимы 8.3)
Compression

Доступность в регионах

Общие папки SMB Azure доступны в каждом регионе Azure, включая все общедоступные и суверенные регионы. Файловые ресурсы SSD доступны в подмножестве регионов.

Следующие шаги

План развертывания Azure Files
Создание общей папки Azure
Подключите общие папки SMB к предпочитаемой операционной системе:

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-09