Compartilhar via

Montar o compartilhamento de arquivo do Azure via SMB no Windows

Aplica-se a: ✔️ compartilhamentos de arquivos do Azure SMB

Arquivos do Azure é o sistema de arquivos de nuvem fácil de usar da Microsoft. Este artigo mostra como montar um compartilhamento de arquivos SMB do Azure no Windows e no Windows Server.

Os Arquivos do Azure dão suporte apenas ao SMB Multichannel em compartilhamentos de arquivos SSD.

Versão do Windows Versão do SMB Arquivos do Azure SMB Multichannel Criptografia máxima do canal SMB
Windows Server 2025 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 24H2 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 23H2 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 22H2 SMB 3.1.1 Sim AES-256-GCM
Windows 10, versão 22H2 SMB 3.1.1 Sim AES-128-GCM
Windows Server 2022 SMB 3.1.1 Sim AES-256-GCM
Windows 11, versão 21H2 SMB 3.1.1 Sim AES-256-GCM
Windows 10, versão 21H2 SMB 3.1.1 Sim AES-128-GCM
Windows 10, versão 21H1 SMB 3.1.1 Sim, com KB5003690 ou mais novo AES-128-GCM
Windows Server, versão 20H2 SMB 3.1.1 Sim, com KB5003690 ou mais novo AES-128-GCM
Windows 10, versão 20H2 SMB 3.1.1 Sim, com KB5003690 ou mais novo AES-128-GCM
Windows Server, versão 2004 SMB 3.1.1 Sim, com KB5003690 ou mais novo AES-128-GCM
Windows 10, versão 2004 SMB 3.1.1 Sim, com KB5003690 ou mais novo AES-128-GCM
Windows Server 2019 SMB 3.1.1 Sim, com KB5003703 ou mais novo AES-128-GCM
Windows 10, versão 1809 SMB 3.1.1 Sim, com KB5003703 ou mais novo AES-128-GCM
Windows Server 2016 SMB 3.1.1 Sim, com o KB5004238 ou mais recente e a chave do Registro aplicada AES-128-GCM
Windows 10, versão 1607 SMB 3.1.1 Sim, com o KB5004238 ou mais recente e a chave do Registro aplicada AES-128-GCM
Windows 10, versão 1507 SMB 3.1.1 Sim, com o KB5004249 ou mais recente e a chave do Registro aplicada AES-128-GCM
Windows Server 2012 R21 SMB 3.0 Não AES-128-CCM
Windows Server 20121 SMB 3.0 Não AES-128-CCM
Windows 8.12 SMB 3.0 Não AES-128-CCM
Windows Server 2008 R22 SMB 2.1 Não Sem suporte
Windows 72 SMB 2.1 Não Sem suporte

1O suporte regular da Microsoft para o Windows 2012 e o Windows Server 2012 R2 foi encerrado. Só é possível adquirir o suporte adicional para patches de segurança por meio do programa ESU (Patch de Segurança Estendido).

2O suporte da Microsoft para Windows 7, Windows 8 e Windows Server 2008 R2 terminou. É altamente recomendável migrar desses sistemas operacionais.

Observação

É recomendável usar o KB mais recente para sua versão do Windows.

Verifique se a porta 445 está aberta

O protocolo SMB requer que a porta TCP 445 seja aberta. As conexões falharão se a porta 445 estiver bloqueada. Verifique se o firewall ou o ISP está bloqueando a porta 445 usando o cmdlet Test-NetConnection do PowerShell. Para obter mais informações, consulte A porta 445 está bloqueada.

Se você quiser montar seu compartilhamento de arquivos do Azure por SMB de fora do Azure sem abrir a porta 445, poderá usar uma VPN ponto a site.

Para usar um compartilhamento de arquivo do Azure por meio do ponto de extremidade público fora da região do Azure em que ele está hospedado, por exemplo, localmente ou em uma região diferente do Azure, o sistema operacional precisa dar suporte a SMB 3.x. As versões mais antigas do Windows que só dão suporte ao SMB 2.1 não podem montar compartilhamentos de arquivos do Azure por meio do ponto de extremidade público.

Usar a autenticação baseada em identidade

Para melhorar a segurança e o controle de acesso, você pode configurar a autenticação baseada em identidade e adicionar seus clientes ao domínio. Isso permite que você use sua identidade do Active Directory ou do Microsoft Entra para acessar o compartilhamento de arquivos em vez de usar uma chave de conta de armazenamento.

Antes de montar um compartilhamento de arquivos do Azure usando a autenticação baseada em identidade, você deve concluir o seguinte:

  • Atribua permissões de nível de compartilhamento e configure permissões de diretório e de nível de arquivo. Note que a atribuição de função de nível de compartilhamento pode demorar um pouco para entrar em vigor.
  • Se você estiver montando o compartilhamento de arquivo de um cliente que já se conectou ao compartilhamento de arquivo usando sua chave de conta de armazenamento, certifique-se de primeiro desmontar o compartilhamento e remover as credenciais persistentes da chave da conta de armazenamento. Para obter instruções sobre como remover credenciais armazenadas em cache e excluir conexões SMB existentes antes de inicializar uma nova conexão com as credenciais do Active Directory Domain Services (AD DS) ou do Microsoft Entra, siga o processo de duas etapas nas perguntas frequentes.
  • Se sua origem do AD for AD DS ou Kerberos do Microsoft Entra, seu cliente deverá ter conectividade de rede irrestrita com seu AD DS. Se o computador ou a VM estiver fora da rede gerenciada pelo AD DS, você precisará habilitar a VPN para acessar o AD DS para autenticação.
  • Entre no cliente usando as credenciais da identidade do AD DS ou do Microsoft Entra à qual você concedeu permissões.

Se você tiver problemas, consulte Não é possível montar compartilhamentos de arquivos do Azure com credenciais do AD.

Usar um compartilhamento de arquivos do Azure com o Windows

Para usar um compartilhamento de arquivos do Azure com o Windows, você deve montá-lo, ou seja, atribuir-lhe uma letra da unidade ou um caminho do ponto de montagem, ou acessá-lo pelo caminho UNC. No momento, não há suporte para tokens SAS (assinatura de acesso compartilhado) para montar compartilhamentos de arquivos do Azure.

Observação

Um padrão comum para elevar e transferir aplicativos da linha de negócios (LOB) que esperam um compartilhamento de arquivos SMB para o Azure é usar um compartilhamento de arquivos do Azure como alternativa para executar um servidor de arquivos dedicado do Windows em uma máquina virtual (VM) do Azure. Uma consideração importante para a migração com sucesso de um aplicativo LOB para usar um compartilhamento de arquivos do Azure é que muitos aplicativos são executados no contexto de uma conta de serviço dedicada com permissões do sistema limitadas em vez de uma conta administrativa da VM. Portanto, você deve montar/salvar as credenciais do compartilhamento de arquivos do Azure a partir do contexto da conta de serviço em vez da conta administrativa.

Montar o compartilhamento de arquivos do Azure

Você pode montar um compartilhamento de arquivos SMB do Azure no Windows usando o portal do Azure ou o Azure PowerShell.

Para montar um compartilhamento de arquivos do Azure usando o portal do Azure, siga estas etapas:

  1. Entre no portal do Azure.

  2. Navegue até a conta de armazenamento que contém o compartilhamento de arquivo que você deseja montar.

  3. Selecionar Compartilhamentos de arquivo.

  4. Selecione o compartilhamento de arquivo que você quer montar.

    O compartilhamento de arquivos está destacado na captura de tela do painel de compartilhamentos de arquivos.

  5. Selecione Conectar.

    Captura de tela do ícone conectar para seu compartilhamento de arquivos.

  6. Selecione a letra da unidade para montar o compartilhamento.

  7. Em Método de Autenticação, selecione Active Directory ou Microsoft Entra. Se você vir uma mensagem informando que a autenticação baseada em identidade não está configurada para sua conta de armazenamento, configure-a com base em um dos métodos descritos na visão geral da autenticação baseada em identidade e tente montar o compartilhamento novamente.

  8. Selecione Mostrar script e copie o script fornecido.

    Captura de tela da interface de conexão, o botão Copiar no script está destacado.

  9. Cole o script em um shell no host no qual você deseja montar o compartilhamento de arquivos e execute-o.

Agora você montou o compartilhamento de arquivos do Azure.

Montar o compartilhamento de arquivos do Azure usando a linha de comando do Windows

Você também pode usar o net use comando de um prompt do Windows para montar o compartilhamento de arquivos.

Montar um compartilhamento de arquivo de uma VM conectada ao domínio

Para montar o compartilhamento de arquivos de uma VM ingressada no domínio, execute o comando a seguir em um prompt de comando do Windows. Lembre-se de substituir <YourStorageAccountName> e <FileShareName> com seus próprios valores.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Montar o compartilhamento de arquivos a partir de uma VM não conectada ao domínio ou de uma VM conectada a um domínio AD diferente

Se a origem do AD for o AD DS local, as VMs sem domínio ou as VMs ingressadas em um domínio do AD diferente da conta de armazenamento poderão acessar os compartilhamentos de arquivos do Azure se tiverem conectividade de rede desimpedida com os controladores de domínio do AD e fornecerem credenciais explícitas. O usuário que acessa o compartilhamento de arquivos deve ter uma identidade e credenciais no domínio do AD no qual a conta de armazenamento está ingressada.

Se a origem do AD for o Microsoft Entra Domain Services, o cliente deverá ter conectividade de rede desimpedida com os controladores de domínio do Microsoft Entra Domain Services, o que requer a configuração de uma VPN site a site ou ponto a site. O usuário que acessa o compartilhamento de arquivo deve ter uma identidade (uma identidade do Microsoft Entra sincronizada do Microsoft Entra ID para o Microsoft Entra Domain Services) no domínio gerenciado do Microsoft Entra Domain Services.

Para montar um compartilhamento de arquivos a partir de uma VM não conectada ao domínio, use a notação username@domainFQDN, onde domainFQDN é o nome de domínio completo, permitindo que o cliente entre em contato com o controlador de domínio para solicitar e receber tíquetes Kerberos. Você pode obter o valor do domainFQDN em execução (Get-ADDomain).Dnsroot no Active Directory PowerShell.

Por exemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Se sua origem do AD for Microsoft Entra Domain Services, você também poderá fornecer credenciais como DOMAINNAME\username em que DOMAINNAME é o domínio do Microsoft Entra Domain Services e username é o nome de usuário da identidade no Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

O portal do Azure fornece um script do PowerShell que você pode usar para montar seu compartilhamento de arquivos diretamente em um host usando a chave da conta de armazenamento. No entanto, é recomendável usar a autenticação baseada em identidade em vez da chave da conta de armazenamento por motivos de segurança. Se você precisar usar a chave da conta de armazenamento, siga as instruções de montagem, mas, em método de Autenticação, selecione a chave da conta de armazenamento.

Uma chave de conta de armazenamento é uma chave de administrador para uma conta de armazenamento que inclui permissões de administrador para todos os arquivos e pastas no compartilhamento de arquivo que você está acessando e para todos os compartilhamentos de arquivos e outros recursos de armazenamento (blobs, filas, tabelas etc.) contidos na conta de armazenamento. Você pode encontrar sua chave de conta de armazenamento no portal do Azure navegando até a conta de armazenamento e selecionandochaves de > ou pode usar o cmdlet do Get-AzStorageAccountKey PowerShell.

Como montar o compartilhamento de arquivos do Azure com o Explorador de Arquivos

  1. Abra o Explorador de Arquivos usando o Menu Iniciar ou pressionando o atalho Win + E.

  2. Navegue até Este Computador no lado esquerdo da janela. Isso alterará os menus disponíveis na faixa de opções. No menu do computador, selecione Mapear unidade de rede.

    Captura de tela do menu suspenso Mapear unidade de rede.

  3. Selecione a letra da unidade e insira o caminho UNC para o compartilhamento de arquivos do Azure. O formato do caminho UNC é \\<storageAccountName>.file.core.windows.net\<fileShareName>. Por exemplo: \\anexampleaccountname.file.core.windows.net\file-share-name. Marque a caixa de seleção Conectar usando credenciais diferentes. Selecione Concluir.

    Captura de tela da caixa de diálogo Mapear unidade de rede.

  4. Selecione Mais opções>Usar uma conta diferente. Em Endereço de email, use o nome da conta de armazenamento e uma chave de conta de armazenamento como a senha. Selecione OK.

    Captura de tela da caixa de diálogo credenciais da rede selecionando usar uma conta diferente.

  5. Use o compartilhamento de arquivos do Azure como quiser.

    Captura de tela mostrando que o compartilhamento de arquivos do Azure agora está montado.

  6. Quando quiser desmontar o compartilhamento de arquivos do Azure, clique com o botão direito do mouse na entrada correspondente em Locais de rede no Explorador de Arquivos e selecione Desconectar.

Observação

Os Arquivos do Azure não dão suporte à tradução de SID para UPN para usuários e grupos de uma VM não ingressada no domínio ou uma VM ingressada em um domínio diferente por meio do Explorador de Arquivos do Windows. Se você quiser exibir os proprietários de arquivos/diretórios ou exibir/modificar permissões NTFS por meio do Explorador de Arquivos do Windows, só poderá fazê-lo a partir de VMs conectadas ao domínio.

Acessar um compartilhamento de arquivos do Azure por meio do caminho UNC

Você não precisa montar o compartilhamento de arquivo do Azure em uma letra da unidade para usá-lo. Você pode acessar diretamente o compartilhamento de arquivos do Azure usando o caminho UNC inserindo o seguinte no Explorador de Arquivos. Substitua storageaccountname pelo nome da conta de armazenamento e myfileshare pelo nome do compartilhamento de arquivo:

\\storageaccountname.file.core.windows.net\myfileshare

Você será solicitado a entrar com suas credenciais de rede. Entre com a assinatura do Azure na qual você criou a conta de armazenamento e o compartilhamento de arquivos. Se as credenciais não forem solicitadas, você poderá adicioná-las usando o comando a seguir:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Para o Azure Government, altere o nome do servidor para:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Montar compartilhamentos de arquivos usando nomes de domínio personalizados

Se você não quiser montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, poderá modificar o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivos do Azure e adicionar um registro CNAME (nome canônico) para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. As instruções a seguir são somente para ambientes de floresta única. Para saber como configurar ambientes que têm duas ou mais florestas, consulte Usar Arquivos do Azure com várias florestas do Active Directory.

Observação

Os Arquivos do Azure só dão suporte à configuração do CNAMES usando o nome da conta de armazenamento como um prefixo de domínio. Se você não quiser usar o nome da conta de armazenamento como prefixo, considere usar namespaces dfs.

Neste exemplo, temos o domínio do Active Directory onpremad1.com e temos uma conta de armazenamento chamada mystorageaccount que contém compartilhamentos de arquivos SMB do Azure. Primeiro, precisamos modificar o sufixo SPN da conta de armazenamento para mapear mystorageaccount.onpremad1.com para mystorageaccount.file.core.windows.net.

Você pode montar o compartilhamento de arquivos com net use \\mystorageaccount.onpremad1.com porque os clientes no onpremad1 sabem pesquisar onpremad1.com para localizar o recurso adequado para essa conta de armazenamento.

Para usar esse método, conclua as seguintes etapas:

  1. Certifique-se de configurar a autenticação baseada em identidade. Se sua origem do AD for AD DS ou Microsoft Entra Kerberos, certifique-se de sincronizar suas contas de usuário do AD com o Microsoft Entra ID.

  2. Modifique o SPN da conta de armazenamento usando a setspn ferramenta. Você pode encontrar <DomainDnsRoot> executando o seguinte comando do Active Directory PowerShell: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Adicione uma entrada CNAME usando o Gerenciador de DNS do Active Directory. Se você estiver usando um ponto de extremidade privado, adicione a entrada CNAME para mapeá-la para o nome do ponto de extremidade privado.

    1. Abra o Gerenciador de DNS do Active Directory.
    2. Vá para seu domínio (por exemplo, onpremad1.com).
    3. Vá para "Zonas de Pesquisa Direta".
    4. Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).
    5. Para o nome do alias, insira o nome da conta de armazenamento.
    6. Para o FQDN (nome de domínio totalmente qualificado), insira <storage-account-name>.<___domain-name>, como mystorageaccount.onpremad1.com. A parte do nome do host do FQDN deve corresponder ao nome da conta de armazenamento. Se o nome do host não corresponder ao nome da conta de armazenamento, a montagem falhará com um erro de acesso negado.
    7. Para o FQDN do host de destino, insira .file.core.windows.net
    8. Selecione OK.

Agora você deve ser capaz de montar o compartilhamento de arquivos usando storageaccount.domainname.com.

Próximas etapas

Veja esses links para obter mais informações sobre Arquivos do Azure:

  • Last updated on