Monter un partage de fichiers SMB Azure sur Windows

S’applique à : ✔️ partages de fichiers Azure SMB

Azure Files est le système de fichiers cloud simple d’utilisation de Microsoft. Cet article explique comment monter un partage de fichiers SMB Azure sur Windows et Windows Server.

Azure Files prend uniquement en charge SMB Multichannel sur les partages de fichiers SSD.

Version de Windows	Version SMB	Azure Files SMB Multicanal	Chiffrement maximal du canal SMB
Windows Server 2025	SMB 3.1.1	Oui	AES-256-GCM
Windows 11, version 24H2	SMB 3.1.1	Oui	AES-256-GCM
Windows 11, version 23H2	SMB 3.1.1	Oui	AES-256-GCM
Windows 11, version 22H2	SMB 3.1.1	Oui	AES-256-GCM
Windows 10, version 22H2	SMB 3.1.1	Oui	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Oui	AES-256-GCM
Windows 11, version 21H2	SMB 3.1.1	Oui	AES-256-GCM
Windows 10, version 21H2	SMB 3.1.1	Oui	AES-128-GCM
Windows 10, version 21H1	SMB 3.1.1	Oui, avec KB5003690 ou plus récent	AES-128-GCM
Windows Server, version 20H2	SMB 3.1.1	Oui, avec KB5003690 ou plus récent	AES-128-GCM
Windows 10, version 20H2	SMB 3.1.1	Oui, avec KB5003690 ou plus récent	AES-128-GCM
Windows Server, version 2004	SMB 3.1.1	Oui, avec KB5003690 ou plus récent	AES-128-GCM
Windows 10, version 2004	SMB 3.1.1	Oui, avec KB5003690 ou plus récent	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Oui, avec KB5003703 ou plus récent	AES-128-GCM
Windows 10, version 1809	SMB 3.1.1	Oui, avec KB5003703 ou plus récent	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Oui, avec KB5004238 ou une version plus récente et une clé de registre appliquée.	AES-128-GCM
Windows 10, version 1607	SMB 3.1.1	Oui, avec KB5004238 ou une version plus récente et une clé de registre appliquée.	AES-128-GCM
Windows 10, version 1507	SMB 3.1.1	Oui, avec KB5004249 ou une version plus récente et une clé de registre appliquée.	AES-128-GCM
Windows Server 2012 R21	SMB 3.0	Non	AES-128-CCM
Windows Server 20121	SMB 3.0	Non	AES-128-CCM
Windows 8.12	SMB 3.0	Non	AES-128-CCM
Windows Server 2008R2 2	SMB 2.1	Non	Non pris en charge
Windows 72	SMB 2.1	Non	Non pris en charge

¹La prise en charge régulière de Windows Server 2012 et Windows Server 2012 R2 par Microsoft est arrivée à son terme. Il est possible d’acheter du support supplémentaire pour les mises à jour de sécurité par l’intermédiaire du Programme des correctifs de sécurité étendus (ESU) uniquement.

²La prise en charge de Windows 7, Windows 8 et Windows Server 2008 R2 par Microsoft est arrivée à son terme. Nous vous recommandons vivement de procéder à la migration de ces systèmes d’exploitation.

Remarque

Nous vous recommandons d'utiliser la version la plus récente de la base de connaissances pour votre version de Windows.

Vérifier que le port 445 est ouvert

Le protocole SMB nécessite l’ouverture du port TCP 445. Les connexions échoueront si le port 445 est bloqué. Vous pouvez vérifier si votre pare-feu ou votre FAI bloque le port 445 à l’aide de la cmdlet PowerShell Test-NetConnection. Pour plus d’informations, consultez Le port 445 est bloqué.

Si vous souhaitez monter votre partage de fichiers Azure sur SMB en dehors d’Azure sans ouvrir le port 445, vous pouvez utiliser un VPN point à site.

Pour utiliser un partage de fichiers Azure via le point de terminaison public en dehors de la région Azure dans laquelle il est hébergé, par exemple localement ou dans une autre région Azure, le système d’exploitation doit prendre en charge SMB 3.x. Les versions antérieures de Windows qui prennent uniquement en charge SMB 2.1 ne peuvent pas monter de partages de fichiers Azure via le point de terminaison public.

Utiliser l’authentification basée sur l’identité

Pour améliorer la sécurité et le contrôle d’accès, vous pouvez configurer l’authentification basée sur l’identité et joindre vos clients au domaine. Cela vous permet d’utiliser votre identité Active Directory ou Microsoft Entra pour accéder au partage de fichiers plutôt qu’à l’aide d’une clé de compte de stockage.

Avant de pouvoir monter un partage de fichiers Azure à l’aide de l’authentification basée sur l’identité, vous devez effectuer les opérations suivantes :

• Attribuez des autorisations au niveau du partage et configurez des autorisations au niveau du répertoire et des fichiers. N’oubliez pas que l’attribution de rôle au niveau du partage peut prendre un certain temps.
• Si vous montez le partage de fichiers d’un client qui s’est déjà connecté au partage de fichiers à l’aide de votre clé de compte de stockage, vérifiez que vous démontez d’abord le partage et supprimez les informations d’identification persistantes de la clé de compte de stockage. Pour obtenir des instructions sur la suppression des informations d’identification mises en cache et la suppression des connexions SMB existantes avant d’initialiser une nouvelle connexion avec Les services de domaine Active Directory (AD DS) ou Les informations d’identification Microsoft Entra, suivez le processus en deux étapes dans le FAQ.
• Si votre source AD est AD DS ou Microsoft Entra Kerberos, votre client doit disposer d’une connectivité réseau non bloquée à votre AD DS. Si votre machine ou machine virtuelle se trouve en dehors du réseau géré par votre ad DS, vous devez activer le VPN pour atteindre AD DS pour l’authentification.
• Connectez-vous au client en utilisant les informations d’identification de l’identité AD DS ou Microsoft Entra à laquelle vous avez octroyé des autorisations.

Si vous rencontrez des problèmes, consultez Impossible de monter des partages de fichiers Azure avec des informations d’identification AD.

Utiliser un partage de fichiers Azure avec Windows

Pour utiliser un partage de fichiers Azure avec Windows, vous devez soit le monter (lui affecter un chemin de point de montage ou une lettre de lecteur), soit y accéder via son chemin UNC. Les jetons de signature d’accès partagé (SAP) ne sont actuellement pas pris en charge pour le montage de partages de fichiers Azure.

Remarque

Un modèle commun pour déplacer et transférer des application cœur de métier (LOB) qui attendent un partage de fichiers SMB vers Azure consiste à utiliser un partage de fichiers Azure comme alternative à l’exécution d’un serveur de fichiers Windows dédié dans une machine virtuelle (VM) Azure. Pour réussir la migration d’une application cœur de métier afin qu’elle utilise un partage de fichiers Azure, il est important de considérer que de nombreuses applications s’exécutent dans le contexte d’un compte de service dédié avec des autorisations système limitées, plutôt que le compte administrateur de la machine virtuelle. Par conséquent, vous devez vous assurer que vous montez/enregistrez les informations d’identification pour le partage de fichiers Azure à partir du contexte du compte de service plutôt que de votre compte d’administration.

Monter le partage de fichiers Azure

Vous pouvez monter un partage de fichiers SMB Azure sur Windows à l’aide du portail Azure ou d’Azure PowerShell.

Portal

Pour monter un partage de fichiers Azure à l’aide du portail Azure, procédez comme suit :

1. Connectez-vous au Portail Azure.

2. Accédez au compte de stockage contenant le partage de fichiers que vous souhaitez monter.

3. Sélectionner Partages de fichiers.

4. Sélectionnez le fichier que vous voulez monter.

   

5. Sélectionnez Connecter.

   

6. Sélectionnez la lettre de lecteur sur laquelle monter le partage.

7. Sous Méthode d’authentification, sélectionnez Active Directory ou Microsoft Entra. Si vous voyez un message indiquant que l’authentification basée sur l’identité n’est pas configurée pour votre compte de stockage, configurez-la en fonction de l’une des méthodes décrites dans la vue d’ensemble de l’authentification basée sur l’identité et réessayez de monter le partage.

8. Sélectionnez Afficher le script , puis copiez le script fourni.

   

9. Collez le script dans un shell sur l’hôte sur lequel vous voulez monter le partage de fichiers, puis exécutez-le.

Vous avez maintenant monté votre partage de fichiers Azure.

PowerShell

Exécutez le script PowerShell suivant pour monter de manière permanente le partage de fichiers Azure à partir d’une machine virtuelle jointe à un domaine et mappez-le au lecteur Z: (ou chemin de montage souhaité) sur Windows. Le script vérifie si ce compte de stockage est accessible via le port TCP 445, qui est le port utilisé par SMB. N’oubliez pas de remplacer les valeurs d’espace réservé par vos propres valeurs.

Sauf si vous utilisez des noms de domaine personnalisés, vous devez monter des partages de fichiers Azure à l’aide du suffixe file.core.windows.net, même si vous configurez un point de terminaison privé pour votre partage.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Vous avez maintenant monté votre partage de fichiers Azure.

Monter le partage de fichiers Azure à l’aide de la ligne de commande Windows

Vous pouvez également utiliser la commande net use à partir d’une invite Windows pour monter le partage de fichiers.

Monter le partage de fichiers à partir d’une machine virtuelle jointe à un domaine

Pour monter le partage de fichiers à partir d’une machine virtuelle jointe à un domaine, exécutez la commande suivante à partir d’une invite de commandes Windows. N’oubliez pas de remplacer <YourStorageAccountName> et <FileShareName> par vos propres valeurs.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Monter le partage de fichiers à partir d’une machine virtuelle non jointe à un domaine ou d’une machine virtuelle jointe à un autre domaine AD

Si votre source AD est locale AD DS, les machines virtuelles ou machines virtuelles non jointes à un domaine AD différent de celui du compte de stockage peuvent accéder aux partages de fichiers Azure s’ils ont une connectivité réseau non bloquée aux contrôleurs de domaine AD et fournissent des informations d’identification explicites. L’utilisateur qui accède au partage de fichiers doit avoir une identité et des informations d’identification dans le domaine AD auquel le compte de stockage est joint.

Si votre source AD est Microsoft Entra Domain Services, le client doit disposer d’une connectivité réseau non bloquée aux contrôleurs de domaine pour Microsoft Entra Domain Services, ce qui nécessite la configuration d’un VPN de site à site ou de point à site. L’utilisateur qui accède au partage de fichiers doit avoir une identité (une identité Microsoft Entra synchronisée à partir de l’ID Microsoft Entra à Microsoft Entra Domain Services) dans le domaine managé Microsoft Entra Domain Services.

Pour monter un partage de fichiers à partir d’une machine virtuelle non jointe à un domaine, utilisez la notation username@domainFQDN, où domainFQDN est le nom de domaine complet, pour permettre au client de contacter le contrôleur de domaine pour demander et recevoir des tickets Kerberos. Vous pouvez obtenir la valeur du nom de domaineFQDN en exécutant (Get-ADDomain).Dnsroot Active Directory PowerShell.

Par exemple:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Si votre source AD est microsoft Entra Domain Services, vous pouvez également fournir des informations d’identification telles que DOMAINNAME\username où DOMAINNAME est le domaine Microsoft Entra Domain Services et le nom d’utilisateur est le nom d’utilisateur de l’identité dans Microsoft Entra Domain Services :

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Monter le partage de fichiers Azure à l’aide de la clé de compte de stockage (non recommandé)

Le Portail Azure fournit un script PowerShell que vous pouvez utiliser pour monter votre partage de fichiers directement sur un hôte à l'aide de la clé du compte de stockage. Toutefois, nous vous recommandons d’utiliser l’authentification basée sur l’identité au lieu de la clé de compte de stockage pour des raisons de sécurité. Si vous devez utiliser la clé de compte de stockage, suivez les instructions de montage, mais sous méthode d’authentification, sélectionnez clé de compte de stockage.

Une clé de compte de stockage est une clé administrateur pour un compte de stockage (y compris les autorisations d’administrateur sur tous les fichiers et dossiers dans le partage de fichiers auquel vous accédez), ainsi que pour tous les partages de fichiers et autres ressources de stockage (objets blob, files d’attente, tables, etc.) contenus dans votre compte de stockage. Vous pouvez trouver votre clé de compte de stockage dans le portail Azure en accédant au compte de stockage et en sélectionnant Sécurité +> réseau, ou vous pouvez utiliser l’applet Get-AzStorageAccountKey de commande PowerShell.

Montage du partage de fichiers Azure avec l’Explorateur de fichiers

1. Ouvrez l’Explorateur de fichiers : pour cela, accédez au menu Démarrer ou appuyez sur la combinaison de touches Win+E.

2. Accédez à Ce PC sur le côté gauche de la fenêtre. Cela modifie les menus disponibles dans le ruban. Dans le menu Ordinateur, sélectionnez Connecter un lecteur réseau.

   

3. Sélectionnez la lettre de lecteur, puis entrez le chemin d’accès UNC de votre partage de fichiers Azure. Le format de chemin UNC est \\<storageAccountName>.file.core.windows.net\<fileShareName>. Par exemple : \\anexampleaccountname.file.core.windows.net\file-share-name. Cochez la case Se connecter à l’aide d’informations d’identification différentes. Sélectionnez Terminer.

   

4. Sélectionnez Plus de choix>Utiliser un autre compte. Sous Adresse e-mail, utilisez le nom du compte de stockage et utilisez une clé de compte de stockage comme mot de passe. Sélectionnez OK.

   

5. Utilisez le partage de fichiers Azure à votre guise.

   

6. Lorsque vous êtes prêt à démonter le partage de fichiers Azure, cliquez avec le bouton droit sur l’entrée du partage sous Emplacements réseau dans l’Explorateur de fichiers et sélectionnez Déconnecter.

Remarque

Azure Files ne prend pas en charge la traduction SID vers UPN pour les utilisateurs et les groupes d’une machine virtuelle non jointe à un domaine ou d’une machine virtuelle jointe à un autre domaine via l’Explorateur de fichiers Windows. Si vous souhaitez afficher les propriétaires de fichiers/répertoires ou afficher/modifier les autorisations NTFS via l’Explorateur de fichiers Windows, vous ne pouvez le faire qu’à partir de machines virtuelles jointes à un domaine.

Accéder à un partage de fichiers Azure via son chemin UNC

Vous n’avez pas besoin de monter le partage de fichiers Azure sur une lettre de lecteur pour l’utiliser. Vous pouvez accéder directement à votre partage de fichiers Azure avec le chemin d’accès UNC en entrant ce qui suit dans l’Explorateur de fichiers. Veillez à remplacer storageaccountname par le nom de votre compte de stockage et myfileshare par le nom de votre partage de fichiers :

\\storageaccountname.file.core.windows.net\myfileshare

Vous serez invité à vous connecter avec vos informations d’identification réseau. Connectez-vous avec l’abonnement Azure sous lequel vous avez créé le compte de stockage et le partage de fichiers. Si vous n’êtes pas invité à saisir des informations d’identification, vous pouvez ajouter les informations d’identification à l’aide de la commande suivante :

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Pour le cloud Azure Government, remplacez le nom du serveur par :

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Monter des partages de fichiers à l’aide de noms de domaine personnalisés

Si vous ne souhaitez pas monter des partages de fichiers Azure à l’aide du suffixe file.core.windows.net, vous pouvez modifier le suffixe du nom du compte de stockage associé au partage de fichiers Azure, puis ajouter un enregistrement de nom canonique (CNAME) pour router le nouveau suffixe vers le point de terminaison du compte de stockage. Les instructions suivantes concernent uniquement les environnements à forêt unique. Pour savoir comment configurer des environnements qui ont deux forêts ou plus, consultez Utiliser Azure Files avec plusieurs forêts Active Directory.

Remarque

Azure Files prend uniquement en charge la configuration de CNAMES à l’aide du nom du compte de stockage comme préfixe de domaine. Si vous ne souhaitez pas utiliser le nom du compte de stockage comme préfixe, envisagez d’utiliser des espaces de noms DFS.

Dans cet exemple, nous avons le domaine Active Directory onpremad1.com, et nous avons un compte de stockage appelé mystorageaccount qui contient des partages de fichiers Azure SMB. Tout d’abord, nous devons modifier le suffixe SPN du compte de stockage pour mapper mystorageaccount.onpremad1.com à mystorageaccount.file.core.windows.net.

Vous pouvez monter le partage de fichiers avec net use \\mystorageaccount.onpremad1.com parce que les clients de onpremad1 savent qu'il faut rechercher onpremad1.com pour trouver la ressource appropriée pour ce compte de stockage-là.

Pour utiliser cette méthode, procédez comme suit :

1. Veillez à configurer l’authentification basée sur l’identité. Si votre source AD est AD DS ou Microsoft Entra Kerberos, assurez-vous que vous avez synchronisé vos comptes d’utilisateur AD avec l’ID Microsoft Entra.

2. Modifiez le SPN du compte de stockage à l’aide de l’outil setspn . Vous pouvez trouver <DomainDnsRoot> en exécutant la commande Active Directory PowerShell suivante : (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Ajoutez une entrée CNAME à l’aide du Gestionnaire DNS Active Directory. Si vous utilisez un point de terminaison privé, ajoutez l’entrée CNAME pour qu'elle corresponde au nom du point de terminaison privé.

   1. Ouvrez le Gestionnaire DNS Active Directory.
   2. Accédez à votre domaine (par exemple, onpremad1.com).
   3. Accédez à « Zones de recherche directe ».
   4. Sélectionnez le nœud nommé après votre domaine (par exemple, onpremad1.com) et cliquez avec le bouton droit sur Nouvel alias (CNAME).
   5. Pour le nom de l’alias, entrez le nom de votre compte de stockage.
   6. Pour le nom de domaine complet (FQDN), entrez <storage-account-name>.<domain-name>, par exemple , mystorageaccount.onpremad1.com. La partie nom d’hôte du nom de domaine complet doit correspondre au nom du compte de stockage. Si le nom d’hôte ne correspond pas au nom du compte de stockage, le montage échoue avec une erreur d’accès refusée.
   7. Pour le FQDN de l’hôte cible, entrez <storage-account-name>.file.core.windows.net
   8. Sélectionnez OK.

Vous devez maintenant être en mesure de monter le partage de fichiers à l’aide de storageaccount.domainname.com.

Étapes suivantes

Consultez ces liens pour en savoir plus sur Azure Files :

• Planification d’un déploiement Azure Files
• FORUM AUX QUESTIONS
• Dépanner Azure Files