Montare una condivisione file di Azure SMB in Windows

Si applica a: ✔️ Condivisioni file di Azure SMB

File di Azure è il file system cloud facile da usare di Microsoft. Questo articolo illustra come montare una condivisione file di Azure SMB in Windows e Windows Server.

I file di Azure supportano SMB multicanale solo su condivisioni file SSD.

Versione di Windows	Versione di SMB	SMB di File di Azure multicanale	Crittografia del canale SMB massima
Windows Server 2025	SMB 3.1.1	Sì	AES-256-GCM
Windows 11, versione 24H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 11, versione 23H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 11, versione 22H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 10, versione 22H2	SMB 3.1.1	Sì	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sì	AES-256-GCM
Windows 11, versione 21H2	SMB 3.1.1	Sì	AES-256-GCM
Windows 10, versione 21H2	SMB 3.1.1	Sì	AES-128-GCM
Windows 10, versione 21H1	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server, versione 20H2	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows 10, versione 20H2	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server, versione 2004	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows 10, versione 2004	SMB 3.1.1	Sì, con KB5003690 o una versione più recente	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sì, con KB5003703 o una versione più recente	AES-128-GCM
Windows 10, versione 1809	SMB 3.1.1	Sì, con KB5003703 o una versione più recente	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sì, con KB5004238 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows 10, versione 1607	SMB 3.1.1	Sì, con KB5004238 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows 10, versione 1507	SMB 3.1.1	Sì, con KB5004249 o una versione più recente e la chiave del Registro di sistema applicata	AES-128-GCM
Windows Server 2012 R21	SMB 3.0	No	AES-128-CCM
Windows Server 20121	SMB 3.0	No	AES-128-CCM
Windows 8.12	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R22	SMB 2.1	No	Non supportate
Windows 72	SMB 2.1	No	Non supportate

¹Il normale supporto tecnico Microsoft per Windows Server 2012 e Windows Server 2012 R2 è terminato. È possibile acquistare supporto aggiuntivo per gli aggiornamenti della sicurezza solo tramite il programma ESU (Extended Security Update).

²Il supporto tecnico Microsoft per Windows 7, Windows 8 e Windows Server 2008 R2 è terminato. È fortemente consigliabile eseguire la migrazione di questi sistemi operativi.

Note

È consigliabile seguire l'articolo della KB più recente per la propria versione di Windows.

Verificare che la porta 445 sia aperta

Il protocollo SMB richiede che la porta TCP 445 sia aperta. Le connessioni avranno esito negativo se la porta 445 è bloccata. È possibile verificare se il firewall o il provider di servizi Internet stia bloccando la porta 445 usando il cmdlet Test-NetConnection di PowerShell. Per altre informazioni, vedere La porta 445 è bloccata.

Se si vuole montare la condivisione file di Azure tramite SMB dall'esterno di Azure senza aprire la porta 445, è possibile usare una VPN da punto a sito.

Per usare una condivisione file di Azure tramite l'endpoint pubblico al di fuori dell'area di Azure in cui è ospitata, ad esempio in locale o in un'altra area di Azure, il sistema operativo deve supportare SMB 3.x. Le versioni precedenti di Windows che supportano solo SMB 2.1 non possono montare condivisioni file di Azure tramite l'endpoint pubblico.

Usare l'autenticazione basata sull'identità

Per migliorare la sicurezza e il controllo di accesso, è possibile configurare l'autenticazione basata su identità e aggiungere i client a un dominio. In questo modo è possibile usare l'identità di Active Directory o Microsoft Entra per accedere alla condivisione file anziché usare una chiave dell'account di archiviazione.

Prima di poter montare una condivisione file di Azure usando l'autenticazione basata su identità, è necessario completare le operazioni seguenti:

• Assegnare autorizzazioni a livello di condivisione e configurare le autorizzazioni a livello di directory e file. Tenere presente che l'assegnazione di ruolo a livello di condivisione può richiedere del tempo.
• Se si monta la condivisione file da un client precedentemente connesso alla condivisione file usando la chiave dell'account di archiviazione, assicurarsi di smontare prima la condivisione e rimuovere le credenziali persistenti della chiave dell'account di archiviazione. Per istruzioni su come rimuovere le credenziali memorizzate nella cache ed eliminare le connessioni SMB esistenti prima di inizializzare una nuova connessione con Active Directory Domain Services (AD DS) o le credenziali di Microsoft Entra, seguire il processo in due passaggi nelle domande frequenti.
• Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, il client deve avere connettività di rete senza ostacoli ad Active Directory Domain Services. Se il computer o la macchina virtuale si trova all'esterno della rete gestita da Active Directory Domain Services, è necessario abilitare la VPN per raggiungere Active Directory Domain Services per l'autenticazione.
• Accedi al client utilizzando le credenziali dell'identità di Active Directory Domain Services o Microsoft Entra a cui hai concesso le autorizzazioni.

Se si verificano problemi, vedere Impossibile montare condivisioni file di Azure con le credenziali di AD.

Usare una condivisione file di Azure con Windows

Per usare una condivisione file di Azure con Windows, è necessario montare la condivisione, ossia assegnarle una lettera di unità o il percorso di un punto di montaggio, oppure accedervi tramite il relativo percorso UNC. I token di firma di accesso condiviso (SAS) non sono attualmente supportati per il montaggio di condivisioni file di Azure.

Note

Un modello comune per il trasferimento in modalità lift-and-shift in Azure di applicazioni line-of-business che prevedono una condivisione file SMB consiste nell'usare una condivisione file di Azure come alternativa per eseguire un file server Windows dedicato in una macchina virtuale di Azure. Una considerazione importante per eseguire correttamente la migrazione di un'applicazione line-of-business in modo da usare una condivisione file di Azure è che molte applicazioni vengono eseguite nel contesto di un account di servizio dedicato con autorizzazioni di sistema limitate anziché con l'account amministrativo della macchina virtuale. Di conseguenza, è necessario assicurarsi di eseguire il montaggio/salvare le credenziali per la condivisione file di Azure dal contesto dell'account di servizio anziché dall'account amministrativo.

Montare la condivisione file di Azure

È possibile montare una condivisione file di Azure SMB in Windows usando il portale di Azure o Azure PowerShell.

Portal

Per montare una condivisione file di Azure usando il portale di Azure, seguire questa procedura:

1. Accedere al portale di Azure.

2. Passare all'account di archiviazione che contiene la condivisione file da montare.

3. Selezionare Condivisioni file.

4. Selezionare la condivisione file da montare.

   

5. Selezionare Connetti.

   

6. Selezionare la lettera di unità in cui montare la condivisione.

7. In Metodo di autenticazione selezionare Active Directory o Microsoft Entra. Se viene visualizzato un messaggio che informa che l'autenticazione basata su identità non è configurata per l'account di archiviazione, configurarla in base a uno dei metodi descritti in Panoramica dell'autenticazione basata sull'identità e provare a montare nuovamente la condivisione.

8. Selezionare Mostra script e quindi copiare lo script fornito.

   

9. Incollare lo script in una shell nell'host in cui si vuole montare la condivisione file ed eseguirlo.

La condivisione file di Azure è stata montata.

PowerShell

Eseguire il seguente script di PowerShell per montare in modo permanente la condivisione file di Azure da una VM aggiunta a un dominio e mapparlo all'unità Z: (o al percorso di montaggio desiderato) su Windows. Lo script verifica se questo account di archiviazione è accessibile tramite la porta TCP 445, ovvero la porta usata da SMB. Ricordarsi di sostituire i valori segnaposto con i propri valori.

A meno che non si usino nomi di dominio personalizzati, è consigliabile montare condivisioni file di Azure usando il suffisso file.core.windows.net, anche se si configura un endpoint privato per la condivisione.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

La condivisione file di Azure è stata montata.

Montare la condivisione file di Azure usando la riga di comando di Windows

È anche possibile usare il net use comando da un prompt di Windows per montare la condivisione file.

Montare la condivisione file da una macchina virtuale inclusa in un dominio

Per montare la condivisione file da una macchina virtuale aggiunta a un dominio, eseguire il comando seguente da un prompt dei comandi di Windows. Ricordarsi di sostituire <YourStorageAccountName> e <FileShareName> con i propri valori.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Montare la condivisione file da una macchina virtuale non aggiunta a un dominio o da una macchina virtuale aggiunta a un dominio di Active Directory diverso

Se l'origine di Active Directory è AD DS locali, le macchine virtuali non collegate al dominio o collegate a un dominio AD diverso dall'account di archiviazione possono accedere alle condivisioni file di Azure se hanno connettività di rete non ostacolata ai controller di dominio Active Directory e forniscono credenziali esplicite. L'utente che accede alla condivisione file deve avere un'identità e credenziali nel dominio di Active Directory a cui è associato l'account di archiviazione.

Se l'origine di Active Directory è Microsoft Entra Domain Services, il client deve garantire una connettività di rete senza ostacoli ai controller di dominio per Microsoft Entra Domain Services, il che richiede la configurazione di una VPN da sito a sito o da punto a sito. L'utente che accede alla condivisione file deve avere un'identità (un'identità di Microsoft Entra sincronizzata da Microsoft Entra ID a Microsoft Entra Domain Services) nel dominio gestito di Microsoft Entra Domain Services.

Per connettersi a una condivisione file da una macchina virtuale non connessa al dominio, usare la notazione username@domainFQDN, dove domainFQDN è il nome di dominio completo, per consentire al client di contattare il controller di dominio per richiedere e ricevere ticket Kerberos. È possibile ottenere il valore di domainFQDN eseguendo (Get-ADDomain).Dnsroot in Active Directory PowerShell.

Per esempio:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Se l'origine DI Active Directory è Microsoft Entra Domain Services, è anche possibile fornire credenziali come DOMAINNAME\username dove DOMAINNAME è il dominio di Microsoft Entra Domain Services e il nome utente è il nome utente dell'identità in Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Montare la condivisione file di Azure usando la chiave dell'account di archiviazione (scelta non consigliata)

Il portale di Azure fornisce uno script di PowerShell che è possibile usare per montare la condivisione file direttamente in un host usando la chiave dell'account di archiviazione. È tuttavia consigliabile usare l'autenticazione basata sull'identità anziché la chiave dell'account di archiviazione per motivi di sicurezza. Se è necessario usare la chiave dell'account di archiviazione, seguire le istruzioni di montaggio, ma in Metodo di autenticazione selezionare Chiave dell'account di archiviazione.

La chiave di un account di archiviazione è una chiave amministratore per l'account di archiviazione, con autorizzazioni di amministratore per tutti i file e le cartelle nella condivisione file a cui si accede, e per tutte le condivisioni file e le altre risorse di archiviazione (BLOB, code, tabelle e così via) contenute nell'account di archiviazione. È possibile trovare la chiave dell'account di archiviazione nel portale di Azure passando all'account di archiviazione e selezionando Sicurezza e> di rete oppure è possibile usare il Get-AzStorageAccountKey cmdlet di PowerShell.

Montare la condivisione file di Azure con Esplora file

1. Aprire Esplora file aprendolo dal menu Start o premendo il collegamento Win + E.

2. Passare a Questo PC sul lato sinistro della finestra. Verranno cambiati i menu disponibili sulla barra multifunzione. Scegliere Connetti unità di rete dal menu Computer.

   

3. Selezionare la lettera di unità e immettere il percorso UNC della condivisione file di Azure. Il formato del percorso UNC è \\<storageAccountName>.file.core.windows.net\<fileShareName>. Ad esempio \\anexampleaccountname.file.core.windows.net\file-share-name. Selezionare la casella di controllo Connetti con credenziali diverse. Selezionare Fine.

   

4. Selezionare Altre opzioni>Usa un account diverso. In Indirizzo e-mail usare il nome dell'account di archiviazione e usare una chiave dell'account di archiviazione come password. Selezionare OK.

   

5. Usare la condivisione file di Azure in base alle esigenze.

   

6. Quando si è pronti per smontare la condivisione file di Azure, fare clic con il pulsante destro del mouse sulla voce relativa alla condivisione in Percorsi di rete in Esplora file e scegliere Disconnetti.

Note

File di Azure non supporta la conversione SID a UPN per utenti e gruppi da una macchina virtuale non associata a un dominio o una macchina virtuale associata a un dominio diverso tramite File Explorer di Windows. Se si desidera visualizzare i proprietari di file/directory o visualizzare/modificare le autorizzazioni NTFS tramite Esplora file di Windows, è possibile farlo solo dalle macchine virtuali aggiunte a un dominio.

Accedere a una condivisione file di Azure tramite il percorso UNC

Non è necessario montare la condivisione file di Azure in una lettera di unità per usarla. È possibile accedere direttamente alla condivisione file di Azure usando il percorso UNC, ovvero immettendo quanto segue in Esplora file. Assicurarsi di sostituire storageaccountname con il nome dell'account di archiviazione e myfileshare con il nome della condivisione file:

\\storageaccountname.file.core.windows.net\myfileshare

Verrà chiesto di accedere con le credenziali di rete. Accedere usando la sottoscrizione di Azure in cui sono stati creati l'account di archiviazione e la condivisione file. Se le credenziali non vengono richieste, è possibile aggiungerle usando il comando seguente:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Per Cloud di Azure per enti pubblici, modificare servername in:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Montare condivisioni file usando nomi di dominio personalizzati

Se non si desidera montare condivisioni file di Azure usando il suffisso file.core.windows.net, è possibile modificare il suffisso del nome dell'account di archiviazione associato alla condivisione file di Azure e quindi aggiungere un record nome canonico (CNAME) per instradare il nuovo suffisso all'endpoint dell'account di archiviazione. Le istruzioni seguenti sono solo per gli ambienti a foresta singola. Per informazioni su come configurare gli ambienti con due o più foreste, vedere Usare File di Azure con più foreste di Active Directory.

Note

File di Azure supporta solo la configurazione di CNAMES usando il nome dell'account di archiviazione come prefisso di dominio. Se non si vuole usare il nome dell'account di archiviazione come prefisso, è consigliabile usare gli spazi dei nomi DFS.

In questo esempio è presente il dominio di Active Directory onpremad1.com e si dispone di un account di archiviazione denominato mystorageaccount che contiene condivisioni file di Azure SMB. Prima di tutto, è necessario modificare il suffisso SPN dell'account di archiviazione per eseguire il mapping di mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.

È possibile montare la condivisione file con net use \\mystorageaccount.onpremad1.com perché i client in onpremad1 sanno cercare onpremad1.com per trovare la risorsa appropriata per tale account di archiviazione.

Per usare questo metodo, completare la procedura seguente:

1. Assicurarsi di configurare l'autenticazione basata su identità. Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, assicurarsi di sincronizzare gli account utente di AD con Microsoft Entra ID.

2. Modificare l'SPN dell'account di archiviazione usando lo strumento setspn. È possibile trovare <DomainDnsRoot> eseguendo il comando di PowerShell di Active Directory seguente: (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Aggiungere un record CNAME usando Gestione DNS di Active Directory. Se si usa un endpoint privato, aggiungere la voce CNAME per eseguire il mapping al nome dell'endpoint privato.

   1. Aprire Gestione DNS di Active Directory.
   2. Passare al dominio, ad esempio onpremad1.com.
   3. Passare a "Zone di ricerca diretta".
   4. Selezionare il nodo denominato in base al dominio, ad esempio onpremad1.com, e fare clic con il pulsante destro del mouse su Nuovo alias (CNAME).
   5. Per il nome dell'alias immettere il nome dell'account di archiviazione.
   6. Per il nome di dominio completo (FQDN), immettere <storage-account-name>.<domain-name>, ad esempio mystorageaccount.onpremad1.com. La parte del nome host del nome di dominio completo (FQDN) deve corrispondere al nome dell'account di archiviazione. Se il nome host non corrisponde al nome dell'account di archiviazione, il montaggio ha esito negativo e viene visualizzato un errore di accesso negato.
   7. Per il nome di dominio completo dell'host di destinazione immettere <storage-account-name>.file.core.windows.net
   8. Selezionare OK.

A questo momento dovrebbe essere possibile montare la condivisione file usando storageaccount.domainname.com.

Passaggi successivi

Per altre informazioni su File di Azure, vedere i collegamenti seguenti:

• Pianificazione per la distribuzione di File di Azure
• DOMANDE FREQUENTI
• Risolvere i problemi relativi ad Azure AD