Erzwingen einer sicheren Übertragung für sichere VerbindungenRequire secure transfer to ensure secure connections

Sie können Ihr Speicherkonto so konfigurieren, dass nur Anforderungen von sicheren Verbindungen akzeptiert werden, indem Sie die Eigenschaft Sichere Übertragung erforderlich für das Speicherkonto festlegen.You can configure your storage account to accept requests from secure connections only by setting the Secure transfer required property for the storage account. Wenn Sie eine sichere Übertragung benötigen, werden alle Anforderungen zurückgewiesen, die von einer unsicheren Verbindung stammen.When you require secure transfer, any requests originating from an insecure connection are rejected. Microsoft empfiehlt, immer eine sichere Übertragung für sämtliche Speicherkonten zu erzwingen.Microsoft recommends that you always require secure transfer for all of your storage accounts.

Wenn eine sichere Übertragung erforderlich ist, müssen Aufrufe von Azure Storage-REST-API-Vorgängen über HTTPS erfolgen.When secure transfer is required, a call to an Azure Storage REST API operation must be made over HTTPS. Jede Anforderung über HTTP wird abgelehnt.Any request made over HTTP is rejected.

Das Herstellen einer Verbindung mit einer Azure-Dateifreigabe über SMB ohne Verschlüsselung führt zu einem Fehler, wenn für das Speicherkonto eine sichere Übertragung erforderlich ist.Connecting to an Azure File share over SMB without encryption fails when secure transfer is required for the storage account. Beispiele für unsichere Verbindungen sind solche, die über SMB 2.1, SMB 3.0 ohne Verschlüsselung oder einige Versionen des Linux-SMB-Clients vorgenommen werden.Examples of insecure connections include those made over SMB 2.1, SMB 3.0 without encryption, or some versions of the Linux SMB client.

Standardmäßig ist die Eigenschaft Sichere Übertragung erforderlich aktiviert, wenn Sie ein Speicherkonto im Azure-Portal erstellen.By default, the Secure transfer required property is enabled when you create a storage account in Azure portal. Sie ist jedoch deaktiviert, wenn Sie mit dem SDK ein Speicherkonto erstellen.However, it is disabled when you create a storage account with SDK.

Hinweis

Da Azure Storage keine Unterstützung von HTTPS für benutzerdefinierte Domänennamen bietet, wird diese Option nicht angewendet, wenn ein benutzerdefinierter Domänenname verwendet wird.Because Azure Storage doesn't support HTTPS for custom domain names, this option is not applied when you're using a custom domain name. Zudem werden klassische Speicherkonten nicht unterstützt.And classic storage accounts are not supported.

Erzwingen einer sicheren Übertragung im Azure-PortalRequire secure transfer in the Azure portal

Sie können die Einstellung Sichere Übertragung erforderlich beim Erstellen eines Speicherkontos im Azure-Portal aktivieren.You can turn on the Secure transfer required property when you create a storage account in the Azure portal. Sie können sie aber auch für vorhandene Speicherkonten aktivieren.You can also enable it for existing storage accounts.

Vorschreiben einer sicheren Übertragung für ein neues SpeicherkontoRequire secure transfer for a new storage account

  1. Öffnen Sie den Bereich Speicherkonto erstellen im Azure-Portal.Open the Create storage account pane in the Azure portal.

  2. Wählen Sie unter Sichere Übertragung erforderlich die Option Aktiviert aus.Under Secure transfer required, select Enabled.

    Blatt „Speicherkonto erstellen“

Vorschreiben einer sicheren Übertragung für ein vorhandenes SpeicherkontoRequire secure transfer for an existing storage account

  1. Wählen Sie ein vorhandenes Speicherkonto im Azure-Portal aus.Select an existing storage account in the Azure portal.

  2. Wählen Sie im Menübereich des Speicherkontos unter EINSTELLUNGEN die Option Konfiguration aus.In the storage account menu pane, under SETTINGS, select Configuration.

  3. Wählen Sie unter Sichere Übertragung erforderlich die Option Aktiviert aus.Under Secure transfer required, select Enabled.

    Menübereich „Speicherkonto“

Erzwingen einer sicheren Übertragung in CodeRequire secure transfer from code

Wenn Sie programmgesteuert eine sichere Übertragung erzwingen möchten, legen Sie die supportsHttpsTrafficOnly-Eigenschaft für das Speicherkonto fest.To require secure transfer programmatically, set the supportsHttpsTrafficOnly property on the storage account. Sie können diese Eigenschaft mithilfe der Speicherressourcenanbieter-REST-API, Clientbibliotheken oder Tools festlegen:You can set this property by using the Storage Resource Provider REST API, client libraries, or tools:

Erzwingen einer sicheren Übertragung mit PowerShellRequire secure transfer with PowerShell

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Für dieses Beispiel ist Az-Version 0.7 des Azure PowerShell-Moduls oder höher erforderlich.This sample requires the Azure PowerShell module Az version 0.7 or later. Führen Sie Get-Module -ListAvailable Az aus, um die Version zu finden.Run Get-Module -ListAvailable Az to find the version. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Install and configure Azure PowerShell (Installieren des Azure PowerShell-Moduls) Informationen dazu.If you need to install or upgrade, see Install Azure PowerShell module.

Führen Sie zum Starten Connect-AzAccount aus, um eine Verbindung mit Azure herzustellen.Run Connect-AzAccount to create a connection with Azure.

Verwenden Sie die folgende Befehlszeile, um die Einstellung zu überprüfen:Use the following command line to check the setting:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Verwenden Sie die folgende Befehlszeile, um die Einstellung zu aktivieren:Use the following command line to enable the setting:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Erzwingen einer sicheren Übertragung mit der Azure-BefehlszeilenschnittstelleRequire secure transfer with Azure CLI

Installieren Sie zum Ausführen dieses Beispiels die aktuelle Version der Azure-Befehlszeilenschnittstelle.To run this sample, install the latest version of the Azure CLI. Führen Sie zum Starten az login aus, um eine Verbindung mit Azure herzustellen.To start, run az login to create a connection with Azure.

Beispiele für die Azure-Befehlszeilenschnittstelle sind für die bash-Shell geschrieben.Samples for the Azure CLI are written for the bash shell. Wenn Sie dieses Beispiel in Windows PowerShell oder an der Eingabeaufforderung ausführen möchten, müssen Sie unter Umständen Elemente des Skripts ändern.To run this sample in Windows PowerShell or Command Prompt, you may need to change elements of the script.

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Verwenden Sie den folgenden Befehl, um die Einstellung zu überprüfen:Use the following command to check the setting:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Verwenden Sie den folgenden Befehl, um die Einstellung zu aktivieren:Use the following command to enable the setting:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Nächste SchritteNext steps

Sicherheitsempfehlungen für Blob StorageSecurity recommendations for Blob storage