Considérations relatives à la mise en réseau Azure FilesAzure Files networking considerations

Vous pouvez vous connecter à un partage de fichiers Azure de deux manières :You can connect to an Azure file share in two ways:

  • En accédant au partage directement via les protocoles SMB ou FileREST.Accessing the share directly via the SMB or FileREST protocols. Ce modèle d’accès est principalement utilisé pour éliminer autant de serveurs locaux que possible.This access pattern is primarily employed when to eliminate as many on-premises servers as possible.
  • En créant un cache du partage de fichiers Azure sur un serveur local (ou sur une machine virtuelle Azure) avec Azure File Sync, puis en accédant aux données du partage de fichiers à partir du serveur local avec le protocole de votre choix (SMB, NFS, FTPS, etc.) en fonction de votre cas d’usage.Creating a cache of the Azure file share on an on-premises server (or on an Azure VM) with Azure File Sync, and accessing the file share's data from the on-premises server with your protocol of choice (SMB, NFS, FTPS, etc.) for your use case. Ce modèle d’accès est pratique car il combine le meilleur des performances locales et de l’échelle du cloud, ainsi que des services pouvant être attachés sans serveur (serverless), tels que Sauvegarde Azure.This access pattern is handy because it combines the best of both on-premises performance and cloud scale and serverless attachable services, such as Azure Backup.

Cet article explique comment configurer la mise en réseau lorsque votre cas d’utilisation demande à accéder directement au partage de fichiers Azure au lieu d’utiliser Azure File Sync. Pour plus d’informations sur les considérations relatives à la mise en réseau pour un déploiement Azure File Sync, consultez Considérations relatives à la mise en réseau Azure File Sync.This article focuses on how to configure networking for when your use case calls for accessing the Azure file share directly rather than using Azure File Sync. For more information about networking considerations for an Azure File Sync deployment, see Azure File Sync networking considerations.

La configuration réseau des partages de fichiers Azure s’effectue sur le compte de stockage Azure.Networking configuration for Azure file shares is done on the Azure storage account. Un compte de stockage est une construction de gestion qui représente un pool de stockage partagé dans lequel vous pouvez déployer plusieurs partages de fichiers, ainsi que d’autres ressources de stockage, telles que des conteneurs d’objets blob ou des files d’attente.A storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Les comptes de stockage présentent plusieurs paramètres qui permettent sécuriser l’accès réseau à vos partages de fichiers : points de terminaison réseau, paramètres de pare-feu de compte de stockage et chiffrement en transit.Storage accounts expose multiple settings that help you secure network access to your file shares: network endpoints, storage account firewall settings, and encryption in transit.

Avant d’entamer la lecture de ce guide conceptuel, nous vous recommandons de lire Planification d’un déploiement Azure Files.We recommend reading Planning for an Azure Files deployment prior to reading this conceptual guide.

Accès à vos partages de fichiers AzureAccessing your Azure file shares

Quand vous déployez un partage de fichiers Azure dans un compte de stockage, le partage de fichiers est immédiatement accessible via le point de terminaison public du compte de stockage.When you deploy an Azure file share within a storage account, your file share is immediately accessible via the storage account's public endpoint. Cela signifie que les demandes authentifiées, comme celles qui sont autorisées par l’identité d’ouverture de session d’un utilisateur, peuvent provenir de l’intérieur ou de l’extérieur d’Azure en toute sécurité.This means that authenticated requests, such as requests authorized by a user's logon identity, can originate securely from inside or outside of Azure.

Dans de nombreux environnements de clients, un montage initial du partage de fichiers Azure sur votre station de travail locale échouera, alors même que les montages à partir de machines virtuelles Azure réussissent.In many customer environments, an initial mount of the Azure file share on your on-premises workstation will fail, even though mounts from Azure VMs succeed. Cela est dû au fait que de nombreuses organisations et autres fournisseurs de services Internet bloquent le port dont se sert SMB pour communiquer, à savoir le port 445.The reason for this is that many organizations and internet service providers (ISPs) block the port that SMB uses to communicate, port 445. Cette pratique résulte des recommandations de sécurité concernant les versions héritées et déconseillées du protocole SMB.This practice originates from security guidance about legacy and deprecated versions of the SMB protocol. Même si SMB 3.0 est un protocole sécurisé pour Internet, les versions antérieures de SMB, en particulier SMB 1.0, ne le sont pas.Although SMB 3.0 is an internet-safe protocol, older versions of SMB, especially SMB 1.0 are not. Les partages de fichiers Azure sont uniquement accessibles en externe via SMB 3.0 et le protocole FileREST (qui est également un protocole sécurisé pour Internet) via le point de terminaison public.Azure file shares may only be externally accessed via SMB 3.0 and the FileREST protocol (which is also an internet safe protocol) via the public endpoint.

Sachant que le moyen le plus simple d’accéder à votre partage de fichiers Azure en local est d’ouvrir votre réseau local au port 445, Microsoft recommande d’effectuer les étapes suivantes de façon à supprimer SMB 1.0 de votre environnement :Since the easiest way to access your Azure file share from on-premises is to open your on-premises network to port 445, Microsoft recommends the following steps to remove SMB 1.0 from your environment:

  1. Assurez-vous que le protocole SMB 1.0 est supprimé ou désactivé sur les appareils de votre organisation.Ensure that SMB 1.0 is removed or disabled on your organization's devices. Toutes les versions actuellement prises en charge de Windows et Windows Server prennent en charge la suppression ou la désactivation du protocole SMB 1.0 et, depuis Windows 10 version 1709, le protocole SMB 1.0 n’est plus installé par défaut.All currently supported versions of Windows and Windows Server support removing or disabling SMB 1.0, and starting with Windows 10, version 1709, SMB 1.0 is not installed on the Windows by default. Pour en savoir plus sur la façon de désactiver le protocole SMB 1.0, voir les pages spécifiques du système d’exploitation :To learn more about how to disable SMB 1.0, see our OS-specific pages:
  2. Assurez-vous qu’aucun produit au sein de votre entreprise ne nécessite le protocole SMB 1.0, et supprimez ceux qui en ont besoin.Ensure that no products within your organization require SMB 1.0 and remove the ones that do. Nous maintenons un centre d’échanges de produits SMB1 qui contient tous les produits Microsoft et tiers connus pour exiger le protocole SMB 1.0.We maintain an SMB1 Product Clearinghouse, which contains all the first and third-party products known to Microsoft to require SMB 1.0.
  3. (Facultatif) Utilisez un pare-feu tiers avec le réseau local de votre organisation pour empêcher le trafic SMB 1.0 de quitter son enceinte.(Optional) Use a third-party firewall with your organization's on-premises network to prevent SMB 1.0 traffic from leaving your organizational boundary.

Si votre organisation demande à ce que le port 445 soit bloqué par une stratégie ou une règle, ou si votre organisation exige que le trafic à destination d’Azure emprunte un chemin déterministe, vous pouvez utiliser la passerelle VPN Azure ou ExpressRoute pour tunneliser le trafic vers vos partages de fichiers Azure.If your organization requires port 445 to be blocked per policy or regulation, or your organization requires traffic to Azure to follow a deterministic path, you can use Azure VPN Gateway or ExpressRoute to tunnel traffic to your Azure file shares.

Important

Même si vous décidez d’employer une autre méthode pour accéder à vos partages de fichiers Azure, Microsoft recommande quand même de supprimer SMB 1.0 de votre environnement.Even if you decide use an alternate method to access your Azure file shares, Microsoft still recommends removing SMB 1.0 from your environment.

Tunneling du trafic sur un réseau privé virtuel ou ExpressRouteTunneling traffic over a virtual private network or ExpressRoute

Quand vous établissez un tunnel réseau entre votre réseau local et Azure, vous effectuez le peering de votre réseau local avec un ou plusieurs réseaux virtuels dans Azure.When you establish a network tunnel between your on-premises network and Azure, you are peering your on-premises network with one or more virtual networks in Azure. Un réseau virtuel, ou VNet, est similaire à un réseau classique que vous exploiteriez localement.A virtual network, or VNet, is similar to a traditional network that you'd operate on-premises. À l’instar d’un compte de stockage Azure ou d’une machine virtuelle Azure, un réseau virtuel est une ressource Azure déployée dans un groupe de ressources.Like an Azure storage account or an Azure VM, a VNet is an Azure resource that is deployed in a resource group.

Azure Files prend en charge les mécanismes suivants pour tunneliser le trafic entre vos stations de travail et serveurs locaux et Azure :Azure Files supports the following mechanisms to tunnel traffic between your on-premises workstations and servers and Azure:

  • Passerelle VPN Azure : une passerelle VPN est un type spécifique de passerelle de réseau virtuel utilisé pour envoyer du trafic chiffré d’un réseau virtuel Azure vers un autre emplacement (par exemple local) via Internet.Azure VPN Gateway: A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an alternate location (such as on-premises) over the internet. Une passerelle VPN Azure est une ressource Azure qui peut être déployée dans un groupe de ressources aux côtés d’un compte de stockage ou d’autres ressources Azure.An Azure VPN Gateway is an Azure resource that can be deployed in a resource group along side of a storage account or other Azure resources. Les passerelles VPN exposent deux types de connexion :VPN gateways expose two different types of connections:
  • ExpressRoute, qui vous permet de créer un itinéraire défini entre Azure et votre réseau local qui ne traverse pas Internet.ExpressRoute, which enables you to create a defined route between Azure and your on-premises network that doesn't traverse the internet. ExpressRoute peut être utile quand les performances du réseau doivent être prises en compte, car il fournit un chemin dédié entre votre centre de données local et Azure.Because ExpressRoute provides a dedicated path between your on-premises datacenter and Azure, ExpressRoute may be useful when network performance is a consideration. ExpressRoute est également une bonne option quand une stratégie ou des exigences réglementaires de votre organisation exigent un chemin d’accès déterministe à vos ressources dans le cloud.ExpressRoute is also a good option when your organization's policy or regulatory requirements require a deterministic path to your resources in the cloud.

Quelle que soit la méthode de tunneling que vous utilisez pour accéder à vos partages de fichiers Azure, vous avez besoin d’un mécanisme qui fasse en sorte que le trafic à destination de votre compte de stockage emprunte le tunnel et non votre connexion Internet normale.Regardless of which tunneling method you use to access your Azure file shares, you need a mechanism to ensure the traffic to your storage account goes over the tunnel rather than your regular internet connection. Il est techniquement possible de router le trafic vers le point de terminaison public du compte de stockage, mais cela nécessite de coder en dur toutes les adresses IP pour les clusters de stockage Azure d’une région, car les comptes de stockage peuvent à tout moment être déplacés entre les clusters de stockage.It is technically possible to route to the public endpoint of the storage account, however this requires hard-coding all of the IP addresses for the Azure storage clusters in a region, since storage accounts may be moved between storage clusters at any time. Cela nécessite aussi une mise à jour permanente des mappages d’adresses IP, car de nouveaux clusters sont ajoutés en permanence.This also requires constantly updating the IP address mappings since new clusters are added all the time.

Plutôt que de coder en dur les adresses IP de vos comptes de stockage dans vos règles de routage VPN, nous vous suggérons d’utiliser des points de terminaison privés. Vos comptes de stockage recevront ainsi une adresse IP issue de l’espace d’adressage d’un réseau virtuel Azure.Rather than hard-coding the IP address of your storage accounts into your VPN routing rules, we recommend using private endpoints, which give your storage account an IP address from the address space of an Azure virtual network. La création d’un tunnel vers Azure a pour effet d’établir un peering entre votre réseau local et un ou plusieurs réseaux virtuels, et donc de permettre un routage correct dans la durée.Since creating a tunnel to Azure establishes peering between your on-premises network and one or more virtual network, this enables the correct routing in a durable way.

Instances Private EndpointPrivate endpoints

En plus du point de terminaison public par défaut du compte de stockage, Azure Files permet de disposer d’un ou plusieurs points de terminaison privés.In addition to the default public endpoint for a storage account, Azure Files provides the option to have one or more private endpoints. Un point de terminaison privé est un point de terminaison qui n’est accessible qu’à l’intérieur d’un réseau virtuel Azure.A private endpoint is an endpoint that is only accessible within an Azure virtual network. Quand vous créez un point de terminaison privé pour votre compte de stockage, celui-ci obtient une adresse IP privée en provenance de l’espace d’adressage de votre réseau virtuel, de la même manière qu’un serveur de fichiers local ou un périphérique NAS reçoit une adresse IP de l’espace d’adressage dédié de votre réseau local.When you create a private endpoint for your storage account, your storage account gets a private IP address from within the address space of your virtual network, much like how an on-premises file server or NAS device receives an IP address within the dedicated address space of your on-premises network.

Un point de terminaison privé individuel est associé à un sous-réseau de réseau virtuel Azure spécifique.An individual private endpoint is associated with a specific Azure virtual network subnet. Un compte de stockage peut avoir des points de terminaison privés dans plusieurs réseaux virtuels.A storage account may have private endpoints in more than one virtual network.

L’utilisation de points de terminaison privés avec Azure Files vous permet de :Using private endpoints with Azure Files enables you to:

  • Établir une connexion sécurisée avec vos partages de fichiers Azure à partir de réseaux locaux en utilisant une connexion VPN ou ExpressRoute avec un peering privé.Securely connect to your Azure file shares from on-premises networks using a VPN or ExpressRoute connection with private-peering.
  • Sécuriser vos partages de fichiers Azure en configurant le pare-feu du compte de stockage de façon à bloquer toutes les connexions sur le point de terminaison public.Secure your Azure file shares by configuring the storage account firewall to block all connections on the public endpoint. Par défaut, la création d’un point de terminaison privé n’a pas pour effet de bloquer les connexions au point de terminaison public.By default, creating a private endpoint does not block connections to the public endpoint.
  • Renforcer la sécurité du réseau virtuel en bloquant l’exfiltration des données du réseau virtuel (et des limites du peering).Increase security for the virtual network by enabling you to block exfiltration of data from the virtual network (and peering boundaries).

Pour créer un point de terminaison privé, consultez Configuration des points de terminaison privés pour Azure Files.To create a private endpoint, see Configuring private endpoints for Azure Files.

Points de terminaison privés et DNSPrivate endpoints and DNS

Quand vous créez un point de terminaison privé, par défaut, nous créons aussi une zone DNS privée (ou en mettons une existante à jour) correspondant au sous-domaine privatelink.When you create a private endpoint, by default we also create a (or update an existing) private DNS zone corresponding to the privatelink subdomain. Vous n’êtes pas à proprement parler tenu de créer une zone DNS privée pour utiliser un point de terminaison privé avec votre compte de stockage. Cependant, cela est en général fortement recommandé et explicitement exigé quand il s’agit de monter un partage de fichiers Azure avec un principal d’utilisateur Active Directory ou d’y accéder à partir de l’API FileREST.Strictly speaking, creating a private DNS zone is not required to use a private endpoint for your storage account, but it is highly recommended in general and explicitly required when mounting your Azure file share with an Active Directory user principal or accessing from the FileREST API.

Notes

Cet article utilise le suffixe DNS de compte de stockage pour les régions publiques Azure, core.windows.net.This article uses the storage account DNS suffix for the Azure Public regions, core.windows.net. Ce commentaire vaut aussi pour les clouds souverains Azure que sont notamment le cloud Azure US Government et le cloud Azure Chine (il vous suffit de remplacer les suffixes appropriés pour votre environnement).This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud and the Azure China cloud - just substitute the the appropriate suffixes for your environment.

Dans votre zone DNS privée, nous créons un enregistrement A pour storageaccount.privatelink.file.core.windows.net et un enregistrement CNAME pour le nom régulier du compte de stockage, qui suit le modèle storageaccount.file.core.windows.net.In your private DNS zone, we create an A record for storageaccount.privatelink.file.core.windows.net and a CNAME record for the regular name of the storage account, which follows the pattern storageaccount.file.core.windows.net. Sachant que votre zone DNS privée Azure est connectée au réseau virtuel contenant le point de terminaison privé, vous pouvez observer la configuration DNS en appelant l’applet de commande Resolve-DnsName à partir de PowerShell dans une machine virtuelle Azure (ou nslookup dans Windows et Linux) :Since your Azure private DNS zone is connected to the virtual network containing the private endpoint, you can observe the DNS configuration when by calling the Resolve-DnsName cmdlet from PowerShell in an Azure VM (alternately nslookup in Windows and Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Pour cet exemple, le compte de stockage storageaccount.file.core.windows.net est résolu en adresse IP privée du point de terminaison privé, à savoir 192.168.0.4.For this example, the storage account storageaccount.file.core.windows.net resolves to the private IP address of the private endpoint, which happens to be 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Si vous exécutez la même commande en local, vous constaterez que le même nom de compte de stockage est résolu en adresse IP publique du compte de stockage. storageaccount.file.core.windows.net est un enregistrement CNAME pour storageaccount.privatelink.file.core.windows.net qui, de son côté, est un enregistrement CNAME pour le cluster de stockage Azure hébergeant le compte de stockage :If you run the same command from on-premises, you'll see that the same storage account name resolves to the public IP address of the storage account instead; storageaccount.file.core.windows.net is a CNAME record for storageaccount.privatelink.file.core.windows.net, which in turn is a CNAME record for the Azure storage cluster hosting the storage account:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Cela traduit le fait que le compte de stockage peut exposer à la fois le point de terminaison public et un ou plusieurs points de terminaison privés.This reflects the fact that the storage account can expose both the public endpoint and one or more private endpoints. Pour être certain que le nom du compte de stockage est résolu en adresse IP privée du point de terminaison privé, vous devez modifier la configuration sur vos serveurs DNS locaux.To ensure that the storage account name resolves to the private endpoint's private IP address, you must change the configuration on your on-premises DNS servers. Il existe plusieurs façons de procéder :This can be accomplished in several ways:

  • Modifiez le fichier hosts sur vos clients pour faire en sorte que storageaccount.file.core.windows.net soit résolu en adresse IP privée du point de terminaison privé souhaité.Modifying the hosts file on your clients to make storageaccount.file.core.windows.net resolve to the desired private endpoint's private IP address. Cela est fortement déconseillé pour les environnements de production, car vous devrez apporter ces modifications à chaque client désireux de monter vos partages de fichiers Azure, et les modifications apportées au compte de stockage ou au point de terminaison privé ne seront pas gérées automatiquement.This is strongly discouraged for production environments, since you will need make these changes to every client that wants to mount your Azure file shares and changes to the storage account or private endpoint will not be automatically handled.
  • Créez un enregistrement A pour storageaccount.file.core.windows.net sur vos serveurs DNS locaux.Creating an A record for storageaccount.file.core.windows.net in your on-premises DNS servers. L’avantage de cette méthode est que les clients de votre environnement local pourront résoudre automatiquement le compte de stockage sans avoir à configurer chaque client. Cependant, cette solution s’avère tout aussi fragile pour ce qui est de la modification du fichier hosts, car les modifications n’apparaîtront pas.This has the advantage that clients in your on-premises environment will be able to automatically resolve the storage account without needing to configure each client, however this solution is similarly brittle to modifying the hosts file because changes are not reflected. Bien que fragile, cette solution peut s’avérer être le meilleur choix pour certains environnements.Although this solution is brittle, it may be the best choice for some environments.
  • Transférez la zone de core.windows.net de vos serveurs DNS locaux vers votre zone DNS privée Azure.Forward the core.windows.net zone from your on-premises DNS servers to your Azure private DNS zone. Il est possible d’atteindre l’hôte DNS privé Azure via une adresse IP spéciale (168.63.129.16) qui est uniquement accessible à l’intérieur des réseaux virtuels qui sont liés à la zone DNS privée Azure.The Azure private DNS host can be reached through a special IP address (168.63.129.16) that is only accessible inside virtual networks that are linked to the Azure private DNS zone. Pour contourner cette limitation, vous pouvez exécuter des serveurs DNS supplémentaires à l’intérieur de votre réseau virtuel, qui transféreront core.windows.net vers la zone DNS privée Azure.To workaround this limitation, you can run additional DNS servers within your virtual network that will forward core.windows.net on to the Azure private DNS zone. Pour simplifier cette configuration, nous avons prévu des applets de commande PowerShell qui assurent le déploiement automatique des serveurs DNS dans votre réseau virtuel Azure et les configurent comme vous le souhaitez.To simplify this set up, we have provided PowerShell cmdlets that will auto-deploy DNS servers in your Azure virtual network and configure them as desired. Pour savoir comment configurer le transfert DNS, consultez Configuration du DNS avec Azure Files.To learn how to set up DNS forwarding, see Configuring DNS with Azure Files.

Paramètres de pare-feu de compte de stockageStorage account firewall settings

Un pare-feu est une stratégie réseau qui détermine les demandes qui sont autorisées à accéder au point de terminaison public d’un compte de stockage.A firewall is a network policy which controls which requests are allowed to access the public endpoint for a storage account. En utilisant le pare-feu de compte de stockage, vous pouvez limiter l’accès au point de terminaison public du compte de stockage à certaines adresses IP, à des plages ou à un réseau virtuel.Using the storage account firewall, you can restrict access to the storage account's public endpoint to certain IP addresses or ranges or to a virtual network. En général, la plupart des stratégies de pare-feu d’un compte de stockage limitent l’accès réseau à un ou plusieurs réseaux virtuels.In general, most firewall policies for a storage account will restrict networking access to one or more virtual networks.

Il existe deux approches pour limiter l’accès d’un compte de stockage à un réseau virtuel :There are two approaches to restricting access to a storage account to a virtual network:

  • Créer un ou plusieurs points de terminaison privés pour le compte de stockage et limiter tous les accès au point de terminaison public.Create one or more private endpoints for the storage account and restrict all access to the public endpoint. Seul le trafic en provenance des réseaux virtuels souhaités accède alors aux partages de fichiers Azure du compte de stockage.This ensures that only traffic originating from within the desired virtual networks can access the Azure file shares within the storage account.
  • Limiter le point de terminaison public à un ou plusieurs réseaux virtuels.Restrict the public endpoint to one or more virtual networks. Cette approche s’appuie sur une fonctionnalité du réseau virtuel appelée points de terminaison de service.This works by using a capability of the virtual network called service endpoints. Quand vous limitez le trafic à un compte de stockage via un point de terminaison de service, vous continuez d’accéder au compte de stockage via l’adresse IP publique.When you restrict the traffic to a storage account via a service endpoint, you are still accessing the storage account via the public IP address.

Pour en savoir plus sur la façon de configurer le pare-feu de compte de stockage, consultez Configurer des pare-feux et des réseaux virtuels dans Stockage Azure.To learn more about how to configure the storage account firewall, see configure Azure storage firewalls and virtual networks.

Chiffrement en transitEncryption in transit

Par défaut, le chiffrement en transit est activé pour tous les comptes de stockage Azure.By default, all Azure storage accounts have encryption in transit enabled. Cela signifie que, lorsque vous montez un partage de fichiers sur SMB ou y accédez en utilisant le protocole FileREST (par exemple, via le portail Azure, PowerShell/CLI ou des kits de développement logiciel (SDK) Azure), Azure Files n’autorise la connexion que si elle est établie à l’aide des protocoles SMB 3.0+ avec chiffrement ou HTTPS.This means that when you mount a file share over SMB or access it via the FileREST protocol (such as through the Azure portal, PowerShell/CLI, or Azure SDKs), Azure Files will only allow the connection if it is made with SMB 3.0+ with encryption or HTTPS. Les clients qui ne prennent pas en charge le protocole SMB 3.0, ou qui prennent en charge le protocole SMB 3.0 mais pas le chiffrement SMB, ne peuvent pas monter le partage de fichiers Azure si le chiffrement en transit est activé.Clients that do not support SMB 3.0 or clients that support SMB 3.0 but not SMB encryption will not be able to mount the Azure file share if encryption in transit is enabled. Pour plus d’informations sur les systèmes d’exploitation prenant en charge SMB 3.0 avec chiffrement, consultez notre documentation détaillée pour Windows, macOS et Linux.For more information about which operating systems support SMB 3.0 with encryption, see our detailed documentation for Windows, macOS, and Linux. Toutes les versions actuelles de PowerShell, de CLI et des SDK prennent en charge le protocole HTTPS.All current versions of the PowerShell, CLI, and SDKs support HTTPS.

Vous pouvez désactiver le chiffrement en transit pour un compte de stockage Azure.You can disable encryption in transit for an Azure storage account. Lorsque le chiffrement est désactivé, Azure Files autorise également les protocoles SMB 2.1 et SMB 3.0 sans chiffrement, ainsi que les appels d’API FileREST non chiffrés via le protocole HTTP.When encryption is disabled, Azure Files will also allow SMB 2.1, SMB 3.0 without encryption, and un-encrypted FileREST API calls over HTTP. La principale raison justifiant de désactiver le chiffrement en transit est la nécessité de prendre en charge une application héritée devant être exécutée sur un système d’exploitation plus ancien, tel que Windows Server 2008 R2 ou une distribution Linux non récente.The primary reason to disable encryption in transit is to support a legacy application that must be run on an older operating system, such as Windows Server 2008 R2 or older Linux distribution. Azure Files n’autorise que les connexions SMB 2.1 au sein de la même région Azure que le partage de fichiers Azure. Ainsi, un client SMB 2.1 situé en dehors de la région Azure dans laquelle se trouve le partage de fichiers Azure, par exemple, localement ou dans une autre région Azure, ne peut pas accéder au partage de fichiers.Azure Files only allows SMB 2.1 connections within the same Azure region as the Azure file share; an SMB 2.1 client outside of the Azure region of the Azure file share, such as on-premises or in a different Azure region, will not be able to access the file share.

Pour plus d’informations sur le chiffrement en transit, voir Exiger un transfert sécurisé dans Stockage Azure.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Voir aussiSee also