1
Q
B001
ある企業は、認証に関して Windows Hello for Business を利用したいと考えています。Windows Hello for Business で利用できる認証方法は次のどれですか。
A. PIN
B. 顔認識
C. メールメッセージ
D. パスワード
E. 指紋認識
A
A. PIN
B. 顔認識
E. 指紋認識
説明:
Windows Hello for Business の目的は、認証プロセスでパスワードが使用されないようにすることです。
ここでは、ユーザーは PIN や生体認証を使用して他の認証手法を使用できます。
2
Q
B002
会社で Azure サブスクリプションをセットアップしたところです。
要件は次のとおりです。「一連のサブスクリプションに対して、一連のリソース、リソース グループ、およびロールの割り当てを実行できること。」
この要件を満たすために適用できるのは次のうちどれですか。
A. Azure ポリシーにロックを適用する
B. Azure Blueprints にロックを適用する
C. Azure AD Identity Protection にロックを適用する
D. Azure リソース グループにロックを適用する
A
D. Azureリソースグループにロックを適用する
説明:
ここでは、Azure リソース グループのロックを定義できます。
これにより、リソース グループ内のリソースが誤って削除されることがなくなります。
3
Q
B003
Microsoft 365 で機密ラベルの使用を検討しています。機密ラベルを使用してドキュメント内のリストをエンコードできますか?
A. はい
B. いいえ
A
A. はい
説明:
文書に機密ラベルを使用すると、ラベルは文書の内容をエンコードします。
4
Q
B004
Azure Bastion サービスを利用することを計画しています。
Azure Bastion サービスを使用して、インターネットから Azure 仮想マシンへのトラフィックを制限できますか?
A. はい
B. いいえ
A
B. いいえ
説明:
Azure Bastion サービスを使用して仮想マシンへのトラフィックを制限することはできません。
このためには、ネットワーク セキュリティ グループを使用する必要があります。
5
Q
B005
あなたの会社では、Azure クラウド サービスの使用を計画しています。
許可されたユーザーのみがデータを読み取れるようにするには、次のどれを使用できますか?
A. 暗号化
B. 重複排除
C. アーカイブ
D. 圧縮
A
A. 暗号化
説明:
データが暗号化されていることを確認できます。
暗号化キーを使用してデータを復号化し、読み出すことができます。
6
Q
B006
次のどれが管理およびセキュリティ オーケストレーションの自動応答ソリューションですか?
A. Azure Sentinel
B. Microsoft Defender for Cloud
C. Azure Active Directory
D. Azure AD Identity Protection
A
A. Azure Sentinel
説明:
Azure Sentinel は、さまざまなソースからのデータを使用し、そのデータに対して脅威監視を実行する可能性があります。
7
Q
B007
Azure およびハイブリッド リソースとワークロードの高度でインテリジェントな保護を提供するのは次のどれですか?
A. Azure Defender
B. Azure ポリシー
C. Azure Blueprints
D. Azure Active Directory
A
A. Azure Defender
説明:
Azure Defender を使用すると、Azure で指定されたリソースとオンプレミスのインフラストラクチャをインテリジェントに保護できます。
8
Q
B008
一般的な悪用や脆弱性から Web アプリケーションを保護するのに役立つ Azure Application Gateway サービスで利用できる機能はどれですか?
A. Azure ファイアウォール
B. Azure Web アプリケーション ファイアウォール
C. Azure ポリシー
D. Azure Identity Protection
A
B. Azure Web アプリケーション ファイアウォール
説明:
Azure WAF は、Azure Application Gateway リソースと併用することで、一般的なアクティビティや脆弱性から Web アプリケーションを防御できます。
9
Q
B009
セキュリティに関して、Azure で利用できるさまざまなサービスを評価しています。
Azure Privileged Identity Managed サービスを使用して実現できるのは次のうちどれですか。
A. Azure 仮想マシンへのトラフィックをフィルター処理する
B. ユーザーに多要素認証を許可する
C. リソース ロールへのジャストインタイム アクセスを提供する
D. リソースのセキュリティ体制を決定する
A
C. リソースロールへのジャストインタイムアクセスを提供する
説明:
Azure Privileged Identity Management を使用すると、Azure AD ロールとリソース ロールへのジャストインタイム アクセスを提供でき、それに応じて使用権を許可または拒否できます。
10
Q
B010
Microsoft 365 で利用できるさまざまな検出ツールを評価しています。
自分の Exchange メールボックスに電子メールをすばやく取得できるようにしたいと考えています。
このニーズを満たすには、次のどれを使用しますか?
A. コア eDiscovery
B. 高度な eDiscovery
C. 機密ラベル
D. コンテンツ検索
A
D. コンテンツ検索
説明:
コンテンツ検索ツールを使用すると、Exchange メールボックス内のメール、SharePoint サイト内のドキュメント、OneDrive の場所をすばやく見つけることができます。
11
Q
B011
Microsoft 365 で利用できるさまざまな検出ツールを評価しています。
Microsoft 365 でコンテンツを探索およびエクスポートするための基本的な機能が必要です。
このニーズを満たすには、次のどれを使用しますか?
A. コア eDiscovery
B. 特権アクセス管理
C. 機密ラベル
D. コンテンツ検索
A
D. コンテンツ検索
説明:
コンテンツ検索ツールを使用すると、Exchange メールボックス内のメール、SharePoint サイト内のドキュメント、OneDrive の場所をすばやく見つけることができます。
12
Q
B012
Azure Firewall を使用して保護できる 2 種類のリソースはどれですか?
A. Azure 仮想マシン
B. Azure Active Directory (Azure AD) ユーザー
C. Microsoft Exchange Online 受信トレイ
D. Azure 仮想ネットワーク
E. Microsoft SharePoint Online サイト
A
A. Azure 仮想マシン
D. Azure 仮想ネットワーク
説明:
これが形成されると、Azure ネットワーク内のサービスと仮想マシンは互いに安全に接続されます。
13
Q
B013
セキュリティ戦略を実装し、ネットワーク インフラストラクチャ全体に複数の防御層を配置する予定です。
これはどのセキュリティ手法を表していますか?
A. 脅威モデリング
B. セキュリティ境界としてのアイデンティティ
C. 多層防御
D. 共有責任モデル
A
C. 多層防御
説明:
多層防御の目的は、情報を保護し、アクセス権限のない者による情報の盗難を防ぐことです。
14
Q
B014
Microsoft 365 E3 サブスクリプションをお持ちです。
統合監査ログと基本監査を使用してユーザー アクティビティを監査する予定です。
監査レコードはどのくらいの期間保持されますか?
A. 15日
B. 30日
C. 90日
D. 180日
A
C. 90日間
説明:
基本監査では、過去90日間の監査記録が保持され、検索可能です。
より長い期間の監査ログを回復するには、高度な監査を採用する必要があります。
15
Q
B015
Azure Bastion はどの種類のリソースに安全なアクセスを提供できますか?
A. Azure ファイル
B. Azure SQL マネージドインスタンス
C. Azure 仮想マシン
D. Azure App Service
A
C. Azure 仮想マシン
説明:
Azure Bastion は、Azure ポータルから TLS 経由で仮想マシンへの安全でシームレスな RDP/SSH 接続を提供します。
16
Q
B016
保存時の暗号化の例は何ですか?
A. サイト間 VPN を使用して通信をエンコードする
B. 仮想マシン ディスクを暗号化する
C. 暗号化された HTTPS 接続を使用して Web サイトにログインする
D. 暗号化された電子メールを送信する
A
B. 仮想マシンディスクの暗号化
説明:
保存時の暗号化は一般的なセキュリティ要件です。組織は、保存時の暗号化をAzureに完全に管理させるという選択肢があります。
17
Q
B017
ゼロ トラストの基本原則を正確に説明している 3 つのステートメントはどれですか。
A. 物理的な場所によって境界を定義する
B. アイデンティティを主なセキュリティ境界として使用する
C. ユーザーの権限を明示的に検証する
D. ユーザーシステムが侵害される可能性があると想定する
E. ネットワークを主なセキュリティ境界として使用する
A
B. アイデンティティを主なセキュリティ境界として使用する
C. ユーザーの権限を明示的に検証する
D. ユーザーシステムが侵害される可能性があると想定する
説明:
ゼロトラストアプローチは、デジタル資産全体に拡張され、統合されたセキュリティ哲学とエンドツーエンドの戦略として機能する必要があります。
これは、ゼロトラスト制御とテクノロジーを適用することによって実現されます。
18
Q
B018
Azure で管理タスクを完了するためにユーザーに 2 時間の猶予を与えるには、何を使用すればよいでしょうか?
A. Azure AD PIM
B. Azure MFA
C. Azure AD Identity Protection
D. 条件付きアクセス ポリシー
A
D. 条件付きアクセスポリシー
説明:
条件付きアクセス テンプレートは、Microsoft の推奨事項に関連付けられた新しいポリシーを展開するための便利な方法を提供するために作成されます。
19
Q
B019
データ保護と規制基準に関連するリスクを軽減するのに役立つアクションを完了するための組織の進捗状況を測定するスコアはどれですか?
A. Microsoft セキュア スコア
B. 生産性スコア
C. Azure Defender のセキュリティ スコア
D. コンプライアンス スコア
A
D. コンプライアンススコア
説明:
コンプライアンス管理ダッシュボードには、全体的なコンプライアンススコアが表示されます。
このスコアは、コントロール内で推奨される回復アクションの完了の進捗状況を決定します。
20
Q
B020
Microsoft クラウド サービスが国際標準化機構 (ISO) などの規制標準にどのように準拠しているかに関する情報を提供する Microsoft ポータルはどれですか?
A. Microsoft Endpoint Manager 管理センター
B. Azure Cost Management + Billing
C. Microsoft Service Trust Portal
D. Azure Active Directory 管理センター
A
C. Microsoft サービス トラスト ポータル
説明:
Microsoft Service Trust Portal には、Microsoft のクラウド サービスとそこに含まれる顧客データを保護する制御とプロセスの実装に関する詳細が含まれています。
21
Q
B021
Azure 展開の共有責任モデルでは、Microsoft が単独で管理する責任は何ですか?
A. モバイルデバイスの管理
B. Azure に保存されているユーザーデータに対するアクセス許可
C. ユーザーアカウントの作成と管理
D. 物理ハードウェアの管理
A
D. 物理ハードウェアの管理
説明:
すべてのクラウド展開タイプにおいて、データと ID はお客様のものです。
データと ID、オンプレミス リソース、およびお客様が管理するクラウド コンポーネントのセキュリティを維持する責任はお客様にあります。
22
Q
B022
Azure 向け Microsoft クラウド導入フレームワークでは、準備フェーズの前にどの 2 つのフェーズが扱われますか?
A. 計画
B. 管理
C. 採用
D. 統制
E. 戦略の定義
A
A. 計画
E. 戦略の定義
説明:
Azure 向け Microsoft クラウド導入フレームワークは、ビジネス上の意思決定者、IT 専門家、クラウド アーキテクトがクラウド導入の目標を実現するのに役立つ包括的なライフサイクル フレームワークです。
このリソースが提供するベスト プラクティス、ドキュメント、ツールのサポートにより、クラウドのビジネスおよびテクノロジ戦略を開発して実装できます。
23
Q
B023
Azure およびハイブリッド リソースとワークロードの高度でインテリジェントな保護を提供するのは次のどれですか?
A. Azure ディフェンダー
B. Azure ポリシー
C. Azure Blueprints
D. Azure Active Directory
A
A. Azure ディフェンダー
説明:
Azure Defender を使用すると、Azure で指定されたリソースとオンプレミスのインフラストラクチャをインテリジェントに保護できます。
24
Q
B024
一般的な悪用や脆弱性から Web アプリケーションを保護するのに役立つ Azure Application Gateway サービスで利用できる機能はどれですか?
A. Azure ファイアウォール
B. Azure Web アプリケーション ファイアウォール
C. Azure ポリシー
D. Azure Identity Protection
A
B. Azure Web アプリケーション ファイアウォール
説明:
Azure Firewall サービスは、Azure 仮想ネットワーク リソースを防御するために使用できるマネージド サービスです。ただし、Azure 仮想マシンへの受信トラフィックを暗号化するために使用することはできません。
25
# B025
Azure Firewall サービスを使用する予定です。Azure Firewall サービスを使用して、Azure 仮想マシンへの受信ネットワーク トラフィックを暗号化できますか?
## Footnote
A. はい
B. いいえ
B. いいえ
26
# B026
Azure Active Directory アクセス レビューの使用を検討しています。Azure AD アクセス評価を使用して、Azure AD で指定されたユーザーのグループ メンバーシップをレビューできますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure Active Directoryでアクセスレビューを行うと、チームやグループへのユーザーのアクセスを確認できます。
27
# B027
以下の暗号化技術に該当するものはどれですか? 「物理メディアに常時保存されている情報を暗号化する。」
## Footnote
A. 転送中の暗号化
B. 保存時の暗号化
C. メモリ内暗号化
D. SSL 暗号化
B. 保存時の暗号化
## Footnote
説明:
保存時の暗号化により、データがディスクに保存されるときに暗号化され、攻撃者が暗号化されていないデータにアクセスできなくなります。
攻撃者が暗号化されたデータを含むハードディスクを入手したが、暗号化キーがない場合は、データにアクセスするには暗号化を回避する必要がある。
28
# B028
あなたの会社では、Azure Active Directory Privileged Identity Management の使用を計画しています。
Privileged Identity Management を使用して、Azure リソースに時間制限付きの割り当てを提供することはできますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure リソースへの時間制限付きエントリを許可できます。
29
# B029
あなたの会社では、Azure Blueprints を活用する予定です。
Azure Blueprints を使用して、Azure サブスクリプションのロールの割り当てを行うことができますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure Blueprint を作成すると、Blueprint の一部として複数の成果物を生成できます。
その 1 つがロールの割り当てです。
30
# B030
現在、貴社では Azure Policy サービスの利用を検討しています。
コンプライアンス チェックで特定された問題を修復するために、Azure Policy サービスを使用できますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure Policy の一部のポリシーには修復部分があり、リソースがポリシーに準拠していない場合に問題を修復するために使用できます。
31
# B031
Azure にリソースのセットがあります。読み取り専用ロックを持つ削除ロックを追加できますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
はい、可能です
32
# B032
あなたの会社は Azure の使用を開始したいと考えており、さまざまなセキュリティ機能を検討しています。
次のどれが次のニーズに使用できますか?
「オンプレミスの Active Directory から Azure AD にユーザーを同期できる。」
## Footnote
A. Azure AD ID 管理
B. Azure 条件付きアクセス
C. Azure AD ロール
D. Azure AD Connect
D. Azure AD コネクト
## Footnote
説明:
Azure AD Connect は、オンプレミスの Active Directory から Azure Active Directory への ID を調整します。
ユーザー ID の同期にはさまざまな手法が利用できます。
33
# B033
Azure Sentinel Advanced Detection and Response (XDR) はどのような機能を提供しますか?
## Footnote
A. Microsoft 365 コンプライアンス センターとの統合
B. 脅威ハンティング サポート
C. Microsoft 365 Defender との統合
D. Azure Monitor ワークブック サポート
C. Microsoft 365 Defenderとの統合
## Footnote
説明:
Microsoft 365 Defender と呼ばれる拡張検出および対応 (XDR) ツールは、エンドポイント、電子メール、アプリケーション、ID など、Microsoft 365 システムのすべての領域から信号、脅威、アラート データを自動的に収集、関連付け、評価します。
攻撃を自動的に阻止し、損傷した資産を安全な状態に復元するために、自動化と人工知能 (AI) を活用します。
修復は、組み込みの自己修復テクノロジによって 70% 以上完全に自動化されているため、防御担当者は知識と経験をより有効に活用できる他の業務に集中できます。
34
# B034
Azure でユーザーが管理タスクを完了するための 2 時間のウィンドウをプロビジョニングするには何を使用できますか?
## Footnote
A. Azure Active Directory (Azure AD) 特権 ID 管理 (PIM)
B. Azure 多要素認証 (MFA)
C. Azure Active Directory (Azure AD) ID 保護
D. 条件付きアクセス ポリシー
A. Azure Active Directory (Azure AD) 特権 ID 管理 (PIM)
## Footnote
説明:
Privileged Identity Management は、時間ベースおよび承認ベースのロールのアクティブ化を提供し、重要なリソースに対する過剰な、不必要な、または不正なアクセス権限のリスクを軽減します。
Privileged Identity Management の主な機能は次のとおりです。
Azure AD および Azure リソースへのジャストインタイムの特権アクセスを提供する
開始日と終了日を使用してリソースへの時間制限付きアクセスを割り当てる
特権ロールのアクティブ化に承認を要求する
ロールのアクティブ化に多要素認証を適用する
正当な理由を使用してユーザーがアクティブ化する理由を理解する
特権ロールがアクティブ化されたときに通知を受け取る
アクセス レビューを実施して、ユーザーが引き続きロールを必要としていることを確認する
内部または外部監査用に監査履歴をダウンロードする
最後にアクティブなグローバル管理者ロールの割り当てが削除されるのを防ぐ
35
# B035
Azure Firewall を利用することでどのような資産を保護できますか?
## Footnote
A. Azure 仮想マシン
B. Azure Active Directory (Azure AD) ユーザー
C. Microsoft Exchange Online 受信トレイ
D. Azure 仮想ネットワーク
D. Azure 仮想ネットワーク
## Footnote
説明:
Network Watcher は、Azure 内外のネットワークのネットワーク レベルで状況を監視および分析できるローカル サービスです。ネットワーク レベルの監視により、ネットワーク レベルのビューで最初から最後まで問題を分析できます。
ネットワーク ウォッチャーのリソース グループを、仮想ネットワークが利用可能なすべての場所に作成する必要があります。
ネットワーク ウォッチャーのリソース グループが特定の場所で利用できない場合は、アラームが有効になります。
36
# B036
セキュリティ手順を実行し、組織のフレームワーク全体にさまざまな防御層を配置する予定です。
これはどのセキュリティ システムを対象としていますか?
## Footnote
A. 脅威モデリング
B. セキュリティ境界としてのアイデンティティ
C. 多層防御
D. 共有責任モデル
C. 多層防御
## Footnote
説明:
多層防御はセキュリティに対する階層型アプローチであり、単一の境界に頼ることはできません。
多層防御戦略には、攻撃の進行速度を低下させるための一連の継続的なメカニズムがあります。
各層はシールドを提供するため、1 つの層が侵害されても、次の層が攻撃者によるデータへの不正アクセスを防止します。
セキュリティの層の例には、次のものがあります。
物理 物理セキュリティとは、データ センターへのアクセスを、許可された担当者のみが入ることができるように制限することです。
ID とアクセス これには、インフラストラクチャへの入場と変更管理を制御するための多要素認証や条件ベースのアクセスなどのセキュリティ制御が含まれます。
境界 このセキュリティには、大規模な攻撃がユーザーに対するサービス拒否を引き起こす前にフィルタリングする分散型サービス拒否 (DDoS) 保護が含まれます。
ネットワーク ネットワーク セキュリティとは、リソース間の通信を制限できるようにネットワークをセグメント化してアクセス制御することです。
コンピューティング コンピューティング層のセキュリティとは、特定のポートを閉じることで、オンプレミスまたはクラウド内の仮想マシンへのアクセスを保護することです。
アプリケーション アプリケーション レイヤー セキュリティは、アプリケーションが安全であり、セキュリティ上の弱点や脆弱性がないことを確認します。
データ データ レイヤー セキュリティには、ビジネスおよび顧客データへのアクセスを管理するためのコントロールが含まれます。データは暗号化によって保護されます。
37
# B037
電子メールの添付ファイルをスキャンし、マルウェアが含まれていない場合にのみ受信者に転送するには何を使用すればよいですか?
## Footnote
A. Microsoft Defender for Office 365
B. Microsoft Defender ウイルス対策
C. Microsoft Defender for Identity
D. Microsoft Defender for Endpoint
A. Microsoft Defender for Office 365
## Footnote
説明:
Microsoft Defender for Office 365 は、クラウドベースのメール フィルタリング サービスで、フィッシング、ビジネス メール詐欺、メールやコラボレーション ツールを狙ったマルウェア攻撃などの高度な脅威から組織を保護します。
Defender for Office 365 には、セキュリティ チームが脅威を特定、優先順位付け、調査、対応できるようにするための調査、ハンティング、修復ツールも含まれています。Safe Attachments は、Microsoft Defender for Office 365 の要素で、受信メール メッセージのリンクを Exchange Online Protection (EOP) のマルウェア対策保護によって検査された後、受信者に配信される前に仮想環境で参照する機能です。
38
# B038
Azure SQL Managed Instance で脅威を検出するために使用できるツールは何ですか?
## Footnote
A. Microsoft Secure Score
B. application Security Groups
C. Azure Defender
D. Azure Bastion
C. Azure Defender
## Footnote
説明:
Azure SQL Managed Instance の Advanced Threat Protection は、異常な動作を検出することで、データベースにアクセスしたりデータベースを悪用したりする予期しない潜在的に危険な試みを検出します。
潜在的な SQL インジェクション、未知のプリンシパルまたは潜在的に危険なアプリケーションからのデータセンター アクセス、ブルート フォース SQL 資格情報はすべて、Advanced Threat Protection で検出できます。
[進行中の SQL を表示] をクリックすると、電子メールが Azure エントリに送信され、データベースで検出された動的な危険の概要を示す Microsoft Defender for Cloud の警告ページが表示されます。
39
# B039
Microsoft Intune デバイスが企業資産にアクセスするのを制限するために、どの Azure Active Directory (Azure AD) 要素を使用できますか?
## Footnote
A. ネットワーク セキュリティ グループ (NSG)
B. Azure AD 特権 ID 管理 (PIM)
C. 条件付きアクセス ポリシー
D. リソース ロック
C. 条件付きアクセスポリシー
## Footnote
説明:
条件付きアクセスは、シグナルをまとめて意思決定を行い、組織のポリシーを適用します。
Azure AD 条件付きアクセスは、新しい ID 駆動型コントロール プレーンの中核です。
Azure AD 条件付きアクセスの一般的な決定:
アクセスをブロックする Azure AD 条件付きアクセスの最も制限的な決定:
アクセスを許可する 最も制限の少ない決定には、次のオプションの 1 つ以上が必要です
多要素認証を要求する デバイスを準拠としてマークする必要がある
ハイブリッド Azure AD 参加デバイスを要求する
承認されたクライアント アプリを要求する アプリ保護ポリシーを要求する
40
# B040
Azure Bastion では、どのような種類のリソースへの安全なアクセスが可能になりますか?
## Footnote
A. Azure ファイル
B. Azure SQL マネージドインスタンス
C. Azure 仮想マシン
D. Azure App Service
C. Azure 仮想マシン
## Footnote
説明:
Azure Bastion を使用すると、Azure サイトから直接 RDP/SSH over TLS 経由で仮想マシンにアクセスできます。
41
# B041
Microsoft 365 の情報バリア ポリシーを採用する正当な理由は何ですか?
## Footnote
A. Microsoft 365 への認証されていないアクセスを制限する
B. 組織内の特定のグループ間の Microsoft Teams チャットを制限する
C. 組織内の特定のグループ間の Microsoft Exchange Online メールを制限する
D. 外部のメール受信者へのデータ共有を制限する
C.組織内の特定のグループ間のMicrosoft Exchange Onlineメールを制限する
## Footnote
説明:
Microsoft Purview 情報バリアを使用してポリシーを設定し、特定のユーザー同士の通信を制限したり、指定したセグメントが他の特定のセグメントとのみ通信できるようにしたりできます。
ユーザー アカウント属性、セグメント、「ブロック」ポリシーと「許可」ポリシー、およびポリシー アプリケーションを使用して、情報バリアのポリシーを構築します。
Azure Active Directory (または Exchange Online) では、ユーザー アカウント属性が定義されます。
部門、役職、場所、チーム名、その他のジョブ プロファイル特性は、これらの機能の例です。
セグメントは、ユーザー アカウント属性によって定義される Microsoft Purview コンプライアンス ポータル内のユーザーのグループです。バリア ポリシーを定義し、会社で実装する準備ができました。
42
# B042
データ セキュリティと規制遵守に関連するリスクを軽減する取り組みの完了において、企業がどの程度進歩したかを示すスコアはどれですか。
## Footnote
A. Microsoft セキュア スコア
B. 生産性スコア
C. Azure Defender のセキュア スコア
D. コンプライアンス スコア
D. コンプライアンススコア
## Footnote
説明:
Microsoft Purview Compliance Manager は、Microsoft Purview コンプライアンス ポータルの機能の 1 つで、組織のコンプライアンス義務をより簡単に、より便利に処理できるようにします。
コンプライアンス マネージャーは、データ セキュリティの脅威の評価から、コントロールのインストールの複雑さの管理、要件と認証の最新状態の維持、監査人へのレポートまで、あらゆる手順を支援します。
43
# B043
国際標準化機構 (ISO) によって規定された規制標準に Microsoft クラウド サービスがどのように準拠しているかについての詳細を提供する Microsoft ポータルはどれですか?
## Footnote
A. Microsoft Endpoint Manager 管理センター
B. Azure Cost Management + Billing
C.Microsoft サービス トラスト ポータル
D. Azure Active Directory 管理センター
C.Microsoft サービス トラスト ポータル
## Footnote
説明:
Microsoft Services Trust Portal では、Microsoft のクラウド サービスの実装と、クラウド サービスに含まれる顧客データを保護する制御とプロセスに関する詳細が提供されています。
44
# B044
Azure 展開の共有責任パラダイムにおける Microsoft の唯一の義務は何ですか?
## Footnote
A.モバイルデバイスの管理
B.Azureに保存されているユーザーデータに対するアクセス許可
C.ユーザーアカウントの作成と管理
D.物理ハードウェアの管理
D.物理ハードウェアの管理
## Footnote
説明:
共有責任モデル、クラウド プロバイダーが担当するセキュリティ アクティビティ、パブリック クラウド サービスを調査および評価する際に担当するタスクについて理解することが重要です。
ワークロードが Software as a Service (SaaS)、Platform as a Service (PaaS)、Infrastructure as a Service (IaaS)、またはオンプレミス データセンターのいずれでホストされているかによって、ワークロードの職務は異なります。
責任は共有されます。オンプレミス データセンターでは、スタック全体を所有します。
クラウドに移行すると、一部の職務が Microsoft に移管されます。スタック展開の種類に応じて、次の図はお客様と Microsoft の間の責任範囲を示しています。
クラウド展開方法に関係なく、データと ID はお客様の所有物です。
データと ID、オンプレミス リソースとクラウド コンポーネント (サービスの種類によって異なります) のセキュリティはお客様の責任です。
展開方法に関係なく、次の義務は常にお客様の責任です。アカウント アクセス管理データ エンドポイント
45
# B045
保存時の暗号化の例を挙げます。
## Footnote
A. サイト間 VPN を使用して通信を暗号化する
B. 仮想マシン ディスクを暗号化する
C. 暗号化された HTTPS 接続を使用して Web サイトにアクセスする
D. 暗号化された電子メールを送信する
B. 仮想マシン ディスクを暗号化する
## Footnote
説明:
保存時の暗号化は、一般的なセキュリティ要件です。Azure では、組織はカスタム キー管理ソリューションのリスクやコストをかけずに、保存時のデータを暗号化できます。組織は、保存時の暗号化を Azure に完全に管理させるオプションがあります。また、組織には、暗号化または暗号化キーを集中管理するための他のオプションもあります。
46
# B046
Azure Active Directory (Azure AD) でのパスワード保護の目的は何ですか?
## Footnote
A. ユーザーがパスワードを変更する頻度を制御するため
B. ユーザーが多要素認証 (MFA) を使用せずにサインインできるデバイスを識別するため
C. 世界的に認められた暗号化標準を使用してパスワードを暗号化するため
D. ユーザーがパスワードに特定の単語を使用できないようにするため
D.ユーザーがパスワードに特定の単語を使用できないようにする
## Footnote
説明:
Azure Active Directory パスワード保護は、認識された弱いパスワードとそのバリエーション、および企業固有の新しい弱いキーワードを検出してブロックします。
既定のグローバル禁止パスワード リストは、Azure AD パスワード保護を使用する Azure AD テナント内のすべてのユーザーに自動的に適用されます。
特定のビジネスおよびセキュリティのニーズに合わせて、カスタムの禁止パスワード リストを作成できます。
47
# B047
グループ メンバーシップを評価し、今後グループ メンバーシップを必要としないクライアントを自動的に削除するために使用できる Azure Active Directory (Azure AD) コンポーネントはどれですか。
## Footnote
A. アクセスレビュー
B. マネージド ID
C. 条件付きアクセスポリシー
D. Azure Ad Identity Protection
A. アクセスレビュー
## Footnote
説明:
Azure Active Directory (Azure AD) アクセス アクセス許可により、組織はグループ登録、ビジネス アプリケーションへのアクセス、およびジョブ タスクを効率的に管理できるようになります。
48
# B048
組織の 2 つの部門の個人間の通信と情報共有を制限するために、どの Microsoft 365 機能を使用できますか?
## Footnote
A. 機密ラベルポリシー
B. 顧客ロックボックス
C. 情報バリア
D. 特権アクセス管理 (PAM)
C. 情報バリア
## Footnote
説明:
Microsoft Teams、SharePoint Online、OneDrive for Business はデータ境界をサポートしています。
メンバーシップの承認にはデータ境界が含まれ、コンプライアンス マネージャーまたはデータ境界マネージャーは、Microsoft Teams のユーザー グループ間のやり取りを許可またはブロックする方法を定義できます。
データ境界は、次のような場合に使用できます。
- インベスター グループのユーザーは、マーケティング チームにドキュメントを共有または共有してはいけません。
- 機密の企業データに取り組んでいる財務チームは、組織内の特定のグループにドキュメントを共有または共有してはいけません。
- 独自のビジネス コンテンツを持つ内部チームは、組織内の特定のグループのユーザーと電話またはオンラインで会話してはいけません。
- リサーチ チームは、製品開発チームとのみ電話またはオンラインで会話してはいけません。
- インベスター グループの Web サイトは、インベスター グループ以外の誰とも共有してはいけません。
49
# B049
Azure メンバーシップをお持ちです。
承認ベースの時間制限付きジョブアクチュエーションを実行したいと考えています。
次のどれを利用することをお勧めしますか?
## Footnote
A. Windows Hello for Business
B. Azure Active Directory (Azure AD) Identity Protection
C. Azure Active Directory (Azure AD) でのアクセス レビュー
D. Azure Active Directory (Azure AD) Privileged Identity Management (PIM)
D.Azure Active Directory (Azure AD) 特権 ID 管理 (PIM)
## Footnote
説明:
Privileged Identity Management (PIM) は、Azure Active Directory (Azure AD) アシスタントであり、組織内の重要なリソースへのアクセスを制御および監視できます。
これらのリソースには、Azure AD、Azure、および Microsoft 365 や Microsoft Intune などのその他の Microsoft Online Services のリソースが含まれます。
組織は、セキュリティで保護されたデータやリソースにアクセスできるユーザーの数を制限する必要があります。
そうすることで、悪意のある攻撃者が承認されたユーザーにアクセスし、機密リソースを誤って侵害する可能性が減ります。ただし、ユーザーは実際には Azure AD、Azure、Microsoft 365、または SaaS アプリケーションで特別なタスクを実行する必要があります。
組織は、ユーザーに Blue AD リソースへの時間制限付きアクセスをすぐに提供し、それらのユーザーが制限付きアクセスをどのように行っているかを監視できます。
50
# B050
アプリケーションを Active Directory (Azure AD) に登録すると、どのような ID が作成されますか?
## Footnote
A. ユーザー アカウント
B. ユーザー割り当てマネージド ID
C. システム割り当てマネージド ID
D. サービス プリンシパル
D. サービスプリンシパル
## Footnote
説明:
Azure ポータルを通じてアプリケーションを登録すると、アプリケーション アイテムと管理ポリシーがホーム レジストリまたはテナントに自動的に作成されます。
51
# B051
次のどれが、階層型セキュリティ技術を使用して攻撃の進行を遅らせますか?
## Footnote
A. 共有責任モデル
B. ゼロトラスト手法
C. CIA モデル
D. 多層防御
D. 多層防御
## Footnote
説明:
多層防御は、セキュリティに階層的なアプローチを採用し、攻撃が成功する可能性を減らします。
52
# B052
ユーザーは音楽を聴きたいので、Google アカウントを使用して Spotify アプリにログインします。
詳細については、下の画像を参照してください。上記のシナリオを踏まえて、次の記述のうち正しくないものはどれですか。
ユーザーは Spotify にログインするために別のユーザー名とパスワードを必要としません。
## Footnote
A. Spotify が使用する Azure AD は Google を信頼しています。
B. Google は Spotify の Azure AD を信頼しています。
C. Spotify の Azure AD と Google の間には信頼関係があります。
B. GoogleはSpotifyのAzure ADを信頼している
## Footnote
説明:
上記のケースでは、Spotify の Azure AD は Google を信頼しています。
ただし、これは当てはまりません。信頼関係が設定されていない限り、Google は Spotify を信頼しません。
53
# B053
権限管理では、新しいチーム メンバーのオンボーディングを支援するために、アクセス パッケージとリソース セットを確立します。
アクセス パッケージでは、次のどの種類のリソースを定義できますか (4 つのオプションを選択)
## Footnote
A. Azure AD エンタープライズ アプリ
B. SharePoint Online サイト
C. Azure リソース
D. Microsoft 365 グループ
E. Microsoft 365 ライセンス
F. Azure AD セキュリティ グループ
A. Azure AD エンタープライズ アプリ
B. SharePoint Online サイト
D. Microsoft 365 グループ
F. Azure AD セキュリティ グループ
## Footnote
説明:
Azure AD の権限管理では、アクセス パッケージを定義して、アクセス要求ワークフロー、アクセスの割り当て、およびアクセスの有効期限を自動化します。
多くのユーザー (新入社員でも最近役割が変更されたユーザーでも) は、必要なアクセスやアクセスを要求すべき相手がわからないため、これは非常に重要です。
上の図に示すように、アクセス パッケージで定義されているリソースの種類は次のとおりです。
Azure AD セキュリティ グループと Microsoft 365 グループのメンバーシップ、Azure Active Directory アプリと SaaS アプリへのアクセス、SharePoint Online サイトへのアクセス。Microsoft 365 ライセンスまたは Azure リソースへのアクセスを直接管理することはできませんが、Azure AD セキュリティ グループを作成し、Microsoft 365 ライセンスが必要なユーザーに (グループベースのライセンスを介して) アクセスを許可することができます。
そのグループに対して、Azure ロールの割り当てを作成する必要があります。
理解しにくい場合は、上の図が役立ちます。したがって、正解は 1、2、4、6 です
54
# B054
Azure ポータルでは、どこでワークロード保護を有効にできますか?
## Footnote
A. アドバイザー
B. Azure AD セキュリティ
C. Microsoft Defender for Cloud
D. Azure Sentinel
C. Microsoft Defender for Cloud
## Footnote
説明:
Microsoft は多層セキュリティ アプローチを採用しています。Microsoft Defender for Cloud のみが基本レイヤー (無料、基本レベルの保護) であり、Microsoft Defender for Cloud はより高度なレイヤー (有料、ジャストインタイム アクセスによる高度な保護、適応型アプリケーション制御、脆弱性評価など) です。
ワークロード保護には、Microsoft Defender for Cloud を通じてアクセスします。更新後にのみ、以下の画面が表示されます。
55
# B055
Microsoft Azure Sentinel は、スケーラブルなクラウドネイティブ SIEM/SOAR ソリューションです。頭字語は何の略ですか?
## Footnote
A. セキュリティ インシデント イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)
B. セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)
C. セキュリティ インシデント イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)
D. セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)
B. セキュリティ情報イベント管理(SIEM)、セキュリティオーケストレーション自動応答(SOAR)
## Footnote
説明:
セキュリティ情報イベント管理 (SIEM) は、インフラストラクチャ、リソース、デバイス、ファイアウォール、エンドポイントによって作成されたすべてのログ エントリの統合リポジトリです。
これらのログを使用してアラートを作成し、管理者に通知します。SOAR (Security Orchestration Automated Response) は、これらのシグナル (プレイブックを使用) を取得して脅威への対応を自動化します。
その結果、SOAR はインシデント対応時間を短縮します。
簡単に言うと、SIEM が疑わしい動作を識別すると、アラームを生成します。SOAR はアラーム (誤検知を含む) を処理し、自動応答を生成します。
56
# B056
[ XXX ] は、脅威を積極的に検出するのに役立つ、エンドポイント向けの Microsoft Defender の機能です。
## Footnote
A. ネットワーク保護
B. アドバンスドハンティング
C. 次世代保護
D. 自動調査
B. アドバンスドハンティング
## Footnote
説明:
Microsoft Defender for Endpoint には、試験中に役立つ機能がいくつかあります。高度な検出は、危険を積極的に探すクエリを作成できるため、最適なオプションです。
57
# B057
コンプライアンス データ管理者として Microsoft 365 コンプライアンス センターにログインすると、ソリューション カタログに表示されるコンプライアンス ソリューション領域は次のどれですか。3つ選択せよ。
## Footnote
A. コミュニケーションコンプライアンス
B. 情報保護とガバナンス
C. インサイダーリスク管理
D. データ損失防止
E. 検出と対応
F. 高度な電子情報開示
B. 情報保護とガバナンス
C. インサイダーリスク管理
E. 検出と対応
## Footnote
説明:
Microsoft 365 ソリューション カタログは、会社に適したコンプライアンスおよびリスク管理ソリューションを見つけるのに役立ちます。
コンプライアンス ソリューション カタログは 3 つのセクションに分かれています。
各ソリューション領域では、さまざまなコンプライアンス オプションの詳細が提供されます。
コンプライアンス ソリューションのカテゴリは、ご想像のとおり、インサイダー リスク管理、情報保護とガバナンス、検出と対応の 3 つだけです。
58
# B058
ゼロ トラストの指針を最もよく説明している 3 つの文はどれですか。それぞれの正解には、ソリューション全体が含まれています。
## Footnote
A.物理的な場所によって境界を定義する
B.アイデンティティを主要なセキュリティ境界として使用する
C.ユーザーの権限を常に明示的に検証する
D.ユーザーシステムが侵害される可能性があることを常に想定する
E.ネットワークを主要なセキュリティ境界として使用する
B. IDを主要なセキュリティ境界として使用する
C. ユーザーの権限を常に明示的に検証する
D. ユーザーシステムが侵害される可能性があることを常に想定する
## Footnote
説明:
ゼロトラストの概念はセキュリティ戦略です。製品やサービスではなく、次の一連のセキュリティ原則を定義して実装するアプローチです。明示的に検証する最小権限のアクセス方法を使用する侵入を想定する
59
# B059
Azure ポータルでは、どこで Azure Defender を有効にできますか?
## Footnote
A. 共有責任モデル
B. ゼロトラスト手法
C. CIA モデル
D. 多層防御
D. 多層防御
## Footnote
説明:
多層防御は、セキュリティに階層的なアプローチを採用し、攻撃が成功する可能性を減らします。
60
# B060
あなたの会社は Azure クラウド サービスを使用する予定です。
Microsoft のプライバシーに関しては、多くのセキュリティ問題が検討されています。
透明性は Microsoft のプライバシーの原則の中核ですか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Microsoft が取り組む重要なプライバシー原則を以下に示します。
制御 透明性 セキュリティ 強力な法的保護 コンテンツによるターゲット設定なし お客様にとってのメリット 透明性に関しては、Microsoft はデータ収集の実践において透明性があると主張しています。
61
# B061
あなたの会社では、Azure クラウド サービスを使用する予定です。
許可されたユーザーだけがデータを読み取れるようにするには、次のどれを使用できますか?
## Footnote
A. アーカイブ
B. 重複排除
C. 暗号化
D. 圧縮
C. 暗号化
## Footnote
説明:
データが暗号化されていることは間違いありません。暗号化キーは、許可されたユーザーのみが使用できます。暗号化キーを使用して、データを復号化して読み取ることができます。
オプション B は、通常、重複するデータの複数のコピーを削除するために使用されるため、不適切です。
オプション A は、通常、あまり使用されないデータを保存するため、不適切です。
オプション D は、通常、データ ストレージ領域を削減するために使用されるため、不適切です。
62
# B062
ある企業が Azure Active Directory を使用する予定です。Azure Active Directory の正しい用語は次のどれですか?
## Footnote
A. フェデレーション サーバー
B. ファイアウォール
C. プロキシ サーバー
D. アイデンティティ プロバイダー
D. アイデンティティプロバイダ
## Footnote
説明:
Microsoft の ID サプライヤーは Azure Active Directory です。これは、ID の保存とアクセス管理に使用されます。Azure Active Directory は、Azure と Microsoft Office 365 の両方で ID とアクセスを処理できます。
Azure Active Directory は ID とアクセスの管理に使用されるため、他のすべてのオプションは無効です。
63
# B063
組織では Azure Active Directory を使用する予定です。
すべての Azure Active Directory バージョンで同じ機能セットが提供されますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Active Directory にはさまざまな価格オプションがあります。無料モデルは最も基本的なバージョンです。
この場合、機能制限があります。
たとえば、次のようなサービスは使用できません: サービス レベル アグリーメント (SLA) クラウド ユーザーが自分でパスワードをリセットする グループ アクセスの管理
64
# B064
ネットワーク セキュリティ グループは、貴社が使用することを意図しているものです。IP アドレス、プロトコル、ポート番号に基づいて、ネットワーク セキュリティ グループを使用してトラフィックをフィルター処理することは可能ですか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
ネットワーク セキュリティ グループ ルールの IP アドレス、プロトコル、およびポート番号に基づいてルールを作成できます。以下のサンプル スクリーンショットは、IP アドレス、プロトコル、およびポート番号を示しています。
65
# B065
要件に基づいて適切なサービスを選択する必要があります。
与えられた要件に対して、次のどれを使用しますか?
「ネットワーク アドレス変換を提供する」
## Footnote
A. Azure Bastion
B. ネットワーク セキュリティ グループ
C. Azure Firewall
D. Azure DDoS 保護
C. Azure Firewall
## Footnote
説明:
Azure Firewall サービスは、パブリック IP アドレスからのトラフィックをプライベート IP アドレスおよび仮想ネットワークに変換できます。
オプション A は、RDP/SSH 経由で Azure 仮想マシンにアクセスできるようにするため、不適切です。
オプション B は、Azure 仮想マシンへのトラフィックをフィルター処理するために使用されるため、不適切です。
オプション D は、大規模なインターネットの脅威から Azure リソースを保護するために使用されるため、不適切です。
66
# B066
要件に基づいて適切なサービスを選択する必要があります。
与えられた要件に対して、次のうちどれを使用しますか?
「Azure 仮想マシンに RDP/SSH で安全にアクセスできる方法を提供する。」
## Footnote
A. Azure Bastion
B. Azure Firewall
C. ネットワーク セキュリティ グループ
D. Azure DDoS 保護
A. Azure Bastion
## Footnote
説明:
Azure Bastion サービスは、ブラウザーまたは Azure ポータルを介して Azure 仮想マシンに接続できるマネージド サービスです。
これはマネージド ファイアウォール サービスであるため、オプション B は不適切です。オプション C は、Azure 仮想マシンとの間のトラフィックをフィルター処理するために使用されるため、不適切です。オプション D は、大規模なインターネットの脅威から Azure リソースを保護するために使用されるため、不適切です。
67
# B067
貴社では Microsoft Defender for Endpoint の使用を予定しています。
Microsoft Defender for Endpoint を使用して Windows 10 コンピューターを保護することは可能ですか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Microsoft Defender for Endpoint サービスは、Windows 10 デバイスと互換性があります。
68
# B068
会社では最近、Azure サブスクリプションを購入しました。
要件は次のとおりです。
「リソース、リソース グループ、およびロール割り当てのコレクションをサブスクリプションのコレクションにデプロイする機能。」
「ips-staging リソース グループで定義されたリソースを誰も削除できないことを確認できること。」
「Microsoft IaaS Antimalware 拡張機能が、Azure 仮想マシンとして指定されたすべての Windows Server にデプロイされていることを確認する。」
次の状況に適切なのは次のうちどれですか。「リソース、リソース グループ、およびロール割り当てのコレクションをサブスクリプションのコレクションにデプロイする機能。」
## Footnote
A. Azure ポリシー
B. Azure ブループリント
C. Azure AD Identity Protection
D. Azure リソース ロック
B. Azure ブループリント
## Footnote
説明:
Azure Blueprints は、成果物のグループを配信するために使用できます。
ARM テンプレート、リソース グループ、ロールの割り当てなどのリソースは、成果物の例です。
成果物は、Azure Blueprints を使用してデプロイできます。
オプション A は、Azure アカウントのリソースのガバナンス メカニズムとして利用されるため、不適切です。
オプション C は、Azure AD ID を保護するために使用されるため、不適切です。
オプション D は、Azure での不注意によるリソースの損失や変更を防ぐため、不適切です。
69
# B069
Microsoft 365 のセキュリティ ソリューションに関しては、会社では利用可能なさまざまなオプションを検討しています。
最も重要なニーズは次のとおりです。
Exchange メールボックス内のメール、SharePoint サイト内のドキュメント、および OneDrive フォルダーを検索します。
組織内での利益相反を回避するには、2 つのグループ間のコミュニケーションとコラボレーションを制限します。Microsoft サポート エンジニアがユーザーの Exchange Online データにアクセスできるようにします。
Microsoft Office 365 Exchange Online では、ユーザーにジャストインタイム アクセスを提供します。
次の状況に適切なのは次のどれですか。Microsoft サポート エンジニアがユーザーの Exchange Online データにアクセスできるようにします。
## Footnote
A. 情報バリア
B. コンテンツ検索ツール
C. 顧客ロックボックス
D. 特権アクセス管理
C. 顧客ロックボックス
## Footnote
説明:
説明: Microsoft エンジニアは、問題を特定するためにユーザー データへのアクセスを必要とする場合があります。
カスタマー ロックボックス機能を使用すると、これを実現できます。
オプション A は、2 つのグループ間のコミュニケーションとコラボレーションを制限することで組織内の利益相反を防ぐために使用されているため、不適切です。
オプション B は、Exchange の電子メール、SharePoint サイト、および OneDrive フォルダー内の資料を検索するために使用されているため、誤りです。
オプション D は、Microsoft 365 サービスへのジャストインタイム アクセスを提供するために使用されているため、誤りです。
70
# B070
あなたの会社は Azure を使い始めようとしています。
Azure を使用する際、いくつかのセキュリティ要素を検討しています。
次のオプションのうちどれが次のニーズを満たすために使用できますか?「オンプレミスの Active Directory から Azure Active Directory にユーザーを同期する機能」
## Footnote
A. Azure AD ID 管理
B. Azure 条件付きアクセス
C. Azure AD ロール
D. Azure AD Connect
D. Azure AD Connect
## Footnote
説明:
オンプレミスの Active Directory から Azure Active Directory への ID 同期は、Azure AD Connect を介して行われます。ユーザー ID 同期は、さまざまな方法で実行できます。
オプション A は、Azure ID を保護するために使用されるため不適切です。
オプション B は、Azure の条件付きアクセスを許可するために使用されるため不適切です。
オプション C は、Azure Active Directory でさまざまな要素を制御する権限をユーザーに提供するため不適切です。
71
# B071
ある会社が、次の Azure リソースを含む「Ips」という名前のリソース グループを作成します。
このリソース グループは次のロック機能でロックされています。
この組織に関連付けられているすべての Azure ユーザーは、「Ips」という名前のロックされたグループに新しいリソースを作成できますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure ロックは、リソース グループを望ましくないインシデントから保護するリソースです。
Azure には 2 種類のロックがあります。
読み取り専用ロックでは、承認されたユーザーはリソースの読み取りのみが許可されます。リソースに変更を加えることはできません。
2 つ目のロックは削除です。これにより、ユーザーはリソースを削除できなくなります。特定の状況では、ユーザーは仮想マシンを停止し、このグループ内に新しいリソースを作成し、削除以外の「Ips」内で作成されたリソースを変更できます。
72
# B072
次のセキュリティ情報イベント管理およびセキュリティ オーケストレーション自動応答ソリューションのうち、スケーラブルでクラウド ネイティブなものはどれですか?
## Footnote
A. Azure Sentinel
B. Microsoft Defender for Cloud
C. Azure Active Directory
D. Azure AD Identity Protection
A. Azure Sentinel
## Footnote
説明:
Azure Sentinel は、セキュリティ情報イベント管理およびセキュリティ オーケストレーション自動応答のためのスケーラブルなクラウド ネイティブ ソリューションとして使用できます。
Azure Sentinel はさまざまなソースからデータを取り込み、そのデータに基づいてパフォーマンスの脅威を監視する場合があります。
オプション B は不正確です。Microsoft Defender for Cloud は環境に対してさまざまなセキュリティ メトリックと推奨事項を提供できますが、完全なオーケストレーションと応答ベースのソリューションを提供できないためです。
オプション C は、Azure の ID ベースのソリューションを使用しているため不適切です。
オプション D は、Azure ID をセキュリティで保護するために使用されるため不適切です。
73
# B073
あなたの会社では Azure Blueprints を使用する予定です。Azure Blueprints を使用して、Azure サブスクリプションのロールの割り当てを構築できますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
説明: Azure Blueprint を構築するときに、複数の成果物を含めることができます。ロールの割り当てもその 1 つです。以下はそのスクリーンショットです。
74
# B074
高度でインテリジェントな Azure およびハイブリッド リソースとワークロードの保護を提供するのは次のどれですか?
## Footnote
A. Azure Active Directory
B. Azure Blueprint
C. Azure Defender
D. Azure Policy
C. Azure Defender
## Footnote
説明:
Azure Defender を使用すると、Azure リソースとオンプレミス インフラストラクチャのインテリジェントなセキュリティを実現できます。
以下に示すように、これは Microsoft Defender for Cloud に含まれる追加のセキュリティ機能です。
オプション D は、Azure アカウント リソースのガバナンスに利用されるため不適切です。
オプション B は、さまざまな資産を Azure アカウントにデプロイするために使用されるため不適切です。
オプション A は、個人情報のリポジトリであるため間違っています。
75
# B075
次の Azure Application Gateway 機能のうち、一般的な攻撃や脆弱性からオンライン アプリケーションを保護するために使用できるものはどれですか。
## Footnote
A. Azure ポリシー
B. Azure Identity Protection
C. Azure ファイアウォール
D. Azure Web アプリケーション ファイアウォール
D. Azure Web アプリケーション ファイアウォール
## Footnote
説明:
一般的な悪用や脆弱性から Web アプリケーションを保護するには、Azure Web アプリケーション ファイアウォールを Azure Application Gateway リソースと組み合わせて使用します。たとえば、SQL インジェクションやクロスサイト スクリプティング攻撃に対する防御に役立ちます。オプション C は、Azure 仮想ネットワーク リソース用のマネージド ファイアウォール サービスであるため、誤りです。オプション A は、Azure リソース ガバナンスに使用されているため、誤りです。オプション B は、Azure AD アカウントを保護するために使用されるため、不適切です。
76
# B076
以下の暗号化技術に該当するものはどれですか? 「物理メディアに長期間保存されたデータを暗号化する。」
## Footnote
A. 転送中の暗号化
B. 保存時の暗号化
C. メモリ内暗号化
D. SSL 暗号化
B. 保存時の暗号化
## Footnote
説明:
この概念は、転送中のデータを暗号化するというアイデアと一致します。
この場合、物理メディア上のデータが暗号化されます。「残り」というフレーズは物理デバイスに保存されているデータを指すため、他のすべての可能性は誤りです。
77
# B077
Azure Firewall サービスを利用する予定です。Azure Firewall サービスを使用して、Azure 仮想マシンへの受信ネットワーク トラフィックを暗号化することは可能ですか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Firewall は、Azure 仮想ネットワーク リソースを保護するためのマネージド サービスです。ただし、Azure 仮想マシンへの受信トラフィックを暗号化することはできません。
78
# B078
Azure Active Directory (Azure AD) のハイブリッド構成があります。
Azure AD 認証をサポートするように構成された Azure SQL Database インスタンスがあります。
データベース開発者は、オンプレミスの Active Directory アカウントを使用してデータベース インスタンスに接続し、認証する必要があります。
開発者が Microsoft SQL Server Management Studio を使用してインスタンスに接続できるようにする必要があります。
ソリューションでは、認証プロンプトを最小限に抑える必要があります。どの認証方法をお勧めしますか?
## Footnote
A. Active Directory - パスワード
B. Active Directory - ユニバーサル MFA サポート
C. SQL Server 認証
D. Active Directory – 統合
A. Active Directory - パスワード
## Footnote
説明:
Azure AD マネージド ドメインを使用して Azure AD プリンシパル名で接続する場合は、Active Directory パスワード認証を使用します。
79
# B079
ある会社にはオンプレミスのデータ センターと Azure サブスクリプションがあります。
Azure AD 認証をサポートする Azure SQL データベースが導入されています。
データベース開発者は、Microsoft SQL Server Management Studio を使用してデータベースに認証する必要があります。
オンプレミスの Active Directory アカウントを使用して認証する必要があります。また、ソリューションによって認証プロンプトが最小限に抑えられるようにする必要があります。
Microsoft SQL Server Management Studio で接続するには、次のどの認証タイプを使用する必要がありますか。
## Footnote
A. SQL ログイン
B. Active Directory – MFA サポート付きのユニバーサル
C. Active Directory – 統合
D. Active Directory – パスワード
C. Active Directory – 統合
## Footnote
説明:
オンプレミスの AD でフェデレーション ソリューションを使用する場合は、認証タイプとして Active Directory - Microsoft SQL Server Management Studio に統合を使用する必要があります。
80
# B080
会社では、条件付きアクセス ポリシーの実装を計画しています。
Azure AD で使用可能な既存のリスク イベントに基づいてポリシーを実装する必要があります。
Azure AD に定義されている次のイベントのリスク レベルを特定する必要があります。
資格情報が漏洩したユーザー、匿名 IP アドレスからのサインイン、通常とは異なる場所へのあり得ない移動、見慣れない場所からのサインイン。
次のリスク イベントに関連付けられているリスク レベルは次のどれですか。「匿名 IP アドレスからのサインイン」
## Footnote
A. 低
B. 中
C. 高
D. 重大
B. 中程度
## Footnote
説明:
このイベントは中程度のリスクレベルに関連付けられています。これは Microsoft のドキュメントにも記載されています。
これは Microsoft のドキュメントに明確に記載されているため、他のオプションはすべて正しくありません
81
# B081
組織の Azure アカウントでは、いくつかのサービスとリソースが利用可能です。
顧客と従業員は、これらのサービスとリソースを試してみたいと考えています。
組織は、安全なアクセスを確保するために、認証されたユーザーのみがサービスとリソースを使用できるようにします。
認証の定義として有効なのは次のうちどれですか。
## Footnote
A. これは正当な資格情報を提供する行為です。
B. これは Azure で使用できるサービスの種類を指定します。
C. これは Azure で使用できるデータの種類を指定します。
D. これは Azure で実行できることを指定します。
A. これは正当な資格情報を提供する行為です。
## Footnote
説明:
Azure には複数の ID 管理方法があります。最も実装されている安全な方法の 1 つは、多要素認証 (MFA) です。
MFA は、不正行為の警告、ユーザーのブロック/ブロック解除、電話通話設定、通知の検証などを使用して実装できます。
このような認証方法は、Azure Active Directory (AAD) によって実現できる条件付きアクセス ポリシーと呼ばれます。
82
# B082
IT エンジニアが組織用に「IPS-rg」というリソース グループを作成します。
リソース グループに「IPS-VM」という仮想マシンが作成されます。
高度なセキュリティ保護を提供するために、偶発的なインシデントを回避するための最適なオプションとして、次のリソース展開のどれが適していますか?
## Footnote
A. セキュリティ
B. アクセス制御
C. ロック
D. 構成
C. ロック
## Footnote
説明:
Azure ロックは、リソース グループを望ましくないインシデントから保護するリソースです。
Azure には 2 種類のロックがあります。
読み取り専用ロックは、承認されたユーザーにリソースの読み取りのみを許可します。リソースに変更を加えることはできません。
2 つ目のロックは削除で、ユーザーがリソースを削除できないようにします。
オプション A は、リソースを保護するためのセキュリティ機能を定義するため無効です。
オプション B は、承認されたユーザーにアクセス権を提供するため無効です。
オプション D は、選択したリソースの構成を表示するため無効です。
83
# B083
IT 企業は、複数のサブネットと仮想マシン (VM) を含む仮想ネットワーク (VNet) を展開しました。
受信トラフィックがポート 8080 からマシンに確実に流入するようにしたいと考えています。
次の Azure サービスのうち、セキュリティで保護されたネットワーク トラフィック フローを担当するのはどれですか。
## Footnote
A. ルートテーブル
B. ネットワークインターフェースカード
C. ルートフィルター
D. ネットワークセキュリティグループ
D. ネットワークセキュリティグループ
## Footnote
説明:
説明: ネットワーク セキュリティ グループ (NSG) には、一部の特殊な VM が他のリソースからの受信および送信トラフィックの負荷を許可または拒否できるようにする一連のセキュリティ ルールがあります。次の図は、受信トラフィック フローの正しいポートの有効性を確認する手順を示しています。
84
# B084
IT エンジニアは、複雑なデータベース アプリケーションが実行されるネットワークを設計します。
分散型サービス拒否 (DDoS) 攻撃からアプリケーションを保護するために、保護レイヤーとして使用される Azure サービスの次のうちどれですか。
## Footnote
A. Azure DDoS 保護
B. Azure Key Vault
C. Azure 多要素認証
D. Azure ネットワーク セキュリティ グループ
A. Azure DDoS 保護
## Footnote
説明:
Azure DDoS Protection サービスは、標的型 DDoS 攻撃からアプリケーションを保護します。
DDoS Protection を使用すると、トラフィックは常に Azure データ センター内に留まります。Azure DDoS Protection は攻撃を軽減するため、トラフィックがデータ センターから出ることはないため、パフォーマンスにも役立ちます。
オプション B は無効です。Azure Key Vault は暗号化された形式でアプリケーション シークレットを保護するためです。
オプション C は無効です。多要素認証 (MFA) は、さまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供するためです。
オプション D は無効です。ネットワーク セキュリティ グループ (NSG) は、ネットワーク リソースへの不要なトラフィック負荷を防ぐリソース ファイアウォールとして機能するためです。
85
# B085
ある企業は、安全なネットワークを設計し、実際の秘密を明かすことなくアプリケーションの秘密を第三者と共有することを計画しています。
秘密の共有に使用される Azure サービスはどれですか。
## Footnote
A. Azure ネットワーク セキュリティ グループ
B. Azure DDoS 保護
C. Azure Key Vault
D. Azure 多要素認証
C. Azure Key Vault
## Footnote
説明:
Azure Key Vault はシークレットとパスワードを保存します。
これにより、実際のシークレットを誰も見ることができないように、パスワードとシークレットを非表示の形式で他のユーザーと共有できます。
オプション A は無効です。ネットワーク セキュリティ グループ (NSG) は、ネットワーク リソースが不要なトラフィック負荷にさらされないようにするリソース ファイアウォールとして機能するためです。
オプション B は無効です。DDoS 保護サービスは、アプリケーションを DDoS 攻撃から保護するためです。
オプション D は無効です。多要素認証 (MFA) は、さまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供するためです。
86
# B086
組織のネットワーク セキュリティ エンジニアである Denzel は、機密性の高い複雑なアプリケーションを実行するネットワークを実装しました。
何らかの理由で、この実行中のアプリケーションを停止しました。そこで、Azure からインターネットへのすべてのネットワーク トラフィック負荷を停止するために、Azure Firewall を使用することにしました。このアプリケーションを停止するには、この方法が適切でしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Firewall は、ネットワーク内の受信トラフィックと送信トラフィックのルールを定義して、ネットワーク内のリソースのセキュリティを確保します。Azure とインターネットの間にブロックは作成されません。Azure とインターネットの間に安全な保護レイヤーを提供し、不要なインシデントやブロックなしでスループットを提供します。
87
# B087
ある組織は、アプリケーションへの高度で安全なアクセス方法を実装することを決定しました。
組織は、複数のステップで無関係なユーザーがアプリケーションにアクセスするのを防ぐ方法を実装するタスクをセキュリティ エンジニアに割り当てます。
このような安全な識別方法を実装するために使用できる Azure サービスはどれですか。
## Footnote
A. Azure ネットワーク セキュリティ グループ
B. Azure DDoS 保護
C. Azure Key Vault
D. Azure 多要素認証
D. Azure 多要素認証
## Footnote
説明:
多要素認証 (MFA) は、さまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供します。
MFA は、「ユーザーが知っていること (ID とパスワード)、ユーザーが持っているもの (電話またはその他のハードウェア)、ユーザー自身 (顔認識または生体認証)」に基づいています。
オプション A は、ネットワーク セキュリティ グループ (NSG) がリソース ファイアウォールとして機能し、ネットワーク リソースが不要なトラフィック負荷から保護されるため無効です。
オプション B は、DDoS 保護サービスがアプリケーションを DDoS 攻撃から保護するため無効です。
オプション C は、Azure Key Vault が暗号化された形式でアプリケーション シークレットを保護するため無効です。
88
# B088
ある組織が Azure リソースを使用しています。
組織の IT 責任者は、Azure AD サービスを使用して Azure ユーザーになりました。現在、彼は Microsoft が提供するさまざまなサービス機能 (PowerApps、ストリーム、セキュリティ、Dynamic 365 など) を使用したいと考えています。そのためには、ライセンスを購入する必要があります。
ユーザーは購入に制限があり、ライセンスは 1 つだけ割り当てられますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Active Directory サービスは、アプリケーション アクセス管理と ID 保護サービスの組み合わせを提供します。このサービスにより、この種類のサービスへのアクセス ライセンスを持つ特定のユーザーが特定のサービスにアクセスできるようになります。
サービスの需要に応じて、1 人のユーザーに複数のライセンスが割り当てられます。
89
# B089
ある組織の IT エンジニアが、さまざまなアプリケーションが実行されるネットワークを実装しています。
彼は、ネットワーク内に存在するリソース間の暗号化された接続を有効にするために、ネットワーク セキュリティ グループ (NSG) を使用することにしました。このシナリオで NSG を選択するのは正しいでしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
サブネット内の異なる仮想マシン (VM) が相互に接続する仮想ネットワーク (VNet) の構成には、ネットワーク セキュリティ グループ (NSG) が必要です。
NSG はアクセス制御リスト (ACL) ルールを使用して、サブネットまたは VM へのネットワーク トラフィックのアクセスを許可または拒否します。
90
# B090
組織はすべてのリソースを Azure に移行します。
組織には従量課金制のサブスクリプションがあります。
組織の管理者チームは、Azure リソースにアクセスするための安全な認証方法を作成したいと考えています。
Azure Active Directory (AAD) は、安全なアクセスのための認証サービスを提供していますか?
## Footnote
A. はい
B. いいえ
A. はい
91
# B092
組織のリソースおよびサービス管理者チームは、Azure のネットワーク リソースを保護するための一連の戦略を実装することを決定します。
チームは、次の一連のルールを提供します。リソースおよびサービス管理者チームが特定のサイズの仮想マシンを展開できることを保証する。
リソースおよびサービス管理者チームが VM とその依存リソースを展開できることを保証する。
リソース管理者チームが展開された VM を誤って削除しないことを保証する。
次の Azure サービスのうち、「リソース管理者チームが展開された VM を誤って削除しないことを保証する」という要件を管理するのはどれですか。
## Footnote
A. Azure Identity Protection
B. Azure ロールベースのアクセス制御
C. Azure ポリシー
D. Azure ロック
D. Azure ロック
## Footnote
説明:
Azure ロックは、リソース グループを望ましくないインシデントから保護するリソースです。
Azure には 2 種類のロックがあります。読み取り専用ロックは、承認されたユーザーにリソースの読み取りのみを許可します。リソースを変更することはできません。2 つ目の種類のロックは削除で、ユーザーがリソースを削除できないようにします。
オプション A は無効です。Azure Identity Protection は、さまざまなフェーズですべてのユーザーの ID を監視するためです。
オプション B は無効です。Azure ロールベースのアクセス制御 (RBAC) は、Azure リソースのアクセス管理を提供するためです。
オプション C は無効です。Azure ポリシーは、サービスとリソースのより適切なプロビジョニングのために組織が適用できるルールとプランを定義するためです。
92
# B093
ネットワーク会社は、複雑で機密性の高いアプリケーションが実行される Azure リソースを使用してネットワークを実装しました。
セキュリティ エンジニアは、アプリケーションの実行中にアプリケーションの秘密を保護する役割を担っています。次の Azure サービスのどれが、特定の状況で使用できますか?
## Footnote
A. Azure ストレージ アカウント
B. Azure Identity Protection
C. Microsoft Defender for Cloud
D. Azure Key Vault
D. Azure Key Vault
## Footnote
説明:
Azure Key Vault には、シークレットとパスワードが保存されます。
これにより、パスワードとシークレットを非表示の形式で他のユーザーと共有できるため、実際のシークレットを誰も見ることができません。
Azure Key Vault には、アプリケーション シークレット、証明書、暗号化キー、およびハードウェア セキュリティ モジュール (HSM) によってバックアップされたシークレットの集中管理と保護という 2 つの主な目的があります。
Azure ストレージ アカウントでは、データ オブジェクト、ファイル、およびメッセージの保存が許可されるため、オプション A は無効です。
Azure Identity Protection では、すべてのユーザーの ID をさまざまなフェーズで監視するため、オプション B は無効です。
Microsoft Defender for Cloud では、ユーザーが Azure リソースとオンプレミスのセキュリティ機能を監視できるため、オプション C は無効です。
93
# B094
トーマスは、ネットワークの信頼性と柔軟性を高め、許容できる低遅延でスループットを提供するクラウド サービスをいくつか研究しています。
次のどれが、与えられたステートメントに最も適していますか?
「SLA (サービス レベル契約) に従って実行でき、ネットワーク トラフィックの負荷が増加または減少します。」
## Footnote
A. 災害復旧
B. 動的スケーラビリティ
C. フォールトトレランス
D. 低レイテンシ
B. 動的スケーラビリティ
## Footnote
説明:
スケーラビリティとは、トラフィック負荷を管理し、ネットワーク パフォーマンスに影響を与えずにサービスを提供することです。
この機能は、サービス レベル アグリーメント (SLA) で定義されたパフォーマンス要件を満たすようにリソースを自動的に割り当てます。オプション A は無効です。
ディザスター リカバリーは、各 IT 組織が IT メジャーを保護するために採用する必須の計画です。リカバリー中も実行中のアプリケーションは使用可能であり、オンプレミスか Azure かに関係なく、他のサービスに悪影響を与えることはありません。
オプション C は無効です。フォールト トレランスは、ダウンタイム中に保証されたサービスを提供する機能を指すためです。
オプション D は、ユーザーがインターネット経由でリソースにすばやくアクセスできるようにするため無効です。
94
# B095
B2C アクセス管理とは何ですか?
## Footnote
A. クレデンシャル スタッフィング
B. Azure AD B2C は顧客 ID アクセス管理 (CIAM) ソリューションです
C. 機能セット
D. 上記のいずれでもない
B. Azure AD B2Cは顧客IDアクセス管理(CIAM)ソリューションです
## Footnote
説明:
Azure AD B2C は、顧客 ID アクセス管理 (CIAM) ソリューションです。
Azure AD B2C を使用すると、外部ユーザーはソーシャル アカウント ID またはローカル アカウント ID を使用してサインインし、アプリケーションにシングル サインオンできます。Azure AD B2C は、1 日あたり数百万のユーザーと数十億の認証をサポートしています。
95
# B096
B2Bコラボレーションとは何ですか?
## Footnote
A. B2B コラボレーションでは、組織のアプリケーションやサービスを他の組織のゲスト ユーザーと共有しながら、各自のデータに対する制御を維持できます。
B. LUIS
C. 基本
D. 上記のいずれでもない
A. B2B コラボレーションにより、ゲスト ユーザー自身のデータの制御を維持しながら、組織のアプリケーションやサービスを他の組織のゲスト ユーザーと共有できます。
## Footnote
説明:
B2B コラボレーションにより、組織のアプリケーションやサービスを他の組織のゲスト ユーザーと共有しながら、そのデータの制御を維持できます。B2B コラボレーションでは招待と引き換えのプロセスが使用され、外部ユーザーが資格情報を使用して組織のリソースにアクセスできるようになります。
96
# B097
Azure AD 外部 ID にはいくつの種類がありますか?
## Footnote
A. 2
B. 4
C. 3
D. 7
A. 2
## Footnote
説明:
Azure AD 外部 ID は 2 つあります。
B2B
B2C
97
# B098
Azure AD 外部 ID とは何ですか?
## Footnote
A. CIAM ソリューション
B. Azure サービスを使用したクラウド アプリケーションの認証の資格情報を管理するために使用される
C. Azure AD 外部 ID は、組織が「独自の ID を持ち込んで」サインインできる顧客やパートナーなどの外部ユーザーにアクセスを許可できるようにする機能のセットです
D. 上記のいずれでもない
C. Azure AD 外部アイデンティティは、組織が顧客やパートナーなどの外部ユーザーにアクセスを許可し、サインインするために「自分のアイデンティティを持ち込む」ことを可能にする機能のセットです。
## Footnote
説明:
Azure AD 外部 ID は、組織が「独自の ID を持ち込んで」サインインできる顧客やパートナーなどの外部ユーザーにアクセスを許可できるようにする機能のセットです。
外部ユーザー向けのこの機能は、他の Azure AD テナント、Facebook、Google、またはエンタープライズ ID プロバイダーなどの外部 ID プロバイダーの Azure AD サポートを通じて有効になります。
98
# B099
マネージド ID とは何ですか?
## Footnote
A. マネージド ID は、Azure サービスを使用したクラウド アプリケーションの認証の資格情報を管理するために使用されます。
B. 特定の Azure リソースにアクセスするために使用されるプリンシパルです。
C. A と B
D. 上記のいずれでもありません。
C. AとB
99
# B100
マネージド ID にはいくつの種類がありますか?
## Footnote
A. 3
B. 2
C. 4
D. 7
C.4
100
# B101
システム割り当てマネージド ID とは何ですか?
## Footnote
A. コラボレーションにより、組織のアプリケーションやサービスを他の組織のゲスト ユーザーと共有しながら、ゲスト ユーザー自身のデータに対する制御を維持できます。
B. ボット テンプレート
C. システム割り当て ID を有効にすると、Azure AD に ID が作成され、そのサービス インスタンスのライフサイクルとステージにリンクされます。
D. 上記のすべて
C. システム割り当てIDが有効になっている場合、そのサービスインスタンスのライフサイクルとステージにリンクされたIDがAzure ADに作成されます。
101
# B102
ユーザー割り当てマネージド ID とは何ですか?
## Footnote
A. ユーザー割り当てマネージド ID は、Azure サービスの 1 つ以上のインスタンスに割り当てられます。
B. よく使用されるパスワードを適用するプロセス
C. Azure Cognitive Service。
D. 上記のいずれでもない
A. ユーザー割り当てマネージド ID は、Azure サービスの 1 つ以上のインスタンスに割り当てられます。
## Footnote
説明:
マネージド ID は、Azure AD によって管理されます。
マネージド ID は、Azure サービスによるクラウド アプリケーションの認証用の資格情報を管理するために使用されます。
マネージド ID を使用すると、次のような利点があります。アプリケーション開発者は、Azure リソースのマネージド ID をサポートするサービスを使用できます。Azure AD 認証をサポートする Azure サービスは、マネージド ID を使用して別の Azure サービスに認証できます。ここでは、Azure Key Vault へのアクセスを例に挙げます。
102
# B103
サービスプリンシパルとは何ですか?
## Footnote
A. 機械学習ワークスペース
B. 特定の Azure リソースにアクセスするために使用される
C. A と B
D. 上記のいずれでもない
B. 特定のAzureリソースにアクセスするために使用される
## Footnote
説明:
このサービス プリンシパルは、特定の Azure リソースにアクセスするために使用されます。
サービス プリンシパルは、アプリケーションにアクセスできるユーザーや、アプリケーションがアクセスできるリソースなど、アプリケーションがテナントに対して実行する操作を定義します。
103
# B104
デバイスとは何ですか?
## Footnote
A. Azure Monitor
B. Azure Cognitive Service
C. モバイル デバイス、ラップトップ、サーバー、プリンターなどのハードウェア
D. Azure App Service
C. モバイルデバイス、ラップトップ、サーバー、プリンターなどのハードウェア
## Footnote
説明:
デバイスは、モバイル デバイス、ラップトップ、サーバー、プリンターなどのハードウェアの一部であると言われています。デバイス ID は、デバイスの所有者がプロパティを決定できるように、Azure AD でさまざまな方法で設定されます。Microsoft Intune などのツールを使用してデバイスを適切に管理し、セキュリティ標準を維持すれば、組織の資産を保護できます。Azure AD では、デバイスにシングル サインオンも使用できます。このプロパティは、アプリケーションでも有効にできます。デバイスが Azure AD にアクセスするには、さまざまなオプションがあります。Azure AD 登録済みデバイス: Windows 10、iOS、Android、または macOS デバイスです。Azure AD 参加済み: クラウドにのみ存在するデバイスです。Azure AD 参加済みデバイスは、組織が所有し、そのアカウントでサインインしています。Windows 10 デバイス (Windows 10 Home を除く) は、Azure AD ハイブリッドで構成できます。Azure AD 参加済みデバイス: Windows 7、8.1、10、Windows Server 2008、またはそれ以降のバージョンです。
104
# B105
ユーザー ID とは何ですか?
## Footnote
A. 仮想ネットワーク
B. Azure AD によって管理されるすべてのものの表現
C. 仮想マシン
D. Cognitive Service
B. Azure AD によって管理されるすべてのものの表現
## Footnote
説明:
ユーザー ID は、Azure AD によって管理されるすべてのものの表現です。
従業員とゲストは、Azure AD のユーザーです。複数のユーザーが同じアクセスを必要とする場合は、グループを作成できます。
グループでは、権限を個別に割り当てる代わりに、グループ メンバー全員にアクセスを許可します。
105
# B106
Azure Active Directory とは何ですか?
## Footnote
A. Microsoft のクラウドベースの ID およびアクセス管理サービス
B. 顧客 ID アクセス管理
C. A と B
D. 上記のいずれでもない
A. Microsoft のクラウドベースの ID およびアクセス管理サービス
## Footnote
説明:
Azure Active Directory (Azure AD とも呼ばれる) は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。組織の従業員、ゲスト、その他のユーザーが主に必要とするリソースにアクセスしたい場合、Azure AD が使用されます。これらのリソースには、内部リソース、外部サービスが含まれます。
106
# B107
Azure Active Directory リソースにはいくつの種類がありますか?
## Footnote
A. 3
B. 2
C. 7
D. 8
B. 2
## Footnote
説明:
Azure Active Directory リソースには 2 つの種類があります:
- 内部リソース: これらの内部リソースには、組織の企業ネットワーク上のアプリケーション、組織自体が開発したイントラネットおよびクラウド アプリが含まれます。
- 外部サービス: 外部サービスには、Microsoft Office 365、Azure ポータル、組織が使用する SaaS アプリケーションが含まれます。
107
# B108
Azure AD に登録されているデバイスはどれですか?
## Footnote
A. Azure Monitor
B. Windows Server 2008 以降
C. Windows 10、iOS、Android、または macOS
D. 上記のすべて
C. Windows 10、iOS、Android、またはmacOS
## Footnote
説明:
Windows 10、iOS、Android、macOSデバイスが対象となります
108
# B109
MFA の完全な形式は何ですか?
## Footnote
A. 多要素認証
B. Azure Active Directory
C. カスタム禁止パスワードリスト
D. 上記のいずれでもない
A. 多要素認証
## Footnote
説明:
MFA は多要素認証の略です。
変更や進歩が進むにつれて、パスワードが依然として危険にさらされていることが認識されるようになりました。そのため、この考えから多要素認証が生まれました。多要素認証では、指紋スキャンなどの複数の検証形式が必要となり、パスワードのセキュリティ侵害に関する疑問が解消されます。
109
# B110
カスタム禁止パスワード リストでは、次の内容を含むパスワードが禁止されます。
## Footnote
A. 質問と回答
B. 雇用主の電話番号または所在地を含む
C. Azure AD パスワード保護
D. 上記のいずれでもない
B. 雇用主の電話番号または所在地を含む
## Footnote
説明:
カスタム禁止パスワードリスト管理者は、企業のセキュリティニーズに合わせて、顧客禁止パスワードリストを作成することもできます。
カスタム禁止パスワードリストでは、雇用主の電話番号やローカルアドレスを含むパスワードが禁止されます。
110
# B111
SSPR にはいくつの方法がありますか?
## Footnote
A. 7
B. 3
C. 6
D. 9
C. 6つ
## Footnote
説明:
1. モバイルアプリ通知
2. モバイルアプリコード
3. メール
4. 携帯電話
5. オフィス電話
6. セキュリティの質問
111
# B112
セルフサービス パスワード リセットは [ XXX ] とも呼ばれます。
## Footnote
A. SSPR
B. AD
C. LUIS
A. 質問と回答
A. SSPR
## Footnote
説明:
セルフサービス パスワード リセット (SSPR) は、管理者やデスクの関与なしにユーザーが自分のパスワードを変更またはリセットできるようにする Azure AD の機能です。
112
# B113
Windows Hello にはいくつの構成がありますか?
## Footnote
A. 2
B. 3
C. 5
D. 4
A. 2つ
## Footnote
説明:
Windows Hello には 2 つの構成があります:
Windows Hello コンビニエンス PIN
Windows Hello for Business
113
# B114
MDM とは何の略ですか?
## Footnote
A. モバイル管理
B. モバイルデバイス管理
C. モバイルデバイス
D. 上記のいずれでもない
B. モバイルデバイス管理
## Footnote
説明:
Windows Hello for Business は、Microsoft Intune などのグループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーによって構成されます。
114
# B115
Windows Hello for Business で接続されるユーザー資格情報は何ですか?
## Footnote
A. PIN または生体認証
B. ブランド名と製品名
C. テンプレート
D. 上記のいずれでもない
A. PINまたは生体認証
## Footnote
説明:
Windows Hello は、Windows 10 に組み込まれている認証機能です。
モバイルや PC の 2 要素認証に代わるものです。ユーザー資格情報は、PIN または生体認証を使用するデバイスに接続されます
115
# B116
オープン認証は [ XXX ] の完全な形式です。
## Footnote
A. OATH
B. TOTP
C. AD
D. 上記のどれでもない
A. OATH
## Footnote
説明:
オープン認証は OATH の完全な形式です。オープン スタンダードは、時間ベースのワンタイム パスワード (TOTP) コードがどのように生成されるかを示します。OATH TOTP は、コードを開始するためにソフトウェアまたはハードウェアを使用して実装されます。
116
# B117
Azure Active Directory 多要素認証が機能するには何が必要ですか?
## Footnote
A. 知っていること: パスワードまたは PIN
B. 持っているもの: 電話やハードウェア キーなど、簡単に複製できない信頼できるデバイス
C. 自分自身のこと: 指紋や顔のスキャンを含む生体認証
D. 上記のすべて
D. 上記すべて
## Footnote
説明:
Azure Active Directory 多要素認証が機能するには、次の 3 つが必要です:
ユーザーが知っている情報: パスワードまたは PIN
ユーザーが所有している情報: 電話やハードウェア キーなど、簡単に複製できない信頼できるデバイス
ユーザー自身に関する情報: 指紋や顔のスキャンを含む生体認証。
117
# B118
多要素認証では、追加の検証形式は何ですか?
## Footnote
A. 4つ
B. 3つ
C. 2つ
D. 上記のどれでもない
A. 4つ
## Footnote
説明:
多要素認証では、Azure Active Directory 多要素認証で、Microsoft Authenticator アプリ、SMS、音声通話、OATH ハードウェア トークンなどの追加の検証形式が使用されます。
118
# B119
多要素認証には [ XXX ] が必要です。
## Footnote
A. 複数の検証
B. 1 つの検証のみ
C. 10 を超える検証
D. 上記のいずれでもない
A. 複数の検証
## Footnote
説明:
多要素認証では、指紋スキャンなどの複数の検証フォームが必要になるため、パスワードのセキュリティが侵害されるという疑問が解消されます。指紋スキャンにより、ID の信頼性とセキュリティが非常に高まりました。この新しい進歩により、セキュリティと保護が確実に向上し、ユーザーにとって非常にシンプルになりました。
119
# B120
Microsoft のセキュリティ デフォルトとは何ですか?
## Footnote
A. Azure Cognitive Service
B. 基本的な ID セキュリティ メカニズムのセット
C. Azure Virtual Network
D. Azure Monitor
B. 基本的なアイデンティティセキュリティメカニズムのセット
## Footnote
説明:
Microsoft では、セキュリティの既定値 (有効にするとすぐに組織で機能し始める基本的な ID セキュリティ メカニズムのセット) を推奨しています。これらのメカニズムの目的は、追加コストをかけずにセキュリティを提供することです。
120
# B121
FIDO とは、以下の略語です。
## Footnote
A. ファイアウォール ID 順序
B. Fast Insights による順序の決定
C. Fast Identity Online
D. 上記のいずれでもない
C. Fast Identity Online
## Footnote
説明:
FIDO は Fast Identity Online の略で、オープン認証標準を推進し、認証形式としてのパスワードへの依存を最小限に抑えることを目指すアライアンスです。
FIDO2 を使用すると、ユーザーは外部セキュリティ キーを使用してサインインできます。外部キーは、USB デバイス、ライトニング コネクタ、Bluetooth、または NFC です。FIDO2 を実装したどの形式でも、ユーザーはパスワードを入力する必要はありません。
121
# B122
時間ベースのワンタイムパスワードは、 [ XXX ] の完全な形式です。
## Footnote
A. Azure モニター
B. Azure コグニティブ サービス
C. TOTP
D. OATH
C.TOTP
## Footnote
説明:
オープン認証は OATH の完全な形式です。オープン スタンダードは、時間ベースのワンタイム パスワード (TOTP) コードがどのように生成されるかを示します。
122
# B123
Azure AD の条件付きアクセスとは何ですか?
## Footnote
A. エミュレーター
B. Azure AD の機能
C. テンプレート
D. 上記のいずれでもない
B. Azure ADの機能
## Footnote
説明:
条件付きアクセスは、承認されたユーザーがデータやその他の資産にアクセスする前に、セキュリティをさらに強化する Azure AD の機能です。
Azure AD は、条件付きアクセスを実装するポリシーを作成および管理します。条件付きアクセス ルールは、人、場所、デバイス、アプリケーション、危険 (アプリとデータ) などのシグナルを分析して、リソースへのアクセスを許可する選択を自動化します。
123
# B124
条件付きアクセス アプリ制御が使用するシグナルとは何ですか?
## Footnote
A. 質問と回答
B. LUIS
C. Microsoft Defender
D. 上記のいずれでもない
A. 質問と回答
## Footnote
説明:
クラウド アプリの条件付きアクセス アプリ制御は、Microsoft Defender からのシグナルを活用して、機密文書のダウンロード、切り取り、コピー、印刷を防止したり、機密ファイルにマークを付けるよう要求したりします。
124
# B125
Azure AD の条件付きアクセスには、一般的なシグナルがいくつありますか?
## Footnote
A. 11
B. 7
C. 6
D. 4
B. 7
## Footnote
説明:
シグナルは7つあります:
1. ユーザーまたはグループのメンバーシップ
2. 名前付き位置情報
3. 端末アプリケーション
4. リアルタイムサインインリスク検出
5. クラウドアプリとアクション
6. ユーザーリスク
125
# B126
Azure AD ロールにはいくつのカテゴリがありますか?
## Footnote
A. 3
B. 2
C. 4
D. 5
A. 3つ
## Footnote
説明:
Azure AD 固有のロール: これらのロールは、Azure AD リソースへのアクセスのみを提供します。
たとえば、ユーザー管理者、アプリケーション管理者、およびグループ管理者はすべて、Azure AD リソースを処理するためのアクセス許可を提供します。
サービス固有のロール: サービスに関連するロール: Azure AD は、主要な Microsoft 365 サービスに対して、サービス内の機能を管理するためのアクセス権を付与する組み込みのサービス固有のロールを提供します。たとえば、Exchange 管理者、Intune 管理者、SharePoint 管理者、および Teams 管理者用の Azure AD の組み込みロールを使用して、各サービスの機能を管理できます。
サービス間ロール: サービスの枠を超えたロール: Azure AD には、複数のサービスにまたがるロールがいくつか含まれています。Microsoft 365 の一部のセキュリティ サービスへのアクセスを許可するセキュリティ管理者などのセキュリティ関連のロールは、Azure AD で使用できます。
コンプライアンス管理者ロールは、Microsoft 365 コンプライアンス センターや Exchange などのコンプライアンス関連の設定も管理できます。
126
# B127
最も一般的な統合ロールの組み込みロールはいくつありますか?
## Footnote
A. 3
B. 5
C. 4
D. 6
A. 3
## Footnote
説明:
多くの Azure ADIN ロールには、ロールアウトされる一連のアクセス許可があります。
次に、最も一般的な統合ロールの一部を示します。
- グローバル管理者 - このロールを持つユーザーは、すべての Azure Active Directory 管理機能に完全にアクセスできます。Azure Active Directory テナントを作成したユーザーは、既定でグローバル管理者になります。
- ユーザー管理者 - ユーザー管理者のポジションを持つユーザーは、ユーザーとグループのすべての要素を作成および管理できます。このポジションでは、サポート チケットの管理とサービス ステータスの追跡も必要です。
- 課金管理者 - 課金管理者のロールを持つユーザーは、購入、サブスクリプションとサポート チケットの管理、サービス ステータスの追跡を行います。すべての組み込みロールは、特定の目的のために事前構成されたアクセス許可パッケージです。組み込みロールのアクセス許可は固定されており、変更できません。
127
# B128
組織は、アイデンティティ保護を有効にするためにいくつのタスクを実行しますか?
## Footnote
A. 6
B. 7
C. 3
D. 4
C.3
## Footnote
説明:
アイデンティティ保護は、組織が次の 3 つの主なタスクを実行できるようにするツールです。
- アイデンティティベースのリスク検出と修復を自動化する
- ポータル内のデータに対するリスクを調査する
- リスク検出データをサードパーティのユーティリティにエクスポートしてさらに分析する
128
# B129
PIMとは何ですか?
## Footnote
A. この種類のリスク検出は、ユーザーにとって異常なユーザー アクティビティ、または内部および外部の Microsoft 脅威データ ソースに基づく既知の攻撃パターンに一致するユーザー アクティビティを示します。
B. ユーザーの有効な資格情報が侵害されたことを示します。
C. サイバー犯罪者が正当なユーザーの有効なパスワードを侵害する場合、資格情報を共有することがよくあります。ボット サーバーとアクティブに通信していることがわかっているマルウェアに感染した IP アドレスからのログインを示します。
D. Privileged Identity Management は、Azure Active Directory (Azure AD) のサービスであり、組織内の重要なリソースへのアクセスを管理、制御、監視できます。
D. Privileged Identity Management は、Azure Active Directory (Azure AD) のサービスであり、組織内の重要なリソースへのアクセスを管理、制御、監視できます。
## Footnote
説明:
Privileged Identity Management (PIM) は、組織内の重要なリソースへのアクセスを管理、制御、監視できる Azure Active Directory (Azure AD) サービスです。これには、Azure AD、Azure、および Microsoft 365 や Microsoft Intune などのその他の Microsoft オンライン サービスのリソースが含まれます。
129
# B130
非定型旅行とは何ですか?
## Footnote
A. このタイプのリスク検出は、地理的に離れた場所から発信された 2 つのログインを識別します。
B. このタイプのリスク検出は、ボット サーバーとアクティブに通信していることがわかっているマルウェアに感染した IP アドレスからのログインを示します。
C. Azure AD 脅威インテリジェンス
D. 上記のいずれでもない
A. このタイプのリスク検出は、地理的に離れた場所からの2つのログインを識別します。
## Footnote
説明:
このタイプのリスク検出では、地理的に離れた場所から行われた 2 つのログインが識別されます。この場合、過去の行動に基づいて、少なくとも 1 つの場所がユーザーに共通ではない可能性があります。
130
# B131
ジャストインタイムの機能は何ですか?
## Footnote
A. ユーザーにとって異常なユーザーアクティビティを示す
B. 必要な場合にのみ特権アクセスを提供する
C. リスク検出をトリガーする
D. 上記のすべて
B. 必要な場合にのみ特権アクセスを提供する
## Footnote
説明:
ジャストインタイムでは、必要なときにのみ特権アクセスが提供され、事前には提供されません。
131
# B132
権限管理とは何ですか?
## Footnote
A. アイデンティティガバナンス機能により、組織はアイデンティティを管理し、そのライフサイクルに広範囲にアクセスできるようになります。
B. 自動修復を可能にするリスクポリシー
C. ユーザーの有効な資格情報が侵害されたことを示します。
D. 上記のいずれでもない
A. アイデンティティガバナンス機能により、組織はアイデンティティを管理し、そのライフサイクルに広範囲にアクセスできるようになります。
## Footnote
説明:
権限管理は、組織が ID を管理し、そのライフサイクルに広範囲にアクセスできるようにする ID ガバナンス機能です。権限管理により、アクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限が自動化されます。
132
# B133
Azure AD Identity Governance ではいくつのタスクが許可されますか?
## Footnote
A. 4
B. 3
C. 5
D. 8
B. 3
## Footnote
説明:
Azure AD Identity Governance を使用すると、組織は次のタスクを実行できます:
1.ID ライフサイクルの管理
2.アクセス ライフサイクルの管理
3.管理用の特権アクセスのセキュリティ保護
133
# B134
アイデンティティ管理の機能は何ですか?
## Footnote
A. IDライフサイクルユーザーの管理
B. 参加、異動、退職プロセス
C. 組織の存続期間全体にわたるアクセス管理
D. IDセキュリティとユーザーの生産性のバランス
A. IDライフサイクルユーザーの管理
## Footnote
説明:
IDライフサイクルユーザーの管理はアイデンティティ管理の焦点です
134
# B135
アクセス パッケージを使用してリソースへのアクセスを管理する Azure AD Premium P2 のどの機能ですか?
## Footnote
A. 権限の管理
B. Azureコグニティブサービス
C. Azure 仮想ネットワーク
D. Azure App Service
A. 権限の管理
## Footnote
説明:
ディレクトリにまだ存在しないユーザーがアクセスを要求して承認すると、そのユーザーは自動的にディレクトリに招待され、アクセスが許可されます。アクセスの有効期限が切れていて、他のアクセス パッケージが割り当てられていない場合は、B2B アカウントがディレクトリから自動的に削除されることがあります。Azure AD Premium P2 の機能である「アクセス許可の管理」では、アクセス パッケージを使用してリソースへのアクセスを管理します。
135
# B136
ゼロトラスト方法論の原則は何ですか?
## Footnote
A. 誰も信用せず、何も検証しない
B. 全員を信用し、何も検証しない
C. 誰も信用せず、すべてを検証する
D. 上記のいずれでもない
C. 誰も信用せず、全てを検証する
## Footnote
説明:
「誰も信用せず、すべてを検証する」これは、ゼロ トラスト メソッドが機能する原則です。企業ネットワークのファイアウォールの背後にあるリソースでさえ、信頼に値するものは何もないと考えています。
136
# B137
ハッシュは [ XXX ] によってより安全になります。
## Footnote
A. パスワードを隠す
B. パスワードのソルト化
C. パスワードを暗号化する
D. A と B の両方
B. パスワードのソルト化
## Footnote
説明:
このようなリスクを回避するために、固定長のランダム値がハッシュ関数の入力に追加され、指定されたすべての入力に対して新しいハッシュが作成されます。このプロセスは、パスワードの「ソルト化」と呼ばれます。
137
# B138
クラウド導入フレームワークのライフサイクルの次のどの段階で戦略が定義されますか?
## Footnote
A. 1番目
B. 2番目
C. 3番目
D. 4番目
A. 1番目
## Footnote
説明:
クラウド導入フレームワークのライフサイクルの最初の初期段階では、他のすべての段階が問題なく進むように戦略を定義します。
138
# B139
PaaSとは何ですか?
## Footnote
A. PaaS はソフトウェア アプリケーションの構築、テスト、展開に役立ちます
B. PaaS はソフトウェア アプリケーションのテストと展開に役立ちます
C. PaaS はソフトウェア アプリケーションに役立ちます
D. 上記のいずれでもない
A. PaaSはソフトウェアアプリケーションの構築、テスト、展開に役立ちます
## Footnote
説明:
PaaS は、ソフトウェア アプリケーションの構築、テスト、および展開に役立ちます。PaaS は、インフラストラクチャを効率的に管理する際に発生する問題に対処することなく、アプリケーションを迅速に作成できるようにすることを目的としています。
139
# B140
アイデンティティおよびアクセス管理ソリューションの次の進化は何でしょうか?
## Footnote
A. Azure Active Directory
B. IDaaS
C. SaaS
D. 上記のいずれでもない
A. Azure Active Directory
## Footnote
説明:
Azure Active Directory は、ID およびアクセス管理ソリューションの次の進化形になります
140
# B141
AD DS とは何ですか?
## Footnote
A. オンプレミスの IT 基盤を持つ組織の中心となるコンポーネント
B. デバイス
C. ビジネス ツール
D. インターフェース
A. オンプレミスのIT基盤を持つ組織の中心となるコンポーネント
## Footnote
説明:
AD DS は、オンプレミスの IT 基盤を持つ組織の中心となるコンポーネントです。
AD DS を通じて、組織はユーザーごとに単一の ID を使用する複数のオンプレミス インフラストラクチャ コンポーネントとシステムを管理できます。
141
# B142
SSO の別名は何ですか?
## Footnote
A. サービスとしてのアイデンティティ
B. シングル サインオン
C. Active Directory
D. 上記のいずれでもない
B. シングルサインオン
## Footnote
説明:
シングル サインオンは SSO の完全な形式です。
これは、ユーザーが 1 セットの認証情報だけで多数のアプリや Web サイトに安全にログインできるようにする認証ソリューションです。
142
# B143
モダン認証は [ XXX ] 間で行われます。
## Footnote
A. クライアントとサーバー
B. クライアントと顧客
C. サーバーとマネージャー
D. SaaS と PaaS
A. クライアントとサーバー
## Footnote
説明:
モダン認証とは、クライアントとサーバー間の認証および承認方法に使用される用語です。
143
# B144
モダン認証で主な役割を果たすのは誰ですか?
## Footnote
A. サービスプロバイダー
B. アイデンティティプロバイダー
C. 顧客
D. 上記のいずれでもない
B. アイデンティティプロバイダ
## Footnote
説明:
アイデンティティ プロバイダーは、最新の認証で主要な役割を果たします。アイデンティティ プロバイダーは、認証、承認、監査サービスを提供しながら、すべてのアイデンティティ情報を作成、維持、管理します。
144
# B145
セキュリティ管理者は、仮想マシンへのネットワーク トラフィックをフィルター処理するために、Azure ネットワーク セキュリティ グループ (NSG) を作成しました。
管理者は、受信トラフィックがリモート デスクトップ プロトコル (RDP) を使用できるようにする必要があります。ただし、既定の NSG ルールでは、現在、他の仮想ネットワークや Azure ロード バランサーからの受信トラフィックではなく、すべての受信トラフィックがブロックされています。
受信トラフィックが RDP を使用できるようにするには、セキュリティ管理者は何をする必要がありますか?
## Footnote
A. デフォルト ルールを削除する
B. RDP トラフィックを許可し、デフォルト ルールよりも優先度の高い新しいネットワーク セキュリティ ルールを作成する
C. 管理者ができることは何もありません。RDP トラフィックは NSG ではサポートされていません
D. 上記のすべて
B. RDPトラフィックを許可し、デフォルトのルールよりも高い優先度を持つ新しいネットワークセキュリティルールを作成します。
## Footnote
説明:
デフォルトのルールよりも高い優先度で RDP を許可する新しいルールを作成できます。
145
# B146
セキュリティ管理者は、Azure リソースを DDoS 攻撃から保護する必要があります。
管理者は、Azure Virtual Network リソースをターゲットにするためにどの Azure DDoS Protection レベルを使用するのでしょうか。
## Footnote
A. 基本
B. 標準
C. 上級
B. 標準
## Footnote
説明:
標準サービス レベルでは、Microsoft Azure Virtual Network リソースに特化して調整された追加の緩和機能が提供されます。
146
# B147
ある組織では、Azure に複数の仮想マシンを保有しています。
セキュリティ管理者は、それらの VM に安全にアクセスするために Azure Bastion をデプロイする必要があります。管理者はどのような点に留意すればよいでしょうか。
## Footnote
A. Azure Bastion は仮想ネットワークごとにデプロイされ、仮想ネットワーク ピアリングをサポートします。
B. Azure Bastion はサブスクリプションごとにデプロイされます。
C. Azure Bastion は VM ごとにデプロイされます。
D. 上記のすべて
A. Azure Bastion は仮想ネットワークごとに展開され、仮想ネットワーク ピアリングをサポートします。
## Footnote
説明:
Azure Bastion のデプロイは、サブスクリプション/アカウントまたは仮想マシンごとではなく、仮想ネットワーク ピアリングをサポートする仮想ネットワークごとに行われます。
147
# B148
組織では、アプリケーション データの多くを Azure に保存しています。
セキュリティ管理者は、Azure の暗号化機能を使用する必要があります。
管理者は、アプリケーションの秘密を保持するためにどのサービスを使用する必要がありますか?
## Footnote
A. 透過的なデータ暗号化
B. シークレット管理
C. Azure Key Vault
D. 上記のいずれでもない
C. Azure Key Vault
## Footnote
説明:
Azure Key Vault は、アプリケーションの秘密を保存するための統合クラウド サービスです。
148
# B149
ある組織は Azure を使用しており、セキュリティのベスト プラクティスを強化したいと考えています。
IT セキュリティ チームはどの Azure 固有のベンチマークを考慮すべきでしょうか。
## Footnote
A. Azure セキュリティ ベンチマーク
B. インターネット セキュリティ センター
C. Microsoft サイバーセキュリティ グループ
D. 上記のいずれでもない
A. Azure セキュリティ ベンチマーク
## Footnote
説明:
Azure セキュリティ ベンチマークは、Azure 上のワークロード、データ、およびサービスのセキュリティを強化するために役立つ、規範的なベスト プラクティスと推奨事項を提供します。
149
# B150
組織では、Microsoft Defender for Cloud を使用して、リソースとサブスクリプションのセキュリティ問題を評価しています。
組織の全体的なセキュリティ スコアは低く、改善したいと考えています。
セキュリティ管理者は、どのようにしてスコアを上げようとしますか?
## Footnote
A. 古いセキュリティ推奨事項を閉じる
B. セキュリティ推奨事項を修正する
C. セキュリティ推奨事項を削除する
D. 上記のいずれでもない
B. セキュリティ推奨事項の修正
## Footnote
説明:
推奨事項リストからセキュリティ推奨事項を修正して、セキュリティ スコアを強化します。
150
# B151
組織は、ネットワークのセキュリティ状態を継続的に監視したいと考えています。
どの Microsoft Defender for Cloud ツールを使用すればよいでしょうか?
## Footnote
A. 継続的評価
B. ネットワークマップ
C. ネットワーク評価
D. 上記すべて
B. ネットワークマップ
## Footnote
説明:
ネットワーク マップは、ネットワーク ワークロードのトポロジのマップを提供し、不要な接続をブロックできるようにします。
151
# B152
主任管理者として、チームに Microsoft Sentinel の使用を開始するよう促すことが重要です。
プレゼンテーションをまとめました。Microsoft Sentinel の 4 つのセキュリティ運用領域とは何ですか?
## Footnote
A. 収集、検出、調査、リダイレクト
B. 収集、検出、調査、対応
C. 収集、検出、調査、修復
D. 上記のすべて
B. 収集、検出、調査、対応
## Footnote
説明:
SIEM/SOAR ソリューションは、組織のネットワーク境界を識別して保護するために、収集、識別、調査、および対応に使用されます。
152
# B153
資産には、データが保存されているさまざまなデータ ソースがあります。
データ ソースが接続されるとすぐに、データ全体の分析情報をすばやく取得するには、Microsoft Sentinel でどのツールを使用する必要がありますか?
## Footnote
A. Azure Monitor ワークブック
B. プレイブック
C. Microsoft 365 Defender
D. 上記すべて
A. Azure Monitor ワークブック
## Footnote
説明:
説明: Microsoft Sentinel と Azure Monitor Workbooks の統合により、データを監視し、カスタム ブックを柔軟に作成できるようになります。
153
# B154
組織の主任管理者は、電子メール メッセージ、リンク (URL)、コラボレーション ツールによってもたらされる悪意のある脅威から保護したいと考えています。
Microsoft 365 Defender スイートのどのソリューションが適していますか?
## Footnote
A. Microsoft Defender for Office 365
B. Microsoft Defender for Endpoint
C. Microsoft Defender for Identity
D. 上記すべて
A. Microsoft Defender for Office 365
## Footnote
説明:
Microsoft Defender for Office 365 は、Microsoft Teams、SharePoint Online、OneDrive for Business、その他の Office クライアントなどの電子メール メッセージ、リンク (URL)、コラボレーション ツールによって投稿された悪意のある脅威から保護します。
154
# B155
クラウド アクセス セキュリティ ブローカー (CASB) は、すべてのクラウド サービスを検出するための可視性、データ セキュリティ、脅威からの保護、コンプライアンスという 4 つの領域/柱にわたって保護を提供します。
これらの柱は、Microsoft Defender for Cloud Apps が構築される Cloud App Security フレームワークの基礎です。機密情報の識別と規制を担当するのはどの柱ですか?
## Footnote
A. 脅威からの保護
B. コンプライアンス
C. データセキュリティ
D. 上記のいずれでもない
C. データセキュリティ
## Footnote
説明:
管理者は、データ セキュリティの柱を通じて機密情報を検出して制御し、コンテンツの分類ラベルに反応することができます。
155
# B156
組織に向けられた高度な脅威、侵害された ID、悪意のある内部者の行為を識別、検出し、調査するのに役立つクラウドベースのセキュリティ ソリューションは次のどれですか?
## Footnote
A. Microsoft Defender for Office 365
B. Microsoft Defender for Identity
C. Microsoft Defender for Cloud Apps
D. 上記のいずれでもない
B. Microsoft Defender for Identity
## Footnote
説明:
Microsoft Defender for Identity は、組織に向けられた高度な脅威、侵害された ID、悪意のある内部者の行為を認識、検出し、調査を容易にするクラウドベースのセキュリティ ソリューションです。
156
# B157
組織内の管理者は、Microsoft 365 Defender ポータルを毎日使用しています。
管理者は、組織の現在のセキュリティ体制を把握したいと考えています。
管理者は、Microsoft 365 Defender ポータルのどの知識を使用するのでしょうか。
## Footnote
A. レポート
B. セキュアスコア
C. ポリシー
D. 上記すべて
B. セキュアスコア
## Footnote
説明:
M365 Defender ポータルでは、Secure Score によって組織のセキュリティ体制のスナップショットが提供され、それを改善する方法の詳細が提供されます。
157
# B158
リスク、検出傾向、構成、および正常性によって分類されたセキュリティ カードを表示するために管理者が選択するものを説明しているのは、次のうちどれですか。
## Footnote
A. トピック別にグループ化
B. リスク別にグループ化
C. カテゴリ別にグループ化
D. 上記すべて
A. トピック別にグループ化
## Footnote
説明:
このフィルターを使用して、リスク、検出傾向、構成、および正常性別に整理されたセキュリティ カードを表示します。
158
# B159
管理者は、攻撃がどこから始まったのか、どのような戦術が使用されたのか、ネットワーク内でどの程度まで攻撃が及んだのかなど、攻撃の包括的なビューを必要としています。
管理者は、この種の情報を確認するために何を使用できるでしょうか?
## Footnote
A. アラート
B. レポート
C. インシデント
D. 上記のいずれでもない
C. インシデント
## Footnote
説明:
インシデントは、攻撃のストーリーを構成する相関アラートのセットです。詳細については、指定された URL にアクセスしてください。
159
# B160
従業員は職場に携帯電話を持ち込んで使用することができます。
従業員は携帯電話を企業が完全に管理することを望んでいませんが、管理者は企業データを保護しながらユーザーがメールを読んだり Teams を使用したりできるようにしたいと考えています。
管理者がこれらの目標を達成するには、次のどれが役立ちますか。
## Footnote
A. モバイル アプリケーション管理 (MAM)
B. モバイル デバイス管理 (MDM)
C. ロールベースのアクセス制御 (RBAC)
D. 上記のすべて
A. モバイルアプリケーション管理 (MAM)
## Footnote
説明:
このサービスを使用すると、完全な制御を必要とせずに従業員のモバイル デバイス上のアプリを管理できます。
160
# B161
組織では、Windows、iOS、Android など、さまざまなデバイスを使用しています。
その組織の管理者は、デバイス全体に適用する必要があるセキュリティ ベースライン プロファイルを Intune で設計しました。
セキュリティ ベースライン プロファイルはどのデバイスで使用できますか?
## Footnote
A. Android デバイス
B. iOS デバイス
C. Windows デバイス
D. 上記のいずれでもない
C. Windowsデバイス
## Footnote
説明:
セキュリティ ベースライン設定は、Windows 10 バージョン 1809 以降のツールでのみ使用されます。
161
# B162
DDoS 標準保護サービスには、 [ XXX ] リソースの保護が含まれる固定月額料金がかかります。
## Footnote
A. 10
B. 100
C. 1000
D. 10,000
B. 100
## Footnote
説明:
DDoS 標準保護サービスには、100 個のリソースの保護を含む固定月額料金があり、追加のリソースの保護はリソースごとに毎月課金されます。
162
# B163
Bastion は、仮想ネットワーク内のすべての VM に安全な [ XXX ] 接続を提供します。
## Footnote
A. RDP
B. SSH
C. 上記の両方
D. 上記すべて
C. 上記の両方
## Footnote
説明:
Bastion は、プロビジョニングされている仮想ネットワークおよびピアリングされた仮想ネットワーク内のすべての VM に安全な RDP および SSH 接続を提供します。
163
# B164
[ XXX ] システムは、アクション駆動型の自動ワークフローとプロセスをトリガーして、問題を軽減するセキュリティ タスクを実行します。
## Footnote
A. SIEM
B. SOAR
C. XDR
D. 上記のいずれでもない
A. SIEM
## Footnote
説明:
SIEM システムは、インフラストラクチャ、ソフトウェア、リソースなど、組織全体の資産からデータを収集するために使用するツールです。
164
# B165
[ XXX ] システムは、組織のドメイン全体にインテリジェントで自動化された統合セキュリティを提供するように設計されています。
## Footnote
A. SIEM
B. SOAR
C. XDR
D. 上記のいずれでもない
B. SOAR
## Footnote
説明:
SOAR システムは、アクション駆動型の自動ワークフローとプロセスをトリガーして、問題を軽減するセキュリティ タスクを実行します。
165
# B166
[ XXX ] はツールとサービスを使用して、クラウド環境のセキュリティ強化と機能を監視し、優先順位を付けます。
## Footnote
A. CSPM
B. CWP
C. 上記の両方
D. 上記のいずれでもない
A. CSPM
## Footnote
説明:
CSPM はツールとサービスを使用して、クラウド環境のセキュリティ強化と機能を監視し、優先順位を付けます。
166
# B167
Microsoft のプライバシーに対するアプローチは、6 つの原則に基づいています。
原則のうち 3 つは、プライバシーに対する強力な法的保護、コンテンツ ベースのターゲティングの禁止、収集したデータから得られる顧客への利益です。
Microsoft のプライバシーに対するアプローチを構成する他の 3 つの原則を特定します。
## Footnote
A. 顧客管理、透明性、セキュリティ
B. 責任の共有、透明性、セキュリティ
C. 顧客管理、透明性、ゼロ トラスト
D. 上記のいずれでもない
A. 顧客管理、透明性、セキュリティ
## Footnote
説明:
Microsoft のプライバシーに対するアプローチの基盤は、顧客による管理、透明性とセキュリティ、プライバシーに対する強力な法的保護、コンテンツ ベースのターゲティングの禁止、顧客へのメリットという 6 つの原則に基づいています。
167
# B168
新しい管理者がチームに参加し、Microsoft 365 コンプライアンス センターにアクセスできる必要があります。
管理者はどのロールを使用してコンプライアンス センターに入ることができますか?
## Footnote
A. コンプライアンス管理者ロール
B. ヘルプデスク管理者ロール
C. ユーザー管理者ロール
D. 上記すべて
A. コンプライアンス管理者ロール
## Footnote
説明:
コンプライアンス管理者ロールは、コンプライアンス センターにアクセスするために使用できる複数のロールの 1 つです。
168
# B169
管理チームの新しい同僚は、コンプライアンス マネージャーの共有コントロールの概念に精通していません。
共有コントロールの概念はどのように説明されますか?
## Footnote
A. 外部規制当局と Microsoft の両方が実行責任を共有するコントロール
B. お客様の組織と外部規制当局の両方が実行責任を共有するコントロール
C. お客様の組織と Microsoft の両方が実行責任を共有するコントロール
D. 上記のすべて
C. 組織とマイクロソフトが実行責任を共有するコントロール
## Footnote
説明:
組織とマイクロソフトが協力してこれらのコントロールを実行します
169
# B170
顧客から、Microsoft 365 コンプライアンス センターが組織のコンプライアンス体制の改善にどのように役立つかについてのプレゼンテーションを依頼されました。
コンプライアンス マネージャーとスコアの違いは何ですか?
## Footnote
A. コンプライアンス マネージャーは、管理者がコンプライアンス活動を管理および追跡できるようにするエンドツーエンドの Microsoft 365 コンプライアンス センター ソリューションです。
B. ?
C. コンプライアンス スコアは、組織全体のコンプライアンス スタンスを計算します。
D. 上記のいずれでもない
A. コンプライアンス マネージャーは、管理者がコンプライアンス活動を管理および追跡できるエンドツーエンドの Microsoft 365 コンプライアンス センター ソリューションです。
## Footnote
説明:
コンプライアンス マネージャーは、管理者にコンプライアンス スコアを理解して改善する機能を提供し、組織のコンプライアンス体制を強化してコンプライアンス要件に準拠できるようにします。
170
# B171
データを知り、データを保護し、データ損失を防ぎ、データを管理するという概念のどの部分が、組織が準拠した方法でデータと記録を自動的に保持、削除、保存する必要性に対応していますか?
## Footnote
A. データを把握する
B. データ損失を防ぐ
C. データを管理する
D. 上記のすべて
C. データを管理する
## Footnote
説明:
保持ポリシー、保持ラベル、記録管理などの機能により、組織はデータを管理できます。
171
# B172
新しいデータ損失防止ポリシーの一環として、コンプライアンス管理者は、クレジットカード番号など、組織のデータ全体にわたる重要な情報を特定する必要があります。
管理者はこの要件にどのように対処できるでしょうか?
## Footnote
A. アクティビティ エクスプローラーを使用する
B. 機密ラベルを使用する
C. 機密情報タイプを使用する
D. 上記のいずれでもない
C. 機密情報タイプを使用する
## Footnote
説明:
Microsoft は、クレジットカード番号などのデータを検出するために使用できる組み込みの機密情報タイプを提供しています。
172
# B173
組織内では、一部の電子メールは機密であり、許可されたユーザーのみが読めるように暗号化する必要があります。この要件はどのように実装できますか?
## Footnote
A. コンテンツエクスプローラーを使用する
B. 機密ラベルを使用する
C. レコード管理を使用する
D. 上記のすべて
B. 機密ラベルを使用する
## Footnote
説明: 機密ラベルは、ラベルの暗号化設定によって承認されたユーザーのみが電子メールを復号化できるようにするのに役立ちます。
173
# B174
組織では、すべてのプロジェクトで共同作業を行うために Microsoft Teams を使用しています。
コンプライアンス管理者は、ユーザーが Microsoft Teams チャット セッションで誤って機密情報を共有するのを防ぐ必要があります。この要件に対応できる機能は何ですか?
## Footnote
A. データ損失防止ポリシーを使用する
B. 記録管理機能を使用する
C. 保持ポリシーを使用する
D. 上記のすべて
A. データ損失防止ポリシーを使用する
## Footnote
説明:
データ損失防止ポリシーにより、管理者はユーザーが Microsoft Teams チャット セッションまたは Teams チャネルで機密情報を共有することを阻止するポリシーを定義できるようになりました。
174
# B175
特定の規制により、組織では顧客情報を含むすべてのドキュメントを特定の SharePoint サイトに 5 年間保存する必要があります。
この要件をどのように実装すればよいでしょうか?
## Footnote
A. 機密ラベルを使用する
B. コンテンツエクスプローラーを使用する
C. 保持ポリシーを使用する
D. 上記のいずれでもない
C. 保持ポリシーを使用する
## Footnote
説明:
保持ポリシーを使用して、SharePoint サイト上のすべてのドキュメントのデータ保持を記述できます。
175
# B176
組織のコンプライアンス管理者は、ビジネス リーダーにインサイダー リスク管理の重要性を説明したいと考えています。どのようなユース ケースが当てはまりますか?
## Footnote
A. 従業員が機密情報を共有するなどのリスクを検出して防御するため
B. ランサムウェアなどのネットワーク上の悪意のあるソフトウェアを検出して防御するため
C. 重要な瞬間にデバイスがシャットダウンするのを検出して防御するため
D. 上記のすべて
A. 従業員が機密情報を共有するなどのリスクを検出し、防御するため
## Footnote
説明:
リスク管理を使用して、組織をこれらのリスクから保護します。
176
# B177
企業ポリシーに準拠するには、コンプライアンス管理者が組織全体で不快な言葉を識別してスキャンできる必要があります。
管理者はこの要件に対処するためにどのようなソリューションを適用できますか?
## Footnote
A. Microsoft 365 のポリシーコンプライアンスを使用する
B. コミュニケーションコンプライアンスを使用する
C. 情報バリアを使用する
D. 上記のすべて
B. コミュニケーションコンプライアンスの使用
## Footnote
説明:
コミュニケーションコンプライアンスは、組織内の不適切なメッセージを検出、捕捉し、修復措置を講じることによって、コミュニケーションリスクを軽減するのに役立ちます。
177
# B178
組織には、Microsoft Teams を通じて共同作業を行う多くの部門があります。
ビジネス ポリシーを満たすために、IT 組織は、ある部門のユーザーによる他の部門へのアクセスとやり取りを制限する必要があります。
このニーズに対応できるソリューションは何でしょうか。
## Footnote
A. コミュニケーションコンプライアンスを使用する
B. アクティビティエクスプローラーを使用する
C. 情報バリアを使用する
D. 上記のすべて
C. 情報バリアを使用する
## Footnote
説明:
情報バリアを使用すると、必要に応じて特定のユーザーグループ間の通信を制限できます。
178
# B179
新しい管理者がコンプライアンス チームに参加し、メンバーの追加と削除、検索の作成と編集、ケースからのコンテンツのエクスポートを行うために Core eDiscovery にアクセスする必要があります。
管理者はどのロールに移行する必要がありますか?
## Footnote
A. eDiscovery マネージャー ロール グループのメンバーとして追加する
B. eDiscovery レビュー ロールのメンバーとして追加する
C. eDiscovery キーパー ロールのメンバーとして追加する
D. 上記のいずれでもない
A. eDiscovery Managerロールグループのメンバーとして追加する
## Footnote
説明:
この役割グループのメンバーは、コアeDiscoveryケースを作成および管理できます。
179
# B180
コンプライアンス管理者は、データを収集してレビュー セットにコピーし、コンテンツをフィルタリング、検索、タグ付けできる必要があります。
どのソリューションが彼のニーズに最も適しているでしょうか?
## Footnote
A. ベーシック監査
B. 検索
C. アドバンスド eDiscvoery
D. 上記すべて
C. アドバンスド eDiscvoery
## Footnote
説明:
アドバンスド eDiscvoery を使用すると、データを収集してレビュー セットにコピーし、コンテンツをフィルタリング、検索、タグ付けして、最も関連性の高いコンテンツを特定して焦点を当てることができます。
180
# B181
コンプライアンス チームは、組織がセキュリティまたはコンプライアンス違反の可能性を調査し、侵害の範囲を判断するのに役立つ、価値の高い重要なイベントの記録を保存する必要があります。
これらのニーズに最もよく対応できるソリューションはどれでしょうか。
## Footnote
A. アドバンスド監査
B. 検索
C. コア eDiscovery
D. 上記すべて
A. アドバンスド監査
## Footnote
説明:
アドバンスド監査は、これらの重要なイベントへのアクセスを提供することで、組織がフォレンジック調査やコンプライアンス調査を整理するのに役立ちます。
181
# B182
組織の開発チームが、組織のコンプライアンス要件に合わせて、繰り返し可能な方法で新しいリソースを迅速にプロビジョニングおよび実行できるようにするツールはどれですか?
## Footnote
A. Azure Policy
B. Azure Rapid Build
C. Azure ブループリント
D. 上記のいずれでもない
C. Azure ブループリント
## Footnote
説明:
Azure ブループリント を使用すると、開発チームは繰り返し可能な Azure リソース セットを定義し、開発時間を短縮して配信を迅速化できます。
182
# B183
組織のコンプライアンス管理者として、Azure リソースが組織のビジネス ルールを満たしていることを確認する必要がありますか? どの Azure 機能を使用すればよいですか?
## Footnote
A. Azure ロールベースのアクセス制御 (RBAC) を使用する
B. Azure ポリシーを使用する
C. Azure リソース ロックを使用する
D. 上記のいずれでもない
B. Azureポリシーを使用する
## Footnote
説明:
Azure Policy は、Azure リソースが組織のビジネス ルールに準拠していることを保証します。
183
# B184
エンタープライズ データのメタデータをキャプチャし、機密データを識別および分類するために使用される Azure Purview のアプリケーションはどれですか?
## Footnote
A. データカタログ
B. データマップ
C. データインサイト
D. 上記すべて
B. データマップ
## Footnote
説明:
Azure Purview Data Map は、企業データに関するメタデータをキャプチャして、機密データを識別および分類できます。
184
# B185
管理者は、カードを移動したり、ホーム画面に表示されるカードを [ XXX ] したりして、カード セクションをカスタマイズできます。
## Footnote
A. 追加
B. 削除
C. 上記の両方
D. 上記のいずれでもない
C. 上記の両方
## Footnote
説明:
管理者は、カードを移動したり、ホーム画面に表示されるカードを追加/削除したりして、カードセクションをカスタマイズできます。
185
# B186
[ XXX ] は、システム構成と組織プロセスを評価および管理する方法を定義します。
## Footnote
A. コントロール
B. 評価
C. テンプレート
D. 上記のいずれでもない
A. コントロール
## Footnote
説明:
システム構成、組織プロセス、および特定の規制要件、標準、またはポリシーを満たす責任者を評価および管理する方法を定義します。
186
# B187
コンプライアンス [ XXX ] は、管理者がコンプライアンス アクティビティを管理および追跡できるようにする、Microsoft 365 コンプライアンス センターのエンドツーエンドのソリューションです。
## Footnote
A. マネージャー
B. スコア
C. 規則
D. 上記のいずれでもない
マネージャー
## Footnote
説明:
コンプライアンス マネージャーは、管理者がコンプライアンス活動を管理および追跡できるようにする、Microsoft 365 コンプライアンス センターのエンドツーエンドのソリューションです。
187
# B188
コンプライアンス [ XXX ] は、組織全体のコンプライアンス姿勢を計算します。
## Footnote
A. マネージャー
B. スコア
C. 規則
D. 上記のいずれでもない
B. スコア
## Footnote
説明:
コンプライアンススコアは、組織全体のコンプライアンスの姿勢を計算したものであり、コンプライアンススコアはコンプライアンスマネージャーを通じて利用できます。
188
# B189
Microsoft Information [ XXX ] は、組織全体のライフサイクル全体にわたって、機密性の高いビジネスクリティカルなコンテンツを検出、分類、保護します。
## Footnote
A. Protection
B. Governance
C. 上記の両方
D. 上記のいずれでもない
A. Protection
## Footnote
説明:
Microsoft Information Protection (MIP) は、組織全体のライフサイクル全体にわたって機密性の高いビジネスクリティカルなコンテンツを検出、分類、保存します。
189
# B190
Microsoft Information [ XXX ] は、ビジネスに不可欠なデータをインポート、保存、分類するソリューションを使用して、コンテンツのライフサイクルを管理します。
## Footnote
A. Protection
B. Governance
C. 上記の両方
D. 上記のいずれでもない
B. Governance
## Footnote
説明:
Microsoft Information Governance (MIG) は、ビジネスに不可欠なデータをインポート、保存、分類するソリューションを使用してコンテンツのライフサイクルを管理し、必要なものを保持し、不要なものを削除できるようにします。
190
# B191
[ XXX ] エクスプローラーは、どのようなコンテンツが発見され、ラベル付けされたかを可視化します。
## Footnote
A. コンテンツ
B. アクティビティ
C. 上記の両方
D. 上記のいずれでもない
B. アクティビティ
## Footnote
説明:
アクティビティエクスプローラーは、どのようなコンテンツが発見されラベル付けされたか、そのコンテンツがどこにあるかを表示します。
191
# B192
Azure Active Directory (Azure AD) のハイブリッド構成があります。
Azure AD 認証をサポートするように構成された Azure SQL Database インスタンスがあります。
データベース開発者は、オンプレミスの Active Directory アカウントを使用してデータベース インスタンスに接続し、認証する必要があります。
開発者が Microsoft SQL Server Management Studio を使用してインスタンスに接続できるようにする必要があります。
ソリューションでは、認証プロンプトを最小限に抑える必要があります。
どの認証方法をお勧めしますか?
## Footnote
A. Active Directory - パスワード
B. Active Directory - ユニバーサル MFA サポート付き
C. SQL Server 認証
D. Active Directory – 統合
A. Active Directory - パスワード
## Footnote
説明:
Azure AD マネージド ドメインを使用して Azure AD プリンシパルに接続する場合は、Active Directory パスワード認証を使用します。
192
# B193
Azure Container Registry に接続する Azure Kubernetes Service (AKS) クラスターを構成しています。
Azure Container Registry への認証には、自動生成されたサービス プリンシパルを使用する必要があります。
何を作成する必要がありますか?
## Footnote
A. Azure Active Directory (Azure AD) グループ
B. Azure Active Directory (Azure AD) ロールの割り当て
C. Azure Active Directory (Azure AD) ユーザー
D. Azure Key Vault 内のシークレット
B. Azure Active Directory (Azure AD) ロールの割り当て
## Footnote
説明:
Azure では、AKS クラスターを作成するときに、他の Azure リソースとのクラスター操作性をサポートするためにサービス プリンシパルも作成されます。
この自動生成されたサービス プリンシパルは、ACR レジストリでの認証に使用できます。
これを行うには、クラスターのサービス プリンシパルにコンテナー レジストリへのアクセス権を付与する Azure AD ロールの割り当てを作成する必要があります。
193
# B194
Microsoft Defender for Cloud から、カスタム アラート ルールを作成します。
アラートがトリガーされたときに電子メール メッセージを受信するユーザーを構成する必要があります。
何をすればよいでしょうか。
## Footnote
A. Azure Monitor からアクション グループを作成します。
B.Microsoft Defender for Cloud から、Azure サブスクリプションのセキュリティ ポリシー設定を変更します。
C. Azure Active Directory (Azure AD) から、セキュリティ リーダー ロール グループのメンバーを変更します。
D. Microsoft Defender for Cloud から、アラート ルールを変更します。
A. Azure Monitor からアクション グループを作成します。
## Footnote
説明:
Azure Monitor のデータから、インフラストラクチャまたはアプリケーションに問題が発生している可能性があることが示唆されると、アラートが送信されます。
その後、Azure Monitor、Azure Service Health、および Azure Advisor によってアクション グループが使用され、ユーザーにアラートが通知され、対応が開始されます。Azure サブスクリプションの所有者は、アクション グループと呼ばれる通知設定のグループを指定できます。
194
# B195
ある会社には現在、Active Directory 経由で定義されたオンプレミス フォレストがあります。
フォレストには、ipspecialist.com というドメインが含まれています。Azure サブスクリプションをセットアップしました。
オンプレミスの Active Directory ドメインを Azure AD と統合するために、Azure AD Connect をデプロイしたいと考えています。
主な要件は次のとおりです。Azure AD に同期されているユーザー アカウントにパスワード ポリシーが適用されていることを確認します。
Azure AD に同期されているユーザー アカウントにログイン制限が適用されていることを確認します。
実装全体に必要なサーバーの数を最小限に抑えます。実装には次のどれを検討しますか。
## Footnote
A.
B.
C.
D. シームレスなシングルサインオンによるパススルー認証
D. シームレスなシングルサインオンによるパススルー認証
説明:
Microsoft のドキュメントには、オンプレミスの Active Directory と Azure AD の両方を使用する場合にどちらの方法を使用するかについての明確な意思決定ツリーがあります。
これは、ユーザー レベルの Active Directory ポリシーを適用する場合の明確なパスを示しています。
オプション A と B は、Active Directory Federation Services 用に追加のサーバーを実装する必要があるため、正しくありません。また、「実装全体に必要なサーバーの数」を減らすという重要な要件があります。
オプション C は、Active Directory ルールを適用できないため、正しくありません。
195
# B196
RG1 というリソース グループに 15 台の Azure 仮想マシンがあります。
すべての仮想マシンで同一のアプリケーションが実行されます。
仮想マシン上で不正なアプリケーションやマルウェアが実行されないようにする必要があります。どうすればよいでしょうか。
## Footnote
A. RG1 に Azure ポリシーを適用します。
B. Microsoft Defender for Cloud から、適応型アプリケーション制御を構成します。
C. Azure Active Directory (Azure AD) Identity Protection を構成します。
D. RG1 にリソース ロックを適用します。
B. Microsoft Defender for Cloud から、適応型アプリケーション制御を構成します。
## Footnote
説明:
適応型アプリケーション制御は、Microsoft Defender for Cloud のインテリジェントで自動化されたエンドツーエンドのアプリケーション ホワイトリスト ソリューションです。Azure VM と非 Azure VM (Windows と Linux) で実行できるアプリケーションを制御するのに役立ちます。これにより、さまざまな利点に加えて、マルウェアに対する VM の強化が可能になります。
196
# B197
XYZ ラボには、オンプレミスの Active Directory フォレストと Azure Active Directory テナントがあります。
すべての Azure Active Directory ユーザーに Azure AD Premium P1 ライセンスが割り当てられています。
Azure 開発者として、オンプレミスの Azure Active Directory フォレストと同期するために Azure Active Directory Connect をデプロイしました。
XYZ ラボのデスクを支援するために利用できる機能はどれですか?
## Footnote
A. アクセスレビュー
B. クラウドユーザー向けのセルフサービスパスワードリセット
C. Azure Active Directory Privileged Identity Managementポリシー
D. 脆弱性と危険なアカウントの検出
B. クラウドユーザー向けのセルフサービスパスワードリセット
## Footnote
説明:
SSPR 機能は Azure Active Directory で使用でき、ヘルプ デスクの専門家にも使用されます。
197
# B198
ある組織では、従業員からの提案を受けて、さまざまな目的で多数の Azure リソースを実装しています。
重要な要件は、各リソースにタグがあることです。
Azure ポータル内のすべてのリソース グループには、名前が「IPSpecialist」で値が「CloudTeam」のタグが必要です。システム保護担当者は、この要件を満たすために Azure Key Vault を使用することを提案しました。この提案は役に立ちますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Key Vault は、実際のパスワードとキーを他の当事者から隠す便利なサービスです。シークレットとパスワードへの安全なアクセスを許可するアクセス ポリシーを定義することで、ネットワークを保護します。
198
# B199
ある組織は、アプリケーションへの高度で安全なアクセス方法を実装することを決定しました。
組織は、複数のステップで無関係なユーザーがアプリケーションにアクセスするのを防ぐ方法を実装するタスクをセキュリティ エンジニアに割り当てます。
このような安全な識別方法を実装するために使用できる Azure サービスはどれですか。
## Footnote
A. Azure ネットワーク セキュリティ グループ
B. Azure DDoS 保護
C. Azure Key Vault
D. Azure 多要素認証
D. Azure 多要素認証
## Footnote
説明:
多要素認証 (MFA) は、さまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供します。MFA は、「ユーザーが知っていること (ID とパスワード)、ユーザーが持っているもの (電話またはその他のハードウェア)、ユーザー自身 (顔認識または生体認証)」に基づいています。
オプション A は、ネットワーク セキュリティ グループ (NSG) がリソース ファイアウォールとして機能し、ネットワーク リソースが不要なトラフィック負荷から保護されるため無効です。
オプション B は、DDoS 保護サービスがアプリケーションを DDoS 攻撃から保護するため無効です。
オプション C は、Azure Key Vault が暗号化された形式でアプリケーション シークレットを保護するため無効です。
199
# B200
アーノルドは、ある組織でセキュリティ エンジニアとして働いています。
組織は Azure リソースを使用しており、従量課金制のサブスクリプションを所有しています。
セキュリティ エンジニアは、Azure でセキュリティ機能を提供するために利用可能なすべてのサービスを収集します。
ネットワーク内の VM にインストールされた重要な機密アプリケーションを使用して、ネットワークを構成します。
次の Azure サービスのうち、「ネットワークへの受信トラフィックと送信トラフィックを許可および拒否するアクセス制御ルール」を提供するのに最適なものはどれですか。
## Footnote
A. Azure DDoS 保護
B. Azure Key Vault
C. Azure ネットワーク セキュリティ グループ
D. Azure 多要素認証
C. Azure ネットワーク セキュリティ グループ
## Footnote
説明:
サブネット内の異なる仮想マシン (VM) が相互に接続する仮想ネットワーク (VNet) の構成には、ネットワーク セキュリティ グループ (NSG) が必要です。NSG は、アクセス制御リスト (ACL) ルールを使用して、サブネットまたは VM へのネットワーク トラフィック アクセスを許可または拒否します。オプション A は、DDoS 保護サービスが DDoS 攻撃からアプリケーションを保護するため無効です。オプション B は、Azure Key Vault が暗号化された形式で保護アプリケーション シークレットを提供するため無効です。オプション D は、多要素認証 (MFA) がさまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供するため無効です。
200
# B201
組織はすべてのリソースを Azure に移行します。
組織には従量課金制のサブスクリプションがあります。
組織の管理者チームは、Azure リソースにアクセスするための安全な認証方法を作成したいと考えています。
Azure Active Directory (AAD) は、安全なアクセスのための認証サービスを提供していますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure Active Directory サービスは、ID 保護サービスとアクセス管理を組み合わせた管理サービスです。多くのユーザーは、ユーザー名とパスワードを入力することで、Azure サービスに安全にアクセスできます
201
# B202
IT 企業の HR マネージャーである Kevin が、会社の CEO に年次レポートを提出します。
レポートには、Azure の未使用のリソースが原因で無駄になっている追加コストが示されています。
会社の CEO は、Azure サブスクリプション内の未使用のリソースのリストについて話し合うために会議を招集します。
チームは次のリストを提示します。
パブリック IP アドレス 10 個、Azure AD 内のユーザー アカウント 10 個、ネットワーク インターフェイス 10 個、Azure AD 内のユーザー グループ 5 個。
CEO は、コストのオーバーヘッドを最小限に抑えるために、未使用のリソースを削除するための提案を求めています。
チーム メンバーの 1 人が、Azure AD からユーザー グループを削除することを提案しました。この提案は会社にとって役立つでしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Active Directory は、Azure 内のユーザーとグループを保持します。
コストのオーバーヘッドを削減するには、Azure Active Directory (AD) からユーザーを削除することは解決策ではありません。
Azure AD では、ユーザーとグループの両方を含む 500,000 個のオブジェクトを無料で作成できます。
202
# B203
ネットワーク企業は、リソースへのより安全でよりよいアクセスを実現するために、Azure AD サービスを使用したいと考えています。
ID 保護サービスを有効にするには、まずユーザー認証用のポップアップ ボックスを作成する必要がありますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure AD サービスは、リソースへのより優れた、より安全なアクセスのために使用されます。
これは、ユーザーが Azure アカウントを作成するときに必須のサービスです。
Azure にドメイン コントローラー サービスを実装する必要はありません。
Azure は、すべてのインフラストラクチャ作業が Microsoft によって管理される Platform as a Service (PaaS) です。
203
# B204
ある IT 企業は、Azure リソースを長い間使用してきました。
会社のオーナーである Felix は、リソースの使用コストを最適化し、会社で使用されていないが Azure サブスクリプションの一部であるリソースのリストについて話し合うために会議を招集しました。
パブリック IP アドレス 10 個、Azure AD のユーザー アカウント 10 個、ネットワーク インターフェイス 10 個、Azure AD のユーザー グループ 5 個。
未使用のリソースを削除して、コストのオーバーヘッドを最小限に抑えたいと考えています。
チーム メンバーの 1 人が、Azure Active Directory (AAD) から管理者ユーザー アカウントを削除することを提案しました。
この提案は役に立ちますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Active Directory は、Azure 内のユーザーとグループを保持します。
Azure Active Directory (AD) からユーザーを削除することは、コストのオーバーヘッドを削減する解決策ではありません。
Azure AD では、ユーザーとグループを含む 500,000 個のオブジェクトを無料で作成できます。
204
# B205
組織は、最適なパフォーマンス レベルを実現するために、Azure に複数のデプロイメントを作成したいと考えています。
高度なセキュリティ機能を提供するために、組織は多要素認証プロセスを持つユーザーのみにアクセスを許可します。
組織がこの要件を満たすために使用できるサービスは次のうちどれですか。
## Footnote
A. Azure DDoS 保護
B. Azure 特権 ID 管理
C. Azure AD Identity Protection
D. Microsoft Defender for Cloud
C. Azure AD Identity Protection
## Footnote
説明:
多要素認証 (MFA) は、ユーザー名とパスワードの検出、生体認証の検証、特定のデバイスでのコードの送信など、さまざまなレベルでユーザーの ID を確認する多層認証プロセスです。
Azure AD Identity 保護は、さまざまなフェーズですべてのユーザーの ID を監視します。
これは、MFA がさまざまなキー要件を使用して認証レベルを作成するのに役立ちます。
オプション A は、DDoS 攻撃に対する保護サービスを提供するため無効です。
オプション B は、Azure 特権 ID 管理が限られた期間の重要なリソースの管理と監視を担当するため使用されません。
オプション D は、Microsoft Defender for Cloud によってユーザーが Azure リソースとオンプレミスのセキュリティ機能を監視できるため無効です。
205
# B206
ある企業が Azure ソリューションを実装しています。
このソリューションはオンプレミスとクラウドの両方で利用できます。
そのため、多数のユーザーがこのソリューションにアクセスできます。企業では、ユーザーの ID 管理のために、多要素認証 (MFA) などの高度で安全な認証方法を実装する必要があります。
企業はオンプレミス ユーザーと Azure ユーザーの両方の ID を構成する必要がありますか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure には複数の ID 管理方法があります。最も実装されている安全な方法の 1 つは、多要素認証 (MFA) です。
MFA は、不正行為の警告、ユーザーのブロック/ブロック解除、電話通話設定、通知の検証などを使用して実装できます。
このような認証方法は、Azure Active Directory (AAD) によって実現できる条件付きアクセス ポリシーと呼ばれます。
206
# B207
組織は、Azure リソースとの安全で認証され、承認されたユーザー接続を確立する必要があります。
Azure AD サービスは組織の要件を満たすでしょうか?
## Footnote
A. 正しい
B. 間違い
A. 正しい
## Footnote
説明:
Azure AD は、ユーザーがサインインしたときに最初に作成されるサービスです。
ユーザーが Azure にログインするときに、複数の方法で保護機能を提供します。承認には、Azure でアクセス管理ポリシーが使用されます。
Azure AD は、情報を保存し、リソースへの安全で承認されたユーザー アクセスを提供するディレクトリ サービスです。
207
# B208
ある会社では、Azure アカウントにさまざまなリソースを構築しています。
会社では、需要と優先順位に応じて、ユーザーがこれらのリソースを制御および効率的にアクセスできるようにする必要があります。
会社の従業員の 1 人が、この状況に Azure 管理グループを使用することを提案しました。
この提案は会社にとって役立つでしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure 管理グループは、リソース グループ内のリソースを管理します。
リソースは階層的に管理されるため、簡単にスケールアップおよびスケールダウンできます。
208
# B209
組織では、Microsoft がリソースの計算を完全に管理するオンデマンド サービスを使用しています。
次のどれが組織に普遍的にアクセス可能なフォーラムを提供しますか?
## Footnote
A. Microsoft Office 365
B. Azure App Service
C. Azure コンテンツ配信ネットワーク サービス
D. Azure 仮想マシン サービス
A. Microsoft Office 365
## Footnote
説明:
Microsoft Office 365 は、基盤となるクラウド インフラストラクチャを管理および制御することなく、ユーザーがアプリケーションにアクセスできる Software as a Service (SaaS) プラットフォームです。
オプション B と C は、プログラミング言語、サービス、ライブラリを使用して独自のアプリケーションを作成するためのソフトウェア開発リソースへのアクセスをユーザーに提供する PaaS であるため無効です。
オプション D は、Virtual Machine が仮想環境のリソースにユーザーがアクセスできる Infrastructure as a Service (IaaS) プラットフォームであるため無効です。
209
# B210
ある IT 企業が、トラフィック負荷をバックエンドに送るための最適なルートを見つけるのに役立つサービスの解決策を見つけるために、上級管理チームの会議を招集しました。
チーム メンバーの 1 人が、この目的のためにコンテンツ配信ネットワークを使用することを提案しました。
この提案は会社にとって役立つでしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
コンテンツ配信ネットワーク (CDN) は、ユーザーの近くに Web コンテンツを配信できるサーバーの分散ネットワークです。
Azure 内では、CDN はデータの複製をユーザー側に近いデータ センターに配置し、ユーザーは必要なアプリケーションに簡単にログインできます。
ユーザーに近いデータ センターはエッジ ノード/エッジ サーバーと呼ばれ、ユーザーに近いインターネットのエッジを提供するファイルのキャッシュが含まれています。
トラフィック負荷をバックエンドに向ける役割はありません。
210
# B211
Herry は、最近リソースを Azure に移行した組織のセキュリティ エンジニアです。
組織は、Azure リソースを使用するための安全なアクセスを求めています。
セキュリティ エンジニアは、ユーザーを認証するための多要素認証 (MFA) 方式を設計します。
MFA には、固定方式が 2 つしかありません。生体認証とコード認証です。
この方式は、MFA の要件を満たしますか?
## Footnote
A. 正しい
B. 間違い
B. 間違い
## Footnote
説明:
多要素認証 (MFA) は、さまざまな種類の認証方法を取得することで、高度なセキュリティ アクセスを提供します。
MFA は、「ユーザーが知っている情報 (ID とパスワード)、ユーザーが所有している情報 (電話またはその他のハードウェア)、ユーザーが何者であるか (顔認識または生体認証)」に基づいています。
211
# B212
組織のネットワーク セキュリティ エンジニアである Denzel は、機密性の高い複雑なアプリケーションを実行するネットワークを実装しました。
何らかの理由で、実行中のこのアプリケーションを停止しました。
彼は、Azure からインターネットへのすべてのネットワーク トラフィック負荷を停止するために Azure Firewall を使用することにしました。
このアプリケーションを停止するには、このアプローチが適切でしょうか?
## Footnote
A. はい
B. いいえ
B. いいえ
## Footnote
説明:
Azure Firewall は、ネットワーク内の受信トラフィックと送信トラフィックのルールを定義して、ネットワーク内のリソースのセキュリティを確保します。
Azure とインターネットの間にブロックは作成されません。
Azure とインターネットの間に安全な保護レイヤーを提供し、不要なインシデントやブロックなしでスループットを提供します。
212
# B212
ある IT 企業は、過去 1 年間 Azure のリソースとサービスを使用してきました。
オーナーは、アカウント マネージャーからの年間支出レポートを必要としています。
オーナーはレポートの「ホスティング費用」を指摘し、その正当性を求めています。
この種類の費用はどのカテゴリに含まれますか?
## Footnote
A. 二次支出
B. 運営支出
C. 資本支出
D. 一次支出
B. 運営費
## Footnote
説明:
クラウド コンピューティングでは、ソフトウェア、クラウド アプリケーション、ストレージ、IT 運用、レンタル ハードウェアが運用費です。
Azure リソースの使用、サービス、ネットワークの展開、アプリケーションの構築はすべて運用費に含まれます。
213
# B214
ある企業は、クラウド ソリューション用に発見された製品、アプリケーション、ソリューションを売買するためのオンラインの場所として機能する Azure ソリューション プラットフォームを展開したいと考えています。
次のどれが、企業が利用可能な製品を確認し、リソースを検索するのに役立ちますか?
## Footnote
A. Azure Monitor 内
B. Microsoft Defender for Cloud 内
C. Azure Marketplace 内
D. Azure Advisor 内
C. Azure Marketplace 内
## Footnote
説明:
Azure Marketplace は、何千もの VM、開発者サービス、アプリケーションを備えたオンライン ストアです。クラウド ベースのソリューションは、Azure Marketplace を使用して他のユーザーに簡単に販売できます。また、Azure Marketplace で利用できるツールやサポートを求めることで、アプリケーションの開発も可能になります。説明から、残りのオプションはすべて無効であることがわかります。
214
# B215
ある組織が会議を招集し、Azure Resource Manager (ARM) テンプレート、ロールベースのアクセス制御、ポリシーなど、Azure サービスの実装に使用される一連の要件を作成するための規則と規制をどのように公表するかについて話し合います。
従業員の 1 人が、この目的のために Azure ブループリントを使用することを提案しました。
この提案は役に立ちますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure Blueprint を使用すると、優先ポリシー、ARM テンプレート、ロールベースのアクセス割り当てなど、Azure 環境全体を設計およびパッケージ化できます。
これらのブループリントは複数のサブスクリプションに割り当てられるため、Azure の使用を拡大するのに役立ちます。
215
# B216
ある会社は現在、Azure サブスクリプションと Azure テナントを所有しています。
Azure 多要素認証を実装したいと考えています。
ユーザーの 2 番目の認証手段として SMS を追加することは可能ですか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
Azure では、多要素認証とセルフサービス パスワード リセットの両方に対して次の認証方法を提供しています。この場合、SMS は利用可能な認証方法です。
216
# B217
ある企業が Azure Multi-Factor Authentication を実装したいと考えています。
推奨されるポリシーは次のどれですか?
## Footnote
A. ユーザーごとに有効にする
B. セッションごとに有効にする
C. セキュリティのデフォルトを有効にする
D. 条件付きアクセスを有効にする
D. 条件付きアクセスを有効にする
## Footnote
説明:
Azure AD でユーザーのサインイン イベントを保護するには、多要素認証 (MFA) を必須にすることができます。
条件付きアクセス ポリシーを使用して Azure AD 多要素認証を有効にすることは、ユーザーを保護するための推奨される方法です。
条件付きアクセスは、特定のシナリオで必要に応じて MFA を要求するルールを適用できる Azure AD Premium P1 または P2 の機能です。
217
# B218
ある企業は、Azure のさまざまなセキュリティ サービスを利用したいと考えています。
また、Azure クラウドにシークレットと証明書を保存できるようにしたいと考えています。
そこで、Azure Key Vault サービスを使用することに決めました。これで要件は満たされるでしょうか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
はい、これはこの条件を満たす正しいサービスです。Azure Key Vault サービスの助けを借りて、企業は秘密、暗号化キー、および証明書を保存できます。
218
# B219
ある会社が Azure サブスクリプションと Azure テナントをセットアップしたところです。
さまざまな要件を満たすサービスを使用したいと考えています。
次の要件に使用できるのは次のどれですか?
「Azure サブスクリプション内では、特定の SKU サイズの仮想マシンのみを起動できるようにします。」
## Footnote
A. Azure リソース ロック
B. Azure ポリシー
C. Azure Blueprints
D. Azure リソース タグ
B. Azure ポリシー
## Footnote
説明:
この要件は、Azure ポリシーを使用することで満たすことができます。
Azure ポリシーを使用すると、組み込みポリシーを適用して、Azure 仮想マシンの起動に使用できる SKU サイズを定義できます。
下の図に示すように、組み込みポリシーはすでにこの目的で利用できます。
オプション A は、リソースが誤って削除されないように保護するために使用されるため無効です。
オプション C は、リソースの展開を調整するために適用されるため無効です。
オプション D は、リソースを論理的に整理するために採用されるため無効です。
したがって、オプション B が正解です。
219
# B220
ある会社が Azure サブスクリプションと Azure テナントをセットアップしたところです。
さまざまな要件を満たすサービスを使用したいと考えています。
次の要件に使用できるのは次のどれですか?
「さまざまなリソースの展開をオーケストレーションするための宣言的な方法を提供する」。
## Footnote
A. Azure リソース ロック
B. Azure ポリシー
C. Azure ブループリント
D. Azure リソース タグ
C. Azure ブループリント
## Footnote
説明:
Azure Blueprints は、ロールの割り当て、ポリシーの割り当て、Azure Resource Manager テンプレート (ARM テンプレート)、リソース グループを含む複数のリソース テンプレートと成果物の展開を調整するために採用できます。
オプション B は、リソースのガバナンス サービスとして使用されているため無効です。
オプション D は、リソースを論理的に整理するために採用されているため無効です。
オプション A は、リソースが誤って削除されないように保護するために使用されているため無効です。
したがって、オプション C が正解です。
220
# B221
Azure ユーザーの多要素認証を有効にするために使用できる Azure のサービスは次のどれですか?
## Footnote
A. Azure Sentinel
B. Azure Key Vault
C. Microsoft Defender for Cloud
D. Azure Active Directory
D. Azure Active Directory
## Footnote
説明:
説明: Azure Multi-Factor Authentication は、いくつかの方法で有効にできます。
これは、Azure Active Directory から実行できます。
下の図に示すように、[ユーザー] セクションに移動すると、Multi-Factor Authentication を有効にできます。
他のサービスでは Multi-Factor Authentication を有効にすることができないため、他のオプションは無効です。
221
# B222
ネットワーク環境を構成してセキュリティ保護しています。
ネットワーク トラフィックを分析するように構成された VM1 という名前の Azure 仮想マシンをデプロイします。
すべてのネットワーク トラフィックが VM1 を経由してルーティングされるようにする必要があります。
何を構成する必要がありますか?
## Footnote
A. システムルート
B. ネットワークセキュリティグループ (NSG)
C. ユーザー定義ルート
C. ユーザー定義ルート
## Footnote
説明:
システム ルートを使用すると、展開のトラフィックが自動的に促進されますが、仮想アプライアンスを介したパケットのルーティングを制御する必要がある場合もあります。
仮想アプライアンスとして実行されている VM の IP 転送を有効にする代わりに、特定のサブネットに流れるパケットが仮想アプライアンスに送信される次のホップを指定するユーザー定義のルートを作成することで、これを実現できます。
222
# B223
会社では、Web アプリケーションを Azure Windows 仮想マシンにデプロイする必要があります。
マシンへの RDP へのリモート アクセスを構成する必要があります。
ポート 3389 のトラフィックを許可する受信ネットワーク セキュリティ グループ ルールを作成します。
これで要件は満たされますか?
## Footnote
A. はい
B. いいえ
A. はい
## Footnote
説明:
VM の場合、RDP ポートが設定されているかどうかを確認するには、ネットワーク セキュリティ グループに受信ポートを作成する必要があります。
223
# B224
ある組織では、従業員からの提案を受けて、さまざまな目的で多数の Azure リソースを実装しています。
重要な要件は、各リソースにタグがあることです。
すべてのリソース グループには、名前が「IPSpecialist」で値が「CloudTeam」のタグがあります。
システム保護担当者は、この要件を満たすために Azure Key Vault を使用することを提案しました。
チームは、Azure ポータルではなく、展開インターフェイス CLI を希望しています。
したがって、組織が Key Vault を作成するために使用する CLI コマンドは次のどれですか。
## Footnote
A. az secret create
B. az create
C. az keyvault secret create
D. az keyvault create
D. az keyvault create
## Footnote
説明:
Azure Key Vault は、実際のパスワードとキーを他の関係者から隠す便利なサービスです。
シークレットとパスワードへの安全なアクセスを許可するアクセス ポリシーを定義することで、ネットワークを保護します。
Azure CLI を使用して Key Vault を作成するには、次のコマンドを使用できます。
az keyvault create –name “" --resource-group "ips-rg" --location "EastUS" このコマンドは、新しく作成されたキー コンテナーのプロパティを JSON 形式で出力します。
224
# B225
Maria は、最近、外部の専門家に製品データと情報を提供するための Azure ベースのアプリを作成した組織の IT エンジニアです。
チームは、API Management インスタンスを使用して API を専門家に公開するタスクを Herry に割り当てました。
ただし、API には特定の要件があります。
応答から書式設定テキストを削除する、さまざまな入力パラメーターをサポートする、バックエンド サービスに追加のコンテキストを提供する。
次の要件に対して Maria が取得したポリシー タイプはどれですか。
「応答から書式設定テキストを削除する」
## Footnote
A. Outbound
B. Error
C. Inbound
D. Backend
A. Outbound
## Footnote
説明:
アウトバウンド ポリシーを使用すると、応答から書式設定テキストを簡単に削除できます。
書式設定テキストを削除するには、以下に示すように、特定の詳細を含む「検索と置換」コマンドを追加する必要があります。
225
# B226
John は、最近、外部の専門家に製品データと情報を提供するための Azure ベースのアプリを作成した組織の IT エンジニアです。
チームは、API Management インスタンスを使用して API を専門家に公開するタスクを Herry に割り当てました。
ただし、API には特定の要件があります。
応答から書式設定テキストを削除する、さまざまな入力パラメーターをサポートする、バックエンド サービスに追加のコンテキストを提供する。
次の要件に対して John が取得したポリシーの種類はどれですか。
「バックエンド サービスに追加のコンテキストを提供する」。
## Footnote
A. Outbound
B. Inbound
C. Error
D. Backend
B. Inbound
## Footnote
説明:
API レベルで受信ポリシーを適用して、バックエンド サービスに追加のコンテキスト情報を提供できます。
この場合、特定の詳細を含む次のコマンド セットを使用できます。
226
# B227
サブスクリプションの一部として Azure ポリシーを構成する必要があります。
1 つ以上のリソースをプッシュアウトする必要があるポリシーを割り当てる必要があります。
次の効果のどれが、割り当てのためにマネージド ID を必要としますか。
## Footnote
A. AuditLfNotExist
B. Append
C. Deny
D. deployIfNOtExist
D. deployIfNOtExist
説明:
「DeployIfNotExist」の効果はデプロイメントを参照するため、マネージド サービス ID が必要になります。
これは Microsoft のドキュメントにも記載されています。
これは Microsoft のドキュメントから明らかなので、他のすべてのオプションは正しくありません。
227
# B228
IT エンジニアが、複雑なデータベース アプリケーションが実行されるネットワークを設計します。
分散型サービス拒否 (DDoS) 攻撃からアプリケーションを保護するために、保護レイヤーとして使用される Azure サービスの次のうちどれですか。
## Footnote
A. Azure DDoS 保護
B. Azure Key Vault
C. Azure 多要素認証
D. Azure ネットワーク セキュリティ グループ
A. Azure DDoS 保護
## Footnote
説明:
Azure DDoS Protection サービスは、標的型 DDoS 攻撃からアプリケーションを保護します。
DDoS Protection を使用すると、トラフィックは常に Azure データ センター内に留まります。
Azure DDoS Protection は攻撃を軽減するため、トラフィックがデータ センターから出ないようにし、パフォーマンスの向上にも役立ちます。
オプション B は、Azure Key Vault が暗号化された形式でアプリケーション シークレットを保護するため無効です。
オプション C は、多要素認証 (MFA) がさまざまな種類の認証方法を取得することで、高度なセキュリティで保護されたアクセスを提供するため無効です。
オプション D は、ネットワーク セキュリティ グループ (NSG) がリソース ファイアウォールとして機能し、ネットワーク リソースが不要なトラフィック負荷から保護されるため無効です。
228
# B229
組織の Azure アカウントでは、いくつかのサービスとリソースが利用可能です。顧客と従業員は、これらのサービスとリソースを試してみたいと考えています。組織は、安全なアクセスを確保するために、認証されたユーザーのみがサービスとリソースを使用できるようにします。認証の定義として有効なのは次のうちどれですか。
## Footnote
A. これは正当な資格情報を提供する行為です。
B. これは Azure で使用できるサービスの種類を指定します。
C. これは Azure で使用できるデータの種類を指定します。
D. これは Azure で実行できることを指定します。
A. これは正当な資格情報を提供する行為です。
## Footnote
説明:
ユーザーの資格と ID は認証と呼ばれます。
これは、ユーザーがリソースにアクセスするのに有効かどうかを確認する方法です。
検証は、会社のデータベースでユーザーの資格情報をチェックすることによって行われます。
残りのオプションはすべて、承認プロセスに属するため無効です。
229
# B230
IT エンジニアが組織用に「IPS-rg」というリソース グループを作成します。
リソース グループに「IPS-VM」という仮想マシンが作成されます。
高度なセキュリティ保護を提供するために、偶発的なインシデントを回避するための最適なリソース展開は次のどれですか。
## Footnote
A. セキュリティ
B. アクセス制御
C. ロック
D. 構成
C. ロック
## Footnote
説明:
Azure ロックは、リソース グループを望ましくないインシデントから保護するリソースです。
Azure には 2 種類のロックがあります。
読み取り専用ロックは、承認されたユーザーにリソースの読み取りのみを許可します。リソースに変更を加えることはできません。
2 つ目のロックは削除で、ユーザーがリソースを削除できないようにします。
オプション A は、リソースを保護するためのセキュリティ機能を定義するため無効です。
オプション B は、承認されたユーザーにアクセス権を提供するため無効です。
オプション D は、選択したリソースの構成を表示するため無効です。
[PASS]Microsoft SC-900
flashcards
Decks in class (4)
# Cards
