Microsoft SC-300(Microsoft Identity and Access Administrator)1-10

Q1.会社には contoso.com という名前の Microsoft Entra ID(旧称 Azure Active Directory(Azure AD))テナントがあります。
同社は App1 という Web サービスを開発しています。
App1 が Microsoft Graph を使用して contoso.com 内のディレクトリ データを読み取ることができることを確認する必要があります。
どの 3 つのアクションを順番に実行する必要がありますか。
回答するには、アクションのリストから適切なアクションを回答に移動し、正しい順序に並べます。

問題
回答
(下記画像参照)
回答

App1 は Web サービスとしてユーザーなしで Microsoft Graph のディレクトリ データにアクセスするため、アプリ専用アクセスを構成します。
最初にアプリ登録を作成し、次に Microsoft Graph の アプリのアクセス許可を追加します。
アプリ専用アクセス許可は強い権限を持つため、最後にテナント管理者が 管理者の同意を付与します。
Microsoft ID プラットフォームでのアプリ専用アクセスのシナリオ – Microsoft identity platform

Q2.RG1 というリソース グループと、User1、User2、User3、User4 という 4 人のユーザーを含む Azure サブスクリプションがあります。
RG1 に対して、これらのユーザーに以下のロールを割り当てる予定です。
ユーザー1: 読者、ユーザー2: 貢献者、ユーザー3: ストレージ BLOB データ リーダー、ユーザー4: 仮想マシン共同作成者。
属性ベース アクセス制御 (ABAC) の使用を検討しています。
ABAC の使用をサポートするユーザー ロールはどれですか。

A. ユーザー1
B. ユーザー2
C. ユーザー3
D. ユーザー4

回答
C. ユーザー3

Azure の属性ベース アクセス制御は、Azure RBAC のロール割り当てに条件を追加して、属性に基づく細かな制御を行う仕組みです。
ただし条件を追加できる組み込みロールは限定され、Blob Storage ではストレージ BLOB データ閲覧者などのデータ プレーン ロールが対象です。
読者、貢献者、仮想マシン共同作成者は汎用または VM 管理用のロールであり、Blob の ABAC 条件の対象ではありません。
したがってStorage Blob Data Readerを持つUser3が正解です。
Azure ロールの割り当て条件を使用して Azure Blob Storage へのアクセスを承認する – Azure Storage | Microsoft Learn

Q3.Microsoft 365 テナントと、adatum.com という名前の Active Directory ドメインがあります。
Express 設定を使用して Azure AD Connect を展開します。
次の要件を満たすようにセルフサービス パスワード リセット(SSPR)を構成する必要があります。
ユーザーがパスワードをリセットするとき、モバイル アプリ通知に応答するか、事前定義された 3 つのセキュリティの質問に回答するよう求められる必要があります。
パスワードがどこでリセットされたかに関係なく、テナントとドメインの間でパスワードを同期する必要があります。
何を行う必要がありますか。

問題
回答
(下記画像参照)
回答

モバイル アプリ通知やセキュリティの質問など、SSPR でユーザーに許可する確認方法は、パスワード リセットの 認証方法で構成します。
また、クラウド側でリセットされたパスワードをオンプレミスの Active Directory Domain Services に戻すには、Azure AD Connect で パスワード ライトバックを有効にします。
Azure Active Directory は現在 Microsoft Entra ID の旧称です。
Microsoft Entra のセルフサービス パスワード リセットを有効にする – Microsoft Entra ID

Q4.次の表に示すユーザーを含む Microsoft Entra テナントがあります。
次の設定を持つユーザー リスク ポリシーがあります。
割り当て: 含める: Group1、除外: Group2。
サインイン リスク: 中以上。
アクセス制御: アクセスを許可する: パスワードの変更を要求する。
ユーザーがサインインしようとすると、次の表に示すようにユーザーのリスク レベルが検出されます。
以下の各文について、正しい場合は「はい」を選択してください。
そうでない場合は「いいえ」を選択してください。

表1
表2
問題
回答
(下記画像参照)
回答

このユーザー リスク ポリシーは Group1 を含める一方で、Group2 を除外しています。
User1 は Group1 のみのメンバーで、リスク レベルが高のためパスワード変更が必要です。
User2 は Group2 のみで対象外です。
User3 は Group1 に含まれますが Group2 にも所属するため除外が優先され、対象外です。
条件付きアクセスでは 除外が対象指定より優先されます。
危険なユーザーに修復を要求する – Microsoft Entra ID

Q5.Package1 という名前のアクセス パッケージと User1 という名前のユーザーを含む Microsoft Entra ID(旧称 Azure AD)テナントがあります。
Package1 は次の図に示すように構成されています。
User1 が Package1 のレビュー頻度を変更できるようにする必要があります。
このソリューションでは、最小権限の原則を適用する必要があります。
User1 に割り当てるべきロールはどれですか。

説明図1

A. 外部 ID プロバイダー管理者
B. 特権ロール管理者
C. ユーザー管理者
D. セキュリティ管理者

回答
C. ユーザー管理者

Package1 はエンタイトルメント管理のアクセス パッケージであり、レビュー頻度の変更はアクセス パッケージ割り当てのアクセス レビュー設定の管理に該当します。
選択肢の中でこの管理に必要な権限を持つ最小のロールは ユーザー管理者です。
外部 ID プロバイダー管理者はフェデレーション ID プロバイダー用、セキュリティ管理者はセキュリティ機能用、特権ロール管理者は Microsoft Entra ロール管理用で権限が過剰です。
したがって、最小権限の観点から C が正解です。
Microsoft Entra ビルトイン ロール – Microsoft Entra ID

Q6.次の表に示すユーザーを含む Microsoft Entra ID(旧称 Azure Active Directory(Azure AD))テナントがあります。
Microsoft Entra ID Protection を実装する予定です。
ユーザー リスク ポリシーを構成できるのはどのユーザーですか。
また、リスクのあるユーザー レポートを表示できるのはどのユーザーですか。
適切なオプションを選択してください。

表1
問題
回答
(下記画像参照)
回答

Microsoft Entra ID Protection では、セキュリティ管理者が ID Protection にフル アクセスできるため、ユーザー リスク ポリシーを構成できます。
一方、セキュリティ オペレーターはポリシーの構成や変更はできませんが、ID Protection レポートの表示やリスク対応を実行できます。
条件付きアクセス管理者はリスク条件を使う条件付きアクセス ポリシーを作成できますが、従来の ID Protection ポリシーは管理できません。
したがって、構成は User3 のみ、レポート表示は User3 と User4です。
Microsoft Entra ID 保護とは – Microsoft Entra ID Protection

Q7.次の表に示すオブジェクトを含む Microsoft Entra ID(旧称 Azure Active Directory(Azure AD))テナントがあります。
Group3 にメンバーとして追加できるオブジェクトはどれですか。

表1

A. ユーザー2とグループ2のみ
B. ユーザー2、グループ1、グループ2のみ
C. ユーザー1、ユーザー2、グループ1、グループ2
D. ユーザー1とユーザー2のみ
E. ユーザー2のみ

回答
E. ユーザー2のみ

Group3 は メールが有効なセキュリティ グループです。
この種類のグループに追加できるメンバーは、Exchange でメールが有効な受信者である必要があります。
User2 はライセンスが直接割り当てられておりメールボックスを持つ対象です。
一方、User1 はライセンスなし、Group1 は通常のセキュリティ グループ、Group2 は入れ子にできない Microsoft 365 グループです。
したがって、追加できるのは User2 のみです。
Add-DistributionGroupMember (ExchangePowerShell)

Q8.ホットスポットに関する質問。
次の表に示すキー コンテナーを含む Azure サブスクリプションがあります。
サブスクリプションには、次の表に示すユーザーが含まれます。
6 月 1 日に、Admin4 は KeyVault1 から Certificate1 という名前の証明書を削除し、KeyVault2 から Secret1 という名前のシークレットを削除します。
以下の各文について、正しい場合は「はい」を選択してください。
そうでない場合は「いいえ」を選択してください。
注意: 正しい選択ごとに 1 ポイントが加算されます。

表1
表2
問題
回答
(下記画像参照)
回答

KeyVault2 は保持期間 10 日で消去保護が無効なため、6 月 7 日時点の Secret1 は回復可能です。
Admin1 は Key Vault 管理者で、データ プレーン操作を実行できます。
Admin2 の Key Vault 共同作成者は管理プレーン用で、証明書データの消去権限はありません。
KeyVault1 は消去保護が有効で、保持期間 15 日の間は 消去できません
Azure Key Vault復旧の概要

Q9.contoso.com という Microsoft Entra テナントにリンクされた Azure サブスクリプションがあります。
このサブスクリプションには、Group1 というグループと VM1 という仮想マシンが含まれています。
次の要件を満たす必要があります。
VM1 に対してシステム割り当てマネージド ID を有効にします。
VM1 を Group1 に追加します。
PowerShell スクリプトはどのように完成させるべきでしょうか。

問題
回答
(下記画像参照)
回答

VM1 にシステム割り当てマネージド ID を有効にするには、まず Get-AzVMで仮想マシン オブジェクトを取得し、Update-AzVM に渡して IdentityType を SystemAssigned にします。
マネージド ID は Microsoft Entra ID ではサービス プリンシパルとして表されるため、Group1 に追加する対象は VM 名の Get-AzADServicePrincipalで取得します。
Group1 は既に Get-AzADGroup で取得済みのため、最後に取得したサービス プリンシパルの ID をグループ メンバーとして追加します。
Update-AzVMは空欄ではなく固定行として既に使われています。
Azure 仮想マシン (VM) 上でマネージド ID を構成する – Managed identities for Azure resources

Q10.Microsoft 365 E5 サブスクリプションをお持ちです。
User1 という名前のユーザーを作成します。
User1 が ID セキュリティ スコア改善アクションのステータスを更新できることを確認する必要があります。
解決策: Exchange 管理者の役割を User1 に割り当てます。
これは目標を満たしますか。

A. いいえ
B. はい

回答
B. はい

Microsoft Secure Score では、推奨されるアクションの状態やメモを編集できる読み取り/書き込み権限を持つロールとして、セキュリティ管理者以上に加えて Exchange 管理者 が含まれます。
そのため User1 に Exchange 管理者を割り当てると、改善アクションの状態更新が可能になります。
したがって、この解決策は 目標を満たします
Microsoft セキュア スコア – Microsoft Defender XDR