Microsoft SC-900(Microsoft Security, Compliance, and Identity Fundamentals) 1-10

データ損失防止（DLP）ポリシーは、メール、SharePoint、OneDrive、Teams など Microsoft 365 全体のデータ を対象に、機密情報の検出・制御を行う機能です。
この DLP ポリシーを作成・管理するための正式な管理ポータルは Microsoft Purview コンプライアンス ポータルです。
ここから DLP ポリシー、感度ラベル、情報保護 などを一元管理します。

Microsoft 365 管理センター：ユーザーやライセンス管理が中心
Microsoft Intune 管理 センター：エンドポイントデバイス管理（構成・ポリシー配布)

Microsoft 365 Defender ポータル：脅威検出・対応（XDR）が中心
Microsoft Purview データ損失防止
Microsoft 365 管理センターの概要
Microsoft Intune 管理 センターのチュートリアル
Microsoft Defender ポータルにアクセスする

Microsoft Defender for Cloud は、Azure およびハイブリッド環境（オンプレミス、他クラウド）に対して クラウド ワークロード保護（CWPP） を提供するセキュリティ サービスです。
仮想マシン、コンテナー、SQL、ストレージなどのリソースに対し、脆弱性評価、脅威検出、セキュリティ推奨事項を提供します。

Azure Monitor は監視・ログ収集が目的であり、保護機能は持ちません。
Microsoft クラウド セキュリティ ベンチマークはセキュリティの 指針（基準） であり、実際の保護機能ではありません。
Microsoft セキュア スコアはセキュリティ状態を 数値化して可視化 する指標です。
Microsoft Defender for Cloud とは
CWPP とは
Azure Monitor の概要
Microsoft クラウド セキュリティ ベンチマークの概要
Microsoft セキュア スコア

Microsoft Secure Score は、Microsoft 365 Defender ポータルから確認でき、Defender for Cloud Apps を含む Microsoft セキュリティ製品の推奨事項を集約して表示します。
そのため、Defender for Cloud Apps に関連する改善アクションもスコア対象となります。

また Secure Score では、自組織のスコアを 業界平均や他組織（匿名・集計データ）と比較表示 することが可能です。

一方、Secure Score のポイントは Microsoft が検出・評価できる改善アクション に対してのみ付与されます。サードパーティ製ツールによる対策は Secure Score が検証できないため、ポイントは加算されません。
Microsoft セキュア スコア

Microsoft Purview eDiscovery (Standard) は、Microsoft 365 データに対する検索、保持、エクスポートを行う基本的な電子情報開示機能です。検索結果はレビューや証拠提出のためにエクスポートできます。

一方、インサイダー リスク管理との統合 は eDiscovery (Premium) の機能であり、Standard では対応していません。そのため該当文は誤りです。

また eDiscovery (Standard) は、Exchange Online の メールボックスだけでなくパブリック フォルダーも検索対象 に含めることが可能です。
電子情報開示 (標準) の使用を開始する
Microsoft Purview eDiscoveryの概要 (Premium)

責任分担モデルでは、クラウド環境におけるセキュリティと管理の責任を Microsoft（クラウド事業者）と顧客 で分担します。
Microsoft が単独で責任を持つのは、データセンターの物理的な施設、サーバー、ネットワーク機器などの物理ハードウェアの管理 です。

一方、ユーザーアカウントの管理やユーザーデータへのアクセス許可、モバイルデバイスの管理は、クラウドを利用する 顧客側の責任 に含まれます。
これらは ID 管理やアクセス制御、デバイス管理の設定次第でセキュリティが左右されるため、Microsoft が自動的に管理することはありません。
クラウドにおける共同責任
セキュリティ ガバナンスを自動化する

SharePoint サイト内の すべてのファイルのコピーを一定期間（1年間）保持 したい場合、適用すべきなのは Microsoft Purview の保持ポリシー です。保持ポリシーは、SharePoint サイト単位で適用でき、指定期間中はファイルが削除・変更されても 保持コピー（保留コピー） を確実に保存します。

秘密度（感度）ラベルは分類や暗号化が目的で、保持期間の強制には適しません。
インサイダー リスク ポリシーは内部不正の検知、DLP ポリシーはデータの持ち出し防止が目的です。
アイテム保持ポリシーと保持ラベルの詳細
SharePoint と OneDrive の保持の詳細

Azure の セキュア スコア（Secure Score） は、Azure 環境のセキュリティ状態を可視化し、改善点を数値で示す指標です。このスコアを表示・管理するサービスが Microsoft Defender for Cloud（旧 Azure Security Center） です。

Defender for Cloud では、サブスクリプションやリソース全体を対象に、セキュリティの推奨事項とともに Secure Score が表示されます。
他の選択肢である Azure Monitor や Application Insights は監視・可観測性が目的であり、Secure Score は提供しません。Advisor は最適化の提案、Policy はルール適用、Subscriptions は管理単位です。
Microsoft Defender for Cloud とは
Defender for Cloud のセキュリティ スコア

条件付きアクセスは Microsoft Entra ID によって提供される ID ベースのアクセス制御機能で、ポリシーを用いて実装されます。ユーザーやサインイン条件（場所、リスク、デバイス状態など）に基づき、アクセスを許可・ブロック・追加認証要求できます。
条件として デバイスのプラットフォーム（iOS、Android、Windows など） を指定できるため、特定 OS からの接続制御は可能です。
一方、条件付きアクセスの割り当て対象は ユーザー／グループ（セキュリティ グループ） やアプリであり、Microsoft 365 グループを直接指定することはできません。
条件付きアクセスとは
条件付きアクセス: ユーザー、グループ、エージェント、ワークロード ID

Microsoft Sentinel（旧 Azure Sentinel）は SIEM/SOAR サービスですが、XDR 機能 に関しては Microsoft 365 Defender との統合 によって実現されます。
この統合により、エンドポイント、ID、メール、クラウドアプリなど複数領域の脅威シグナルを関連付け、インシデントとして一元的に可視化・対応できます。

Azure Monitor ワークブックのサポートや脅威ハンティングは Sentinel の機能ではありますが、XDR 固有の機能ではありません。
また、コンプライアンス センター（Purview）はデータ保護やガバナンスが目的であり、XDR とは直接関係しません。
Microsoft Defender XDR と Microsoft Sentinel の統合
Microsoft Sentinel セキュリティ情報およびイベント管理 (SIEM) とは
Microsoft Defender XDRとは

Azure Bastion は、インターネットに VM のパブリック IP を公開することなく、Azure ポータルから直接 RDP または SSH 接続 を提供するマネージド サービスです。
そのため、クライアント端末に RDP クライアントや SSH クライアントをインストールする必要はありません。接続はブラウザー経由で Azure ポータル内から行われます。

PowerShell リモーティングも Bastion 接続の前提条件ではありません。
セキュリティを高めつつ管理を簡素化するのが Azure Bastion の目的であり、「どこから接続するか」という観点では Azure ポータル が正解となります。
Azure Bastion とは
Azure Bastion を使用して Windows VM への RDP 接続を作成する