Q1.ハイブリッド Microsoft Entra ID テナントがあり、Windows Autopilot 展開プロファイルを構成します。
ドロップダウン メニューを使用して、情報に基づき各ステートメントを完成させる適切な選択肢を選択してください。
回答
- (下記画像参照)
-
この構成は、現在の名称では Microsoft Entra ID を使うハイブリッド参加の Windows Autopilot ユーザー駆動型展開です。
新しい PC に適用する前は、対象デバイスをサービスで識別できるよう Windows Autopilot へ CSV をインポート して登録しておく必要があります。
適用後は オンプレミス Active Directory に参加 し、同時に Microsoft Entra ID に登録 されます。
したがって 2 つの空欄はこの組み合わせになります。
試験では、参加と登録の違いと、Azure AD の現在名が Microsoft Entra ID である点を区別することが重要です。
Intuneでの Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加の概要 | Microsoft Learn
Q2.Microsoft 365 テナントがあります。
Microsoft Intune に登録されたデバイスがあります。
「Policy1」という名前の条件付きアクセス ポリシーを「Group1」という名前のグループに割り当てています。
Policy1 は、非準拠としてマークされたデバイスからの Microsoft OneDrive for Business へのアクセスを制限します。
OneDrive for Business にアクセスしようとしている非準拠デバイスを特定する必要があります。
何をすべきでしょうか。
A. Microsoft Intune 管理センターから、デバイス コンプライアンス レポートを確認する
B. Microsoft Entra 管理センターから、条件付きアクセスの分析情報とレポート ブックを確認する
C. Microsoft Intune 管理センターから、設定コンプライアンス レポートを確認する
D. Microsoft Intune 管理センターから、非準拠デバイス レポートを確認する
回答
- B. Microsoft Entra 管理センターから、条件付きアクセスの分析情報とレポート ブックを確認する
-
Policy1 は条件付きアクセスで OneDrive for Business へのアクセスを制御しているため、該当する非準拠デバイスを特定するには 条件付きアクセスの分析情報とレポート ブック を確認するのが適切です。
このブックでは、サインインに適用されたポリシーの影響 をユーザー、アプリ、デバイスの状態などで分析できます。
単なるコンプライアンス一覧では、OneDrive へのアクセス試行とポリシー評価を結び付けられません。
なお、Azure Active Directory は現在 Microsoft Entra ID です。
条件付きアクセスに関する分析情報とレポートのブック – Microsoft Entra ID | Microsoft Learn
Q3.次の図表の情報に基づいて、User1 が Device1 と Device2 にサインインしたときの VPN 接続数をそれぞれ選択してください。
回答
- (下記画像参照)
-
図の表では既存の VPN 接続が Device1 は 1 件、Device2 は 2 件です。
さらに条件に一致する割り当てにより、各端末へ 追加の VPN プロファイル が 2 件ずつ適用されます。
そのため合計は Device1 が 3、Device2 が 4 になります。
試験では 既存接続数 と、ユーザーまたはデバイスに対する 新規割り当て数 を合算して判断できるかが重要です。
Microsoft Intune でデバイスに VPN 設定を追加する – Microsoft Intune | Microsoft Learn
Q4.Microsoft 365 サブスクリプションがあります。
次の図に示すように、Retention1 という名前の保持ラベルを作成します。
すべての OneDrive コンテンツに Retention1 を適用します。
2020 年 1 月 1 日に、ユーザーは File1 という名前のファイルを OneDrive に保存します。
2020 年 1 月 10 日に、ユーザーは File1 を変更します。
2020 年 2 月 1 日に、ユーザーは File1 を削除します。
File1 が OneDrive から完全に削除され、回復不能になるのはいつですか。
A. 2020年2月1日
B. 2020年7月1日
C. 2020年7月10日
D. 2020年8月1日
回答
- B. 2020年7月1日
-
Retention1 は 6 か月間の保持後に削除で、開始基準は 作成日 です。
したがって File1 の保持期限は 2020 年 1 月 1 日から 6 か月後の 2020 年 7 月 1 日になります。
1 月 10 日の変更は基準日を変えず、2 月 1 日にユーザーが削除しても 保持してから削除 のため保持され、期限到来後に完全削除されます。
試験では 保持期間は開始日基準 で計算する点を押さえることが重要です。
コンテンツを自動的に保持または削除するようにMicrosoft 365 の保持設定を構成する | Microsoft Learn
Q5.Windows Autopilot 展開プロファイルを作成します。
次の要件を満たすようにプロファイル設定を構成する必要があります。
新しいデバイスを自動的に登録し、システム アプリをプロビジョニングします。
エンドユーザー認証を必要とします。
コンピューター名にハードウェアのシリアル番号を含めます。
どの 2 つの設定を構成する必要がありますか。
A. 展開モード: ユーザー主導
B. デバイス名テンプレートを適用する: はい
回答
- A. 展開モード: ユーザー主導 / B. デバイス名テンプレートを適用する: はい
-
ユーザー主導 は登録時にユーザー資格情報が必要なため、要件のエンドユーザー認証に一致します。
一方で自己展開は資格情報を要求しません。
また、デバイス名テンプレートを適用する を有効にすると、%SERIAL% マクロでハードウェアのシリアル番号を名前へ含められます。
なお、Azure AD は現在 Microsoft Entra ID ですが、この要件を満たす設定の判断軸は展開モードと命名テンプレートです。
Windows Autopilot プロファイルを構成する | Microsoft Learn
Q6.次の表に示すデバイスがあります。
Microsoft Defender for Endpoint を実装する予定です。
Microsoft Defender for Endpoint にオンボードできるデバイスを特定する必要があります。
何を特定する必要がありますか。
A. Device3 のみ
B. Device1、Device2、Device3 のみ
C. Device1、Device2、Device3、および Device4
D. Device2 と Device3 のみ
E. Device2、Device3、Device4 のみ
回答
- B. Device1、Device2、Device3 のみ
-
表では Device1 が Windows 8.1 Enterprise、Device2 が Windows 10 Pro、Device3 が Windows 10 Enterprise、Device4 が Mac OS X です。
Microsoft Learn の最小要件では、Windows 8.1 と Windows 10 はオンボード対象ですが、現行の対応一覧は macOS であり古い Mac OS X は対象外として判断します。
したがってオンボードできるのは Device1、Device2、Device3 です。
試験では対応 OS 一覧を基準に切り分けることが重要です。
Microsoft Defender for Endpoint の最小要件 – Microsoft Defender for Endpoint | Microsoft Learn
Q7.次の表に示すデバイスを含む Microsoft 365 テナントがあります。
デバイスは Microsoft Intune を使用して管理されています。
「Policy1」というコンプライアンス ポリシーを作成し、「Group1」に割り当てています。
Policy1 は、デバイスのセキュリティ設定がポリシーで指定された設定と一致する場合にのみデバイスを「準拠」としてマークするように構成されています。
Group1 のメンバーではないデバイスが準拠として表示されています。
コンプライアンス ポリシーが割り当てられたデバイスのみが「準拠」と表示されるようにし、それ以外のデバイスは「非準拠」と表示される必要があります。
Microsoft Intune 管理センターから何をすればよいですか。
A. デバイス コンプライアンスから、コンプライアンス ポリシー設定を構成します。
B. エンドポイント セキュリティから、条件付きアクセス設定を構成します。
C. テナント管理から、診断設定を変更します。
D. Policy1 から、非準拠に対するアクションを変更します。
回答
- A. デバイス コンプライアンスから、コンプライアンス ポリシー設定を構成します。
-
未割り当てデバイスが準拠と表示されるのは既定設定の影響です。
Intune では コンプライアンス ポリシー未割り当て時の既定状態 を構成でき、この設定を変更することで対象外デバイスを非準拠として扱えます。
したがって デバイス コンプライアンス設定 から既定のコンプライアンス状態を変更する必要があります。
条件付きアクセスや非準拠アクションでは状態の判定自体は変わりません。
試験では 割り当て有無による既定動作 を理解しているかが重要です。
Microsoft Intune のデバイス コンプライアンス ポリシー – Microsoft Intune | Microsoft Learn
Q8.Microsoft Intune Suite を使用する Microsoft 365 サブスクリプションがあります。
デバイス管理には Microsoft Intune を使用しています。
デバイスの起動時間と再起動頻度を確認する必要があります。
何を使うべきでしょうか。
A. Azure Monitor
B. Intune データ ウェアハウス
C. エンドポイント向け Microsoft Defender
D. エンドポイント分析
回答
- D. エンドポイント分析
-
エンドポイント分析 は、Microsoft Intune で管理されるデバイスのユーザー エクスペリエンスや健全性を可視化する機能で、起動時間 や 再起動頻度 などの指標を確認できます。
Azure Monitor は汎用監視、Intune データ ウェアハウスは分析用データ取得、Defender for Endpoint は主に脅威対策向けです。
したがって本件で使用すべきなのはエンドポイント分析です。
エンドポイント分析の概要 – Microsoft Intune | Microsoft Learn
Q9.ホットスポットに関する質問です。
次の表に示すコンピューターを含む Microsoft 365 サブスクリプションがあります。
Windows Autopilot を使用する予定です。
コンピューターが Windows Autopilot への自動登録をサポートしていることを確認する必要があります。
各コンピューターに対して何をすべきでしょうか。
回答
- (下記画像参照)
-
Computer1 は自動登録を成立させるために Microsoft Entra ID に参加 させる必要があります。
Computer2 は要件を満たす OS へそろえる必要があり、選択肢では Windows 10 Enterprise へのアップグレード が該当します。
Windows Autopilot では 対応する Windows エディションと参加構成 が前提になるため、不要な Intune 削除や Azure AD 登録削除では要件を満たせません。
なお Azure AD の現在名は Microsoft Entra ID です。
ハイブリッド参加済みデバイスMicrosoft Entra登録 – Windows Autopilot | Microsoft Learn
Q10.1,000 台の iOS デバイスと Microsoft Intune を含む Microsoft 365 サブスクリプションを利用しています。
デバイス上の管理対象アプリから企業データが印刷されるのを防ぐ必要がありますが、どの設定が必要ですか。
A. アプリ構成ポリシー
B. セキュリティ ベースライン
C. アプリ保護ポリシー
D. iOS アプリのプロビジョニング プロファイル
回答
- C. アプリ保護ポリシー
-
アプリ保護ポリシー は、管理対象アプリ内の企業データに対する保存、転送、共有の制御を行うための設定です。
iOS/iPadOS では印刷に関するデータ保護もここで制御でき、組織データの出力をブロック することで管理対象アプリからの印刷を防げます。
アプリ構成ポリシーはアプリ動作の初期設定向けで、セキュリティ ベースラインやプロビジョニング プロファイルはこの用途ではありません。
試験では データ漏えい防止は APP と結び付けて判断することが重要です。
iOS/iPadOS アプリ保護ポリシー設定 – Microsoft Intune | Microsoft Learn
