Q1.Azure Automation アカウント内の Runbook のセキュリティを設計しています。
この Runbook は、Azure Data Lake Storage Gen2 にデータをコピーします。
コピー処理のコンポーネントを保護するためのソリューションを推奨する必要があります。
各コンポーネントの推奨事項には何を含める必要がありますか。
回答するには、回答エリアで適切なオプションを選択してください。
回答
- 下記画像参照
-
Runbook が Azure Data Lake Storage Gen2 にデータをコピーする場合、ストレージへの接続に使うアクセス キーやシークレットをコード内に埋め込むのではなく、Azure Key Vault に保存して保護するのが適切です。
データ セキュリティでは、アクセス キーを Azure Key Vault に保存して機密情報の漏えいリスクを下げます。
一方、ネットワーク アクセス制御では、Automation アカウントや関連リソースへの通信をパブリック インターネットに公開しない構成が重要です。
Azure Automation は Azure Private Link により VNet からプライベートに接続でき、サービス タグはネットワーク セキュリティ規則の管理を簡素化します。
ネットワーク アクセス制御では、Azure Private Link とネットワーク サービス タグを使用します。
Automation 共同作成者ロールは管理権限の付与であり、データやネットワークの保護策ではありません。
Azure Web Application Firewall は主に Web アプリケーション保護用で、このコピー処理のネットワーク制御には適しません。
Azure Automationにおけるセキュリティのベストプラクティス
Azure Private Link を使用して、ネットワークを Azure Automation に安全に接続します。
Azure Automationのネットワーク構成の詳細
Q2.顧客は、次の展示に示すように、外部ユーザーが利用するモバイルアプリを開発するために Azure を使用しています。
アプリの ID 戦略を設計する必要があります。
ソリューションは、次の要件を満たす必要があります。
Google、Facebook、Microsoft アカウントなどの外部 ID を使用できるようにする。
顧客の ID ストアとは別に管理される。
各アプリに対して完全にカスタマイズ可能なブランド化をサポートする。
設計を完了するために、どのサービスを推奨する必要がありますか。
A. Azure Active Directory(Azure AD)B2C
B. Azure Active Directory(Azure AD)B2B
C. Azure AD Connect
D. Azure Active Directory Domain Services(Azure AD DS)
回答
- A. Azure Active Directory(Azure AD)B2C
-
正答は A です。Azure AD B2C は現在の Microsoft Entra 製品体系では Microsoft Entra External ID の顧客向け ID 機能に位置付けられます。
Google、Facebook、Microsoft アカウントなどのソーシャル ID プロバイダーを使用して外部利用者を認証でき、顧客の従業員用テナントとは分離して管理できます。
さらに、サインアップ、サインイン、パスワードリセットなどの画面をアプリのブランドに合わせてカスタマイズできます。
B2B は取引先やゲストとの社内リソース共有向けであり、消費者向けモバイルアプリの独立した ID 基盤としては B2C が適切です。
Microsoft Entra外部IDの概要
Azure Active Directory B2C で HTML テンプレートを使用してユーザー インターフェイスをカスタマイズします
Q3.Microsoft 365 サブスクリプションと Azure サブスクリプションがあります。
Microsoft 365 Defender と Microsoft Defender for Cloud が有効になっています。
Azure サブスクリプションには 50 台の仮想マシンが含まれています。
各仮想マシンでは、Windows Server 2019 上で異なるアプリケーションが実行されています。
仮想マシン上で、承認されたアプリケーションのみを実行できるようにするソリューションを推奨する必要があります。
承認されていないアプリケーションが実行またはインストールされようとした場合、そのアプリケーションは管理者が承認するまで自動的にブロックされる必要があります。
どのセキュリティ制御を推奨する必要がありますか。
A. Azure Active Directory(Azure AD)の条件付きアクセス アプリ制御ポリシー
B. Microsoft Defender for Cloud Apps の OAuth アプリ ポリシー
C. Microsoft Endpoint Manager のアプリ保護ポリシー
D. Microsoft Defender for Endpoint のアプリケーション制御ポリシー
回答
- D. Microsoft Defender for Endpoint のアプリケーション制御ポリシー
-
正答は D です。
Microsoft Defender for Endpoint のアプリケーション制御は、Windows Defender Application Control、現在の名称では App Control for Business を利用し、信頼されたアプリケーションだけを実行可能にする制御を実装できます。
未承認アプリは許可規則に一致しないため、管理者が承認するまで実行をブロックできます。
A はクラウドアプリ利用時のセッション制御、B は OAuth アプリの監視、C は主にモバイルアプリのデータ保護であり、Windows Server 仮想マシン上の実行可能アプリを許可リスト方式で制御する要件には適しません。
なお、Azure Active Directory は Microsoft Entra ID、Microsoft Endpoint Manager は Microsoft Intune に名称変更されています。
アプリケーションコントロール for Windows
Azure Active Directory の新しい名称
Microsoft Intune とは
Q4.オンプレミスのデータセンターがあります。データセンターには Server1 という名前のサーバーが含まれており、Server1 は Windows Server 2022 を実行しています。
また、Server1 がインターネットに接続できないようにするファイアウォールがあります。
Sub1 という名前の Azure サブスクリプションがあります。
Server1 の回復性戦略を推奨する必要があります。
この戦略には、Server1 から Sub1 にデータを転送するバックアップ計画を含める必要があります。
推奨事項には何を含める必要がありますか。
回答するには、回答領域で適切なオプションを選択してください。
回答
- 下記画像参照
-
正答は、MARS エージェントと Recovery Services コンテナーです。
Microsoft Azure Recovery Services(MARS)エージェントは、オンプレミスの Windows Server に直接インストールして、ファイル、フォルダー、システム状態などを Azure Backup にバックアップできます。
バックアップデータの保存先は Recovery Services コンテナー であり、MARS エージェントはコンテナー資格情報を使用して対象サーバーを登録します。
Azure 仮想マシン拡張機能は Azure VM 向け、Azure Storage ブロック BLOB は通常のバックアップ管理先ではありません。オンプレミス Windows Server から Azure へ直接バックアップする構成として、この組み合わせが適切です。
チュートリアル: Windows Server を Azure にバックアップする
Azure Backup 用の Microsoft Azure Recovery Services (MARS) エージェントについて
Q5.会社には、Microsoft 365 E5 サブスクリプション、Azure サブスクリプション、オンプレミス アプリケーション、および Active Directory Domain Services(AD DS)があります。
次の要件を満たす ID セキュリティ戦略を推奨する必要があります。
顧客が Facebook の資格情報を使用して Azure App Service Web サイトに認証できるようにする。
パートナー企業が、割り当てられたプロジェクトの Microsoft SharePoint Online サイトにアクセスできるようにする。
ソリューションでは、追加のインフラストラクチャ コンポーネントを展開する必要性を最小限に抑える必要があります。
推奨事項には何を含める必要がありますか。
回答するには、回答領域で適切なオプションを選択してください。
回答
- 下記画像参照
-
正答は、顧客用に Azure AD B2C 認証、パートナー用にアクセス パッケージ割り当てを使用した Azure AD B2B 認証です。Azure AD B2C は、現在では Microsoft Entra External ID の顧客 ID 管理領域に関連する機能として扱われ、Facebook などのソーシャル ID プロバイダーを使った顧客向けアプリのサインインに適しています。
一方、パートナー企業には B2B コラボレーションを使用し、エンタイトルメント管理のアクセス パッケージで SharePoint Online などのリソースへのアクセスを割り当てます。
なお、Azure Active Directory は Microsoft Entra ID に名称変更されています。
Microsoft Entra 外部 ID の概要
Azure Active Directory B2C テナントに ID プロバイダーを追加する
Microsoft EntraのB2Bコラボレーションとは何ですか?
Q6.Azure サブスクリプションがあります。
サブスクリプションには、Windows Server を実行する 50 台の仮想マシンと、Linux を実行する 50 台の仮想マシンが含まれています。
仮想マシンに対して脆弱性評価を実行する必要があります。
ソリューションは、次の要件を満たす必要があります。
不足している更新プログラムと安全でない構成を特定する。
Qualys エンジンを使用する。
何を使用する必要がありますか。
A. Microsoft Defender for Servers
B. Microsoft Defender Threat Intelligence(Defender TI)
C. Microsoft Defender for Endpoint
D. Microsoft Defender External Attack Surface Management(Defender EASM)
回答
- A. Microsoft Defender for Servers
-
正答は A です。
Microsoft Defender for Servers は Microsoft Defender for Cloud のサーバー保護プランであり、Azure VM やマルチクラウド、Azure Arc 対応サーバーに対して脆弱性評価を提供します。
試験問題の前提では、Defender for Servers の組み込み脆弱性評価で Qualys エンジンを使用できる点が重要です。Defender TI は脅威インテリジェンス、Defender for Endpoint はエンドポイント検出と対応、Defender EASM は外部公開資産の攻撃面管理が主目的です。
なお、現在の Microsoft Learn では、統合脆弱性スキャンは Microsoft Defender Vulnerability Management を使用する方向へ移行しているため、最新環境ではこの変更点も確認が必要です。
サーバー用ディフェンダー
マシンの脆弱性スキャンを設定する
Microsoft Defender Vulnerability Management を使用したマシン脆弱性スキャンに関するよくある質問
Q7.注: この問題は、同じシナリオを提示する一連の問題の一部です。
このシリーズの各問題には、提示された目標を満たす可能性がある一意のソリューションが含まれています。
複数の正しいソリューションがある問題セットもあれば、正しいソリューションがない問題セットもあります。
このセクションで問題に回答した後は、その問題に戻ることはできません。
そのため、これらの問題はレビュー画面には表示されません。
Microsoft Defender for Cloud が有効になっている Azure サブスクリプションがあります。
Azure Security Benchmark V3 レポートを評価しています。
Secure management ports コントロールで、最大 8 ポイント中 0 ポイントであることがわかりました。
Secure management ports コントロールのスコアを上げるための構成を推奨する必要があります。
ソリューション: すべての仮想マシンで VMAccess 拡張機能を有効にすることを推奨します。
これは目標を満たしていますか。
A. はい
B. いいえ
回答
- B. いいえ
-
正答は B です。
Secure management ports のスコアを上げるには、RDP や SSH などの管理ポートをインターネットへ常時公開しない構成が必要です。
代表的には Just-in-Time VM アクセスや Adaptive Network Hardening によって管理ポートへのアクセスを制限します。VMAccess 拡張機能は、主に仮想マシンへのアクセス回復、ユーザー管理、パスワードや SSH 構成のリセットに使う拡張機能であり、管理ポートの露出を継続的に制御する機能ではありません。
したがって、Secure management ports コントロールの改善策として VMAccess 拡張機能を有効化するだけでは不十分です。
NS-7:ネットワークセキュリティ設定の簡素化
ジャストインタイム方式の機械アクセス
Linux 用 VMAccess 拡張機能
Q8.Active Directory Domain Services(AD DS)ドメインと同期している Azure AD テナントがあります。
継続的インテグレーションおよび継続的デプロイ(CI/CD)パイプラインを使用して、Azure サブスクリプションにアプリケーションをデプロイする Azure DevOps ソリューションを設計しています。
サービス接続のデプロイ資格情報に使用する ID の種類を推奨する必要があります。
ソリューションは、Microsoft Cloud Adoption Framework for Azure の DevSecOps ベスト プラクティスに従う必要があります。
何を推奨する必要がありますか。
A. Azure Key Vault にパスワードが保存されている Azure AD ユーザー アカウント
B. グループ管理サービス アカウント(gMSA)
C. Azure AD Privileged Identity Management(PIM)でロール割り当てがある Azure AD ユーザー アカウント
D. Azure のマネージド ID
回答
- D. Azure のマネージド ID
-
正答は D です。
Azure DevOps のサービス接続で Azure サブスクリプションへデプロイする資格情報には、長期的なパスワードやユーザー資格情報を避ける設計が推奨されます。
Azure のマネージド ID は、資格情報の管理やローテーションを Azure が自動的に処理できるため、シークレットを保存せずに認証できます。
Azure Key Vault にパスワードを保存するユーザー アカウントや PIM 付きユーザーは、人間の資格情報に依存します。
gMSA は主にオンプレミスの Windows サービス向けです。DevSecOps では、最小権限を付与した非対話型 ID を使用することが重要です。
なお、Azure AD は現在 Microsoft Entra ID に名称変更されています。
ゼロトラストに対応した安全なDevOps環境
AzureリソースのマネージドIDとは何ですか?
Azure Resource Managerサービス接続を使用してAzureに接続します。
Q9.Microsoft Defender for Cloud が有効になっている Azure サブスクリプションがあります。
Azure Security Benchmark V3 レポートを評価しています。
Secure management ports コントロールで、最大 8 ポイント中 0 ポイントであることがわかりました。
Secure management ports コントロールのスコアを上げるための構成を推奨する必要があります。
ソリューション: すべての仮想マシンを Microsoft Defender for Endpoint にオンボードすることを推奨します。
これは目標を満たしていますか。
A. はい
B. いいえ
回答
- B. いいえ
-
正答は B です。Secure management ports コントロールは、RDP や SSH などの管理ポートがインターネットに公開されていないか、適切に制限されているかを評価するものです。
スコアを上げるには、Just-in-Time VM アクセスや Adaptive Network Hardening などで管理ポートへのアクセスを制限する構成が必要です。
Microsoft Defender for Endpoint へのオンボードは、エンドポイントの検出、応答、脆弱性管理を強化しますが、管理ポートの公開状態を直接制御するものではありません。
したがって、Defender for Endpoint にオンボードするだけでは Secure management ports の改善要件を満たしません。
Defender for Cloudで安全なスコアを獲得しましょう
ジャストインタイム方式の機械アクセス
NS-7:ネットワークセキュリティ設定の簡素化
Q10.会社はデータを Azure に移行しています。データには個人を特定できる情報(PII)が含まれています。
会社は、Azure の PII データ ストアに対して Microsoft Information Protection を使用する予定です。
Azure リソース内でリスクのある PII データを検出するためのソリューションを推奨する必要があります。
推奨事項には何を含める必要がありますか。
回答するには、回答領域で適切なオプションを選択してください。
回答
- 下記画像参照
-
正答は、Azure Purview と Microsoft Defender for Cloud です。
Azure Purview は現在 Microsoft Purview として提供され、Azure SQL Database、Azure Storage などのデータ ソースをスキャンして、PII などの機密情報を検出・分類できます。Microsoft Information Protection も現在は Microsoft Purview Information Protection の体系に含まれます。
一方、検出された機密データを含む Azure リソースに対するリスクやセキュリティ アラートの優先順位付け、調査、トリアージには Microsoft Defender for Cloud のセキュリティ アラートと推奨事項を使用します。
Microsoft Purviewで機密データを保護しましょう
セキュリティ警告およびインシデント
