AZ-500 Exam summary Topic 2

질문 1번

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Sub1이라는 Azure 구독이 있습니다.
RG1이라는 리소스 그룹에 sa1이라는 Azure Storage 계정이 있습니다.
사용자와 애플리케이션은 여러 공유 액세스 서명(SAS) 및 저장 액세스 정책을 사용하여 sa1의 blob 서비스 및 파일 서비스에 액세스합니다.
권한이 없는 사용자가 파일 서비스와 blob 서비스에 모두 접근했다는 것을 알게 됩니다.
sa1에 대한 모든 접근을 취소해야 합니다.
해결책:저장된 액세스 정책을 새로 만듭니다.

Solution: You create a new stored access policy.
이것이 목표에 부합합니까?

-B. No

 

를 사용하여 저장된 새(추가) 액세스 정책을 생성해도 기존 정책이나 이 정책에 연결된 SAS에는 아무런 영향을 주지 않습니다.
저장된 액세스 정책을 취소하려면 해당 정책을 삭제하거나 서명된 식별자를 변경하여 이름을 변경할 수 있습니다.서명된 식별자를 변경하면 기존 서명과 저장된 액세스 정책 간의 연결이 끊어집니다.저장된 액세스 정책을 삭제하거나 이름을 바꾸면 해당 정책과 연결된 모든 공유 액세스 서명이 즉시 적용됩니다.
참조:https://docs.microsoft.com/en-us/rest/api/storageservices/Establishing-a-Stored-Access-Policy

 

 

질문#2

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.
가상 네트워크에 Azure HDInsight 클러스터가 있습니다.
사용자가 사내 Active Directory 자격 증명을 사용하여 클러스터에 대한 인증을 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
해결책:온프레미스 데이터 게이트웨이를 온프레미스 네트워크에 배포합니다.
이것이 목표에 부합합니까?

-B. No

 

Azure Virtual Networks와 VPN 게이트웨이를 사용하여 HDInsight를 사내 네트워크에 연결합니다.
참고: HDInsight와 가입된 네트워크의 리소스가 이름으로 통신할 수 있도록 하려면 다음 작업을 수행해야 합니다.
✑ Azure 가상 네트워크를 만듭니다.
✑ Azure Virtual Network(애저 가상 네트워크)에 사용자 지정 DNS 서버를 만듭니다.
✑ 기본 Azure Recursive Resolver 대신 사용자 지정 DNS 서버를 사용하도록 가상 네트워크를 구성합니다.
✑ 사용자 지정 DNS 서버와 사내 DNS 서버 간에 전달을 구성합니다.
참조:https://docs.microsoft.com/en-us/azure/hdinsight/connect-on-premises-network

 

 

질문#3

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.
가상 네트워크에 Azure HDInsight 클러스터가 있습니다.
사용자가 사내 Active Directory 자격 증명을 사용하여 클러스터에 대한 인증을 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
해결책:가상 네트워크와 사내 네트워크 사이에 사이트 간 VPN을 생성합니다.
이것이 목표에 부합합니까?

-A. Yes

 

Azure Virtual Networks와 VPN 게이트웨이를 사용하여 HDInsight를 사내 네트워크에 연결할 수 있습니다.
참고: HDInsight와 가입된 네트워크의 리소스가 이름으로 통신할 수 있도록 하려면 다음 작업을 수행해야 합니다.
✑ Azure 가상 네트워크를 만듭니다.
✑ Azure Virtual Network(애저 가상 네트워크)에 사용자 지정 DNS 서버를 만듭니다.
✑ 기본 Azure Recursive Resolver 대신 사용자 지정 DNS 서버를 사용하도록 가상 네트워크를 구성합니다.
✑ 사용자 지정 DNS 서버와 사내 DNS 서버 간에 전달을 구성합니다.
참조:https://docs.microsoft.com/en-us/azure/hdinsight/connect-on-premises-network

 

 

질문#16

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.
가상 네트워크에 Azure HDInsight 클러스터가 있습니다.
사용자가 사내 Active Directory 자격 증명을 사용하여 클러스터에 대한 인증을 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
해결책:Azure Active Directory 도메인 서비스(Azure AD DS)를 Azure 구독에 배포합니다.
이것이 목표에 부합합니까?

-A. Yes

 

Azure Active Directory Domain Services(Azure AD DS)를 Azure 구독에 배포하면 사용자가 사내 Active Directory 자격 증명을 사용하여 Azure HDInsight 클러스터에 인증할 수 있습니다.Azure AD DS는 HDInsight 클러스터를 Azure AD DS 관리 도메인에 가입시키는 데 사용할 수 있는 관리 도메인 서비스를 제공합니다.이를 통해 사용자는 사내 AD 자격 증명을 사용하여 원활하게 인증할 수 있습니다.따라서 솔루션이 목표에 부합합니다.

 

 

질문#4

네트워크에 contoso.com 이라는 Active Directory 포리스트가 포함되어 있습니다.포리스트에는 단일 도메인이 포함됩니다.
contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트에 연결된 Sub1이라는 Azure 구독이 있습니다.
Azure AD Connect를 배포하고 Active Directory와 Azure AD 테넌트를 통합할 계획입니다.
다음 요구 사항을 충족하는 통합 솔루션을 권장해야 합니다.
✑ 테넌트에 동기화된 사용자 계정에 암호 정책 및 사용자 로그온 제한이 적용되도록 합니다.
✑ 솔루션에 필요한 서버 수를 최소화합니다.
추천서에 어떤 인증 방법을 포함해야 합니까?

C. 원활한 SSO(Single Sign-On)를 통한 패스스루 인증

C. pass-through authentication with seamless single sign-on (SSO)

 

 

질문#5

네트워크에 corp.contoso.com 이라는 이름의 온 premises Active Directory 도메인이 포함되어 있습니다.
contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트에 연결된 Sub1이라는 Azure 구독이 있습니다.
모든 사내 ID를 Azure AD에 동기화합니다.
TEST로 시작하는 지정된 Name 속성을 가진 사용자가 Azure AD로 동기화되지 않도록 해야 합니다.이 솔루션은 관리 작업을 최소화해야 합니다.
무엇을 사용해야 합니까?

A. 동기화 규칙 편집기

A. Synchronization Rules Editor

 

동기화 규칙 편집기를 사용하고 속성 기반 필터링 규칙을 작성합니다.

Use the Synchronization Rules Editor and write attribute-based filtering rule.

 

 

문제#6

끌어서 놓기 -
조건부 액세스 정책을 구현하고 있습니다.
정책을 구성하고 구현하려면 기존 Azure Active Directory(Azure AD) 위험 이벤트와 위험 수준을 평가해야 합니다.
다음과 같은 위험 이벤트의 위험 수준을 파악해야 합니다.
✑ 유출된 자격 증명을 가진 사용자
✑ 비정형 지역으로의 여행이 불가능함
✑ 의심스러운 활동이 있는 IP 주소에서 로그인
각 위험 이벤트에 대해 어느 수준을 파악해야 합니까?대답하려면 적절한 수준을 올바른 위험 이벤트로 끌어다 놓습니다.각 수준은 한 번 사용할 수도 있고, 두 번 사용할 수도 있으며, 전혀 사용하지 않을 수도 있습니다.분할 막대를 창 사이로 끌거나 스크롤하여 컨텐츠를 볼 수 있습니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
선택 및 배치:

 

질문 7번

핫스팟 -
다음 표에 표시된 사용자를 포함하는 contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

다음 설정이 있는 Azure AD Identity Protection 사용자 위험 정책을 생성하고 적용합니다.
✑ 할당:그룹 1 포함, 그룹 2 제외
✑조건 : 중 이상 로그인 위험
✑ 액세스:액세스 허용, 암호 변경 필요
다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

상자 1: 예 -
사용자1은 그룹1의 구성원입니다.익숙하지 않은 위치에서 로그인하는 것이 위험 수준 중간입니다.

상자 2: 예 -
사용자2는 그룹1의 구성원입니다.익명 IP 주소에서 로그인은 위험 수준 중간입니다.

박스 3: 아니요 -
의심스러운 활동이 있는 IP 주소의 로그인이 낮습니다.

 

 

질문#8

끌어서 놓기 -
액세스 검토를 구성해야 합니다.리뷰는 새로운 리뷰 컬렉션에 할당되고 리소스 소유자가 검토합니다.
순서대로 수행해야 할 세 가지 작업은 무엇입니까?답변을 하려면 해당 작업을 작업 목록에서 답변 영역으로 이동한 후 올바른 순서로 정렬합니다.
선택 및 배치:

1단계: 접근 검토 프로그램 작성
2단계: 접근 검토 컨트롤 작성
3단계: 검토자를 그룹 소유자로 설정
[검토자] 섹션에서 범위의 모든 사용자를 검토할 사용자를 한 명 이상 선택합니다.또는 구성원이 자신의 접근 권한을 검토하도록 선택할 수 있습니다.리소스가 그룹인 경우 그룹 소유자에게 검토를 요청할 수 있습니다.

 

9번 문제

핫스팟 -
contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

다음 그림과 같이 Review1이라는 이름의 액세스 리뷰를 구성합니다.

드롭다운 메뉴를 사용하여 그래픽에 표시된 정보를 기반으로 각 문장을 완성하는 답변 선택을 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

- Correct Answer:

상자 1: 사용자 3만 -
구성원(자체) 옵션을 사용하여 사용자가 자신의 역할 할당을 검토하도록 합니다.
상자 2: 사용자 3이 확인 요청을 수신합니다.
검토자가 응답하지 않아야 함 목록을 사용하여 검토 기간 내에 검토자가 검토하지 않은 사용자에 대해 수행할 작업을 지정합니다.이 설정은 검토자가 수동으로 검토한 사용자에게는 영향을 주지 않습니다.최종 검토자의 결정이 거부인 경우, 사용자의 접근 권한이 제거됩니다.
변경사항 없음 - 사용자의 접근 권한을 변경하지 않고 그대로 둡니다.
접근 권한 제거 - 사용자의 접근 권한 제거
권한 승인 - 사용자 권한 승인
권장 사항 수용 - 사용자의 지속적인 액세스를 거부하거나 승인할 경우 시스템 권장 사항 수용

 

 

질문#10

contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트에 연결된 Sub1이라는 Azure 구독이 있습니다.
Admin1이라는 관리자는 다음 ID에 액세스할 수 있습니다.
✑ 오픈ID 지원 사용자 계정
✑ 핫메일 계정
✑ contoso.com 의 계정
✑ fabrikam.com 이라는 Azure AD 테넌트의 계정입니다.
Sub1의 소유권을 관리자에게 이전하기 위해 Azure Account Center를 사용할 계획입니다.
Sub1의 소유권을 어느 계좌로 이전할 수 있습니까?

-C. contoso.com 및 fabrikam.com 만 해당

 

구독의 과금 소유권을 다른 Azure AD 테넌트의 계정으로 이전할 때 새 계정의 테넌트로 구독을 이동할 수 있습니다.이렇게 하면 구독 및 해당 리소스를 관리할 수 있는 역할 기반 액세스(RBAC)를 가진 모든 사용자, 그룹 또는 서비스 주체가 액세스 권한을 잃게 됩니다.새 계정에서 이전 요청을 수락한 사용자만 리소스를 관리할 수 있습니다.

 

 

질문#11

핫스팟 -
귀사는 시애틀과 뉴욕에 두 개의 사무실을 가지고 있습니다.각 사무실은 NAT 장치를 사용하여 인터넷에 연결됩니다.사무실에서는 다음 표에 나와 있는 IP 주소를 사용합니다.

이 회사에는 contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

MFA 서비스 설정은 전시와 같이 구성됩니다.(Exhibit 탭을 클릭합니다.)

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

상자 1: 예 -
상자 2: 아니요 -
Microsoft Authenticator를 사용할 필요는 없습니다.MFA는 문자 또는 전화가 필요합니다.
참고: Microsoft Authenticator는 2단계 검증 프로세스에서 사용되는 시간 기반 코드를 생성하는 모바일 장치용 멀티팩터 앱입니다.
박스 3: 아니요 -
뉴욕 IP 주소 서브넷은 "요청을 위한 다중 요소 인증 건너뛰기"에 포함되어 있습니다.

 

왜냐하면 서류에는 다음과 같이 적혀있기 때문입니다." 신뢰할 수 있는 IP는 MFA 서버를 사용하는 경우에만 개인 IP 범위를 포함할 수 있습니다.클라우드 기반 Azure Multi-Factor Authentication의 경우 공용 IP 주소 범위만 사용할 수 있습니다." 이 경우 공용 IP 주소가 제외된 IP에 이미 추가되어 있습니다.

 

 

질문#12

각 부서별로 별도의 구독을 생성할 계획입니다.각 구독은 동일한 Azure Active Directory(Azure AD) 테넌트에 연결됩니다.
동일한 역할 할당을 사용하도록 각 구독을 구성해야 합니다.
무엇을 사용해야 합니까?

-D. Azure Blueprints

 

설계도를 통해 엔지니어 또는 설계자가 프로젝트의 설계 매개 변수를 스케치할 수 있는 것처럼, Azure Blueprints를 통해 클라우드 설계자 및 중앙 정보 기술 그룹은 조직의 표준, 패턴 및 요구 사항을 구현하고 준수하는 반복 가능한 Azure 리소스 집합을 정의할 수 있습니다.
Blueprint는 다음과 같은 다양한 리소스 템플릿 및 기타 아티팩트의 배포를 조정하는 선언적인 방법입니다.
✑ 역할 할당
✑ 정책 할당
✑ Azure Resource Manager 템플릿

✑ 리소스 그룹

 

 

질문#13

레지스트리1이라는 이름의 Azure Container 레지스트리가 있습니다.
다음 표와 같이 레지스트리 1에 대한 역할 할당을 추가합니다.

레지스트리1에 이미지를 업로드하고 레지스트리1에서 이미지를 다운로드할 수 있는 사용자는?답변하려면 답변 영역에서 적절한 옵션을 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.

-답

상자 1: User1 및 User4만 해당 -
Owner, Contributor 및 AcrPush는 이미지를 푸시할 수 있습니다.
박스2: User1, User2, User4 -
AcrImagineSigner를 제외한 모든 사용자가 이미지를 다운로드/풀 수 있습니다.

 

질문#14

Azure 구독이 있습니다.
S1 앱 서비스 요금제를 사용하는 Contoso1812라는 Azure 웹 앱을 만듭니다.

당신은..
Contoso1812를 가리키는 www.contoso.com 에 대한 CNAME DNS 레코드를 만듭니다.
https://www.contoso.com URL을 사용하여 사용자가 Contoso1812에 액세스할 수 있는지 확인해야 합니다.
어떤 두 가지 행동을 해야 합니까?각각의 정답은 해결책의 일부를 제시합니다. 

-B. Add a hostname to Contoso1812.

-F. Upload a PFX file to Contoso1812.

-B. Contoso1812에 호스트 이름을 추가합니다.

-F.  PFX 파일을 Contoso1812에 업로드 합니다.

 

B: 웹 앱에 대한 사용자 지정 도메인을 호스팅하도록 Azure DNS를 구성할 수 있습니다.예를 들어, Azure 웹 앱을 만들고 사용자가 www.contoso.com 또는 contoso.com 을 FQDN(Fully Qualified Domain Name)으로 사용하여 액세스하도록 할 수 있습니다.
이렇게 하려면 세 개의 레코드를 만들어야 합니다.
contoso.com 을 가리키는 루트 "A" 레코드
검증을 위한 루트 "TXT" 레코드
A 레코드를 가리키는 wwww 이름에 대한 "CNAME" 레코드
F: HTTPS를 사용하려면 PFX 파일을 Azure Web App에 업로드해야 합니다.PFX 파일에는 HTTPS에 필요한 SSL 인증서가 포함됩니다.

 

 

질문 #15

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Sub1이라는 Azure 구독이 있습니다.
RG1이라는 리소스 그룹에 sa1이라는 Azure Storage 계정이 있습니다.
사용자와 애플리케이션은 여러 공유 액세스 서명(SAS) 및 저장 액세스 정책을 사용하여 sa1의 blob 서비스 및 파일 서비스에 액세스합니다.
권한이 없는 사용자가 파일 서비스와 blob 서비스에 모두 접근했다는 것을 알게 됩니다.
sa1에 대한 모든 접근을 취소해야 합니다.
해결책:sa1에 자물쇠를 만듭니다.
이것이 목표에 부합합니까?

-B. No

 

저장된 액세스 정책을 취소하려면 해당 정책을 삭제하거나 서명된 식별자를 변경하여 이름을 변경할 수 있습니다.

서명된 식별자를 변경하면 기존 서명과 저장된 액세스 정책 간의 연결이 끊어집니다.

저장된 액세스 정책을 삭제하거나 이름을 변경하면 해당 정책과 연결된 모든 공유 액세스 서명에 즉시 영향을 미칩니다.

 

 

질문#16

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.
가상 네트워크에 Azure HDInsight 클러스터가 있습니다.
사용자가 사내 Active Directory 자격 증명을 사용하여 클러스터에 대한 인증을 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
해결책:Azure Active Directory 도메인 서비스(Azure AD DS)를 Azure 구독에 배포합니다.
이것이 목표에 부합합니까?

-A. Yes

 

Azure Active Directory Domain Services(Azure AD DS)를 Azure 구독에 배포하면 사용자가 사내 Active Directory 자격 증명을 사용하여 Azure HDInsight 클러스터에 인증할 수 있습니다.Azure AD DS는 HDInsight 클러스터를 Azure AD DS 관리 도메인에 가입시키는 데 사용할 수 있는 관리 도메인 서비스를 제공합니다.이를 통해 사용자는 사내 AD 자격 증명을 사용하여 원활하게 인증할 수 있습니다.따라서 솔루션이 목표에 부합합니다.

 

 

질문 #17

네트워크에 contoso.com 이라는 Active Directory 포리스트가 포함되어 있습니다.contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.
Azure AD Connect에서 Express Settings 설치 옵션을 사용하여 동기화를 구성할 계획입니다.
계획된 구성을 수행하는 데 필요한 역할 및 그룹을 식별해야 합니다.솔루션은 최소 권한 원칙을 사용해야 합니다.
어떤 두 역할과 그룹을 식별해야 합니까?각각의 정답은 해결책의 일부를 제시합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.

C. the Global administrator role in Azure AD

E. the Enterprise Admins group in Active Directory 

C. Azure AD의 글로벌 관리자 역할

E. Active Directory의 Enterprise Admins 그룹

 

 

질문 #18

끌어서 놓기 -
Azure AD Premium P2로 Azure 구독을 생성합니다.
Azure Active Directory(Azure AD) PIM(Privileged Identity Management)을 사용하여 Azure AD 역할을 보호할 수 있는지 확인해야 합니다.
순서대로 수행해야 할 세 가지 작업은 무엇입니까?답변을 하려면 해당 작업을 작업 목록에서 답변 영역으로 이동한 후 올바른 순서로 정렬합니다.
선택 및 배치:

-답

단계: 2 MFA(Multi Factor Authentication)를 이용하여 본인 확인
내 ID 확인을 클릭하여 Azure MF로 사용자의 ID를 확인합니다.
계좌를 고르라는 말이 나옵니다.
3단계: Azure AD 역할에 PIM 등록
디렉토리에 PIM을 활성화한 후 PIM을 등록하여 Azure AD 역할을 관리해야 합니다.

 

 

질문#19

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.
가상 네트워크에 Azure HDInsight 클러스터가 있습니다.
사용자가 사내 Active Directory 자격 증명을 사용하여 클러스터에 대한 인증을 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
해결책:Azure AD Application Proxy를 배포합니다.
이것이 목표에 부합합니까?

-B. No

 

대신 Azure Virtual Networks와 VPN 게이트웨이를 사용하여 HDInsight를 사내 네트워크에 연결합니다.
참고: HDInsight와 가입된 네트워크의 리소스가 이름으로 통신할 수 있도록 하려면 다음 작업을 수행해야 합니다.
✑ Azure 가상 네트워크를 만듭니다.
✑ Azure Virtual Network(애저 가상 네트워크)에 사용자 지정 DNS 서버를 만듭니다.
✑ 기본 Azure Recursive Resolver 대신 사용자 지정 DNS 서버를 사용하도록 가상 네트워크를 구성합니다.
✑ 사용자 지정 DNS 서버와 사내 DNS 서버 간에 전달을 구성합니다.

 

 

질문 #20

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Sub1이라는 Azure 구독이 있습니다.
RG1이라는 리소스 그룹에 sa1이라는 Azure Storage 계정이 있습니다.
사용자와 애플리케이션은 여러 공유 액세스 서명(SAS) 및 저장 액세스 정책을 사용하여 sa1의 blob 서비스 및 파일 서비스에 액세스합니다.
권한이 없는 사용자가 파일 서비스와 blob 서비스에 모두 접근했다는 것을 알게 됩니다.
sa1에 대한 모든 접근을 취소해야 합니다.
해결책:Azure 스토리지 계정 액세스 키를 재생성합니다.
이것이 목표에 부합합니까?

-A. Yes

 

새 스토리지 계정 키를 생성하면 이전 키를 기반으로 했던 모든 SAS가 무효화됩니다.

 

 

질문#21

핫스팟 -
다음 표에 표시된 사용자를 포함하는 contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

Azure AD PIM(Privileged Identity Management)은 contoso.com 에서 사용됩니다.
PIM에서 Password Administrator 역할은 다음과 같은 설정을 가집니다.
✑ 최대 활성화 기간(시간) : 2
✑ 활성화를 관리자에게 알리는 이메일 보내기:사용 안 함
✑ 활성화 중 인시던트/요청 티켓 번호 필요:사용 안 함
✑ 활성화를 위해 Azure 다중 요인 인증 필요:가능하게 하다
✑ 이 역할을 활성화하려면 승인 필요: 사용
✑ 선택된 승인자: 그룹1
다음 표와 같이 사용자에게 암호 관리자 역할을 할당합니다.

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

상자 1: 예 -
활성 할당에는 구성원이 역할을 사용하기 위한 작업을 수행할 필요가 없습니다.활성으로 할당된 구성원은 항상 역할에 할당된 권한을 가집니다.

상자 2: 예 -
User2에 대해 Multi-Factor Authentication이 비활성화되어 있고 Require Azure Multi-Factor Authentication for activation(애저 멀티팩터 인증 필요) 설정이 활성화되어 있는 동안 User2는 역할을 요청할 수 있지만 MFA가 역할을 사용하도록 설정해야 합니다.
참고: 적격한 할당을 수행하려면 역할 구성원이 역할을 사용하기 위한 작업을 수행해야 합니다.작업에는 다중 요인 인증 수행이 포함될 수 있습니다.
(MFA) 확인, 사업적 정당성 제공 또는 지정 승인자의 승인 요청.

박스 3: 아니요 -
User3은 Group1로 Selected Approver Group입니다. 그러나 자체 승인은 허용되지 않으며 요청을 승인하려면 그룹의 다른 사용자가 필요합니다.

 

 

질문#22

SSO(Single Sign-On)를 사용하도록 설정된 Azure Active Directory(Azure AD)의 하이브리드 구성이 있습니다.Azure AD 인증을 지원하도록 구성된 Azure SQL Database 인스턴스가 있습니다.
데이터베이스 개발자는 도메인에 가입된 장치에서 데이터베이스 인스턴스에 연결하고 사내 Active Directory 계정을 사용하여 인증해야 합니다.
Microsoft SQL Server Management Studio를 사용하여 개발자가 인스턴스에 연결할 수 있는지 확인해야 합니다.이 솔루션은 인증 프롬프트를 최소화해야 합니다.
어떤 인증 방법을 추천해 드릴까요?

-D. Active Directory - 통합

-D. Active Directory - Integrated

 

데이터베이스 개발자가 도메인에 연결된 장치에서 Azure SQL Database 인스턴스에 연결하고 최소한의 인증 프롬프트로 사내 Active Directory 계정을 사용하여 인증할 수 있도록 하려면 "Active Directory - Integrated" 인증 방법을 권장해야 합니다. "Active Directory - Integrated" 인증 방법을 사용하면 인증에 대한 추가 프롬프트 없이 현재 사용자의 Active Directory 자격 증명을 사용하여 원활한 인증이 가능합니다.도메인 결합 장치가 Azure AD와 구축한 신뢰 관계를 활용하여 사용자를 인증합니다. 이 인증 방법을 사용하면 개발자는 별도의 자격 증명을 입력할 필요 없이 Microsoft SQL Server Management Studio를 사용하여 Azure SQL Database 인스턴스에 연결할 수 있으므로 보다 효율적이고 사용자 친화적인 환경을 제공할 수 있습니다.

 

 

23번문제

Azure Resource Manager 템플릿을 사용하여 동일하게 구성된 Azure 가상 시스템의 여러 배포를 수행할 계획입니다.각 배포의 관리자 계정 암호는 서로 다른 Azure 키 볼트에 비밀로 저장됩니다.
각 배포 시 적절한 비밀이 들어 있는 키 볼트를 지정하는 리소스 ID를 동적으로 구성하는 방법을 식별해야 합니다.
키 볼트의 이름과 암호의 이름이 인라인 매개 변수로 제공됩니다.
리소스 ID를 구성할 때 무엇을 사용해야 합니까?

-B. a linked template

-B. 연결 템플릿

 

질문에는 여러 배포에 대한 자격 증명을 검색해야 하며 연결된 템플릿만이 이를 위한 유일한 메커니즘이라고 나와 있습니다. 정적 ID의 참조 비밀: 매개 변수만 사용합니다.동적 ID의 참조 비밀: 중첩 배포(링크 템플릿)를 사용합니다.

 

 

질문#24

핫스팟 -
새 Azure Active Directory(Azure AD) 테넌트와 연결된 새 Azure 구독을 생성합니다.
포털 정책이라는 하나의 활성 조건부 액세스 정책을 만듭니다.포털 정책은 Microsoft Azure Management 클라우드 앱에 대한 액세스를 제공하는 데 사용됩니다.
Portal Policy의 Conditions 설정은 Conditions(조건) 표시와 같이 구성됩니다.(조건 탭을 클릭합니다.)

Portal Policy에 대한 Grant 설정은 Grant 디스플레이와 같이 구성됩니다.(Grant 탭을 클릭합니다.)

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

상자 1: 예 -
콘토소 위치는 정책에 포함되어 있으며 MFA가 필요합니다.

상자 2: 아니요 -
이 정책은 Azure 포털 및 Azure 관리 끝점에 적용됩니다.이 정책은 Azure의 웹 서비스 호스트에 적용되지 않습니다.

박스 3: 아니요 -
정책은 콘토소 위치에 있는 사용자에게만 적용됩니다.정책은 콘토소 위치 외부의 사용자에게는 적용되지 않습니다.

 

 

질문#25

핫스팟 -
다음 표에 표시된 사용자를 포함하는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

테넌트에는 다음 표에 표시된 명명된 위치가 포함됩니다.

다음 표와 같이 App1이라는 클라우드 앱에 대한 조건부 액세스 정책을 만듭니다.

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

Y - Y - N

 

User1은 액세스할 수 있습니다. - 제외가 우선입니다.정책1은 그룹2가 제외되어 적용되지 않습니다. 정책2는 허용되고, 정책3은 그룹1이 제외되어 적용되지 않습니다. 정책4는 적용되지 않습니다. User2 액세스 가능 - 시애틀 범위를 차단하는 정책이 없습니다.사용자2는 액세스할 수 없습니다. 그룹2가 제외되어 policy1이 적용되지 않습니다. policy2는 허용되지만 policy3은 그룹2에 대한 액세스를 차단합니다.

 

 

질문#26

핫스팟 -
contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트에 연결된 Sub 1이라는 Azure 구독이 있습니다.테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

각 사용자에게는 Azure AD Premium P2 라이센스가 할당됩니다.
Azure AD Identity Protection을 온보드하고 구성할 계획입니다.
Azure AD Identity Protection을 탑재하고, 사용자에게 업데이트를 적용하고, 정책을 구성할 수 있는 사용자는 무엇입니까?답변하려면 답변 영역에서 적절한 옵션을 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

 

 

27번 문제

핫스팟 -
다음 표에 표시된 사용자를 포함하는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

Azure AD PIM(Privileged Identity Management)에서 다음 전시와 같이 Security Administrator 역할에 대한 설정을 구성합니다.

PIM에서 Security Administrator 역할을 다음 그룹에 할당합니다.
✑ 그룹 1:활성 할당 유형, 영구적으로 할당됨
✑ 그룹 2:적격 할당 유형, 영구 적격

Group1: Active assignment type, permanently assigned
Group2: Eligible assignment type, permanently eligible
다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

상자 1: 아니요 -
사용자1은 그룹1의 구성원입니다.그룹 1:활성 할당 유형, 영구적으로 할당됨

상자 2: 예 -
Active Type: 사용자가 역할을 사용하기 위해 작업을 수행할 필요가 없는 역할 할당입니다.활성으로 할당된 사용자는 역할에 할당된 권한을 갖습니다.

박스 3: 아니요 -
사용자3은 그룹1과 그룹2의 구성원입니다.
그룹 1: 활성 할당 유형, 영구 할당
그룹 2: 적합한 할당 유형, 영구적으로 자격이 있음

 

 

질문 #28

핫스팟 -
귀하의 회사에는 다음 표에 나와 있는 사용자를 포함하는 Subscription1이라는 이름의 Azure 구독이 있습니다.

그 회사는 새 주인에게 팔립니다.
회사는 서브스크립션 1의 소유권을 이전해야 합니다.
소유권을 이전할 수 있는 사용자와 사용자가 사용해야 할 도구는 무엇입니까?답변하려면 답변 영역에서 적절한 옵션을 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
:

-답

청구 관리자 -
전송할 구독에 대한 청구 소유권 이전을 선택합니다.
구독의 새 소유자가 될 계정의 과금 관리자인 사용자의 전자 메일 주소를 입력합니다.

Box 2 : Azure Account Center -
애저 어카운트 센터를 이용하실 수 있습니다.

 

 

질문#31

핫스팟 -
다음 표에 표시된 사용자를 포함하는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

다음 설정이 있는 Azure AD ID Protection 로그인 위험 정책을 생성하고 적용합니다.
✑ 할당:그룹 1 포함, 그룹 2 제외
✑ 조건: 로그인 위험 수준:중 이상
✑ 액세스:액세스 허용, 다중 요소 인증 필요
사용자가 Azure AD에 로그인할 때 어떤 일이 발생하는지 확인해야 합니다.
각 사용자별로 무엇을 식별해야 합니까?답변하려면 답변 영역에서 적절한 옵션을 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

infected device 감염된 기기

-답

 

 

질문#32

핫스팟 -
다음 표에 표시된 사용자를 포함하는 Azure Active Directory(Azure AD) 테넌트가 있습니다.

Azure AD PIM(Privileged Identity Management)에서는 전시와 같이 기여자 역할에 대한 역할 설정이 구성됩니다.(Exhibit 탭을 클릭합니다.)

다음 표와 같이 2019년 5월 1일에 기여자 역할을 사용자에게 할당합니다.

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

 

질문#33

핫스팟 -
아래 표와 같이 사무실이 있는 콘토소(Contoso, Ltd.)라는 회사에서 근무하고 있습니다.

Contoso에는 contoso.com 이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.모든 contoso.com 사용자는 Azure Multi-Factor Authentication(MFA)을 사용할 수 있습니다.테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

contoso.com 에 대한 다중 요소 인증 설정은 다음 그림과 같이 구성됩니다.

다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

-No = Device1에서 사용자1 6월 1일 14일 동안 다시 묻지 않음을 선택했습니다. 

-No = Device2의 User2는 신뢰할 수 있는 IPS 텍스트 상자에 추가된 Boston 오피스 IP 주소 서브넷 180.15.10.0/24에서 로그인합니다.

-Yes = 사용자1은 새 장치에서 새 장치로 로그인하므로 MFA를 트리거하는 새 장치에 로그인합니다.이전 14일 선택은 Device1의 세션과 연결되었습니다.

 

 

질문#34

Azure 구독이 있습니다.
다른 Azure Active Directory(Azure AD) 테넌트를 사용하도록 구독을 구성합니다.
변경으로 인해 발생할 수 있는 두 가지 효과는 무엇입니까?각각의 정답은 완전한 해결책을 제시합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.

-A. 구독 수준의 역할 할당이 손실됩니다.

-B. 가상 시스템에서 관리하는 ID가 손실됩니다.

-A. Role assignments at the subscription level are lost.

-B. Virtual machine managed identities are lost.

 

 

질문 #35

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.시리즈의 각 질문에는 명시된 목표를 달성할 수 있는 고유한 솔루션이 포함되어 있습니다.문제 집합에 따라 두 개 이상의 정답이 있는 경우도 있고, 정답이 없는 경우도 있습니다.
이 섹션의 질문에 답변한 후에는 다시 질문으로 돌아갈 수 없습니다.따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
Sub1이라는 Azure 구독이 있습니다.
RG1이라는 리소스 그룹에 sa1이라는 Azure Storage 계정이 있습니다.
사용자와 애플리케이션은 여러 공유 액세스 서명(SAS) 및 저장 액세스 정책을 사용하여 sa1의 blob 서비스 및 파일 서비스에 액세스합니다.
권한이 없는 사용자가 파일 서비스와 blob 서비스에 모두 접근했다는 것을 알게 됩니다.
sa1에 대한 모든 접근을 취소해야 합니다.
해결책:새 SAS를 생성합니다.
이것이 목표에 부합합니까?

-No

 

대신 저장된 액세스 정책을 새로 만들어야 합니다.
저장된 액세스 정책을 취소하려면 해당 정책을 삭제하거나 서명된 식별자를 변경하여 이름을 변경할 수 있습니다.서명된 식별자를 변경하면 기존 서명과 저장된 액세스 정책 간의 연결이 끊어집니다.저장된 액세스 정책을 삭제하거나 이름을 변경하면 해당 정책과 연결된 모든 공유 액세스 서명에 즉시 영향을 미칩니다.

 

 

질문 #36

가상 시스템이 포함된 Azure 구독이 있습니다.
모든 가상 시스템에 JIT(Just In Time) VM 액세스를 사용하도록 설정합니다.
원격 데스크톱을 사용하여 가상 시스템에 연결해야 합니다.
당신은 무엇을 먼저 해야 합니까?

-C.Azure 포털에서 가상 시스템을 선택하고 연결을 선택한 다음 액세스 요청을 선택합니다.

-C. From the Azure portal, select the virtual machine, select Connect, and then select Request access.

 

 

질문 #37

핫스팟 -
네트워크에는 Azure Active Directory(Azure AD) 테넌트에 동기화되는 온프레미스 Active Directory 도메인이 포함되어 있습니다.테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

테넌트에는 다음 표에 표시된 그룹이 포함됩니다.

MFA(다중 요인 인증) 등록 정책은 다음과 같은 설정으로 구성할 수 있습니다.
✑ 할당:
- 포함: 그룹 1
- 제외: 그룹2
✑ 제어: Azure MFA 등록 필요
✑ 정책 시행: 설정
다음 각 문에 대해 해당 문이 참이면 Yes(예)를 선택합니다.그렇지 않으면 아니요를 선택합니다.
참고: 각 올바른 선택 항목은 1점의 가치가 있습니다.
핫 영역:

-답

Y = 사용자 1은 MFA 등록을 시행하는 그룹 1에만 할당됩니다.

N = 사용자 2는 제외된 그룹 1 및 그룹 2에 모두 속합니다.충돌이 발생했을 때 배제는 승리합니다.

Y = 사용자 3은 사용자 1과 마찬가지로 그룹 1에만 속하며 MFA에 등록해야 합니다.

 

질문 #39

contoso.onmicrosoft.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.
사용자 관리자 역할은 Admin1이라는 사용자에게 할당됩니다. 외부 파트너는 user1@outlook.com 로그인을
사용하는 Microsoft 계정을 가지고 있습니다 . Admin1은 Azure AD 테넌트에 로그인하도록 외부 파트너를 초대하려고 시도하고 다음 오류 메시지를 수신합니다. `user1@outlook.com 사용자를 초대할 수 없습니다 . 일반 인증 예외.` Admin1이 외부 파트너를 초대하여 Azure AD 테넌트에 로그인할 수 있는지 확인해야 합니다. 당신은 무엇을 해야 합니까?

-D. 사용자 블레이드에서 외부 공동 작업 설정을 수정합니다.
-D. From the Users blade, modify the External collaboration settings.

 

 

질문 #40

Azure AD(Azure Active Directory) 테넌트가 있습니다.
다음 표에 표시된 삭제된 개체가 있습니다.

2020년 5월 4일에 Azure Active Directory 관리 센터를 사용하여 삭제된 개체를 복원하려고 합니다.
복원할 수 있는 두 개체는 무엇입니까? 각 정답은 완전한 솔루션을 제시합니다.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.

-B.Group2

-C.User2

 

삭제된 사용자 및 삭제된 Office 365 그룹은 30일 동안 복원이 가능합니다.
삭제된 보안 그룹은 복원할 수 없습니다.

 

 

질문 #41

핫스팟 -
다음 표에 표시된 리소스를 포함하는 Subscription1이라는 Azure 구독이 있습니다.

다음 JSON 파일을 사용하여 Azure 역할을 만듭니다.

RG1의 User1에게 Role1을 할당합니다.
다음 각 진술에 대해 해당 진술이 참이면 예를 선택하십시오. 그렇지 않은 경우 아니요를 선택합니다
. 참고: 올바른 선택마다 1점의 가치가 있습니다.
핫 지역:

-답

NO
NO
NO

 

 

질문 #42

User1이라는 사용자가 포함된 contoso.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.
테넌트에 여러 앱을 게시할 계획입니다.
User1이 게시된 앱에 대해 관리자 동의를 부여할 수 있는지 확인해야 합니다.
이 목표를 달성하기 위해 User1에게 어떤 두 가지 사용자 역할을 할당할 수 있습니까? 각 정답은 완전한 솔루션을 제시합니다.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.

-B.클라우드 애플리케이션 관리자

-C. 애플리케이션 관리자 

B. Cloud application administrator Most Voted
C. Application administrator Most Voted

 

질문 #43

Azure AD(Azure Active Directory) 테넌트와 연결된 Azure 구독이 있습니다.
개발자가 테넌트에 App1이라는 앱을 등록하려고 하면 개발자는 다음 그림에 표시된 오류 메시지를 받습니다.

개발자가 테넌트에 App1을 등록할 수 있는지 확인해야 합니다.
임차인을 위해 무엇을 해야 할까요?

-D. 사용자 설정을 수정합니다

D. Modify the User settings.

 

 

질문 #44

Azure AD(Azure Active Directory) 테넌트와 User1이라는 사용자가 포함된 Azure 구독이 있습니다.
테넌트에 대한 앱 등록 설정은 다음 그림과 같이 구성됩니다.

App1이라는 앱을 배포할 계획입니다.
User1이 Azure AD에 App1을 등록할 수 있는지 확인해야 합니다. 솔루션은 최소 권한의 원칙을 사용해야 합니다.
User1에게 어떤 역할을 할당해야 합니까?

-D. Azure AD의 애플리케이션 개발자

D. Application developer in Azure AD

 

사용자가 애플리케이션을 등록할 수 있음 설정이 아니요로 설정된 경우 애플리케이션 등록을 생성할 수 있는 기능을 부여하려면 애플리케이션 개발자 역할을 할당합니다. 또한 이 역할은 사용자가 앱에 동의할 수 있는 경우 자신을 대신하여 동의할 수 있는 권한도 부여합니다. 대신 회사 데이터에 액세스 설정이 아니요로 설정되어 있습니다.

 

 

질문 #45

다음 표에 표시된 Azure 가상 머신이 있습니다.

각 가상 머신에는 단일 네트워크 인터페이스가 있습니다.
ASG1이라는 애플리케이션 보안 그룹에 VM1의 네트워크 인터페이스를 추가합니다.
ASG1에 추가할 수 있는 가상 머신의 네트워크 인터페이스를 식별해야 합니다.
무엇을 식별해야 합니까?

-B. VM2 및 VM3에만 해당

B. VM2 and VM3 only

 

동일한 VNET의 모든 NIC

 

 

질문 #47

contoso.com이라는 Azure AD(Azure Active Directory) 테넌트와 RG1이라는 리소스 그룹을 포함하는 Subcription1이라는 Azure 구독이 있습니다.
contoso.com에 대해 Role1이라는 사용자 지정 역할을 만듭니다.
권한 위임을 위해 Role1을 어디에서 사용할 수 있나요?

-A. contoso.com에만 해당

A. contoso.com only

 

contoso.com에 대해 사용자 지정 역할이 생성되었다고 나와 있습니다. 이는 Azure AD에 대한 것입니다.... 구독을 위해 사용자 지정 역할을 생성하라는 요청을 받은 경우 응답 목록에 "구독, 리소스 그룹"이라는 옵션이 있습니다. "구독, 리소스 그룹" 쌍에 나열된 답변이 없으므로 해당 질문은 Azure AD contoso.com 답변에 대한 것이라고 확신합니다.

 

 

질문 #48

Azure 구독이 있습니다.
Azure AD(Azure Active Directory) PIM(Privileged Identity Management)을 활성화합니다.
관리자 계정에 대한 회사의 보안 정책에는 다음과 같은 조건이 있습니다.
✑ 계정은 다단계 인증(MFA)을 사용해야 합니다.
✑ 계정은 20자의 복잡한 비밀번호를 사용해야 합니다.
✑ 비밀번호는 180일마다 변경해야 합니다.
✑ 계정은 PIM을 사용하여 관리되어야 합니다.
지난 90일 동안 비밀번호를 변경하지 않은 관리자에 대한 여러 알림을 받습니다.
생성된 경고 수를 최소화해야 합니다.
어떤 PIM 경고를 수정해야 합니까?

-D. 권한 있는 역할의 잠재적인 부실 계정

D. Potential stale accounts in a privileged role

 

 

질문 #49

네트워크에는 Azure AD(Azure Active Directory)와 동기화되는 adatum.com이라는 온-프레미스 Active Directory 도메인이 포함되어 있습니다. Azure AD Connect는 Server1이라는 도메인 구성원 서버에 설치됩니다.
adatum.com 도메인의 도메인 관리자가 동기화 옵션을 수정할 수 있는지 확인해야 합니다. 솔루션은 최소 권한의 원칙을 사용해야 합니다.
도메인 관리자에게 어떤 Azure AD 역할을 할당해야 하나요?

-B. 전역 관리자

B. Global administrator

 

 

질문 #50

다음 표에 표시된 사용자가 포함된 Azure 구독이 있습니다.

어떤 사용자가 Azure AD PIM(Privileged Identity Management)을 활성화할 수 있나요?

-A. User2 및 User3만 해당

A. User2 and User3 only

 

PIM의 Azure AD 역할의 경우 권한 있는 역할 관리자 또는 전역 관리자 역할에 있는 사용자만 다른 관리자에 대한 할당을 관리할 수 있습니다.
전역 관리자, 보안 관리자, 전역 독자 및 보안 독자도 PIM에서 Azure AD 역할에 대한 할당을 볼 수 있습니다.

For Azure AD roles in PIM, only a user who is in the Privileged Role Administrator or Global Administrator role can manage assignments for other administrators.
Global Administrators, Security Administrators, Global Readers, and Security Readers can also view assignments to Azure AD roles in PIM.

 

 

질문 #51

Azure 구독이 있습니다.
Azure Storage 계정을 읽을 수 있는 권한을 제공하는 사용자 지정 RBAC(역할 기반 액세스 제어) 역할을 만들 계획입니다.
RBAC 역할 정의의 어떤 속성을 구성해야 합니까?

-D. Actions []

 

'스토리지 계정 읽기', 즉. 스토리지 계정의 Blob을 나열하려면 '작업' 권한이 필요합니다.
스토리지 계정의 데이터를 읽으려면 다음과 같이 하십시오. Blob을 열려면 'DataAction' 권한이 필요합니다.

To 'Read a storage account', ie. list the blobs in the storage account, you need an 'Action' permission.
To read the data in a storage account, ie. open a blob, you need a 'DataAction' permission.

작업 권한은 해당 역할이 수행되도록 허용하는 관리 작업을 지정합니다. Azure 리소스 공급자(이 경우 Microsoft.Storage)의 보안 작업을 식별하는 작업 문자열 컬렉션입니다. DataActions 권한은 역할이 해당 개체 내의 데이터에 대해 수행할 수 있도록 허용하는 데이터 작업을 지정합니다. 정답은 D - Action[]입니다.

 

 

질문 #53

핫스팟 -
다음 전시에 표시된 Azure 리소스 계층 구조가 있습니다.

RG1, RG2 및 RG3은 리소스 그룹입니다.
RG2에는 VM2라는 가상 머신이 포함되어 있습니다.
다음 표에 표시된 사용자에게 역할 기반 액세스 제어(RBAC) 역할을 할당합니다.

다음 각 진술에 대해 해당 진술이 참이면 예를 선택하십시오. 그렇지 않은 경우 아니요를 선택합니다
. 참고: 올바른 선택마다 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #54

 

핫스팟 -
컨테이너화된 애플리케이션 인스턴스에 대한 새 스토리지 계정을 만드는 Function1이라는 Azure 함수를 구현할 계획입니다.
스토리지 계정을 생성하려면 Function1에 필요한 최소 권한을 부여해야 합니다. 솔루션은 관리 노력을 최소화해야 합니다.
당신은 무엇을 해야 합니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #55

Azure AD(Azure Active Directory) 테넌트에 연결된 Azure 구독이 있습니다.
Azure Portal에서 엔터프라이즈 애플리케이션을 등록합니다.
Azure AD에는 어떤 추가 리소스가 생성되나요?

- A. 서비스 주체

A. a service principal 

 

 

질문 #56

핫스팟 -
다음 표에 표시된 리소스를 포함하는 Azure AD(Azure Active Directory) 테넌트가 있습니다.

User2는 Group2의 소유자입니다.
App1의 사용자 및 그룹 설정은 다음 그림과 같이 구성됩니다.

다음 그림과 같이 App1에 대한 셀프 서비스 애플리케이션 액세스를 활성화합니다.

User3은 App1에 대한 액세스를 승인하도록 구성되었습니다.
App1에 대해 셀프 서비스 응용 프로그램 액세스를 활성화한 후 누가 그룹2 소유자로 구성되고 누가 App1 사용자로 구성됩니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #57

핫스팟 -
sub1이라는 Azure 구독을 포함하는 Group1이라는 관리 그룹이 있습니다. Sub1의 구독 ID는 11111111-1234-1234-1234-1111111111입니다. Group1의 모든 개체에 대한 태그를 관리하는 권한을 위임하는 사용자 지정 Azure
RBAC(역할 기반 액세스 제어) 역할을 만들어야 합니다.
Role1의 역할 정의에 무엇을 포함해야 합니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

참고: 사용자 지정 RBAC 역할을 관리 그룹 수준으로 할당하는 기능은 현재 미리 보기로만 제공됩니다. 따라서 현재 할당 가능한 범위에 대한 대답은 구독 수준입니다.

 

 

질문 #58

핫스팟 -
다음 표에 표시된 사용자 지정 역할을 포함하는 Azure 구독이 있습니다.

Azure Portal에서는 기존 역할을 복제하여 새로운 사용자 지정 역할을 만들 계획입니다. 새 역할은 다음 표에 표시된 대로 구성됩니다.

각각의 새 역할을 생성하기 위해 어떤 역할을 복제할 수 있나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #59

핫스팟 -
다음 표에 표시된 Azure AD(Azure Active Directory) 리소스가 포함된 Azure 구독이 있습니다.

다음 표에 표시된 그룹을 생성합니다.

Group5 및 Group6에 어떤 리소스를 추가할 수 있나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #60

핫스팟 -
Group1, Group2, Group3이라는 세 개의 보안 그룹과 다음 표에 표시된 사용자를 포함하는 contoso.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.

그룹3은 그룹2의 구성원입니다.
contoso.com에서 다음 설정이 포함된 App1이라는 엔터프라이즈 응용 프로그램을 등록합니다.
✑ 소유자: User1
✑ 사용자 및 그룹: Group2
다음 그림과 같이 App1의 속성을 구성합니다.

다음 각 진술에 대해 해당 진술이 참이면 예를 선택하십시오. 그렇지 않으면 아니오를 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #61

다음 표에 표시된 리소스가 포함된 Azure 구독이 있습니다.

ServerAdmins가 다음 작업을 수행할 수 있는지 확인해야 합니다.
✑ RG1에서만 가상 머신을 생성합니다.
✑ 가상 머신을 RG2의 기존 가상 네트워크에만 연결합니다.
솔루션은 최소 권한의 원칙을 사용해야 합니다.
ServerAdmins에 할당해야 하는 두 가지 역할 기반 액세스 제어(RBAC) 역할은 무엇입니까? 각 정답은 솔루션의 일부를 나타냅니다.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.

- A. a custom RBAC role for RG2

- F. the Virtual Machine Contributor role for RG1

A. RG2용 사용자 지정 RBAC 역할

F. RG1의 가상 머신 기여자 역할

 

 

질문 #62

핫스팟 -
네트워크에는 Azure AD(Azure Active Directory)와 동기화되는 adatum.com이라는 온-프레미스 Active Directory 도메인이 포함되어 있습니다.
Azure AD 테넌트에는 다음 표에 표시된 사용자가 포함됩니다.

다음 그림과 같이 adatum.com에 대한 인증 방법 `" 비밀번호 보호 설정을 구성합니다.

다음 각 설명에 대해 해당 설명이 참이면 예를 선택하고, 그렇지 않으면 아니오를 선택합니다. 참고
: 올바른 선택은 각각 1점의 가치가 있습니다. .
핫 영역:

-답

감사 모드에 있는 경우 NYY입니다. 시행 모드에서는 NYY입니다.

1; 비밀번호는 변경된 경우에만 확인되며 PP가 활성화된 경우 강제로 변경되지 않습니다.

2; @d@tum_C0mpleX123. 다음과 같이 정규화됩니다. adatum_complex123. (따라서 adatum에 대해 1포인트, _에 대해 1포인트, complex가 기본 목록에 있는 경우 1포인트, 1에 대해 1포인트, 2에 대해 1포인트, 3에 대해 1포인트, 도트에 대해 1포인트 = 7포인트이므로 유효하게 3을 전달합니다.

Adatum123!.은 adatum123!으로 정규화됩니다. (따라서 adatum에 1포인트, 1에 1포인트, 2에 1포인트, 3에 1포인트, 느낌표에 1포인트, 도트에 1포인트 = 6포인트이므로 유효합니다.

 

 

질문 #63

HOTSPOT -
회사에 Subscription1이라는 Azure 구독이 있습니다. Subscription1은 다음 표에 표시된 사용자를 포함하는 Azure Active Directory 테넌트와 연결됩니다.

회사가 새로운 소유자에게 매각되었습니다.
회사는 Subscription1의 소유권을 이전해야 합니다.
소유권을 이전할 수 있는 사용자는 누구이며, 사용자는 어떤 도구를 사용해야 합니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 올바른 선택은 각각 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #64

Azure AD(Azure Active Directory) PIM(Privileged Identity Management)을 사용하는 Azure 구독이 있습니다.
사용자 액세스 관리자 역할이 할당된 PIM 사용자는 역할 할당을 수행하거나 할당 목록을 볼 때 권한 부여 오류를 받았다고 보고합니다.
PIM 서비스 주체에게 구독에 대한 올바른 권한이 있는지 확인하여 문제를 해결해야 합니다. 솔루션은 최소 권한의 원칙을 사용해야 합니다.
PIM 서비스 원칙에 어떤 역할을 할당해야 합니까?

-B. User Access Administrator 

B. 사용자 액세스 관리자

 

 

질문 #65

Admin1이라는 사용자가 포함된 Azure AD(Azure Active Directory) 테넌트가 있습니다. Admin1에는 애플리케이션 개발자 역할이 할당됩니다.
App1이라는 클라우드 앱을 구매하고 Azure AD에 App1을 등록합니다.
Admin1은 App1에 대한 토큰 암호화를 활성화하는 옵션을 사용할 수 없다고 보고합니다.
Admin1이 Azure Portal에서 App1에 대해 토큰 암호화를 활성화할 수 있는지 확인해야 합니다.
당신은 무엇을 해야 합니까?

C. App1을 엔터프라이즈 애플리케이션으로 추가합니다.

C. Add App1 as an enterprise application.

 

인증서 업로드도 필수이기 때문에 까다로운 문제입니다. 그러나 질문에 토큰 암호화 옵션을 사용할 수 없다고 나와 있습니다. 이는 해당 앱이 기업용 애플리케이션으로 추가되지 않았기 때문입니다. 앱이 엔터프라이즈 애플리케이션으로 추가되면 토큰 암호화 옵션을 사용할 수 있습니다.
그런 다음 인증서를 업로드할 수 있습니다.

 

 

질문 #66

Microsoft Graph를 사용하여 Azure AD(Azure Active Directory) 사용자의 속성을 수정하는 앱을 배포할 계획입니다.
앱이 Azure AD에 액세스할 수 있는지 확인해야 합니다.
무엇을 먼저 구성해야 합니까?

- A. 앱 등록

A. an app registration

 

 

질문 #67

핫스팟 -
다음 표에 표시된 리소스를 포함하는 Subscription1이라는 Azure 구독이 있습니다.

다음 JSON 파일을 사용하여 구독1에서 사용자 지정 RBAC 역할을 생성합니다.

RG1의 User1에게 Role1을 할당합니다.
다음 각 진술에 대해 해당 진술이 참이면 예를 선택하십시오. 그렇지 않은 경우 아니요를 선택합니다
. 참고: 올바른 선택마다 1점의 가치가 있습니다.
핫 지역:

-답

 

 

질문 #68

핫스팟 -
다음 표에 표시된 리소스가 포함된 Azure 구독이 있습니다.

구독은 다음 표에 표시된 사용자가 포함된 Azure AD(Azure Active Directory) 테넌트에 연결됩니다.

다음 표에 표시된 그룹을 생성합니다.

Group1과 Group2의 멤버십 규칙은 다음 그림과 같이 구성됩니다.

다음 각 진술에 대해 해당 진술이 참이면 예를 선택하십시오. 그렇지 않은 경우 아니요를 선택합니다
. 참고: 올바른 선택마다 1점의 가치가 있습니다.
핫 지역:

-답