Azure Governance に関する事項1

AZ303 
# Azure Governance に関する事項1 - u
## 特定の場所からのアクセスであれば MFA を免除する設定
オンプレミスの Active Directory Azure AD テナントがネットワークに含まれている会社に提案をするように求められています。

+ 彼らは Azure AD Connect をデプロイし、パススルー認証を構成しています。
+ 彼らの Azure サブスクリプションには、インターネットからアクセスする多くの Web アプリが含まれています。
+ 彼らは Azure AD テナントで Azure MFA を使用する予定です。

オンプレミス ネットワークからアプリにアクセスしているときに、ユーザーが Azure MFA の入力を求められないようにするには、どのソリューションを提案すべきですか ?    

1. 信頼できる IP
1. オンプレミス ネットワークと Azure 間のサイト間 VPN
1. Azure ExpressRoute
1. Azure Policy

### Explanation
Ans: 信頼できる IP
信頼できる IPは、信頼できる IP リストにある IP アドレスからログインするユーザーの2段階認証をバイパスする多要素認証機能です。

---
## VM 上のアプリケーションから Azure のリソースへアクセスする場合のアクセス許可
組織には、RG_1 という名前のリソース グループ内に VM_1という名前の Azure VM を含む Subcription_1 という名前の Azure サブスクリプションがあります。

+ VM_1 は、RG_1 にリソースをデプロイするために使用されるサービスを実行します。
+ VM_1 ID を使用して、実行中の VM_1 のサービスが RG_1 のリソースを管理できるようにしたいと考えています。
+ VM でマネージド IDが有効になっていません。

彼らが最初にすることは何ですか?

1. Azure portal から、VM_1 Identity Access Control (IAM) 設定を変更する。
1. Azure portal から、VM_1 ID オプションの値を変更する。
1. Azure portal から、RG_1 のポリシー設定を変更する。
1. Azure portal から、アクセス制御 (IAM) 設定または RG_1 を変更する。


### Explanation
Ans: Azure portal から、VM_1 ID オプションの値を変更する。    
最初にマネージド サービス IDを有効にする必要があるため、Azure portal から VM_1 ID オプションの値を変更します。

この設問は、VM上で動作するアプリケーションから Azure のリソースへアクセスする場合のアクセス権の設定方法を問うている。VM ブレードの ID でマネージド ID を有効にすると、VM がアクセス権の主体となることできるようになる。    
他の Azure リソースの IAM で、プリンシパルのところに VM名が表示されるようになるので、VMに対してアクセス権を設定できるようになる。


---
## リソースグループ管理者への権限の割り当て
会社は新しい IT 管理者を雇用します。新しい IT 管理者は、第1層の Web サーバーを使用して、リソース グループを管理する必要があります。
管理の内容にはアクセス許可の割り当ても含みますが、ただし、サブスクリプション内の他のリソース グループにはアクセスできません。ロールベースのアクセスを設定する必要があります。何をする必要がありますか。いずれかを選択してください。

1. 新しい IT 管理者をサブスクリプションの所有者として割り当てる。
2. 新しい IT 管理者をサブスクリプションの共同作成者として割り当てる。
3. 新しい IT 管理者をリソース グループの所有者として割り当てる。
4. 新しい IT 管理者をリソース グループの共同作成者として割り当てる。

### Explanation
Ans: 3. 新しい IT 管理者をリソース グループの所有者として割り当てる。       
新しい IT 管理者は、アクセス許可を割り当てることができる必要があるため、リソースグループの所有者の権限を割り当てます。  

---
## リソースグループ管理者への権限の割り当て
リソース グループに 3 つの仮想マシン (VM1VM2VM3) があります。ヘルプデスクは新しい従業員を雇用します。新しい従業員は VM3 で設定を変更できる必要がありますが、VM1 および VM2 では変更できません。ソリューションは一般諸経費を最小限に抑える必要があります。何をする必要がありますか。いずれかを選択してください。

1. 新しい従業員をリソース グループの共同作成者ロールに割り当てる。
2. 新しい従業員を VM3 の共同作成者ロールに割り当てる。
3. VM3 を新しいリソース グループに移動し、新しい従業員を VM3 の共同作成者ロールに割り当てる。
4. 新しい従業員をリソース グループの共同作成者ロールに割り当て、そのユーザーを VM3 の所有者ロールに割り当てる。

### Explanation
Ans: 新しい従業員を VM3 の共同作成者ロールに割り当てる。         
つまり、このユーザーは VM1 または VM2 にアクセスできません。共同作成者ロールにより、VM1 の設定を変更できるようになります。