WEB問題集
Azure Private Endpoint の機能として正しいものをすべて選んでください (2 つ)。
解説
【正解: A / B】の理由
Private Endpoint は VNet 内のプライベート IP を持つ NIC を取得して PaaS への閉域接続を実現し、その PE は VPN / ExpressRoute 経由でオンプレからも到達可能となります。これにより、Hybrid 環境での Zero Trust ネットワーク設計が実現します。
【他選択肢が違う理由】
- C: PE 作成と Public Endpoint Disable は独立した操作で、自動連動はしません。明示的に Public Network Access を Disabled にする必要があります。
- D: TLS 証明書管理は PE の機能ではなく、別のサービス (App Service Managed Certificate / Key Vault) の領域です。
- E: WAF 統合は Application Gateway / Front Door の機能で、PE 単体の機能ではありません。
【参考】
各シナリオに最適な Private アクセス方式をマッチさせてください。
- オンプレから Storage への Hybrid プライベート接続
- 同一 VNet 内 VM から PaaS への低コスト経路最適化
- 自社サービスを他社テナントへ Private 公開
- Public IP を完全に閉じた Zero Trust シナリオ
解説
【正しいマッチング完全版】
※ Hybrid と Zero Trust は Private Endpoint、低コスト経路最適化は Service Endpoint、マルチテナント Private 公開は Private Link Service の対応関係を覚えると要件マッチングが正確になります。
- オンプレから Storage への Hybrid プライベート接続 → Private Endpoint
- 同一 VNet 内 VM から PaaS への低コスト経路最適化 → Service Endpoint
- 自社サービスを他社テナントへ Private 公開 → Private Link Service
- Public IP を完全に閉じた Zero Trust シナリオ → Private Endpoint
【正解マッチング】
| 機能 | 対応 |
|---|---|
| オンプレから Storage への Hybrid プライベート接続 | Private Endpoint |
| 同一 VNet 内 VM から PaaS への低コスト経路最適化 | Service Endpoint |
| 自社サービスを他社テナントへ Private 公開 | Private Link Service |
| Public IP を完全に閉じた Zero Trust シナリオ | Private Endpoint |
【参考】
【シナリオ】
あなたの会社は本番 Storage Account を Zero Trust 設計で運用する必要があります。要件: VNet 内の VM と App Service から Private アクセス、オンプレからも VPN 経由でプライベート IP アクセス、Public Network Access は完全に Disabled、Azure Backup などの信頼サービスからのアクセスは維持。
【ステートメント】
Private Endpoint + Hub VNet 集中型 Private DNS Zone + DNS Private Resolver (Hybrid 解決) + Public Network Access Disabled + 信頼サービス許可の組み合わせで要件を満たせる。
解説
【正解: はい】の理由
Private Endpoint で VNet 内 / VPN 経由のプライベート アクセスを実現し、Hub 集中型 Private DNS Zone と Resolver Inbound endpoint で Hybrid DNS 解決を構成、Public Network Access Disabled + 信頼サービス許可で Zero Trust と マネージド連携の両立を実現するのが Microsoft 標準パターンです。そのため、本構成で要件をすべて満たせます。
【不正解の選択肢の場合】
「いいえ」と判定するとこの構成では不十分となりますが、PE + Hub DNS + Resolver + Disabled + 信頼サービスは Zero Trust Storage の標準解です。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Private Endpoint + Hub VNet 集中型 Private DNS Zone + DNS Private Resol… | はい |
| 問2 | Service Endpoint だけでも要件 (Public 完全 Disabled + Hybrid プライベート アクセス) を満… | いいえ |
| 問3 | Storage Account の Public Network Access を Disabled にすると、Azure Backup… | いいえ |
【参考】
【シナリオ】
あなたの会社は本番 Storage Account を Zero Trust 設計で運用する必要があります。要件: VNet 内の VM と App Service から Private アクセス、オンプレからも VPN 経由でプライベート IP アクセス、Public Network Access は完全に Disabled、Azure Backup などの信頼サービスからのアクセスは維持。
【ステートメント】
Service Endpoint だけでも要件 (Public 完全 Disabled + Hybrid プライベート アクセス) を満たせる。
解説
【正解: いいえ】の理由
Service Endpoint は経路最適化機能で、PaaS の Public Endpoint を閉じる効果はありません。また、Service Endpoint はオンプレからのプライベート IP アクセスを提供しないため、Hybrid 要件にも対応できません。そのため、本シナリオでは Private Endpoint の採用が必須となります。
【不正解の選択肢の場合】
「はい」と判定すると Service Endpoint で対応可能となりますが、Public 完全 Disable と Hybrid Private IP アクセスは Service Endpoint では実現できません。そのため、Private Endpoint 構成が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Private Endpoint + Hub VNet 集中型 Private DNS Zone + DNS Private Resol… | はい |
| 問2 | Service Endpoint だけでも要件 (Public 完全 Disabled + Hybrid プライベート アクセス) を満… | いいえ |
| 問3 | Storage Account の Public Network Access を Disabled にすると、Azure Backup… | いいえ |
【参考】
【シナリオ】
あなたの会社は本番 Storage Account を Zero Trust 設計で運用する必要があります。要件: VNet 内の VM と App Service から Private アクセス、オンプレからも VPN 経由でプライベート IP アクセス、Public Network Access は完全に Disabled、Azure Backup などの信頼サービスからのアクセスは維持。
【ステートメント】
Storage Account の Public Network Access を Disabled にすると、Azure Backup などの信頼サービスからのアクセスも完全にブロックされる。
解説
【正解: いいえ】の理由
Storage Account の Firewall 設定で「Allow Azure services on the trusted services list」を有効化すると、Public Network Access Disabled の状態でも Azure Backup / Site Recovery / Defender for Storage などの信頼マネージドサービスからのアクセスは引き続き許可されます。これにより、Zero Trust と マネージド連携の両立が実現します。
【不正解の選択肢の場合】
「はい」と判定すると Disabled で全アクセスがブロックされることになりますが、信頼サービス許可機能で例外的にアクセスを継続できます。そのため、本機能の利用が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Private Endpoint + Hub VNet 集中型 Private DNS Zone + DNS Private Resol… | はい |
| 問2 | Service Endpoint だけでも要件 (Public 完全 Disabled + Hybrid プライベート アクセス) を満… | いいえ |
| 問3 | Storage Account の Public Network Access を Disabled にすると、Azure Backup… | いいえ |