Azure Active Directory (Azure AD) テナントと同期しているオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインがあります。Azure AD Connect ではグループ書き戻し (Group writeback) が有効になっています。
AD DS ドメインには Server1 という名前のサーバーがあり、Server1 には share1 という名前の共有フォルダーがあります。 また、Azure AD ベースのアクセス制御を使用する storage2 という名前の Azure ストレージ アカウントがあり、storage2 には share2 という名前の共有があります。
次の要件を満たすセキュリティ グループを作成する必要があります。
-
AD DS ドメインのユーザーを含めることができる。
-
share1 と share2 へのユーザー アクセスを承認するために使用できる。
何をすべきですか?
正解:A
この問題の鍵は「オンプレミスとクラウドの両方のリソースに対して、一つのグループでアクセス権を管理する」点にあります。
-
グループ書き戻し (Group Writeback) の活用: Azure AD Connect で「グループ書き戻し」が有効な場合、クラウド (Azure AD) で作成したセキュリティ グループをオンプレミスの AD DS に同期(書き戻し)することができます。
-
要件の充足:
-
share1 (オンプレミス): クラウドで作成し、書き戻されたグループはオンプレミス AD 上で通常のグループとして見えるため、share1 の ACL(アクセス制御リスト)に使用できます。
-
share2 (Azure Storage): Azure AD ベースのアクセス制御を使用しているため、Azure AD 上のグループをそのままロール割り当てに使用できます。
-
-
なぜ B ではないのか: オンプレミスで作成したユニバーサル グループは Azure AD へ同期(Azure AD Connect)できますが、Azure AD 上のグループ メンバーシップ管理や動的な割り当ての柔軟性が低く、問題文にある「グループ書き戻しが有効」というヒントを活かす構成としては A が最適解となります。
コメント