WEB問題集

あなたは Microsoft Defender for Servers を構成しています。 仮想マシン上の既知の安全なアプリの許可リストを作成するために、適応型アプリケーション制御(Adaptive Application Controls) を有効にする予定です。
適応型アプリケーション制御の使用をサポートしている仮想マシンはどれですか?
正解:A
Microsoft Defender for Cloud の機能である「適応型アプリケーション制御」には、サポートされるための特定の要件があります。
OSのサポート状況: Windows Server 2012, 2012 R2, 2016, 2019, 2022(Desktop Experience版)はサポートされています。したがって、VM1 と VM2 は対象となります。
Server Core の制限: 現時点では、Windows Server Core インストールはサポートされていません。そのため、VM3 は除外されます。
AppLocker との競合: 適応型アプリケーション制御は、内部的に Windows の AppLocker を利用してポリシーを適用します。既に AppLocker ポリシーが手動またはグループポリシーで構成されているマシン(この場合は VM4)に適用しようとすると、競合が発生するためサポート対象外となります。
また、サブスクリプションには次の表に示す関数アプリ(およびWebアプリ)が含まれています。
NSG1 によって送信トラフィック(Outbound traffic)が制御されるアプリはどれですか?正解:D
この問題のポイントは、「どのプランがVNet統合によるNSG制御をサポートしているか」です。
App1 (Functions Premium): Azure FunctionsのPremiumプランは「リージョンVNet統合」をサポートしています。この統合方法では、統合先サブネットに適用されているNSGが送信トラフィックに適用されます。
App2 & App3 (App Service Basic/Premium): 以前はBasicティアではVNet統合が制限されていましたが、現在のAzureの仕様(新しいリージョンVNet統合)では、Basic、Standard、Premium、Premium V2/V3 のすべてのティアでVNet統合がサポートされており、統合先サブネットのNSGで送信トラフィックを制御できます。
App4 (Isolated): Isolatedプラン(App Service Environment: ASE)は、そもそも仮想ネットワーク内の専用サブネットの中に直接デプロイされます。そのため、そのサブネットに適用されているNSGは当然すべてのトラフィックに適用されます。
重要な補足
「リージョンVNet統合」を使用している場合、デフォルトですべての送信トラフィックをNSGで制御するには、アプリ設定で WEBSITE_VNET_ROUTE_ALL を 1 に設定する必要がありますが、試験問題の文脈では通常、「統合されている=そのサブネットのルールに従う能力がある」とみなされます。
contoso.com という名前の Microsoft Entra テナントがあります。
あなたは、fabrikam.com という名前の Microsoft Entra テナントを持つパートナー組織と協力しています。
contoso.com のユーザーが使用できる、fabrikam.com のクラウドアプリの許可リストを作成する必要があります。
Microsoft Entra 管理センターで、contoso.com に対して何を行うべきですか?
正解:D
この問題の鍵は、「誰が」「どこの」リソースにアクセスするか、という方向性の理解です。
発信アクセス (Outbound access) の重要性:
今回の要件は「contoso.com のユーザーが、fabrikam.com(外部)のアプリにアクセスする」ことです。
自組織のユーザーが外へ出ていく際のルールを決めるのは、「発信(Outbound)」設定です。
B2Bコラボレーション vs B2B直接接続:
B2Bコラボレーション: ゲストユーザーとして招待・アクセスする一般的な方式。アプリへのアクセス制限(許可リストの作成)はこの設定内の「アプリケーション」タブで行います。
B2B直接接続: 主に Microsoft Teams 共有チャネルで使用される方式です。一般的なクラウドアプリの許可リスト作成には B2Bコラボレーションの設定を用います。
次の図に示す Azure Policy を作成して割り当てます。
Azure Policy が割り当てられた後の、NSG1 と NSG2 のフローログの状態はどうなりますか?正解:D
この問題には、受験者が陥りやすい2つの重要なポイントがあります。
1. ポリシー効果(effect)が Audit であること
ここが最大のポイントです。
ポリシーの
effect(効果)がAudit(監査) に設定されている場合、そのポリシーはリソースが準拠しているかどうかを 「チェックして報告」するだけ で、リソースの設定を 「変更(有効化)」することはありません。もし自動的に有効化したい場合は、
DeployIfNotExistsやModifyといった効果を使用する必要があります。
2. 除外設定(Exclusions)の影響
NSG1 は「除外」リストに入っているため、このポリシーによる評価(準拠/非準拠のチェック)自体が行われません。
NSG2 はポリシーの評価対象になりますが、効果が
Auditであるため、ポータル上で「非準拠(Non-compliant)」と表示されるだけで、フローログの状態は「オフ」のまま変わりません。

あなたは、APL1 という名前の Azure Private Link サービスをデプロイすることを計画しています。
APL1 の作成時に参照する必要があるリソースはどれですか?
正解:A
この問題のポイントは、「Azure Private Link サービス (Private Link Service)」の構成要件を理解しているかどうかです。
Private Link サービスの仕組み: Azure Private Link サービスは、自身の仮想ネットワーク内にあるサービスを、他の仮想ネットワークのユーザーに Private Endpoint を通じて提供するための仕組みです。
必須コンポーネント: Private Link サービスを構成するには、その背後でトラフィックを中継するための Standard Load Balancer (標準ロードバランサー) が必須となります。
サービスを提供するリソース(VMやVMSSなど)は、このロードバランサーのバックエンドプールに配置されます。
Private Link サービスの設定時には、フロントエンド IP 構成としてこのロードバランサーを指定する必要があります。
