Azure セキュリティ エンジニア アソシエイト(AZ-500)WEB問題集

⚠️ 試験廃止のお知らせ

AZ-500 試験は 2026年8月31日 をもって Microsoft 公式試験として廃止される予定です (公式情報、2026-08-31 時点で確定)。

  • 後継試験: 未発表 (SC-100 / SC-200 / SC-300 ファミリーへの統合を予測)
  • 廃止までの残り日数: 約 97 日 (2026-05-26 時点の計算)
  • 本問題集の継続提供: 学習用途として廃止後も引き続きご利用いただけます

受験申込時は Microsoft Learn 公式にて最新情報をご確認ください。

WEB問題集

Question#1(AZ-500)
次の表に示す仮想マシンを含むAzureサブスクリプションがあります。

あなたは Microsoft Defender for Servers を構成しています。 仮想マシン上の既知の安全なアプリの許可リストを作成するために、適応型アプリケーション制御(Adaptive Application Controls) を有効にする予定です。

適応型アプリケーション制御の使用をサポートしている仮想マシンはどれですか?

正解:A

Microsoft Defender for Cloud の機能である「適応型アプリケーション制御」には、サポートされるための特定の要件があります。

  1. OSのサポート状況: Windows Server 2012, 2012 R2, 2016, 2019, 2022(Desktop Experience版)はサポートされています。したがって、VM1VM2 は対象となります。

  2. Server Core の制限: 現時点では、Windows Server Core インストールはサポートされていません。そのため、VM3 は除外されます。

  3. AppLocker との競合: 適応型アプリケーション制御は、内部的に Windows の AppLocker を利用してポリシーを適用します。既に AppLocker ポリシーが手動またはグループポリシーで構成されているマシン(この場合は VM4)に適用しようとすると、競合が発生するためサポート対象外となります。

Question#2(AZ-500)
Azureサブスクリプションがあります。このサブスクリプションには、次の表に示すサブネットを含む VNet1 という名前の仮想ネットワークが含まれています。 また、サブスクリプションには次の表に示す関数アプリ(およびWebアプリ)が含まれています。 NSG1 によって送信トラフィック(Outbound traffic)が制御されるアプリはどれですか?

正解:D

この問題のポイントは、「どのプランがVNet統合によるNSG制御をサポートしているか」です。

  1. App1 (Functions Premium): Azure FunctionsのPremiumプランは「リージョンVNet統合」をサポートしています。この統合方法では、統合先サブネットに適用されているNSGが送信トラフィックに適用されます。

  2. App2 & App3 (App Service Basic/Premium): 以前はBasicティアではVNet統合が制限されていましたが、現在のAzureの仕様(新しいリージョンVNet統合)では、Basic、Standard、Premium、Premium V2/V3 のすべてのティアでVNet統合がサポートされており、統合先サブネットのNSGで送信トラフィックを制御できます。

  3. App4 (Isolated): Isolatedプラン(App Service Environment: ASE)は、そもそも仮想ネットワーク内の専用サブネットの中に直接デプロイされます。そのため、そのサブネットに適用されているNSGは当然すべてのトラフィックに適用されます。

重要な補足

「リージョンVNet統合」を使用している場合、デフォルトですべての送信トラフィックをNSGで制御するには、アプリ設定で WEBSITE_VNET_ROUTE_ALL1 に設定する必要がありますが、試験問題の文脈では通常、「統合されている=そのサブネットのルールに従う能力がある」とみなされます。

Question#3(AZ-500)

contoso.com という名前の Microsoft Entra テナントがあります。

あなたは、fabrikam.com という名前の Microsoft Entra テナントを持つパートナー組織と協力しています。

contoso.com のユーザーが使用できる、fabrikam.com のクラウドアプリの許可リストを作成する必要があります。

Microsoft Entra 管理センターで、contoso.com に対して何を行うべきですか?

正解:D

この問題の鍵は、「誰が」「どこの」リソースにアクセスするか、という方向性の理解です。

  1. 発信アクセス (Outbound access) の重要性:

    • 今回の要件は「contoso.com のユーザーが、fabrikam.com(外部)のアプリにアクセスする」ことです。

    • 自組織のユーザーが外へ出ていく際のルールを決めるのは、「発信(Outbound)」設定です。

  2. B2Bコラボレーション vs B2B直接接続:

    • B2Bコラボレーション: ゲストユーザーとして招待・アクセスする一般的な方式。アプリへのアクセス制限(許可リストの作成)はこの設定内の「アプリケーション」タブで行います。

    • B2B直接接続: 主に Microsoft Teams 共有チャネルで使用される方式です。一般的なクラウドアプリの許可リスト作成には B2Bコラボレーションの設定を用います。

Question#4(AZ-500)
RG1 という名前のリソースグループと、次の表に示すネットワークセキュリティグループ(NSG)を含む Azure サブスクリプションがあります。 次の図に示す Azure Policy を作成して割り当てます。 Azure Policy が割り当てられた後の、NSG1 と NSG2 のフローログの状態はどうなりますか?

正解:D

この問題には、受験者が陥りやすい2つの重要なポイントがあります。

1. ポリシー効果(effect)が Audit であること

ここが最大のポイントです。

  • ポリシーの effect(効果)が Audit(監査) に設定されている場合、そのポリシーはリソースが準拠しているかどうかを 「チェックして報告」するだけ で、リソースの設定を 「変更(有効化)」することはありません

  • もし自動的に有効化したい場合は、DeployIfNotExistsModify といった効果を使用する必要があります。

2. 除外設定(Exclusions)の影響

  • NSG1 は「除外」リストに入っているため、このポリシーによる評価(準拠/非準拠のチェック)自体が行われません。

  • NSG2 はポリシーの評価対象になりますが、効果が Audit であるため、ポータル上で「非準拠(Non-compliant)」と表示されるだけで、フローログの状態は「オフ」のまま変わりません。

Question#5(AZ-500)
次の表に示すリソースを含む Azure サブスクリプションがあります。

あなたは、APL1 という名前の Azure Private Link サービスをデプロイすることを計画しています。

APL1 の作成時に参照する必要があるリソースはどれですか?

正解:A

この問題のポイントは、「Azure Private Link サービス (Private Link Service)」の構成要件を理解しているかどうかです。

  1. Private Link サービスの仕組み: Azure Private Link サービスは、自身の仮想ネットワーク内にあるサービスを、他の仮想ネットワークのユーザーに Private Endpoint を通じて提供するための仕組みです。

  2. 必須コンポーネント: Private Link サービスを構成するには、その背後でトラフィックを中継するための Standard Load Balancer (標準ロードバランサー) が必須となります。

    • サービスを提供するリソース(VMやVMSSなど)は、このロードバランサーのバックエンドプールに配置されます。

    • Private Link サービスの設定時には、フロントエンド IP 構成としてこのロードバランサーを指定する必要があります。