WEB問題集
解説
【正解: A】の理由
Microsoft Entra ID はクラウド ベースの ID / 認証 / アクセス管理サービスで、Microsoft 365 / Azure / SaaS の認証基盤として機能します。SSO / MFA / Conditional Access / アプリ統合 (4000+ SaaS) / B2B ゲスト招待 / B2C コンシューマ向けフロー / Identity Protection を統合提供します。
【他選択肢が違う理由】
- B. AD DS と完全同一: Entra ID は Kerberos / NTLM / Group Policy をネイティブ提供せず、AD DS とは別物です
- C. ディスク暗号化のみ: それは Azure Disk Encryption / SSE の領域で、Entra ID の役割ではありません
- D. ネットワーク ルーティング: VNet / Route Table の領域で、Entra ID は ID 管理に特化しています
解説
【正解: A】の理由
Microsoft Entra Domain Services は Entra ID をベースにした AD DS 互換のマネージド ドメイン サービスです。Kerberos / NTLM / LDAP / Group Policy / ドメイン参加を必要とするレガシー アプリ向けに、Microsoft が DC を完全管理する形でドメインを提供し、Entra ID のユーザー / グループが自動同期されます。
【他選択肢が違う理由】
- B. Entra ID と同一: Entra ID はクラウド ID で、Entra Domain Services はそれを補完する別サービスです
- C. セルフ管理: 真逆で、Microsoft フル マネージドであり顧客が DC を運用する必要はありません
- D. Microsoft 365 のドメイン: M365 のメール ドメインとは無関係の AD DS 互換サービスです
解説
【正解: A】の理由
SSO は SAML 2.0 / OpenID Connect / OAuth 2.0 等の標準プロトコルで複数アプリへの認証を一元化する仕組みです。一度の認証で継続アクセスでき、パスワード再入力削減によるユーザー利便性向上と、中央認証ポリシー (MFA / Conditional Access) 適用によるセキュリティ強化を両立します。
【他選択肢が違う理由】
- B. MFA 無効化: SSO と MFA は独立しており、SSO + MFA の組み合わせが推奨されます
- C. 平文保存: SSO の本質と無関係で、セキュリティ上も不適切な記述です
- D. ユーザー名不要: SSO でもユーザー名は引き続き必要であり、認証情報が不要になるわけではありません
解説
【判定: はい】の理由
Microsoft Entra Connect + Password Hash Synchronization (PHS) は既存オンプレ AD アカウント再利用 / パスワード ハッシュ同期 / シームレス SSO / 運用負荷最小化の要件すべてを満たす Microsoft 推奨の第一選択肢です。認証は Entra ID 側で完結するためオンプレ依存が最小化されます。
【「いいえ」が違う理由】
PHS はハッシュのハッシュとして 2 重保護され、Identity Protection の Leaked Credentials 検出やオンプレ AD ダウン時の認証継続性を提供します。Smart Lockout でブルート フォース対策、Seamless SSO で AD 参加マシンからの透過的認証も可能で、要件を確実に満たします。
解説
【判定: はい】の理由
Pass-through Authentication (PTA) はパスワードをクラウドに同期せず、認証時にリアルタイムでオンプレ AD に問い合わせて検証する方式です。既存 AD アカウント再利用 / シームレス SSO / 運用負荷最小化の要件を満たし、ハッシュもクラウドに置きたくない組織にも適合します。
【「いいえ」が違う理由】
PTA はオンプレ AD への依存が残るため Connect サーバの冗長配置が推奨され、PHS とのバックアップ組み合わせも一般的です。Seamless SSO と組み合わせれば AD 参加 PC からの透過的ログインも実現でき、PHS の代替として Microsoft が正式に提供する方式です。
解説
【判定: いいえ】の理由
新規 Entra ID テナント + 全員新規アカウント発行は「既存オンプレ AD ユーザー アカウントを再利用」要件と直接衝突します。10,000 ユーザー全員への新アカウント発行 / 通知 / パスワード設定 / アクセス権再付与で大規模な移行コストとトレーニング負荷が発生し、運用負荷最小化要件も満たせません。
【「はい」が違う理由】
Entra Connect + PHS / PTA を使ったハイブリッド ID 統合が王道で、既存オンプレ AD ユーザーが透過的に Microsoft 365 / Azure / SaaS アプリへ SSO できる体験を最小コストで実現できます。完全新規クラウド ID は新規スタートアップやオンプレ AD 廃止時に限定すべき選択です。
解説
【正解: A】の理由
Microsoft Entra ID はユーザー (Member / Guest / サービス プリンシパル)、グループ (静的 / 属性ベース動的)、デバイス (Entra 登録 / Entra 参加 / Hybrid 参加) を統合管理します。Conditional Access や RBAC と組み合わせ「準拠デバイスのみアクセス許可」等の細粒制御が可能です。
【他選択肢が違う理由】
- B. ユーザーのみ: グループやデバイスも統合管理しており、ユーザー単独管理ではありません
- C. デバイス情報同期なし: Entra 登録 / 参加でデバイス情報はクラウドに同期され Conditional Access に活用されます
- D. 組織管理機能なし: 真逆で、Entra ID は組織 ID 管理の中核サービスとして位置付けられています
解説
【正解: A】の理由
Self-Service Password Reset (SSPR) はユーザーがメール / SMS / Authenticator アプリ / 秘密の質問で本人確認しパスワードを自己復旧できる機能です。ヘルプデスク問い合わせの 30〜40% を占めるパスワード関連負荷を削減し、深夜 / 休日でも即時復旧できるため業務生産性が向上します。
【他選択肢が違う理由】
- B. 平文保存: 真逆で、SSPR はセキュリティを向上させる機能でありパスワード保管方式とは無関係です
- C. パスワードレス化: パスワードレス認証は別機能であり、SSPR はパスワード自体の自己復旧機能です
- D. アカウント削除: SSPR はパスワード復旧機能であり、アカウントを削除するものではありません
次の各ステートメントについて、Azure Storage の高度機能に関する記述として正しい場合は「はい」、誤っている場合は「いいえ」を選択してください。
注: 正解 1 つにつき 1 点が与えられます。
| ステートメント | はい | いいえ |
|---|---|---|
Premium SSD と Ultra Disk の主な違いは「IOPS / スループット / 容量の独立調整」が Ultra Disk でのみ可能である点である。 正しいです。Ultra Disk は IOPS / スループット / 容量を 3 軸で独立設定でき、ワークロードに応じた細かな調整が可能です。Premium SSD はサイズに応じて IOPS / スループットがテーブル ベースで固定的に決まり、Ultra Disk のほうが柔軟性で優れます。 | ||
Azure Files の容量上限は最大 100 TiB で、SMB 3.0 / NFS 4.1 でマウントできる。 正しいです。Azure Files は最大 100 TiB / Share に対応し、Premium SKU は SSD ベースで高 IOPS / 低レイテンシを提供します。SMB 3.0 で Windows / Linux 両対応、NFS 4.1 で Linux 系ホストからのマウントが可能です。 | ||
Azure Storage の暗号化 (SSE) は顧客の明示的な操作が必要で、デフォルトでは無効である。 誤りです。SSE はすべての新規 Storage Account でデフォルト有効であり、顧客の明示操作は不要です。256-bit AES で保管データを自動暗号化し、Key Vault 連携で顧客マネージド キー (CMK) への切り替えも可能です。 |
次の各ステートメントを完成させるために、最も適切な Azure Storage / 移行ツールを選んでください。同じ選択肢は 2 回使用できません。
| ステートメント | 選択 |
|---|---|
オンプレ サーバ / VM の依存関係を分析し、Azure 移行計画を立てるためのハブ サービスは [ ] である。 Azure Migrate はオンプレの依存関係分析 / Azure 適合サイズ推奨 / コスト試算を提供する移行ハブ サービスです。Database Migration Service / Site Recovery / Storage Migration Service 等のサブツールを統合管理し移行計画立案を一元化します。 | |
数十 TB 〜数 PB の大規模データを Microsoft 公式の物理デバイス経由で移行するサービスは [ ] である。 Azure Data Box は耐衝撃 / 暗号化済み物理デバイスを Microsoft が郵送する移行サービスです。Disk (35 TB) / Standard (80 TB) / Heavy (1 PB) の 3 モデルがあり、ネットワーク帯域に依存しない大規模オフライン移行を実現します。 | |
スクリプトに組み込んで大容量データを高速並列転送する CLI ツールは [ ] である。 AzCopy は Microsoft 公式の CLI ツールで、Storage Account 間 / オンプレと Azure 間の高速並列転送に最適です。PowerShell / Bash スクリプトに組み込み CI/CD で自動化したり、定期バッチで大量データを転送できます。 |