【正解: B】の理由

MACsec はレイヤ 2 リンク暗号化標準で、ExpressRoute Direct (10/100 Gbps 直接接続) でのみサポート。顧客の Edge ルータと Microsoft Edge ルータ間の物理リンクを暗号化します。Provider 経由 ER では事業者のスイッチを経由するため MACsec は利用不可です。

【MACsec on ER Direct】

• AES-128 / AES-256 暗号
• Connectivity Association Key Name (CKN) / Key (CAK) で構成
• Azure Key Vault に格納可能
• BGP / IPsec とは独立した L2 暗号 (二重暗号も可能)

【他選択肢が違う理由】

• A: Provider モデルでは利用不可です。
• C: Standard SKU でも MACsec は ER Direct でのみ。
• D: Premium add-on は MACsec 機能ではない。

【参考】

ER MACsec