【正解: A】の理由

Storage Account の Firewall 設定で「Allow Azure services on the trusted services list to access this storage account」を有効化すると、Azure Backup / Azure Site Recovery / Microsoft Defender for Storage など Microsoft マネージドサービスからのアクセスが許可されます。これにより、Service Endpoint 制限を維持しつつマネージドサービスとの連携が実現します。

【他選択肢が違う理由】

• B: SE 無効化はセキュリティ低下を招きます。
• C: Public 無条件許可は Zero Trust 要件に反します。
• D: マネージドサービス連携に VPN Gateway は不要です。

【参考】

Storage Firewall