【正解: A】の理由

Azure Key Vault の Private Endpoint には privatelink.vaultcore.azure.net Zone を関連付け、Key Vault 側の Firewall 設定で Public Access を Disable にすることで Zero Trust 構成が実現します。これにより、Secret / Key / Certificate アクセスを VNet 内に限定できます。

【他選択肢が違う理由】

• B: Public のみだと Zero Trust 要件を満たせません。
• C: Storage との統合は必須ではありません。
• D: Key Vault は PE 対応サービスです。

【参考】

Key Vault Private Link