【正解: A】の理由

Storage Firewall で「Default action: Deny」と「Allow trusted Microsoft services」を組み合わせると、VNet / 許可 IP からの明示的なアクセスのみが許可されつつ、Azure Backup / Site Recovery / Defender for Storage などの信頼されたマネージドサービスは引き続き接続できる設計が実現します。これにより、セキュリティとマネージド連携を両立できます。

【他選択肢が違う理由】

• B: 信頼されたサービスは許可されるため全拒否ではありません。
• C: Default Deny のため Public Internet 全許可ではありません。
• D: よく使われる標準組み合わせです。

【参考】

Storage Firewall