【正解: A】の理由

Azure Firewall の IP Group は IP アドレス / CIDR 範囲を名前付きグループとして集約する機能で、複数の Firewall ルール (Network Rule / Application Rule / DNAT Rule) で同じ IP 範囲を再利用できます。これにより、IP 範囲の変更時には IP Group を更新するだけで複数ルールに反映され、管理運用が大幅に効率化されます。

【他選択肢が違う理由】

• B: Service Tag は Microsoft が管理する事前定義タグで、ユーザがカスタム範囲を作ることはできません。
• C: ASG は VM の NIC をグループ化する NSG 用機能で、Azure Firewall ルールでは使えません。
• D: Route Table の Address Prefix は経路定義で、Firewall ルールでの IP セット再利用機能ではありません。

【参考】

Azure Firewall IP Groups