ケーススタディと試験対策問題
以下は、Azureの高度な利用シナリオを含む複数のケーススタディです。各ケーススタディは、複数のテナント、サブスクリプション、リージョン、ネットワーク構成、セキュリティ設定、オンプレミスとの連携など、複雑な環境を網羅しています。
また、各ケーススタディに関連する詳細なリソース情報をカテゴリーごとの表形式で提供し、理解を深めるための具体的な値を記載しています。
ケーススタディ1: Contoso社のグローバル展開
背景
Contoso社は国際的な製造業者であり、北米、ヨーロッパ、アジアに拠点を持っています。同社はAzureを活用してクラウドインフラを構築し、オンプレミス環境とのハイブリッド構成を目指しています。セキュリティとガバナンスを重視し、各地域での法規制に準拠した環境を求めています。
リソース一覧
1. テナントとサブスクリプション
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| テナント | contoso.onmicrosoft.com | カスタムドメイン: contoso.com |
| テナント | contosoasia.onmicrosoft.com | カスタムドメイン: contosoasia.com |
| サブスクリプション | Production_Sub_US | プラン: Pay-As-You-Go, リージョン: 米国西部 |
| サブスクリプション | Production_Sub_EU | プラン: CSP, リージョン: ヨーロッパ北部 |
| サブスクリプション | Development_Sub_ASIA | プラン: EA, リージョン: 東南アジア |
2. 仮想ネットワークとサブネット
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| VNet | VNet_US | アドレス空間: 10.0.0.0/16, サブスクリプション: Production_Sub_US |
| VNet | VNet_EU | アドレス空間: 10.1.0.0/16, サブスクリプション: Production_Sub_EU |
| VNet | VNet_ASIA | アドレス空間: 10.2.0.0/16, サブスクリプション: Development_Sub_ASIA |
| サブネット | Subnet_App_US | アドレス範囲: 10.0.1.0/24, NSG: NSG_App_US |
| サブネット | Subnet_DB_US | アドレス範囲: 10.0.2.0/24, NSG: NSG_DB_US |
| サブネット | Subnet_App_EU | アドレス範囲: 10.1.1.0/24, NSG: NSG_App_EU |
3. ネットワークセキュリティグループ(NSG)
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| NSG | NSG_App_US | ポート80,443許可、その他拒否 |
| NSG | NSG_DB_US | ポート1433許可(特定IPのみ)、その他拒否 |
| NSG | NSG_App_EU | ポート80,443許可、その他拒否 |
4. 仮想マシン(VM)
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| VM | VM_WebApp_US | OS: Windows Server 2019, サイズ: Standard_DS2_v2, 接続方法: パブリックIP |
| VM | VM_Database_US | OS: Linux Ubuntu 18.04, サイズ: Standard_DS3_v2, 接続方法: プライベートエンドポイント |
| VM | VM_Backup_EU | OS: Windows Server 2016, サイズ: Standard_DS1_v2, 可用性セット利用 |
5. ストレージアカウント
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| ストレージアカウント | staccountus001 | アカウント種別: StorageV2, レプリケーション: GRS, 暗号化: カスタマー管理キー(Key Vault利用) |
| ストレージアカウント | staccounteu001 | アカウント種別: BlobStorage, レプリケーション: LRS, ライフサイクル管理: ホット→クール→アーカイブ |
6. Azure Arc
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| Azure Arcサーバー | ArcServer_OnPrem1 | オンプレミスWindowsサーバーを管理対象化 |
| Azure Arcサーバー | ArcServer_OnPrem2 | オンプレミスLinuxサーバーを管理対象化 |
7. RBACとEntra ID
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| ロール | Owner | サブスクリプションレベルでのフルアクセス |
| ロール | Contributor | 特定リソースグループでの管理権限 |
| Entra IDグループ | Developers_Group | メンバー: 開発者, 役割: Contributor |
| Entra IDグループ | SecurityAdmins_Group | メンバー: セキュリティ管理者, 役割: Security Admin |
8. その他のリソース
| カテゴリー | リソース名 | 詳細 |
|---|---|---|
| Managed Identities | VM_Database_US_MI | VM_Database_USに割り当てられたシステム割り当てマネージドID |
| ロードバランサー | LB_Public_US | パブリックロードバランサー、バックエンドプール: VM_WebApp_US |
| ポリシー | Require_Encrypted_Disks | すべてのVMディスクを暗号化することを要求するポリシー |
| イニシアティブ | Security_Compliance_Init | セキュリティコンプライアンスに関する複数のポリシーを含むイニシアティブ |
試験対策問題
質問1
Contoso社のAzure環境で、VM_Database_USはプライベートエンドポイントを使用してデータベースにアクセスします。このVMに対してシステム割り当てマネージドID(VM_Database_US_MI)が設定されています。データベースへの接続とセキュリティを最適化するための正しい構成はどれですか?
a) VMからデータベースへの通信を許可するNSGルールを追加し、マネージドIDを使用して認証を行う。
b) パブリックIPをVMに割り当て、データベースへのアクセスを可能にする。
c) マネージドIDを使用して、データベースへのアクセス権を付与し、プライベートリンクサービスを介して接続する。
d) VMとデータベースが同じサブネットに配置されているため、追加の設定は不要。
正解: c) マネージドIDを使用して、データベースへのアクセス権を付与し、プライベートリンクサービスを介して接続する。
質問2
ストレージアカウントstaccountus001では、カスタマー管理キーを使用した暗号化が設定されています。このキーはAzure Key Vaultで管理されています。キーのローテーションを自動化し、継続的な運用を確保するために必要なAzure Key Vaultのアクセスポリシー権限はどれですか?
a) get、list
b) get、list、update
c) get、list、create、delete
d) get、list、update、create、delete
正解: b) get、list、update
質問3
新しい開発者がDevelopers_Groupに追加されました。このグループには特定のリソースグループでのContributorロールが割り当てられています。開発者がアクセスできないリソースはどれですか?
a) リソースグループ内の仮想マシンの起動と停止
b) リソースグループ内の新しいリソースの作成
c) リソースグループ自体の削除
d) リソースグループ内の既存リソースのタグの更新
正解: c) リソースグループ自体の削除
質問4
Azure Arcを使用してオンプレミスサーバーをAzureで管理しています。ArcServer_OnPrem1に対してAzure Policyを適用し、準拠性を監視したいと考えています。ArcServer_OnPrem1に必要な構成はどれですか?
a) Azure Monitorエージェントのインストール
b) Log Analyticsエージェントのインストール
c) Azure Policyゲスト構成拡張機能のインストール
d) 特別な構成は不要
正解: c) Azure Policyゲスト構成拡張機能のインストール
質問5
VNet_USとVNet_EU間でリソースの通信を可能にする必要があります。ただし、各VNetは別々のサブスクリプションとリージョンに存在します。最も簡潔で効率的なソリューションはどれですか?
a) VNetピアリングを設定する
b) Site-to-Site VPN接続を設定する
c) Azure ExpressRouteを使用する
d) パブリックインターネットを経由して通信する
正解: a) VNetピアリングを設定する
質問6
Load Balancer LB_Public_USを設定し、バックエンドプールのVM_WebApp_USへのトラフィックを分散させています。高可用性をさらに向上させるために、どのような構成を追加すべきですか?
a) VM_WebApp_USを可用性セットに追加する
b) ロードバランサーの冗長性は既に確保されているため、追加の構成は不要
c) 複数のVMをバックエンドプールに追加し、可用性ゾーンにまたがって配置する
d) ロードバランサーをStandard SKUからBasic SKUに変更する
正解: c) 複数のVMをバックエンドプールに追加し、可用性ゾーンにまたがって配置する
質問7
セキュリティコンプライアンスを維持するために、Security_Compliance_Initイニシアティブをサブスクリプションに割り当てました。新たにデプロイされたリソースがこのイニシアティブに準拠していることを確認するために、何を行うべきですか?
a) リソースのタグ付けを強制するポリシーを追加する
b) イニシアティブにポリシーの追加は不要
c) リソース作成時に都度手動でポリシーを適用する
d) Azure PolicyのDeny効果を使用して、準拠していないリソースのデプロイをブロックする
正解: d) Azure PolicyのDeny効果を使用して、準拠していないリソースのデプロイをブロックする
質問8
オンプレミス環境とAzureのEntra IDを同期させ、効率的で厳密なガバナンスに即した管理を行いたいと考えています。最適なソリューションはどれですか?
a) Azure AD Connectを使用してディレクトリ同期を行う
b) 手動でユーザーとグループをAzure Entra IDに作成する
c) Azure AD Connect Cloud Syncを使用する
d) フェデレーション認証を設定する
正解: a) Azure AD Connectを使用してディレクトリ同期を行う
質問9
ストレージアカウントstaccounteu001でライフサイクル管理を設定し、データをホットからクール、そしてアーカイブ層に移行させています。このプロセスを最適化するための考慮点はどれですか?
a) アクセス頻度に基づいてデータを手動で移行する
b) ライフサイクル管理ルールを定義し、自動化する
c) レプリケーションをGRSに変更する
d) データの暗号化を無効にする
正解: b) ライフサイクル管理ルールを定義し、自動化する
質問10
ARMテンプレートを使用して、一貫性のあるリソースデプロイを実現したいと考えています。ARMテンプレートの主な利点はどれですか?
a) リソースの手動設定を簡素化する
b) すべてのデプロイをGUIで行う
c) インフラストラクチャをコードとして管理し、再利用性を高める
d) Azure CLIやAzure PowerShellの必要性を排除する
正解: c) インフラストラクチャをコードとして管理し、再利用性を高める
ケーススタディと試験対策問題(拡張版)
以下は、Contoso社のグローバル展開というケーススタディを基に、さらに複雑で深い理解を促すための追加の選択式問題です。これらの問題は、既存のケーススタディに新たな要件や制約を導入し、AZ-104試験の合格に向けた網羅的な理解を支援します。各問題は、具体的な設定手順やトレードオフに焦点を当てています。
ケーススタディ1: Contoso社のグローバル展開(拡張版)
新たな要件および制約
Contoso社は、既存のAzure環境に以下の新たな要件を追加しました:
-
災害復旧(DR)計画の実装
- ヨーロッパリージョンのデータが北米リージョンでも冗長化される必要がある。
- データ復旧時のRTO(復旧時間目標)は4時間、RPO(復旧時点目標)は15分以内とする。
-
ハイブリッドネットワークの拡張
- 東南アジアリージョンとオンプレミス環境間での帯域幅を増加させ、1Gbpsの冗長接続を確保する。
- VNet間のトラフィックは、低レイテンシかつ高帯域幅の専用接続を利用する必要がある。
-
セキュリティ強化
- 全てのストレージアカウントにおいて、Azure Defenderを有効化し、脅威検出機能を強化する。
- Entra IDの条件付きアクセスを設定し、特定のIPアドレス範囲からのアクセスのみを許可する。
-
コスト管理と最適化
- 各サブスクリプションのコストを定期的に監視し、予算超過を防ぐためのアラートを設定する。
- リソースの未使用を自動的に検出し、スケールダウンまたはシャットダウンを実行する。
-
コンプライアンス遵守
- GDPRおよび各地域のデータ保護規制に準拠するため、データの所在地と処理方法を管理する。
- Azure Policyを使用して、コンプライアンス違反のリソース作成を自動的にブロックする。
試験対策問題(拡張版)
質問11
Contoso社は、ヨーロッパリージョンで発生したデータ損失に備え、北米リージョンにデータを冗長化する災害復旧(DR)計画を実装したいと考えています。RTOを4時間、RPOを15分以内に設定するために最適なソリューションはどれですか?
a) ヨーロッパリージョンのストレージアカウントにGeo-RAIDを有効化し、北米リージョンに対して手動でレプリケーションを設定する。
b) Azure Site Recoveryを使用して、ヨーロッパリージョンのVMを北米リージョンにフェイルオーバーするように構成する。
c) Azure Backupを使用して、ヨーロッパリージョンのデータを北米リージョンに定期的にバックアップする。
d) VNetピアリングを利用して、ヨーロッパと北米のVNet間でデータをリアルタイムに複製する。
正解: b) Azure Site Recoveryを使用して、ヨーロッパリージョンのVMを北米リージョンにフェイルオーバーするように構成する。
質問12
Contoso社は、東南アジアリージョンとオンプレミス環境間で1Gbpsの冗長接続を確保する必要があります。最も適切な接続オプションはどれですか?
a) VPN GatewayのStandard SKUを使用して、冗長なSite-to-Site VPN接続を2つ設定する。
b) Azure ExpressRouteの冗長接続を使用し、異なる回線事業者を利用して1Gbpsの帯域幅を確保する。
c) VNetピアリングを使用して、東南アジアリージョンとオンプレミス環境を接続する。
d) Azure Bastionを使用して、安全なリモートアクセスを提供する。
正解: b) Azure ExpressRouteの冗長接続を使用し、異なる回線事業者を利用して1Gbpsの帯域幅を確保する。
質問13
Contoso社は、全てのストレージアカウントにAzure Defenderを有効化し、脅威検出機能を強化したいと考えています。これを実現するための最も効果的な方法はどれですか?
a) 各ストレージアカウントに対して個別にAzure Defenderを手動で有効化する。
b) Azure Policyを使用して、全てのストレージアカウントにAzure Defenderを自動的に適用するポリシーを設定する。
c) ARMテンプレートを使用して、新規のストレージアカウント作成時にAzure Defenderを有効化するスクリプトを実装する。
d) Azure Security Centerのおすすめを手動で確認し、必要に応じてAzure Defenderを有効化する。
正解: b) Azure Policyを使用して、全てのストレージアカウントにAzure Defenderを自動的に適用するポリシーを設定する。
質問14
Entra IDの条件付きアクセスポリシーを設定し、特定のIPアドレス範囲からのみAzureポータルへのアクセスを許可したいと考えています。これを実現するための最適な手順はどれですか?
a) Azure AD Connectを使用して、オンプレミスのADから特定のIPアドレスを同期する。
b) Entra IDの「条件付きアクセス」ポリシーで「ネットワーク」条件を設定し、許可するIPアドレス範囲を指定する。
c) 各ユーザーに対して個別にIPアドレスベースのアクセス許可を設定する。
d) NSG(ネットワークセキュリティグループ)を使用して、Azureポータルへのアクセスを制限する。
正解: b) Entra IDの「条件付きアクセス」ポリシーで「ネットワーク」条件を設定し、許可するIPアドレス範囲を指定する。
質問15
Contoso社は、各サブスクリプションのコストを定期的に監視し、予算超過を防ぐためのアラートを設定したいと考えています。最も適切な方法はどれですか?
a) Azure Cost Managementを使用して予算を設定し、予算超過時にメール通知を受け取るように構成する。
b) Azure Advisorを使用してコスト最適化の推奨を確認する。
c) 各リソースに対して個別に予算アラートを設定する。
d) Azure Monitorを使用してコストのメトリックを監視し、カスタムアラートを作成する。
正解: a) Azure Cost Managementを使用して予算を設定し、予算超過時にメール通知を受け取るように構成する。
質問16
未使用のリソースを自動的に検出し、スケールダウンやシャットダウンを実行することでコストを最適化したいと考えています。これを実現するための最も効果的なソリューションはどれですか?
a) Azure Automation Runbooksを使用して、定期的にリソースの使用状況をチェックし、未使用リソースを削除するスクリプトを実行する。
b) Azure Policyを使用して、未使用リソースの作成を禁止するポリシーを設定する。
c) Azure Advisorの「コスト最適化」カテゴリーを定期的に確認する。
d) Azure Logic Appsを使用して、未使用リソースを検出し、自動的にスケールダウンまたはシャットダウンするワークフローを作成する。
正解: d) Azure Logic Appsを使用して、未使用リソースを検出し、自動的にスケールダウンまたはシャットダウンするワークフローを作成する。
質問17
GDPRおよび各地域のデータ保護規制に準拠するために、Contoso社はAzure Policyを使用してコンプライアンス違反のリソース作成を自動的にブロックしたいと考えています。これを実現するためには、どのAzure Policyの効果を使用するべきですか?
a) Audit
b) Deny
c) Append
d) DeployIfNotExists
正解: b) Deny
質問18
Contoso社は、災害発生時にサービスを迅速に復旧させるため、北米リージョンにおけるAzure Site Recoveryのテストフェイルオーバーを実施したいと考えています。テストフェイルオーバーを行う際に注意すべきポイントはどれですか?
a) テストフェイルオーバーは本番環境に影響を与えずに実行できる。
b) テストフェイルオーバー中は、全てのアプリケーションが停止する。
c) テストフェイルオーバーは自動的に元のリージョンに戻すことはできない。
d) テストフェイルオーバーには追加のコストが発生しない。
正解: c) テストフェイルオーバーは自動的に元のリージョンに戻すことはできない。
質問19
Azure Cost Managementを使用して、Contoso社はサブスクリプションごとのコスト分析を行っています。予算超過を防ぐために、費用が予算の80%に達した時点でアラートを受け取りたいと考えています。この設定を行うための最も適切な手順はどれですか?
a) Azure Cost Managementの「予算」機能で予算額を設定し、閾値80%に対するアラートを構成する。
b) Azure Monitorでカスタムメトリックを作成し、費用が80%に達した時点でアラートをトリガーする。
c) Azure Advisorのコスト最適化推奨を有効化し、80%を閾値に設定する。
d) Azure Policyを使用して、予算の80%に達した場合にリソースの作成をブロックする。
正解: a) Azure Cost Managementの「予算」機能で予算額を設定し、閾値80%に対するアラートを構成する。
質問20
Contoso社は、GDPR遵守のためにAzure Policyを使用して、特定のリージョン外でのデータストレージを禁止したいと考えています。これを実現するためには、どのようなポリシーを作成すべきですか?
a) リソースグループレベルでの位置情報制限ポリシー
b) ストレージアカウントの地理的レプリケーションを禁止するポリシー
c) リージョン制限ポリシーを作成し、許可されたリージョンのみでのリソース作成をDenyする
d) ネットワークセキュリティグループに地域基準のルールを追加する
正解: c) リージョン制限ポリシーを作成し、許可されたリージョンのみでのリソース作成をDenyする
質問21
Contoso社は、Azure Logic Appsを使用して未使用リソースの検出とスケールダウンを自動化するワークフローを作成しました。このワークフローを効果的に運用するために、どのAzureサービスとの統合が最も適切ですか?
a) Azure Event Grid
b) Azure Monitor
c) Azure DevOps
d) Azure Active Directory
正解: b) Azure Monitor
質問22
Contoso社は、Azure Site Recoveryを使用して災害復旧計画を実装しています。RPOを15分以内に維持するために、どのような構成変更が必要ですか?
a) レプリケーションの頻度を10分に設定する
b) レプリケーションの頻度を5分に設定する
c) レプリケーションタイムアウトを15分に設定する
d) 同期レプリケーションを有効化する
正解: b) レプリケーションの頻度を5分に設定する