これは何ですか?
某資格試験直前に追い込まれて作成した一問一答のようなもの。自分用なので網羅はできていない。
せっかくなので…と公開しています。が、内容ふるかったらすみません…。
チェック項目
一問一答っぽくなっている。
外部プロバイダー設定とは?外部コラボレーション設定との違いは?
Entra IDのFree/P1/P2の違いは?
| 機能 | Free | P1 | P2 |
|---|---|---|---|
| ユーザー/グループ管理 | ✅ | ✅ | ✅ |
| SSO(シングルサインオン) | ✅(制限あり) | ✅ | ✅ |
| セルフサービスパスワードリセット | クラウドのみ | オンプレ書き戻しも可 | ✅ |
| MFA(多要素認証) | セキュリティ既定値のみ(一律適用) | ✅ | ✅ |
| 条件付きアクセス | ❌ | ✅ | ✅ |
| 動的グループ | ❌ | ✅ | ✅ |
| アプリケーションプロキシ | ❌ | ✅ | ✅ |
| Identity Protection(リスク検出) | ❌ | ❌ | ✅ |
| リスクベースの条件付きアクセス | ❌ | ❌ | ✅ |
| PIM(特権ID管理) | ❌ | ❌ | ✅ |
| アクセスレビュー | ❌ | ❌ | ✅ |
| 監査/サインインログ保持 | 7日間 | 30日間 | 30日間 |
| SLA | なし | 99.99% | 99.99% |
ポイント:
- Freeでもセルフサービスパスワードリセットは可!
- P1: グループ管理が楽になる感じ
- セキュリティが強化される
ポリシーベースのVPN Gatewayは、いつ使える?
パブリック/プライベートDNSゾーンには、自動登録機能はある?ない?
そもそも、自動登録機能って何だろう?
自動登録とは:VMを作成すると、自動的にDNSレコードが追加される機能。
VM「web-server」を作成
↓
自動で登録される
↓
「web-server.contoso.internal → 10.0.1.5」
パブリックDNSゾーンにはこれは存在しない(セキュリティのため)。
FirewallとWAFの違いとは?
レイヤーが違う。Firewallはネットワーク層、WAFはアプリケーション層。
DDoSとかに対応しているのがWAF。
VMのIPアドレスを変える手順は?
| やりたいこと | 方法 | VM再作成 |
|---|---|---|
| 同じサブネット内でIP変更 | NICのIP構成を変更 | 不要 |
| サブネット変更 | IP構成入れ替え or NIC追加→削除 | 不要 |
| VNet変更 | 新NIC作成→追加→旧NIC削除 | 不要 |
Application Gatewayとは?
負荷分散サービス。これはアプリケーション層(ロードバランサーはネットワーク層)。
| サービス | レイヤー | 見るもの | 範囲 |
|---|---|---|---|
| Load Balancer | L4 | IP + ポート | リージョン内 |
| Application Gateway | L7 | URL、ヘッダー、Cookie | リージョン内 |
| Traffic Manager | DNS | ドメイン名 | グローバル |
ゲートウェイゲートランジットとは?
- ピアリング先のVPN Gatewayを「借りる」機能
- 設定:
- Gateway持ち側:「ゲートウェイトランジットを許可する」
- 借りる側:「リモートゲートウェイを使用する」
Identity Protectionってどんな機能?
不審なサインインを自動検出する機能。
※条件付きアクセスは「もし○○のIPからアクセスするなら二要素認証を…」とかそういうやつで、不審かどうか、とはまた別。
アクセスレビューって何だっけ?
権限周りの設定を定期的に棚卸してくれる機能。
Azure CNIとは?
Podごとに独自IPアドレスを持つ仕組みのこと。
Podとは、複数のコンテナをまとめた単位(Pod1にContainer1とContainer2があったりする)。
DSC拡張とは?
DSC = Desired State Configuration(望ましい状態の構成)のこと。VMを「望ましい状態」に自動的に維持してくれる。設定が変わっても矯正される。
※もうすぐ廃止されてAzure Machine Configurationに移行するらしい。
障害ドメイン・更新ドメインの規定値と最大値は?
| ドメイン | 何から守る | 既定 | 最大 |
|---|---|---|---|
| 更新ドメイン | 計画メンテナンス | 5 | 20 |
| 障害ドメイン | 物理障害 | 2 | 3 |
ユーザー一括招待時、必要な情報は?
招待するメールアドレスとリダイレクトURL
BLOBストレージへの認証はどういうやり方がある?
ネットワーク仮想アプライアンス (NVA) の高可用性を担保しつつLoad Balancerを使う場合は何を使う?(2つ)
- HAポート: 全ポート・全プロトコルを1ルールで転送する機能
- Floating IP: 宛先IPが「LBのIP」のまま届く(通常はVMのIPに置き換わる)→NVA(ネットワーク仮想アプライアンス)は特定のIPのみをリッスンしているため、LBのIPのまま届いた方が都合が良い
Microsoft Entra Privileged Identity ManagementはMicrosoft Entraの組織においてロールの割り当て時やロールがアクティブ化された場合などのイベント発生時にメール送信などの通知を設定することができる!
仮想ネットワークピアリングが既に存在している段階で、片方の仮想ネットワークにアドレス空間を追加する場合、その設定手順は?
- アドレス空間を仮想ネットワークに追加
- ピアリングを同期する
※ピアリングの接続解除や作り直しは必要ない!
条件付きフォワーダーとは?
特定ドメイン(example.comとか)への名前解決を要求された時、別のDNSへ名前解決を委任する仕組みのこと。
参考: https://se2ls.com/Infra/DNS/dns_forward.html とか。
Recovery Services コンテナー間でバックアップデータを移動させるには?
現状、バックアップデータは移動できない。
VMのデータディスクをVM1からVM2に移動させる方法は?
NSGは同一リージョンのものにしか紐づけられない?別リージョンでも可能?
同一リージョン"でない"リージョンのものも扱えるのはどういう物がある?
New-AzDeployment を利用してAzure上のテンプレートを選択し、デプロイするには
- Templatefile
- TemplateUri
どっち?
Azure Container Appのサイドカーって何?
VM-AとVM-Bは共にVNetAのサブネットに接続されている。この時、VM-AとVM-Bの間の全ての接続を許可したい。必要なNSGの数は?
インバウンドNAT規則って何?
特定ポートへの接続は必ず特定のVMに届ける…という規則。
ロードバランサーの規則ではあるが、負荷分散、とはまた違う。
例えば、Load BalancerのパブリックIPが20.0.0.1の時、
Load BalancerのパブリックIP : ポート → 転送先
──────────────────────────────────────────
20.0.0.1 : 50001 → VM-A : 22 (SSH)
20.0.0.1 : 50002 → VM-B : 22 (SSH)
20.0.0.1 : 50003 → VM-C : 22 (SSH)
みたいな感じになる。
カスタムポリシー定義と組み込みポリシー定義の違いは?
「既存のものを置き換える」オプションでの復元はどういう復元か?
ディスク(のみ)が上書きされる。
既存のVMの設定(OSの設定やアプリケーションなど)はそのまま維持される。
更新ドメインについて: 更新ドメインが20であるということはつまりどういうこと?
20台あって、更新ドメイン10なら
- 20台に1, 2, ... 10, 1, 2, ... 10と数を割り当てる
- 1のマシン(2台)を更新
- 2のマシン(2台)を更新
- ...
という感じで更新する。
30台あって更新ドメイン10なら最大3台ずつ更新。
31台なら最初だけ4台、以降は3台ずつ更新。
ちなみに規定値は5。最大20。
障害ドメインについても同様の質問です。説明できる?
これも更新ドメインとほぼ同様。
10台あって障害ドメイン2なら5台ずつのドメインが2つできる(=1つの障害で5台が同時に影響を受けうる)。
※障害ドメインの最大数は3。
同期グループとは?
どのAzure Filesのファイル共有とどのオンプレのフォルダを同期させるか?を決めるグループ。
同期グループ
├── クラウドエンドポイント(1つだけ)
│ └── Azure Files のファイル共有
│
├── サーバーエンドポイント(複数可)
│ ├── サーバーA の D:\SharedFolder
│ └── サーバーB の E:\SharedFolder
...
- クラウドエンドポイント — 同期先のAzure Filesファイル共有。同期グループにつき1つだけ
- サーバーエンドポイント — 同期するオンプレサーバー上のフォルダーパス。複数登録可能
サーバーエンドポイントを複数登録すると、たとえばサーバーAにファイルを追加するとクラウドを経由してサーバーBにも同じファイルが同期される。
クラウド・サーバーの状況は常に全部同じになる。
新たにタグを割り当てるポリシーを作成した。
既存のリソースに上記ポリシーを適用するとどうなる?
MFAバイパス日数の設定方法は?
Azureポリシー・ロック・タグはどこまで割り当てられる?
- 管理グループ
- サブスクリプション
- リソースグループ
の中で…
Azureポリシー・ロック・タグの中で継承される・されないものは?
アプリケーションプロキシって何?
アーカイブ層が使えない冗長オプションは?
サービスタグとは?
サービスタグなし: 10.0.0.1, 10.0.0.2, 10.0.0.3 ... (大量のIP)
サービスタグあり: Sql ← これだけでOK
ユーザー定義ルートとは?
通信経路をユーザーが定義する仕組み。
例えば、「オンプレへの通信はVPNゲートウェイ経由にする」場合、UDRを使ってネクストホップを固定してやる。
仮想ネットワークリンクは何の機能?
プライベートDNSゾーン専用の機能。
プライベートDNSゾーン(例:contoso.internal)
├── 仮想ネットワークリンク → VNet-A(自動登録ON)
└── 仮想ネットワークリンク → VNet-B(自動登録OFF)
ここで自動登録を設定すると、VMが作成されたとき自動でDNSレコードが登録される。
グループへのライセンス登録はそのグループのメンバーにライセンスが付与される?されない?
VPN Gatewayについて、ルートベースとポリシーベースはどう使い分ける?
バックアップは、基本何日無料で保存される?
DockerコンテナはBlob/Files/Table/Queueのどれを使うべき?