[MCP 70-533]Azure Active Directory関連例題(1)

MCPの70-533の勉強をちまちま続けているわけですが、Actice Directory関連が問題数が多く、しかも結構深いところまで聞かれるようなので困っています。仮想マシンなどならともかく、オンプレのADとの連動などは環境を作るのが大変なので実機で試すのも難しい状況。

例題を解きながら調べてみたいと思います。

例題1

Azure AD DSを設置する際に必要でないことはどれか?

A. AD DS専用のVNetを用意する
B. AD DS専用のサブネットを用意する
C. AD DS用のサブネットではゲートウエイを設定しない
D. AD DS用のサブネットには3から5のIPの空きを作っておく

Azure Portal を使用して Azure Active Directory Domain Services を有効にする
Azure Active Directory Domain Services のネットワークに関する考慮事項

上記に書いてありますが、AD DSは既存のVNetに設置することが可能です。ただし、一度設置すると移動はできないようです。また、専用のサブネットを作成して、そのサブネットはゲートウエイやNGSを設定しない、と書いてあります。下手に設定すると、Azureからの管理ができなくなるからのようです。また、少なくともサブネットに3-5のIPの空きが必要です。ということで答えはAです。

例題2

Azure AD ConnectでオンプレからAzure ADに連動している。また、AD FSも使用している。Azure Connect HealthがAD FSのログを解析できるようにしたい。2つ選択。

A. AD Connectが動いているサーバでセキュリティ監査を有効にする
B. AD FSが動いているサーバでセキュリティ監査を有効にする
C. AD FSが動いているサーバで監査ポリシーをVerboseにする
D. AD Connectが動いているサーバで監査ポリシーをVerboseにする

This is the Azure AD Connect Health page how to monitor your on-premises AD FS infrastructure.
This is the Azure AD Connect Health page that describes the agent installation for AD FS and Sync.

AD FSをAzure Connect Healthで監視するための手順が上記に記載されています。AD FSが動いているサーバでセキュリティ監査を有効にし、同じく監査ポリシーをVerposeにします。AD Connectが動いているサーバは無関係、ということになります。答えはB,Cです。

例題3

Azure AD向けのアプリでOAuth2.0認証のWebAPIを実装している。ユーザーへの認証のプロンプトを減らすにはどうすればよいか。

A. マルチリソース更新トークンを有効にする
B. WS-federationアクセストークンを有効にする
C. Open Web Interface for .NETを設定する
D. SAML 2.0を設定する

勉強不足すぎて何が何やら、という感じですが、OAuth2.0での更新トークンの使い道を考えるとAを選択すべきですね。B-CはフェデレーションSSOの設定の際に使用するものです。

例題4

複数のディレクトリを管理している。SaaSアプリを作成して、全てのユーザーが使えるようにするにはどうすればいいか。

A. Federation Metadata URLを設定する
B. Webアプリとして登録する
C. マルチテナントとして設定する
D. ネイティブクライアントアプリとして設定する

マルチテナント アプリケーションでの認証、承認、および ID 管理のベスト プラクティス。

複数のディレクトリ(ADの組織)なので、Cのマルチテナントアプリケーションとなります。消去法で行きたくてもAの選択肢の意味がいまいち分からないので難しいですね。「複数ディレクトリ」「SaaSアプリ」ときたら「マルチテナント」と覚えればよさそうです。

多いので続きはまたあとで。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク