MCPの70-533の勉強をちまちま続けているわけですが、Actice Directory関連が問題数が多く、しかも結構深いところまで聞かれるようなので困っています。仮想マシンなどならともかく、オンプレのADとの連動などは環境を作るのが大変なので実機で試すのも難しい状況。
例題を解きながら調べてみたいと思います。
Azure AD DSを設置する際に必要でないことはどれか?
A. AD DS専用のVNetを用意する
B. AD DS専用のサブネットを用意する
C. AD DS用のサブネットではゲートウエイを設定しない
D. AD DS用のサブネットには3から5のIPの空きを作っておく
上記に書いてありますが、AD DSは既存のVNetに設置することが可能です。ただし、一度設置すると移動はできないようです。また、専用のサブネットを作成して、そのサブネットはゲートウエイやNGSを設定しない、と書いてあります。下手に設定すると、Azureからの管理ができなくなるからのようです。また、少なくともサブネットに3-5のIPの空きが必要です。ということで答えはAです。
Azure AD ConnectでオンプレからAzure ADに連動している。また、AD FSも使用している。Azure Connect HealthがAD FSのログを解析できるようにしたい。2つ選択。
A. AD Connectが動いているサーバでセキュリティ監査を有効にする
B. AD FSが動いているサーバでセキュリティ監査を有効にする
C. AD FSが動いているサーバで監査ポリシーをVerboseにする
D. AD Connectが動いているサーバで監査ポリシーをVerboseにする
AD FSをAzure Connect Healthで監視するための手順が上記に記載されています。AD FSが動いているサーバでセキュリティ監査を有効にし、同じく監査ポリシーをVerposeにします。AD Connectが動いているサーバは無関係、ということになります。答えはB,Cです。
Azure AD向けのアプリでOAuth2.0認証のWebAPIを実装している。ユーザーへの認証のプロンプトを減らすにはどうすればよいか。
A. マルチリソース更新トークンを有効にする
B. WS-federationアクセストークンを有効にする
C. Open Web Interface for .NETを設定する
D. SAML 2.0を設定する
勉強不足すぎて何が何やら、という感じですが、OAuth2.0での更新トークンの使い道を考えるとAを選択すべきですね。B-CはフェデレーションSSOの設定の際に使用するものです。
複数のディレクトリを管理している。SaaSアプリを作成して、全てのユーザーが使えるようにするにはどうすればいいか。
A. Federation Metadata URLを設定する
B. Webアプリとして登録する
C. マルチテナントとして設定する
D. ネイティブクライアントアプリとして設定する
複数のディレクトリ(ADの組織)なので、Cのマルチテナントアプリケーションとなります。消去法で行きたくてもAの選択肢の意味がいまいち分からないので難しいですね。「複数ディレクトリ」「SaaSアプリ」ときたら「マルチテナント」と覚えればよさそうです。
多いので続きはまたあとで。