AZ-104

テスト

ひろっこ 2023年12月24日カード227 いいね1

Azure試験

ビューア設定

[Enter]で回答、[Shift + Enter]で改行します。キーボードショートカットテスト結果は全て回答すると保存されます。

改行を優先する [Enter]が改行・[Shift + Enter]が回答になります。
正解済みをスキップ前回のテストで正解だったカードをスキップします。
自分で採点する完全一致以外の答えを自分で採点します。
カードを裏返すカードの表裏を逆にします。
カードを混ぜるカードをランダムに混ぜます。
ショートカット無効化すべてのショートカットを無効化します。
読み上げるカードを機械音声 (発音の保証無し) が読み上げます。
読み上げ面
読み上げ方
読み上げ音声 (表)
読み上げ音声 (裏)
カードのスタイル文字の色や形状、画像の配置を指定できます。
文字の色
文字の太さ
文字の大きさ
画像の配置
ヒントの表示
カードのめくり方

高可用性や冗長性を必要とするときに使用するLBは？

Standard Load Balancer Azure Load Balancer は可用性ゾーンにまたがったVM似た起用して冗長性の高いデプロイをサポートしています。Standard Load Balancer を使用することで、リソースをゾーンに一致させて、複数のゾーンに分散させることにより、シナリオ全体の可用性を向上させることができます。 Basic Load Balancerは高可用性や冗長性を必要としない小規模なアプリケーション向けのロードバランサ―です。このロードバランサ―は可用性ゾーンと互換性がありません。
Basic Load Balancerの特徴は

・高可用性や冗長性を必要としない
・小規模なアプリケーション向け
・可用性ゾーンと互換性がない
Azure SQL Databaseのアクティブ geo レプリケーションを利用することでなにができる？

プライマリデータベースに対して継続的に同期された読み取り専用のセカンダリデータベースを作成できます。この読み取り可能なセカンダリデータベースは、プライマリとは別のリージョンに展開することができます。アクティブ geo レプリケーションでは、Always On 可用性グループテクノロジを利用して、プライマリレプリカで生成されたトランザクションログをすべての geo レプリカに非同期的にレプリケートします。

Azure SQL Databaseは１つのプライマリに対して最大 4 つの geo セカンダリを作成できます。そのため通常の構成だけでは６つの支社がある全てのリージョンに対して、レプリカを作成することができません。このように4 つ以上のリージョンにデータへの読み取り専用アクセスを提供する必要がある場合は、セカンダリのセカンダリ (チェーンと呼ばれるプロセス) を作成し、追加の geo レプリカを作成できます。
NSGは何に対して設定できる？

サブネットまたは仮想マシン
VMに対するBackup時の手順は？

１．Recovery Services コンテナーを作成
２．Recovery Services コンテナー内でリソースの種類に仮想マシンを指定してバックアップポリシーを適用
３．バックアップする対象となるVM を選択
４．VM側でバックアップを有効にするには、[バックアップ] で [バックアップの有効化] を選択 VM側でバックアップを有効にするには、[バックアップ] で [バックアップの有効化] を選択しますこれにより、ポリシーがコンテナーと VM にデプロイされ、Azure VM で実行されている VM エージェントにバックアップ拡張機能がインストールされます。
Azureロードバランサーの構成において、ある訪問者からのリクエストに対しては、同じWebサーバーへのリクエスト処理が継続するように構成したい場合には、ロードバランサ―機能において「？？？」を設定します。

セッション永続化同じ送信元IPアドレスからのリクエストを処理する仮想マシンが変わらないように固定化できます。
正常性プローブとは

LBでバックエンドプール内の仮想マシンがアップしているかを確認するためのコンポーネント
インバウンドNAT規則とは

ロードバランサーの特定のポート番号宛の通信を、指定したターゲット仮想マシンの特定のポート番号宛に変換するために使用するもの
LBでいうSKUとは？

SKUはロードバランサーの性能を決定するパラメーターです。
特定のメールを有する外部ユーザーをMicrosoft Entra内に招待するには？

Azureポータルから、新しいゲストユーザーを追加し、電子メールアドレスとして指定する。 Microsoft Entraでは組織とコラボレーションするユーザーをゲストユーザーとしてディレクトリに追加することで、そのユーザーを招待できます。受諾リンクを含む招待メールを送信するか、共有するアプリへの直接リンクを送信できます。ゲストユーザーは自分の職場、学校、またはソーシャルの ID を使用してサインインできます。
App Serviceにデプロイしたアプリケーションの「？？？」を交換することで、そのアプリケーションのバージョンを変更することが可能です。

展開スロットスロットを交換すると、App Serviceは送信元スロットと宛先スロットの仮想IPアドレスを交換し、それによってスロットのURLを交換します。スワップバックすることで、デプロイメントを簡単に元に戻すことができます。
AzureApp Serviceの「デプロイスロット」とは？

Webアプリを固有のホスト名で実行できる環境のことデフォルトの設定でApp Serviceをデプロイすると、1つの「運用スロット」が生成される。さらに「ステージング」「開発」といったデプロイスロットを追加し、それぞれに別々のホスト名を割り当てつつ、固有のWebアプリをデプロイすることが可能だ。

　また、運用スロットとステージングスロットを「スワップ」することで、ステージングスロットでテストしていた新バージョンのアプリを速やかにライブサイトで公開することもできる。スワップすることで、コンテンツ（ファイル）や多くの設定が運用とステージングの間で入れ替わることになる。
Azure Automation State Configurationとは

クラウドまたはオンプレミスのデータセンターのノードについて PowerShell Desired State Configuration (DSC) の構成を記述、管理、およびコンパイルできる構成管理サービスこれを利用して、あなたはAzure仮想マシンの構成と継続的な整合性を管理することができます。Azure Automation State Configurationを利用する際は、以下の手順に従った設定が必要です。

1. DSC構成を作成する。
2. DSC構成をAzure Automation State Configurationにアップロードする。
3. DSC 構成をノード構成 (MOF ドキュメント) にコンパイルする。
4. VMにノード構成を適用して、State Configurationを使用した仮想マシンの管理を有効にする。
5. ノードのコンプライアンス対応状態を確認する。
バックアップの実施時間などの詳細を設定するためには「A」に対して「B」を指定して、バックアップの設定を行う必要があります。

A：Recovery Services Vault
B：バックアップポリシー Recovery Services Vaultを使用して、VMやAzureSQLデータベースなどのさまざまなAzureサービスのバックアップデータを保持できます。その際にバックアップポリシーを利用して、復旧ポイントを作成するためにデータのスナップショットを取得するタイミングを指定します。また、復旧ポイントを保持する期間も指定できます。
Azure Backupを使用してバックアップできる仮想マシンとして選択できるWindowsOS５つ

Windows Server 2012 R2
Windows Server 2016、2019、2022
Windows 10 Azure Backup サービスでは64bitのOSがサポートされており、32bitはサポートされていません。
一度起動した仮想マシンは配置された仮想ネットワークを後から変更することができる？

できない VM-AのVNET-Aという仮想ネットワークは変更することができないため、新しい仮想ネットワーク（VNET-B）に接続された仮想マシンが必要となった場合は、既存の仮想マシンVM-Aを一度削除して、VNET-Bに新しい仮想マシンを起動する必要があります。
あなたはVM-Aという名前のUbuntu 仮想マシンをSubscription1にデプロイする予定です。
仮想マシンの初回起動時にいくつかのパッケージをインストールする必要があります。
その際に、作成するファイルは？

cloud-init.txt cloud-init.txtは仮想マシンの最初の起動時にVMをカスタマイズするために使用されるファイルです。パッケージのインストールやファイルの書き込み、またはユーザーとセキュリティの構成に使用されます。
あなたはVM-Aという名前のUbuntu 仮想マシンをSubscription1にデプロイする予定です。
仮想マシンの初回起動時にいくつかのパッケージをインストールする必要があります。実行しなければいけないコマンドは？

AzureCLIの"az vm create --custom-data"コマンド cloud-init.txtを作成したら、az vm create --custom-data コマンドを使用してcloud-init 構成ファイルに基づいてVMを起動することができます。 az vm createがVMを起動するコマンドであり、 --custom-data パラメーターを付与することで、cloud-initというカスタムデータを利用したVM作成を実施することができます。
仮想マシンの初回起動時にいくつかのパッケージを自動でインストールしてカスタマイズする設定はAzurPotalからできる？

できない。 Azureポータルを利用して仮想マシンを選択して起動することはできますが、仮想マシンの初回起動時にいくつかのパッケージを自動でインストールしてカスタマイズするには別途ファイルやスクリプトが必要です。
Azureでは同じ仮想ネットワークにあるサブネット間の接続ルートはデフォルトで作成される。〇か×か。

○
仮想アプライアンス（virtual appliance）とは

仮想化技術を用いて、特定用途のアプリケーションソフトが稼働する環境を即座に構成できるようにしたもの。仮想マシン（VM）のイメージファイルなどとして提供される。
Recovery Services コンテナー作成前に事前に確認できる設定３つ

・Azure VM のバックアップアーキテクチャ
・バックアップ拡張機能
・サポートマトリックス・バックアップの対象として選択されている Azure VM に対して、Azure Backup はユーザーが指定したバックアップスケジュールに従ってバックアップジョブを開始します。そのため、Recovery Services コンテナーの作成前にAzure VM のバックアップアーキテクチャを確認することが望ましいです。
・バックアップ拡張機能は、Recovery Services コンテナー作成時に有効化して、そのVMへの設定詳細を確認することができます。そして、Recovery Services コンテナーを設定後の最初のバックアップ時に、バックアップ拡張機能が VM にインストールされます。　
・サポートマトリックスはAzure Backup サービスを使用して Azure VM をどのようにバックアップおよび復元できるかを示しています。Recovery Services コンテナーの作成前にこの設定を確認することでバックアップの適性がわかります。
Windows Server 2016を実行し、100％の使用率で5つのCPUコアを持つVM-Aという名前の仮想マシンがあります。Azure Migrateプロジェクトの快適性係数：2.0 の場合、Azure MigrateはVM-AにいくつのCPUコアを推奨しますか？

10コア推奨されるCPUコア数は「コア使用量 x 快適係数 (2.0)」で計算されます。

VM-Aは100％の使用率で5コアであり、コア使用量は5 * 1.0 = 5コアに相当するので、快適係数 (2.0) を掛けて推奨コア数は10となります。
Azure Container Registryとは

Dockerイメージを格納する為のプライベートレジストリ
コンテナイメージをAKSクラスターにデプロイするには？
Azure CLIを利用して、「A」コマンドを実行してイメージをビルドして、「B」にPushする

A：az acr buildコマンド
B：ACR Azure Container RegistryはDockerイメージを格納する為のプライベートレジストリです。Azure CLIを利用して、”az acr buildコマンド”を実行してイメージをビルドして、ACRにPushすることでコンテナイメージを作成できます。このコンテナイメージを利用して、AKS（AzureKubernetes Service）にデプロイすることができます。
このコマンドは？docker run

コンテナ作成の元となるイメージの指定して、実行するためのコマンドです。このコマンドを実行する前に、イメージを作成することが必要です。
このコマンドは？docker build

Dockerコンテナーの構成をまとめて記述する「Dockerfile」ファイルと、それを適用しDockerイメージを作成することができます。
Azure Import/Exportジョブを使用してストレージアカウントにデータを転送する必要があります。データのインポート先、エクスポート先として使用できるのは？

AzureFilesStorage：インポートのみOK
AzureBlobStorage：インポート、エクスポートOK
.

. ローカル冗長ストレージ（LRS）
ゾーン冗長ストレージ（ZRS）
地理冗長ストレージ（GRS）
地理ゾーン冗長ストレージ（GZRS）
ゾーン冗長ストレージ (ZRS) は、プライマリリージョンにある 3 つの Azure 可用性ゾーン間でデータを同期的にコピーします。さらに、プライマリリージョンで ZRS を使用し、セカンダリリージョンにもレプリケートすることもできます。ZRS を使用すると、データは、ゾーンが使用できなくなった場合でも読み取り操作と書き込み操作の両方にアクセスできます。
ZRSがサポートされている３つのストレージは？

・Standard 汎用 v2 ストレージアカウント
・Premium ブロック BLOB アカウント
・Premium ファイル共有アカウント
リソースにタグを追加するポリシーはどんなポリシー？

リソースが作成または更新されたときに指定されたタグと値を追加するポリシー Modify の効果と修復タスクを使用しない限り、すでに作成済みのリソースに対してポリシーを適用することはない
あなたは複数のVMを含むSub-Aという名前のAzureサブスクリプションを利用しています。
Azure Monitorを利用して、VMの監視することを予定しています。その際は、ハートビートを送信した個別のコンピューターの数を示す棒グラフを毎週作成する必要があります。Log Analyticsの設定をする必要あります。

Heartbeat
| where TimeGenerated >= startofweek(ago10d)
| [①][②](Computer) by endofweek(TimeGenerated)
| [③] barchart kind = default
①②③に適切な選択肢を選びなさい。

①summarize②dcount③render summarize を使用して1 つまたは複数の列に従ってレコードのグループを特定し、グループ内のデータを集計します。 summarize dcount(Computer) とすることで、ハートビートを送信した個別のコンピューターの数を合計します。
render barchart kind=defaultとすることで、集計結果を棒グラフとして表示できます。今回のケースでは、 summarize dcount(Computer) によってハートビートを送信した個別のコンピューターの数を合計しています。その合計結果を”render barchart kind=default”が棒グラフにしてくれます。
次のうち、VM起動時に行うとダウンタイムがある変更は？
①インスタンスサイズ
②マネージドデータディスク
③拡張機能インストール
④Desired State Configuration管理を有効にする
⑤PuppetAgent拡張機能の追加

①インスタンスサイズ仮想マシンが実行されている場合、そのサイズを変更すると仮想マシンが再起動されます。したがって、再起動時にダウンタイムが発生します。
②～④は再起動不要です。
AzureCLIでAzure Kubernetes Service (AKS) からクラスターを作成するために実行するコマンドは？

az aks create Azure Kubernetes Service (AKS) は、Kubernetes クラスターをすばやくデプロイおよび管理することができるマネージド型のKubernetes サービスです。Azure CLI を使用して AKS クラスターを操作するには、az aksコマンドを実行します。az aks createコマンドにより新たなKubernetesクラスターを作成することができます。
どんな意味のコマンド？
①az acr build
②kubectl apply
③docker build

①az acr build：DockerイメージをビルドしてACRにプッシュする
②kubectl apply：クラスター内のリソースを作成・更新する
③docker build：Dockerイメージをビルドする
ITにおけるバイパスって？

通常の処理や手続きを省略して、別の方法で目的を達成すること
ユーザーがMFAを使用して正常にサインインしたデバイスを利用した場合に、10日間はそのデバイスからのアクセス時にMFAをバイパスする機能が必要です。どのような設定が必要でしょうか？

Azure portal の Microsoft Entra のMulti-Factor Authentication 設定多要素認証ページにおいて、バイパス日数を変更する。 (1)Azure portal で、Microsoft Entraを検索して選択し、 [ユーザー] を選択します。

(2)[Multi-Factor Authentication] を選択します。

(3)[Multi-Factor Authentication] の下で [サービス設定] を選択します。

(4)[サービス設定] ページの [Multi-Factor Authentication を記憶する] で、 [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] オプションを選択します。

(5)信頼できるデバイスが多要素認証をバイパスする日数を設定します。デフォルトはのバイパス期間は14日です。
Azure Load BalancerにパブリックIP アドレスを適用する際は、ロードバランサーとパブリック IP アドレスの「？」が一致していなければなりません。

SKU
Runbookとは

Azure Automation のプロセスオートメーション機能では Runbook を利用して、プロセスを自動化することができます。Runbook は、Automation によって、その内部で定義されているロジックに基づいて実行されます。
Azure 仮想マシンのスケールセットはなにができる？

アプリケーションを実行する VM インスタンスの数を増減させることができます。
既存の仮想マシンイメージを使用して新規に仮想マシンスケールセットのデプロイを自動化する予定です。
スケールセットの仮想マシンがプロビジョニングされた際に、仮想マシンにWEBサーバーコンポーネントをインストールすることが必要です。
どのような設定が必要でしょうか。

①AzurePotalで新しい仮想マシンスケールセットを作成
②カスタムスクリプト拡張機能をアップロードする
③Webアプリへのアクセスを許可するNSGを作成仮想マシンスケールセットは、負荷分散が行われる VM のグループを作成して管理することができます。これにより、需要またはスケジュールに応じて、VM インスタンスの数を自動的に増減させることができます。
カスタムスクリプト拡張機能は、Azure VM起動時などにスクリプトを実行することができる機能です。カスタムスクリプト拡張機能によって、仮想マシン起動時にソフトウェアのインストール、その他の構成や管理タスクを実施できます。したがって、仮想マシンスケールセットによって仮想マシンを起動した際に、カスタムスクリプトを実行することで、仮想マシンにWEBサーバーコンポーネントをインストールすることができます。
AKS-Aという名前のAzure Kubernetes Service(AKS)クラスターを作成しました。kubectlクライアントをVM-Aにインストールするためのコマンドは？

az aks Install-cli kubectlクライアントをVM-AにインストールするためにはkubectlというKubernetes用のコマンドツールを実行する必要があります。kubectlコマンドである「az aks install-cli コマンド」を実行することでkubectlクライアントを特定の仮想マシンにインストールすることができます。

AzureのCLIツールはAzure Cloud Shellです。Azure Cloud Shell は、Azure リソースを管理するための、ブラウザーでアクセスできる対話形式の認証されたターミナルです。kubectl はAzure Cloud Shelに既にインストールされています。
どのストレージアカウントにライフサイクル管理ルールを適用できますか？

・汎用 v2
・Premiumブロック BLOBのBlob Storage
Azureコンテナーインスタンスの外部ボリュームとしてサポートされているのは？

Azure Filesで作成された Azureファイル共有のみデフォルトでは、Azureコンテナーインスタンスはステートレスであり、コンテナーが再起動されるか停止すると状態が失われます。そのため、コンテナーの有効期間後も状態を保持するには外部ボリュームをマウントする必要があります。
Azureファイアウォールと仮想ネットワーク間を関連付けするためには「A」「B」「C」が同じリージョンかつ同じリソースグループに属していなければなりません。

A：ファイアウォール
B：仮想ネットワーク
C：パブリック IP アドレス
Azureファイアウォールと仮想ネットワーク間を関連付けするためにはファイアウォール、仮想ネットワーク、パブリック IP アドレスが同じ「A」かつ同じ「B」に属していなければなりません。

A：リージョン
B：リソースグループ
あなたは東日本リージョンのRG-Aに対して、VM-AとVM-Bという名前の仮想マシンを作成しました。
あなたは東日本リージョンにImage-Aという名前のDockerイメージを使用するcontainer-Aという名前のAzureコンテナーインスタンスを作成しました。
これらのコンテナーインスタンスと仮想マシンをバックアップするようにAzureBackupを構成する必要があります。
作成する必要のあるRecovery Servicesコンテナーの最小数はいくつですか？

１ Recovery Services コンテナーに格納するデータとはストレージデータのバックアップや仮想マシン (VM)、ワークロード、サーバー、ワークステーションのいずれかの構成情報です。
Recovery Services コンテナーはリージョンを指定してリージョン内に作成されます。Recovery Services コンテナーを使用すると、VM (Linux または Windows) や、コンテナー、Azure SQL データベースなどのさまざまな Azure サービスのバックアップデータを保持できます。その際に同じリージョン内にある複数のリソースに対して、同じecovery Services コンテナーを適用することができます。

したがって、今回のケースでは、バックアップ対象となるすべてのリソースが東日本リージョンに配置されているため、バックアップに必要となるコンテナーの数は最低一つです。
Recovery Services コンテナーに格納できるデータ5種類はなに？

・ストレージデータのバックアップ
・仮想マシン (VM)
・ワークロード
・サーバー
・ワークステーション
いずれかの構成情報
仮想ネットワークへのピアリングが有効になっており切断されていなければ、異なるリソースグループ間のVMでも通信できる。〇か×か。

○
リカバリポイントからファイルまたはフォルダを復元する手順

手順1.ファイルのリカバリを選択
[バックアップ]ダッシュボードメニューで、[ファイルのリカバリ]をクリックします。

手順2. リカバリポイントの選択
[リカバリポイントの選択]ドロップダウンメニューから、必要なファイルを保持しているリカバリポイントを選択します。デフォルトでは、最新のリカバリポイントがすでに選択されています。

手順3：実行ファイル/スクリプトのダウンロード
[実行可能ファイルのダウンロード] (Windows Azure VM の場合) または [スクリプトのダウンロード] (Linux Azure VM の場合: Python スクリプトが生成される) を選択して、リカバリポイントからファイルをコピーするために使用するソフトウェアをダウンロードします。

手順4：スクリプト実行要件確認
スクリプトが実行できる要件を確認します。スクリプトを実行する前にマシンが要件、OSの要件、アクセスの要件の要件を確認して、スクリプトが実行できる準備を行います。

手順5：スクリプト実行でボリューム識別
スクリプトを実行してボリュームを識別します。実行可能ファイルを実行すると、オペレーティングシステムは新しいボリュームをマウントし、ドライブ文字を割り当て、バックアップから復元します。

手順6：AZ Copyでローカルストレージにコピー後、追加ドライブを削除
AZ Copyコマンドを利用してファイルを識別してローカルストレージの場所にコピーした後、追加ドライブを削除 (またはマウント解除) します。
Basic Load Balancerのバックエンドプールに設定する仮想マシンに必要な条件２つ（いずれかが必要）

・単一の可用性セットの仮想マシンである。
・単一の仮想マシンスケールセット内の仮想マシンである。
Azure Load Balancerの３つのSKU

Basic、Standard、Gateway 各 SKU は特定のシナリオに対応しており、バックエンドプールエンドポイントの設定方式が異なっています。例えば、Standard Load Balancerのバックエンドプールは単一の仮想ネットワーク内の任意の仮想マシンまたは仮想マシンスケールセットに対して設定することができます。
Standardロードバランサーのバックエンドプールの条件（いずれか必要）

・単一の仮想ネットワーク内の任意の仮想マシン
・仮想マシンスケールセットに設定されている
デバイスを特定のセキュリティグループに参加させるには、その「？」による承認が必要です。

セキュリティグループの所有者
Azure AD のセキュリティグループにデバイスを追加する方法は、手動追加と自動追加の2種類あります。それぞれの特徴は？

自動追加：セキュリティグループの所有者が手動でグループにデバイスを追加・削除します。グループの所有者アカウントを設定して、そのアカウントに管理を実施してもらいます。
自動追加：Azure AD Premium P1 ライセンスの「動的グループ」機能を利用してデバイスを自動で追加することができます。グループに追加したいデバイスの情報 (OS やバージョンなど) と管理デバイスの情報を設定することで、新規に登録されるデバイスがマッチすると自動的にグループに追加することができます。
オンプレミス環境にあるMicrosoft System Center Service ManagerにおいてAzureリソースへのアラートを設定するためには、「？」をデプロイして、Azure をService Managerに接続する必要があります。

IT Service Management Connector (ITSMC) Azure Log Analytics および Azure Monitor などの Azureのモニタリングサービスには、オンプレミス環境などのAzure 以外のリソースに対する問題の検出、分析、トラブルシューティングを行うツールが用意されています。IT Service Management Connector (ITSMC)がその代表的なツールです。IT Service Management Connector (ITSMC) をセッティングすることで、Azure環境をオンプレミス環境にある IT Service Management (ITSM) 製品またはサービスに接続することができます。これを利用して、VM-AのCPU使用率が70％以上になった際に、Microsoft System Center Service Managerからアラートを通知することができるようになります。
「？」は、ディレクトリ内の Azure AD リソースの管理に使用されます。

Microsoft Entra ロールたとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザーパスワードのリセット、ユーザーライセンスの管理、ドメインの管理にMicrosoft Entra ロールを利用します。
Web ジョブとは？

Web アプリ、API アプリ、またはモバイルアプリと同じインスタンスでプログラムやスクリプトを実行できる Azure App Service の機能
あなたはASP1という名前のFreeのApp Serviceプランを含むAzureサブスクリプションを利用しています。
ASP1にはapp-Aという名前のAzure App Serviceをホストしています。
カスタムドメインを構成し、app-Aのバックアップを有効にする必要があります。
あなたは最初に何をすべきですか？

ASP1（App Serviceプラン）をスケールアップする Azure App Serviceはプランに応じて利用できる機能が異なります。特にFreeのサービスプランではいくつかの機能が制限されています。したがって、Azure App ServiceをスケールアップすることでアプリケーションのCPU、メモリ、ディスク領域を増やしたり、専用の仮想マシン (VM)、カスタムドメインと証明書、ステージングスロット、オートスケールのような拡張機能をアプリケーションに追加できます。

これによって、app-Aにカスタムドメインを構成して、app-Aのバックアップを有効にすることが可能となります。したがって、カスタムドメインを構成し、app-Aのバックアップを有効にするためには、先にASP1をスケールアップすることが必要です。
ロードバランサーの作成時には、特定の「A」と「B」の指定が必要となります。ロードバランサーのバックエンドプールには「A」のアドレス範囲から「C」を付与されていることが必要です。

A：仮想ネットワーク
B：サブネット
C：プライベートIPアドレス Standard Load Balancer のバックエンドプールに構成する仮想マシンに対してすでにパブリック IP アドレスが割り当てられている場合、アウトバウンド規則の有無にかかわらず、このパブリックIPアドレスは無効になります。したがって、仮想マシンには動的 IPv4 アドレスは必要ないため、このIPアドレスは事前に削除することが必要です。
LB-AというStandard パブリックロードバランサーをデプロイしました。LB-AにNATゲートウェイを設定する前に必要な設定は？

静的パブリックIPアドレスを作成する。 NATゲートウェイは仮想ネットワーク内のリソースのインターネットアクセス用のために利用するゲートウェイです。プライベートネットワーク内にある仮想マシンなどがインターネットとアウトバウンド通信できるように、NATゲートウェイはプライベートIPアドレスをパブリックIPアドレスに変換してくれます。

このパブリックIPアドレスへの変換を行うためには、NATゲートウェイに静的なパブリックIPアドレスが設定されている必要があります。
会社はRG-Aというリソースグループを含むSubscription1という名前のAzureサブスクリプションを利用しています。RG-Aにはいくつかの未使用のリソースが含まれています。
あなたはAzure CLIを使用して、確認のダイアログを表示せずに、RG-AとRG-Aに属するリソースを削除する必要があります。
どのコマンドを使用する必要がありますか？

az group delete --name RG-A --no-wait --yes Azure CLI を使用してリソースグループを削除するには、az group delete コマンドを使用します。--no-wait オプションを設定すると長時間実行される操作を待たないように指定できます。また、--yes オプションを設定すると確認ダイアログを表示しないように指定することができます。
それぞれのコマンドの意味は？
az group deployment delete
az group update
az group wait

az group deployment delete コマンド：デプロイ履歴からデプロイを削除する
az group update：リソースグループを更新する
az group wait：リソースグループの条件が満たされるまでCLI を待機状態に設定する
Azure Storage アカウントでファイル共有を作成してAzureFileを利用する予定です。AzureFileに対して、AzureFileSyncを利用して最初のオンボードで完全なファイル忠実性をアクセス制御リスト（ACL）を維持しながら、AzureFileで組織のファイル共有一元化することが必要です。どのような設定が必要でしょうか？（３つ選択してください。）

①同期グループを作成する
②Windows Server をStorageSyncServiceに登録する
③サーバーにAzureFileSyncエージェントをインストールする ①Azure File Sync のデプロイするために、最初に選択したサブスクリプションのリソースグループに対してストレージ同期サービスのリソースを配置することが必要です。その後、サーバーとストレージ同期サービスリソース間に信頼関係を確立します。
②Windows Server をストレージ同期サービスに登録することで、サーバー (またはクラスター) とストレージ同期サービスの間に信頼関係が確立されます。それによって、 1 つのサーバーは1 つのストレージ同期サービスにのみ登録されて、同じストレージ同期サービスに関連付けられている他のサーバーおよび Azure ファイル共有と同期できます。
③Azure File Sync エージェントはWindows Server を Azure ファイル共有と同期する際にサーバーに対してインストールが必要なエージェントです。同期に利用する各サーバーに対して Azure File Sync エージェントをインストールすることが必要です。
マルチサイトリスナーとは？

Azure Application Gatewayの設定のひとつで、 "Host" HTTPヘッダーまたはホスト名に基づいて異なるバックエンドプールにリクエストを転送する場合に用いられます。
Azure Import / Exportサービスを使用してファイルをストレージアカウントにコピーする予定です。
ドライブをインポートジョブ用に準備する前に、どのファイルを作成する必要がありますか。2つ答えよ。

・ドライブセットCSVファイル
・データセットCSVファイル Azure Import / Exportサービスを使用してファイルをストレージアカウントにコピーする際に、ドライブをインポートジョブ用に準備します。さらに、ドライブをインポートジョブ用に準備する前に、データセットファイルとドライブセットファイルを作成することが必要となります。データセットのCSV ファイルはターゲットドライブにコピーするディレクトリの一覧またはファイルの一覧を含む CSV ファイルの /dataset フラグの値です。ドライブセットファイルには、ツールが準備するディスクの一覧を正しく選択できるように、ディスクとディスクに対応するドライブ文字の一覧が含まれています。
User1が自分のデバイスをMicrosoft Entraに参加させるためには、デバイスの参加設定を変更することが必要です。その際は、[デバイスの設定]ブレードにおいて、[？] に設定すると、Microsoft Entra 参加済みデバイスとしてデバイスを登録できるユーザーを選択することができます。

ユーザーはデバイスを Microsoft Entraに参加させることができます
Azure Application Insightsを使用して、アプリのパフォーマンスと使用状況を監視する必要があります。
コードを変更することなく Application Insights を使用してアプリケーションの監視する場合に、何をすべきですか？

自動インストルメンテーションの使用自動インストルメンテーションを使用すると、コードを変更することなく Application Insights を使用したアプリケーションの監視を有効にすることができます。Application Insights はさまざまなリソースプロバイダーと統合されており、さまざまな環境で動作します。Application Insights によってテレメトリは自動的に収集され、Application Insights リソースにメトリック、要求、依存関係が表示されます。これを利用して、ユーザーは潜在的な問題が発生する前に原因を特定し、エンドツーエンドのトランザクションビューを使用して根本原因を分析することができます。
Azure App Serviceを利用してアプリケーションを構築する際はApp Serviceプランが必要です。その際は、必ずOSごとにApp Serviceプランが必要となります。利用するべきOSは？
【利用するべきOSの選択】
.NET Core => ？
ASP.NET V4.7 => ？
PHP => ？
Ruby =>？

.NET Core => Windows か Linux
ASP.NET V4.7 => Windows
PHP => Windows か Linux
Ruby =>Linux ASP.NETは.NET Framework上に構築されたWebアプリケーションのためのフレームワーク群のことです。特定のOS環境に依存しない開発環境で、Windows、Windows Phone、Web、Windows server、Microsoft Azureなどのアプリを作成するための開発プラットフォームです。
あなたは100台の仮想マシンを含むSubscription1という名前のAzureサブスクリプションを利用しています。
オンプレミスネットワークと仮想マシン間の遅延を監視する必要があります。何を使うべきですか？

ネットワークパフォーマンスモニターオンプレミスネットワークと仮想マシン間の遅延を監視するにはネットワークパフォーマンスモニターを利用します。ネットワークパフォーマンスモニターはネットワークインフラストラクチャのさまざまなポイント間のネットワークパフォーマンスを監視するのに役立つハイブリッドネットワーク監視ソリューションです。サービスエンドポイントとアプリケーションエンドポイントへのネットワーク接続を監視し、AzureExpressRouteのパフォーマンスを監視するのにも役立ちます。

ネットワークパフォーマンスモニターでは、クラウド展開とオンプレミスの場所、複数のデータセンター、ブランチオフィス、およびミッションクリティカルな多層アプリケーションまたはマイクロサービス全体のネットワーク接続を監視できます。
Service Mapとは

自動的に Windows および Linux のシステム上のアプリケーションコンポーネントを検出し、サービス間の通信をマップします。 Service Map を使用すると、サーバーを重要なサービスを提供する相互接続されたシステムとして表示することができます。
Azure Security Centerとは

自社のセキュリティ体制を可視化して、1つのコンソールからAzure上の仮想マシンやSQL Database、Data lake、コンテナ、アプリなどのリソースだけでなく、オンプレミスサーバー、他クラウド（AWSやGCPなど）の仮想マシンまでも網羅的に監視できる統合セキュリティ管理システムです。
あなたは100個のAzure仮想マシンを含むAzureサブスクリプションを利用しています。
一部の仮想マシンが有効に利用されていないことが懸念されています。したがって、あなたは十分に活用されていない仮想マシンをすばやく特定する必要があります。
どのAzureサービスを利用するべきでしょうか。

Azure Advisor Azure Advisor はAzureのベストプラクティスに従って利用中のAzure リソースを評価して、レコメンデーションを抽出してくれるガイダンス機能です。これによって、リソースの構成と利用統計情報が分析され、Azure リソースの費用対効果、パフォーマンス、信頼性 (以前の高可用性)、およびセキュリティを向上させるために役立つソリューションが推奨されます。Azure Advisorを利用することで、アイドル状態のリソースと十分に活用されていないリソースを特定することで、Azure全体の支出を最適化および削減するのに役立ちます。
Service Mapとは

自動的に Windows および Linux のシステム上のアプリケーションコンポーネントを検出し、サービス間の通信をマップします。 Service Map を使用すると、サーバーを重要なサービスを提供する相互接続されたシステムとして表示することができます。
Azure Security Centerとは

自社のセキュリティ体制を可視化して、1つのコンソールからAzure上の仮想マシンやSQL Database、Data lake、コンテナ、アプリなどのリソースだけでなく、オンプレミスサーバー、他クラウド（AWSやGCPなど）の仮想マシンまでも網羅的に監視できる統合セキュリティ管理システムです。
VNET-Aにおいて、VM-AとVM-Bという仮想マシンを作成しました。
Network Watcherを利用して、特定のトラフィックが目的の宛先に転送されているかどを検証することが必要です。
Network Watcherのどの機能を利用すればよいでしょうか。

ネクストホップ Network Watcherのネクストホップ機能を利用して、特定のトラフィックがAzure仮想マシンに到達できないようにするセキュリティ規則を特定することができます。仮想マシン (VM)からのトラフィックは仮想マシンのネットワークインターフェイス (NIC) に関連付けられた有効なルートに基づいて送信先に送信されます。Azure Network Watcher のネクストホップを利用することで、その際に特定の宛先 IP アドレスのネクストホップの種類、IP アドレス、ルートテーブル ID が得られます。ネクストホップからそれらの情報を確認することで、トラフィックが目的の宛先に転送されているかどうか、またはトラフィックがどこにも送信されていないかを判断できます。
Network Watcherの「？」は、仮想マシンから送受信されるパケットの許可または拒否の状況を検証します。この情報は方向、プロトコル、ローカル IP、リモート IP、ローカルポート、リモートポートで構成されます。パケットがセキュリティグループにより拒否された場合、そのパケットを拒否した規則の名前が返されます。

IPフロー検証
Azure Network Watcher の「？」を使うと、仮想マシン (VM) またはスケールセットとの間で送受信されるトラフィックを追跡する「？」セッションを作成できます。ネットワーク送信の事後と事前にネットワークの異常を診断するのに役立ちます。

パケットキャプチャ
「？」はNSG 内の VM に適用された規則の一覧を取得できます。適切な NSG セキュリティプロファイルを定義し、一週間ごとに「？」を適用して、その出力結果を適切なプロファイルと比較します。

セキュリティグループビュー結果として、セキュリティグループの適切さに関するレポートを作成することができます。この機能により、所定のセキュリティプロファイルに準拠していないすべての VM を簡単に特定できます。
VNET-Aにおいて、VM-AとVM-Bという仮想マシンを作成しました。
Network Watcherを利用して、VMやIPアドレスなどの異なる種類の宛先への接続テストを確認することが必要です。
どの機能を利用すればよいでしょうか。

接続のトラブルシューティング Azure Network Watcher の接続トラブルシューティング機能は、ネットワーク接続の問題を診断してトラブルシューティングする時間を短縮するのに役立ちます。返された結果から、接続の問題の根本原因と、それがプラットフォームまたはユーザー構成の問題によるものかどうかについての分析情報が得られます。迅速な解決のために、ステップバイステップガイドまたは対応するドキュメントが提供される実用的な分析情報を含む、次の結果も提供されます。
・異なる宛先の種類 (VM、URI、FQDN、または IP アドレス) を使用した接続テスト
・到達可能性に影響する構成の問題
・ソースから宛先への可能なすべてのホップバイホップのパス。
・ホップバイホップの待機時間
・待機時間 (ソースと宛先の間の最小、最大、および平均)
・ソースから宛先へのグラフィカルトポロジビュー
・接続のトラブルシューティングチェック中に失敗したプローブの数。
リソースロックとは

リソースロックはサブスクリプション、リソースグループ、またはリソースをロックし、組織の他のユーザーが誤って重要なリソースを削除したり変更したりするのを防止する機能です。ロックはユーザーが持っている可能性のあるどのアクセス許可よりも優先されます。
Azureではリージョンを跨いでWebアプリを移動することができ。。。？

る！サブスクリプションも跨げる。（読み取りオンリーなどでなければ。）
同期グループ内のエンドポイントは相互に同期が維持されるので、いずれかのエンドポイントにアップロードされたファイルはすべてのエンドポイントに同期され維持される。〇か×か。

○
同期グループには、1 つの「A」 (Azure ファイル共有) と 1 つ以上の「B」が含まれます。そして、「B」ではクラウド階層化の設定を行うことができます。クラウド階層化とは、「B」に含まれるファイルのうちアクセス頻度が低いものをクラウド内の Azure ファイル共有に格納することで、オンプレミスで使用するストレージの量を減らす仕組みとなります。

A：クラウドエンドポイント
B：サーバーエンドポイント
電子メール送信のレート制限は1時間に何回？

100回レート制限とは特定の通知機能などの送信制限のことです。電話番号、電子メールアドレス、またはデバイスに送信される通知が多すぎる場合に通知が一時的に制限されるように設定されています。通知種別に以下のように閾値が設けられています。
【運用環境】
SMS: 5 分ごとに 1 件以下の SMSを送信します。
音声: 5 分ごとに 1 件以下の音声通話を送信します。
電子メール: 1 時間に100 件以下の電子メールを送信します。
【テストアクショングループ】
SMS: 1 分ごとに 1 件以下の SMSを送信します。
音声: 1 分ごとに 1 件以下の音声通話を送信します。
メール: 1 分ごとに 2 件以下のメールを送信します。
Azureにおいてサイト間接続を作成するための手順

1. 仮想ネットワークの作成
2. ゲートウェイサブネットの作成
3. VPNゲートウェイの作成
VPNゲートウェイは仮想ネットワークゲートウェイです。パブリックネットワーク経由でAzureの仮想ネットワーク間、もしくは仮想ネットワークとオンプレミスのトラフィックを暗号化するために利用されます。VNet の仮想ネットワークゲートウェイ (VPN ゲートウェイ) を作成します。

4. ローカルネットワークゲートウェイの作成
ローカルネットワークゲートウェイはオンプレミスの場所 (サイト) を指定するルーティング先のオブジェクトです。サイトに Azure が参照できる名前を付け、接続を作成するオンプレミスVPN デバイスの IPアドレスを指定します。

5. VPNデバイスの構成
オンプレミスネットワークとのサイト間接続には VPN デバイスが必要となるため、VPNデバイスを構成します。

6. VPN接続の作成
VPNゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。
共同作成者ロールを付与したRole-Aという名前のカスタム Azure ロールを設定することが必要です。C:\\CustomRolesフォルダにおいて、「ContributorRole.json」という名称のJSONファイルで出力します。PowerShellを利用して、どのようにコマンドを実行すればよいでしょうか。

Get-AzRoleDefinition -Name "Contributor" | ConvertTo-Json | Out-File C:\CustomRoles\ContributorRole.json Get-AzRoleDefinition コマンドを使用して、特定のロールの詳細を表示することができます。 -Name "Contributor"を追加することで、共同作成者（Contributor）という名称のロールを指定して表示することになります。

| ConvertTo-Json | Out-File ファイル名というコマンドを実行することで、表示したロールの内容をJSONファイルに変換してから出力します。
条件付きアクセスポリシーとは

ユーザーがAzureリソースにアクセスする際にユーザーに特定のアクションを完了することを必須とするポリシーです。これを利用して、MFA入力を条件として設定することができます。
Microsoft Entraの動的グループはどんな使い方ができる？

A部門のメンバーであるという条件に基づいて、追加されたユーザーを自動的にA部門グループに追加することができます。A部門グループに事前に適切なロールを設定しておくことで、ユーザーが追加されるたびに自動的にグループの設定を適用することが可能となります。
アクショングループとは

Azure Monitorを利用したアラート通知設定などの通知先となるユーザーグループを設定する仕組みです。
Identity Protectionとは

組織が以下の 3 つの主要なタスクを実行するためのツール
-ID ベースのリスクの検出と修復の自動化。
-ポータルのデータを使用したリスク調査。
-リスク検出データのSIEMへのエクスポート。社内のユーザー構成の自動化には使うことができません。
可用性グループとは？

Azure 仮想マシン (VM) 上の SQL Serverに対して利用可能な仕組みです。SQLサーバー以外のWEBサーバーには適用できません。
セキュルティグループ（NSG）は何に対して設定できる？２つ答えよ。

サブネットまたは仮想マシンオートスケーリングによって仮想マシンが複数起動されるときはサブネットに設定するといい。
ネットワークセキュリティグループ (NSG) の「A」はNSG を使用した IP トラフィックに関する情報をログに記録できる「B」の機能です。NSGなどのトラフィック許可・拒否の設定後にトラフィック通信がうまくいっているかを確認することができます。

A:フローログ
B:Azure Network Watcher
仮想ネットワークのダイアグラムとは

仮想ネットワーク内のリソースと、リソース間のリレーションシップを図に表したものです。これは接続の問題を確認するために利用することはできません。
Azure Monitorの診断設定とは？

Azure プラットフォームのメトリックやログの送信先を設定する際に用いられます。これは接続の問題を確認するために利用することはできません。
Traffic Managerプロファイルの問題の診断と解決とは？

エンドツーエンドの接続に関する問題が確認できます。接続の問題がNSGに関係しているかどうか確認することはできません。
ExpressRouteは暗号化された接続を使用する？

しない。ExpressRouteは接続プロバイダーが提供するプライベート接続を用いてオンプレミスのネットワークをAzureクラウドに拡張する専用線接続です。これはインターネット上の暗号化された接続を使用しません。
東京オフィスにAdmin-Aという管理者ユーザーを設定して、全社的なAzure管理を委任します。このAdmin-Aに対してVMへの変更が発生した場合にメール通知することが必要です。どのような設定が必要でしょうか。２つ選択してください。

①VMに変更が発生した場合にメール通知をするアラートルールを設定する。
②Admin-Aのメールアドレスを利用したアクショングループを作成する。 ①VMの変更が発生した際に管理者に通知されるように設定をするためには、アラートルールにおいてVMのメトリックログに対するアラートを設定することが必要です。以下を組み合わせてアラートルールを作成します。
１．監視対象のリソースとしてVMを指定する。
２．リソースからのシグナルまたはテレメトリを設定する。
３．アラートの条件を設定する。
②Azure Monitor アラートに基づいて、特定のユーザーへのメール通知などのアクションを実施する際はアクショングループを利用します。アクショングループにおいてAdmin-Aのメールアドレスを設定して、そのアクショングループをアラートルールに設定することで、VMへの変更が発生した場合にAdmin-Aにメール通知することが可能となります。
アラート処理ルールはなにがｄきる？

発生したアラートの処理方法を設定するルールです。アラート処理ルールを使用して、アクショングループを追加したり、発射されたアラートからアクショングループを削除 (抑制) したりすることができます。これはリソースのメトリックログに基づいたメール通知を設定する際には利用できません。
Azure Backupを利用して仮想マシンを復元する際は、「A」または「B」を選択することができます。

A：OLR (元の場所への復旧)
B：ALR （別の場所への復旧） OLR (元の場所への復旧) は復元ポイントから、バックアップが作成されたソース Azure VM に対して実行される復旧方法です。これにより、ソース VM の OS ディスクとデータディスクが復旧ポイントに格納されている状態に置き換えられます。

ALR (別の場所への復旧) は復旧ポイントからバックアップが作成されたソース Azure VM以外のAzure VMに対して実行される復旧方法です。
Azure Backup でVMのファイルを復元する際は、Azure portalからファイルを参照して回復するためのスクリプトをダウンロードして、そのスクリプトを実行しディスクを任意のPCのドライブにマウントすることでファイルを復元します。このスクリプトはバックアップ元と同じ「？」を実行するVMに適用することでファイルを復元できます。（既存VMでも、新規VMでも「？」が同じならOK）

OS
※ファイルを回復する場合、オペレーティングシステムの以前のバージョンまたは以降のバージョンにファイルを復元することはできません。
Admin-Aというユーザーに対してユーザー管理者のロールが割り当てられています。Admin-Aは外部パートナーが利用しているpartner@outlook.comのメールアドレスを利用したMicrosoftアカウントを招待することになりましたがAdmin-Aに外部パートナーを招待する権限がないため、”ユーザを招待できません partner@outlook.com-汎用承認例外。”というエラーが発生しています。どのように対応するべきでしょうか？

[ユーザ設定]ブレードの[外部コラボレーションの設定]の[ゲスト招待設定]を変更する誰がゲストを組織に招待できるかを変更することができます。この操作によって、Admin-Aに対してゲストユーザー招待する権限を付与することが可能です。
[組織の関係]でIDプロバイダーを追加するとなにがようになる？

ゲストユーザーは自分自身のMicrosoft アカウントを使用してコラボレーションの招待を受けられるようになります。
組織ではオンプレミス環境とAzureの両方を利用したハイブリッドクラウドを利用することになりました。あなたはハイブリッドなユーザー管理の仕組みを設定しているところです。

セキュリティ規定に従って、ユーザーパスワードまたはパスワードのハッシュがAzureに直接保存されないようにすることが必要です。

これを実現するためのソリューションはどれでしょうか。２つ選択してください。

①Active Directoryフェデレーションサービス（AD FS）を利用したシングルサインオン (SSO) の実施
②Microsoft Entraのパススルー認証の実施 ①Active Directoryフェデレーションサービス（AD FS）は ID フェデレーションによる認証とWeb シングルサインオン (SSO) を実現するADのユーザー管理機能です。AD FSではMicrosoft Entra または Office 365に対してIDフェデレーションを実行して、ユーザーはオンプレミスの資格情報を利用して、クラウド内のあらゆるリソースにアクセスすることができます。この機能を使うことで、ユーザーパスワードやパスワードのハッシュをAzureに保存しないで、Azureリソースにアクセスすることができます。
②Microsoft Entraパススルー認証を使用すると、ユーザーはオンプレミス環境などのパスワードを使用して、オンプレミスのアプリケーションとクラウドベースのアプリケーションの両方にサインインできます。したがって、ユーザーパスワードやパスワードのハッシュをAzureに保存しないで、Azureリソースにアクセスすることができます。
パスワードハッシュ同期とは

ハイブリッド ID を実現するために使用されるサインイン方法の 1 つです。 Microsoft Entra Connectはオンプレミスの Active Directoryから Microsoft Entraが保有するユーザーのパスワードのハッシュを同期してオンプレミスに認証できるようにします。したがって、Azureクラウドにユーザーのパスワードのハッシュが保存されています。
AzureのユーザーアカウントによるSSO（シングルサインオン）を実施するとき、ユーザーパスワードなどのハッシュの管理はAzureで実施される。〇か×か。

○ ユーザーアカウントをAzureで利用するためにはAzure内にパスワードを保存することが必要です。Azureユーザーの設定をオンプレミス環境に提供してシングルサインオン (SSO) を実現することが可能ですが、その場合のユーザーパスワードまたはパスワード
ADFS 【Active Directoryフェデレーションサービス】とは？

Active Directoryの機能の一つで、一度の利用者認証で複数の外部のサービスを横断的に利用できる「シングルサインオン」（SSO：Single Sign-On）環境を提供するもの。フェデレーションとは、複数の異なるサービスやシステムを相互に運用することを指し、一般的には特にアカウント認証の連携のことを指します。

外部のクラウドサービスやWebサービスに利用者登録を行い、デジタル証明書の交換などの設定を事前に行っておくと、利用者が所属組織のActive Directoryへ一度ログインするだけで、それぞれのサービスへ個別にログインしなくても自動的に利用者の識別が行われ、サービスが利用可能な状態となる。

このような仕組みを「ID連携」（IDフェデレーション）と呼び、ADFSは利用者の認証を行い、それを各システムに伝達する「IDプロバイダ」（IdP：Identity Provider）として振る舞う。

ADFSと各サービスは利用者の識別情報と認証状態などを通知する「トークン」（token）と呼ばれるデータを交換し、パスワードなどの秘密の情報の登録や照合などはADFS側が集中的に管理する。利用者はサービスごとにユーザー名やパスワードを登録したり入力する必要がなく、サービス側でも認証処理をADFSへ依頼することで独自に認証情報を管理しなくてよくなる。

トークンの形式や伝達方式などはWS-FederationやSAML、OpenID Connectなどの標準的な規格を利用しており、同社の製品やサービスでなくてもこれらの規格に対応したサービスであれば連携することができる。
あなたは複数のStorageアカウントを含むAzureサブスクリプションを利用しています。Azureサポートからのライブマイグレーションを要求することにより、特定のストレージアカウントをゾーン冗長ストレージ（ZRS）レプリケーションに変換することが必要です。

どのストレージアカウントを利用すればよいでしょうか。

Standard汎用v2アカウントを利用し、レプリケーションにLRSを利用する。 Azureサポートからのライブマイグレーションを要求することにより、特定のストレージアカウントをゾーン冗長ストレージ（ZRS）レプリケーションに変換するには、Standard 汎用v2アカウントを利用して、レプリケーションにLRSを利用することが必要です。

ゾーン冗長ストレージ（ZRS）はStandard 汎用v2、FileStorage、およびBlockBlobStorageストレージアカウントタイプをサポートしています。ライブマイグレーションはLRSレプリケーションを使用するストレージアカウントでのみサポートされます。

アカウントでGRSまたはRA-GRSを使用している場合は続行する前に、まずアカウントのレプリケーションタイプをLRSに変更する必要があります。これにより、GRS / RA-GRSによって提供されるセカンダリエンドポイントが削除されます。また、標準のストレージアカウントタイプのみがライブマイグレーションをサポートします。プレミアムストレージアカウントは手動で移行する必要があります。
ある仮想マシンはパブリックIPアドレスを1つ割り当てられてられており、インターネット上のユーザーがポート443経由でアクセスできる複数のアプリケーションをホストしています。

あなたはオンプレミスネットワークからRDP接続が確立されている場合を除き、インターネットから仮想マシンへのRDPアクセスを拒否する必要があります。また、インターネットユーザーが引き続きすべてのアプリケーションにアクセスできるソリューションにする必要があります。

あなたは何をするべきでしょうか。

サブネットにリンクされているNSGに拒否ルールを作成する。インターネットからのRDP接続を拒否する受信ルールをネットワークセキュリティグループ(NSG)に設定して、このNSGを該当する仮想マシンが配置されているSubnet-Aに適用します。そうすることで、オンプレミスからのRDP接続とインターネットユーザーからの仮想マシンに対するアクセスを許可しつつ、インターネットからのRDP接続のみその仮想マシンは拒否することができます。
ネットワークインターフェースはアタッチ先の「A」と同じ「B」にしか作成できない

A：仮想ネットワーク
B：リージョン
VNET-AではApp-Aという業務アプリケーションが、複数のWindows Server 2016を実行するAzure仮想マシンにホストされています。
このアプリケーションはインターネットからはアクセスができず、VNET-Aからのみアクセスされるようにネットワークが制御されています。あなたは、このApp-Aへの接続が全ての仮想マシンに分散されるようにする必要があります。

どのAzureサービスを利用するべきでしょうか。2つ選択してください。

・Azure Application Gateway
・内部ロードバランサー Azure Application Gateway はWeb アプリケーションへのトラフィックを管理できる Web トラフィックロードバランサーです。Azure Application Gateway Standard v1 は、インターネットに接続するVIP のほか、内部ロードバランサー (ILB) エンドポイントとも呼ばれるインターネットに接続されていない内部エンドポイントを構成できます。内部ロードバランサー (ILB) エンドポイントを利用して、Azure Application Gateway は内部ネットワーク内に限定したトラフィック分散処理が可能です。

内部ロードバランサーはフロントエンドのプライベート IPに基づいて分散することができる内部ネットワーク用のロードバランサ―です。内部ロードバランサーはパブリックに公開せずに、プライベートネットワーク内で仮想マシンのトラフィックを負荷分散させるために用いられます。
Traffic Managerとは

世界中の Azure リージョン間でサービスへのトラフィックを最適に配分しつつ、高可用性と応答性を実現する DNS ベースのトラフィックロードバランサーです。
Azure Content Delivery Network (CDN)とは

ユーザーに Web コンテンツを効率的に配信できるサーバーの分散ネットワークです。これはインターネットを介して世界中のユーザーにコンテンツを効率的に配信するために利用されます。
あなたはVMの設定が変更された際にサーバレスアプリケーションを起動した処理を実施することが求められています。したがって、VMの変更時にイベント処理を実施するワークフローを構成する必要があります。

どのサービスを利用すれば良いでしょうか？

Azure Event Grid Azure のリソースで発生する特定のイベントを監視してアクションを実施するワークフローを作成するためには、Azure Event GridおよびAzure Logic Appsを使用することが必要です。Azure Logic Apps を使用して、Azure Event Gridに対してVMの設定変更イベントを発行し、そのイベントはイベントのサブスクライバーへプッシュされます。サブスクライバーのワークフローでは、これらのイベントがプッシュされたらメールを送信します。
Azure Notification Hubsとは

モバイル端末にプッシュ通知を送信するために用いられるサービスです。
オンプレミスファイルサーバーがAzureのファイルを同期するにはAzure File Sync を使用します。Azure File Sync はオンプレミスのファイルサーバーからAzure Files へとファイルを同期して、共有することができます。その設定にはどのような手順を実施するでしょうか。手順を４つ答えなさい。

手順1：Azure FileSyncエージェントを設定します。
オンプレミスファイルサーバーにAzure FileSyncエージェントをインストールします。Azure File Syncエージェントは、Windows ServerをAzureファイル共有と同期できるようにするダウンロード可能なパッケージです。

手順2：オンプレミスファイルサーバーを登録します。
これはWindowsServerをStorageSyncServiceに登録することを意味しています。WindowsServerをStorageSync Serviceに登録すると、サーバー（またはクラスター）とStorage SyncServiceの間に信頼関係が確立されます。

手順3：同期グループとクラウドエンドポイントを作成します。
同期グループは一連のファイルの同期トポロジを定義します。同期グループ内のエンドポイントは相互に同期されます。同期グループには、Azureファイル共有と1つ以上のサーバーエンドポイントを表す1つのクラウドエンドポイントが含まれている必要があります。サーバーエンドポイントは登録済みサーバー上のパスを表します。

手順4：サーバーエンドポイントを追加します。
サーバーエンドポイントを追加して、サーバーエンドポイントで Azure ファイル共有の変更内容を事前に呼び戻すように設定します。サーバーエンドポイントは、登録済みサーバー上の特定の場所を表します。たとえば、サーバーボリュームのフォルダーなどです。
Azureにレプリケートできるオンプレミスの仮想マシンが満たさなければいけない要件３つ答えよ。

・OSがSite Recoveryでサポートされている必要があります。Windows Sever 2016はサポートされています。

・OSディスクサイズが上限範囲内である必要があります。第一世代のVM最大サイズは２TB、第2世代のVM最大サイズは４TBであるため、例えば100GBのVMのディスクサイズは上限範囲内にあります。

・Site RecoveryでBitlookerはサポートされていないため、無効化されている必要があります。
あなたはAzure Resource Managerライブラリを利用して、 VM-AをTemplate-Aと言う名前のテンプレートに保存しました。
Template-AからVM-Bという名前の仮想マシンをデプロイする際に、変更が可能な要素はどれでしょうか。
①リソースグループ
②仮想マシンのOS
③管理者ユーザー名
④仮想マシンのサイズ

①リソースグループテンプレートをデプロイする際は、展開するリソースを格納するリソースグループを指定します。したがって、デプロイを実行する前に、Azure CLI または Azure PowerShell を使用してリソースグループを作成しておくことが必要です。

リソースグループはAzure ソリューションの関連するリソースを保持するコンテナーです。リソースグループにはソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。
Webアプリケーションでは、Bus1という名前のAzure Service Busによって次のようなメッセージを生成します。

- App-Aによって作成される各メッセージは単一のコンシューマーのみが消費して、他のコンシューマーから重複処理がされないようにします。

App-Aに対してどのリソースを作成することが必要でしょうか。

Azure Service Busキュー受信先で単一のコンシューマーがメッセージを消費する必要がある場合で他のコンシューマーから重複処理がされないようにするにはキューを利用することが必要です。Azure Service Busを利用して、キューを設定してキューを利用したメッセージ処理を構成することができます。
Webアプリケーションでは、Bus1という名前のAzure Service Busによって次のようなメッセージを生成します。

- App-Bによって作成される各メッセージは複数のコンシューマーが消費します。

App-Aに対してどのリソースを作成することが必要でしょうか。

Azure Service Busトピック複数のコンシューマーがメッセージを消費する必要がある場合はAzure Service Busのトピックを使います。Azure Service Bus トピックを設定することで、一度に多数のコンシューマーに対してメッセージを送信することが可能となります。トピックは1対多数のメッセージのやり取りに利用するメッセージング機能です。送ったメッセージは予め決められたルートと送信方法に基づいて配信されます。各ルートにはフィルタを設定できるため、受け取り側が必要なメッセージだけを受け取ることができます。
Event Grid とは

非常にスケーラブルなサーバーレスのイベントブローカーであり、イベントを使ってアプリケーションを統合するために使用できます。Event Grid はメッセージングには利用しません。
①Microsoft Entra IdentityProtectionのユーザーリスクポリシー
②Microsoft Entra Privileged Identity Management
③Microsoft Entra IdentityProtectionのサインインリスクポリシー
とは

Microsoft Entra IdentityProtectionのユーザーリスクポリシーはID保護を保護するための機能です。ID保護にはユーザーリスク、サインインリスク、MFA登録の3つの保護ポリシーがあります。この権限はサインイン時の認証要件を設定するものはありません。

②Microsoft Entra Privileged Identity Management は時間ベースおよび承認ベースのロールのアクティブ化により、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減します。PIMはロールアクティブ化の際に多要素認証を強制にすることができますが、Azureポータルにアクセスする際の多要素認証は強制できません。

③Microsoft Entra IdentityProtectionのサインインリスクポリシーではユーザーリスク、サインインリスク、MFA登録の3つの保護ポリシーがあります。しかしながら、ロケーション（オンプレミスIP範囲）要件を有効にできるものはありません。
あなたはSubscription1という名前のAzureサブスクリプションを利用しています。このサブスクリプションでは100個の仮想マシンを利用しています。これらの仮想マシンは定期的に作成および削除することが必要です。あなたはどの仮想マシンからも接続されておらず削除可能なディスクを特定する必要があります。

どのように該当するディスクを確認すればよいでしょうか？

・AzurePotalからディスクのプロパティを表示する
・Azure Advisorの推奨事項を確認する Azure Portalにおいてディスクのプロパティを表示することで、接続されていないディスクを容易に確認することができます。そこではディスクを指定して削除することもできます。それによって、不要なコストを削減することができます。

Azure Advisorを利用してディスクの状況を確認することも可能です。Azure Advisorはコスト最適化のために、30 日を超えてVM に接続されていないディスクがある場合は、そのディスクの必要性を評価するレコメンデーションが提示されます。
Azure Site Recoveryを使用して、AWS環境のEC2インスタンスを、Azureの仮想ネットワークに行こうする手順は？３つ答えよ

手順1：EC2インスタンスを構成サーバーとして移行前の準備をします。EC2インスタンスを構成サーバーとしてリカバリコンテナーに登録します。このEC2インスタンスVMにおいてプロキシを構成して、リカバリコンテナーサービスURLにアクセスできるようにします。

手順2：Azure SiteRecoveryの統合セットアップをEC2インスタンスにインストールします。Microsoft Azure SiteRecoveryの統合セットアップをダウンロードします。ローカルマシンにダウンロードしてから、構成サーバーとして使用しているEC2インスタンスにインストールすることができます。

手順3：EC2インスタンスのレプリケーションを有効にします。移行するEC2インスタンスごとにレプリケーションを有効にします。レプリケーションが有効になっている場合、SiteRecoveryはモビリティサービスを自動的にインストールして、レプリケーションを実行します。
あなたは既存の仮想マシンに基づいてAzure Resource Managerテンプレートを作成して、追加で10台の仮想マシンを展開する予定です。
管理パスワードを参照するようにテンプレートを変更する必要がありますが、その際はパスワードがプレーンテキストで保存されないようにする必要があります。
パスワードを保存するために何を利用するべきでしょうか。

AzureKeyVaultとアクセスポリシー Azure Key Vaultにパスワードを保存して、適切なアクセスポリシーを設定することでパスワードをプレーンテキストに保存せずに安全に利用できます。この設定により、テンプレートからKey Vaultに保存されているパスワードを取得することが可能です。Key Vaultではパスワードがプレーンテキスト形式で保存されることはありません。
Recovery Services コンテナーとは

時間の経過と共に作成された復旧ポイントを格納する管理エンティティであり、バックアップ関連の操作を実行するためのインターフェイスが用意されています。
LB-Aという内部ロードバランサーにバックエンドプールを作成するには、どのロールをAdmin1に割り当てるべきですか。

LB-Aに対するネットワーク共同作成者
※ロードバランサ―はネットワークリソースであるため、共同作成者ロールでは要件を満たさないネットワーク共同作成者ロールが割り当てられたユーザーはネットワークリソースであるロードバランサーの作成と管理が許可されます。具体的には、Microsoft.Network/loadBalancers/backendAddressPools/writeが付与されたユーザーはロードバランサーのバックエンドアドレスプールを作成するか、既存のロードバランサーのバックエンドアドレスプールを更新することができるようになります。

"スコープ" はロールの権限範囲が適用されるリソースのセットです。ロールを割り当てるときに、このスコープを定義することによって、許可される操作をさらに制限できます。 Azure では、4 つのレベル (管理グループ、サブスクリプション、リソースグループ、リソース) でスコープを指定できます。したがって、ネットワーク共同作成者ロールに対してスコープを適用して、特定のリソースであるLB-Aのみに権限を限定することが可能です。
アラート表示における"ユーザーの応答"においては、ユーザーの応答状況が記録されています。これはユーザーによって設定され、ユーザーが変更するまで変わりません。特定のアラートの”ユーザー応答”表示を変更する際は、コンソール画面において[ユーザー応答の変更] を選択して、変更することが可能です。
あるAlartの"ユーザーの応答"は”クローズド済み”のステータスとなっていますが、何に変更することが可能でしょう。

「確認済み」にのみ変更できるクローズド済みではなくなった場合は、その前のステータスである確認済みに変更することができます。

また、新規のステータスとなっている場合は新規アラートを確認または完了させることで、確認済みまたはクローズド済みに変更することができます。
Storage-Aを監視することを計画しています。次の表に示すシグナルのメール通知を構成するつもりです。
この監視に必要なアラートルール、アクショングループの最小数はそれぞれいくつになりますか。

アラートルール：２
アクショングループ：３アラートルールはシグナルの種類やシグナルリソースに応じて設定することが必要です。その際は、アラートを発するためのロジックに複数の条件を設定することが可能となります。そして、今回は以下の２つのシグナルの種類に対してアラートを作成することが必要となります。

・Storageアカウントのアクティビティログに対してアラートを作ること
・Storageアカウントに対するメトリックに対してアラートを作ること

したがって、この２つのリソースにアラートを設定するには、最低２つのアラートルールが必要となります。

次にアラートに対してメール通知などのアクションを実行する場合は、アクショングループをアラートルールに設定することが必要です。

Storageアカウントのアクティビティログに関するアラートルールに対しては、以下のように「UserA-とUserD」に通知するパターンと、User-Dのみに通知するパターンがあります。したがって、アクショングループを２つ作成する必要があります。１つのアラートルールに対して５つまでアクショングループを設定することができるため、アクティビティログに対して必要なアラートルールは1つです。

一方でメトリックに対するアラートは、User-AとUser-BとUser-Cに対する通知のみとなるため、１つのアクショングループを設定することになります。したがって、合計で２つのアラートルールが必要となります。
カスタムRBACロールの定義について、それぞれ何に関する権限でしょう
①"Microsoft.Resources/*"
②"Microsoft.Security/*"
③"Microsoft.Authorization/*”

①"Microsoft.Resources/*" Azure Resource Managerに関する権限
②"Microsoft.Security/*"Microsoft Defender for Cloud に関する権限
③"Microsoft.Authorization/*”アクセス許可の管理に関する権限
それぞれ〇か×か。
①Azure BackupではOSがWindows系かLinux系かによらずバックアップを作成できる。
②Azure Backupは自動シャットダウン中のVMに対するバックアップもサポートされており、自動シャットダウンの設定が有効化されていてもバックアップを取得することが可能。

①②どちらも〇
Azure Resource Managerテンプレートを用いて7個のWebアプリケーションをAzureにデプロイしようといています。
実装に関連するコストを最小限に抑える必要があります。
どのサービスを使えばよいでしょうか？

１つのAzure App Serviceプラン Webアプリケーションを実行するための一連のコンピューティングリソースを提供するPaaSサービスです。複数のWEBアプリケーションを同じApp Service プランに関連付けることができます。それによって、個々にロードバランサーと仮想マシンを構成する場合と比較して、コストを抑えることができます。
会社には３つのリージョンに１つずつ、３つのオフィスを持っています。西日本リージョンと東日本リージョンとシンガポールリージョンにあるリソースを含むAzureサブスクリプションを利用しています。各リージョンには仮想ネットワークが1つずつ含まれています。
これらの仮想ネットワークはピアリングされています。あなたはデータセンターをAzureサブスクリプションに接続する必要があります。ただしデータセンター間のネットワーク待ち時間を最小限に抑える必要があります。

何を作成する必要がありますか。

3つの仮想ハブと１つの仮想WAN 仮想WANと仮想ハブを組み合わせてハブアンドスポークアーキテクチャを構成することにより、データセンター間のネットワーク待ち時間を最小限に抑えることができます。仮想ハブはデータセンターごとに作成することが必要となるため、今回の構成に必要な仮想ハブは3つとなります。複数の仮想ハブに対して仮想WANは１つだけ設定することでハブアンドスポークアーキテクチャを構成することができます。

「会社には3つのオフィスがあります。」と記載があるため、今回のシナリオではデータセンターが合計３つとなっています。仮想ハブはデータセンターごとに作成する必要があるため、全部で３つとなります。
App Service プランは「？」を指定して定義する必要があるアプリケーション開発環境です。

リージョン App Serviceプランは同じリージョン内に存在している必要があります。
それぞれの問いについて〇か×か答えよ。
①.NET coreを利用したアプリケーションはOSがLinuxでもWindowsでも作成が可能。
②ASP.NET V4.7を利用したアプリケーションはOSがLinuxでもWindowsでも作成が可能。
③Pythonを利用したアプリケーションはWindowsOSで作成可能

①○
②×：ASP.NET V4.7を利用したアプリケーションはOSがWindowsに利用することができますが、Linuxに.NET Frameworkを利用する場合は、ASP.NET coreを利用する必要があります。
③×（以前はできた）
Azure App Serviceにおいてアプリケーションを作成するには、App Service プランが必要となります。App Service プランで定義する必要のある5つの内容はなんでしょう。

・オペレーティングシステム (Windows、Linux)
・リージョン
・VM インスタンスの数
・VM インスタンスのサイズ (小、中、大)
・価格レベル
ユーザーアクセス管理者（User Access Administrator）とは

Azure リソースに対してユーザーがアクセスできるようにロールを付与することができる管理者ユーザーアクセス管理者ロールは、Azureのサブスクリプションやリソースへのアクセスが管理できるロールであり、自身や他のユーザーにアクセス権を付与できます。
VNET-Aへの閲覧者ロールを割り当てるには「？」が必要です。

所有者ロール所有者ロールは、Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフルアクセスを付与します。所有者ロール以外のロールでは、Azure RBAC においてロールを割り当てる権限を有していません。
あなたはSub1という名前のAzureサブスクリプションを利用しています。app-Aという名前のWebアプリケーションがAzure App Serviceでホストされています。
www.example.comという名前のカスタムドメインをapp-Aに追加する必要があります。最初に何をすべきですか？２つ選択してください。

・CNAMEレコードを作成する
・Aレコードを追加する Azure App Serviceでは既存のカスタムドメインネームシステム (DNS) 名を App Service にマップすることができます。カスタムドメインを追加するためにはCNAMEコードまたはAレコードというDNSレコードを作成する必要があります。 CNAME レコードまたは A レコードを使用してサブドメインをアプリの IP アドレスに直接マップすることができます。
CNAMEレコードとは、DNSで定義されるそのドメインについての情報の種類の一つで、あるドメイン名やホスト名の別名を定義するもの。
あなたはASP1という名前のFreeのApp Serviceプランを含むAzureサブスクリプションを利用しています。
ASP1にはapp-Aという名前のAzure App Serviceをホストしています。
カスタムドメインを構成し、app-Aのバックアップを有効にする必要があります。
あなたは最初に何をすべきですか？

ASP1（FreeのApp Serviceプラン）をスケールアップする Azure App Serviceはプランに応じて利用できる機能が異なります。特にFreeのサービスプランではいくつかの機能が制限されています。したがって、Azure App ServiceをスケールアップすることでアプリケーションのCPU、メモリ、ディスク領域を増やしたり、専用の仮想マシン (VM)、カスタムドメインと証明書、ステージングスロット、オートスケールのような拡張機能をアプリケーションに追加できます。

これによって、app-Aにカスタムドメインを構成して、app-Aのバックアップを有効にすることが可能となります。したがって、カスタムドメインを構成し、app-Aのバックアップを有効にするためには、先にASP1をスケールアップすることが必要です。
LBではバックエンドプールは「A」IPアドレスを利用して、フロントエンドに対して「B」 IP アドレスを設定します。

A：プライベート
B：パブリック
NATゲートウェイは仮想ネットワーク内のリソースのインターネットアクセス用のために利用するゲートウェイです。プライベートネットワーク内にある仮想マシンなどがインターネットとアウトバウンド通信できるように、NATゲートウェイはプライベートIPアドレスをパブリックIPアドレスに変換してくれます。

このパブリックIPアドレスへの変換を行うためには、NATゲートウェイに「？」IPアドレスが設定されている必要があります。

静的なパブリック
A社はSub1という名前のAzureサブスクリプションを利用しています。あなたはSub1に対してAzure ファイル共有を作成する必要があります。
要件としては、SSDハードウェアでホストされる Premium ファイル共有を作成することが必要です。
冗長性を担保するために、どのストレージタイプを選択できますか。合致するストレージタイプをすべて選択してください。

・ローカル冗長（LRS）ストレージ
・ゾーン冗長（ZRS）ストレージ Premium ファイル共有はローカル冗長 (LRS) ストレージとゾーン冗長 (ZRS) ストレージを利用できるストレージアカウントです。しかしながら、Premium ファイル共有は全ての geo 冗長性がサポートされていません。

geo 冗長 (GRS)、geo ゾーン冗長 (GZRS) ストレージはハードディスクベース (HDD ベース) のハードウェアでホストされる Standard ファイル共有に対応しています。
ストレージアカウントで Active Directory Domain Services (AD DS) 認証を有効にした後に、ファイル共有にアクセスするために共有レベルのアクセスを許可する必要があります。
ファイル共有のアクセス許可をディレクトリおよびファイルレベルの詳細なアクセスを制御が必要となります。
あなたは何を使用するべきでしょうか？

WindowsACL ストレージアカウントでACL（Access Control List）を利用することで、ディレクトリおよびファイルレベルでファイル共有に対するアクセスの許可が可能となります。Access Control List（ACL）はアクセス権のセット（集合体）であり、システムのセキュリティを確保するためのアクセス制御の仕組みです。ACLを利用することにより、ディレクトリやファイルレベルで共有設定が可能となります。
アプリケーションセキュリティグループは「？」を介してVMに関連付ける仕組みとなっています。

ネットワークインターフェース
スケールセットは[A]と[B]を使用する暗黙的な可用性セットとして機能します。

A:5 つの障害ドメイン
B:5 つの更新ドメイン例えば20個のVM をもつスケールセットを作成すると、 5 つの更新ドメインに対してVMが４つずつ均等に自動的に割り当てられます。そのため、1 つの更新ドメインの計画メンテナンス中に影響を受けるのは4 つの VM のみとなります。
障害ドメインとは仮想マシンと、同時に再起動できる基礎となる物理ハードウェアのグループです。VMを障害ドメインに分けることによって電源の障害やネットワーク障害などの影響を和らげることができます。更新ドメインとはAzureホストに対するアップデートを同時に実行する範囲となります。
Azure ファイル共有では「A」プロトコルを利用した接続が必要となります。SMBを利用するためにはポート「B」が開いていることが必要です。

A：SMB
B：445
最小権限の原則に基づいて、User-Aがすべての仮想マシンとネットワークインターフェイスの作成と管理ができるように、User-Aに権限を付与することが必要です。
どのアクセス制御（RBAC）のロールをUser-Aに割り当てればよいでしょうか。

仮想マシン共同作成者仮想マシン共同作成者には仮想マシン全般の権限が付与されています。仮想マシン共同作成者は仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルートユーザーのパスワードのリセット、VM 拡張機能を使用したローカルユーザーアカウントの管理を行います。

仮想マシン共同作成者には仮想マシンが接続されている仮想ネットワークまたはストレージアカウントへの管理アクセス権は付与されませんが、ネットワークインターフェイスの作成と管理は可能です。
Azure Monitor エージェント (AMA) をAzure 仮想マシンにインストールして、仮想マシンのゲストオペレーティングシステムの監視データを収集できるようにする手順は？3手順

１．ログの取得先としてLog Analytics ワークスペースを構成します。
２．Azure portalにおいてデータ収集ルール (DCR) を設定して、収集するデータを定義します。その際は、データの送信先に[Log Analytics ワークスペース]を指定します。
３．Azure Monitorでアラートを作成して、エラーイベントが記録された時にアラート通知されるように条件を設定します。１．最初にログの取得先としてLog Analytics ワークスペースを構成します。Azure portal の[Log Analytics ワークスペース] メニューにおいて、 Log Analytics ワークスペースを作成します。 Log Analytics ワークスペースはAzure Monitor ログデータ用の環境です。各ワークスペースには独自のデータリポジトリが必要となり、ログは特定のワークスペースにデータを格納するように構成されます。

２．Azure portalにおいてデータ収集ルール (DCR) を設定して、収集するデータを定義します。その際は、データの送信先に[Log Analytics ワークスペース]を指定します。その際に、Azure Monitor エージェントは自動的にVMにインストールされます。Azure Monitor エージェントがインストールされていないすべての仮想マシンに対して、マネージド ID が作成されます。こうすることで、AzureのVMのイベントログが Azure Monitorに収集できるようになります。

３．Azure Monitorでアラートを作成して、エラーイベントが記録された時にアラート通知されるように条件を設定します。Azure Monitorのログアラートにおいて、ユーザーは Log Analytics クエリを使用して、設定された頻度でログを評価し、その結果に基づいてアラートを発行することができます。
Log Analytics エージェント経由でログ取得する設定方法は？3手順

１．ログの保存先としてLog Analytics ワークスペースを構成します。

２．VMのイベントログを取得するために、Log Analytics エージェントをインストールすることが必要となります。VM insights を使用して複数の仮想マシンに Log Analytics エージェントと Dependency Agent をインストールします。

３．エージェントからログをLog Analytics ワークスペースに配信するためには、Azure portal の [Log Analytics ワークスペース] メニューの [仮想マシン] オプションから仮想マシンをワークスペースに接続します。アラート通知の設定はAzure Monitor エージェントを利用した場合と同じとなります。 ※しかしながら、このLog Analytics エージェントを利用した構成は廃止予定となっており、 2024 年 8 月 31 日以降はサポートされなくなります。 Log Analytics エージェントを使用してAzure Monitor にデータを取り込む場合は、新しい Azure Monitorエージェントに移行することが推奨されています。

１．ログの保存先としてLog Analytics ワークスペースを構成します。Azure portal の[Log Analytics ワークスペース] メニューを使用して Log Analytics ワークスペースを作成します。 Log Analytics ワークスペースはAzure Monitor ログデータ用の環境です。

２．VMのイベントログを取得するために、Log Analytics エージェントをインストールすることが必要となります。VM insights を使用して複数の仮想マシンに Log Analytics エージェントと Dependency Agent をインストールします。Log Analytics エージェントを利用する際はAzure Monitor エージェントのようにルールを定義することでインストールが自動的に実施されることはないため、インストールを手動で実行する必要があります。

３．エージェントからログをLog Analytics ワークスペースに配信するためには、Azure portal の [Log Analytics ワークスペース] メニューの [仮想マシン] オプションから仮想マシンをワークスペースに接続します。アラート通知の設定はAzure Monitor エージェントを利用した場合と同じとなります。
4台の仮想マシン間のすべてのネットワークトラフィックを確認して、トラブル発生時に対応できるようにする必要があります。このソリューションで解決できますか。

ソリューション：Azure Network Watcherを利用して、接続モニターを作成する。接続モニターにおいて各仮想マシンを設定する。

はい Network Watcher の接続モニター機能によってVM間の通信を監視することができます。具体的には以下の手順に従って、VM間の通信を確認します。
【手順】
１．監視対象となるVM を作成する。

２．Network Watcher の接続モニター機能において対象となるVMを指定して、 VM 間の通信を監視する設定を行う。

３．接続モニターのメトリックに対するアラートを生成して、通信エラーに応じてアラート通知がされるように設定する。

４．通信エラーが発生した場合にモニター結果を確認することで、2 つの VM 間の通信の問題を診断する。
4台の仮想マシン間のすべてのネットワークトラフィックを確認して、トラブル発生時に対応できるようにする必要があります。このソリューションで解決できますか。
ソリューション：Azure Monitorを利用して、各仮想マシンを指定してネットワーク入力とネットワーク出力のメトリックを作成する。

いいえ「いいえ」が正解となります。Azure Monitorは通信トラフィックのログを集積したり、アラートを設定することは可能ですが、直接通信トラフィックを確認する機能は有してません。代わりにNetwork Watcher の接続モニター機能によってVM間の通信を監視することができます。具体的には以下の手順に従って、VM間の通信を確認します。
【手順】
１．2 つの VM を作成する。
２．Network Watcher の接続モニター機能によって VM 間の通信を監視する。
３．接続モニターのメトリックに対するアラートを生成する。
４．2 つの VM 間の通信の問題を診断する。

Azure Monitor はNetwork Watcher の監視状況に応じたアラートを設定する際に利用することができます。アラートルールにしたがって保存済みのクエリまたはカスタムログ検索を一定の間隔で自動的に実行できます。
4台の仮想マシン間のすべてのネットワークトラフィックを確認して、トラブル発生時に対応できるようにする必要があります。このソリューションで解決できますか。
ソリューション：パフォーマンスモニターを利用して、データコレクターセットを作成する。

いいえ「いいえ」が正解となります。Azure Monitor のパフォーマンスモニター機能を利用して、各リソースのパフォーマンス状況を可視化することができます。たとえばVMのCPU使用率などのパフォーマンスを監視することが可能です。これはＶＭ間のネットワークトラフィックの監視には利用できません。Network Watcher の接続モニター機能によってVM間の通信を監視することができます。具体的には以下の手順に従って、VM間の通信を確認します。

【手順】
１・2 つの VM を作成する
２．Network Watcher の接続モニター機能によって VM 間の通信を監視する
３．接続モニターのメトリックに対するアラートを生成する
４．2 つの VM 間の通信の問題を診断し、解決方法を学習する
あなたは複数の仮想マシンを含むSub1という名前のAzureサブスクリプションを利用しています。

OSがLinuxである仮想マシンのメトリックとログを監視する必要があります。

あなたは何を使うべきでしょうか？

Linux Diagnostic Extension 4.0 Linux Diagnostic Extension 4.0を利用してLinux仮想マシンのメトリックとログを監視することができます。Azure Diagnostics 拡張機能は仮想マシンなどのAzure コンピューティングリソースのゲストOSから監視データを収集するAzure Monitor のエージェントです。Azure Diagnostics 拡張機能におけるLinux Diagnostic Extension 4.0を使用することで、Microsoft Azure で実行される Linux VM の正常性を監視するために役立ちます。
Azureサブスクリプションに転送する必要がある4 TBのデータがあります。その際は、Azure Import / Exportジョブを使用する予定です。
インポートされたデータの宛先として何を使用できますか？　２つ選択してください。

Azure Files、Azure Blob Storage Azure Import/Export サービスは大量データをAzure環境に移行するために利用するデータ移行用ディスクドライブを利用したサービスです。Azure Import/Export ではAzure データセンターにディスクドライブを送付することで、Azure Blob Storage と Azure Files に大量のデータを安全にインポートできます。さらに、このサービスではAzure Blob Storage からディスクドライブにデータを転送し、オンプレミスのサイトに送付できます。その際は、1 つまたは複数のディスクライブのデータを、Azure Blob Storage または Azure Files にインポートします。

Azure Files （Azure File Storage）は、Azure Storageサービスの一つであり、フルマネージドのクラウドファイル共有サービスです。SMB3.0とHTTPSを利用して保存データや転送中のデータを保護しているため、シンプルで安全なファイルストレージとして利用できます。
Azure Data Factoryとは

Azure のクラウド ETL サービスであり、スケールアウトサーバーレスデータ統合およびデータ変換を実施する機能です。
VM-A（仮想マシン）の現在の状態は実行中であり、Backup-A（Recovery Services コンテナー）へのバックアップが構成されています。このBackup-Aを削除する必要があります。

Backup-Aを削除するために行うべき操作はどれでしょうか。

VM-Aのバックアップの停止 Recovery Servicesコンテナーを削除するには、対象のVMに設定されたバックアップジョブが停止され、バックアップデータを保持していない状態である必要があります。そのため、このシナリオではVM-Aのバックアップの停止を最初に行う必要があります。
あなたはmystorageaccountという名前のAzure Storage アカウントを含むAzureサブスクリプションを利用しています。
オンプレミス仮想マシンイメージをimages-Aと言う名前のコンテナにコピーする予定です。
あなたは予定しているイメージ用のコンテナを作成する必要があります。
どのコマンドを実行しますか。

azcopy make https://mystorageaccount.images.core.windows.net/vmimages azcopy makeコマンドを使うと、指定されたリソースURLで表されるコンテナーまたはファイル共有を作成することができます。

azcopy syncコマンドはファイルやディレクトリを同期するためのコマンド
azcopy copyコマンドはファイルやディレクトリをコピーするためのコマンド
azcopy loadコマンドはAvere Cloud FileSystem (CLFS) 形式などの特定の形式のデータを転送するためのコマンド
Dockerイメージを使用するAzureコンテナーインスタンスを作成する予定です。
このDockerイメージには永続ストレージが必要なMicrosoft SQL Serverインスタンスが含まれています。コンテナ間でファイル共有をして、共同作業などを行う必要があります。
どのストレージサービスを構成する必要がありますか？

Azure Files Azure Files ボリュームプラグインを使用すると、Azure Filesストレージをファイルシステムのディレクトリとしてマウントして、コンテナで利用できます。また、ファイル共有を複数のコンテナー間で共有することもできます。これによって、ワークロードで共同作業したり、複数のホストで実行されているアプリケーションの構成やシークレットを共有したりできます。

Azure Files ボリュームプラグインは、Docker コンテナーに Azure Files ベースのボリュームを提供する Docker ボリュームプラグインです。Docker ボリュームプラグインは、Service Fabric クラスターにデプロイ可能な Service Fabric アプリケーションとしてパッケージ化されています。その目的は、クラスターにデプロイされている他の Service Fabric コンテナーアプリケーション用に Azure Files ベースのボリュームを提供することです。
Azure AD アカウントを使用して Azure portal からStorage-A(BLOBストレージ)に対してファイルをアップロードするためには、BLOB データを書き込む権限を持つ「？」が必要となります。

ストレージBLOBデータ共同作成者ロールストレージ BLOB データ共同作成者ロールをユーザーに割り当てると、ユーザーにはBLOBストレージに対する読み取り、書き込み、および削除のアクセス権が付与されます。したがって、このユーザーはBLOBストレージ対してファイルをアップロードできるようになります。
自動フェールオーバーを利用しアクティブ/アクティブ構成で実行されるためには「A」を有効にする必要があります。そして、「A」は「B」でのみ利用可能です。

A：HAポート
B：Standartd Load Balancer 高可用性 (HA) ポートは負荷分散規則の一種であり、内部 Standard Load Balancer のすべてのポートに到着するすべてのトラフィックの負荷分散を行います。HA ポート負荷分散規則は仮想ネットワーク内のネットワーク仮想アプライアンス (NVA) の高可用性と拡張性のような、重要なシナリオで役に立ちます。この機能は、多数のポートを負荷分散する必要がある場合にも役立ちます。
Resource Managerテンプレートを使用して、Windows Server 2019を実行する複数の仮想マシンをデプロイする予定です。
デプロイ後、すべての仮想マシンでNGINXが使用可能であることを確認する必要があります。
あなたは何を使うべきですか？

Azure Desired State Configuration (DSC)拡張機能 PowerShell Desired State Configuration (DSC)を用いてAzure Automation State Configuration を構成すると、各リソースの状態をダッシュボードで確認することができます。それにより、すべての仮想マシンでNGINXが使用可能であることを確認することが可能となります。
Microsoft Intuneとは

モバイルデバイス管理 (MDM) のためのサービス。Intune では組織が所有するデバイスの場合、設定、機能、セキュリティなど、デバイスに対するフルコントロールが実施できます。
VNet1とVNet2の間の仮想ネットワークピアリングを構成されています。
あなたはVNet1において、静的ルーティングを使用するVPNゲートウェイを作成して、オンプレミスネットワークとの間にサイト間VPN接続を構成しています。
さらにWindows 10コンピューターを実行するDevice1から、VNet1へのポイント対サイト間VPN接続を構成します。Device1をVNet2に接続できるようにする必要があります。
あなたは何をするべきでしょうか。

Device1にVPNクライアント構成パッケージをダウンロードしてインストールするユーザーはポイント対サイト (P2S)VPN接続用の Windows デバイスと Mac デバイスを利用してネイティブ VPN クライアントを使用してAzure環境に接続することができます。そのためには、これらのクライアントが Azure に接続するために必要な設定が含まれた VPN クライアント構成 zip ファイルをダウンロードして、ユーザーがデバイスにインストーラーパッケージをインストールする必要があります。

Mac デバイスの場合、 VPN クライアントソフトウェアはユーザーがデバイスにインストールする mobileconfig ファイルで構成されています。ポイント対サイト (P2S) VPN ゲートウェイ接続では、個々のクライアントコンピューターから仮想ネットワークにセキュリティで保護された接続を構成することができます。 P2S 接続はクライアントコンピューターから接続を開始することによって確立されます。
Windows クライアントがクライアントデバイスから Azure に VPN 接続を開始するには、「？」が必要です。

クライアントデバイスの管理権限ポイント対サイト (P2S) VPN ゲートウェイ接続では、個々のクライアントコンピューターから仮想ネットワークにセキュリティで保護された接続を作成することができます。 P2S 接続はクライアントコンピューターから接続を開始することによって確立されます。その際は、クライアントデバイスの管理権限を有しているユーザーによって接続を開始する必要があります。
新しいMicrosoft Entraテナントを作成し、ユーザーを追加または削除するには、「A」または「B」である必要があります。

A：ユーザー管理者
B：グローバル管理者
フローログの保持機能は「？」を使用している場合にのみ利用できます。？に入るストレージ名を答えよ

汎用 v2 ストレージアカウント
ユーザーへの権限付与ができるようにするロールは？

・特権ロール管理者
・グローバル管理者特権ロール管理者を利用して、個々のユーザーまたはグループにロールを割り当てることができます。Microsoft Entraで、全体管理者以外のユーザーがMicrosoft Entra リソースを管理するためには、そのユーザーはそのリソースへのアクセス許可が付与されたMicrosoft Entra ロールを有している必要があります。Azureでは特権ロール管理者またはグローバル管理者が、他のユーザーに対してロールを付与する権限を与えられています。
イニシアチブ定義を作成できるロールはなんでしょう？2つ答えなさい。また、イニシアチブ定義とはなんでしょう。

所有者またはリソースポリシー共同作成者
イニシアチブ定義：複数のポリシー定義をひとまとめにしたもの. 親スコープのポリシーは子スコープに継承される. Azure Policy のリソースに対するアクセス許可は、さまざまな組み込みロールによって与えられます。リソースポリシーの共同作成者ロールはAzure Policy のほとんどの操作を実施することができます。また、所有者ロールはポリシーに関する完全な権限を持っています。
RG内のすべてのリソースにタグ付けできるロールは？2つ答えよ

共同作成者ロールまたは所有者ロール
Azure Traffic Manager とは

アプリケーションエンドポイント全体でトラフィックの分散を制御できます。 Traffic Manager は、DNS を使用して、トラフィックのルーティングメソッドのルールに基づいてクライアントを特定のサービスエンドポイントに転送します。Azure Traffic Manager を (DNS に基づいて) 構成して、リソースの正常性を確認し、正常でないリソースから正常なリソースにトラフィックをルーティングすることができます。
これらのWebアプリ用に作成する必要があるAzure Serviceプランの最小数はいくつですか。

１今回のケースでは東日本リージョンで5つのアプリケーションを作成するのに、最小で１つのApp Service プランで実行可能です。

Azure App Service はWeb アプリケーション、REST API、およびモバイルバックエンドをホストするための WEBアパプリケーション開発プラットフォームです。Azure App Service はPaaS型のクラウドサービスです。 Azure App Service 上のアプリケーション開発には、.NET、.NET Core、Java、Ruby、Node.js、PHP、Pythonを利用できます。

Azure App Serviceにおいてアプリケーションを作成するには、App Service プランが必要となります。 App Service プランではWeb アプリを実行するための一連のコンピューティングリソースを定義します。 1 つまたは複数のアプリを同じコンピューティングリソース (または、同じ App Service プラン) で実行するように構成することができます。１つの App Service プランは以下のように定義する必要があります。

・オペレーティングシステム (Windows、Linux)
・リージョン
・VM インスタンスの数
・VM インスタンスのサイズ (小、中、大)
・価格レベル

したがって、同じリージョン内の同じOSを選択していれば、１つのApp Service プランを利用して、多数のアプリケーションを開発することができます。
Azure Blueprintsとは

複数のポリシーやロール（RBAC）などの割り当て定義をテンプレート化して、複数のサブスクリプションに適用および監査・追跡するための仕組みです。
作成済みのブループリントファイルをAzureBLOBストレージにコピーする必要があります。

どのような対応が必要となりますか。

Azure Storage Explorerを使用してファイルをコピーする Azure Storage Explorerを使用してストレージ内に保存されたファイルのアップロードやコピーなどの操作を実施できます。Azure Storage ExplorerはWindows、macOS、およびLinuxでAzureStorageデータを操作できるMicrosoftの無料ツールです。これを使用して、AzureBLOBストレージからデータをアップロードおよびダウンロードできます。
Azure Application Gatewayのリクエストに失敗が多発しており、そのためのトラブルシューティングしています。

あなたは過去24時間以内に発生した合計リクエスト数と失敗したリクエスト数を比較する必要があります。

どのツールを利用すればよいでしょうか。

Application Gatewayのメトリック Application Gatewayのメトリックを利用して、Application Gatewayを経由した合計リクエスト数と失敗したリクエスト数を取得することが可能です。Application Gatewayではパフォーマンスカウンターを表示するために、次の7つのメトリックが利用可能です。

・リクエストの総数
・失敗したリクエスト
・現在の接続
・健全なホスト数
・応答ステータス
・スループット
・不健康なホスト数

これらのメトリックはポータルでパフォーマンスカウンターを表示できるAzureリソースの機能です。バックエンドプールごとにフィルター処理して、特定のバックエンドプール内の正常なホストと異常なホストを表示できます。
オンプレサーバー「OnVM-A」には2 TBのデータがあります。あなたはAzure Import / Exportサービスを使用して、データをストレージアカウントに転送する必要があります。

次のアクションをどの順番で実行する必要がありますか？

(1)OnVM-A のホストサーバーから外付けディスクを切り離し、Azure データセンターに接続します。

(2)Azure Portalから、Azure Import / Exportサービスを使用してVMのインポートジョブを更新します。

(3)OnVM-Aのホストサーバーに外付けディスクを取り付けて、waimportexport.exe を実行します。

(4)Azure Portalから、Azure Import / Exportサービスを使用してVMのインポートジョブを作成します。

３，４，１，２
あなたはStorage-Aというストレージアカウントを利用しています。また、西日本と東日本に１つずつデータセンターを有しており、2つのデータセンターをジオクラスター化しています。

Storage-Aの冗長性オプションを利用して、次のデータストレージ要件に対応することが必要です。

*データは複数のノードに保存する必要があります。
*データは地理的に離れた場所にあるノードに保存する必要があります。
*データはプライマリロケーションだけでなくセカンダリロケーションからも読み取れるようにします。

どのAzureストレージ冗長性オプションを利用すれば良いでしょうか。

読み取りアクセスgeo冗長ストレージ（RA-GRS）読み取りアクセス geo 冗長ストレージ (RA-GRS) を使用することでデータは地理的に離れた場所にある複数のノードに保存され、プライマリロケーションだけでなくセカンダリロケーションからも読み取ることができます。RA-GRSはセカンダリロケーションにレプリケートされた「読み取り専用」のレプリカをデプロイできます。この機能を有効にすると、プライマリリージョンでデータが利用できない場合に、セカンダリロケーションを使用して可用性を高めることができます。
Azure サブスクリプションの所有者によって定義されたアクショングループによる通知は、どのAzureサービスで利用できるでしょうか。

正しいツールをすべて選択してください。
・Service Health
・Azure Advisor
・Azure security
・Azure Monitor

・Service Health
・Azure Advisor
・Azure Monitor アクショングループはAzure サブスクリプションの所有者によって定義された通知設定のコレクションです。アクショングループはAzure Monitor、Service Health、Azure Advisor のアラートにおいて通知するメールアドレスを指定するために使用されます。ユーザーの要件に応じて、さまざまなアラートで同じアクショングループを使用することも、異なるアクショングループを使用することもあります。
「？」を使用すると、Azure Load Balancer のパブリック IP アドレスとポート番号を使って Azure 仮想ネットワーク内の仮想マシン (VM) に接続できます。

ポートフォワーディング

ポートフォワーディングを使用すると、Azure Load Balancer のパブリック IP アドレスとポート番号を使って Azure 仮想ネットワーク内の仮想マシン (VM) に接続できます。その際の設定手順は以下の通りです。

１．仮想ネットワークと仮想マシンを作成する。

２．フロントエンド IP、正常性プローブ、バックエンド構成、負荷分散規則、およびインバウンド NAT 規則を使用して、Standard SKU パブリックロードバランサーを作成する。

３．バックエンドプールの送信インターネットアクセス用の NAT ゲートウェイを作成する。
App-Aには、以下の用のデプロイスロットがあります。

①
名前：App-A-prod
用途：本番環境のアプリケーションのデプロイ

②
名前：App-A-test
用途：テスト環境のアプリケーションのデプロイ

ユーザーがApp-Aの新しいリリースを利用できるようにする前に、リリースをテストする必要があります。
１つ目の手順、2つ目の手順を答えてください

1つ目の手順
App-Aの変更をApp-Atestにデプロイし、リリーステストをする。

2つ目の手順
スロットを交換するテストスロットでWebアプリの変更を検証してから、本番スロットと交換することで、アプリの変更を確認してからリリースすることができます。

テストスロットでWebアプリの変更を検証してから、本番スロットと交換することで、アプリの変更を確認してからリリースすることができます。
あなたは100人の外部ユーザーのゲストユーザーアカウントをexample.comに作成する必要があります。

ソリューション：100人のリダイレクトURと電子メールアドレスを含むCSVファイルを作成する。Azure ポータルのMicrosoft Entraで、[ユーザーの一括招待]操作で、CSVファイルをインポートする。

このソリューションで目標を達成することはできますか。

はい Microsoft Entra B2B コラボレーションを使用して外部パートナーと協力する場合は、複数のゲストユーザーを組織に同時に招待できます。Azure portal では以下のような手順で、外部ユーザーに招待状を一括送信することができます。

【手順】
１．ユーザー一括招待を使用して、ユーザー情報と招待状のユーザー設定を含むコンマ区切り値 (.csv) ファイルを準備する。csv テンプレートを開いて、ゲストユーザーごとに 1 行追加します。必要な値は次のとおりです。

招待するメールアドレス - 招待が送信されるユーザー

リダイレクト URL - 招待されたユーザーが招待を承認した後に転送される URL。ユーザーを [マイアプリ] ページに転送する場合、この値を https://myapps.microsoft.com または https://myapplications.microsoft.com に変更する必要があります。

２．Microsoft Entraに .csv ファイルをアップロードする。

３．ユーザーがディレクトリに追加されたことを確認する。
あなたは100人の外部ユーザーのゲストユーザーアカウントをexample.comに作成する必要があります。

ソリューション：100人の外部ユーザーの名前と電子メールアドレスを含むCSVファイルを作成する。Azure ポータルのMicrosoft Entraで、 [外部ユーザーの招待]操作を使用して、CSVファイルをインポートする。

このソリューションで目標を達成することはできますか。

いいえ Azure ポータルのMicrosoft Entraで、[外部ユーザーの招待] メニューを利用した場合は、以下のような手順で1人ずつユーザーを招待することが必要です。

【手順】

１．「前提条件」に記載されているいずれかのロールを使用して、Azure portal にサインインします。

２．[Microsoft Entra]>[ユーザー] に移動します。

３．メニューから [外部ユーザーの招待] を選択します。

４．[Email] (メール): 招待するゲストユーザーのメールアドレスを入力します。

５．[確認と招待] ボタンを選んでプロセスを完了します。
あなたは100人の外部ユーザーのゲストユーザーアカウントをexample.comに作成する必要があります。

ソリューション：100人の外部ユーザーの名前と電子メールアドレスを含むCSVファイルを作成する。各外部ユーザーについてNew-AzureADMSInvitationコマンドレットを実行するAzureShellスクリプトを作成する。

このソリューションで目標を達成することはできますか。

はい PowerShell を使用して、ゲストユーザーを一括で追加することができます。その際は、まずは100人の外部ユーザーの名前と電子メールアドレスを含むCSVファイルを作成します。次に各外部ユーザーについてNew-AzureADMSInvitationコマンドレットを実行するAzureShellスクリプトを作成して、100人を一括で登録することが可能です。

【手順】

１．ユーザー情報を含むコンマ区切り値 (.csv) ファイルを準備する
２．PowerShell スクリプトを実行して招待状を送信する
３．ユーザーがディレクトリに追加されたことを確認する
４．Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。
アプリケーションの管理をDevlopment1という名前のグループに委任する必要があります。その中で、開発者は次のタスクを実行できる必要があります。

・展開スロットを追加する。
・構成を表示する。
・ロールの割り当てを変更する。

Devlopment1グループにどの役割を割り当てる必要がありますか？

所有者アプリケーション管理において、「ロールの割り当てを変更する」タスクが実施できるようにするためには、ロールを他者に付与するための権限が必要となります。上記の権限を設定するためにはAzure App Serviceプランに対する所有者ロールが必要となります。所有者となることで、アクセスを他のユーザーに委任することができるようになります。

共同作成者を使用すると、デプロイメントスロットを追加し、アプリサービスプランの構成を表示できますが、ロールの割り当てを変更することはできません。

ユーザーアクセス管理者はAzure リソースに対するユーザーアクセスを管理することができます。リソースへのアクセス権限を付与することができますが、ロールを他のユーザーに委任することはできません。
あなたはUser1という名前のユーザーアカウントを含むAzureサブスクリプションを利用しています。User1がグローバルポリシーとAzureロールの割り当てをディレクトリレベルで適用できるような権限を付与する必要があります。
あなたは何をするべきでしょうか？

User1にAzureサブスクリプションのルート管理グループのユーザーアクセス管理者ロールを付与する。各ディレクトリには、「ルート」管理グループと呼ばれる単一の最上位管理グループが与えられます。このルート管理グループは階層の上位に組み込まれており、すべての管理グループとサブスクリプションがこの階層に組み込まれます。

ルート管理グループを使用すると、グローバルポリシーとAzureロールの割り当てをディレクトリレベルで適用できます。したがって、Microsoft Entraのグローバル管理者が、user1にルート管理グループのユーザーアクセス管理者の役割を付与する必要があります。それによって、user1はルート管理グループの所有者となり、グローバルポリシーとAzureロールの割り当てをディレクトリレベルで適用できるようになります。
RG-Aには次のリソースが含まれています。

[VM1]
種類: 仮想マシン

[RSV1]
種類: Recovery Service コンテナー

[DB1]
種類: Azure SQL データベース

DB1はRSV1にバックアップするように設定されています。

あなたはAzureポータルからRG-Aを削除しようとしましたが、削除は失敗しました。

RG-Aを削除するためには、最初に何をすべきですか？

RSV１のデータを削除するバックアップデータが含まれるRecovery Service コンテナーを削除することはできないので、現在の設定のままではリソースグループの削除に失敗します。リソースグループを削除するためには最初にバックアップを削除する必要があります。したがって、Recovery Service コンテナーのバックアップデータを削除することが必要となります。
Net1においてP1v2料金階層を使用するAzure App Serviceプランを展開しました。
Azure App Serviceプランで実行されるWebApp1という名前のAzure Webアプリケーションを作成しました。

WebApp1とは別のオリジンでホスティングされているWebApp2からWebApp1のリソースへアクセスできるようにする必要があります。ソリューションはコストを最小限に抑える必要があります。

あなたは何を設定する必要がありますか？料金とWebApp1に必要な設定の観点で答えなさい。

Azure App Serviceの料金プラン：B1
WebApp1に必要な設定：CORS Standardサービスプラン (S1) よりもBasicサービスプラン (B1) の方がコストを低く抑えることができます。また、異なるオリジンにある選択されたリソースへのアクセス権を与えるにはCORSを設定する必要があります。
Windows Azure VMにクライアントPCからアクセスする際は「A」を利用します。クライアントPCから「A」で接続する際は「B」の「C」番ポートを利用します。

A：RDP
B：TCP
C：3389
画像データを保存するためには「？」をサポートするストレージアカウントが必要になる。

Azure Blob Storage Azure Blob Storage はオブジェクトタイプの大量のBLOBデータを保存することができるストレージソリューションです。 Blob Storage は、テキストデータや画像データなどの大量の非構造化データを格納するために最適化されています。
BLOB ストレージに認証する際に使用できる認証方法２つ

・Microsoft Entra
・ Shared Access Signature (SAS) トークン Azure Storage では、次の 3 種類の Shared Access Signature がサポートされています。

・ユーザー委任 SAS
・サービス SAS
・アカウント SAS

ユーザー委任 SAS は、Microsoft Entra資格情報と、SAS に指定されたアクセス許可によって保護されます。また、ユーザー委任 SAS はBLOB ストレージにのみ適用されます。
App-Aに接続するときにHTTP 500エラーが頻繁に発生しています。これらの接続エラーを解消するために接続エラーが発生した際に詳細情報を提供することが必要です。

あなたは接続エラーの詳細を確認するために何をすべきですか？

App Serviceメニューで[App Service ログ] を選択して、 [Web サーバーのログ記録] を有効化する App Service では以下の2つのログ記録を取得できます。

・アプリケーションのログ記録
アプリケーションのコード実行にかかるメッセージのログが記録されます。Web フレームワークや言語の標準ログパターンに基づいて、ログ取得されるメッセージはアプリケーションコードから生成されます。ログメッセージにエラーの重要性に基づいて、ステータス（重大、エラー、警告、情報、デバッグ、トレース）が割り当てられます。アプリケーションのログ記録を有効にするときに、重大度レベルを設定することにより、ログ記録の詳細度を指定できます。

・Web サーバーのログ記録
W3C 拡張ログファイル形式の生 HTTP 要求データが取得されます。ログメッセージには、HTTP メソッド、リソース URI、クライアント IP、クライアントポート、ユーザーエージェント、応答コードなどのデータが含まれます。
会社はexample.submicrosoft.comという名前のMicrosoft Entraテナントを含むSub1という名前のAzureサブスクリプションを利用しています。Microsoft Entraテナントにはexample2.comのパブリックDNSゾーンがあります。これを利用して、example2.comをカスタムドメイン名としてMicrosoft Entraに追加します。

ドメイン名の所有権を検証してカスタムドメイン名として使用可能かを確認することが必要です。

どのタイプのDNSレコードを作成する必要がありますか？

TXT（任意の文字列を記録する）ドメインのTXT レコードを確認することで、ドメイン名の所有権を検証してカスタムドメイン名として使用可能か判定することができます。 TXTレコードはDNSで定義されるドメイン情報が設定することができ、管理者が任意の文字データでホスト名の付加情報を定義することができます。
Azure Kubernetes Services（AKS）クラスターをデプロイしています。その際にAzure Kubernetes Services（AKS）クラスターと同じネットワーク上のクライアントがPodのIPアドレスを使用してApp-Aに直接接続することが必要です。
ネットワークタイプは何を選ぶべきですか？

Azure Container Networking Interface (CNI) ネットワーク
Azure Service Busにおいて「？」を使用することで、先入れ先出し（FIFO）によるメッセージ配信が保証されます。

セッション Azure Service Bus セッションでは、FIFOキューによるメッセージの順序指定処理が可能です。このセッション機能によってメッセージ送信時のコンシューマーとのやり取りのセッション状態を保存することもできます。

Service Bus "パーティション" はメッセージングエンティティ" を複数のメッセージブローカーとメッセージングストアにパーティション分割することができます。
App-Aは1時間連続して実行された後、停止してしまうため、App-Aが1日中連続して起動できるようにする必要があります。

解決策：Plan-AをBasicプランに変更します。
これは目標を達成していますか？

はいこのシナリオではApp-Aは60分間連続して実行された後、毎日停止してしまうことが問題となっています。あなたはこの問題を改善して、App-Aの実行時間を１日中実行できるようにすることが求められています。

Azure App ServiceプランのFreeプランでは1日の使用可能なCPU時間が60分以内に制限されています。そのために、App-Aは60分間実行されると停止してしまいます。FreeプランをBasicプランに変更すると1日の使用可能なCPU時間が無制限になるので目標を達成することができます。
あなたはSubnet-AとSubnet-Bとの間でネットワークトラフィック検査を実施する必要があります。その際は、2つのネットワーク仮想アプライアンス(NVA)が含めた設定が必要です。また、ネットワーク仮想アプライアンス (NVA) の高可用性を担保することも必要です。

どのような操作をすればよいでしょうか。 NVAとは仮想マシンとして提供されるネットワーク機器のことをいう。代表的なNVAにルータやファイアウォールなどがある。Azure MarketplaceにはサードパーティからさまざまなNVAが提供されている。

HAポートおよびFloating IPを有効にした2つの負荷分散規則を追加する。このシナリオでは、２つのサブネット（Subnet-AとSubnet-B）の間でネットワークトラフィックを検査するために、2つのネットワーク仮想アプライアンス(NVA)を含めたVMの構成が必要です。２つの仮想アプライアンスを利用するためにはFloating IPを設定します。さらに、HA ポート負荷分散規則を利用することで仮想ネットワーク内のネットワーク仮想アプライアンス (NVA) の高可用性と拡張性を実現することができます。

この構成は、バックエンドプール内の 1 つの VM に対して複数の仮想アプライアンスによって同じポートが使用される構成となります。その際は、バックエンドプールの規則の定義で Floating IP を有効にする必要があります。Floating IPを有効にすると、IP アドレスのマッピングが、バックエンドインスタンスの IP ではなく Load Balancer のフロントエンド IP アドレスに変更されます。Floating IP がない場合は、VM インスタンスの IP が公開されます。 Floating IP を有効にすると、IP アドレスマッピングがロードバランサーのフロントエンド IP に変更されることで柔軟性が向上します。

HA ポート経由で内部 Load Balancer を使用しているときは、Azure Standard Load Balancer を利用すると、すべてのポートですべてのプロトコルフローを同時に負荷分散することができます。

高可用性 (HA) ポートは負荷分散規則の一種であり、内部 Standard Load Balancer のすべてのポートに到着するすべてのフローの負荷分散を簡単に行う方法を提供します。
RG-Aにはテンプレートを使用してデプロイされたリソースが含まれています。あなたはRG-Aに展開されているリソースの作成日時を確認することになりました。

解決策：[サブスクリプション]ブレードからサブスクリプションを選択し、[リソースプロバイダー]をクリックします。
これは目標を達成していますか？

いいえ [サブスクリプション]ブレードからサブスクリプションを選択し、[リソースプロバイダー]をクリックしてもリソースの作成日は確認できません。リソースプロバイダーは特定の Azure サービスの機能を有効化するためのセクションです。たとえば、KeyVault サービスはMicrosoft.KeyVault という名前のリソースプロバイダーで構成されています。

リソースグループに配置されたリソースが作成された日時を特定するためにはアクティビティログを用います。
AzureではAzure接続のためのユーザー認証のメカニズムとして「A」と「B」の2 つの仕組みが用意されています。

A：Azure 証明書認証
B：Microsoft Entra認証 Computer-Aからクライアント証明書をエクスポートして、Computer-BにインストールすることでComputer-BからVNET-Aへのポイント対サイトVPN接続を確立できるようになります。
AzureからVPNクライアント構成パッケージをダウンロードしてComputer-Aという名前のコンピューターにインストールしました。

あなたは新たにComputer-BからVNET-Aへのポイント対サイトVPN接続を確立できるようにする必要があります。

ソリューション：Computer-Bにたいして、IPSecポリシーエージェントサービスの[スタートアップの種類]を[自動]に設定する。

これは目標を達成していますか？

いいえ VPN クライアント構成ファイルをComputer-Bにインストールした後、VPNに接続するには、[ネットワークの設定] に移動し、[VPN] をクリックします。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されるため、それをクリックして接続を実施します。
GW-Aというポリシーベースの仮想ネットワークゲートウェイがVNETAに設定されています。あなたはオンプレミスコンピューターからVNET-Aにポイント対サイト接続を構成する必要があります。どのような操作を行う必要がありますか。（2つ選択してください。）

①GW-Aを削除する
②ルートベースの仮想ネットワークゲートウェイを作成する。ポイント対サイト接続はルートベースの仮想ネットワークゲートウェイにしか対応していないため、ポリシーベースの仮想ネットワークゲートウェイを利用できません。そのため、このシナリオでは、ポリシーベースの仮想ネットワークゲートウェイを一度削除して、ルートベースの仮想ネットワークゲートウェイを作成する必要があります。したがって、まずはポリシーベースの仮想ネットワークゲートウェイであるGW-Aを削除します。次にルートベースの仮想ネットワークゲートウェイを作成して、ポイント対サイト接続を構成します。
基本的なMicrosoft Entraテナントに関連付けられているAzureサブスクリプションを作成する必要があります。

ユーザーが管理者ロールをアクティブにしたときに、メール通知を受信する必要があります。

あなたは何をするべきでしょうか。

Microsoft Entra Premium P2を購入しMicrosoft Entra Privileged Identity Management (PIM) を構成する。 Microsoft Entra Privileged Identity Management (PIM) を使用すると、Microsoft Entraの組織で、ロールが割り当てられたり、アクティブ化されたりした場合などの重要なイベントが発生した際に通知を受けることができます。この機能を使用するには、Microsoft Entra Premium P2 ライセンスが必要となります。
PIMは次のイベントが発生した際に、電子メールを送信することができます。

*特権ロールのアクティブ化が承認待ちの場合
*特権ロールのアクティブ化要求が完了した場合
*特権ロールがアクティブ化された場合
*特権ロールが割り当てられている場合
* Microsoft Entra PIMが有効になっている場合

※混同注意
Microsoft Entra Identity Protectionは組織が次の 3 つの主要なタスクを実行できるツールです。

・ID ベースのリスクの検出と修復を自動化
・ポータルのデータを使用してリスクを調査
・リスク検出データを SIEM にエクスポート
会社には大阪オフィスと東京オフィスという名前の2つのオンプレミス環境を利用しています。会社はVNET-Aという名前の仮想ネットワークが含まれるSubscription1という名前のAzureサブスクリプションを利用しています。

Azure Virtual WANを使用して大阪オフィスと東京オフィスを接続する必要があります。次のアクションの中で、どの4つのアクションを順番に実行する必要がありますか？

1. ハブ設定を構成する
2. サイトを作成してハブに接続する
3. サイト間 VPN ゲートウェイの設定を構成する
4. VPNサイトをハブに接続する
5. 仮想WANを作成する

5. 仮想WANを作成する
1. ハブ設定を構成する
3. サイト間 VPN ゲートウェイの設定を構成する
2. サイトを作成してハブに接続する Azure Virtual WAN を使用して複数のオンプレミスサイトとAzure間との接続を構成することができます。以下の手順で行います。

１．仮想 WAN を作成する
[WAN の作成] ページの [基本] タブで、フィールドに入力します。ユーザーの利用環境に適用します。

２．仮想ハブの基本設定を構成する
仮想ハブは、サイト間、Azure ExpressRoute、またはポイント対サイト機能のためのゲートウェイを含めることができる仮想ネットワークです。[ハブ] ページで、 [+ 新しいハブ] を選択して、 [仮想ハブを作成する] ページにおいて仮想ハブを作成します。

３．サイト間 VPN ゲートウェイの設定を構成する
[仮想ハブの作成] ページで [サイト間] をクリックして [サイト間] タブを開きます。サイト間接続性設定を構成してから、ハブとサイト間 VPN ゲートウェイを作成します。

４．サイトを作成する。
必要な数のサイトを作成します。たとえば、NY、ロンドン、および LA にブランチオフィスがある場合は、3 つのサイトを作成します。

５．サイトをハブに接続する。
作成したハブのページで、左側のペイン [接続] の下にある [VPN (サイト間)] をクリックして、[VPN (サイト間)] ページを開きます。[サイトの接続] ページで、設定を構成します。
50人のユーザーアカウントを含むexample.comという名前のMicrosoft Entraテナントがあります。あなたはテナント用に20個のMicrosoft Entra Premium P2ライセンスを購入します。
この20人のユーザーがすべてのMicrosoft Entra Premium機能を使用できるように設定する必要があります。
どのように設定すればよいでしょうか。

Microsoft Entraの[ライセンス]ブレードから、Microsoft Entra Premium P2ライセンスを20人それぞれに割り当てる
AzureAD参加を行う際、そのコンピューターのローカル管理者（Administrations）グループには「A」と「B」が自動的に追加されます。

「C」がありになっていれば、任意のAzureADユーザーをローカル管理者グループに追加することも可能です。

A：AzureAD参加を行ったAzureADユーザー
B：グローバル管理者グループのAzureADユーザー
C：[Azure AD参加済みデバイスの追加のローカル管理者]
あなたはVNET-AとVNET-Ｂという名前の仮想ネットワークが含まれるSubscription1という名前のAzureサブスクリプションを利用しています。

[VNET-A]
アドレス空間: 10.0.0.0/16
サブネット: 10.0.0.0/24, 10.0.1.0/26
ピアリング: VNET-B

[VNET-Ｂ]
アドレス空間: 10.1.0.0/16
サブネット: 10.1.0.0/24
ピアリング: VNET-A

あなたは10.10.0.0/16のアドレス空間をVNET-Aに追加する必要があります。また、VNET-AとVNET-Ｂのホストが通信できるようにする必要があります。以下の6つのアクションのうち、適切な３つのアクションの順番を選択してください。

1. ピアリングのゲートウェイ転送を有効にする。
2. VNET-Aを削除する。
3. VNET-Ｂを削除する。
4. VNET-Aに10.10.0.0/16のアドレス空間を追加する。
5. VNET-AとVNET-Ｂの間のピアリングを削除する。
6. VNET-AとVNET-Ｂの間のピアリングを作成する。

5. VNET-AとVNET-Ｂの間のピアリングを削除する。
4. VNET-Aに10.10.0.0/16のアドレス空間を追加する。
6. VNET-AとVNET-Ｂの間のピアリングを作成する。仮想ネットワークを別の仮想ネットワークにピアリング接続した後に、仮想ネットワークのアドレス空間に対してアドレス範囲を追加したり、削除したりすることはできません。アドレス範囲を追加または削除したい場合は、一旦設定済みのピアリングを削除する必要があります。その後、アドレス範囲を追加または削除してから、仮想ネットワーク間のピアリングを再作成します。　
プライベートDNSゾーンに仮想ネットワークをリンクする際、「自動登録を有効にする」オプションを構成できます。
自動登録を有効にした仮想ネットワークでは、その仮想ネットワークの全ての仮想マシンの「①」が「②」として自動的にプライベートDNSゾーンに登録されます。

①プライベートIPアドレス
②Aレコードこのような仮想ネットワークを登録仮想ネットワークと呼びます。
アプリケーションセキュリティグループを仮想マシンに関連付けるためには、ターゲット仮想マシンの「？」を関連付ける必要があります。

ネットワークインターフェース（NIC） NIC経由で仮想マシンをアプリケーションセキュリティグループに参加させることで、そのアプリケーションセキュリティグループはNSGルールのソースまたは宛先として使用することができます。このようにして、アプリケーションセキュリティグループは仮想マシンをNIC経由でグループ化して、そのグループに対してネットワークセキュリティポリシーを定義して、通信を制御することができます。
仮想ネットワークはお互いの「？」が重複していない限りはピアリング接続を構成することができます。

CIDR
「？」はパスワードリセット時のセキュリティのプロセスにセキュリティの質問を追加できる権限を有しています。ユーザー管理者にはパスワードリセットの設定権限がありません。

全体管理者全体管理者ロールを持つユーザーは、ユーザーを作成し、いくつかの制限付きでユーザーのあらゆる側面を管理し (表を参照)、パスワードの有効期限ポリシーを更新できます。全体管理者はすべてのグループを作成および管理できます。
あなたはSubscription1のRG-Cという名前のリソースグループに割り当て可能なスコープを持つカスタムロールを作成します。あなたは管理労力を最小限に抑えつつ、このカスタムロールを Subscription1 と Subscription2 に適用したいです。
あなたは何をすればよいでしょうか。

カスタムロールの「割り当て可能なスコープ」にサブスク2を追加。「割り当て可能なスコープ」からRG-Cを削除。カスタムロールの「割り当て可能なスコープ」にサブスク1を追加。カスタムロールの割り当て可能なスコープリストを変更するだけで、特定のSubscriptionをカスタムロールに適用することができます。これによって、管理労力を最小限に設定を完了させることができます。

カスタムロールをSubscription2 に適用するためには、そのカスタムロールの割り当て可能なスコープに直接に Subscription2 を追加するだけです。

Subscription１は所属しているRG-Ｃというリソースグループにカスタムロールが適用されています。したがって、まずは割り当て可能なスコープから RG-Ｃを削除します。その上で、カスタムロールをSubscription１に適用します。
Azure ストレージアカウントに対してMicrosoft Entra認証を構成し、ユーザーを設定しています。グループのメンバーが Azure portal を使用してファイルをアップロードできることを確認する必要があります。

最小特権の原則に従いつつ、ストレージアカウントに対して構成する必要がある 2 つのロールはどれでしょうか

①ストレージBLOBデータ共同作成者
②閲覧者ストレージ BLOB データ共同作成者（Storage blob data contributor）はユーザーが BLOB データをアップロードすることができる権限を付与するロールです。データをアップロードするだけであれば、ストレージ BLOB データ共同作成者ロールのみで可能なように思えますが、閲覧者ロールも必須となります。閲覧者ロールは Azure Resource Manager のロールです。Azureポータルにおいて、ユーザーがストレージアカウントのリソースを表示するために閲覧者ロールが必要です。ストレージアカウントのリソース表示を確認することで、ユーザーはAzure portal 内の BLOB コンテナーに移動することができます。つまり、ユーザーに閲覧者ロールがなければアップロード対象となるストレージアカウントまでたどり着くことができません。
リソースをロックできる範囲はどこまで？
・テナント
・管理グループ
・サブスクリプション
・リソースグループ
・VM

・サブスクリプション
・リソースグループ
・VM 管理グループやテナントルートグループにはロックを適用できません。
あなたはリソースの使用状況をモニタリングして、誤ってリソースが削除されないようにロックを設定することにしました。

どのリソースにタグを適用できますか?
・テナント
・管理グループ
・サブスクリプション
・リソースグループ
・VM

・サブスクリプション
・リソースグループ
・VM Azure リソース、リソースグループ、サブスクリプションに対してタグを適用できます。管理グループやテナントルートグループにはタグは適用できません。

タグはAzure リソースに適用するメタデータ要素です。これらは、組織に関連する設定に基づいてリソースを識別するのに役立つキーと値のペアです。これを利用して、リソースに追加の名称や記号を付与して管理することができます。
VM-A という名前の仮想マシンを利用したオンプレミスの Hyper-V サーバーがあります。この仮想マシンを Azure にレプリケートする必要があります。
この目標を達成するには、どれを作成する必要がありますか?（3つ選択してください）

・レプリケーションポリシー
・Hyper-Vサイト
・Azure Recovery Servicesコンテナーレプリケーションの実施期間などの詳細を定義するためにはレプリケーションポリシーを設定します。レプリケーションポリシーは復旧ポイントの保持履歴とアプリ整合性スナップショットの頻度を定義するポリシーです。

ソース環境を設定するには、Hyper-V サイトを作成します。レプリケートする VM を含む Hyper-V ホストをサイトに追加します。その後、Azure Site Recovery プロバイダーと Azure Recovery Services エージェントをダウンロードして各ホストにインストールし、コンテナーに Hyper-V サイトを登録します。

オンプレミスの Hyper-V VM の Azure へのディザスターリカバリーを設定する前にRecovery Services コンテナーを準備する必要があります。Recovery Services コンテナーはデータを格納する Azure のストレージエンティティです。 Recovery Services コンテナーを使用して、IaaS VM (Linux または Windows) や Azure SQL データベースなどのさまざまな Azure サービスのバックアップデータを保持できます。
サブスクリプションAからサブスクリプションBに移動できるのは？
VM,LB,VNET,NIC,アプリケーションセキュリティグループ、Recovery Service Vault

全部！
VM,LB,VNET,NIC,アプリケーションセキュリティグループ、Recovery Service Vault ただし、Azure リージョン間で Azure Backup 用の Recovery Services コンテナーを移動することはできません。

リソースの移動中はソースグループとターゲットグループの両方がロックされます。移動が完了するまで、リソースグループに対する書き込み操作と削除操作はブロックされます。このロックは、リソースグループ内のリソースを追加、更新、または削除できないことを意味します。リソースが凍結されるという意味ではありません。
あなたはLog1という名前の Azure Log Analytics ワークスペースを含むSubscription1 という名前の Azure サブスクリプションを利用しています。table1という名前のテーブルからエラーイベントを抽出する必要があります。
Log1でどのクエリを実行する必要がありますか?

search in (Event) "error" 特定のテーブル内の用語を検索するには、検索演算子( search in)の直後にテーブル名を追加します。 search in (Event) "error"とすることで、"error"が発生しているエラーイベントを表示することができます。
User-Aに対してAzure サブスクリプションの Traffic Analytics を有効にするために必要なロールが割り当てられる必要があります。

解決策: サブスクリプションレベルでネットワーク共同作成者ロールをUser-Aに割り当てます。

これは目標を達成していますか?

はい Azure Network Watcherのトラフィック分析機能（Traffic Analytics）はNSGフローログを分析し、Azure クラウド内のトラフィックフローに関する洞察を提供します。ユーザーがトラフィック分析機能を有効化するには所有者、共同作成者、閲覧者、またはネットワーク共同作成者の権限が必要となります。したがって、サブスクリプションレベルでネットワーク共同作成者ロールをUser-Aに割り当てることで、User-Aはサブスクリプション内にあるネットワークに対するトラフィック分析を有効化することができます。

ネットワーク共同作成者ロールはネットワークを管理できますが、ネットワークにアクセスすることはできません。 Traffic Analytics は、クラウドネットワーク内のユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。
ユーザーがトラフィック分析機能（Traffic Analytics）を有効化するには「？」の権限が必要となります。
？に入る権限を４つ答えなさい。

所有者、共同作成者、閲覧者、またはネットワーク共同作成者
Azure Backupは同じ[?]のストレージアカウントのみに適用できます。

リージョン Recovery Services コンテナーをストレージアカウントに設定してストレージをバックアップする場合は、ストレージアカウントとRecovery Services コンテナーは同じリージョンに存在する必要があります。
Recovery Services コンテナー間でバックアップデータを移動することはできる？

できない Recovery Services コンテナー間でバックアップデータを移動することは、現在、Azure Backup ではサポートされていません。新しいリージョンにバックアップデータを移動させたい場合は、そのリージョン内にリソースを移動させてから、新しいリージョン内のRecovery Services コンテナーを利用してバックアップする必要があります。
Azure Backup レポートは異なるリージョンに設定したLog Analytics ワークスペースに作成することができるか？

できる Log Analytics ワークスペースはバックアップレポートデータを保存する際に 1 つ以上の Log Analytics ワークスペースを設定することができます。その際にRecovery Services コンテナーが存在するリージョンまたはサブスクリプションとは異なるリージョンとサブスクリプションに配置されたLog Analytics ワークスペースを利用することができます。
Premium ファイル共有は「？」Storage アカウントと呼ばれる特別な目的のストレージアカウントのみで利用が可能です。

File FileStorage ストレージアカウントを使うと、Premium のソリッドステートディスクベース (SSD ベース) のハードウェアに、Azure ファイル共有をデプロイできます。 FileStorage アカウントは、Azure ファイル共有を格納するためにのみ使用できます。FileStorage アカウントでその他のストレージリソース (BLOB コンテナー、キュー、テーブルなど) をデプロイすることはできません。
ホット、クール、アーカイブ間のストレージデータ階層は「A」および「B」アカウントのみでサポートされています。

A：Blob Storage
B：汎用 v2 (GPv2) ＝StorageV2 新しい汎用 v2 ストレージアカウントの既定のアクセス層はデフォルトでホット層に設定されています。このデフォルトのアクセス層設定は、ストレージアカウントの作成時および作成後に変更できます。ストレージアカウントでこの設定を変更しない場合、または BLOB のアップロード時に層を明示的に設定しない場合は新しい BLOB は既定でホットアクセス層にアップロードされます。

アーカイブアクセス層への BLOB の移動は、LRS、GRS、または RA-GRS 用に構成されたストレージアカウントのみでサポートされます。アーカイブアクセス層は、ZRS、GZRS、RA-GZRS のアカウントではサポートされていません。
VM-A を別のホストに移動する、とは具体的にはどういう意味？

VM-Aを実行しているホストサーバーを変更するということ仮想マシンは再デプロイする際にホストサーバーが変更されることになります。

VM を再デプロイすると、Azure では VM がシャットダウンされ、一時ディスクが失われ、仮想ネットワークインターフェイスに関連付けられた動的 IP アドレスが更新されます。次にAzure インフラストラクチャ内の新しいノードに VM が移動されてから、電源が再びオンにされて、すべての構成オプションと関連するリソースが保持されます。
Azure ポータルのVMメニューの[更新管理] ブレードで、[有効にする] をクリックすることでなにができるようになる？

VM-Aの更新を有効化することができます。それによってVM-Aにはメンテナンスが実行されるようになります。このメンテナンスによってVM-Aの更新が発生しても、VM-Aのホストサーバーは変更されません。仮想マシンは再デプロイする際にホストサーバーが変更されることになります。
アーカイブアクセス層への BLOB の移動ができる構成３つ、できない構成３つ答えよ。

アーカイブアクセス層へ移動できるのは
LRS、GRS、または RA-GRS
できないのは
ZRS、GZRS、RA-GZRS
テスト結果を見るもう一度テストする暗記する