SC-300日本語 無料問題集「Microsoft Identity and Access Administrator (SC-300日本語版)」
次の表に示すオブジェクトを含むAzureActive Directory(Azure Azure)テナントがあります。
* Device1という名前のデバイス
* User1、User2、User3、User4、およびUser5という名前のユーザー
* Group1、Group2、Group3、Ciroup4、およびGroup5という名前の5つのグループ
グループは、次の表に示すように構成されます。
Microsoft Office 365 Enterprise E5ライセンスをGroup1に割り当てる場合、いくつのライセンスが使用されますか?
* Device1という名前のデバイス
* User1、User2、User3、User4、およびUser5という名前のユーザー
* Group1、Group2、Group3、Ciroup4、およびGroup5という名前の5つのグループ
グループは、次の表に示すように構成されます。
Microsoft Office 365 Enterprise E5ライセンスをGroup1に割り当てる場合、いくつのライセンスが使用されますか?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
ネットワークには、Azure ADConnectを使用してcontoso.comという名前のAzureActive Directory(Azure AD)テナントにリンクされているcontoso.comという名前のActiveDirectoryフォレストが含まれています。
Attire AD Connectは、Server1という名前のサーバーにインストールされます。
Serverという名前の新しいサーバーをデプロイしますか? Windows Server2019を実行します。
Azure ADConnect用のフェールオーバーサーバーを実装する必要があります。このソリューションでは、Server1に障害が発生した場合のフェイルオーバーにかかる時間を最小限に抑える必要があります。
順番に実行する必要がある3つのアクションはどれですか?回答するには、適切なアクションをアクションのリストから回答領域に移動し、正しい順序に並べます。
Attire AD Connectは、Server1という名前のサーバーにインストールされます。
Serverという名前の新しいサーバーをデプロイしますか? Windows Server2019を実行します。
Azure ADConnect用のフェールオーバーサーバーを実装する必要があります。このソリューションでは、Server1に障害が発生した場合のフェイルオーバーにかかる時間を最小限に抑える必要があります。
順番に実行する必要がある3つのアクションはどれですか?回答するには、適切なアクションをアクションのリストから回答領域に移動し、正しい順序に並べます。
正解:
Department1という名前の管理ユニットを含むAzureActive Directory(Azure AD)テナントがあります。
Department1には、ユーザー展示に表示されているユーザーがいます。 ([ユーザー]タブをクリックします。)
Department1には、グループ展示に示されているグループがあります。 ([グループ]タブをクリックします。)
Department1には、Assignments展示に示されているユーザー管理者の割り当てがあります。 ([割り当て]タブをクリックします。)
Group2のメンバーはGroup2の展示に展示されています。 ([グループ2]タブをクリックします。)
次の各ステートメントについて、ステートメントがtrueの場合は、[はい]を選択します。それ以外の場合は、[いいえ]を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
Department1には、ユーザー展示に表示されているユーザーがいます。 ([ユーザー]タブをクリックします。)
Department1には、グループ展示に示されているグループがあります。 ([グループ]タブをクリックします。)
Department1には、Assignments展示に示されているユーザー管理者の割り当てがあります。 ([割り当て]タブをクリックします。)
Group2のメンバーはGroup2の展示に展示されています。 ([グループ2]タブをクリックします。)
次の各ステートメントについて、ステートメントがtrueの場合は、[はい]を選択します。それ以外の場合は、[いいえ]を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/active-directory/roles/administrative-units
User1、User1、およびUser3という名前の3人のユーザーを含むAzure Active Directory(Azure AD)テナントがあり、Group1という名前のグループを作成します。 User2とUser3をGroup1に追加します。
アプリケーション管理者の展示に示されているように、Azure AD特権ID管理(PIM)でロールを構成します。 (アプリケーションの[管理者]タブをクリックします。)
Group1は、アプリケーション管理者ロールの承認者として構成されます。
User2をアプリケーション管理者ロールの対象となるように構成します。
User1の場合、割り当ての展示に示されているように、アプリケーション管理者の役割に割り当てを追加します。 ([割り当て]タブをクリックします)
次の各ステートメントについて、ステートメントがtrueの場合は[はい]を選択し、そうでない場合は[いいえ]を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
アプリケーション管理者の展示に示されているように、Azure AD特権ID管理(PIM)でロールを構成します。 (アプリケーションの[管理者]タブをクリックします。)
Group1は、アプリケーション管理者ロールの承認者として構成されます。
User2をアプリケーション管理者ロールの対象となるように構成します。
User1の場合、割り当ての展示に示されているように、アプリケーション管理者の役割に割り当てを追加します。 ([割り当て]タブをクリックします)
次の各ステートメントについて、ステートメントがtrueの場合は[はい]を選択し、そうでない場合は[いいえ]を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
正解:
Microsoft 365 E5 テナントがあります。
App1 という名前のクラウド アプリを購入します。
Microsoft Defender for Cloud Apps を使用して、App1 のリアルタイム セッション レベルの監視を有効にする必要があります。
どの順序でアクションを実行すればよいですか? 回答するには、適切なアクションをアクション リストから回答領域に移動し、正しい順序に並べます。
App1 という名前のクラウド アプリを購入します。
Microsoft Defender for Cloud Apps を使用して、App1 のリアルタイム セッション レベルの監視を有効にする必要があります。
どの順序でアクションを実行すればよいですか? 回答するには、適切なアクションをアクション リストから回答領域に移動し、正しい順序に並べます。
正解:
Explanation:
Register App1 in Microsoft Entra ID.
Create a conditional access policy that has session controls configured.
From Microsoft Defender for Cloud Apps, modify the Connected apps settings for App1.
From Microsoft Defender for Cloud Apps, create a session policy.
Let's break this down step by step based on Microsoft Defender for Cloud Apps (MDCA) and Microsoft Entra ID integration for enabling real-time session-level monitoring, as outlined in Microsoft Identity and Access Administrator documentation.
Understanding the Goal: Real-Time Session-Level Monitoring with Microsoft Defender for Cloud Apps:
Microsoft Defender for Cloud Apps (MDCA) is a Cloud Access Security Broker (CASB) solution that provides visibility, control, and threat protection for cloud applications.
Real-time session-level monitoring allows MDCA to inspect and control user activities within a cloud app (App1 in this case) during active sessions. This requires integration with Microsoft Entra ID and the use of Conditional Access policies to route sessions through MDCA for monitoring.
The Microsoft 365 E5 tenant includes licenses for Microsoft Entra ID P2 and Microsoft Defender for Cloud Apps, which are necessary for this functionality.
Step-by-Step Analysis of the Actions:To enable real-time session-level monitoring, the actions must be performed in a logical order that aligns with Microsoft's recommended workflow for integrating a cloud app with MDCA.
Step 1: Register App1 in Microsoft Entra ID.
Before App1 can be monitored by MDCA, it must be registered as an application in Microsoft Entra ID. This step involves adding App1 to the tenant's enterprise applications, which allows Microsoft Entra ID to manage authentication and authorization for the app.
Registering the app in Microsoft Entra ID enables single sign-on (SSO) and allows the app to be governed by Conditional Access policies, which is a prerequisite for session-level monitoring.
This is the first step because none of the other actions can proceed without App1 being recognized by Microsoft Entra ID.
Step 2: Create a conditional access policy that has session controls configured.
Microsoft Defender for Cloud Apps integrates with Microsoft Entra ID Conditional Access to enforce session- level monitoring. A Conditional Access policy must be created to target App1 and include session controls that route user sessions through MDCA.
In the Conditional Access policy, under "Session" controls, you enable the option "Use Conditional Access App Control," which integrates with MDCA. This allows MDCA to monitor and control the session in real time.
This step must come after registering the app in Microsoft Entra ID because the Conditional Access policy needs to target an existing app. It must also precede the MDCA-specific steps because the session control integration sets up the connection between Microsoft Entra ID and MDCA.
Step 3: From Microsoft Defender for Cloud Apps, modify the Connected apps settings for App1.
After the Conditional Access policy routes sessions to MDCA, you need to configure App1 within MDCA by modifying its Connected apps settings. This step involves ensuring that App1 is properly connected to MDCA, which may include configuring API connectors or verifying that MDCA can monitor the app's activities.
This step is necessary to ensure MDCA has the necessary permissions and configurations to monitor App1. It comes after the Conditional Access policy because the policy enables the integration, and now MDCA needs to be set up to handle the app.
Step 4: From Microsoft Defender for Cloud Apps, create a session policy.
Finally, you create a session policy in MDCA to define the real-time monitoring and control rules for App1. A session policy in MDCA allows you to monitor user activities (e.g., file downloads, data sharing) and apply actions (e.g., block, notify) based on predefined conditions.
This step is the last because it relies on the previous steps: the app must be registered, the Conditional Access policy must route sessions to MDCA, and the Connected apps settings must be configured for MDCA to recognize App1. Only then can you define session policies to enforce real-time monitoring.
Why This Order?
The order ensures a logical flow:
Registering the app in Microsoft Entra ID establishes the app's identity in the tenant.
The Conditional Access policy enables the integration with MDCA by routing sessions through it.
Modifying the Connected apps settings in MDCA ensures the app is properly set up for monitoring.
Creating a session policy in MDCA defines the specific monitoring and control rules for real-time session- level monitoring.
Deviating from this order would result in errors. For example, creating a session policy in MDCA before registering the app in Microsoft Entra ID would fail because MDCA wouldn't recognize the app.
Additional Considerations:
The Microsoft 365 E5 license includes Microsoft Entra ID P2 and Microsoft Defender for Cloud Apps, so no additional licensing is required for this scenario.
If App1 is not a supported app for MDCA's app connectors, additional steps (e.g., using a custom app connector) might be needed, but the question implies App1 can be monitored with the standard process.
Session policies in MDCA can include actions like blocking downloads or requiring step-up authentication, which are applied in real time during the user's session.
Conclusion:The correct order to enable real-time session-level monitoring of App1 using Microsoft Defender for Cloud Apps is:
Register App1 in Microsoft Entra ID.
Create a conditional access policy that has session controls configured.
From Microsoft Defender for Cloud Apps, modify the Connected apps settings for App1.
From Microsoft Defender for Cloud Apps, create a session policy.
References:
Microsoft Defender for Cloud Apps documentation: "Session control with Microsoft Defender for Cloud Apps" (Microsoft Learn:https://learn.microsoft.com/en-us/defender-cloud-apps/session-policy) Microsoft Entra ID Conditional Access documentation: "Session controls in Conditional Access" (Microsoft Learn:https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-conditional-access-session) Microsoft Identity and Access Administrator (SC-300) exam study guide, which covers integrating Microsoft Defender for Cloud Apps with Microsoft Entra ID for session-level monitoring.
注:この質問は、同じシナリオを提示する一連の質問の一部です。シリーズの各質問には、述べられた目標を達成する可能性のある独自の解決策が含まれています。一部の質問セットには複数の正しい解決策がある場合がありますが、他の質問セットには正しい解決策がない場合があります。
このセクションの質問に回答した後は、その質問に戻ることはできません。その結果、これらの質問はレビュー画面に表示されません。
ActiveDirectoryフォレストに同期するAzureActive Directory(Azure AD)テナントがあります。
Active Directoryでユーザーアカウントが無効になっている場合でも、無効になっているユーザーは最大30分間AzureADに対して認証できることがわかります。
Active Directoryでユーザーアカウントが無効になっている場合、そのユーザーアカウントがAzureADへの認証をすぐに阻止されるようにする必要があります。
解決策:パスワードの書き戻しを構成します。
これは目標を達成していますか?
このセクションの質問に回答した後は、その質問に戻ることはできません。その結果、これらの質問はレビュー画面に表示されません。
ActiveDirectoryフォレストに同期するAzureActive Directory(Azure AD)テナントがあります。
Active Directoryでユーザーアカウントが無効になっている場合でも、無効になっているユーザーは最大30分間AzureADに対して認証できることがわかります。
Active Directoryでユーザーアカウントが無効になっている場合、そのユーザーアカウントがAzureADへの認証をすぐに阻止されるようにする必要があります。
解決策:パスワードの書き戻しを構成します。
これは目標を達成していますか?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
次の図に示すように、ユーザー管理者ロールのAzure AD特権ID管理(PIM)ロール設定を含むAzure Active Directory(Azure AD)テナントがあります。
ドロップダウンメニューを使用して、図に示されている情報に基づいて各ステートメントを完了する回答の選択肢を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
ドロップダウンメニューを使用して、図に示されている情報に基づいて各ステートメントを完了する回答の選択肢を選択します。
注:正しい選択はそれぞれ1ポイントの価値があります。
正解:
Reference:
https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure
https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan
次の表に示すグループを含む Azure AD テナントがあります。
次の表に示すように、Group1 のアクセス レビューを作成します。
次の表に示すように、Group2 のアクセス レビューを作成します。
各グループに必要な Azure AD Premium P2 ライセンスの最小数は? 回答するには、回答で適切なオプションを選択します。注: それぞれの正しい選択は 1 ポイントの価値があります。
次の表に示すように、Group1 のアクセス レビューを作成します。
次の表に示すように、Group2 のアクセス レビューを作成します。
各グループに必要な Azure AD Premium P2 ライセンスの最小数は? 回答するには、回答で適切なオプションを選択します。注: それぞれの正しい選択は 1 ポイントの価値があります。
正解:
Explanation:
