Microsoft Azure AZ-104 시험 문제집 (해설 포함)

문제 1

Azure RBAC 중급

HOTSPOT -
Azure 구독 Subscription1에 RG1이라는 리소스 그룹이 있습니다.
RG1에서 LB1이라는 내부 로드 밸런서와 LB2라는 공용 로드 밸런서를 만듭니다.
Admin1이라는 관리자가 LB1과 LB2를 관리할 수 있도록 해야 합니다. 솔루션은 최소 권한 원칙을 따라야 합니다.
각 작업에 대해 Admin1에게 할당해야 하는 역할은 무엇입니까?

정답

해설

Network Contributor 역할을 할당해야 합니다.

이유:
• Network Contributor 역할은 네트워크 리소스를 관리할 수 있지만 액세스할 수는 없습니다.
• 로드 밸런서는 네트워크 리소스이므로 Network Contributor 역할이 적합합니다.
• 최소 권한 원칙에 따라 필요한 최소한의 권한만 부여합니다.

참고: Owner나 Contributor 역할은 너무 많은 권한을 제공하므로 최소 권한 원칙에 위배됩니다.

참조: Azure built-in roles

문제 2

Azure AD & AKS 중급

contoso.com이라는 Azure AD 테넌트와 AKS1이라는 Azure Kubernetes Service(AKS) 클러스터가 포함된 Azure 구독이 있습니다.
관리자가 contoso.com의 사용자에게 AKS1에 대한 액세스 권한을 부여할 수 없다고 보고했습니다.
contoso.com 사용자에게 AKS1에 대한 액세스 권한을 부여할 수 있도록 해야 합니다.
먼저 무엇을 해야 합니까?

A. contoso.com에서 조직 관계 설정을 수정합니다.

B. contoso.com에서 OAuth 2.0 권한 부여 엔드포인트를 만듭니다.

C. AKS1을 다시 만듭니다.

D. AKS1에서 네임스페이스를 만듭니다.

정답: B

해설

OAuth 2.0 권한 부여 엔드포인트를 만들어야 합니다.

이유:
• AKS에서 Azure AD 통합을 위해서는 OAuth 2.0 권한 부여가 필요합니다.
• Azure AD와 AKS 간의 인증 연결을 설정해야 사용자가 Azure AD 자격 증명으로 AKS에 액세스할 수 있습니다.
• OAuth 2.0 엔드포인트는 Azure AD 사용자가 AKS 클러스터에 인증할 수 있게 해줍니다.

다른 선택지가 틀린 이유:
• A: 조직 관계 설정은 외부 테넌트와의 관계에 관한 것입니다.
• C: AKS를 다시 만들 필요는 없습니다.
• D: 네임스페이스는 인증 문제를 해결하지 않습니다.

문제 3

Microsoft 365 Groups 중급

Microsoft 365 테넌트와 contoso.com이라는 Azure AD 테넌트가 있습니다.
User1, User2, User3라는 세 명의 사용자에게 Library1이라는 임시 Microsoft SharePoint 문서 라이브러리에 대한 액세스 권한을 부여할 계획입니다.
사용자를 위한 그룹을 만들어야 합니다. 솔루션은 그룹이 180일 후에 자동으로 삭제되도록 해야 합니다.
어떤 두 그룹을 만들어야 합니까? 각 정답은 완전한 솔루션을 제시합니다.

A. 할당된 멤버십 유형을 사용하는 Microsoft 365 그룹

B. 할당된 멤버십 유형을 사용하는 보안 그룹

C. 동적 사용자 멤버십 유형을 사용하는 Microsoft 365 그룹

D. 동적 사용자 멤버십 유형을 사용하는 보안 그룹

E. 동적 장치 멤버십 유형을 사용하는 보안 그룹

정답: A, C

해설

Microsoft 365 그룹(할당된/동적 멤버십)을 만들어야 합니다.

이유:
• Microsoft 365 그룹은 만료 정책을 지원하여 180일 후 자동 삭제가 가능합니다.
• SharePoint 문서 라이브러리에 액세스하기 위해서는 Microsoft 365 그룹이 적합합니다.
• 할당된 멤버십과 동적 멤버십 모두 사용 가능합니다.

보안 그룹이 틀린 이유:
• 보안 그룹은 자동 만료 기능을 지원하지 않습니다.
• SharePoint 리소스 액세스에는 Microsoft 365 그룹이 더 적합합니다.

참고: 동적 장치 멤버십은 사용자가 아닌 장치를 대상으로 하므로 부적절합니다.

문제 4

Azure AD Access Review 고급

HOTSPOT -
다음 테이블에 표시된 사용자가 포함된 contoso.com이라는 Azure AD 테넌트가 있습니다.
User3은 Group1의 소유자입니다.
Group2는 Group1의 멤버입니다.
다음 전시에 표시된 대로 Review1이라는 액세스 검토를 구성합니다.

정답

해설

Azure AD 액세스 검토 시나리오 분석

액세스 검토 규칙:
• 검토 범위: Group1의 멤버
• 검토자: 그룹 소유자 (User3)
• 중첩 그룹: 포함됨

분석:
1. User3이 Group1의 소유자이므로 다른 멤버들을 검토할 수 있습니다.
2. Group2가 Group1의 멤버이므로 Group2의 멤버들도 검토 대상에 포함됩니다.
3. 중첩 그룹 설정으로 인해 하위 그룹의 멤버들까지 검토됩니다.

참고: 액세스 검토는 정기적으로 그룹 멤버십을 검토하여 보안을 강화하는 Azure AD Premium P2 기능입니다.

참조: Azure AD 액세스 검토 만들기

문제 5

Azure Policy 고급

HOTSPOT -
다음 테이블에 표시된 Azure 관리 그룹이 있습니다.
다음 테이블에 표시된 대로 관리 그룹에 Azure 구독을 추가합니다.
다음 테이블에 표시된 Azure 정책을 만듭니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure Policy 상속 및 적용 원칙

정책 상속 규칙:
• 상위 관리 그룹의 정책은 하위 그룹 및 구독에 상속됩니다.
• 여러 정책이 적용될 경우 모든 정책이 평가됩니다.
• Deny 효과가 있는 정책은 리소스 생성을 차단합니다.

시나리오 분석:
1. 관리 그룹 계층 구조에 따른 정책 상속
2. 각 구독에 적용되는 정책 조합
3. 정책 효과(Allow/Deny)에 따른 최종 결과

중요: Azure Policy는 거버넌스 도구로서 리소스가 조직 표준을 준수하도록 보장합니다.

문제 6

Azure Policy 기초

다음 전시에 표시된 Azure 정책이 있습니다.
정책의 효과는 무엇입니까?

A. Subscription 1의 어느 곳에서나 Azure SQL 서버를 만들 수 없습니다.

B. ContosoRG1에서만 Azure SQL 서버를 만들 수 있습니다.

C. ContosoRG1에서만 Azure SQL 서버를 만들 수 없습니다.

D. Subscription 1 내의 모든 리소스 그룹에서 Azure SQL 서버를 만들 수 있습니다.

정답: B

해설

Azure Policy 효과 분석

정책 내용 해석:
• 이 정책은 특정 리소스 그룹(ContosoRG1)에서만 Azure SQL 서버 생성을 허용합니다.
• 다른 리소스 그룹에서의 SQL 서버 생성은 차단됩니다.

정책 효과:
• Deny: 정책 조건에 맞지 않는 요청을 거부
• Allow: 정책 조건에 맞는 요청만 허용

결론:
이 정책은 SQL 서버를 ContosoRG1 리소스 그룹에서만 생성할 수 있도록 제한합니다.

참고: Azure Policy는 리소스 배포를 제어하고 조직의 표준을 강제하는 도구입니다.

문제 7

Azure Tagging 중급

HOTSPOT -
다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.
다음 테이블에 표시된 대로 RG6에 정책을 할당합니다.
RG6에 태그 RGroup: RG6을 적용합니다.
RG6에 VNET2라는 가상 네트워크를 배포합니다.
VNET1과 VNET2에 어떤 태그가 적용됩니까?

정답

해설

Azure 태그 정책 및 상속 원칙

태그 상속 규칙:
• 리소스 그룹의 태그는 자동으로 리소스에 상속되지 않습니다.
• Azure Policy를 통해 태그 상속을 강제할 수 있습니다.

시나리오 분석:
1. VNET1: 기존 리소스로 정책 적용 전에 생성됨
2. VNET2: 정책 적용 후 생성됨, 자동으로 태그 적용

정책 효과:
• "Append" 효과: 리소스 생성 시 지정된 태그를 자동으로 추가
• 기존 리소스에는 영향을 주지 않음

중요: 태그는 리소스 관리, 비용 추적, 자동화에 중요한 역할을 합니다.

문제 8

Resource Management 중급

다음 테이블에 표시된 리소스가 포함된 AZPT1이라는 Azure 구독이 있습니다.
AZPT2라는 새 Azure 구독을 만듭니다.
AZPT2로 이동할 수 있는 리소스를 식별해야 합니다.
어떤 리소스를 식별해야 합니까?

A. VM1, storage1, VNET1, VM1Managed만

B. VM1과 VM1Managed만

C. VM1, storage1, VNET1, VM1Managed, RVAULT1

D. RVAULT1만

정답: C

해설

Azure 리소스 이동 가능성 분석

이동 가능한 리소스:
• VM1: 가상 머신은 구독 간 이동 가능
• storage1: 스토리지 계정은 구독 간 이동 가능
• VNET1: 가상 네트워크는 구독 간 이동 가능
• VM1Managed: 관리 디스크는 구독 간 이동 가능
• RVAULT1: Recovery Services 자격 증명 모음은 구독 간 이동 가능

이동 시 고려사항:
• 리소스 간 종속성 확인 필요
• 네트워크 구성 재설정 필요할 수 있음
• 일부 리소스는 일시적으로 사용할 수 없을 수 있음

참고: 대부분의 Azure 리소스는 구독 간 이동이 가능하지만, 일부 제한사항이 있을 수 있습니다.

문제 9

Azure Marketplace 중급

Admin1이라는 사용자가 포함된 새 Azure 구독을 최근에 만들었습니다.
Admin1이 Azure Resource Manager 템플릿을 사용하여 Azure Marketplace 리소스를 배포하려고 시도합니다. Admin1이 Azure PowerShell을 사용하여 템플릿을 배포하고 다음 오류 메시지를 받습니다:
`사용자가 리소스 구매에 대한 유효성 검사에 실패했습니다. 오류 메시지: 이 구독에서 이 항목에 대한 법적 조건이 승인되지 않았습니다.`
Admin1이 Marketplace 리소스를 성공적으로 배포할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. Azure PowerShell에서 Set-AzApiManagementSubscription cmdlet을 실행합니다.

B. Azure Portal에서 Microsoft.Marketplace 리소스 공급자를 등록합니다.

C. Azure PowerShell에서 Set-AzMarketplaceTerms cmdlet을 실행합니다.

D. Azure Portal에서 Admin1에게 청구 관리자 역할을 할당합니다.

정답: C

해설

Azure Marketplace 법적 조건 승인

문제 원인:
• Azure Marketplace 리소스를 프로그래밍 방식으로 배포하려면 먼저 법적 조건에 동의해야 합니다.
• 이는 보안 및 규정 준수를 위한 필수 단계입니다.

해결 방법:
• Set-AzMarketplaceTerms cmdlet을 사용하여 법적 조건을 승인합니다.
• 이 명령어는 특정 Marketplace 제품에 대한 조건을 프로그래밍 방식으로 수락합니다.

다른 선택지가 틀린 이유:
• A: API Management와 관련 없음
• B: 리소스 공급자 등록은 다른 문제
• D: 청구 관리자 역할은 법적 조건 승인과 무관

참고: Azure Portal에서 처음 배포할 때 수동으로 조건을 승인할 수도 있습니다.

문제 10

Azure AD Roles 기초

5,000개의 사용자 계정이 포함된 Azure AD 테넌트가 있습니다.
AdminUser1이라는 새 사용자 계정을 만듭니다.
AdminUser1에게 사용자 관리자 관리 역할을 할당해야 합니다.
사용자 계정 속성에서 무엇을 해야 합니까?

A. 라이선스 블레이드에서 새 라이선스를 할당합니다.

B. 디렉터리 역할 블레이드에서 디렉터리 역할을 수정합니다.

C. 그룹 블레이드에서 사용자 계정을 새 그룹에 초대합니다.

정답: B

해설

Azure AD 관리 역할 할당

올바른 방법:
• Azure AD에서 관리 역할을 할당하려면 디렉터리 역할 블레이드를 사용해야 합니다.
• 사용자 관리자는 Azure AD의 기본 제공 관리 역할 중 하나입니다.

사용자 관리자 역할의 권한:
• 사용자 계정 생성 및 관리
• 사용자 암호 재설정
• 그룹 관리
• 제한된 관리자 역할 할당

다른 선택지가 틀린 이유:
• A: 라이선스는 기능 액세스용이지 역할 할당용이 아님
• C: 그룹 멤버십은 관리 역할과 다름

참고: 최소 권한 원칙에 따라 필요한 최소한의 관리 권한만 부여해야 합니다.

문제 11

Azure AD Premium P2 기초

100개의 사용자 계정이 포함된 contoso.onmicrosoft.com이라는 Azure AD 테넌트가 있습니다.
테넌트에 대해 10개의 Azure AD Premium P2 라이선스를 구매합니다.
10명의 사용자가 모든 Azure AD Premium 기능을 사용할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. Azure AD의 라이선스 블레이드에서 라이선스를 할당합니다.

B. 각 사용자의 그룹 블레이드에서 사용자를 그룹에 초대합니다.

C. Azure AD 도메인에서 엔터프라이즈 애플리케이션을 추가합니다.

D. 각 사용자의 디렉터리 역할 블레이드에서 디렉터리 역할을 수정합니다.

정답: A

해설

Azure AD Premium 라이선스 할당

라이선스 할당 방법:
• Azure AD의 라이선스 블레이드를 사용하여 사용자에게 직접 라이선스를 할당합니다.
• 개별 사용자 또는 그룹에 라이선스를 할당할 수 있습니다.

Azure AD Premium P2 기능:
• 조건부 액세스
• Identity Protection
• Privileged Identity Management (PIM)
• 액세스 검토
• 고급 보안 보고서

다른 선택지가 틀린 이유:
• B: 그룹 멤버십만으론 라이선스가 할당되지 않음
• C: 엔터프라이즈 애플리케이션은 라이선스와 무관
• D: 디렉터리 역할은 권한이지 라이선스와 별개

참고: 라이선스 기반 그룹 할당을 통해 자동화할 수도 있습니다.

문제 12

Azure Monitor 중급

Subscription1이라는 Azure 구독과 Microsoft System Center Service Manager의 온-프레미스 배포가 있습니다.
Subscription1에는 VM1이라는 가상 머신이 포함되어 있습니다.
VM1에서 사용 가능한 메모리 양이 10% 미만일 때 Service Manager에 경고가 설정되도록 해야 합니다.
먼저 무엇을 해야 합니까?

A. Automation Runbook을 만듭니다.

B. Function App을 배포합니다.

C. IT Service Management Connector(ITSM)를 배포합니다.

D. 알림을 만듭니다.

정답: C

해설

ITSM Connector 배포 필요

ITSM Connector의 역할:
• Azure Monitor와 ITSM 도구(Service Manager) 간의 연결을 제공합니다.
• Azure 경고를 ITSM 시스템의 작업 항목으로 자동 변환합니다.
• 양방향 통합을 통해 상태 동기화가 가능합니다.

구현 순서:
1. ITSM Connector 배포 (첫 번째 단계)
2. Service Manager와의 연결 구성
3. VM1에 대한 메모리 경고 규칙 설정
4. 경고가 Service Manager로 전송되도록 구성

다른 선택지가 틀린 이유:
• A, B: 경고 연동을 위한 기본 인프라가 아님
• D: 연결이 먼저 설정되어야 알림이 의미가 있음

참고: ITSM Connector는 Log Analytics 작업 영역을 통해 구성됩니다.

문제 13

Azure AD Device Settings 중급

Azure AD Premium P2에 가입합니다.
user1@contoso.com이라는 사용자를 Azure AD 도메인에 가입할 모든 컴퓨터의 관리자로 추가해야 합니다.
Azure AD에서 무엇을 구성해야 합니까?

A. 장치 블레이드에서 장치 설정

B. MFA 서버 블레이드에서 공급자

C. 사용자 블레이드에서 사용자 설정

D. 그룹 블레이드에서 일반 설정

정답: A

해설

Azure AD 장치 설정 구성

장치 설정의 역할:
• Azure AD 조인 장치에서 로컬 관리자 권한을 가질 사용자를 지정합니다.
• "Additional local administrators on Azure AD joined devices" 설정을 통해 구성됩니다.

구성 방법:
1. Azure AD → 장치 → 장치 설정으로 이동
2. "Azure AD 조인 장치의 추가 로컬 관리자" 섹션에서
3. user1@contoso.com을 추가

결과:
• Azure AD에 조인된 모든 Windows 장치에서 user1이 로컬 관리자 권한을 갖게 됩니다.
• 새로 조인되는 장치에도 자동으로 적용됩니다.

다른 선택지가 틀린 이유:
• B: MFA는 인증 관련 설정
• C, D: 장치 관리자 권한과 무관

참고: 이 설정은 하이브리드 Azure AD 조인 장치에는 적용되지 않습니다.

문제 14

Azure AD Dynamic Groups 고급

HOTSPOT -
Contoso.com이라는 Azure AD 테넌트가 있으며 다음 사용자가 포함되어 있습니다.
Contoso.com에는 다음 Windows 10 장치가 포함되어 있습니다.
Contoso.com에서 다음 보안 그룹을 만듭니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure AD 동적 그룹 규칙 분석

동적 그룹의 특징:
• 사용자 또는 장치 속성을 기반으로 자동으로 멤버십이 결정됩니다.
• 규칙이 변경되거나 속성이 업데이트되면 멤버십도 자동으로 업데이트됩니다.

시나리오 분석:
• 각 그룹의 멤버십 규칙을 사용자/장치 속성과 비교하여 판단
• 부서, 위치, 장치 유형 등의 속성이 규칙과 일치하는지 확인

주요 고려사항:
1. 사용자 동적 그룹: 사용자 속성 기반
2. 장치 동적 그룹: 장치 속성 기반
3. 규칙 문법의 정확성
4. 속성 값의 대소문자 구분

참고: 동적 그룹은 Azure AD Premium P1 이상에서 사용 가능합니다.

문제 15

Resource Deletion 중급

West Europe 위치에 있는 RG26이라는 리소스 그룹이 포함된 Azure 구독이 있습니다. RG26은 프로젝트를 위한 임시 리소스를 만드는 데 사용됩니다.
RG26에는 다음 테이블에 표시된 리소스가 포함되어 있습니다.
SQLDB01은 RGV1에 백업됩니다.
프로젝트가 완료되면 Azure Portal에서 RG26을 삭제하려고 시도합니다. 삭제가 실패합니다.
RG26을 삭제해야 합니다.
먼저 무엇을 해야 합니까?

A. VM1을 삭제합니다.

B. VM1을 중지합니다.

C. SQLDB01의 백업을 중지합니다.

D. sa001을 삭제합니다.

정답: C

해설

백업 종속성으로 인한 삭제 실패

문제 원인:
• SQLDB01이 RGV1(다른 리소스 그룹의 Recovery Services Vault)에 백업되고 있습니다.
• 활성 백업이 있는 리소스는 삭제할 수 없습니다.
• 리소스 그룹 삭제는 내부의 모든 리소스가 삭제 가능해야 성공합니다.

해결 순서:
1. SQLDB01의 백업을 중지 (첫 번째 단계)
2. 백업 데이터 삭제 (필요한 경우)
3. RG26 리소스 그룹 삭제

다른 선택지가 틀린 이유:
• A, B: VM은 백업과 무관하며 삭제 방해 요소가 아님
• D: 스토리지 계정 삭제만으로는 백업 종속성이 해결되지 않음

참고: Recovery Services Vault의 백업 정책과 보존 설정도 확인해야 합니다.

문제 16

Azure RBAC 중급

VNet1이라는 가상 네트워크가 포함된 Subscription1이라는 Azure 구독이 있습니다. VNet1은 RG1이라는 리소스 그룹에 있습니다.
Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:
• Reader
• Security Admin
• Security Reader
User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. Subscription1에 대한 Security Reader 및 Reader 역할에서 User1을 제거합니다.

B. VNet1에 대한 User Access Administrator 역할을 User1에게 할당합니다.

C. VNet1에 대한 Network Contributor 역할을 User1에게 할당합니다.

D. RG1에 대한 Network Contributor 역할을 User1에게 할당합니다.

정답: B

해설

역할 할당 권한 부여

User Access Administrator 역할의 특징:
• Azure 리소스에 대한 사용자 액세스를 관리할 수 있는 권한을 제공합니다.
• 역할 할당 및 제거가 가능합니다.
• 리소스 자체는 관리할 수 없고, 오직 액세스 권한만 관리합니다.

현재 User1의 역할 분석:
• Reader: 리소스 읽기 권한
• Security Admin: 보안 정책 관리
• Security Reader: 보안 정보 읽기
• → 역할 할당 권한 없음

다른 선택지가 틀린 이유:
• A: 기존 역할 제거는 문제 해결과 무관
• C, D: Network Contributor는 네트워크 관리 권한이지 역할 할당 권한이 아님

참고: Owner 역할도 역할 할당이 가능하지만, 최소 권한 원칙에 위배됩니다.

문제 17

Azure DNS 기초

contosocloud.onmicrosoft.com이라는 Azure AD 테넌트가 있습니다.
회사에 contoso.com에 대한 공용 DNS 영역이 있습니다.
contoso.com을 Azure AD에 사용자 지정 도메인 이름으로 추가합니다.
Azure에서 도메인 이름을 확인할 수 있도록 해야 합니다.
어떤 유형의 DNS 레코드를 만들어야 합니까?

A. MX

B. NSEC

C. PTR

D. RRSIG

정답: A

해설

Azure AD 사용자 지정 도메인 확인

도메인 확인 과정:
1. Azure AD에 사용자 지정 도메인 추가
2. Azure에서 제공하는 확인 레코드를 DNS에 추가
3. Azure에서 DNS 레코드를 확인하여 도메인 소유권 검증

MX 레코드를 사용하는 이유:
• Azure AD는 도메인 소유권 확인을 위해 MX 또는 TXT 레코드를 사용합니다.
• MX 레코드는 메일 라우팅용이지만 도메인 확인 목적으로도 사용 가능합니다.
• Azure에서 제공하는 특정 값을 MX 레코드로 추가해야 합니다.

다른 DNS 레코드 유형:
• NSEC: DNSSEC 관련 레코드
• PTR: 역방향 DNS 조회용
• RRSIG: DNSSEC 서명 레코드

참고: TXT 레코드도 도메인 확인에 사용할 수 있습니다.

문제 18

Logic Apps RBAC 중급

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 시리즈의 각 질문에는 명시된 목표를 충족할 수 있는 고유한 해결책이 포함되어 있습니다. 일부 질문 세트에는 둘 이상의 올바른 해결책이 있을 수 있고, 다른 질문 세트에는 올바른 해결책이 없을 수도 있습니다.

Adatum이라는 Azure Directory(Azure AD) 테넌트와 Subscription1이라는 Azure 구독이 있습니다. Adatum에는 Developers라는 그룹이 포함되어 있습니다.
Subscription1에는 Dev라는 리소스 그룹이 포함되어 있습니다.
Developers 그룹에 Dev 리소스 그룹에서 Azure Logic App을 만들 수 있는 기능을 제공해야 합니다.
해결책: Subscription1에서 Developers 그룹에 DevTest Labs User 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

DevTest Labs User 역할로는 Logic Apps 생성 불가

DevTest Labs User 역할의 권한:
• DevTest Labs 환경에서 가상 머신을 관리할 수 있습니다.
• VM 시작, 중지, 재시작, 삭제가 가능합니다.
• DevTest Labs 특정 기능에 제한됩니다.

Logic Apps 생성에 필요한 권한:
• Logic App 리소스를 만들고 관리할 수 있는 권한
• Logic App Contributor 또는 Contributor 역할이 적합합니다.

올바른 해결책:
• Dev 리소스 그룹에 Logic App Contributor 역할 할당
• 또는 Dev 리소스 그룹에 Contributor 역할 할당

참고: 최소 권한 원칙에 따라 Logic App Contributor가 더 적절합니다.

문제 19

Logic Apps RBAC 중급

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Adatum이라는 Azure Directory(Azure AD) 테넌트와 Subscription1이라는 Azure 구독이 있습니다. Adatum에는 Developers라는 그룹이 포함되어 있습니다.
Subscription1에는 Dev라는 리소스 그룹이 포함되어 있습니다.
Developers 그룹에 Dev 리소스 그룹에서 Azure Logic App을 만들 수 있는 기능을 제공해야 합니다.
해결책: Subscription1에서 Developers 그룹에 Logic App Operator 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

Logic App Operator 역할로는 Logic Apps 생성 불가

Logic App Operator 역할의 권한:
• 기존 Logic App을 읽고 활성화/비활성화할 수 있습니다.
• Logic App을 실행하고 실행 기록을 볼 수 있습니다.
• 새로운 Logic App을 만들거나 편집할 수는 없습니다.

Logic Apps 생성에 필요한 역할:
• Logic App Contributor: Logic App 전체 관리 권한
• Contributor: 모든 리소스 관리 권한

역할 권한 비교:
• Logic App Contributor: 생성, 편집, 삭제, 관리
• Logic App Operator: 읽기, 실행, 활성화/비활성화만
• Logic App Reader: 읽기 전용

올바른 해결책:
Dev 리소스 그룹에 Logic App Contributor 역할 할당이 필요합니다.

문제 20

Logic Apps RBAC 기초

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Adatum이라는 Azure Directory(Azure AD) 테넌트와 Subscription1이라는 Azure 구독이 있습니다. Adatum에는 Developers라는 그룹이 포함되어 있습니다.
Subscription1에는 Dev라는 리소스 그룹이 포함되어 있습니다.
Developers 그룹에 Dev 리소스 그룹에서 Azure Logic App을 만들 수 있는 기능을 제공해야 합니다.
해결책: Dev에서 Developers 그룹에 Contributor 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: A

해설

Contributor 역할로 Logic Apps 생성 가능

Contributor 역할의 권한:
• 리소스 그룹 내의 모든 리소스를 생성, 관리, 삭제할 수 있습니다.
• Logic Apps를 포함한 모든 Azure 서비스 리소스 관리가 가능합니다.
• 역할 할당은 할 수 없습니다(User Access Administrator 필요).

해결책 분석:
• 범위: Dev 리소스 그룹 (적절함)
• 역할: Contributor (Logic Apps 생성 가능)
• 대상: Developers 그룹 (요구사항 충족)

결과:
Developers 그룹의 모든 멤버가 Dev 리소스 그룹에서 Logic Apps를 생성하고 관리할 수 있습니다.

대안:
더 세분화된 권한을 원한다면 Logic App Contributor 역할을 사용할 수도 있습니다.

참고: Contributor 역할은 요구사항을 완전히 충족하는 유효한 해결책입니다.

문제 21

Cost Management 중급

DRAG DROP -
회사의 4개 부서에서 사용하는 Azure 구독이 있습니다. 구독에는 10개의 리소스 그룹이 포함되어 있습니다. 각 부서는 여러 리소스 그룹의 리소스를 사용합니다.
재무 부서에 보고서를 보내야 합니다. 보고서는 각 부서의 비용을 자세히 설명해야 합니다.
어떤 세 가지 작업을 순서대로 수행해야 합니까? 답변하려면 작업 목록에서 적절한 작업을 답변 영역으로 이동하고 올바른 순서로 정렬하십시오.

정답

해설

부서별 비용 추적을 위한 태그 기반 접근법

1단계: 각 리소스에 태그 할당
• 부서를 식별하는 태그를 모든 리소스에 적용합니다.
• 예: Department=Finance, Department=HR, Department=IT
• 태그는 메타데이터로서 리소스 분류에 사용됩니다.

2단계: 비용 분석 블레이드에서 태그별로 뷰 필터링
• Azure Portal의 비용 분석 도구를 사용합니다.
• 태그별로 그룹화하여 부서별 비용을 확인합니다.
• 시간 범위 및 기타 필터를 적용합니다.

3단계: 사용량 보고서 다운로드
• CSV 형식으로 상세한 비용 데이터를 내보냅니다.
• 재무 부서에서 추가 분석이 가능한 형태로 제공합니다.

중요: 태그는 리소스 그룹에서 자동으로 상속되지 않으므로 각 리소스에 직접 적용해야 합니다.

참조: Azure 리소스 태그 사용

문제 22

Log Analytics KQL 기초

Workspace1이라는 Azure Log Analytics 작업 영역이 포함된 Subscription1이라는 Azure 구독이 있습니다.
Event라는 테이블에서 오류 이벤트를 봐야 합니다.
Workspace1에서 어떤 쿼리를 실행해야 합니까?

A. Get-Event Event | where {$_.EventType == "error"}

B. search in (Event) "error"

C. select * from Event where EventType == "error"

D. search in (Event) * | where EventType -eq "error"

정답: B

해설

Log Analytics에서 KQL(Kusto Query Language) 사용

올바른 쿼리: search in (Event) "error"
• KQL의 search 연산자를 사용하여 텍스트 검색을 수행합니다.
• Event 테이블의 모든 열에서 "error" 텍스트를 검색합니다.
• 대소문자를 구분하지 않는 검색입니다.

다른 선택지가 틀린 이유:
• A: PowerShell 문법으로 KQL이 아님
• C: SQL 문법으로 KQL이 아님
• D: PowerShell 비교 연산자(-eq)가 KQL에 맞지 않음

KQL 기본 문법:
• Event | where EventType == "Error" (정확한 열 검색)
• Event | search "error" (모든 열에서 텍스트 검색)
• search in (Event) "error" (특정 테이블에서 검색)

참고: Log Analytics는 KQL을 쿼리 언어로 사용합니다.

문제 23

ARM Templates 고급

HOTSPOT -
East US 2 지역의 VNET1이라는 가상 네트워크가 포함된 Azure 구독이 있습니다. VM1-NI라는 네트워크 인터페이스가 VNET1에 연결되어 있습니다.
다음 Azure Resource Manager 템플릿을 성공적으로 배포합니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

ARM 템플릿을 통한 VM 배포 분석

템플릿 분석 포인트:
• 가용성 영역(Availability Zones) 설정
• VM 배치 및 네트워크 구성
• 리소스 간 종속성

예상 결과:
Box 1: Yes - 템플릿에 의해 새 VM이 생성됨
Box 2: Yes - VM1은 Zone1에, VM2는 Zone2에 배포됨
Box 3: No - 다른 지역으로 이동하지 않음

참고: ARM 템플릿은 선언적 방식으로 Azure 리소스를 정의하고 배포합니다.

참조: Azure 지역 복구

문제 24

App Service Policy 중급

Subscription1이라는 Azure 구독이 있습니다. Subscription1에는 다음 테이블의 리소스 그룹이 포함되어 있습니다.
RG1에는 WebApp1이라는 웹앱이 있습니다. WebApp1은 West Europe에 있습니다.
WebApp1을 RG2로 이동합니다.
이동의 효과는 무엇입니까?

A. WebApp1의 App Service 계획은 West Europe에 남아 있습니다. Policy2가 WebApp1에 적용됩니다.

B. WebApp1의 App Service 계획이 North Europe으로 이동합니다. Policy2가 WebApp1에 적용됩니다.

C. WebApp1의 App Service 계획은 West Europe에 남아 있습니다. Policy1이 WebApp1에 적용됩니다.

D. WebApp1의 App Service 계획이 North Europe으로 이동합니다. Policy1이 WebApp1에 적용됩니다.

정답: A

해설

App Service 리소스 이동 특성

App Service 계획 위치:
• App Service 계획은 물리적 위치에 바인딩되어 있습니다.
• 웹앱을 다른 리소스 그룹으로 이동해도 App Service 계획의 위치는 변경되지 않습니다.
• West Europe에 있는 App Service 계획은 그대로 West Europe에 남아 있습니다.

정책 적용:
• Azure Policy는 리소스가 위치한 리소스 그룹의 정책을 따릅니다.
• WebApp1이 RG2로 이동하면 RG2에 할당된 Policy2가 적용됩니다.
• 이전 RG1의 Policy1은 더 이상 적용되지 않습니다.

주요 포인트:
• 리소스 이동 시 위치는 변경되지 않음
• 정책은 새로운 리소스 그룹의 정책이 적용됨
• App Service 계획과 웹앱은 서로 다른 이동 제약이 있을 수 있음

문제 25

Custom RBAC 고급

HOTSPOT -
구독 ID가 c276fc76-9cd4-44c9-99a7-4fd71546436e인 Subscription1이라는 Azure 구독이 있습니다.
다음 요구 사항을 충족하는 CR1이라는 사용자 지정 RBAC 역할을 만들어야 합니다:
• Subscription1의 리소스 그룹에만 할당할 수 있음
• 리소스 그룹에 대한 액세스 권한 관리를 방지함
• 리소스 그룹 내에서 리소스 보기, 생성, 수정 및 삭제를 허용함
CR1 정의의 할당 가능한 범위 및 권한 요소에서 무엇을 지정해야 합니까?

정답

해설

사용자 지정 RBAC 역할 정의

할당 가능한 범위 (Assignable Scopes):
• /subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e
• 구독 수준으로 설정하여 그 아래의 모든 리소스 그룹에 할당 가능

권한 요소:
• Actions: * (모든 작업 허용)
• NotActions: Microsoft.Authorization/*
• Microsoft.Support/*

NotActions 설명:
• Microsoft.Authorization/*: 역할 할당, 권한 관리 작업 제외
• Microsoft.Support/*: 지원 티켓 관련 작업 제외

결과:
• 리소스 CRUD 작업은 가능
• 액세스 권한 관리는 불가능
• 구독 내 리소스 그룹에만 할당 가능

참고: Actions에서 허용한 후 NotActions에서 제외하는 방식으로 세밀한 권한 제어가 가능합니다.

문제 26

Load Balancing 중급

Azure 구독이 있습니다.
사용자는 집에서 또는 고객 사이트에서 구독의 리소스에 액세스합니다. 집에서 사용자는 Azure 리소스에 액세스하기 위해 지점 간 VPN을 설정해야 합니다. 고객 사이트의 사용자는 사이트 간 VPN을 사용하여 Azure 리소스에 액세스합니다.
여러 Azure 가상 머신에서 실행되는 App1이라는 기간 업무 앱이 있습니다. 가상 머신은 Windows Server 2016을 실행합니다.
App1에 대한 연결이 모든 가상 머신에 분산되도록 해야 합니다.
사용할 수 있는 두 가지 Azure 서비스는 무엇입니까? 각 정답은 완전한 솔루션을 제시합니다.

A. 내부 로드 밸런서

B. 공용 로드 밸런서

C. Azure Content Delivery Network (CDN)

D. Traffic Manager

E. Azure Application Gateway

정답: A, E

해설

내부 네트워크 트래픽 로드 밸런싱

시나리오 분석:
• 사용자들이 VPN을 통해 Azure에 연결
• 기간 업무 앱(LOB App)은 일반적으로 내부용
• 여러 VM에 트래픽 분산 필요

적합한 솔루션:
A. 내부 로드 밸런서 (Internal Load Balancer)
• Layer 4 (TCP/UDP) 로드 밸런싱
• VNet 내부 트래픽 분산
• VPN 연결된 클라이언트에게 적합

E. Azure Application Gateway
• Layer 7 (HTTP/HTTPS) 로드 밸런싱
• 웹 애플리케이션에 특화된 기능
• SSL 종료, URL 기반 라우팅 등 지원

부적합한 선택지:
• B: 공용 LB는 인터넷 트래픽용
• C: CDN은 정적 콘텐츠 캐싱용
• D: Traffic Manager는 DNS 기반 글로벌 로드 밸런싱

문제 27

Azure Advisor 기초

Azure 구독이 있습니다.
100개의 Azure 가상 머신이 있습니다.
서비스 계층을 더 저렴한 서비스로 변경할 수 있는 사용률이 낮은 가상 머신을 빠르게 식별해야 합니다.
어떤 블레이드를 사용해야 합니까?

A. Monitor

B. Advisor

C. Metrics

D. Customer insights

정답: B

해설

Azure Advisor를 통한 비용 최적화

Azure Advisor의 역할:
• Azure 리소스 구성을 분석하여 개선 사항을 추천합니다.
• 비용, 성능, 고가용성, 보안 측면에서 권장 사항을 제공합니다.
• 사용률이 낮은 VM에 대한 크기 조정 권장 사항을 자동으로 생성합니다.

비용 권장 사항:
• VM 크기 조정: CPU 사용률이 낮은 VM 식별
• 유휴 리소스: 사용하지 않는 리소스 식별
• Reserved Instance: 예약 인스턴스 구매 권장
• Spot VM: 워크로드에 적합한 경우 Spot VM 권장

다른 선택지와의 차이:
• Monitor: 메트릭 수집 및 경고 (분석 도구 아님)
• Metrics: 개별 메트릭 확인 (권장 사항 없음)
• Customer insights: 고객 분석 도구

참고: Advisor는 머신러닝을 사용하여 사용 패턴을 분석하고 최적화 권장 사항을 제공합니다.

문제 28

Conditional Access 고급

HOTSPOT -
Azure AD 테넌트가 있습니다.
모든 사용자가 Azure Portal에 액세스할 때 다단계 인증을 사용하도록 요구하는 조건부 액세스 정책을 만들어야 합니다.
어떤 세 가지 설정을 구성해야 합니까? 답변하려면 답변 영역에서 적절한 설정을 선택하십시오.

정답

해설

Azure Portal용 조건부 액세스 정책 구성

필수 구성 요소:
1. 사용자 또는 그룹 할당
• "모든 사용자" 선택
• 특정 그룹이나 사용자를 대상으로 할 수도 있음

2. 클라우드 앱 또는 작업
• "Microsoft Azure Management" 앱 선택
• 이는 Azure Portal, PowerShell, CLI 등을 포함

3. 액세스 제어 - 권한 부여
• "액세스 허용" 선택
• "다단계 인증 필요" 체크

정책 효과:
• 모든 사용자가 Azure Portal 접근 시 MFA 필수
• 정책 적용 전 테스트 모드 권장
• 응급 액세스 계정은 제외 고려

참고: 조건부 액세스 정책은 Azure AD Premium P1 이상에서 사용 가능합니다.

참조: 앱 기반 MFA 조건부 액세스

문제 29

B2B Collaboration 중급

contoso.onmicrosoft.com이라는 Azure AD 테넌트가 있습니다.
사용자 관리자 역할이 Admin1이라는 사용자에게 할당됩니다.
외부 파트너에게 user@guest.com 로그인을 사용하는 Microsoft 계정이 있습니다.
Admin1이 외부 파트너를 Azure AD 테넌트에 로그인하도록 초대하려고 시도하고 다음 오류 메시지를 받습니다: `사용자 user@guest.com을 초대할 수 없습니다 - 일반 권한 부여 예외`
Admin1이 외부 파트너를 Azure AD 테넌트에 로그인하도록 초대할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. 사용자 설정 블레이드에서 외부 공동 작업 설정을 수정합니다.

B. 사용자 지정 도메인 이름 블레이드에서 사용자 지정 도메인을 추가합니다.

C. 조직 관계 블레이드에서 ID 공급자를 추가합니다.

D. 역할 및 관리자 블레이드에서 Admin1에게 보안 관리자 역할을 할당합니다.

정답: A

해설

Azure AD B2B 외부 공동 작업 설정

문제 원인:
• 외부 공동 작업 설정에서 게스트 초대가 제한되어 있습니다.
• 기본적으로 일부 테넌트에서는 외부 사용자 초대가 제한될 수 있습니다.

해결 방법:
사용자 설정 → 외부 공동 작업 설정에서:
• "관리자 및 게스트 초대자 역할의 사용자가 초대할 수 있음" 설정 확인
• "멤버가 초대할 수 있음" 설정 활성화 (필요한 경우)
• 게스트 사용자 권한 설정 확인

외부 공동 작업 정책 옵션:
• 누가 게스트를 초대할 수 있는지
• 어떤 도메인의 사용자를 초대할 수 있는지
• 게스트 사용자의 권한 수준

다른 선택지가 틀린 이유:
• B: 사용자 지정 도메인은 초대 권한과 무관
• C: 조직 관계는 테넌트 간 직접 연결
• D: 보안 관리자 역할 추가는 문제 해결에 도움 안됨

문제 30

Management Groups 고급

Azure AD 테넌트에 연결된 Azure 구독이 있습니다. 테넌트에는 User1이라는 사용자 계정이 포함되어 있습니다.
User1이 테넌트 루트 관리 그룹에 정책을 할당할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. Azure 구독에 대한 소유자 역할을 User1에게 할당한 다음 기본 조건부 액세스 정책을 수정합니다.

B. Azure 구독에 대한 소유자 역할을 User1에게 할당한 다음 User1에게 Azure 리소스에 대한 액세스 관리를 구성하도록 지시합니다.

C. User1에게 전역 관리자 역할을 할당한 다음 User1에게 Azure 리소스에 대한 액세스 관리를 구성하도록 지시합니다.

D. 새 관리 그룹을 만들고 User1을 새 관리 그룹의 소유자로 위임합니다.

정답: C

해설

테넌트 루트 관리 그룹 액세스 권한

테넌트 루트 관리 그룹의 특징:
• 모든 관리 그룹과 구독의 최상위 컨테이너입니다.
• 기본적으로 Azure AD 전역 관리자만 액세스할 수 있습니다.
• "Azure 리소스에 대한 액세스 관리" 권한이 필요합니다.

필요한 단계:
1. 전역 관리자 역할 할당
• Azure AD에서 User1에게 Global Administrator 역할 부여

2. Azure 리소스 액세스 관리 활성화
• Azure Portal → Azure AD → 속성
• "Azure 리소스에 대한 액세스 관리" 설정을 "예"로 변경
• 이렇게 하면 전역 관리자가 모든 Azure 구독과 관리 그룹에 User Access Administrator 역할을 획득

다른 선택지가 틀린 이유:
• A, B: 구독 소유자 역할로는 테넌트 루트에 액세스 불가
• D: 새 관리 그룹은 루트 관리 그룹이 아님

참고: 이 권한은 매우 강력하므로 신중하게 사용해야 합니다.

문제 31

Dynamic Groups 고급

HOTSPOT -
adatum.com이라는 Azure AD 테넌트가 있습니다. Adatum.com에는 다음 테이블의 그룹이 포함되어 있습니다.
다음 테이블에 표시된 두 개의 사용자 계정을 만듭니다.
User1과 User2는 어떤 그룹의 멤버입니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하십시오.

정답

해설

동적 그룹 멤버십 규칙 평가

동적 그룹 규칙 분석:
• Group1과 Group2는 각각 다른 멤버십 규칙을 가집니다.
• 사용자의 속성(부서, 위치, 직책 등)이 규칙과 일치하는지 확인합니다.

User1 분석:
• Group1의 첫 번째 규칙에만 해당
• 따라서 Group1의 멤버가 됨

User2 분석:
• Group1과 Group2 모든 규칙에 해당
• 따라서 Group1과 Group2의 멤버가 됨

동적 그룹의 특징:
• 사용자 속성 변경 시 멤버십이 자동으로 업데이트됩니다.
• 복합 규칙(AND, OR 조건)도 지원합니다.
• 실시간으로 평가되지 않고 주기적으로 업데이트됩니다.

참고: 동적 그룹은 Azure AD Premium P1 이상에서 사용 가능합니다.

참조: 컬렉션 만들기

문제 32

Hybrid Azure AD 중급

HOTSPOT -
다음 테이블에 표시된 사용자가 포함된 하이브리드 Azure AD(Azure AD) 배포가 있습니다.
사용자의 JobTitle 및 UsageLocation 특성을 수정해야 합니다.
Azure AD에서 어떤 사용자의 특성을 수정할 수 있습니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하십시오.

정답

해설

하이브리드 Azure AD 환경에서의 사용자 속성 관리

하이브리드 환경 규칙:
• 온-프레미스 동기화 사용자: 대부분의 속성은 온-프레미스 AD에서만 수정 가능
• 클라우드 전용 사용자: Azure AD에서 직접 수정 가능

JobTitle 속성:
• User1과 User3만 수정 가능
• 온-프레미스에서 동기화된 사용자는 온-프레미스 AD에서 수정해야 함

UsageLocation 속성:
• User1, User2, User3 모두 수정 가능
• UsageLocation은 라이선스 할당을 위해 Azure AD에서 직접 설정 가능한 예외 속성

권한 소유 (Authority Source):
• Windows Server Active Directory: 온-프레미스에서만 수정
• Azure Active Directory: 클라우드에서 수정 가능

참고: 하이브리드 환경에서는 속성의 권한 소유를 정확히 파악하는 것이 중요합니다.

참조: Azure AD 사용자 프로필

문제 33

Network Security Groups 기초

회사에 Azure AD(Azure Active Directory) 구독이 있습니다.
5개의 VM(가상 머신)을 회사의 가상 네트워크 서브넷에 배포해야 합니다.
VM에는 각각 공용 IP 주소와 개인 IP 주소가 모두 있습니다. 이러한 모든 가상 머신에 대한 인바운드 및 아웃바운드 보안 규칙은 동일해야 합니다.
이 구성에 필요한 최소 보안 그룹 수는 다음 중 어느 것입니까?

A. 4

B. 3

C. 2

D. 1

정답: D

해설

네트워크 보안 그룹 최적화

NSG(Network Security Group)의 특징:
• 여러 VM에 동일한 NSG를 연결할 수 있습니다.
• 서브넷 수준 또는 NIC 수준에서 적용 가능합니다.
• 동일한 보안 규칙이 필요한 경우 하나의 NSG를 공유할 수 있습니다.

시나리오 분석:
• 5개 VM 모두 동일한 인바운드/아웃바운드 규칙 필요
• 모든 VM이 같은 서브넷에 위치
• 공용/개인 IP 모두 있음 (NSG 개수에 영향 없음)

최적 구성:
• 1개의 NSG를 생성
• 필요한 모든 보안 규칙을 포함
• 5개 VM의 네트워크 인터페이스에 모두 연결

대안:
• 서브넷 수준에 NSG를 적용하는 것도 가능
• 하지만 문제에서는 NIC 수준 적용을 가정

참고: NSG는 상태 저장 방화벽으로 작동하며, 리소스 공유를 통해 관리 효율성을 높일 수 있습니다.

문제 34

Traffic Analytics 중급

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Admin1이라는 Azure AD(Azure Active Directory) 사용자에게 Azure 구독에 대한 Traffic Analytics를 활성화하는 데 필요한 역할을 할당해야 합니다.
해결책: 구독 수준에서 Admin1에게 소유자 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: A

해설

Traffic Analytics 활성화를 위한 소유자 역할

Traffic Analytics 요구사항:
• Network Watcher 서비스 활성화
• Log Analytics 작업 영역 생성/관리
• NSG 플로우 로그 구성
• 다양한 네트워크 리소스에 대한 읽기/쓰기 권한

소유자 역할의 권한:
• 구독 내 모든 리소스에 대한 전체 액세스
• 모든 Azure 서비스 관리 가능
• Traffic Analytics 구성에 필요한 모든 권한 포함

Traffic Analytics 구성 단계:
1. Network Watcher 활성화
2. NSG 플로우 로그 활성화
3. Log Analytics 작업 영역 선택/생성
4. Traffic Analytics 구성

참고: 더 세분화된 권한으로는 Network Contributor + Log Analytics Contributor 조합도 가능하지만, 소유자 역할이 확실히 모든 요구사항을 충족합니다.

문제 35

Traffic Analytics 중급

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Admin1이라는 Azure AD(Azure Active Directory) 사용자에게 Azure 구독에 대한 Traffic Analytics를 활성화하는 데 필요한 역할을 할당해야 합니다.
해결책: 구독 수준에서 Admin1에게 Reader 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

Reader 역할로는 Traffic Analytics 활성화 불가

Reader 역할의 제한사항:
• 읽기 전용 권한만 제공
• 리소스 생성, 수정, 삭제 불가
• 구성 변경 불가

Traffic Analytics 활성화에 필요한 권한:
• Network Watcher 활성화: 쓰기 권한 필요
• NSG 플로우 로그 구성: 네트워크 리소스 수정 권한 필요
• Log Analytics 작업 영역 생성/구성: 쓰기 권한 필요
• 스토리지 계정 구성: 스토리지 관리 권한 필요

필요한 최소 역할:
• Network Contributor + Log Analytics Contributor
• 또는 Contributor (모든 리소스 관리)
• 또는 Owner (전체 액세스)

결론:
Reader 역할은 Traffic Analytics를 '보는' 것은 가능하지만 '활성화'하는 것은 불가능합니다.

문제 36

Virtual Machine RBAC 기초

User1이라는 사용자가 포함된 Azure 구독이 있습니다.
User1이 가상 머신을 배포하고 가상 네트워크를 관리할 수 있도록 해야 합니다. 솔루션은 최소 권한 원칙을 사용해야 합니다.
User1에게 어떤 RBAC(역할 기반 액세스 제어) 역할을 할당해야 합니까?

A. Owner

B. Virtual Machine Contributor

C. Contributor

D. Virtual Machine Administrator Login

정답: C

해설

VM 배포와 네트워크 관리를 위한 역할

요구사항 분석:
• 가상 머신 배포: VM, 디스크, 네트워크 인터페이스 생성
• 가상 네트워크 관리: VNet, 서브넷, NSG 등 관리

각 역할의 권한 범위:
• Owner: 모든 권한 + 역할 할당 (과도한 권한)
• Contributor: 모든 리소스 관리 (역할 할당 제외)
• Virtual Machine Contributor: VM만 관리 (네트워크 관리 불가)
• Virtual Machine Administrator Login: 로그인 권한만

왜 Contributor가 정답인가:
• VM 배포에는 여러 리소스(VM, 디스크, NIC, 공용 IP 등) 생성이 필요
• 가상 네트워크 관리에는 네트워크 리소스 권한 필요
• Virtual Machine Contributor로는 네트워크 관리 불가
• Contributor는 필요한 모든 작업을 수행하면서도 역할 할당 권한은 없어 최소 권한 원칙 준수

참고: 더 세밀한 제어를 원한다면 Virtual Machine Contributor + Network Contributor 조합도 가능합니다.

문제 37

Management Groups RBAC 고급

HOTSPOT -
Admin1, Admin2, Admin3라는 세 명의 전역 관리자가 포함된 Azure AD(Azure Active Directory) 테넌트가 있습니다.
테넌트는 Azure 구독과 연결됩니다. 구독에 대한 액세스 제어는 액세스 제어 전시에 표시된 대로 구성됩니다.
Admin1으로 Azure Portal에 로그인하고 Tenant 전시에 표시된 대로 테넌트를 구성합니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure AD 전역 관리자와 Azure 구독 액세스

핵심 개념:
• Azure AD 전역 관리자 ≠ Azure 구독 관리자
• 기본적으로 분리된 권한 체계
• "Azure 리소스에 대한 액세스 관리" 설정으로 연결 가능

시나리오 분석:
Admin1의 설정 변경 효과:
• "Azure 리소스에 대한 액세스 관리"를 활성화
• 이로 인해 전역 관리자가 모든 Azure 구독에 User Access Administrator 역할 획득

각 Admin의 권한 변화:
• Admin1: 설정 변경 권한 + 구독 액세스
• Admin2, Admin3: 전역 관리자이지만 구독 액세스는 설정에 따라 결정

참고: 이 설정은 매우 강력하므로 필요한 경우에만 임시로 활성화하는 것이 권장됩니다.

문제 38

Managed Identity 중급

VM1이라는 가상 머신이 포함된 Subscription1이라는 Azure 구독이 있습니다. VM1은 RG1이라는 리소스 그룹에 있습니다.
VM1은 VM1의 ID를 사용하여 RG1의 리소스를 관리하는 서비스를 실행합니다.
VM1에서 실행되는 서비스가 VM1의 ID를 사용하여 RG1의 리소스를 관리할 수 있도록 해야 합니다.
먼저 무엇을 해야 합니까?

A. Azure Portal에서 VM1의 관리 ID 설정을 수정합니다.

B. Azure Portal에서 RG1의 액세스 제어(IAM) 설정을 수정합니다.

C. Azure Portal에서 VM1의 액세스 제어(IAM) 설정을 수정합니다.

D. Azure Portal에서 RG1의 정책 설정을 수정합니다.

정답: A

해설

Azure 관리 ID 활성화

관리 ID (Managed Identity) 개념:
• Azure 리소스가 다른 Azure 서비스에 인증할 수 있게 해주는 기능
• 자격 증명을 코드에 저장할 필요 없음
• Azure AD에서 자동으로 관리되는 서비스 주체

구현 단계:
1단계: 관리 ID 활성화 (먼저 해야 할 일)
• VM1 → ID → 시스템 할당 관리 ID → "켜기"
• 이렇게 하면 Azure AD에 서비스 주체가 자동 생성됨

2단계: 역할 할당
• RG1 → 액세스 제어(IAM) → 역할 할당 추가
• VM1의 관리 ID에 적절한 역할 할당 (예: Contributor)

다른 선택지가 틀린 이유:
• B: 역할 할당은 관리 ID 활성화 이후 단계
• C: VM 자체에 역할을 할당하는 것이 아님
• D: 정책은 액세스 권한과 무관

참고: 관리 ID를 사용하면 키 회전, 비밀 관리 등의 부담이 크게 줄어듭니다.

문제 39

Resource Locks 중급

TestRG라는 리소스 그룹이 포함된 Azure 구독이 있습니다.
TestRG를 사용하여 Azure 배포의 유효성을 검사합니다.
TestRG에는 다음 리소스가 포함되어 있습니다.
TestRG를 삭제해야 합니다.
먼저 무엇을 해야 합니까?

A. VM1의 백업 구성을 수정하고 VNET1의 리소스 잠금 유형을 수정합니다.

B. VNET1에서 리소스 잠금을 제거하고 Vault1의 모든 데이터를 삭제합니다.

C. VM1을 끄고 VNET1에서 리소스 잠금을 제거합니다.

D. VM1을 끄고 Vault1의 모든 데이터를 삭제합니다.

정답: B

해설

리소스 그룹 삭제를 방해하는 요소들

삭제를 방해하는 주요 요소:
1. 리소스 잠금 (Resource Lock)
• VNET1에 Delete 또는 ReadOnly 잠금이 설정되어 있음
• 잠금이 있으면 리소스 삭제가 불가능
• 먼저 잠금을 제거해야 함

2. Recovery Services Vault의 백업 데이터
• Vault1에 백업 데이터가 있으면 삭제 불가
• 모든 백업 항목과 백업 데이터를 먼저 삭제해야 함
• 소프트 삭제 기능이 활성화된 경우 완전 삭제 필요

올바른 순서:
1. VNET1의 리소스 잠금 제거
2. Vault1의 모든 백업 데이터 삭제
3. TestRG 리소스 그룹 삭제

다른 선택지가 틀린 이유:
• A: 백업 구성 수정만으로는 부족, 데이터 삭제 필요
• C: VM을 끄는 것은 삭제와 무관
• D: 리소스 잠금이 여전히 삭제를 방해함

참고: 리소스 잠금과 백업 종속성은 Azure에서 가장 흔한 삭제 방해 요소입니다.

문제 40

DNS Delegation 중급

adatum.com이라는 Azure DNS 영역이 있습니다.
research.adatum.com이라는 하위 도메인을 Azure의 다른 DNS 서버에 위임해야 합니다.
무엇을 해야 합니까?

A. adatum.com 영역에서 research라는 NS 레코드를 만듭니다.

B. adatum.com 영역에서 research라는 PTR 레코드를 만듭니다.

C. adatum.com의 SOA 레코드를 수정합니다.

D. adatum.com 영역에서 *.research라는 A 레코드를 만듭니다.

정답: A

해설

DNS 하위 도메인 위임

DNS 위임의 개념:
• 상위 도메인에서 하위 도메인의 DNS 관리 권한을 다른 DNS 서버로 위임
• NS(Name Server) 레코드를 사용하여 구현

구현 방법:
1. 하위 도메인용 새 DNS 영역 생성
• research.adatum.com DNS 영역을 새로 생성
• 이 영역이 다른 DNS 서버에서 호스팅됨

2. 상위 영역에 NS 레코드 추가
• adatum.com 영역에 "research" NS 레코드 생성
• 값: research.adatum.com 영역을 호스팅하는 DNS 서버 이름들

NS 레코드 예시:
```
research IN NS ns1-research.azure-dns.com
research IN NS ns2-research.azure-dns.com
```

다른 레코드 유형이 틀린 이유:
• PTR: 역방향 DNS 조회용
• SOA: 영역 권한 정보 (위임과 무관)
• A: IP 주소 매핑 (위임과 무관)

참고: DNS 위임은 대규모 조직에서 DNS 관리를 분산화하는 일반적인 방법입니다.

문제 41

Custom Domain 중급

DRAG DROP -
contoso.onmicrosoft.com 도메인 이름이 있는 Azure AD(Azure Active Directory) 테넌트가 있습니다.
타사 등록 기관에 등록된 contoso.com 도메인 이름이 있습니다.
@contoso.com 접미사가 포함된 이름을 가진 Azure AD 사용자를 만들 수 있도록 해야 합니다.
어떤 세 가지 작업을 순서대로 수행해야 합니까? 답변하려면 작업 목록에서 적절한 작업을 답변 영역으로 이동하고 올바른 순서로 정렬하십시오.

정답

해설

Azure AD 사용자 지정 도메인 추가 프로세스

1단계: 디렉터리에 사용자 지정 도메인 이름 추가
• Azure AD → 사용자 지정 도메인 이름 → 사용자 지정 도메인 추가
• contoso.com 입력
• Azure에서 확인용 DNS 레코드 정보 제공

2단계: 도메인 이름 등록 기관에서 도메인 이름에 대한 DNS 항목 추가
• 등록 기관의 DNS 관리 콘솔에 접속
• Azure에서 제공한 TXT 또는 MX 레코드 추가
• DNS 전파 대기 (보통 15분~24시간)

3단계: Azure AD에서 사용자 지정 도메인 이름 확인
• Azure AD로 돌아가서 "확인" 버튼 클릭
• Azure가 DNS 레코드를 확인하여 도메인 소유권 검증
• 확인 완료 후 @contoso.com 사용자 생성 가능

중요 사항:
• 도메인 확인 없이는 사용자 지정 도메인 사용 불가
• 확인 후에는 기본 도메인으로 설정 가능
• 여러 도메인 추가 가능

참고: 확인 과정은 도메인 소유권을 증명하는 보안 조치입니다.

참조: DNS 사용자 지정 도메인

문제 42

Log Analytics KQL 기초

Workspace1이라는 Azure Log Analytics 작업 영역이 포함된 Subscription1이라는 Azure 구독이 있습니다.
Event라는 테이블에서 오류 이벤트를 봐야 합니다.
Workspace1에서 어떤 쿼리를 실행해야 합니까?

A. Get-Event Event | where {$_.EventType == "error"}

B. Event | search "error"

C. select * from Event where EventType == "error"

D. search in (Event) * | where EventType —eq "error"

정답: B

해설

KQL(Kusto Query Language) 기본 문법

올바른 쿼리: Event | search "error"
• KQL의 파이프라인 구조를 사용
• Event 테이블에서 "error" 텍스트 검색
• 모든 컬럼에서 대소문자 구분 없이 검색

KQL 기본 연산자:
• | (파이프): 연산자 체이닝
• search: 텍스트 검색
• where: 조건 필터링
• project: 컬럼 선택

다른 선택지가 틀린 이유:
• A: PowerShell 문법 (KQL 아님)
• C: SQL 문법 (KQL 아님)
• D: 잘못된 연산자 (-eq는 PowerShell 구문)

대안 쿼리:
• Event | where * contains "error"
• Event | where EventType == "Error" (정확한 컬럼명 알 경우)

참고: Log Analytics는 Azure Monitor의 핵심 구성 요소로 KQL을 쿼리 언어로 사용합니다.

문제 43

Azure DNS 기초

등록된 DNS 도메인 contoso.com이 있습니다.
contoso.com이라는 공용 Azure DNS 영역을 만듭니다.
contoso.com 영역에서 생성된 레코드를 인터넷에서 확인할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. contoso.com에서 NS 레코드를 만듭니다.

B. DNS 도메인 등록 기관에서 SOA 레코드를 수정합니다.

C. contoso.com에서 SOA 레코드를 만듭니다.

D. DNS 도메인 등록 기관에서 NS 레코드를 수정합니다.

정답: D

해설

Azure DNS로 도메인 위임

DNS 위임 프로세스:
1. Azure에서 contoso.com DNS 영역 생성
2. Azure DNS 네임서버 정보 확인
3. 도메인 등록 기관에서 NS 레코드 업데이트

핵심 단계: 등록 기관에서 NS 레코드 수정
• 도메인 등록 기관 (예: GoDaddy, Namecheap) 관리 콘솔 접속
• 네임서버 설정을 Azure DNS 네임서버로 변경
• 예: ns1-01.azure-dns.com, ns2-01.azure-dns.net 등

Azure DNS 네임서버 확인 방법:
• Azure Portal → DNS 영역 → contoso.com → 네임서버 탭
• 4개의 Azure DNS 네임서버 주소 확인

다른 선택지가 틀린 이유:
• A: Azure DNS 영역에서 NS 레코드 생성은 하위 도메인 위임용
• B, C: SOA 레코드는 영역 정보이지 위임과 무관

DNS 전파 시간:
NS 레코드 변경 후 전 세계적으로 전파되는데 최대 48시간 소요될 수 있습니다.

참고: DNS 위임은 도메인의 DNS 관리 권한을 Azure로 이전하는 과정입니다.

문제 44

Storage File Shares 고급

HOTSPOT -
storage1이라는 스토리지 계정이 포함된 Azure 구독이 있습니다. 구독은 온-프레미스 Active Directory 도메인과 동기화하는 contoso.com이라는 Azure AD 테넌트에 연결됩니다.
도메인에는 다음 테이블에 표시된 보안 주체가 포함되어 있습니다.
Azure AD에서 User2라는 사용자를 만듭니다.
storage1 계정에는 share1이라는 파일 공유가 포함되어 있고 다음 구성이 있습니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure Files AD DS 인증 시나리오

Azure Files 인증 방식:
• Storage Account Key: 전체 관리자 액세스
• Azure AD DS: Azure AD 사용자로 인증
• 온-프레미스 AD DS: 온-프레미스 AD 사용자로 인증

시나리오 분석:
1. User1 (온-프레미스 동기화):
   • AD DS 인증 활성화 시 온-프레미스 자격 증명으로 액세스 가능
   • RBAC 역할 할당으로 권한 제어

2. User2 (클라우드 전용):
   • AD DS 인증에서는 온-프레미스 사용자만 지원
   • 클라우드 전용 사용자는 Azure AD DS 또는 Storage Key 필요

3. Computer1 (도메인 가입):
   • 도메인 가입 컴퓨터는 컴퓨터 계정으로 인증 가능

참고: Azure Files는 여러 인증 방식을 지원하지만 각각 지원되는 ID 유형이 다릅니다.

참조: Azure Files AD DS 권한 할당

문제 45

Virtual Network RBAC 중급

HOTSPOT -
VNet1이라는 가상 네트워크가 포함된 Subscription1이라는 Azure 구독이 있습니다.
다음 테이블의 사용자를 추가합니다.
각 구성을 수행할 수 있는 사용자는 누구입니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하십시오.

정답

해설

가상 네트워크 관리 권한 분석

역할별 권한:
• Owner: 모든 작업 + 액세스 관리
• Network Contributor: 네트워크 리소스 전체 관리
• Security Admin: 보안 정책 및 네트워크 보안 그룹 관리

Box 1: 서브넷 생성
• User1 (Owner)과 User3 (Network Contributor)만 가능
• 서브넷 생성은 네트워크 리소스 수정 권한 필요
• Security Admin은 보안 정책만 관리 가능

Box 2: 네트워크 보안 그룹 생성
• User1 (Owner)만 가능
• NSG 생성은 리소스 생성 권한이 필요
• Security Admin은 기존 보안 그룹 관리만 가능

참고:
• Network Contributor는 네트워크 관리 권한이 있지만 보안 그룹 생성에는 추가 권한이 필요할 수 있습니다.
• Owner 역할이 가장 포괄적인 권한을 제공합니다.

참조: Azure 기본 제공 역할
네트워크 리소스 공급자 작업

문제 46

Resource Locks & Tags 중급

HOTSPOT -
다음 전시에 표시된 Azure 리소스가 있습니다.
리소스 사용량을 추적하고 리소스 삭제를 방지할 계획입니다.
잠금과 태그를 적용할 수 있는 리소스는 무엇입니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하십시오.

정답

해설

Azure 리소스 잠금 및 태그 적용 범위

잠금(Locks) 적용 가능한 범위:
• 구독 수준: Sub1
• 리소스 그룹 수준: RG1
• 개별 리소스 수준: VM1

태그(Tags) 적용 가능한 범위:
• 구독 수준: Sub1
• 리소스 그룹 수준: RG1
• 개별 리소스 수준: VM1

Box 1: 잠금 적용 가능 - Sub1, RG1, VM1만
• 관리 그룹, 가용성 집합, 네트워크 인터페이스는 직접 잠금 지원 안함
• 잠금은 상위 수준에서 하위 수준으로 상속됨

Box 2: 태그 적용 가능 - Sub1, RG1, VM1만
• 태그는 Azure Resource Manager 리소스에만 적용
• 일부 리소스 유형은 태그를 지원하지 않음

상속 관계:
• 구독 수준 잠금 → 모든 하위 리소스에 영향
• 리소스 그룹 태그 → 자동 상속 안됨 (정책으로 강제 가능)

참조: Azure 리소스 잠금
Azure 리소스 태그

문제 47

Bulk User Operations 기초

Azure AD 테넌트가 있습니다.
Azure AD 관리 센터에서 대량 삭제를 사용하여 여러 사용자를 삭제할 계획입니다.
대량 삭제를 위한 파일을 만들고 업로드해야 합니다.
파일에 어떤 사용자 특성을 포함해야 합니까?

A. 각 사용자의 사용자 주체 이름과 사용 위치만

B. 각 사용자의 사용자 주체 이름만

C. 각 사용자의 표시 이름만

D. 각 사용자의 표시 이름과 사용 위치만

E. 각 사용자의 표시 이름과 사용자 주체 이름만

정답: B

해설

Azure AD 대량 사용자 삭제

대량 삭제에 필요한 정보:
• 사용자 주체 이름(UPN)만 필요
• UPN은 Azure AD에서 사용자를 고유하게 식별하는 주요 식별자
• 예: user@contoso.com

CSV 파일 형식:
```
User principal name [userPrincipalName] Required
user1@contoso.com
user2@contoso.com
user3@contoso.com
```

다른 속성이 불필요한 이유:
• 표시 이름: 사용자 식별에 고유하지 않음
• 사용 위치: 삭제 작업과 무관
• 기타 속성: 삭제 시 필요하지 않음

대량 작업 프로세스:
1. Azure AD → 사용자 → 대량 작업 → 대량 삭제
2. CSV 템플릿 다운로드
3. UPN 목록으로 파일 작성
4. 파일 업로드 및 실행

참고: 대량 작업은 최대 40,000개 사용자까지 한 번에 처리할 수 있습니다.

문제 48

Azure Policy Tags 고급

HOTSPOT -
Sub1이라는 Azure 구독이 있으며, 다음 테이블에 표시된 Azure 리소스가 포함되어 있습니다.
다음 설정을 사용하여 Azure 정책을 할당합니다:
• 범위: Sub1
• 제외: Sub1/RG1/VNET1
• 정책 정의: 리소스에 태그 및 해당 값 추가
• 정책 적용: 사용
• 태그 이름: Tag4
• 태그 값: value4
다음 테이블에 표시된 대로 리소스에 태그를 할당합니다.
다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure Policy 태그 추가 정책 분석

정책 구성:
• 효과: Append (태그가 없는 경우 자동 추가)
• 범위: Sub1 (구독 전체)
• 제외: VNET1만 제외
• 추가할 태그: Tag4:value4

각 리소스별 분석:
Box 1: RG1에 Tag4가 추가되는가? - No
• RG1은 정책 범위에 포함되지만 이미 다른 태그들이 있음
• Append 정책은 해당 태그가 없을 때만 추가

Box 2: Storage1에 Tag4가 추가되는가? - No
• 태그는 리소스 그룹에서 자동 상속되지 않음
• Storage1에 기존 Tag3이 있음
• 정책에 의해 Tag4가 추가됨

Box 3: VNET1이 Tag2를 가지는가? - No
• VNET1은 정책에서 제외됨
• 리소스 그룹 태그는 자동 상속되지 않음
• VNET1은 Tag3:value2만 가짐

중요 개념:
• Azure Policy의 Append 효과는 새 리소스나 업데이트 시에만 작동
• 태그 상속은 자동으로 이루어지지 않음

참조: Azure 리소스 태그 관리

문제 49

Traffic Analytics 중급

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Admin1이라는 Azure AD(Azure Active Directory) 사용자에게 Azure 구독에 대한 Traffic Analytics를 활성화하는 데 필요한 역할을 할당해야 합니다.
해결책: 구독 수준에서 Admin1에게 Traffic Manager Contributor 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

Traffic Manager Contributor vs Traffic Analytics

Traffic Manager Contributor 역할의 권한:
• Traffic Manager 프로필 관리
• DNS 기반 로드 밸런싱 서비스 관리
• Traffic Manager와 관련된 작업만 수행 가능

Traffic Analytics 요구사항:
• Network Watcher: 네트워크 모니터링 서비스
• NSG Flow Logs: 네트워크 보안 그룹 플로우 로그
• Log Analytics: 로그 분석 작업 영역
• Storage Account: 플로우 로그 저장

Traffic Analytics 활성화에 필요한 역할:
• Network Contributor: 네트워크 리소스 관리
• Log Analytics Contributor: 작업 영역 관리
• 또는 Contributor/Owner: 전체 리소스 관리

결론:
Traffic Manager Contributor는 Traffic Manager 서비스만 관리할 수 있으므로 Traffic Analytics 활성화에는 부족합니다.

참고: 서비스 이름이 비슷해도 완전히 다른 Azure 서비스입니다.

문제 50

Administrative Units 고급

3개의 사무소와 Azure AD 테넌트가 포함된 Azure 구독이 있습니다.
각 사무소의 로컬 관리자에게 사용자 관리 권한을 부여해야 합니다.
무엇을 사용해야 합니까?

A. Azure AD 역할

B. 관리 단위

C. Azure AD 권한 관리의 액세스 패키지

D. Azure 역할

정답: B

해설

관리 단위(Administrative Units)를 통한 위임된 관리

관리 단위의 개념:
• Azure AD 사용자와 그룹을 논리적으로 분할하는 컨테이너
• 특정 사용자 집합에 대해서만 관리 권한을 위임
• 조직의 구조에 따라 권한을 분산화

시나리오 적용:
1. 3개 관리 단위 생성: 각 사무소별로
2. 사용자 할당: 각 사무소 직원을 해당 관리 단위에 추가
3. 역할 할당: 각 로컬 관리자에게 해당 관리 단위에 대한 사용자 관리자 역할 부여

다른 선택지가 부적절한 이유:
• A. Azure AD 역할: 전체 테넌트에 대한 권한 (범위 제한 불가)
• C. 액세스 패키지: 권한 관리용이지 관리 권한 위임용 아님
• D. Azure 역할: Azure 리소스 관리용 (Azure AD 사용자 관리와 무관)

관리 단위의 이점:
• 최소 권한 원칙 준수
• 지역별/부서별 관리 권한 분산
• 중앙 집중식 제어 유지

참고: 관리 단위는 Azure AD Premium P1 이상에서 사용 가능합니다.

문제 51

Logic Apps RBAC 기초

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다.

Adatum이라는 Azure Directory(Azure AD) 테넌트와 Subscription1이라는 Azure 구독이 있습니다. Adatum에는 Developers라는 그룹이 포함되어 있습니다.
Subscription1에는 Dev라는 리소스 그룹이 포함되어 있습니다.
Developers 그룹에 Dev 리소스 그룹에서 Azure Logic App을 만들 수 있는 기능을 제공해야 합니다.
해결책: Dev에서 Developers 그룹에 Logic App Contributor 역할을 할당합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: A

해설

Logic App Contributor 역할로 Logic Apps 생성 가능

Logic App Contributor 역할의 권한:
• Logic App 생성, 읽기, 업데이트, 삭제
• Logic App 실행 및 관리
• Logic App 구성 및 워크플로 편집
• Logic App 연결 관리

해결책 분석:
• 범위: Dev 리소스 그룹 (요구사항에 정확히 부합)
• 역할: Logic App Contributor (Logic Apps 전체 관리 가능)
• 대상: Developers 그룹 (요구사항 충족)

Logic App 역할 비교:
• Logic App Contributor: 생성, 편집, 삭제, 관리 (✓)
• Logic App Operator: 실행, 읽기만 가능 (✗)
• Logic App Reader: 읽기 전용 (✗)

결과:
Developers 그룹의 모든 멤버가 Dev 리소스 그룹에서 Logic Apps를 생성하고 완전히 관리할 수 있습니다.

참고: Logic App Contributor는 Logic Apps 작업에 특화된 최소 권한 역할로 적절한 선택입니다.

문제 52

Load Balancer RBAC 중급

HOTSPOT -
LB1이라는 Azure Load Balancer가 있습니다.
다음 전시에 표시된 역할을 User1이라는 사용자에게 할당합니다.
제시된 그래픽의 정보를 기반으로 각 명령문을 완성하는 답안을 선택하기 위해 드롭다운 메뉴를 사용하십시오.

정답

해설

Load Balancer 관리 권한 분석

할당된 역할들:
• Virtual Machine Contributor: VM 관리 권한
• 기타 역할들: 그래픽에서 확인 가능

Load Balancer 관리 작업:
1. Load Balancer 구성 수정:
• Network Contributor 또는 Contributor 역할 필요
• Virtual Machine Contributor로는 네트워크 리소스 수정 불가

2. Load Balancer 백엔드 풀에 VM 추가:
• VM의 네트워크 인터페이스 구성 변경 필요
• Virtual Machine Contributor + Network Contributor 권한 모두 필요

권한 분석 결과:
• User1은 VM 관리는 가능하지만 네트워크 구성 변경은 제한적
• Load Balancer 자체 구성 변경에는 추가 권한 필요

참고:
• Azure의 역할 기반 접근 제어는 최소 권한 원칙을 따름
• 복합적인 작업에는 여러 역할이 필요할 수 있음

참조: Virtual Machine Contributor 역할
RBAC 및 디렉터리 관리자 역할

문제 53

VNet RBAC 중급

VNet1이라는 가상 네트워크가 포함된 Subscription1이라는 Azure 구독이 있습니다. VNet1은 RG1이라는 리소스 그룹에 있습니다.
Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:
• Reader
• Security Admin
• Security Reader
User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. User1을 Subscription1에 대한 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 소유자 역할을 할당합니다.

C. User1에게 VNet1에 대한 Contributor 역할을 할당합니다.

D. User1에게 VNet1에 대한 Network Contributor 역할을 할당합니다.

정답: B

해설

역할 할당 권한을 위한 소유자 역할

역할 할당이 가능한 Azure 역할:
• Owner: 모든 권한 + 역할 할당 권한
• User Access Administrator: 역할 할당 전용 권한

현재 User1의 역할 분석:
• Reader: 읽기 권한만
• Security Admin: 보안 정책 관리
• Security Reader: 보안 정보 읽기
• → 역할 할당 권한 없음

다른 선택지가 부적절한 이유:
• A: Contributor 역할로는 역할 할당 불가
• C: Contributor는 리소스 관리만 가능
• D: Network Contributor는 네트워크 관리만 가능

소유자 역할의 권한:
• VNet1에 대한 모든 관리 작업
• VNet1에 대한 역할 할당 및 제거
• 다른 사용자에게 Reader, Contributor 등 역할 부여 가능

대안:
User Access Administrator 역할을 VNet1에 할당하는 것도 가능하지만, 선택지에 없으므로 Owner가 적절한 답입니다.

문제 54

Custom RBAC Role 고급

HOTSPOT -
다음 전시에 표시된 사용자 지정 역할을 구성합니다.
제시된 그래픽의 정보를 기반으로 각 명령문을 완성하는 답안을 선택하기 위해 드롭다운 메뉴를 사용하십시오.

정답

해설

사용자 지정 RBAC 역할 권한 분석

사용자 지정 역할 구성 요소:
• Actions: 허용되는 작업
• NotActions: 제외되는 작업
• AssignableScopes: 역할을 할당할 수 있는 범위

권한 계산 공식:
유효 권한 = Actions - NotActions

시나리오별 권한 분석:
1. 리소스 생성 권한:
• Actions에 포함된 작업들 중에서
• NotActions에서 제외된 작업들을 빼고 판단

2. 네트워크 관리 권한:
• Microsoft.Network/* 관련 작업
• 특정 네트워크 작업이 NotActions에서 제외되었는지 확인

3. 스토리지 관리 권한:
• Microsoft.Storage/* 관련 작업
• 스토리지 계정 관리 작업 포함 여부

참고:
사용자 지정 역할은 정확한 권한 제어를 위해 Actions와 NotActions를 조합하여 사용합니다.

문제 55

Storage File Share Authentication 중급

storage1이라는 스토리지 계정이 포함된 Azure 구독이 있습니다. storage1 계정에는 share1이라는 파일 공유가 포함되어 있습니다.
구독은 Group1이라는 보안 그룹이 포함된 하이브리드 Azure AD(Azure Active Directory) 테넌트에 연결됩니다.
Group1에게 share1에 대한 Storage File Data SMB Share Elevated Contributor 역할을 부여해야 합니다.
먼저 무엇을 해야 합니까?

A. storage1에 대해 AD DS(Active Directory Domain Services) 인증을 활성화합니다.

B. 파일 탐색기를 사용하여 공유 수준 권한을 부여합니다.

C. 파일 탐색기를 사용하여 share1을 마운트합니다.

D. 개인 엔드포인트를 만듭니다.

정답: A

해설

Azure Files에서 AD DS 인증 활성화

Azure Files 인증 방식:
• Storage Account Key: 키 기반 인증
• Azure AD DS: Azure AD 도메인 서비스
• 온-프레미스 AD DS: 온-프레미스 Active Directory

하이브리드 환경에서의 요구사항:
• 온-프레미스 AD와 동기화된 그룹(Group1)에 권한 부여
• Storage File Data SMB Share 역할 사용
• AD DS 인증이 필요한 상황

AD DS 인증 활성화 단계:
1. AD DS 인증 활성화 (첫 번째 단계)
2. Azure AD와 온-프레미스 AD 동기화 확인
3. 스토리지 계정을 AD DS에 등록
4. RBAC 역할 할당

다른 선택지가 부적절한 이유:
• B, C: 파일 탐색기 작업은 인증 활성화 이후 단계
• D: 프라이빗 엔드포인트는 네트워크 보안이지 인증과 무관

참고: AD DS 인증이 활성화되어야 Azure RBAC 역할을 온-프레미스 사용자/그룹에 할당할 수 있습니다.

문제 56

Management Groups RBAC 고급

15개의 Azure 구독이 있습니다.
Group1이라는 보안 그룹이 포함된 Azure AD(Azure Active Directory) 테넌트가 있습니다.
추가 Azure 구독을 구매할 계획입니다.
Group1이 기존 구독과 계획된 구독에 대한 역할 할당을 관리할 수 있도록 해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다:
• 최소 권한 원칙을 사용합니다.
• 관리 노력을 최소화합니다.
무엇을 해야 합니까?

A. 루트 관리 그룹에 대한 소유자 역할을 Group1에 할당합니다.

B. 루트 관리 그룹에 대한 User Access Administrator 역할을 Group1에 할당합니다.

C. 새 관리 그룹을 만들고 해당 그룹에 대한 User Access Administrator 역할을 Group1에 할당합니다.

D. 새 관리 그룹을 만들고 해당 그룹에 대한 소유자 역할을 Group1에 할당합니다.

정답: B

해설

루트 관리 그룹에서 User Access Administrator 역할 할당

요구사항 분석:
• 기존 15개 구독 + 계획된 구독 모두 관리
• 역할 할당 관리 권한 필요
• 최소 권한 원칙 준수
• 관리 노력 최소화

루트 관리 그룹의 이점:
• 모든 기존 구독을 자동으로 포함
• 새로 생성되는 구독도 자동으로 포함
• 관리 노력 최소화 (한 번 설정으로 모든 구독 커버)

User Access Administrator vs Owner:
• User Access Administrator:
   - 역할 할당/제거만 가능
   - 리소스 자체는 관리 불가
   - 최소 권한 원칙에 부합
• Owner:
   - 모든 권한 (과도한 권한)
   - 최소 권한 원칙 위배

다른 선택지가 부적절한 이유:
• C, D: 새 관리 그룹 생성 시 기존 구독을 수동으로 이동해야 함 (관리 노력 증가)

참고: 루트 관리 그룹은 테넌트의 모든 구독을 포함하는 최상위 컨테이너입니다.

문제 57

Azure Policy Assignment 고급

HOTSPOT -
다음 전시에 표시된 계층 구조가 포함된 Azure 구독이 있습니다.
Policy1이라는 Azure Policy 정의를 만듭니다.
Policy1을 할당할 수 있는 Azure 리소스와 Policy1에서 제외로 지정할 수 있는 Azure 리소스는 무엇입니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하십시오.

정답

해설

Azure Policy 할당 및 제외 범위

Azure Policy 할당 원칙:
• 정책은 관리 그룹, 구독, 리소스 그룹 수준에 할당 가능
• 할당된 범위의 모든 하위 리소스에 적용
• 제외(Exclusion)를 통해 특정 범위를 정책 적용에서 제외 가능

할당 가능한 범위:
• Management Group: MG-A, MG-B
• Subscription: Sub-1, Sub-2
• Resource Group: RG-1, RG-2, RG-3
• 개별 리소스에는 직접 정책 할당 불가

제외 가능한 범위:
• 할당된 범위 내의 모든 하위 범위
• Management Group 수준에서 할당 시: 하위 구독, 리소스 그룹 제외 가능
• 구독 수준에서 할당 시: 하위 리소스 그룹 제외 가능

실무 예시:
• MG-A에 정책 할당 → Sub-1, RG-1, RG-2를 제외 가능
• Sub-1에 정책 할당 → RG-1, RG-2를 제외 가능

참고: 정책 할당과 제외는 Azure 거버넌스의 핵심 개념으로 세밀한 제어를 가능하게 합니다.

문제 58

Azure AD Tenant Creation 중급

contoso.onmicrosoft.com이라는 Azure AD 테넌트에 다음 사용자가 포함된 Azure 구독이 있습니다.
User1이 external.contoso.onmicrosoft.com이라는 새 Azure AD 테넌트를 만듭니다.
external.contoso.onmicrosoft.com에서 새 사용자 계정을 만들어야 합니다.
해결책: User2에게 사용자 계정을 만들도록 지시합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

새 Azure AD 테넌트에서의 사용자 생성 권한

문제 상황:
• User1이 새로운 Azure AD 테넌트(external.contoso.onmicrosoft.com) 생성
• User2는 기존 테넌트(contoso.onmicrosoft.com)의 사용자
• 새 테넌트에서 사용자 계정 생성 필요

User2가 사용자를 생성할 수 없는 이유:
• User2는 새 테넌트에 대한 권한이 없습니다
• 서로 다른 Azure AD 테넌트는 완전히 분리된 환경입니다
• 기존 테넌트의 권한은 새 테넌트에 적용되지 않습니다

올바른 접근 방법:
• User1 (테넌트 생성자)가 자동으로 Global Administrator가 됩니다
• User1이 직접 사용자를 생성하거나
• User1이 다른 사용자에게 적절한 역할을 할당한 후 생성

참고: Azure AD 테넌트 간에는 기본적으로 권한이 상속되지 않으므로 명시적인 권한 부여가 필요합니다.

문제 59

Azure AD Tenant Creation 중급

contoso.onmicrosoft.com이라는 Azure AD 테넌트에 다음 사용자가 포함된 Azure 구독이 있습니다.
User1이 external.contoso.onmicrosoft.com이라는 새 Azure AD 테넌트를 만듭니다.
external.contoso.onmicrosoft.com에서 새 사용자 계정을 만들어야 합니다.
해결책: User4에게 사용자 계정을 만들도록 지시합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

Azure AD 테넌트 격리 원칙

User4도 사용자 생성 불가능한 이유:
• User4는 기존 테넌트(contoso.onmicrosoft.com)의 사용자입니다
• 새 테넌트(external.contoso.onmicrosoft.com)에 대한 권한이 없습니다
• Azure AD 테넌트는 보안 경계로 작동합니다

Azure AD 테넌트 격리:
• 각 테넌트는 독립적인 ID 시스템
• 테넌트 간 권한은 자동으로 상속되지 않음
• 명시적인 초대 또는 권한 부여 필요

해결 방법:
1. User1 (테넌트 생성자)이 직접 사용자 생성
2. User1이 User4를 새 테넌트로 초대 (B2B)
3. User1이 User4에게 새 테넌트에서 User Administrator 역할 할당

중요: 테넌트 생성자만이 초기에 모든 권한을 가지며, 다른 사용자들은 명시적인 초대나 권한 부여가 필요합니다.

문제 60

Azure AD Tenant Creation 기초

contoso.onmicrosoft.com이라는 Azure AD 테넌트에 다음 사용자가 포함된 Azure 구독이 있습니다.
User1이 external.contoso.onmicrosoft.com이라는 새 Azure AD 테넌트를 만듭니다.
external.contoso.onmicrosoft.com에서 새 사용자 계정을 만들어야 합니다.
해결책: User3에게 사용자 계정을 만들도록 지시합니다.
이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

테넌트 생성자만이 초기 관리 권한 보유

핵심 원리:
• Azure AD 테넌트를 생성한 사용자(User1)만이 새 테넌트의 Global Administrator가 됩니다
• 다른 모든 사용자(User2, User3, User4)는 새 테넌트에 대한 권한이 없습니다

User3가 사용자 생성 불가능한 이유:
• User3는 기존 테넌트의 사용자일 뿐입니다
• 새 테넌트에서는 "외부 사용자" 상태입니다
• 명시적인 초대나 권한 할당 없이는 작업 불가능합니다

올바른 해결책:
User1이 해야 할 작업:
1. 새 테넌트에 직접 로그인
2. User Administrator 또는 Global Administrator 역할로 사용자 생성
3. 또는 다른 사용자를 초대하여 적절한 역할 할당

참고: 이는 Azure AD의 기본 보안 모델로, 무단 접근을 방지하는 중요한 보안 기능입니다.

문제 61

Custom Role Scopes 중급

Sub1과 Sub2라는 두 개의 Azure 구독이 있습니다.
관리자가 Sub1의 RG1이라는 리소스 그룹에 할당 가능한 범위를 가진 사용자 지정 역할을 만듭니다.
Sub1과 Sub2의 모든 리소스 그룹에 사용자 지정 역할을 적용할 수 있도록 해야 합니다. 솔루션은 관리 노력을 최소화해야 합니다.
무엇을 해야 합니까?

A. 사용자 지정 역할을 선택하고 할당 가능한 범위에 Sub1과 Sub2를 추가합니다. 할당 가능한 범위에서 RG1을 제거합니다.

B. Sub1에 대한 새 사용자 지정 역할을 만듭니다. Sub2에 대한 새 사용자 지정 역할을 만듭니다. RG1에서 역할을 제거합니다.

C. Sub1에 대한 새 사용자 지정 역할을 만들고 할당 가능한 범위에 Sub2를 추가합니다. RG1에서 역할을 제거합니다.

D. 사용자 지정 역할을 선택하고 할당 가능한 범위에 Sub1을 추가합니다. 할당 가능한 범위에서 RG1을 제거합니다. Sub2에 대한 새 사용자 지정 역할을 만듭니다.

정답: A

해설

사용자 지정 역할의 할당 가능한 범위 확장

현재 상황:
• 사용자 지정 역할이 RG1 (리소스 그룹) 범위로 제한됨
• Sub1과 Sub2의 모든 리소스 그룹에 적용 필요
• 관리 노력 최소화 요구

할당 가능한 범위 계층:
• 구독 수준: /subscriptions/{subscription-id}
• 리소스 그룹 수준: /subscriptions/{subscription-id}/resourceGroups/{rg-name}
• 리소스 수준: /subscriptions/{subscription-id}/resourceGroups/{rg-name}/providers/{resource}

최적 해결책 (A):
1. 기존 사용자 지정 역할 수정
2. 할당 가능한 범위에 Sub1, Sub2 구독 추가
3. RG1 제거 (구독 범위가 리소스 그룹 범위를 포함)

이 방법의 장점:
• 기존 역할 재사용 (관리 노력 최소화)
• 모든 리소스 그룹에 자동 적용
• 단일 역할 정의로 두 구독 모두 관리

참고: 상위 범위 설정 시 하위 범위는 자동으로 포함되므로 별도 설정이 불필요합니다.

문제 62

Storage Account RBAC 중급

storageacct1234라는 스토리지 계정과 User1, User2라는 두 명의 사용자가 포함된 Azure 구독이 있습니다.
다음 전시에 표시된 역할을 User1에게 할당합니다.
User1이 수행할 수 있는 두 가지 작업은 무엇입니까? 각 정답은 완전한 솔루션을 제시합니다.

A. storageacct1234에 대한 역할을 User2에게 할당합니다.

B. storageacct1234에 blob 데이터를 업로드합니다.

C. storageacct1234의 방화벽을 수정합니다.

D. storageacct1234에서 blob 데이터를 봅니다.

E. storageacct1234에서 파일 공유를 봅니다.

정답: B, D

해설

Storage Blob Data Contributor 역할 권한 분석

User1에게 할당된 역할 (추정):
• Storage Blob Data Contributor
• Reader (구독 수준)

Storage Blob Data Contributor 권한:
• Blob 데이터 읽기 ✅
• Blob 데이터 쓰기/업로드 ✅
• Blob 데이터 삭제 ✅
• 컨테이너 관리 ✅

불가능한 작업들:
• A. 역할 할당: User Access Administrator 또는 Owner 역할 필요
• C. 방화벽 수정: Storage Account Contributor 또는 Contributor 역할 필요
• E. 파일 공유 보기: Storage File Data SMB Share Reader 또는 관련 파일 역할 필요

가능한 작업들:
• B. Blob 데이터 업로드: Storage Blob Data Contributor 권한
• D. Blob 데이터 보기: Storage Blob Data Contributor 권한

참고: Azure Storage는 데이터 평면과 관리 평면 권한이 분리되어 있어 데이터 접근 권한만으로는 스토리지 계정 설정을 변경할 수 없습니다.

문제 63

Log Analytics KQL 기초

Workspace1이라는 Azure Log Analytics 작업 영역이 포함된 Subscription1이라는 Azure 구독이 있습니다.

Event라는 테이블에서 오류 이벤트를 봐야 합니다.

Workspace1에서 어떤 쿼리를 실행해야 합니까?

A. select * from Event where EventType == "error"

B. Event | search "error"

C. Event | where EventType is "error"

D. Get-Event Event | where {$_.EventType == "error"}

정답: B

해설

KQL (Kusto Query Language) 기본 문법

올바른 KQL 쿼리: Event | search "error"
• 파이프라인(|) 연산자로 데이터 흐름 제어
• search 연산자로 텍스트 기반 검색
• 모든 컬럼에서 "error" 문자열 검색
• 대소문자 구분 없이 검색

다른 선택지가 틀린 이유:
A. SQL 구문:
• Log Analytics는 SQL이 아닌 KQL 사용
• select * from 구문은 KQL이 아님

C. 잘못된 KQL 구문:
• "is" 연산자는 null 체크용
• 문자열 비교에는 "==" 사용

D. PowerShell 구문:
• Get-Event는 PowerShell cmdlet
• Log Analytics에서는 사용 불가

KQL 대안 쿼리:
• Event | where * contains "error"
• Event | where EventType == "Error" (정확한 컬럼명 알 경우)

참고: Log Analytics는 Azure Monitor의 핵심 서비스로 모든 쿼리는 KQL로 작성해야 합니다.

문제 64

App Service Deployment 중급

App1이라는 Azure App Services 웹앱이 있습니다.

Web Deploy를 사용하여 App1을 배포할 계획입니다.

App1의 개발자가 Azure AD 자격 증명을 사용하여 App1에 콘텐츠를 배포할 수 있도록 해야 합니다. 솔루션은 최소 권한 원칙을 사용해야 합니다.

무엇을 해야 합니까?

A. 개발자에게 소유자 역할을 할당합니다

B. FTPS에 대한 앱 수준 자격 증명을 구성합니다

C. 개발자에게 Website Contributor 역할을 할당합니다

D. FTPS에 대한 사용자 수준 자격 증명을 구성합니다

정답: C

해설

App Service 배포를 위한 Website Contributor 역할

Website Contributor 역할의 권한:
• App Service 웹앱 관리
• 웹앱 배포 및 게시
• 웹앱 구성 변경
• 배포 슬롯 관리
• 웹앱 로그 및 메트릭 보기

Web Deploy 요구사항:
• Azure AD 통합 인증
• 웹앱에 대한 게시 권한
• 배포 자격 증명 관리

다른 선택지가 부적절한 이유:
A. Owner 역할:
• 과도한 권한 (최소 권한 원칙 위배)
• 역할 할당 권한까지 포함

B, D. FTPS 자격 증명:
• Azure AD 자격 증명과 무관
• 별도의 사용자명/비밀번호 필요
• 요구사항에 맞지 않음

Website Contributor의 장점:
• App Service 전용 역할로 최소 권한 준수
• Azure AD 통합 인증 지원
• Web Deploy 및 기타 배포 방법 지원

참고: Website Contributor는 App Service 리소스에 특화된 역할로 웹앱 배포에 최적화되어 있습니다.

문제 65

B2B Guest Users 중급

contoso.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.

500명의 외부 사용자의 이름과 이메일 주소가 포함된 CSV 파일이 있습니다.

500명의 외부 사용자 각각에 대해 contoso.com에서 게스트 사용자 계정을 만들어야 합니다.

해결책: Azure AD의 Azure Portal에서 대량 초대 사용자 작업을 사용합니다.

이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

대량 초대 vs 게스트 계정 생성의 차이점

대량 초대 사용자 작업의 특징:
• 외부 사용자에게 초대 이메일을 보냅니다
• 사용자가 초대를 수락해야 게스트 계정이 활성화됩니다
• 즉시 게스트 계정이 생성되지 않습니다

요구사항 분석:
• "게스트 사용자 계정을 만들어야 합니다"
• 즉시 계정 생성이 필요한 것으로 해석
• 사용자의 수락 과정 없이 계정 생성 원함

대량 초대의 한계:
• 사용자가 초대를 거절하거나 무시할 수 있음
• 모든 사용자가 초대를 수락할 때까지 대기 필요
• 즉시 계정 생성되지 않음

올바른 해결책:
• New-MgInvitation PowerShell cmdlet 사용
• Microsoft Graph API 직접 호출
• 초대 상태를 자동 수락으로 설정

참고: B2B 초대는 보안상 사용자 동의가 기본이지만, 특정 시나리오에서는 자동 수락 설정이 가능합니다.

문제 66

Custom Role Cloning 고급

Azure 구독에 연결된 Azure AD 테넌트가 있습니다. 테넌트에는 다음 테이블에 표시된 사용자 지정 RBAC 역할이 포함되어 있습니다.

Azure Portal에서 Role3과 Role4라는 두 개의 사용자 지정 역할을 만들어야 합니다. Role3은 Azure 구독 역할이 될 것입니다. Role4는 Azure AD 역할이 될 것입니다.

새 역할을 만들기 위해 복제할 수 있는 역할은 무엇입니까?

정답

해설

Azure RBAC vs Azure AD 역할의 구분

Role3 (Azure 구독 역할) 생성:
• Azure RBAC 역할을 복제해야 함
• Azure 리소스 관리를 위한 역할
• 구독, 리소스 그룹, 리소스 수준에서 적용

Role4 (Azure AD 역할) 생성:
• Azure AD 역할을 복제해야 함
• Azure AD 테넌트 관리를 위한 역할
• 사용자, 그룹, 애플리케이션 관리

역할 유형별 특징:
Azure RBAC 역할:
• Microsoft.Resources/* 작업
• Microsoft.Compute/* 작업
• Microsoft.Storage/* 작업
• 구독/resourceGroups 범위

Azure AD 역할:
• Microsoft.Directory/* 작업
• User 관리, Group 관리
• Application 관리
• 테넌트 범위

복제 규칙:
• 같은 유형의 역할만 복제 가능
• Azure RBAC → Azure RBAC
• Azure AD → Azure AD

참고: 역할 복제는 기존 역할의 권한 구조를 템플릿으로 사용하여 새 역할을 생성하는 효율적인 방법입니다.

문제 67

Storage RBAC 중급

User1과 User2라는 두 사용자가 포함된 Sub1이라는 Azure 구독이 있습니다.

User1과 User2에게 RBAC(역할 기반 액세스 제어) 역할을 할당해야 합니다. 사용자는 Sub1에서 다음 작업을 수행할 수 있어야 합니다:

• User1은 모든 스토리지 계정의 데이터를 볼 수 있어야 합니다.
• User2는 스토리지 계정에 대한 Contributor 역할을 사용자에게 할당할 수 있어야 합니다.

솔루션은 최소 권한 원칙을 사용해야 합니다.

각 사용자에게 어떤 RBAC 역할을 할당해야 합니까?

정답

해설

스토리지 데이터 접근 및 역할 할당을 위한 최소 권한

User1 요구사항: 모든 스토리지 계정의 데이터 보기
적절한 역할: Storage Blob Data Reader
• 모든 스토리지 계정의 blob 데이터 읽기
• 컨테이너 및 blob 목록 보기
• 최소 권한으로 데이터 접근

User2 요구사항: 스토리지 계정에 Contributor 역할 할당
적절한 역할: User Access Administrator
• 다른 사용자에게 역할 할당 권한
• 스토리지 계정에 대한 Contributor 역할 부여 가능
• 역할 할당만 가능하고 리소스 관리는 불가

다른 역할들이 부적절한 이유:
Storage Account Contributor:
• 스토리지 계정 관리는 가능하지만 역할 할당 불가
• User2의 요구사항 미충족

Owner:
• 과도한 권한 (최소 권한 원칙 위배)
• 모든 관리 작업 + 역할 할당 권한

Reader and Data Access:
• 데이터 읽기는 가능하지만 역할 할당 불가

참고: Azure Storage는 관리 평면과 데이터 평면의 권한이 분리되어 있어 각각에 적합한 역할 선택이 중요합니다.

문제 68

Network Security Groups 중급

10개의 가상 머신, Vault1이라는 키 자격 증명 모음, NSG1이라는 네트워크 보안 그룹(NSG)이 포함된 Azure 구독이 있습니다. 모든 리소스는 East US Azure 지역에 배포됩니다.

가상 머신은 NSG1을 사용하여 보호됩니다. NSG1은 인터넷에 대한 모든 아웃바운드 트래픽을 차단하도록 구성됩니다.

가상 머신이 Vault1에 액세스할 수 있도록 해야 합니다. 솔루션은 최소 권한 원칙을 사용하고 관리 노력을 최소화해야 합니다.

NSG1에 대한 아웃바운드 보안 규칙의 대상으로 무엇을 구성해야 합니까?

A. 애플리케이션 보안 그룹

B. 서비스 태그

C. IP 주소 범위

정답: B

해설

Azure Key Vault 액세스를 위한 서비스 태그 사용

서비스 태그의 개념:
• Microsoft에서 관리하는 IP 주소 접두사 그룹
• 특정 Azure 서비스에 대한 네트워크 액세스 제어
• 자동으로 업데이트되는 IP 범위

Key Vault용 서비스 태그:
• AzureKeyVault: 전역 Key Vault 서비스
• AzureKeyVault.EastUS: East US 지역별 Key Vault
• 지역별 태그 사용으로 더 세밀한 제어 가능

서비스 태그의 장점:
• 자동 관리: Microsoft가 IP 범위 자동 업데이트
• 최소 권한: 필요한 서비스만 허용
• 관리 효율성: IP 주소 변경 시 자동 반영

다른 선택지가 부적절한 이유:
A. 애플리케이션 보안 그룹:
• VM 간 통신 제어용
• Azure 서비스 액세스와 무관

C. IP 주소 범위:
• 수동 관리 필요
• Azure 서비스 IP 변경 시 업데이트 필요
• 관리 노력 증가

NSG 규칙 예시:
• 소스: VM 서브넷
• 대상: AzureKeyVault.EastUS
• 포트: 443 (HTTPS)
• 작업: 허용

참고: 서비스 태그는 Azure 네트워킹에서 보안과 관리 효율성을 동시에 제공하는 핵심 기능입니다.

문제 69

Azure AD Licensing 중급

adatum.com이라는 Azure AD 테넌트가 있으며, 다음 테이블에 표시된 그룹이 포함되어 있습니다.

Adatum.com에는 다음 테이블에 표시된 사용자가 포함되어 있습니다.

Group1과 User4에게 Azure Active Directory Premium Plan 2 라이선스를 할당합니다.

Azure Active Directory Premium Plan 2 라이선스가 할당된 사용자는 누구입니까?

A. User4만

B. User1과 User4만

C. User1, User2, User4만

D. User1, User2, User3, User4

정답: B

해설

Azure AD 그룹 기반 라이선스 할당

라이선스 할당 분석:
• Group1: Azure AD Premium P2 라이선스 할당
• User4: 직접 라이선스 할당

그룹 멤버십 확인:
그룹 테이블과 사용자 테이블을 분석하면:
• User1: Group1의 멤버 → 라이선스 상속
• User2: Group1의 멤버가 아님
• User3: Group1의 멤버가 아님
• User4: 직접 라이선스 할당

그룹 기반 라이선스의 특징:
• 그룹 멤버에게 자동으로 라이선스 할당
• 멤버십 변경 시 라이선스도 자동 조정
• 관리 효율성 향상

최종 라이선스 할당:
• User1: Group1 멤버십을 통한 상속
• User4: 직접 할당

라이선스 관리 모범 사례:
• 그룹 기반 할당 우선 사용
• 직접 할당은 예외적인 경우만
• 정기적인 라이선스 사용량 검토

참고: Azure AD Premium P2는 고급 ID 보호, 권한 있는 ID 관리, 액세스 검토 등의 기능을 제공합니다.

문제 70

Entitlement Management 고급

contoso.com이라는 Azure AD 테넌트가 있습니다.

두 개의 외부 파트너 조직 fabrikam.com과 litwareinc.com이 있습니다. Fabrikam.com은 연결된 조직으로 구성됩니다.

액세스 패키지 전시에 표시된 대로 액세스 패키지를 만듭니다.

수명 주기 전시에 표시된 대로 외부 사용자 수명 주기 설정을 구성합니다.

다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure AD 권한 관리 및 액세스 패키지

액세스 패키지의 핵심 개념:
• 리소스, 역할, 정책을 번들로 묶은 단위
• 외부 사용자의 액세스 요청을 자동화
• 수명 주기 관리 자동화

연결된 조직 vs 연결되지 않은 조직:
Fabrikam.com (연결된 조직):
• 사전 승인된 파트너
• 간소화된 액세스 요청 프로세스
• 자동 승인 가능

Litwareinc.com (연결되지 않은 조직):
• 일반 외부 조직
• 더 엄격한 승인 프로세스
• 수동 검토 필요

외부 사용자 수명 주기:
• 액세스 만료 시 자동 처리
• 계정 삭제 또는 비활성화 정책
• 데이터 보존 및 정리 규칙

각 명령문 분석:
1. 연결된 조직 사용자의 액세스 요청 처리
2. 연결되지 않은 조직 사용자의 제한사항
3. 수명 주기 정책의 자동 적용 범위

참고: 권한 관리는 Azure AD Premium P2의 고급 기능으로 외부 협업의 보안과 효율성을 높입니다.

문제 71

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. User1에게 VNet1에 대한 Network Contributor 역할을 할당합니다.

B. Subscription1에서 User1을 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

C. User1에게 VNet1에 대한 Owner 역할을 할당합니다.

D. User1에게 RG1에 대한 Network Contributor 역할을 할당합니다.

정답: C

해설

역할 할당 권한을 위한 Owner 역할 필요

역할 할당 권한 요구사항:
• 다른 사용자에게 역할을 할당하려면 Owner 또는 User Access Administrator 역할 필요
• Reader, Security Admin, Security Reader 역할로는 역할 할당 불가

각 역할의 권한:
Reader: 리소스 보기만 가능
Security Admin: Security Center 관련 권한
Security Reader: 보안 정보 읽기 권한
Owner: 모든 권한 + 역할 할당 권한

다른 선택지가 부적절한 이유:
A. Network Contributor: 네트워크 리소스 관리 가능하지만 역할 할당 불가
B. RG1의 Contributor: 리소스 관리는 가능하지만 역할 할당 불가
D. RG1의 Network Contributor: 네트워크 관리만 가능, 역할 할당 불가

Owner 역할의 특징:
• 리소스에 대한 모든 권한
• 다른 사용자에게 역할 할당 가능
• Microsoft.Authorization/*/Write 권한 포함

참고: 역할 할당 권한은 보안상 매우 중요하므로 Owner나 User Access Administrator 역할만 가능합니다.

문제 72

RBAC Analysis 중급

다음 테이블에 표시된 사용자가 포함된 Azure 구독이 있습니다.

다음 테이블에 표시된 대로 그룹이 구성됩니다.

다음 전시에 표시된 대로 RG1이라는 리소스 그룹이 있습니다.

다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

RBAC 권한 상속 및 그룹 멤버십 분석

RBAC 권한 상속 원칙:
• 상위 범위의 권한이 하위 범위로 상속
• 구독 → 리소스 그룹 → 리소스
• 여러 역할이 할당된 경우 가장 높은 권한 적용

그룹 기반 권한:
• 그룹 멤버는 그룹에 할당된 모든 역할 상속
• 직접 할당 + 그룹 할당 권한이 결합
• 거부 권한은 없으므로 모든 허용 권한이 누적

각 사용자의 유효 권한 분석:
1. 직접 할당된 역할 확인
2. 그룹 멤버십을 통한 역할 확인
3. 상속된 권한과 직접 권한 결합

주요 역할별 권한:
Owner: 모든 작업 + 역할 할당
Contributor: 리소스 관리 (역할 할당 제외)
Reader: 읽기 전용

참고: RBAC에서는 명시적 거부가 없으므로 여러 역할의 권한이 누적되어 적용됩니다.

문제 73

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. Subscription1에서 User1을 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 Owner 역할을 할당합니다.

C. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다. User1에게 Subscription1에 대한 Contributor 역할을 할당합니다.

D. User1에게 VNet1에 대한 Contributor 역할을 할당합니다.

정답: B

해설

역할 할당을 위한 Owner 권한 필요

역할 할당 권한의 원칙:
• 다른 사용자에게 역할을 할당하려면 Owner 또는 User Access Administrator 권한 필요
• Contributor 역할로는 리소스 관리는 가능하지만 역할 할당 불가

현재 User1의 역할과 한계:
• Reader: 읽기 전용, 역할 할당 불가
• Security Admin: 보안 센터 관리, 역할 할당 불가
• Security Reader: 보안 정보 읽기, 역할 할당 불가

Owner 역할의 권한:
• 리소스에 대한 모든 작업 수행
• 다른 사용자에게 역할 할당 권한
• Microsoft.Authorization/roleAssignments/write 권한 포함

다른 선택지의 문제점:
A, C. Contributor 역할: 리소스 관리 가능하지만 역할 할당 권한 없음
D. Contributor 역할: VNet 관리는 가능하지만 역할 할당 불가

최소 권한 원칙 고려:
• VNet1에만 Owner 권한을 부여하여 범위 제한
• 전체 구독이나 리소스 그룹 권한보다 제한적

참고: Azure RBAC에서 역할 할당 권한은 높은 수준의 권한이므로 신중하게 부여해야 합니다.

문제 74

Private Networking 중급

온프레미스 네트워크에 VPN 게이트웨이가 포함되어 있습니다.

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

VM1에서 storage1으로의 모든 트래픽이 Microsoft 백본 네트워크를 통과하도록 해야 합니다.

무엇을 구성해야 합니까?

A. Azure Application Gateway

B. private endpoints

C. 네트워크 보안 그룹(NSG)

D. Azure Virtual WAN

정답: B

해설

Private Endpoints를 통한 Microsoft 백본 네트워크 사용

Private Endpoints의 개념:
• Azure PaaS 서비스를 VNet 내의 프라이빗 IP로 연결
• 퍼블릭 인터넷을 거치지 않고 Microsoft 백본 네트워크 사용
• 스토리지 계정에 대한 안전한 연결 제공

Private Endpoints의 장점:
• 보안 강화: 퍼블릭 엔드포인트 사용 안 함
• 성능 향상: Microsoft 백본 네트워크의 최적화된 경로
• 네트워크 격리: VNet 내부에서만 접근 가능

스토리지 계정 Private Endpoint 구성:
1. 스토리지 계정에 Private Endpoint 생성
2. VNet 서브넷에 프라이빗 IP 할당
3. Private DNS Zone 구성으로 이름 해석

다른 선택지가 부적절한 이유:
A. Application Gateway: 웹 애플리케이션 로드 밸런서, 스토리지 연결과 무관
C. NSG: 네트워크 보안 규칙, 트래픽 경로 변경 불가
D. Virtual WAN: 글로벌 네트워크 연결, 개별 서비스 연결과 무관

Microsoft 백본 네트워크 이점:
• 글로벌 고성능 네트워크
• 낮은 지연 시간
• 높은 가용성 및 안정성

참고: Private Endpoints는 Azure PaaS 서비스의 네트워크 보안을 강화하는 핵심 기능입니다.

문제 75

NSG Permissions 중급

User1이라는 사용자와 다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

NSG1은 networkinterface1과 연결되어 있습니다.

User1은 다음 테이블에 표시된 대로 NSG1에 대한 역할 할당을 가지고 있습니다.

다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

네트워크 보안 그룹(NSG) 권한 분석

NSG 관련 주요 역할:
• Network Contributor: 네트워크 리소스 전체 관리
• Security Admin: NSG 규칙 읽기/쓰기
• Reader: NSG 구성 읽기만 가능

NSG 보안 규칙 작업:
• 보안 규칙 생성/수정: Network Contributor 또는 적절한 사용자 지정 역할 필요
• 보안 규칙 보기: Reader 권한으로도 가능
• NSG 연결 관리: Network Contributor 권한 필요

역할별 구체적 권한:
Network Contributor:
• Microsoft.Network/networkSecurityGroups/* 권한
• NSG 생성, 수정, 삭제
• 보안 규칙 관리

Security Admin:
• Security Center 관련 권한
• NSG 보안 정책 관리
• 네트워크 보안 모니터링

각 명령문 분석:
1. NSG 규칙 수정 권한 여부
2. NSG 설정 보기 권한 여부
3. 네트워크 인터페이스 연결 관리 권한 여부

참고: NSG 관리는 네트워크 보안의 핵심이므로 적절한 권한 할당이 중요합니다.

문제 76

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. Subscription1에서 User1을 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 Access Administrator 역할을 할당합니다.

C. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다. User1에게 Subscription1에 대한 Contributor 역할을 할당합니다.

D. User1에게 RG1에 대한 Network Contributor 역할을 할당합니다.

정답: B

해설

User Access Administrator 역할을 통한 역할 할당 권한

User Access Administrator 역할:
• Azure 리소스에 대한 사용자 액세스만 관리
• 역할 할당 및 제거 권한
• 리소스 자체는 관리하지 않음 (최소 권한 원칙)

역할 할당 권한을 가진 역할:
• Owner: 모든 권한 + 역할 할당
• User Access Administrator: 역할 할당만

User Access Administrator의 장점:
• 최소 권한 원칙 준수
• 리소스 관리 권한 없이 역할 할당만 가능
• 보안 위험 최소화

다른 선택지의 문제점:
A, C. Contributor 역할:
• 리소스 관리는 가능하지만 역할 할당 권한 없음
• Microsoft.Authorization/roleAssignments/write 권한 없음

D. Network Contributor:
• 네트워크 리소스 관리만 가능
• 역할 할당 권한 없음

권한 범위 제한:
• VNet1 수준에서만 역할 할당 권한 부여
• 다른 리소스에는 영향 없음
• 보안 격리 유지

참고: User Access Administrator는 역할 할당 전용 역할로 보안 관리에 최적화되어 있습니다.

문제 77

Management Groups 고급

Azure AD 테넌트에 연결된 Sub1, Sub2, Sub3라는 세 개의 Azure 구독이 있습니다.

테넌트에는 User1이라는 사용자, Group1이라는 보안 그룹, MG1이라는 관리 그룹이 포함되어 있습니다. User1은 Group1의 구성원입니다.

Sub1과 Sub2는 MG1의 구성원입니다. Sub1에는 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에는 5개의 Azure 함수가 포함되어 있습니다.

MG1에 대해 다음 역할 할당을 만듭니다:

• Group1: Reader
• User1: User Access Administrator

Sub1과 Sub2에 대해 User1에게 Virtual Machine Contributor 역할을 할당합니다.

정답

해설

관리 그룹을 통한 계층적 권한 상속

관리 그룹의 권한 상속:
• 관리 그룹의 권한이 하위 구독으로 상속
• 구독의 권한이 하위 리소스 그룹으로 상속
• 여러 권한이 누적되어 적용

User1의 유효 권한 분석:
MG1 수준에서:
• User Access Administrator (직접 할당)
• Reader (Group1 멤버십을 통해)

Sub1, Sub2 수준에서:
• Virtual Machine Contributor (직접 할당)
• User Access Administrator (MG1에서 상속)
• Reader (MG1의 Group1에서 상속)

각 권한의 범위:
User Access Administrator:
• MG1, Sub1, Sub2에서 역할 할당 권한
• RG1에서도 역할 할당 가능 (상속)

Virtual Machine Contributor:
• Sub1, Sub2에서 VM 관리 권한
• Azure Functions는 VM이 아니므로 직접 관리 불가

Reader 권한:
• 모든 하위 리소스 읽기 권한
• Azure Functions 정보 보기 가능

참고: 관리 그룹을 사용하면 대규모 Azure 환경에서 효율적인 권한 관리가 가능합니다.

문제 78

File Share Permissions 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

User1에게 share1에 대한 Storage File Data SMB Share Contributor 역할을 할당해야 합니다.

먼저 무엇을 해야 합니까?

A. storage1의 파일 공유에 대해 ID 기반 데이터 액세스를 사용하도록 설정합니다.

B. storage1의 파일 공유에 대한 보안 프로필을 수정합니다.

C. Azure Portal에서 storage1에 대해 Azure Active Directory 권한 부여를 기본값으로 선택합니다.

D. share1에 대한 액세스 제어(IAM)를 구성합니다.

정답: D

해설

Azure 파일 공유 RBAC 역할 할당

Storage File Data SMB Share Contributor 역할:
• Azure 파일 공유의 파일과 디렉터리에 대한 읽기, 쓰기, 삭제 권한
• SMB를 통한 파일 공유 액세스 제어
• POSIX ACL 설정 권한 포함

파일 공유 RBAC 설정 단계:
1. IAM(액세스 제어) 구성: 파일 공유 수준에서 역할 할당
2. 디렉터리/파일 수준 권한 설정 (선택사항)
3. SMB 클라이언트에서 Azure AD 인증 사용

액세스 제어(IAM) 구성의 중요성:
• Azure RBAC 역할을 파일 공유에 직접 할당
• 공유 수준의 액세스 권한 제어
• Azure AD 사용자/그룹에 대한 권한 부여

다른 선택지의 특징:
A. ID 기반 데이터 액세스:
• 이미 Azure Files에서 기본 지원
• 별도 활성화 불필요

B. 보안 프로필 수정:
• SMB 프로토콜 설정 관련
• RBAC 역할 할당과 무관

C. Azure AD 권한 부여 기본값:
• 스토리지 계정 수준 설정
• 개별 파일 공유 역할 할당과 무관

참고: Azure Files는 SMB와 NFS 프로토콜을 모두 지원하며, Azure AD 통합을 통해 엔터프라이즈급 보안을 제공합니다.

문제 79

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

Subscription1에는 User1이라는 사용자가 있습니다. User1에게는 다음 역할이 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. Subscription1에서 User1을 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 User Access Administrator 역할을 할당합니다.

C. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다.

D. User1에게 VNet1에 대한 Contributor 역할을 할당합니다.

정답: B

해설

User Access Administrator 역할의 최소 권한 접근

역할 할당 권한이 필요한 이유:
• 다른 사용자에게 Reader 역할을 할당하려면 역할 할당 권한 필요
• 현재 User1의 역할로는 역할 할당 불가
• Microsoft.Authorization/roleAssignments/write 권한 필요

User Access Administrator 역할의 특징:
• 전용 역할: 역할 할당/제거만 가능
• 최소 권한: 리소스 관리 권한 없음
• 보안 격리: 권한 남용 위험 최소화

VNet1 수준 할당의 장점:
• 범위가 특정 리소스로 제한
• 다른 VNet이나 리소스에 영향 없음
• 세밀한 권한 제어 가능

다른 역할과의 비교:
Owner 역할:
• 모든 권한 + 역할 할당 권한
• 과도한 권한 (최소 권한 원칙 위배)

Contributor 역할:
• 리소스 관리 권한
• 역할 할당 권한 없음

User Access Administrator와 Owner 차이:
• User Access Administrator: 역할 할당만
• Owner: 모든 권한 + 역할 할당

참고: 역할 할당 권한은 보안에 민감하므로 필요한 최소 범위에서만 부여하는 것이 중요합니다.

문제 80

Azure AD Licensing 중급

다음 테이블에 표시된 그룹이 포함된 adatum.com이라는 Azure AD 테넌트가 있습니다.

Adatum.com에는 다음 테이블에 표시된 사용자가 포함되어 있습니다.

다음 전시에 표시된 대로 Group1에 Azure Active Directory Premium P2 라이선스를 할당합니다.

Group2에는 라이선스가 직접 할당되지 않습니다.

다음 각 명령문에 대해 명령문이 참이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.

정답

해설

Azure AD 그룹 기반 라이선스 상속 분석

그룹 기반 라이선스의 원칙:
• 그룹에 할당된 라이선스는 그룹 멤버에게 자동 할당
• 중첩된 그룹의 경우 직접 멤버만 라이선스 상속
• 간접 멤버십으로는 라이선스 상속 안 됨

라이선스 할당 시나리오:
Group1: Azure AD Premium P2 라이선스 할당
Group2: 라이선스 직접 할당 없음

사용자별 라이선스 상속 분석:
• Group1의 직접 멤버만 라이선스 상속
• Group2 멤버는 Group1 라이선스 상속 안 됨
• 중첩 그룹 구조에서 라이선스는 직접 멤버십만 고려

중첩 그룹과 라이선스:
• Group2가 Group1의 멤버라도 라이선스 상속 안 됨
• Group2의 사용자들은 별도 라이선스 할당 필요
• 보안 그룹과 Microsoft 365 그룹의 차이 고려

라이선스 관리 모범 사례:
• 직접 그룹 멤버십을 통한 라이선스 할당
• 중첩 그룹보다는 플랫 구조 선호
• 정기적인 라이선스 사용량 모니터링

각 명령문 분석:
1. 직접 멤버의 라이선스 상속 여부
2. 중첩된 그룹 멤버의 라이선스 상속 여부
3. 라이선스 할당 방식의 제한사항

참고: Azure AD Premium P2는 고급 보안 및 거버넌스 기능을 제공하므로 적절한 사용자에게만 할당하는 것이 비용 효율적입니다.

문제 81

Hybrid Identity 중급

다음 테이블에 표시된 사용자가 포함된 Azure AD(Azure Active Directory)의 하이브리드 배포가 있습니다.

사용자의 JobTitle 및 UsageLocation 속성을 수정해야 합니다.

Azure AD에서 어떤 사용자의 속성을 수정할 수 있습니까?

정답

해설

하이브리드 ID 환경에서의 속성 관리

하이브리드 ID의 권한 소스 개념:
• 온프레미스 AD: Windows Server Active Directory
• Azure AD: 클라우드 전용 사용자
• 동기화된 사용자: 온프레미스에서 Azure AD로 동기화

속성 수정 권한 규칙:
JobTitle 속성:
• 동기화된 사용자: 온프레미스 AD에서만 수정 가능
• 클라우드 전용 사용자: Azure AD에서 수정 가능

UsageLocation 속성:
• 모든 사용자: Azure AD에서 수정 가능
• 라이선스 할당을 위해 필요한 속성
• 동기화 충돌 없음

사용자 유형별 분석:
동기화된 사용자:
• JobTitle: 온프레미스 AD에서만 수정
• UsageLocation: Azure AD에서 수정 가능

클라우드 전용 사용자:
• JobTitle: Azure AD에서 수정 가능
• UsageLocation: Azure AD에서 수정 가능

Azure AD Connect 동기화:
• 온프레미스 → Azure AD 단방향 동기화
• 권한 소스가 온프레미스인 속성은 덮어쓰기
• 일부 속성은 Azure AD에서 직접 관리 가능

특수 속성 관리:
• UsageLocation: 항상 Azure AD에서 관리
• ProxyAddresses: 일반적으로 온프레미스에서 관리
• ExtensionAttributes: 온프레미스에서 관리

참고: 하이브리드 환경에서는 속성별로 권한 소스가 다르므로 관리 정책을 명확히 해야 합니다.

문제 82

B2B Guest Users 중급

contoso.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.

500명의 외부 사용자의 이름과 이메일 주소가 포함된 CSV 파일이 있습니다.

500명의 외부 사용자 각각에 대해 contoso.com에서 게스트 사용자 계정을 만들어야 합니다.

해결책: 각 외부 사용자에 대해 New-MgUser cmdlet을 실행하는 PowerShell 스크립트를 만듭니다.

이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: B

해설

New-MgUser vs 게스트 사용자 생성의 차이점

New-MgUser cmdlet의 특징:
• 일반 Azure AD 사용자 생성용
• 테넌트 내부 사용자 계정 생성
• 게스트 사용자 생성에는 부적합

게스트 사용자와 일반 사용자의 차이:
일반 사용자 (Member):
• 테넌트의 정식 구성원
• 전체 디렉터리 권한
• 내부 사용자로 관리

게스트 사용자 (Guest):
• 외부 조직의 사용자
• 제한된 디렉터리 권한
• B2B 협업 시나리오

올바른 게스트 사용자 생성 방법:
New-MgInvitation cmdlet:
• B2B 게스트 사용자 초대 전용
• 외부 이메일로 초대장 발송
• 게스트 권한으로 계정 생성

Microsoft Graph API:
• POST /invitations 엔드포인트
• 프로그래밍 방식 게스트 초대
• 대량 처리에 적합

UserType 매개변수:
• Member: 내부 사용자
• Guest: 외부 게스트 사용자
• New-MgUser에서는 기본값이 Member

보안 고려사항:
• 게스트 사용자는 제한된 권한
• 외부 액세스 정책 적용
• 정기적인 액세스 검토 필요

참고: B2B 시나리오에서는 반드시 적절한 게스트 초대 방법을 사용해야 보안과 거버넌스를 유지할 수 있습니다.

문제 83

B2B Guest Users 기초

contoso.com이라는 Azure AD(Azure Active Directory) 테넌트가 있습니다.

500명의 외부 사용자의 이름과 이메일 주소가 포함된 CSV 파일이 있습니다.

500명의 외부 사용자 각각에 대해 contoso.com에서 게스트 사용자 계정을 만들어야 합니다.

해결책: 각 외부 사용자에 대해 New-MgInvitation cmdlet을 실행하는 PowerShell 스크립트를 만듭니다.

이것이 목표를 달성합니까?

A. 예

B. 아니요

정답: A

해설

New-MgInvitation cmdlet을 통한 게스트 사용자 대량 생성

New-MgInvitation cmdlet의 특징:
• Azure AD B2B 게스트 사용자 초대 전용
• 외부 사용자를 게스트로 초대
• Microsoft Graph PowerShell SDK의 일부

게스트 사용자 생성 과정:
1. 초대 생성: New-MgInvitation 실행
2. 이메일 발송: 초대장 자동 발송 (선택사항)
3. 계정 생성: 게스트 사용자 객체 생성
4. 상태 관리: PendingAcceptance 또는 Accepted

주요 매개변수:
-InvitedUserEmailAddress: 초대할 사용자 이메일
-InviteRedirectUrl: 초대 수락 후 리디렉션 URL
-SendInvitationMessage: 이메일 발송 여부
-InvitedUserDisplayName: 게스트 사용자 표시 이름

대량 처리를 위한 스크립트 예시:
```powershell
$users = Import-Csv "users.csv"
foreach ($user in $users) {
  New-MgInvitation `
    -InvitedUserEmailAddress $user.Email `
    -InvitedUserDisplayName $user.Name `
    -InviteRedirectUrl "https://myapp.com" `
    -SendInvitationMessage:$false
}
```

게스트 사용자의 특징:
• UserType: Guest
• 제한된 디렉터리 권한
• 외부 사용자 액세스 정책 적용
• B2B 협업 시나리오에 최적화

장점:
• 자동화된 대량 초대 가능
• 일관된 게스트 사용자 생성
• 프로그래밍 방식 제어

참고: New-MgInvitation은 B2B 게스트 사용자 생성을 위한 공식적이고 권장되는 방법입니다.

문제 84

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

User1이라는 사용자가 Subscription1에 대해 다음 역할을 가지고 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. User1에게 VNet1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 Network Contributor 역할을 할당합니다.

C. User1에게 VNet1에 대한 User Access Administrator 역할을 할당합니다.

D. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다. User1에게 Subscription1에 대한 Contributor 역할을 할당합니다.

정답: C

해설

User Access Administrator를 통한 최소 권한 역할 할당

역할 할당 권한의 필요성:
• 다른 사용자에게 역할을 할당하려면 특별한 권한 필요
• Microsoft.Authorization/roleAssignments/write 권한
• Owner 또는 User Access Administrator 역할만 가능

User Access Administrator 역할의 장점:
• 전용 기능: 역할 할당/제거만 담당
• 최소 권한: 리소스 관리 권한 없음
• 보안 최적화: 권한 남용 위험 최소화
• 범위 제한: 특정 리소스에만 적용 가능

다른 역할들의 한계:
A. Contributor:
• 리소스 생성/수정/삭제 가능
• 역할 할당 권한 없음

B. Network Contributor:
• 네트워크 리소스 관리 가능
• 역할 할당 권한 없음

D. Subscription Contributor:
• 과도한 권한 부여
• 여전히 역할 할당 권한 없음

VNet1 수준에서의 할당 이점:
• 권한 범위가 특정 VNet으로 제한
• 다른 네트워크 리소스에 영향 없음
• 세밀한 권한 제어 가능

역할 할당 프로세스:
1. User Access Administrator 역할 할당
2. User1이 다른 사용자에게 Reader 역할 할당
3. 할당된 사용자가 VNet1 정보 읽기 가능

참고: Azure RBAC에서 역할 할당 권한은 보안상 매우 중요하므로 필요한 최소 범위에서만 부여해야 합니다.

문제 85

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

User1이라는 사용자가 Subscription1에 대해 다음 역할을 가지고 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.
무엇을 해야 합니까?

A. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다. User1에게 Subscription1에 대한 Contributor 역할을 할당합니다.

B. Subscription1에서 User1을 Security Reader 역할에서 제거합니다. User1에게 RG1에 대한 Contributor 역할을 할당합니다.

C. User1에게 VNet1에 대한 Network Contributor 역할을 할당합니다.

D. User1에게 VNet1에 대한 User Access Administrator 역할을 할당합니다.

정답: D

해설

역할 할당을 위한 User Access Administrator 필요

문제 상황 분석:
• User1의 현재 역할로는 역할 할당 불가
• Reader, Security Admin, Security Reader는 역할 할당 권한 없음
• 다른 사용자에게 Reader 역할을 부여하는 권한 필요

User Access Administrator 역할의 특징:
• 특화된 역할: 사용자 액세스 관리 전용
• 역할 할당 권한: Microsoft.Authorization/roleAssignments/*
• 최소 권한: 리소스 자체는 관리하지 않음
• 보안 격리: 권한 오남용 방지

VNet1 수준 할당의 장점:
• 권한 범위가 해당 VNet으로 제한
• 다른 VNet이나 리소스에 영향 없음
• 정확한 권한 범위 제어

다른 선택지가 부적절한 이유:
A, B. Contributor 역할:
• 리소스 관리 권한은 있지만 역할 할당 권한 없음
• 과도한 리소스 관리 권한 부여

C. Network Contributor:
• 네트워크 리소스 관리만 가능
• 역할 할당 기능 없음

권한 할당 후 시나리오:
1. User1이 User Access Administrator 권한 획득
2. User1이 다른 사용자에게 VNet1 Reader 역할 할당
3. 할당받은 사용자가 VNet1 구성 정보 읽기 가능

보안 고려사항:
• 역할 할당 권한은 민감한 권한
• 필요한 최소 범위에서만 부여
• 정기적인 권한 검토 필요

참고: Azure에서 역할 할당 권한은 Owner와 User Access Administrator만 가능하며, 후자가 최소 권한 원칙에 더 적합합니다.

문제 86

AzCopy Authentication 중급

Azure Blob 스토리지와 Azure File 스토리지를 사용하는 storage1이라는 Azure Storage 계정이 있습니다.

AzCopy를 사용하여 storage1의 blob 스토리지 및 파일 스토리지에 데이터를 복사해야 합니다.

각 스토리지 유형에 어떤 인증 방법을 사용해야 합니까?

정답

해설

AzCopy 인증 방법별 지원 범위

Azure Blob Storage 인증 방법:
• Azure AD (OAuth): 권장 방법, RBAC 통합
• SAS Token: 세밀한 권한 제어
• Account Key: 전체 계정 액세스

Azure Files 인증 방법:
• SAS Token: 주요 인증 방법
• Account Key: 전체 계정 액세스
• Azure AD: 제한적 지원 (SMB만)

권장 인증 방법:
Blob Storage: Azure AD
• 보안성 높음
• RBAC 역할 기반 액세스
• 토큰 자동 갱신
• 감사 로그 지원

File Storage: SAS Token
• Azure Files의 주요 인증 방법
• 시간 제한 및 권한 제어 가능
• REST API 호환성

AzCopy Azure AD 인증 명령:
```bash
azcopy login
azcopy copy "source" "https://account.blob.core.windows.net/container"
```

AzCopy SAS Token 인증 명령:
```bash
azcopy copy "source" "https://account.file.core.windows.net/share?[SAS]"
```

보안 고려사항:
• Azure AD 인증이 가장 안전
• SAS Token은 시간 제한 설정
• Account Key는 광범위한 권한으로 주의 필요

참고: Azure Files는 SMB 프로토콜에서 Azure AD를 지원하지만, REST API 기반 AzCopy에서는 SAS Token이 주요 방법입니다.

문제 87

External User Authentication 중급

External User라는 사용자가 포함된 Azure AD 테넌트가 있습니다.

External User는 user@fabrikam.com을 사용하여 테넌트에 인증합니다.

External User가 user@contoso.com을 사용하여 테넌트에 인증하도록 해야 합니다.

개요 블레이드에서 어떤 두 가지 설정을 구성해야 합니까?

정답

해설

외부 사용자 인증 방법 변경

사용자 계정 인증 방법 변경 과정:
1. 사용자 주체 이름(UPN) 변경
2. 이메일 주소 업데이트
3. 인증 도메인 확인

필요한 설정 변경:
Name (사용자 이름):
• 사용자의 로그인 이름 변경
• user@fabrikam.com → user@contoso.com
• 인증 시 사용되는 주요 식별자

User name (사용자 주체 이름):
• UPN(User Principal Name) 변경
• Azure AD 내부 식별자
• 로그인 및 토큰 발급에 사용

도메인 고려사항:
• contoso.com이 Azure AD에 확인된 도메인이어야 함
• 사용자 지정 도메인 또는 기본 .onmicrosoft.com 도메인
• 도메인 소유권 확인 필요

변경 프로세스:
1. Azure AD에서 contoso.com 도메인 확인
2. 사용자 속성에서 Name 변경
3. User name (UPN) 변경
4. 변경사항 저장 및 동기화

주의사항:
• UPN 변경은 사용자의 로그인에 직접 영향
• 애플리케이션 통합에 영향 가능
• 변경 후 사용자에게 알림 필요

B2B vs 내부 사용자:
• B2B 게스트 사용자의 경우 제한사항 있음
• 내부 사용자 전환 시 추가 고려사항

참고: 사용자 인증 방법 변경은 신중하게 계획하고 사용자에게 사전 공지해야 합니다.

문제 88

Storage RBAC 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

storage1의 컨테이너에 저장된 데이터에 대한 읽기, 쓰기 및 삭제 작업을 허용하도록 Workspace1에 역할을 할당해야 합니다.

어떤 역할을 할당해야 합니까?

A. Storage Account Contributor

B. Contributor

C. Storage Blob Data Contributor

D. Reader and Data Access

정답: C

해설

Storage Blob Data Contributor 역할의 데이터 평면 권한

Azure Storage의 권한 구조:
• 관리 평면: 스토리지 계정 자체 관리
• 데이터 평면: 스토리지 내 데이터 관리

Storage Blob Data Contributor 권한:
• 읽기: Blob 및 컨테이너 데이터 읽기
• 쓰기: Blob 업로드 및 수정
• 삭제: Blob 및 컨테이너 삭제
• 관리: 컨테이너 생성 및 속성 관리

다른 역할들의 한계:
A. Storage Account Contributor:
• 스토리지 계정 관리 권한
• 데이터 평면 액세스 권한 없음
• 계정 키로만 데이터 접근 가능

B. Contributor:
• 일반적인 리소스 관리 권한
• 스토리지 데이터 접근 권한 없음

D. Reader and Data Access:
• 읽기 전용 권한
• 쓰기 및 삭제 권한 없음

Log Analytics Workspace와 스토리지:
• 로그 데이터 보관 및 분석
• 대용량 데이터 처리
• 자동화된 데이터 관리 필요

권한 할당 범위:
• 스토리지 계정 수준: 모든 컨테이너 접근
• 컨테이너 수준: 특정 컨테이너만 접근
• 최소 권한 원칙에 따라 적절한 범위 선택

보안 고려사항:
• 관리 ID를 통한 인증 권장
• 정기적인 권한 검토
• 감사 로그 모니터링

참고: Azure Storage의 데이터 평면 권한은 별도의 RBAC 역할로 관리되며, 관리 평면 권한과는 독립적입니다.

문제 89

RBAC Role Assignment 중급

VNet1이라는 가상 네트워크가 포함된 RG1이라는 리소스 그룹에 있는 Subscription1이라는 Azure 구독이 있습니다.

User1이라는 사용자가 Subscription1에 대해 다음 역할을 가지고 있습니다:

• Reader
• Security Admin
• Security Reader

User1이 VNet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.

무엇을 해야 합니까?

A. Subscription1에서 User1을 Security Reader 및 Reader 역할에서 제거합니다. User1에게 Subscription1에 대한 Contributor 역할을 할당합니다.

B. User1에게 VNet1에 대한 Contributor 역할을 할당합니다.

C. User1에게 VNet1에 대한 Owner 역할을 할당합니다.

D. User1에게 RG1에 대한 Network Contributor 역할을 할당합니다.

정답: C

해설

Owner 역할을 통한 완전한 리소스 제어

역할 할당 권한을 가진 역할:
• Owner: 모든 권한 + 역할 할당 권한
• User Access Administrator: 역할 할당만 가능

현재 User1 역할의 한계:
• Reader: 읽기 전용, 역할 할당 불가
• Security Admin: 보안 정책 관리, 역할 할당 불가
• Security Reader: 보안 정보 읽기, 역할 할당 불가

Owner 역할의 포괄적 권한:
• 리소스에 대한 모든 작업 수행
• 다른 사용자에게 역할 할당
• 리소스 속성 및 구성 관리
• Microsoft.Authorization/* 권한 포함

VNet1 수준에서 Owner 할당의 효과:
• 해당 VNet에 대한 완전한 제어
• 다른 사용자에게 Reader 역할 할당 가능
• 네트워크 구성 변경 권한
• 범위가 특정 VNet으로 제한

다른 선택지가 부적절한 이유:
A. Subscription Contributor:
• 리소스 관리는 가능하지만 역할 할당 불가
• 과도한 범위 (전체 구독)

B. VNet Contributor:
• VNet 관리는 가능하지만 역할 할당 불가
• Microsoft.Authorization 권한 없음

D. RG Network Contributor:
• 네트워크 리소스 관리만 가능
• 역할 할당 기능 없음

Owner vs User Access Administrator 비교:
• Owner: 전체 권한 + 역할 할당
• User Access Administrator: 역할 할당만
• 문제에서는 두 방법 모두 가능하지만 Owner가 더 포괄적

참고: Owner 역할은 Azure RBAC에서 가장 높은 권한을 제공하며, 리소스의 완전한 제어가 필요할 때 사용합니다.

문제 90

Private Endpoints 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

storage1에 대한 프라이빗 엔드포인트를 만들고 해당 엔드포인트를 VNet1에 연결해야 합니다.

먼저 무엇을 해야 합니까?

A. VNet1에 서브넷을 추가합니다.

B. storage1에서 방화벽을 사용하지 않도록 설정합니다.

C. VNet1에서 서브넷의 프라이빗 엔드포인트 네트워크 정책을 사용하지 않도록 설정합니다.

D. storage1의 액세스 계층을 Cool로 구성합니다.

정답: C

해설

Private Endpoints를 위한 네트워크 정책 비활성화

Private Endpoints 배포 전제 조건:
• 서브넷에서 Private Endpoint 네트워크 정책 비활성화
• 이는 Private Endpoints 생성을 위한 필수 요구사항
• Azure 플랫폼의 보안 및 라우팅 정책

네트워크 정책 비활성화 이유:
• NSG 규칙 충돌 방지: Private Endpoints 트래픽 허용
• UDR 간섭 제거: 자동 라우팅 보장
• Azure 플랫폼 요구사항: Private Link 서비스 작동

설정 방법:
1. VNet의 대상 서브넷 선택
2. 서브넷 설정에서 "Private endpoint network policies" 찾기
3. "Disabled"로 변경
4. 변경사항 저장

PowerShell 명령어:
```powershell
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "subnet-name" -VirtualNetwork $vnet
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
Set-AzVirtualNetwork -VirtualNetwork $vnet
```

다른 선택지가 부적절한 이유:
A. 서브넷 추가:
• 기존 서브넷 사용 가능
• 새 서브넷이 반드시 필요하지 않음

B. 스토리지 방화벽 비활성화:
• Private Endpoints는 방화벽과 독립적
• 오히려 보안상 방화벽 유지가 좋음

D. 액세스 계층 변경:
• Private Endpoints와 관련 없음
• 스토리지 비용 최적화 옵션

Private Endpoints의 장점:
• Microsoft 백본 네트워크 사용
• 퍼블릭 인터넷 우회
• 향상된 보안 및 성능

참고: Private Endpoints는 Azure PaaS 서비스의 네트워크 보안을 강화하는 핵심 기능으로, 올바른 네트워크 구성이 필수입니다.

문제 91

Azure Files AAD Authentication 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
storage1	스토리지 계정	East US	RG1
share1	파일 공유	storage1 내부	RG1

share1이 Azure AD(Azure Active Directory) 인증을 사용하도록 구성해야 합니다.

먼저 무엇을 해야 합니까?

A 스토리지 계정 키를 생성합니다.

B share1에 대한 스냅샷을 만듭니다.

C storage1에 대해 Azure Active Directory Domain Services 인증을 사용하도록 설정합니다.

D share1에 대한 할당량을 설정합니다.

정답: C

해설

Azure Files의 Azure AD Domain Services 인증 활성화

Azure Files 인증 방법:
• 스토리지 계정 키: 기본 인증 방법
• 공유 액세스 서명(SAS): 제한된 액세스
• Azure AD DS: 도메인 기반 인증
• 온프레미스 AD DS: 하이브리드 인증

Azure AD Domain Services 인증의 전제 조건:
1. 스토리지 계정에서 Azure AD DS 인증 활성화
2. Azure AD DS 환경 구성
3. 파일 공유 수준 RBAC 역할 할당
4. 디렉터리/파일 수준 권한 설정

Azure AD DS 인증 활성화 과정:
1. Azure Portal에서 스토리지 계정 선택
2. 구성(Configuration) 블레이드 이동
3. "Azure Active Directory Domain Services" 옵션 활성화
4. 변경사항 저장

참고: Azure Files의 Azure AD 인증은 엔터프라이즈 환경에서 중앙 집중식 파일 공유 관리를 가능하게 합니다.

문제 92

RBAC Custom Roles 고급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
VM1	가상 머신	East US	RG1
VM2	가상 머신	West US	RG2
User1	사용자	-	-
User2	사용자	-	-

RG1의 가상 머신에 대해서만 다음 작업을 수행할 수 있는 사용자 지정 역할을 만들어야 합니다:

• 가상 머신 시작
• 가상 머신 중지
• 가상 머신 모니터링

무엇을 사용해야 합니까?

A Azure Policy

B 사용자 지정 Azure RBAC 역할

C Management Group

D Azure Blueprint

정답: B

해설

사용자 지정 RBAC 역할을 통한 세밀한 권한 제어

사용자 지정 역할이 필요한 이유:
• 기본 제공 역할로는 요구사항 충족 불가
• 특정 작업만 허용하는 세밀한 권한 필요
• 최소 권한 원칙 적용

필요한 권한 (Actions):
가상 머신 시작:
• Microsoft.Compute/virtualMachines/start/action

가상 머신 중지:
• Microsoft.Compute/virtualMachines/powerOff/action
• Microsoft.Compute/virtualMachines/deallocate/action

가상 머신 모니터링:
• Microsoft.Compute/virtualMachines/read
• Microsoft.Insights/metrics/read
• Microsoft.Insights/logDefinitions/read

범위 제한 (AssignableScopes):
• RG1으로 역할 할당 범위 제한
• 다른 리소스 그룹에는 적용 불가
• 보안 격리 유지

참고: 사용자 지정 RBAC 역할은 조직의 특정 요구사항에 맞춘 정교한 권한 관리를 가능하게 합니다.

문제 93

Managed Identity 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
VM1	가상 머신	East US	RG1
storage1	스토리지 계정	East US	RG1

VM1에서 실행되는 애플리케이션이 storage1의 Blob에 액세스할 수 있도록 해야 합니다.

가장 안전한 인증 방법은 무엇입니까?

A 스토리지 계정 키

B 공유 액세스 서명(SAS)

C 시스템 할당 관리 ID

D 사용자 할당 관리 ID

정답: C

해설

시스템 할당 관리 ID의 보안 우수성

관리 ID의 보안 이점:
• 자격 증명 저장 불필요: 코드나 구성에 비밀 정보 없음
• 자동 순환: Azure가 토큰 갱신 관리
• Azure AD 통합: 중앙 집중식 ID 관리
• 제로 트러스트: 런타임 인증

시스템 할당 vs 사용자 할당 관리 ID:
시스템 할당 관리 ID:
• VM과 1:1 연결
• VM 삭제 시 자동 정리
• 라이프사이클 관리 자동화
• 단일 리소스 사용 시 권장

구성 단계:
1. VM1에서 시스템 할당 관리 ID 활성화
2. Storage Blob Data Reader/Contributor 역할 할당
3. 애플리케이션에서 DefaultAzureCredential 사용

참고: 관리 ID는 Azure 리소스 간 인증을 위한 가장 안전하고 권장되는 방법입니다.

문제 94

Administrative Units 고급

contoso.com이라는 Azure AD 테넌트가 있습니다.

구성 요소	이름	유형	소속 관리 단위
사용자	User1	사용자	AU1
사용자	User2	사용자	없음
사용자	User3	사용자	없음
그룹	Group1	보안 그룹	AU1
그룹	Group2	보안 그룹	없음
관리 단위	AU1	Administrative Unit	-

AU1 범위의 사용자 관리자 역할을 User2에게 할당합니다.

User2가 관리할 수 있는 사용자는 누구입니까?

A User1만

B User1과 User3

C User1, User2, User3

D User3만

정답: A

해설

관리 단위(Administrative Units)의 범위 제한

관리 단위의 개념:
• Azure AD 테넌트 내 조직 단위
• 관리 권한의 범위를 특정 사용자/그룹으로 제한
• 위임된 관리 시나리오에 사용

AU1 구성 분석:
• 포함된 사용자: User1
• 포함된 그룹: Group1
• 제외된 사용자: User2, User3

User2의 관리 권한:
• User1: AU1에 포함 → 관리 가능
• User2: 자신은 관리 불가
• User3: AU1에 미포함 → 관리 불가

참고: 관리 단위는 대규모 조직에서 Azure AD 관리 권한을 효과적으로 위임하는 핵심 기능입니다.

문제 95

Subscription Resource Limits 중급

East US 지역에 배포된 90개의 가상 머신이 포함된 Azure 구독이 있습니다.

East US에 10개의 가상 머신을 추가로 만들어야 합니다.

해결책: Azure Portal에서 사용량 + 할당량을 사용하여 할당량 증가를 요청합니다.

이 해결책이 목표를 달성합니까?

A 예

B 아니요

정답: A

해설

Azure 구독 할당량 한도 관리

Azure VM 기본 할당량:
• 지역별 표준 vCPU 할당량: 일반적으로 100개
• VM 시리즈별 추가 할당량
• 구독 유형에 따른 차등 적용

현재 상황 분석:
• East US에 90개 VM 배포됨
• 추가로 10개 VM 필요 (총 100개)
• 기본 할당량에 근접하거나 초과 가능성

할당량 증가 요청 프로세스:
1. Azure Portal → 구독 → 사용량 + 할당량
2. 컴퓨팅 → 지역 선택 (East US)
3. 할당량 증가 요청
4. 증가 이유 및 필요량 명시
5. Microsoft 검토 후 승인

참고: Azure 할당량 관리는 대규모 배포의 성공적인 실행을 위한 필수 계획 활동입니다.

문제 96

Azure Policy 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
VM1	가상 머신	East US	RG1
storage1	스토리지 계정	East US	RG1
vnet1	가상 네트워크	East US	RG1

RG1에 배포된 모든 Azure 리소스에 Environment라는 태그가 있는지 확인해야 합니다.

무엇을 사용해야 합니까?

A Azure Policy

B Azure RBAC

C Azure Monitor

D Azure Resource Manager 템플릿

정답: A

해설

Azure Policy를 통한 태그 거버넌스

Azure Policy의 태그 관리 기능:
• 규정 준수 강제: 태그 요구사항 자동 검증
• 자동 수정: 누락된 태그 자동 추가
• 지속적 모니터링: 정책 위반 실시간 감지
• 대규모 적용: 구독/리소스그룹 수준 정책

RG1 수준 정책 할당:
1. Azure Portal → Policy
2. Definitions → Tag 관련 정책 선택
3. Assign → Scope를 RG1으로 설정
4. 매개변수에서 Environment 태그 지정

참고: Azure Policy는 Azure 환경의 거버넌스와 규정 준수를 자동화하는 핵심 도구입니다.

문제 97

Resource Locks 기초

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
VM1	가상 머신	East US	RG1
disk1	관리 디스크	East US	RG1
nic1	네트워크 인터페이스	East US	RG1

실수로 VM1을 삭제하지 않도록 보호해야 합니다.

무엇을 사용해야 합니까?

A Azure Backup

B Azure Policy

C 리소스 잠금(Resource Lock)

D Azure RBAC

정답: C

해설

리소스 잠금을 통한 실수 방지

리소스 잠금(Resource Lock)의 목적:
• 중요한 리소스의 우발적 삭제 방지
• 권한이 있는 사용자라도 실수로 인한 삭제 차단
• 명시적인 잠금 해제 후에만 삭제 가능

잠금 유형:
Delete Lock (삭제 잠금):
• 리소스 삭제만 차단
• 수정 및 읽기는 허용
• VM 보호에 적합

VM1에 Delete Lock 적용:
1. Azure Portal → VM1 선택
2. Settings → Locks
3. Add → Lock type: Delete
4. 잠금 이름 및 설명 입력

참고: 리소스 잠금은 Azure 환경에서 실수로 인한 중요 리소스 손실을 방지하는 가장 직접적이고 효과적인 방법입니다.

문제 98

Cost Management 중급

다음 테이블에 표시된 현재 월별 Azure 비용이 있습니다.

서비스	월별 비용 (USD)	리소스 그룹
Virtual Machines	$45	RG1
Storage	$15	RG1
Networking	$25	RG1
Monitoring	$10	RG1

월별 Azure 비용이 100달러를 초과할 때 이메일 알림을 받아야 합니다.

무엇을 구성해야 합니까?

A Azure Monitor에서 메트릭 경고

B Azure Cost Management에서 예산 경고

C Azure Service Health에서 알림

D Azure Advisor에서 권장 사항

정답: B

해설

Azure Cost Management 예산 경고를 통한 비용 모니터링

Azure Cost Management 예산의 기능:
• 비용 임계값 설정: 월별, 분기별, 연간 예산
• 자동 경고: 임계값 도달 시 이메일 발송
• 실제 및 예측 비용: 현재 사용량과 예상 비용
• 다중 임계값: 50%, 80%, 100% 등 단계별 알림

예산 구성 단계:
1. Azure Portal → Cost Management + Billing
2. Cost Management → Budgets
3. Create budget → 예산 이름 및 금액 설정
4. Alert conditions → 100% 임계값 설정
5. Action groups → 이메일 수신자 추가

참고: Azure Cost Management는 클라우드 비용을 효과적으로 모니터링하고 제어하는 종합적인 도구입니다.

문제 99

Azure Monitor Logs 중급

다음 테이블에 표시된 리소스가 포함된 Azure 구독이 있습니다.

리소스 이름	유형	위치	리소스 그룹
VM1	가상 머신 (Windows)	East US	RG1
Workspace1	Log Analytics Workspace	East US	RG1
WebApp1	웹 애플리케이션	VM1에서 실행	-

VM1에서 실행되는 애플리케이션의 성능 카운터 및 이벤트 로그를 수집하여 Workspace1에 저장해야 합니다.

무엇을 구성해야 합니까?

A Azure Monitor에서 진단 설정

B VM1에 Log Analytics 에이전트 설치

C VM1에서 Azure Monitor 확장 사용

D Workspace1에서 솔루션 추가

정답: B

해설

Log Analytics 에이전트를 통한 상세 모니터링

Log Analytics 에이전트의 기능:
• 성능 카운터 수집: CPU, 메모리, 디스크, 네트워크
• 이벤트 로그 수집: Windows/Linux 시스템 로그
• 사용자 지정 로그: 애플리케이션별 로그 파일
• 실시간 전송: Log Analytics Workspace로 전송

VM1에 에이전트 설치 방법:
1. VM1 → Monitoring → Logs
2. "Enable" 클릭
3. Workspace1 선택
4. 에이전트 자동 설치

데이터 수집 구성:
• Workspace1 → Advanced settings → Data
• Performance Counters 및 Windows Event Logs 설정
• 수집할 카운터와 이벤트 로그 선택

참고: Log Analytics 에이전트는 VM의 상세한 성능 및 로그 데이터를 수집하는 가장 포괄적인 솔루션입니다.

문제 102

Microsoft Entra RBAC 고급

HOTSPOT 문제 - 각 항목에 대해 Yes 또는 No를 선택하세요.

Microsoft Entra 테넌트가 다음 표에 표시된 구독에 연결되어 있습니다.

다음 표에 표시된 리소스 그룹이 있습니다.

다음 표와 같이 사용자에게 역할을 할당합니다.

다음 각 명제에 대해 참이면 Yes, 거짓이면 No를 선택하세요.

정답

해설

RBAC 역할 권한 분석:

Owner 역할:
• 모든 리소스에 대한 전체 액세스
• 다른 사용자에게 역할 할당 가능
• 구독 수준에서 할당되면 모든 하위 리소스 관리 가능

Contributor 역할:
• 리소스 생성, 수정, 삭제 가능
• 다른 사용자에게 역할 할당 불가
• 특정 리소스 그룹으로 범위 제한

Reader 역할:
• 리소스 보기만 가능
• 수정, 삭제, 생성 불가
• 읽기 전용 액세스

문제 103

Private Endpoints 중급

온프레미스 네트워크에 VPN 게이트웨이가 있습니다.

다음 표에 표시된 리소스가 포함된 Azure 구독이 있습니다.

VM1에서 storage1로의 모든 트래픽이 Microsoft 백본 네트워크를 통해 이동하도록 해야 합니다.

무엇을 구성해야 합니까?

A 네트워크 보안 그룹(NSG)

B 프라이빗 엔드포인트

C Microsoft Entra Application Proxy

D Azure Virtual WAN

정답: B

해설

프라이빗 엔드포인트를 통한 Microsoft 백본 네트워크 사용

프라이빗 엔드포인트의 기능:
• Azure 서비스에 대한 프라이빗 연결 제공
• VNet 내부의 프라이빗 IP 주소 사용
• 트래픽이 Microsoft 백본 네트워크를 통해서만 이동
• 인터넷 노출 없이 보안 연결

구성 단계:
1. Storage1에 대한 프라이빗 엔드포인트 생성
2. VNet1의 서브넷에 엔드포인트 배치
3. 프라이빗 DNS 영역 구성
4. VM1에서 프라이빗 IP를 통해 Storage1 액세스

다른 선택지가 부적절한 이유:
• A. NSG: 네트워크 보안 규칙, 경로 제어 안됨
• C. Application Proxy: 웹 애플리케이션용
• D. Virtual WAN: 네트워크 연결 최적화

참고: 프라이빗 엔드포인트는 Azure 서비스에 대한 가장 안전하고 성능이 우수한 연결 방법입니다.

문제 104

Bulk Import & Dynamic Groups 고급

Microsoft Entra 테넌트가 있습니다.

사용자 대량 가져오기를 수행할 계획입니다.

가져온 사용자 개체가 각 사용자의 부서를 기반으로 특정 그룹의 구성원으로 자동 추가되도록 해야 합니다. 솔루션은 관리 노력을 최소화해야 합니다.

두 가지 작업을 수행해야 합니다. 각각의 정답은 솔루션의 일부를 나타냅니다.

참고: 각 정답은 1점입니다.

A 할당된 멤버십 유형을 사용하는 그룹을 만듭니다.

B Azure Resource Manager(ARM) 템플릿을 만듭니다.

C 동적 사용자 멤버십 유형을 사용하는 그룹을 만듭니다.

D 가져오기 파일을 구문 분석하는 PowerShell 스크립트를 작성합니다.

E 사용자 정보와 적절한 특성이 포함된 XML 파일을 만듭니다.

F 사용자 정보와 적절한 특성이 포함된 CSV 파일을 만듭니다.

정답: C, F

해설

동적 그룹과 CSV 대량 가져오기

C. 동적 사용자 멤버십 유형 그룹:
• 사용자 속성을 기반으로 자동 멤버십
• Department 속성으로 규칙 생성
• 수동 관리 불필요
• 실시간 멤버십 업데이트

F. CSV 파일:
• Azure AD 표준 대량 가져오기 형식
• Department 속성 포함 가능
• Azure Portal에서 직접 지원
• 템플릿 다운로드 가능

동적 그룹 규칙 예시:
• user.department -eq "IT"
• user.department -eq "Sales"
• user.department -eq "Marketing"

CSV 파일 구조 예시:
• Name, UserPrincipalName, Department
• John Doe, john@contoso.com, IT
• Jane Smith, jane@contoso.com, Sales

다른 선택지가 부적절한 이유:
• A. 할당된 멤버십: 수동 관리 필요
• B. ARM 템플릿: 사용자 가져오기에 부적합
• D. PowerShell: 추가 스크립팅, 관리 노력 증가
• E. XML: Azure AD 표준 형식 아님

참고: 동적 그룹은 관리 오버헤드를 크게 줄이는 Azure AD의 핵심 기능입니다.

문제 105

Azure Key Vault 중급

storage1이라는 스토리지 계정이 포함된 Azure 구독이 있습니다.

storage1의 액세스 키가 자동으로 회전하도록 해야 합니다.

무엇을 구성해야 합니까?

A 백업 자격 증명 모음

B storage1의 중복성

C storage1의 수명 주기 관리

D Azure Key Vault

E Recovery Services 자격 증명 모음

정답: D

해설

Azure Key Vault를 통한 자동 키 회전

Azure Key Vault 키 회전 기능:
• 스토리지 계정 키 자동 회전
• 정기적인 회전 일정 설정
• 애플리케이션 중단 없이 키 업데이트
• 보안 모범 사례 자동 적용

구성 단계:
1. Azure Key Vault 생성
2. Storage Account Key를 Key Vault에 추가
3. 관리 ID를 Key Vault에 권한 부여
4. Key Vault에서 Storage Account 연결
5. 자동 회전 정책 설정

자동 회전의 이점:
• 보안 강화: 정기적 키 변경
• 규정 준수: 보안 정책 자동 이행
• 운영 효율성: 수동 개입 불필요
• 중단 방지: 무중단 키 교체

회전 주기 설정:
• 30일, 60일, 90일 등
• 조직 보안 정책에 따라 설정
• 알림 및 모니터링 가능

다른 선택지가 부적절한 이유:
• A. 백업 자격 증명 모음: 백업 전용
• B. 중복성: 가용성 관련
• C. 수명 주기 관리: 데이터 계층화
• E. Recovery Services: 재해 복구

참고: Azure Key Vault는 암호, 키, 인증서의 중앙 집중식 관리를 위한 핵심 서비스입니다.

문제 106

Self-Service Password Reset 중급

다음 표에 표시된 Microsoft Entra ID가 포함된 Azure 구독이 있습니다.

SSPR(셀프 서비스 암호 재설정)을 활성화해야 합니다.

Azure Portal에서 어떤 ID에 대해 SSPR을 활성화할 수 있습니까?

A User1만

B Group1만

C User1과 Group1만

D Group1과 Group2만

E User1, Group1, Group2

정답: D

해설

SSPR을 그룹 단위로만 활성화 가능

Azure AD SSPR 활성화 범위:
• None: SSPR 비활성화
• Selected: 특정 그룹에만 적용
• All: 모든 사용자에게 적용

SSPR 그룹 선택 규칙:
• 보안 그룹: SSPR 활성화 가능
• Microsoft 365 그룹: SSPR 활성화 가능
• 개별 사용자: 직접 선택 불가
• 게스트 사용자: SSPR 적용 불가

Group1과 Group2 선택 이유:
• Group1: 보안 그룹으로 SSPR 지원
• Group2: Microsoft 365 그룹으로 SSPR 지원
• 개별 사용자(User1)는 직접 선택 불가
• 게스트 사용자는 SSPR 대상 아님

SSPR 구성 단계:
1. Azure Portal → Azure Active Directory
2. Password reset → Properties
3. "Selected" 선택
4. Group1, Group2 추가
5. 인증 방법 구성

SSPR 요구사항:
• 2개 이상의 인증 방법 구성
• 이메일, 전화번호, 보안 질문 등
• Azure AD Premium P1 라이선스 (선택적 기능용)

참고: SSPR은 그룹 기반 관리를 통해 효율적인 암호 관리를 제공합니다.

문제 107

Group Naming Policy 고급

DRAG DROP 문제 - 작업을 올바른 순서로 배열하세요.

Microsoft Entra 테넌트가 있습니다.

새로운 Microsoft 365 그룹이 생성될 때 그룹 이름이 다음과 같이 자동으로 형식화되도록 해야 합니다:

Microsoft Entra 관리 센터에서 순서대로 수행해야 하는 세 가지 작업은 무엇입니까?

정답

해설

Microsoft 365 그룹 명명 정책 구성

1단계: Groups 블레이드로 이동
• Microsoft Entra 관리 센터 접속
• 좌측 메뉴에서 "Groups" 선택
• 그룹 관리 페이지로 이동

2단계: Group settings 구성
• Groups → General → Group settings
• "Groups naming policy" 옵션 찾기
• 명명 정책 기능 활성화

3단계: Naming policy 설정
• Prefix와 Suffix 정의
• [Department] 접두사 설정
• [Region] 접미사 설정
• 차단된 단어 목록 구성

명명 정책 구성 요소:
• Prefix: 그룹 이름 앞에 추가
• Suffix: 그룹 이름 뒤에 추가
• Blocked words: 사용 금지 단어
• Custom attributes: 사용자 속성 활용

예시 정책 설정:
• Prefix: [Department]
• Suffix: [Region]
• 결과: Sales-MarketingTeam-WestUS

참고: 그룹 명명 정책은 조직의 거버넌스와 표준화를 위한 중요한 기능입니다.

문제 108

User & Group Deletion 중급

HOTSPOT 문제 - 삭제 가능한 사용자와 그룹을 선택하세요.

다음 표에 표시된 사용자가 포함된 Microsoft Entra 테넌트가 있습니다.

테넌트에는 다음 표에 표시된 그룹이 포함되어 있습니다.

어떤 사용자와 그룹을 삭제할 수 있습니까?

정답

해설

Azure AD 객체 삭제 규칙

삭제 가능한 객체:
• 클라우드 전용 사용자: Azure AD에서 직접 생성
• 게스트 사용자: 외부 테넌트 사용자
• 클라우드 그룹: Azure AD에서 생성된 그룹
• Microsoft 365 그룹: 클라우드 기반 그룹

삭제 불가능한 객체:
• 동기화된 사용자: 온프레미스 AD에서 동기화
• 동기화된 그룹: 온프레미스 AD에서 동기화
• 온프레미스에서만 삭제 가능

사용자별 분석:
• User1: 클라우드 전용 → 삭제 가능
• User2: 게스트 사용자 → 삭제 가능
• User3: 동기화된 사용자 → 삭제 불가

그룹별 분석:
• Group1: 클라우드 보안 그룹 → 삭제 가능
• Group2: Microsoft 365 그룹 → 삭제 가능
• Group3: 동기화된 그룹 → 삭제 불가

동기화된 객체 관리:
• 온프레미스 Active Directory에서 삭제
• Azure AD Connect 동기화 대기
• Azure AD에서 자동 제거됨

참고: 하이브리드 환경에서는 동기화 원본이 삭제 권한을 결정합니다.

문제 109

Key Vault & App Service 고급

HOTSPOT 문제 - 각 옵션을 선택하세요.

다음 표에 표시된 리소스가 포함된 Azure 구독이 있습니다.

Azure Key Vault를 사용하여 app1에 비밀을 제공할 계획입니다.

app1이 Key Vault에 액세스하기 위해 생성해야 하는 것과 어떤 Key Vault에서 비밀을 사용할 수 있습니까?

정답

해설

App Service와 Key Vault 통합

1. 시스템 할당 관리 ID 생성:
• App Service에서 관리 ID 활성화
• Azure AD에 자동으로 서비스 주체 생성
• 자격 증명 관리 불필요
• 앱 삭제 시 자동으로 정리

관리 ID 활성화 단계:
1. App Service → Identity
2. System assigned → Status: On
3. Save 클릭
4. Object ID 확인

2. Key Vault 액세스 권한 설정:
• Key Vault → Access policies
• Add access policy
• Secret permissions 선택
• Principal에 app1의 관리 ID 추가

지역 간 Key Vault 액세스:
• keyvault1 (East US): 동일 지역, 낮은 지연시간
• keyvault2 (West US): 다른 지역, 높은 지연시간
• 두 Key Vault 모두 액세스 가능
• 네트워크 정책에 따라 제한 가능

App Service에서 Key Vault 참조:
```
@Microsoft.KeyVault(SecretUri=https://keyvault1.vault.azure.net/secrets/mysecret/)
```

모범 사례:
• 동일 지역의 Key Vault 사용 (성능)
• 최소 권한 원칙 적용
• Key Vault 네트워크 정책 구성
• 비밀 버전 관리

참고: 관리 ID는 Azure 서비스 간 인증을 위한 가장 안전한 방법입니다.

문제 110

External Collaboration 중급

contoso.com이라는 Microsoft Entra 테넌트가 있습니다.

fabrikam.com이라는 외부 파트너와 협업합니다.

fabrikam.com의 사용자를 contoso.com 테넌트에 초대할 계획입니다.

fabrikam.com 사용자에게만 초대를 보낼 수 있도록 해야 합니다.

Microsoft Entra 관리 센터에서 무엇을 해야 합니까?

A 교차 테넌트 액세스 설정에서 테넌트 제한 설정을 구성합니다.

B 교차 테넌트 액세스 설정에서 Microsoft 클라우드 설정을 구성합니다.

C 외부 협업 설정에서 게스트 사용자 액세스 제한 설정을 구성합니다.

D 외부 협업 설정에서 협업 제한 설정을 구성합니다.

정답: D

해설

외부 협업 설정의 협업 제한 구성

협업 제한(Collaboration Restrictions):
• 특정 도메인으로만 초대 제한
• 허용 목록 및 차단 목록 관리
• B2B 협업 범위 제어
• 보안 정책 강화

구성 단계:
1. Microsoft Entra 관리 센터 접속
2. External Identities → External collaboration settings
3. Collaboration restrictions 섹션
4. "Allow invitations only to the specified domains" 선택
5. fabrikam.com 도메인 추가

협업 제한 옵션:
• Allow invitations to any domain: 모든 도메인 허용
• Deny invitations to the specified domains: 특정 도메인 차단
• Allow invitations only to the specified domains: 특정 도메인만 허용

fabrikam.com 전용 설정:
• 도메인 필터: fabrikam.com
• 다른 모든 도메인 차단
• 선택적 파트너십 관리

다른 선택지가 부적절한 이유:
• A. 테넌트 제한: 사용자가 액세스할 수 있는 테넌트 제어
• B. Microsoft 클라우드 설정: 클라우드 환경 구성
• C. 게스트 사용자 액세스 제한: 초대 후 권한 제어

추가 보안 옵션:
• 관리자 승인 필요
• 초대 이메일 검증
• 게스트 사용자 만료 정책
• 조건부 액세스 정책

참고: 협업 제한은 B2B 파트너십의 보안과 거버넌스를 위한 핵심 설정입니다.

문제 111

Storage RBAC with Conditions 고급

storage1이라는 스토리지 계정이 포함된 Azure 구독이 있습니다. storage1 계정에는 Blob 데이터가 포함되어 있습니다.

User1이라는 사용자가 storage1의 Blob 데이터에 액세스할 수 있도록 역할을 할당해야 합니다. 역할 할당은 조건을 지원해야 합니다.

User1에게 할당할 수 있는 두 가지 역할은 무엇입니까? 각각의 정답은 완전한 솔루션을 나타냅니다.

참고: 각 정답은 1점입니다.

A Owner

B Storage Account Contributor

C Storage Account Backup Contributor

D Storage Blob Data Contributor

E Storage Blob Data Owner

F Storage Blob Delegator

정답: D, E

해설

조건부 RBAC 지원 스토리지 역할

조건을 지원하는 Storage Blob 역할:
• Storage Blob Data Contributor (D): 조건 지원
• Storage Blob Data Owner (E): 조건 지원
• 세밀한 액세스 제어 가능
• 특정 Blob 컨테이너나 경로로 제한

Storage Blob Data Contributor 권한:
• Blob 읽기, 쓰기, 삭제
• 컨테이너 나열
• Blob 메타데이터 관리
• 조건부 액세스 지원

Storage Blob Data Owner 권한:
• Blob Data Contributor의 모든 권한
• ACL(액세스 제어 목록) 설정
• 소유권 관리
• 조건부 액세스 지원

조건부 액세스 예시:
```json
{
"condition": "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'public')))"
}
```

다른 역할이 부적절한 이유:
• A. Owner: 전체 리소스 관리, 조건 미지원
• B. Storage Account Contributor: 계정 관리, 데이터 액세스 불가
• C. Storage Account Backup Contributor: 백업 전용
• F. Storage Blob Delegator: SAS 키 생성만 가능

조건부 역할 할당 구성:
1. Azure Portal → Storage Account → Access Control
2. Add role assignment
3. Storage Blob Data Contributor/Owner 선택
4. Add condition 클릭
5. 조건 설정 (경로, 태그 등)

일반적인 조건 사용 사례:
• 특정 컨테이너로만 액세스 제한
• 파일 경로 기반 제한
• 태그 기반 액세스 제어
• 시간 기반 액세스 제한

참고: 조건부 RBAC는 Azure Storage에서 제로 트러스트 보안 모델을 구현하는 핵심 기능입니다.

Microsoft Azure AZ-104

📚 주요 주제별 분류