参考文献:
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/世代-2#世代-1-vs-世代-2-capabilities

参照：
https://docs.microsoft.com/en-us/azure/key-vault/key-vault-secure-your-key-vault

セクション: [なし]
Explanation:
キー コンテナーは、テンプレートではなくパラメーター ファイルで参照します。次の図は、パラメーター ファイルがシークレットを参照し、その値をテンプレートに渡す方法を示しています。

参照：
https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-manager-keyvault-parameter テストレット 1 これはケーススタディです。ケーススタディは個別に時間が設定されるわけではありません。各ケースを完了したいだけ試験時間を費やすことができます。ただし、この試験には追加のケーススタディやセクションが存在する場合があります。この試験に含まれるすべての質問を指定された時間内に完了できるように時間を管理する必要があります。
ケーススタディに含まれる質問に答えるには、ケーススタディで提供される情報を参照する必要があります。ケース スタディには、ケース スタディで説明されているシナリオに関する詳細情報を提供する展示やその他のリソースが含まれる場合があります。このケーススタディに関する各質問は、他の質問から独立しています。
このケーススタディの最後に、レビュー画面が表示されます。この画面では、試験の次のセクションに進む前に、回答を確認し、変更を加えることができます。新しいセクションを開始した後は、このセクションに戻ることはできません。
ケーススタディを開始するには
このケーススタディに関する最初の質問を表示するには、「次へ」ボタンをクリックします。質問に答える前に、左側のペインのボタンを使用してケーススタディの内容を調べてください。これらのボタンをクリックすると、ビジネス要件、既存の環境、問題の説明などの情報が表示されます。ケーススタディに [すべての情報] タブがある場合、表示される情報は後続のタブに表示される情報と同じであることに注意してください。質問に答える準備ができたら、「質問」ボタンをクリックして質問に戻ります。
概要
Litware, Inc. は、シカゴ地域に 500 人の従業員、サンフランシスコ地域に 20 人の従業員を抱えるデジタル メディア企業です。
既存の環境
Litware には、サブスクリプション ID が 43894a43-17c2-4a39-8cfc- である Sub1 という名前の Azure サブスクリプションがあります。
3540c2653ef4。
Sub1 は、litwareinc.com という名前の Azure Active Directory (Azure AD) テナントに関連付けられています。テナントには、すべての Litware 従業員とそのデバイスのユーザー オブジェクトとデバイス オブジェクトが含まれています。各ユーザーには Azure AD Premium P2 ライセンスが割り当てられます。Azure AD Privileged Identity Management (PIM) がアクティブ化されています。
テナントには、次の表に示すグループが含まれています。

Azure サブスクリプションには、次の表に示すオブジェクトが含まれています。

ID とアクセスの要件
Azure Security Center は無料レベルに設定されています。
計画された変更
Litware は、次の表に示す Azure リソースをデプロイすることを計画しています。

Litware は、次の ID およびアクセス要件を特定します。
* すべてのサンフランシスコ ユーザーとそのデバイスは Group1 のメンバーである必要があります。
* Group2 のメンバーには、永続的な適格な割り当てを使用して、リソース グループ 2 への共同作成者ロールを割り当てる必要があります。
* ユーザーが Azure AD にアプリケーションを登録したり、ユーザーに代わって会社情報にアクセスするアプリケーションに同意したりすることを禁止する必要があります。
プラットフォームの保護要件
Litware は、次のプラットフォーム保護要件を特定します。
* Microsoft Antimalware は、リソース グループ 1 の仮想マシンにインストールする必要があります。
* Group2 のメンバーには、Azure Kubernetes Service Cluster Admin ロールが割り当てられている必要があります。
* Azure AD ユーザーは、Azure AD 資格情報を使用して AKS1 に対して認証する必要があります。
* 計画された変更の実装後、IT チームは JIT VM アクセスを使用して VM0 に接続できる必要があります。
* Resource Group1 のマネージド ディスクの管理を委任するには、Role1 という名前の新しいカスタム RBAC ロールを使用する必要があります。役割 1 は、リソース グループ 1 に対してのみ使用可能である必要があります。
セキュリティ運用要件
Litware は、Azure Security Center でオペレーティング システムのセキュリティ構成をカスタマイズできる必要があります。
データとアプリケーションの要件
Litware は、次のデータとアプリケーションの要件を特定します。
* Group2 のユーザーは、Azure AD 資格情報を使用して SQLDB1 に対して認証できる必要があります。
* WebApp1 は相互認証を強制する必要があります。
一般的な要件
Litware では、次の一般要件が特定されています。
* 可能な限り、管理上の労力を最小限に抑える必要があります。
* 可能な限り、自動化の使用を最小限に抑える必要があります。

参考文献:
https://docs.microsoft.com/bs-latn-ba/azure/active-directory/privileged-identity-management/pim-how-to-start-security-review

参照：
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/assign-user-or-group-access-portal