SC-300-KR 문제 171
사례 연구 1 - Contoso, Ltd
개요
Contoso, Ltd.는 몬트리올에 본사가 있고 런던과 시애틀에 지사를 두고 있는 컨설팅 회사입니다.
Contoso는 Fabrikam, Inc.라는 회사와 파트너십을 맺고 있습니다. Fabrikam에는 fabrikam.com이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.
기존 환경. 기존 환경
Contoso의 온프레미스 네트워크에는 contoso.com이라는 Active Directory 도메인이 포함되어 있습니다.
도메인에는 Contoso_Resources라는 조직 단위(OU)가 있습니다. Contoso_Resources OU에는 모든 사용자와 컴퓨터가 포함됩니다.
contoso.com Active Directory 도메인에는 다음 표에 표시된 사용자가 포함되어 있습니다.
기존 환경. Microsoft 365/Azure 환경
Contoso에는 contoso.com이라는 Azure AD 테넌트가 있으며, 이 테넌트에는 다음과 같은 연결된 라이선스가 있습니다.
* 마이크로소프트 오피스 365 엔터프라이즈 E5
* 엔터프라이즈 모빌리티 + 보안
* 윈도우 10 엔터프라이즈 E3
* 프로젝트 계획 3
Azure AD Connect는 Azure AD와 Active Directory Domain Services(AD DS) 간에 구성됩니다. Contoso_Resources OU만 동기화됩니다.
헬프데스크 관리자는 정기적으로 Microsoft 365 관리 센터를 사용하여 사용자 설정을 관리합니다.
현재 사용자 관리자는 Microsoft 365 관리 센터를 사용하여 라이선스를 수동으로 할당합니다. 다음 예외를 제외하고 모든 사용자에게 모든 라이선스가 할당됩니다.
* 런던 사무실의 사용자에게는 Microsoft 365 전화 시스템 라이선스가 할당되지 않았습니다.
* 시애틀 사무실의 사용자에게는 Yammer Enterprise 라이선스가 할당되지 않았습니다.
contoso.com에 대한 보안 기본값이 비활성화되었습니다.
Contoso는 Azure AD Privileged Identity Management(PIM)를 사용하여 관리 역할을 보호합니다.
기존 환경. 문제 설명
Contoso는 다음과 같은 문제를 확인했습니다.
* 현재 모든 헬프데스크 관리자는 Microsoft 365 테넌트 전체의 사용자 라이선스를 관리할 수 있습니다.
* 사용자 관리자는 각 Contoso 사무실에 대한 다양한 라이선스 요구 사항을 수동으로 구성하는 것이 지루하다고 보고합니다.
* 헬프데스크 관리자는 필수 Microsoft 365 서비스와 앱에 대한 내부 및 게스트 액세스를 프로비저닝하는 데 너무 많은 시간을 소비합니다.
* 현재 헬프데스크 관리자는 정당한 이유나 승인 없이도 사용자 관리자 역할을 사용하여 작업을 수행할 수 있습니다.
* Azure AD에서 로그 노드를 선택하면 Log Analytics 통합이 활성화되지 않았다는 오류 메시지가 나타납니다.
요구 사항. 계획된 변경 사항
Contoso는 다음과 같은 변경 사항을 구현할 계획입니다.
* 셀프서비스 비밀번호 재설정(SSPR)을 구현합니다.
* Azure Monitor를 사용하여 Azure 감사 활동 로그를 분석합니다.
* 테넌트에 새로 추가된 사용자에 대한 라이선스 할당을 간소화합니다.
* Fabrikam 사용자와 협력하여 공동 마케팅 캠페인을 진행합니다.
* 사용자 관리자 역할을 구성하여 활성화하려면 정당성과 승인이 필요합니다.
* App1이라는 이름의 사용자 지정 LOB(기간 업무) Azure 웹앱을 구현합니다. App1은 인터넷에서 액세스할 수 있으며 Azure AD 계정을 사용하여 인증됩니다.
* 마케팅 부서의 신규 사용자에게는 Microsoft SharePoint Online 사이트, 그룹 및 앱에 대한 액세스 권한을 제공하기 위해 자동화된 승인 워크플로를 구현합니다.
Contoso는 Adatum Corporation이라는 회사를 인수할 계획입니다. 100명의 새로운 ADatum 사용자가 Adatum이라는 Active Directory OU에 생성될 예정입니다. 사용자는 런던과 시애틀에 위치하게 됩니다.
요구사항. 기술적 요구사항
Contoso는 다음과 같은 기술 요구 사항을 파악했습니다.
* 모든 사용자는 AD DS에서 contoso.com Azure AD 테넌트로 동기화되어야 합니다.
* App1에는 https://contoso.com/auth- response를 가리키는 리디렉션 URI가 있어야 합니다.
* 신규 사용자에 대한 라이선스 할당은 사용자의 위치에 따라 자동으로 지정되어야 합니다.
* Fabrikam 사용자는 최대 90일 동안 마케팅 부서의 SharePoint 사이트에 액세스할 수 있어야 합니다.
* Azure AD에서 수행된 관리 작업은 감사를 받아야 합니다. 감사 로그는 1년 동안 보관해야 합니다.
* 헬프데스크 관리자는 해당 사무실의 사용자에 대한 라이선스만 관리할 수 있어야 합니다.
* 사용자의 신원이 유출되었을 가능성이 있는 경우, 사용자에게 비밀번호를 변경하도록 강제해야 합니다.
질문
핫스팟 질문
헬프데스크 관리자는 라이선스 관리를 위한 기술적 요구 사항을 충족해야 합니다.
무엇을 먼저 만들어야 하고, 어떤 도구를 사용해야 할까요? 답변 영역에서 적절한 옵션을 선택하여 답변하세요.
참고: 정답 하나당 1점입니다.
개요
Contoso, Ltd.는 몬트리올에 본사가 있고 런던과 시애틀에 지사를 두고 있는 컨설팅 회사입니다.
Contoso는 Fabrikam, Inc.라는 회사와 파트너십을 맺고 있습니다. Fabrikam에는 fabrikam.com이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.
기존 환경. 기존 환경
Contoso의 온프레미스 네트워크에는 contoso.com이라는 Active Directory 도메인이 포함되어 있습니다.
도메인에는 Contoso_Resources라는 조직 단위(OU)가 있습니다. Contoso_Resources OU에는 모든 사용자와 컴퓨터가 포함됩니다.
contoso.com Active Directory 도메인에는 다음 표에 표시된 사용자가 포함되어 있습니다.
기존 환경. Microsoft 365/Azure 환경
Contoso에는 contoso.com이라는 Azure AD 테넌트가 있으며, 이 테넌트에는 다음과 같은 연결된 라이선스가 있습니다.
* 마이크로소프트 오피스 365 엔터프라이즈 E5
* 엔터프라이즈 모빌리티 + 보안
* 윈도우 10 엔터프라이즈 E3
* 프로젝트 계획 3
Azure AD Connect는 Azure AD와 Active Directory Domain Services(AD DS) 간에 구성됩니다. Contoso_Resources OU만 동기화됩니다.
헬프데스크 관리자는 정기적으로 Microsoft 365 관리 센터를 사용하여 사용자 설정을 관리합니다.
현재 사용자 관리자는 Microsoft 365 관리 센터를 사용하여 라이선스를 수동으로 할당합니다. 다음 예외를 제외하고 모든 사용자에게 모든 라이선스가 할당됩니다.
* 런던 사무실의 사용자에게는 Microsoft 365 전화 시스템 라이선스가 할당되지 않았습니다.
* 시애틀 사무실의 사용자에게는 Yammer Enterprise 라이선스가 할당되지 않았습니다.
contoso.com에 대한 보안 기본값이 비활성화되었습니다.
Contoso는 Azure AD Privileged Identity Management(PIM)를 사용하여 관리 역할을 보호합니다.
기존 환경. 문제 설명
Contoso는 다음과 같은 문제를 확인했습니다.
* 현재 모든 헬프데스크 관리자는 Microsoft 365 테넌트 전체의 사용자 라이선스를 관리할 수 있습니다.
* 사용자 관리자는 각 Contoso 사무실에 대한 다양한 라이선스 요구 사항을 수동으로 구성하는 것이 지루하다고 보고합니다.
* 헬프데스크 관리자는 필수 Microsoft 365 서비스와 앱에 대한 내부 및 게스트 액세스를 프로비저닝하는 데 너무 많은 시간을 소비합니다.
* 현재 헬프데스크 관리자는 정당한 이유나 승인 없이도 사용자 관리자 역할을 사용하여 작업을 수행할 수 있습니다.
* Azure AD에서 로그 노드를 선택하면 Log Analytics 통합이 활성화되지 않았다는 오류 메시지가 나타납니다.
요구 사항. 계획된 변경 사항
Contoso는 다음과 같은 변경 사항을 구현할 계획입니다.
* 셀프서비스 비밀번호 재설정(SSPR)을 구현합니다.
* Azure Monitor를 사용하여 Azure 감사 활동 로그를 분석합니다.
* 테넌트에 새로 추가된 사용자에 대한 라이선스 할당을 간소화합니다.
* Fabrikam 사용자와 협력하여 공동 마케팅 캠페인을 진행합니다.
* 사용자 관리자 역할을 구성하여 활성화하려면 정당성과 승인이 필요합니다.
* App1이라는 이름의 사용자 지정 LOB(기간 업무) Azure 웹앱을 구현합니다. App1은 인터넷에서 액세스할 수 있으며 Azure AD 계정을 사용하여 인증됩니다.
* 마케팅 부서의 신규 사용자에게는 Microsoft SharePoint Online 사이트, 그룹 및 앱에 대한 액세스 권한을 제공하기 위해 자동화된 승인 워크플로를 구현합니다.
Contoso는 Adatum Corporation이라는 회사를 인수할 계획입니다. 100명의 새로운 ADatum 사용자가 Adatum이라는 Active Directory OU에 생성될 예정입니다. 사용자는 런던과 시애틀에 위치하게 됩니다.
요구사항. 기술적 요구사항
Contoso는 다음과 같은 기술 요구 사항을 파악했습니다.
* 모든 사용자는 AD DS에서 contoso.com Azure AD 테넌트로 동기화되어야 합니다.
* App1에는 https://contoso.com/auth- response를 가리키는 리디렉션 URI가 있어야 합니다.
* 신규 사용자에 대한 라이선스 할당은 사용자의 위치에 따라 자동으로 지정되어야 합니다.
* Fabrikam 사용자는 최대 90일 동안 마케팅 부서의 SharePoint 사이트에 액세스할 수 있어야 합니다.
* Azure AD에서 수행된 관리 작업은 감사를 받아야 합니다. 감사 로그는 1년 동안 보관해야 합니다.
* 헬프데스크 관리자는 해당 사무실의 사용자에 대한 라이선스만 관리할 수 있어야 합니다.
* 사용자의 신원이 유출되었을 가능성이 있는 경우, 사용자에게 비밀번호를 변경하도록 강제해야 합니다.
질문
핫스팟 질문
헬프데스크 관리자는 라이선스 관리를 위한 기술적 요구 사항을 충족해야 합니다.
무엇을 먼저 만들어야 하고, 어떤 도구를 사용해야 할까요? 답변 영역에서 적절한 옵션을 선택하여 답변하세요.
참고: 정답 하나당 1점입니다.
SC-300-KR 문제 172
사용자가 심각한 로그인 알림을 트리거할 때 액세스를 차단하는 조건부 액세스 정책을 만듭니다.
다음 조건에서 정책을 테스트해야 합니다.
- 사용자가 다른 국가에서 로그인합니다.
- 사용자가 로그인 위험을 유발합니다.
테스트를 완료하려면 무엇을 사용해야 합니까?
다음 조건에서 정책을 테스트해야 합니다.
- 사용자가 다른 국가에서 로그인합니다.
- 사용자가 로그인 위험을 유발합니다.
테스트를 완료하려면 무엇을 사용해야 합니까?
SC-300-KR 문제 173
핫스팟 질문
Sub1이라는 Azure 구독이 있고, 이 구독에는 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에는 Azure 역할 기반 액세스 제어(Azure RBAC)를 사용하는 KV1과 KV2라는 두 개의 Azure 키 자격 증명 모음이 포함되어 있습니다.
해당 구독에는 다음 표에 표시된 사용자가 포함되어 있습니다.
KV1에는 Secret1이라는 이름의 비밀이 포함되어 있습니다. KV2에는 Secret2라는 이름의 비밀이 포함되어 있습니다.
각 비밀번호 값을 읽을 수 있는 사용자는 누구인가요? 답하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
Sub1이라는 Azure 구독이 있고, 이 구독에는 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에는 Azure 역할 기반 액세스 제어(Azure RBAC)를 사용하는 KV1과 KV2라는 두 개의 Azure 키 자격 증명 모음이 포함되어 있습니다.
해당 구독에는 다음 표에 표시된 사용자가 포함되어 있습니다.
KV1에는 Secret1이라는 이름의 비밀이 포함되어 있습니다. KV2에는 Secret2라는 이름의 비밀이 포함되어 있습니다.
각 비밀번호 값을 읽을 수 있는 사용자는 누구인가요? 답하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-300-KR 문제 174
Azure 구독, Google Cloud Platform(GCP) 계정, Amazon Web Services(AWS) 계정이 있습니다.
모든 플랫폼에서 권한 할당과 관련된 위험을 평가할 수 있는 솔루션을 제안해야 합니다. 솔루션은 관리 부담을 최소화해야 합니다.
추천서에는 무엇을 포함해야 하나요?
모든 플랫폼에서 권한 할당과 관련된 위험을 평가할 수 있는 솔루션을 제안해야 합니다. 솔루션은 관리 부담을 최소화해야 합니다.
추천서에는 무엇을 포함해야 하나요?
SC-300-KR 문제 175
Microsoft 365 테넌트가 있습니다.
모든 사용자는 휴대전화와 노트북을 가지고 있습니다.
사용자들은 Wi-Fi나 휴대폰 연결이 없는 원격지에서 작업하는 경우가 많습니다.
원격 위치에서 작업하는 동안 사용자는 노트북을 인터넷 접속이 가능한 유선 네트워크에 연결합니다.
다중 요소 인증(MFA)을 구현할 계획입니다.
사용자는 원격 위치에서 어떤 MFA 인증 방법을 사용할 수 있습니까?
모든 사용자는 휴대전화와 노트북을 가지고 있습니다.
사용자들은 Wi-Fi나 휴대폰 연결이 없는 원격지에서 작업하는 경우가 많습니다.
원격 위치에서 작업하는 동안 사용자는 노트북을 인터넷 접속이 가능한 유선 네트워크에 연결합니다.
다중 요소 인증(MFA)을 구현할 계획입니다.
사용자는 원격 위치에서 어떤 MFA 인증 방법을 사용할 수 있습니까?