ケーススタディ1 - Humongous Insurance 概要 Humongous Insuranceは、マイアミ、東京、バンコクに3つのオフィスを持つ保険会社です。各オフィスには5,000人のユーザーがいます。 既存の環境 アクティブディレクトリ環境 Humongous Insuranceには、次の名前の単一ドメインActive Directoryフォレストがあります。 humongousinsurance.com。フォレストの機能レベルはWindows Server 2012です。 最近、Azure Active Directory (Azure AD) テナントをプロビジョニングしました。 ネットワークインフラストラクチャ 各オフィスには、そのオフィスのすべてのサーバーを収容するローカルデータセンターがあり、専用のインターネット接続が各オフィスに提供されています。 各オフィスには、サーバーへのアクセスを提供するリンク ロード バランサーが複数あります。 Active Directoryの問題 humongousinsurance.com の複数のユーザーは、特殊文字を含む UPN を持っています。 一部の文字は Azure AD でサポートされていないと思われます。 ライセンスの問題 Azure でライセンスを複数のユーザーに割り当てようとすると、次のエラー メッセージが表示されます:「ライセンスが割り当てられていません。1 人のユーザーのライセンス契約が失敗しました。」Azure サブスクリプションに使用可能なライセンスがあることを確認します。 要件 計画された変更 Humongous Insuranceはパリに新オフィスを開設する予定です。パリオフィスでは今後12ヶ月間で1,000人のユーザーを雇用する予定です。パリオフィスのユーザーが使用するすべてのリソースはAzureでホストされます。 計画されたAzure ADインフラストラクチャ オンプレミスの Active Directory ドメインは Azure AD に同期されます。 パリ オフィスのすべてのクライアント コンピューターは、Azure AD ドメインに参加します。 計画された Azure ネットワーク インフラストラクチャ All_Resources という名前のリソース グループに次のネットワーク リソースを作成する予定です。 - デフォルトのAzureシステムルートは、 ルート交通 - 2つのサブネットを含むParis-VNetという仮想ネットワーク Subnet1とSubnet2という名前 - ClientResources-VNetという名前の仮想ネットワーク。これには1つの ClientSubnetという名前のサブネット - AllOffices-VNet という仮想ネットワーク。このネットワークには、Subnet3 と Subnet4 という 2 つのサブネットが含まれます。Paris-VNet と AllOffices-VNet 間のピアリングを有効にする予定です。Paris-VNet ピアリングに対して「リモートゲートウェイを使用する」設定を有効にします。 humongousinsurance.local という名前のプライベート DNS ゾーンを作成し、登録ネットワークを ClientResources-VNet 仮想ネットワークに設定する予定です。 計画されているAzureコンピュータインフラストラクチャ 各サブネットには、Windows Server 2012 R2、Windows Server 2016、または Red Hat Linux のいずれかを実行する複数の仮想マシンが含まれます。 部門要件 Humongous Insurance では、会社の各部門に次のような要件を定めています。 - Web管理者はマーケティング用にAzure Webアプリを展開します 各 Web アプリは個別のリソース グループに追加されます。 ウェブアプリの初期設定は同じです。ウェブ 管理者には、Web アプリをリソース グループにデプロイする権限があります。 - テストフェーズでは、財務部門の監査人は 過去 1 週間のすべての Azure コストを確認できます。 認証要件 マイアミ オフィスのユーザーは、Azure のリソースにアクセスするときに、Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) を使用する必要があります。 認証要件を満たす環境を準備する必要があります。 実行すべき 2 つのアクションはどれですか。それぞれの正解は解決策の一部を示しています。 注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:B,D
D: Seamless SSO works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication, and can be enabled via Azure AD Connect. B: You can gradually roll out Seamless SSO to your users. You start by adding the following Azure AD URL to all or selected users' Intranet zone settings by using Group Policy in Active Directory: https://autologon.microsoftazuread-sso.com Incorrect Answers: A: Seamless SSO needs the user's device to be domain-joined, but doesn't need for the device to be Azure AD Joined. C: Azure AD connect does not port 8080. It uses port 443. E: Seamless SSO is not applicable to Active Directory Federation Services (ADFS). Scenario: Users in the Miami office must use Azure Active Directory Seamless Single Sign-on (Azure AD Seamless SSO) when accessing resources in Azure. Planned Azure AD Infrastructure include: The on-premises Active Directory domain will be synchronized to Azure AD. References: https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory- aadconnect-sso-quick-start