ケーススタディ5 - Contoso社
概要
概要
Contoso 社は、モントリオールに本社を置き、シアトルとニューヨークに支社を持つコンサルティング会社です。
環境
既存の環境
Contoso には、Azure Active Directory (Azure AD) テナントにリンクされた Sub1 という Azure サブスクリプションがあります。ネットワークには、Azure AD テナントと同期するオンプレミスの Active Directory ドメインが含まれています。
Azure AD テナントには、次の表に示すユーザーが含まれます。

Sub1 には、RG1 と RG2 という名前の 2 つのリソース グループと、次の表に示す仮想ネットワークが含まれています。

ユーザー1 は RG1 内のリソースを管理します。ユーザー4 は RG2 内のリソースを管理します。
Sub1には、次の表に示すように、Windows Server 2019を実行する仮想マシンが含まれています。

ネットワーク インターフェイスまたはサブネットにネットワーク セキュリティ グループ (NSG) が関連付けられていません。
Sub1 には、次の表に示すストレージ アカウントが含まれています。

要件
計画された変更
Contoso は次の変更を実装する予定です。
container1という名前のBLOBコンテナと、Coolを使用するshare1という名前のファイル共有を作成します。

ストレージ層。
storage5 という名前のストレージ アカウントを作成し、Blob のストレージ レプリケーションを構成します。

サービス。
NSG1という名前のNSGを作成します。NSGには、次のカスタム受信セキュリティルールが適用されます。

次の表。

NSG1 を VM1 のネットワーク インターフェイスに関連付けます。

NSG2という名前のNSGを作成します。このNSGには、次のカスタム送信セキュリティルールが適用されます。

次の表。

NSG2 を VNET1/Subnet2 に関連付けます。

技術要件
Contoso は次の技術要件を満たす必要があります。
container1 と share1 を作成します。

最小権限の原則を使用します。

Group4 という名前の Azure AD セキュリティ グループを作成します。

Azure Backup を使用して、Azure ファイル共有と仮想マシンをバックアップします。

VM1 または VM2 のボリューム C の空き容量が 20 GB 未満の場合にアラートをトリガーします。

User1 が Azure ポリシー定義を作成できるようにし、User2 が RG1 に Azure ポリシーを割り当てられるようにします。

LB1という名前の内部Basic Azure Load Balancerを作成し、そのロードバランサーを

VNET1/サブネット1
VM5 からの IP トラフィックのフロー ログを有効にし、フロー ログを 8 か月間保持します。

可能な限り、Group4 に Azure ロールベースのアクセス制御 (Azure RBAC) の読み取り専用権限を付与します。

Azure ファイル共有へのアクセス許可。
VM1がVM4と通信できることを確認する必要があります。ソリューションは管理作業を最小限に抑える必要があります。
何をすべきでしょうか?