Azure Active Directory (Azure AD) と corp.fabrikam.com 間のディレクトリ同期は、Azure とオンプレミス ネットワーク間のリンク障害の影響を受けないようにする必要があります。(これには、Azure のドメイン コントローラーが必要です) オンプレミス ネットワーク上のユーザーは、インターネット リンクに障害が発生した場合に corp.fabrikam.com に対して認証できる必要があります。(これには、オンプレミスのドメイン コントローラーが必要です)
トピック 2、Litware, Inc
ケーススタディを始めるには
このケース スタディの最初の質問を表示するには、[次へ] ボタンをクリックします。質問に答える前に、左側のペインのボタンを使用してケース スタディの内容を調べてください。これらのボタンをクリックすると、ビジネス要件、既存の環境、問題の説明などの情報が表示されます。ケース スタディに [すべての情報] タブがある場合、表示される情報は後続のタブに表示される情報と同じであることに注意してください。質問に回答する準備ができたら、[質問] ボタンをクリックして質問に戻ります。
概要。一般的な概要
Litware, Inc. は中規模の金融会社です。
概要。物理的な場所
Litware の本社はボストンにあります。
既存の環境。アイデンティティ環境
ネットワークには、Litware.com という名前の Azure Active Directory (Azure AD) テナントにリンクされた Litware.com という名前の Active Directory フォレストが含まれています。すべてのユーザーには、Azure Active Directory Premium P2 ライセンスがあります。
Litware には、開発環境として使用される dev.Litware.com という名前の 2 番目の Azure AD テナントがあります。
Litware.com テナントには、capolicy1 という名前の条件付きアクセス ポリシーがあります。Capolicy1 では、ユーザーが Azure ポータルを使用して運用環境の Azure サブスクリプションを管理する場合、ハイブリッド Azure AD 参加デバイスから接続する必要があることが規定されています。
既存の環境。Azure 環境
Litware には、Litware.com テナントにリンクされた 10 個の Azure サブスクリプションと、dev.Litware.com テナントにリンクされた 5 個の Azure サブスクリプションがあります。すべてのサブスクリプションは、エンタープライズ契約 (EA) に含まれています。
Litware.com テナントには、Azure Storage 内の BLOB とファイルに対する DataActions 読み取りアクセス許可を付与する Role1 という名前のカスタム Azure ロールベースのアクセス制御 (Azure RBAC) ロールが含まれています。
既存の環境。オンプレミス環境
Litware のオンプレミス ネットワークには、次の表に示すリソースが含まれています。

既存環境。ネットワーク環境
Litware は Azure への ExpressRoute 接続を備えています。
計画された変更と要件。計画された変更
Litware は以下の変更を実施する予定です。
DB1 と DB2 を Azure に移行します。
App1 を Azure 仮想マシンに移行します。
App1 をホストする Azure 仮想マシンを Azure 専用ホストにデプロイします。
計画されている変更と要件。認証および承認の要件 Litware では、次の認証および承認の要件が特定されています。
Azure ポータルを使用して運用環境を管理するユーザーは、ハイブリッド Azure AD 参加デバイスから接続し、Azure Multi-Factor Authentication (MFA) を使用して認証する必要があります。
すべての Azure サブスクリプション内のすべての仮想ネットワークにアクセス許可を付与するには、ネットワーク共同作成者の組み込み RBAC ロールを使用する必要があります。
Azure のリソースにアクセスするには、App1 はアプリをホストする仮想マシンのマネージド ID を使用する必要があります。
すべての Azure サブスクリプションのストレージ アカウントにアクセス許可を割り当てるには、Role1 を使用する必要があります。
RBAC ロールは可能な限り最高レベルで適用する必要があります。
計画された変更と要件。回復力要件
Litware では、次の回復力要件を特定しています。
Azure に移行したら、DB1 と DB2 は次の要件を満たす必要があります。
- ローカル Azure リージョン内の 2 つの可用性ゾーンに障害が発生した場合でも可用性を維持します。
- 自動的にフェイルオーバーします。
- I/O レイテンシを最小限に抑えます。
App1 は次の要件を満たす必要があります。
- 可用性ゾーンをサポートする Azure リージョンでホストされていること。
- 自動スケーリングをサポートする Azure 仮想マシンでホストされます。
- ローカル Azure リージョン内の 2 つの可用性ゾーンに障害が発生した場合でも可用性を維持します。
計画された変更と要件。セキュリティとコンプライアンスの要件
Litware では、次のセキュリティとコンプライアンスの要件を特定しています。
App1 が Azure に移行されたら、新しいデータをアプリに書き込むことができ、新規データと既存データの変更が 3 年間防止されるようにする必要があります。
オンプレミスのユーザーとサービスは、App1 でデータをホストする Azure ストレージ アカウントにアクセスできる必要があります。
App1 データをホストする Azure ストレージ アカウントのパブリック エンドポイントへのアクセスを防止する必要があります。
運用環境内のすべての Azure SQL データベースで、透過的なデータ暗号化 (TDE) が有効になっている必要があります。
App1 は他のワークロードと物理ハードウェアを共有してはなりません。
計画された変更と要件。ビジネス要件
Litware では、次のビジネス要件を特定しています。
管理作業を最小限に抑えます。
コストを最小限に抑えます。